ATTENZIONE!!!
IL CONTENUTO DI QUESTA GUIDA E’ AD ALTO RISCHIO DELLA NORMALE FUNZIONALITA’ DELLA VOSTRA UBUNTU-BOX:
“MANEGGIARE” CON CURA E NON ALLE DUE DI NOTTE!!!
Una delle novità di Ubuntu 8.04 è la presenza di UFW (Uncomplicated Firewall) per la gestione di iptables. Infatti se è vero che Linux è esente per il 99,99% da Virus o malaware, è tuttavia auspicabile la presenza dello strumento Firewall per evitare comunque indesiderati attacchi da malintenzionati.
Gestire un Firewall non sempre è cosa semplice. Intenzione degli sviluppatori di Ubuntu è stata quella di creare un “Firewall Non Complicato”. Trovata geniale se pensiamo che, ad esempio con dei comandi elementari, è possibile aprire e chiudere tutte le porte necessarie alla nostra LinuxBox. Unica “pecca” è l’assenza di una GUI, pertanto l’utente alle prime armi, che non “mastica bene” la shell potrebbe trovarsi spiazzato dalla cosa.
Magnificamente la comunità degli utenti di Ubuntu ha sviluppato una GUI per UFW chiamata appunto “GUFW” e installabile tramite un doppio click del mouse sul pacchetto .deb già bello e pronto.
Il passaggio successivo sarà quello di far partire automaticamente GUFW (e quindi il Firewall) ad ogni avvio della macchina. Altrimenti si è costretti ad avviarlo a mano ad ogni accensione della nostra Ubuntu. Alcuni di questi passaggi però richiedono l’uso del terminale con l’editor di testo NANO. Cercheremo qui di ridurre al minimo l’utilizzo della shell (anche se ritengo che sia lo strumento più veloce e IDEALE per una gestione di Linux) per aiutare coloro che si affacciano a Ubuntu per la prima volta e vogliono avere comunque una protezione alta per la propria Ubuntu Box.
Primo passaggio è quello intanto di verificare se UFW e iptables sono installati altrimenti procedere da
Sistema > Amministrazione > Gestore Pacchetti Synaptic
e cercare UFW e iptables. Eventualmente “spuntare” la voce per l’installazione e applicare le modifiche.
Per gli amanti della shell basta dare il comando sudo apt-get install iptables ufw e inserire la propria password…(ecco perchè la shell è più veloce… prendi 5 paghi 1… con un unico passaggio te ne eviti altri 4).
Secondo passaggio è quello di scaricare da qua la GUI “GUFW” e installarla facendo doppio click col mouse. A questo punto abbiamo installato iptables, ufw e la sua interfaccia grafica, e si potrebbe avviare da
Applicazioni > Internet > Gufw Firewall Configuration, inserendo la vostra password personale.
Potrete configurarlo a vostro piacere seguendo le numerose guide che sono in rete accedendo semplicemente da Google. Non è questo infatti il nostro compito. Nostro compito è far partire GUFW automaticamente senza dover inserire la password di amministrazione.
Adesso viene la parte un po’ più complicata… ATTENZIONE A SEGUIRE SCRUPOLOSAMENTE TUTTI I PASSAGGI!!!
Qui credo non si possa prescindere dal terminale: apriamo la nostra shell e diamo un bel
sudo nautilus
inseriamo la nostra password e si aprirà nautilus e la gestione delle cartelle con privilegi da root.
ATTENZIONE A NON CHIUDERE QUESTA FINESTRA DI GESTIONE DELLE CARTELLE O IL TERMINALE DAL QUALE ABBIAMO DATO IL COMANDO – SUDO NAUTILUS – FIN QUANDO NON VI SARA’ ESPLICITAMENTE CHIESTO!!!
Dovendo andare a modificare il file sudoers che gestisce le password di amministrazione ci facciamo una copia di backup nel caso qualcosa andasse per il verso sbagliato.
Andiamo in File system > etc
e creiamo una copia del file sudoers col tasto destro del mouse facendo copia-incolla nella stessa cartella e rinominando il nuovo file sudoers_backup (attenzione a questo passaggio altrimenti in caso di errori direte addio alla vostra password utente, root e quant’altro… UOMO AVVISATO…!!!).
A questo punto andiamo sul file sudoers (non sudoers_backup) selezioniamolo, poi col tasto destro del mouse andiamo a proprietà > permessi: vedrete che il proprietario è ROOT e il file è in sola lettura. Noi dal menù a cascata rendiamolo in lettura e scrittura (poichè dovremo modificarlo) e chiudiamo semplicemente proprietà.
ATTENZIONE A NON CHIUDERE ANCORA NAUTILUS CON PRIVILEGI DI ROOT ALTRIMENTI NON POTRETE PIÙ ACCEDERE COME UTENTI NORMALI!!!
Quindi clicchiamo e apriamo il file sudoers.
Troverete pressappoco qualcosa del genere:
# /etc/sudoers
#
# This file MUST be edited with the ‘visudo’ command as root.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
# Uncomment to allow members of group sudo to not need a password
# %sudo ALL=NOPASSWD: ALL
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
Bene ora si tratta di aggiungere un comando che dica di far partire all’avvio di ubuntu GUFW con privilegi di amministratore.
Alla fine del file cioè dopo questa riga %admin ALL=(ALL) ALL
inseriamo questo comando
# Attivare GUFW all’avvio di Ubuntu senza privilegi di ADMIN
<vostro_nome_utente> ALL= NOPASSWD: /usr/share/gufw/gufw.py
Lì dove c’è vostro nome utente… beh insomma ci mettete il vostro nome utente, mi raccomando però senza gli apici <> che sono una mia aggiunta per la guida.
Salviamo il file sudoers e chiudiamolo.
ATTENZIONE NON USCITE ANCORA DA NAUTILUS CON PRIVILEGI DI ROOT!!!
Prima di chiudere nautilus andiamo sul file sudoers che abbiamo appena modificato e come prima Proprietà > Permessi rimettiamo l’accesso da Scrittura e lettura in Sola lettura. Solo a questo punto possiamo chiudere proprietà e Nautilus.
Il grosso è fatto. Come ultima cosa dobbiamo dire a GUFW di partire da solo all’avvio: semplicissimo. Andiamo a Sistema > Preferenze > Sessioni > Aggiungi e al Nome diamo GUFW o quello che volete. Il comando è il seguente sudo /usr/share/gufw/gufw.py il commento potete anche lasciarlo vuoto.
E questo è tutto. Se non avete commesso errori al prossimo avvio della vostra Ubuntu dovreste trovarvi GUFW avviato bello e pronto. Ci tengo a dire che il sottoscritto non usa GUFW ma firestarter che credo gestisca più in profondità iptables e le sue regole. Questo metodo tuttavia è pressochè identico anche per Firestarter: basta modificare a dovere il file sudoers.
E questo è quanto…!!!
Aggiornamento di questa guida del
20 dicembre 2008
Colgo l’occasione per questo aggiornamento dal commento di Utonto: ormai la versione di GUFW è la 0.20.6 (il link di download è stato aggiornato – e comunque basta andare sul sito del progetto per essere sempre aggiornati all’ultimissima versione http://gufw.tuxfamily.org/index.html). In questa versione si può configurare l’autopartenza da Modifica > Preferenze direttamente dalla GUI di Gufw. Quindi non è più necessario aggiungere in sessioni il seguente comando:
sudo /usr/share/gufw/gufw.py
Enjoy!
Interessante questa guida, grazie mille… sarebbe interessante comunque spendere qualche paroluccia sulla configurazione del firewall… ehm… perchè non aggiungi col tempo anche un capitoluccio su come va configurato gufw?
ciao,
so che sono fuori tema, ma hai pensato di iscrivere il tuo blog al bloggatore?
il sito non è il mio, ma si tratta di un aggregatore di oltre 200 blog di informatica che sta andando alla grande e il tuo blog deve esserci!
Il link è: http://www.ilbloggatore.com, l’email te l’ho indicata nel commento.
Aggiungo il tuo blog ai miei preferiti di Firefox.
Ciao!
Manuela
Neff,
mi pare di aver scritto che se vai su google e digiti GUFW vengon su un bel po’ di pagine con tanto di guide alla configurazione di GUFW.
Comunque siccome sono al massimo una decina di tasti, per una buona partenza intanto spunta la voce Firewall enabled e lo scudo diventa verde… e già così UFW sta facendo il suo lavoro.
In alto seleziona Allow incoming traffic e non spuntare ipv6 a meno che non lo usi. Ma se non sai di usarlo in modo esplicito vuol dire che non lo usi. Quindi lascialo così com’è di default.
Le regole (cioè le porte da aprire e chiudere) sono una cavolata: sezione ADD A NEW RULE:
Simple:
aggiungi nel boxino la porta desiderata e a seconda se è TCP o UDP selezioni dal menu a cascata e fai aggiungi. Ti comparirà in grigino giù. Se vuoi rimuoverla basta selezionarla col mouse e fare remove.
Preconfigured:
sono servizi e programmi preconfigurati. Tipo pop, ftp, http, ecc… li selezioni dal menu a cascata e fai aggiungi. Idem per la lista di programmi: tipo amule, poi aggiungi e ti apre le porte TCP e UDP che servono ad amule e ti compaiono sempre nello spazio sotto. Così per tutti i programmi in lista. Se il tuo programma non c’è ovviamente aprirai le porte a mano da Simple.
Advanced:
un’insieme di porte che vanno da un intervallo ad un altro che tu inserirai nei boxini rispettivi e sempre col solito tasto aggiungi verranno aperti nel firewall di iptables.
Ti garantisco che non ci vuole la laurea… forse manco il diploma!!!
Ciao e alla prossima!!!
Ciao Manuela,
grazie del suggerimento. i farò una capatina sul Bloggatore e ci farò un pensierino.
Ciao!
I’d just like to note that the Ubuntu firewall works even when Gufw is not running.
Gufw is simply a tool for managing the firewall – when you have gufw enabled, the rules that you set are still active. So you don’t need to add Gufw to auto-start, unless you want to edit your firewall settings always.
Invece del tuo metodo per far partire Gufw automaticamente senza digitare la password, ho modificato con permessi root il file /etc/rc.local,aggiungendo semplicemente gfuw poi in sessioni l’ ho aggiunto per il caricamento all’ apertura della sessione.
Ti chiedo quale differenza c’è in questi due modi, vataggi e svantaggi.
Ciao Wlg
Ciao Wlg,
semplicemente rc.local funziona come il file autoexec.bat del dos in windows. Tutto ciò che si avvia da tale file si avvia al boot e prima di ogni sessione di login. Ad esempio avvio della rete e cosucce varie. Essendo Gufw l’interfaccia grafica del firewall e non il firewall stesso per correttezza bisognerebbe avviarlo ad ogni login quindi non al boot ma dopo il login.
In realtà facendo così lo avvii due volte: diciamo così una in background al boot e poi una dopo il login per avere l’interfaccia (perchè l’avvio automatico in sessioni è fatto dopo il login). Editando il file sudoers semplicemente agisci sulla password ma l’avvio rimane al suo posto dopo il login e avviene una sola volta.
In termini di consumo su una buona macchina, magari dual core non ci si rende neanche conto, ma in termini di operazioni c’è di sicuro un passaggio in più superfluo.
Spero di non essere stato troppo complicato.
Ciao!
Molto gentile sei stato chiarissimo, molte grazie.
Ciao Wlg
Anche io mi aggrego ai complimenti, molto chiaro, tutto perfetto e riuscito. Avrei una domanda però: per far patire gufw minimizzato nella tray senza che venga aperta la finestra ho trovato girando in rete l’opzione –quiet da aggiungere al comando di sessione che hai postato: sudo /usr/share/gufw/gufw.py che diventa quindi sudo /usr/share/gufw/gufw.py –quiet.
Adesso parte minimizzato, però vengono caricate due icone nella tray, sai per caso a che cosa è dovuto?
Ciao e grazie di tutto in anticipo
Utonto linux
Ciao Utonto,
si semplicemente prova a togliere il quiet dal comando di avvio e vai in preferenze di gufw dall’icona che c’è nella barra degli strumenti e configura da lì l’avvio. Tra l’altro se midici che ci sono due icone vuol dire che già una parte da se….
Quindi è già tutto fatto!
Ciao e Buone Feste!!!
Ci sono!
Grazie mille.
Buone feste!
UL
Ciao,
complimenti per il blog e per il post.
GUFW è sicuramente molto intuitivo, ma giusto per informazione volevo ricordare che esistono altre interfacce grafiche relative alla gestione del Firewall: Firestarter (http://www.fs-security.com/), Gnome-Lokkit (http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/custom-guide/s1-basic-firewall-gnomelokkit.html) e Guarddog (http://www.simonzone.com/software/guarddog/) che non competono sicuramente con GUFW in quanto a semplicità.
Poi volevo riportare l’attenzione sul commento di Vadim P.; credo che GUFW pecchi di chiarezza in un solo punto ovvero nella finestra iniziale dove sotto lo scudo c’è una casella da spuntare con l’etichetta “Firewall Enabled”, come ricordava Vadim P. un firewall di default è già impostato, mi riferisco a Netfilter, ovviamente, o sbaglio?
Anche sulla pagina di Wikipedia in italiano su Netfilter (http://it.wikipedia.org/wiki/Netfilter) mi pare che l’immagine (di GUFW appunto) perpetui un po’ l’equivoco. Che ne pensi?
Saluti.
Come dice la riga all’interno del file:
# This file MUST be edited with the ‘visudo’ command as root.
quindi aprendo un terminale e digitanto: “sudo visudo” (seguito dalla propria passwd) si accede direttamente al file di configurazione in esame senza passare per la procedura via nautilus.
Siccome c’è scritto MUST mi sono incuriosito: da quello che mi sembra di aver capito l’editor vi controlla che il terminatore di linea e gli altri “crismi” relativi alla formattazione siano a posto in fase di salvataggio, cosa che in altro modo non avviene, con la possibilità (non rara) di incappare in un’ errore stupido (come mettere uno spazio in più) e compromettere la leggibilità da parte del sistema del file “sudoers”
Spero di non aver detto delle zozzerie
Un saluto a tutti
Utonto
Usare nautilus con permessi di root è una soluzione troppo pericolosa: con un click sbagliato si rischia di fare danni enormi.
Come già ricordato dall’Utonto prima di me è meglio è usare visudo (sudo visudo). In alternativa, per coloro che non amano gli editor da terminale, può decidere di aprire sudoers mediante gedit con il comando:
sudo bash -c “export EDITOR=gedit && visudo”
L’effetto e i privilegi sono gli stessi del sudo visudo, ma in un ambiente più confortevole.
ciao