Wie genau schützt mich diese UFW-Konfiguration (Privacy-Handbuch)?

Philo · 17.11.2022, 22:30

Hallo zusammen,

ich habe eine Frage zur UFW-Konfiguration, wie sie hier beim Privacy-Handbuch beschrieben ist:

> sudo ufw default reject outgoing
> sudo ufw allow out http
> sudo ufw allow out https
> sudo ufw allow out from any to X.X.X.X port 53

So wie ich das verstehe lasse ich in dem Beispiel nur http und https zu – also rein zum Surfen, richtig?

Wie genau schützt mich jetzt diese Konfiguration? Wenn ich zum Beispiel im Internet surfe und eine Malware herunterlade, dann kommt diese doch auch über http/https rein. Oder habe ich hier einen Denkfehler?

cane · 18.11.2022, 10:09

Zitat von: Philo am 17.11.2022, 22:30So wie ich das verstehe lasse ich in dem Beispiel nur http und https zu – also rein zum Surfen, richtig?

Ja.

Zitat von: Philo am 17.11.2022, 22:30
Wie genau schützt mich jetzt diese Konfiguration? Wenn ich zum Beispiel im Internet surfe und eine Malware herunterlade, dann kommt diese doch auch über http/https rein.

Ja.

Möglicherweise installierst Du Dir aber auch mal ein Programm, von dem Du nicht weist, dass es im Hintergrund über andere Protokolle ins Internet telefoniert. Diese Kommunikation wird blockiert. Ein Spam-Trojaner kann keine E-Mails von Deinem Rechner versenden .... usw.

Diese Firewall Konfiguration kann einige Arten von unerwünschter Kommunikation von Deinem Rechner ins Internet blockieren, aber es schützt Dich natürlich nicht vor Trojanern, die Du beim Surfen im Internet selbst herunterlädst.

Philo · 18.11.2022, 16:42

Schön von dir wieder zu hören, cane :TOP
Und danke für deine Erklärung! Hört sich gut an und werde ich machen.

Muss ich bzgl. einem Drucker etwas beachten oder geht der gar nicht durch die Firewall?

Noch etwas Allgemeines, da du ganz am Anfang der Seite schreibst, dass RHEL eine sicherheitsorientierte Linux Distributionen ist.
Ist der Unterschied zwischen Debian (oder MX, basiert ja darauf) und RHEL groß bzw. was genau macht RHEL in diesem Punkt besser?

cane · 18.11.2022, 17:25

Ein Drucker, der per USB angeschlossen ist, geht nicht durch die Firewall. Ein Netzwerkdrucker muss durch die Firewall. Dafür muss man (in der Regel) Port 631 freigeben, beispielsweise so (xxx.yyyy ersetzen durch die richtige Adresse):

Code Auswählen

> sudo ufw allow out from any to 192.168.xxx.yyy port 631

RHEL bietet erstmal deutlich weniger Software an und installiert standardmässig ein minimales System ohne Schnick-Schnack wie Office Programme, Audio Codecs, Video Player usw. Außerdem ist SELinux standardmäßig installiert (bei mir jedenfalls immer drauf). Es gibt eine konsequente Qualitätskontrolle und keine "verwaisten" Pakete wie bei Debian. Allerdings ist es dadurch deutlich weniger "anwenderfreundlich".

Philo · 18.11.2022, 21:19

Ah gut zu wissen. Ich drucke zwar sehr selten aber dann hätte ich mich wohl gewundert warum er nicht druckt...

Zitat von: cane am 18.11.2022, 17:25RHEL bietet erstmal deutlich weniger Software an und installiert standardmässig ein minimales System ohne Schnick-Schnack wie Office Programme, Audio Codecs, Video Player usw. Außerdem ist SELinux standardmäßig installiert (bei mir jedenfalls immer drauf). Es gibt eine konsequente Qualitätskontrolle und keine "verwaisten" Pakete wie bei Debian. Allerdings ist es dadurch deutlich weniger "anwenderfreundlich".

Hm, hört sich interessant an, wäre evtl. was für mein Laptop. Welche RHEL-Distri würdest du für den Anfang empfehlen, Fedora oder gibt es noch eine andere?

SELinux ist das Pendant zu AppArmor, richtig? Würde man SELinux als Heimanwender benötigen und falls ja, gibt es hier vorgefertigte Profile?

cane · 19.11.2022, 10:39

Ich mag Fedora. Mit dem RPMFusion Repository hat man auch die große Softwareauswahl der Community.

Zitat von: Philo am 18.11.2022, 21:19SELinux ist das Pendant zu AppArmor, richtig?

SELinux ist wie AppArmor ein Sicherheitsframework, abes es arbeitet völlig anders. Mit AppArmor schützt man einzelne Anwendungen oder nicht. SELinux ist immer systemweit aktiv oder garnicht.

Als Heimanwender kommt man mit den Defaults bei SELinux gut zurecht. Anpassungen für einzelne Daemons sind eher was für IT-Profis.

AlphaElwedritsch · 19.11.2022, 12:31

Zitat von: cane am 18.11.2022, 17:25
Ein Drucker, der per USB angeschlossen ist, geht nicht durch die Firewall. Ein Netzwerkdrucker muss durch die Firewall. ...

Pauschal ist das erstmal nicht richtig
Datenströme passieren die Firewall nur dann wenn sie entweder die Zonengrenzen passieren, oder wenn sie die Netzgrenzen passieren.
Ist der Drucker im gleichen Netz wie auch der Client findet die Auflösung per ARP statt und es wird kein GW angesprochen und somit passiert auch nichts die Firewall.

Philo · 19.11.2022, 16:18

Fedora ist wirklich schön, ich habs heute mal in einer VM zum ausprobieren installiert. Mit Dash-to-Panel und dem Arc Menu hat man auch eine tolle Desktop-Experience.

Zitat von: cane am 19.11.2022, 10:39Als Heimanwender kommt man mit den Defaults bei SELinux gut zurecht. Anpassungen für einzelne Daemons sind eher was für IT-Profis.

Das bedeutet SELinux ist bei Fedora automatisch aktiv und ich muss mich um nichts mehr kümmern? Sehe ich irgendwo (Terminal?), dass SELinux aktiv ist?

Eine allgemeine Frage zur firewallD. Ich wollte jetzt auch die gleiche Konfiguration wie bei der ufw machen (also z. B. sudo firewalld allow out http usw.) aber das kannte die firewallD nicht (,,firewallD: error: unrecognized arguments: allow out http").
Ist das überhaupt möglich die firewallD entsprechend so zu konfigurieren oder tickt die ohnehin ganz anders?

Habt ihr sonst noch einen Tipp was man in der Firewall oder allgemein einstellen sollte?

cane · 19.11.2022, 19:21

firewalld hat eine andere Syntax, ein anderes Konzept und ist nicht so unkompliziert wie die Uncomplicated Firewall (UFW). Muss man sich ein bisschen einlesen. Es gibt eine "Running" Konfiguration zum ausprobieren und eine "Permanent" Konfiguration, die gespeichert wird, es gibr mehrere Zonen, wobei die Netzwerkschnittstellen standardmäßig erstmal in der "Public" Zone sind....

Incoming Port erlauben oder wieder verbieten ist noch relativ einfach:

Code Auswählen

firewall-cmd --add-port=port-number/port-type
firewall-cmd --remove-port=port-number/port-type

Prinzipiell kann man es auch restriktiv konfigurieren und Outgoing nur HTTP/HTTPS erlauben (Ist aber möglicherweise veraltet? Nicht getestet!)

Code Auswählen

# firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80 -j ACCEPT
# firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=443 -j ACCEPT
# firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=25 -j ACCEPT
# firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -p udp -m udp --dport=80 -j ACCEPT
# firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -j DROP

Und wenn dann alles funktioniert:

Code Auswählen

# firewall-cmd --runtime-to-permanent
Ist vielleicht einfacher, alles mit dem firewalld-gui zu konfigurieiren, ist übersichtlicher.

Um den Status von SELinux abzufragen, gibt es das Kommando "sestatus". Aktiviert/Deaktiviert wird es in der Datei /etc/selinux/config.

Philo · 20.11.2022, 20:01

Vielen Dank cane, hat geklappt.
Ja, das stimmt, übers Terminal lässt sich das bequemer einrichten (fand ich aber bei der ufw auch schon so).

Ich meine mal gelesen zu haben, dass die ganzen Firewalls (also ufw oder firewallD) im Grunde nur eine ,,quasi-GUI" sind für die Nftables um diese einfacher zu konfigurieren. Habe ich das richtig im Kopf?

cane · 21.11.2022, 18:07

Ja, UFW und firewalld sind nur Frontends. Im Hintergrund arbeiten die tables im Kernel.

Philo · 21.11.2022, 20:52

Danke dir, dann hatte ichs doch richtig im Kopf

P.S.: Mir kommt dein Wolf (Profilbild) so bekannt vor. Hatte der mal was mit Linux oder LibreWolf zu tun?