Por que o Debian vem sem um firewall ativado por padrão?

15

Estou usando o Debian 9.1 com o KDE e estou me perguntando por que ele vem sem um firewall instalado e ativado por padrão? O gufw nem está nos pacotes do DVD1.

As pessoas devem se conectar à Internet antes de obter um firewall? Por quê? Mesmo que todas as portas estejam fechadas por padrão, vários programas instalados, atualizados ou baixados podem abri-las (ou não?) E desejo que nem um único pedaço saia da minha máquina sem minha permissão.

Edit: Então, eu acabei de descobrir sobre o iptables, mas acho que a questão ainda permanece tão iptables quanto o firewall parece ser um pouco desconhecido para a maioria, suas regras padrão, sua acessibilidade e facilidade de uso e o fato de que, por padrão, qualquer regra do iptable é redefinida no reinício .

mYnDstrEAm
fonte
Muito boa pergunta. O servidor Ubuntu nem vem iptablespré-instalado! Acho que as pessoas apenas tentando tomar o princípio end-to-end para o extremo camada 7 ...
RLF
8
Qual é o seu motivo para afirmar que o iptables é "desconhecido para a maioria"?
SaAtomic 01/08/19
1
Eu perguntei algo semelhante há algum tempo atrás, unix.stackexchange.com/questions/127397/…
StrongBad 1/17
1
"Mesmo que todas as portas estejam fechadas por padrão, vários programas instalados, atualizados ou baixados podem abri-los ..." - Se você assumir uma malícia, os programas instalados, atualizados ou baixados também podem limpar as regras do firewall.
marcelm
1
@mYnDstrEAm por exemplo, porque você dá a esses programas instalar scripts de acesso root quando você dá a sudosua senha como emsudo apt-get install package ...
gato

Respostas:

28

Primeiro, o Debian tende a assumir que você sabe o que está fazendo e tenta evitar fazer escolhas para você.

A instalação padrão do Debian é bastante pequena e é segura - não inicia nenhum serviço. E mesmo os extras opcionais padrão (por exemplo, servidor web, ssh) adicionados a uma instalação são geralmente bastante conservadores e seguros.

Portanto, um firewall não é necessário neste caso. O Debian (ou seus desenvolvedores) assume que, se você iniciar serviços adicionais, saberá como protegê-los e poderá adicionar um firewall, se necessário.

Mais importante, talvez, o Debian evite fazer sua escolha em relação a qual software de firewall usar. Há várias opções disponíveis - qual delas deve ser usada? E mesmo em relação a uma configuração básica de firewall, que configuração deve ser escolhida? Dito isto, iptablesé de prioridade importante, por isso é instalado por padrão. Mas é claro, o Debian não sabe como você deseja configurá-lo, portanto, não o configura para você. E você pode preferir usar iptableso sucessor de nftablesqualquer maneira.

Observe também que a funcionalidade de firewall já está embutida no kernel do Linux até certo ponto; por exemplo, nftablese netfilter. O Debian e outras distribuições Linux fornecem ferramentas de espaço para o usuário, como iptablespara gerenciar essa funcionalidade. Mas o que você faz com eles depende de você.

Observe que essas entidades não são nomeadas de forma consistente. Para citar a página da Wikipedianftables :

O nftables é configurado pelo utilitário de espaço do usuário nft, enquanto o netfilter é configurado pelas estruturas de utilitários iptables, ip6tables, arptables e ebtables.

Faheem Mitha
fonte
4
@sourcejedi Tanto quanto me lembro, a instalação padrão do Debian tem sido muito semelhante desde pelo menos a batata, que foi quando eu comecei a usá-lo. Então, eu não tenho certeza do que você quer dizer.
Faheem Mitha
1
@FaheemMitha o padrão anterior não era para ele para aceitar conexões de fora, de qualquer maneira :)
hobbs
1
+1 em tentativas para evitar fazer escolhas para você. . Existem muitas ferramentas diferentes para gerenciar firewalls, cada uma com diferentes prós e contras, cada uma com diferentes casos de uso. e há um número ainda maior de maneiras de configurar um firewall. a defesa em profundidade (por exemplo, regras de firewall / roteador autônomo E de tabelas de ip por host) é boa, mas eu consideraria muito irritante se o instalador do debian presumisse saber como minha rede estava configurada e quais regras de firewall eu queria. isso é para eu saber e eu decidir.
cas
4
Boa resposta, embora "o Debian evite fazer a escolha para você [pois] há várias opções disponíveis" não faz muito sentido para mim. O Debian já está fazendo escolhas (por exemplo, escolhendo o Apache sobre o lighttpd quando seleciono "servidor Web", deb sobre rpm ... bem, obviamente) onde há alternativas disponíveis. O ponto principal de uma distro não é o de fazer escolhas?
Gd1
1
@ gd1 É verdade; O Debian fornece e instala padrões - por exemplo, Exim, historicamente. Mas eles são fáceis de mudar. E suponho que também iptablesseja um padrão para o Debian. Mas uma coisa que o Debian não faz por si só é a configuração não óbvia do sistema para o usuário.
Faheem Mitha
12

Primeiro, quero repetir o que já foi dito: O Debian atende a um grupo de usuários bastante diferente do que muitas outras distribuições convencionais, principalmente o Ubuntu. O Debian é voltado para pessoas que sabem como o sistema funciona e que não têm medo de mexer de tempos em tempos em troca de um alto grau de controle sobre o sistema. O Ubuntu, por exemplo, atende a um público-alvo muito diferente: pessoas que apenas querem que as coisas funcionem e não se importam (realmente) com o que está acontecendo, e certamente não querem modificar a configuração do sistema para fazer as coisas trabalhos. Isso afeta vários aspectos do sistema resultante. E, até certo ponto, essa é uma beleza do Linux; o mesmo sistema básico pode ser usado para criar ambientes que atendem a diferentes necessidades. Lembre-se de que o Ubuntu é um derivado do Debian,

O gufw nem está nos pacotes do DVD1.

O primeiro disco contém o software mais popular, conforme determinado pela coleta de estatísticas anônimas dos sistemas instalados. O fato de o gufw não estar no primeiro disco simplesmente indica que este não é um pacote muito popular (em termos de base instalada) no Debian. Também é fácil de instalar quando você tiver o sistema básico com a rede em funcionamento, se preferir a alternativas.

As pessoas devem se conectar à Internet antes de obter um firewall? Por quê?

Bem, por um lado, acredito que o Debian permita a instalação em uma rede. (Não apenas o download de pacotes da rede durante uma instalação normal, mas literalmente iniciando a instalação a partir de um host diferente daquele em que está sendo instalado .) Um firewall configurado por padrão com um conjunto de regras restritivo correria o risco de interferir nisso. O mesmo ocorre com instalações que precisam de acesso à rede de saída durante o processo de instalação para outros fins que não apenas o download das versões mais recentes dos pacotes que estão sendo instalados.

Por outro lado, há o que mencionei acima; como regra, o Debian espera que você saiba o que está fazendo. Se você deseja um firewall, espera-se que você possa configurá-lo por conta própria, e espera-se que você saiba melhor que os mantenedores do Debian quais são suas necessidades específicas. O Debian é um pouco como o OpenBSD a esse respeito, mas não tão extremo. (Quando é possível escolher entre tornar o sistema base um pouco mais seguro e utilizá-lo um pouco mais, os mantenedores do OpenBSD praticamente sempre buscam a segurança. Isso é mostrado nas estatísticas de vulnerabilidade de segurança do sistema básico, mas tem enormes implicações na usabilidade.)

E, claro, a tecnicidade: o suporte ao firewall está incluído no sistema básico. É apenas que ele está definido como uma regra permissiva definida por padrão pelo kernel, e uma instalação básica do Debian não faz nada para mudar isso. Você pode executar alguns comandos para restringir o fluxo de tráfego.

Mesmo que todas as portas estejam fechadas por padrão, vários programas instalados, atualizados ou baixados podem abri-las (ou não?) E desejo que nem um único pedaço saia da minha máquina sem minha permissão.

Primeiro, os firewalls geralmente são usados ​​para restringir o tráfego de entrada . Se você deseja restringir a saídatráfego, é uma chaleira de peixe bastante diferente; certamente factível, mas precisa de muito mais adaptação à sua situação específica. Um firewall de tráfego de saída de bloco padrão que deixa abertas as portas comumente usadas (onde as portas comumente usadas podem ser ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 e um conjunto de outros), além de permitir o tráfego relacionado a sessões estabelecidas, não seria muito mais seguro do que um firewall de permissão padrão. É melhor garantir que o conjunto de pacotes instalados pelo sistema base seja restrito a um conjunto de pacotes bem compreendidos e configurados como seguros como entregues, e permitir que o administrador configure regras de firewall apropriadas se precisar de mais proteção do que isso.

Segundo, uma porta fechada (que responde a um TCP SYN com um TCP RST / ACK, normalmente relatado como "conexão recusada" - esse é normalmente o estado padrão de uma porta TCP em um sistema ativo que suporta TCP / IP na ausência de configuração em contrário ou de software escutando) não é uma vulnerabilidade significativa, mesmo em um sistema não conectado por um firewall separado. A única vulnerabilidade significativa em uma configuração totalmente fechada seria se houver uma vulnerabilidade na implementação da pilha TCP / IP do kernel. Mas os pacotes já estão passando pelo código netfilter (iptables) no kernel, e um bug também pode estar lá. A lógica para responder com o que resulta em uma "conexão recusada" na outra extremidade é simples o suficiente para que eu ache difícil acreditar que seria uma fonte importante de erros, muito menos erros relacionados à segurança;

Terceiro, os pacotes são normalmente instalados como root, a partir dos quais você (o pacote) pode alterar as regras do iptables sem o seu conhecimento. Portanto, não é como se você obtivesse algo como exigir que o administrador humano permita manualmente o tráfego pelo firewall do host. Se você deseja esse tipo de isolamento, em primeiro lugar deve ter um firewall separado do host que está protegendo.

Então, acabei de descobrir sobre o iptables, mas acho que a questão ainda permanece tão iptables quanto o firewall parece bastante desconhecido para a maioria, suas regras padrão e a acessibilidade e facilidade de uso.

Na verdade, eu diria que o oposto é verdadeiro; O iptables como firewall é bem conhecido . Também está disponível em praticamente todos os sistemas Linux que você provavelmente encontrará. (Ele substituiu ipchains durante o desenvolvimento que levou ao kernel Linux versão 2.4, por volta do ano 2000 ou mais. Se bem me lembro, a maior mudança visível para o usuário entre os dois no caso de uso comum do firewall foi a regra interna cadeias agora foram nomeadas em maiúsculas, como INPUT, em vez de minúsculas, como input.)

De qualquer forma, o iptables pode fazer outras coisas além do firewall, que não são amplamente usadas ou compreendidas. Por exemplo, ele pode ser usado para reescrever pacotes IP antes que eles passem pelo firewall.

um CVn
fonte
Resumo excelente e detalhado da questão. No entanto, você escreveu "Em segundo lugar, uma porta fechada não é uma vulnerabilidade significativa, mesmo em um sistema não conectado por um firewall separado". Você quis escrever "aberto"? Caso contrário, você pode expandir como uma porta fechada é uma vulnerabilidade? Obrigado.
Faheem Mitha 01/08/19
"Ele substituiu ipchains algum tempo no desenvolvimento do kernel 2.5, se bem me lembro. Isso é algo como 15 anos atrás agora." - 2,3, na verdade. O que o torna mais próximo de 20.
Jules
Excelente resposta, concordou. Eu também acrescentaria que, quando você instala da instalação mínima possível, atualmente o netinstall, parte do processo de instalação é instalar os pacotes do apt pela rede, para que sua instalação não esteja desatualizada, é current, que é exatamente o que você deseja, embora você também possa optar por instalar a partir do disco, para que a instalação realmente precise de uma conexão de rede que funcione imediatamente. Mas essa resposta foi muito boa.
Lizardx
1
Comentário tardio: "Lembre-se de que o Ubuntu começou como um fork do Debian, e até hoje ainda mantém uma grande semelhança com o Debian." Até onde eu sei, o Ubuntu ainda é derivado do Debian. Não é um garfo.
Faheem Mitha 1/11
6

Se eu fosse adivinhar, sem realmente estar na cabeça de uma geração de desenvolvedores e mantenedores do Debian, meu palpite seria o seguinte:

O Debian é projetado principalmente como um sistema operacional de servidor, tanto as ramificações sid como a de teste têm como principal objetivo a criação da próxima ramificação estável e, no momento do congelamento, elas são congeladas, e a nova estável é retirada dos testes, como apenas aconteceu com o Stretch.

Dado isso, eu diria ainda, eu teria que confirmar isso com um amigo administrador de sistemas, que os firewalls do datacenter são dispositivos externos, segurança muito maior (pelo menos se espera que seja esse o caso)) para os servidores e manipular os principais tarefas de firewall. Mesmo em uma LAN pequena com um roteador, esse é o caso, o roteador é o firewall, não uso nenhuma regra de firewall local em nenhum dos meus sistemas, por que usaria?

Acho que talvez as pessoas confundam suas instalações locais do Debian de desktop ou um único servidor de arquivos em um escritório ou em casa com o trabalho real conectado ao Debian, que eu acredito focar principalmente no uso da produção.

Não tenho certeza disso, mas depois de mais de uma década de uso do Debian, esse é o meu sentimento, tanto como desenvolvedor quanto como apoiador do Debian de várias maneiras.

Posso verificar isso, já que é realmente uma boa pergunta, mas acho que as redes reais são protegidas por firewall nos pontos de entrada da rede, não por máquina ou, pelo menos, essa é a ideia básica que talvez direcione Debian. Além disso, é claro, que se esse não fosse o caso, o administrador do sistema configuraria as regras de firewall por máquina, usando algo como Chef, sem depender de nenhuma instalação padrão, o que não seria algo que você tenderia confiar, por exemplo, nas configurações padrão do Debian ssh não são as que eu usaria pessoalmente como padrão, por exemplo, elas permitem o login root por padrão, e cabe ao administrador do sistema corrigir se isso é uma prática recomendada .

Ou seja, há uma suposição de competência que acho que seja o Debian que pode estar ausente em outras distros. Assim, você pode alterar o que deseja alterar, criar imagens, gerenciá-las com o software de gerenciamento de sites e assim por diante. Essas são apenas algumas possibilidades. Por exemplo, você nunca usaria o DVD para criar um novo servidor, pelo menos nunca em produção, provavelmente usaria algo como a mínima instalação de rede, é o que eu sempre uso, por exemplo (eu costumava usar uma imagem ainda menor) , mas eles o interromperam). Se você der uma olhada no que está incluído nessa instalação básica, terá uma noção decente do que o Debian considera crucial e o que não considera. ssh está lá, por exemplo. Xorg não é, Samba não é.

Pode-se também perguntar por que eles voltaram ao GNOME como área de trabalho padrão, mas essas são apenas decisões que eles tomam e que seus usuários basicamente ignoram, já que você pode criar os sistemas da maneira que você deseja (ou seja, para obter os desktops Xfce, eu não instale o Xdebian (como no Xubuntu), apenas instalei o Debian core, o Xorg e o Xfce, e lá vou eu). De maneira semelhante, se eu quisesse o firewall, eu o configuraria, aprenderia os detalhes, etc., mas eu pessoalmente não esperava que o Debian fosse enviado com esse recurso ativado, seria realmente um pouco chato para mim se fosse . Talvez minhas opiniões sobre isso reflitam um tipo de consenso que você também pode encontrar internamente no Debian.

Além disso, é claro, não existe realmente o Debian, existem várias imagens de instalação, netinstall, instalação completa, todas elas variam de barebones, apenas cli, a um desktop de usuário razoavelmente completo. Os usuários de produção provavelmente criariam imagens, por exemplo, que seriam configuradas da maneira que o usuário deseja; eu sei que se eu estivesse configurando um servidor Debian, começaria com o básico bruto e o construiria até que fizesse o que eu queria.

Então você tem o mundo dos servidores da Web, que é uma bola de cera totalmente diferente, eles têm questões de segurança muito diferentes e, como disse um velho amigo meu bem conectado ao hacker underground, alguém que executa um servidor da Web sem saber como proteger também pode ser chamado de alguém cujo servidor pertence a crackers.

Lizardx
fonte
Normalmente não gosto de respostas longas como essa :) mas você toca em um ponto muito relevante. Se você executar um servidor web, ele precisará aceitar conexões com o servidor web. É questionável o valor que você obtém da configuração de um segundo software para dizer: sim, quero aceitar solicitações da Web enviadas ao meu servidor da Web. E este caso de uso parece ser mais tratado dentro do Debian do que na área de trabalho.
sourcejedi
sourcejedi, lol, se não tivesse demorado, eu não teria chegado à pergunta sobre o servidor da web, essa foi a última coisa que adicionei. Mas, nesse caso, você tem um usuário claramente novo, menos experiente, que pode não perceber que diferentes distribuições cobrem casos e usuários de uso radicalmente diferentes. Portanto, eles basicamente não têm informações e, nesse ponto, é difícil saber o que sabem e não sabem, portanto, muitas palavras. Ou apenas o suficiente. Difícil de saber.
Lizardx
"Além disso, é claro, não existe realmente o Debian". Não sei ao certo o que você quer dizer com isso - existe definitivamente o Debian. É o sistema operacional que é produzido pelo projeto Debian. Tecnicamente, é uma família de sistemas operacionais, mas é claro que a variante do Linux é muito dominante. Existem vários métodos de instalação, mas todos eles instalam o mesmo sistema. Obviamente, você tem muita liberdade sobre quais partes dele instalar.
Faheem Mitha
Não no sentido de se referir a uma coisa. O que você nota como o que é tecnicamente é o que quero dizer. Ou seja, o Debian é a imagem do instalador de DVD à qual essa pessoa se referiu? É a instalação principal que você obtém no netinstall? É o conjunto de pacotes apt para a arquitetura específica? É a piscina lateral para isso? O pool de testes? e assim por diante. Em termos de como os usuários definem as coisas, eu diria que não existe, o que realmente existe é o projeto Debian, que governa as regras de empacotamento e pacotes que definem apt e .deb. É por isso que eu gosto, a propósito, são as regras que definem o projeto.
Lizardx
Difícil de explicar, mas vou tentar: não instalo o 'Debian', instalo, digamos, Debian Testing / Buster, variante de 64 bits, do iso netinstall. Então o Debian é o guarda-chuva, que roda e cria o que eu instalo. É isso que eu percebi ao longo dos anos porque eu gosto tanto do Debian, eles têm regras estritas, e essas regras para mim são o que realmente definem algo como o Debian e não o Ubuntu. Por exemplo, se você pega um conjunto de pacotes do Debian e cria o Ubuntu, quando ele deixa de ser o Debian? são os mesmos pacotes, pelo menos por um tempo, e eu sugiro que para quando você para de seguir as regras dfsg.
Lizardx
5

A idéia geral é que você não precisa de um firewall na maioria dos sistemas, exceto em configurações complexas.

O SSH está em execução ,, quando você instalou um servidor. Nada mais deve estar ouvindo e você provavelmente deseja se conectar ao ssh.

Quando você instala um servidor da web, espera que ele esteja disponível, não é? E para o ajuste básico, você pode vincular o servidor da Web apenas à interface LAN privada, por exemplo, 192.168.172.42 (seu IP da LAN local), em vez de 0.0.0.0 (todos os ips). Você ainda não precisa de um firewall.

Obviamente, tudo pode abrir uma porta> 1024, mas quando você possui um software não confiável (ou usuários não confiáveis), deve fazer mais do que apenas instalar um firewall. No momento em que você precisa desconfiar de algo ou de alguém, precisa de um conceito de segurança e não apenas de um software. Portanto, é uma coisa boa quando você precisa pensar ativamente na sua solução de firewall.

Agora, é claro, existem cenários mais complexos. Mas quando você realmente tem um desses, você realmente precisa ajustar o firewall por conta própria e não permitir que um sistema meio automático como o ufw faça isso. Ou você pode até usar o ufw, mas decidiu que não o padrão do sistema operacional.

todos
fonte
1
IIRC, firewalls para computadores pessoais foram uma resposta a uma das vulnerabilidades de segurança do Windows 95, que era o de que todas as portas estavam abertas por padrão. Na maioria dos sistemas operacionais, antes e depois, uma porta só é aberta se houver realmente um serviço escutando nessa porta. Secundariamente, os firewalls geralmente são configurados para descartar pacotes silenciosamente, em vez de rejeitá-los explicitamente, de modo que é difícil dizer que existe um sistema em um endereço IP.
bgvaughan
Não sei o que você quer dizer com uma porta aberta sem um serviço de escuta. Para onde o pacote deve ir e por que isso deve ser uma falha de segurança? E soltar pacotes no firewall não o ocultará, mas tornará ainda mais óbvio que existe uma máquina com um firewall. Quando o sistema não está online, o roteador antes do sistema envia uma resposta "inacessível". Não acontece quando a máquina está lá (nem quando você aceita, rejeita ou descarta pacotes). Você pode verificar o efeito usando a tracerouteno seu sistema.
allo
1
Quando inicio um traceroute para você, posso ver 7 saltos. O primeiro é o meu pc, o último é o ponto de entrada para a sua rede. Quando o seu PC está offline, o sexto salto envia uma resposta "inacessível". Quando o seu PC está conectado, mas com firewall, o 6º salto envia uma resposta normal e o 7º descarta (ou rejeita) o pacote. E você não está no controle do sexto salto, então não pode falsificar ou soltar pacotes lá.
allo
1
"sistemas Windows mais antigos, como 95 e acho que XP, manteriam todas as portas abertas, mesmo que não houvesse serviços em execução." Não faço a menor idéia do que você quer dizer com manter uma porta aberta sem ouvir. Quando um pacote chega, você pode enviá-lo para um programa de escuta, rejectou dropele. Não existe um conceito de "porta aberta sem escutar". Talvez você queira desistir (aceitar sem enviá-lo para um programa).
allo
1
Pessoalmente, tenho uma negação de firewall padrão, bem como fallback seguro. Mas eu entendo quando o debian deixa o usuário instalar o firewall. Estou experimentando muito, outros escolhem o servidor web no tasksel e estão prontos. Não faço idéia da coisa win95, mas acho que não importa hoje de qualquer maneira;).
allo
4

Espera-se que as pessoas se conectem à Internet antes

sim

recebendo um firewall?

Mesmo se todas as portas estiverem fechadas por padrão

Desculpe, eles não são. rpcbindparece estar instalado, ativado e escutando na rede por padrão.

EDIT: Eu acredito que isso foi corrigido no último instalador, ou seja, no Debian 9 (Stretch) . Mas com as versões anteriores do Debian, eu não me sentiria muito seguro instalando (e atualizando) em uma rede wifi pública.

Por quê?

Eu suspeito que as pessoas têm uma suposição de que

  1. a rede local não atacará seus serviços de rede
  2. já existe um firewall entre sua rede local e a Internet em geral.

Embora este último seja uma prática comum, por exemplo, por roteadores de consumidor, não acredito que seja garantido. Sem surpresa, a suposição anterior não está documentada; nem é sensato.

Na minha opinião, o problema com o rpcbind é um exemplo de um ponto mais geral. As pessoas podem tentar promover o Debian, e ele tem muitos recursos interessantes. Mas o Debian fica atrás do Ubuntu em como ele é polido e amigável, ou mesmo em como é confiável para quem quer aprender esses detalhes.

os programas baixados podem abri-los (ou não?) e eu desejo que nem um único pedaço saia da minha máquina sem minha permissão.

Você certamente é livre para instalar um firewall antes de começar a baixar e executar um software aleatório, sem ter certeza do que ele faz :-p.

Concordo, em parte, é alarmante instalar o Linux e não encontrar nenhuma interface configurada para o que é uma camada de segurança muito conhecida. Pessoalmente, achei útil entender como o firewall padrão do Windows está configurado. Ele quer que você seja capaz de "confiar" em uma rede doméstica e, nas versões mais recentes, a instalação expressa até pula perguntando se você confia na rede atual. O principal objetivo parece ser distinguir entre redes domésticas, conexões desprotegidas como um modem diretamente conectado e redes wifi públicas. Observe que o UFW não suporta isso de qualquer maneira.

Somente o Fedora Linux tentou fornecer algo parecido com isto, no firewalld. (Os pacotes também parecem estar disponíveis no Debian ...). A GUI para ela não é tão "amigável", digamos, quanto a GUFW.

sourcejedi
fonte
Estou feliz que você qualificou o comentário do ubuntu como 'para alguém tentando aprender', acho que, em certo sentido, essa é a resposta real, o debian não é um sistema criado para esse grupo, e a existência do ubuntu pode realmente se resumir a esse fato. Como alguém que não está tentando aprender, é exatamente por isso que eu sempre prefiro o debian do que o ubuntu, por exemplo. Eu costumava brincar com firewalls locais, mas no final, comecei a vê-los mais como brinquedos do que utilitários reais, quero dizer coisas de GUI, não iptables etc. Seus pontos 1. e 2. Acho que cobrem o pensamento por trás dessa decisão, A propósito, concordo com essa decisão.
Lizardx
@ Lagartox eu editei para tentar enfatizar o quão desanimador eu acho a situação com as redes wifi públicas rpcbind + :). Acho que sei de onde você está nesse comentário, mas não concordo totalmente. Estou feliz por ter acesso a um arsenal de espingardas no repositório, mas gosto de ter um padrão definido (ou vários, por exemplo, se você considerar o XFCE como a popular opção "não GNOME3") como uma base confiável para construir a partir de .
31817 Source
O wifi público é obviamente o caso de uso em que os firewalls de um sistema são muito importantes para usuários comuns. Mas, como indicado em outras respostas, o Debian assume que você sabe disso se o instalar e o usar dessa maneira. Talvez mais perto de como o FreeBSD ou o OpenBSD podem ver esta pergunta? Falando apenas por mim, sou MUITO fã de seleções de grupos de pacotes padrão do Debian, nunca os vi criar algo que realmente gostaria de executar, ao contrário do XUbuntu ou vários spins do Debian que criaram instalações padrão agradáveis . Com isso dito, eu concordo, uma opção que não seja o GNOME 3, XFCE, seria muito boa.
Lizardx
4
O Gufw é horrível. O ufw quase não faz sentido e não armazena as regras em XML? ugh. mesmo um conjunto de regras manual do iptables é mais fácil de lidar.
User2497
3

A filosofia tradicional do Unix sempre foi o KISS e executando / expondo o mínimo de serviços.

Vários serviços também precisam ser instalados explicitamente, e até alguns são vinculados ao host local, e você deve permitir que eles sejam visíveis na sua rede local / na Internet (MySQL, MongoDB, snmpd, ntpd, xorg ...). Essa é uma abordagem mais sensata do que habilitar um firewall por padrão.

Você só precisa da complexidade que um firewall traz a partir de um certo ponto, e essa necessidade pode ser reduzida devido a um roteador corporativo ou a um dispositivo doméstico, por isso parece sensato deixar a decisão para o usuário. Um firewall, como muitos outros softwares de segurança, também pode fornecer uma falsa sensação de segurança, se não for gerenciado adequadamente.

A orientação do Debian sempre foi o pessoal mais tecnicamente orientado que sabe o que é iptables; também existem vários invólucros conhecidos, interfaces de modo de texto ou gráfico que podem ser facilmente instalados.

Além disso, se é fornecido com muito ou menos software instalado, é uma questão de opinião. Para um veterano de longa data, ele vem com muito software e serviços instalados por padrão, especialmente no modo servidor.

Rui F Ribeiro
fonte