Debian - Starten der UFW (Unkomplizierte Firewall), bevor die Netzwerkschnittstellen betriebsbereit sind

1612
Tomasz Zieliński

Ich möchte UFW auf Debian Lenny installieren . Alles sieht einfach aus, außer dass ich nicht weiß, wo ich das UFW-Startskript stecken soll, damit es iptables konfiguriert, bevor hax0rs einbricht.

Ich habe Runlevel-Verzeichnisse durchgesehen und in /etc/rc0.d, /etc/rc6.d und /etc/rcS.d gibt es folgende Elemente:

S35networking -> ../init.d/networking S36ifupdown -> ../init.d/ifupdown 

Runlevel 0 und 6 sind für das Herunterfahren und Neustarten gedacht, daher sollte dort nichts geändert werden, aber Runlevel S wirbt (in README) wie etwas für mich:

The scripts in this directory whose names begin with an 'S' are executed once when booting the system, even when booting directly into single user mode.   The following sequence points are defined at this time:  * After the S40 scripts have executed, all local file systems are mounted and networking is available. All device drivers have been initialized. 

(Was mich stört, ist, dass sowohl rc0 / 6.d als auch rcS.d auf dasselbe networkingund ifupdownSkripte verweisen, aber nach einem Blick auf Quellen glaube ich, dass diese Skripte klug genug sind, um herauszufinden, wo sie anfangen sollen und wo das Netzwerk zu stoppen ist.)

Nun, ich denke, dass ich meine Stecker soll /lib/ufw/ufw-initin /etc/rcS.d, mit Priorität höher als die eines ifupdownund networking, dh <= 38 für meinen /etc/rcS.d.

Bin ich in dieser "Analyse" richtig?

1
Eigentlich passt das ServerFault mehr als Superuser. Tomasz Zieliński vor 13 Jahren 0

1 Antwort auf die Frage

2
Olli

Beim Laufen rc0.dund rc6.d, initruft stopBetrieb für Skripte. Auf diese Weise weiß das Skript, ob es starten oder stoppen soll.

Zumindest in meinem Debian gibt es /etc/rcS.d/S14ufw, die gleichzeitig mit Interfaces ( S14networking) beginnt . Wenn dies ein Problem ist (es kann sehr kurze Zeit mit den Schnittstellen nach oben und der Firewall nach unten sein), können Sie es S13ufwbeispielsweise in verschieben rcS.d.

Vielleicht möchten Sie auch einen Blick darauf werfen man update-rc.d.

Danke noch einmal! Ich bin bei Debian Lenny, das nicht UFW in seinen Repositorys hat, also muss ich es manuell installieren. Übrigens, ich habe auch ohne UFW keine Probleme, weil ich nur zwei Ports offen habe, aber ich möchte alle Anmeldeversuche von sshd ausschalten. Tomasz Zieliński vor 13 Jahren 0