Das ist eine Frage, die sich nicht nur Linux-Neulinge, sondern auch Power-User hin und wieder mal stellen. Von Windows ist man gewohnt, dass im Hintergrund die Defender Firewall arbeitet, um den PC vor Schadsoftware und Malware zu schützen. Unter Linux wird das eher nicht benötigt. Oder doch?
Eine Firewall besteht aus einer Reihe von Softwarefiltern, die den ein- und ausgehenden Datenverkehr auf dem Computer kontrollieren. Oder einfach gesagt: Sie ist eine Mauer zwischen dem Computer und der Außenwelt eines Netzwerks, die vor Angriffen oder unbefugten Zugriffen schützt, wenn es brennt. Ob eine Firewall auf dem Linux-Desktop benötigt wird, hängt von verschiedenen Faktoren ab. Ist man die meiste Zeit alleine in seinem Netzwerk unterwegs, braucht man sie vermutlich eher nicht. Das kann sich allerdings schnell ändern, wenn man den Laptop häufiger mit öffentlichen WLANs verbindet, in dem sich viele fremde Rechner tummeln.
Auch wenn man aktuell keine Firewall auf dem eigenen Linux-Desktop benötigt, ist es doch immer besser, eine zu haben, einfach um auf Nummer sicher zu gehen, oder falls sich die Bedingungen ändern. Eine Firewall verbraucht kaum Ressourcen, bietet aber eine zusätzliche Sicherheitsebene. Ports, die für die Verbindung zwischen einem Programm und dem Netzwerk sorgen, können beispielsweise nicht versehentlich durch die Installation von Software oder durch falscher Handhabung geöffnet werden und der Computer bleibt im privaten und öffentlichen WLAN geschützt.
Manche Linux-Distributionen wie openSUSE oder Fedora haben mit firewalld schon gleich nach der Installation eine aktive Firewall am Start. Um zu überprüfen, ob sie wirklich läuft, kann man in einem frisch installierten Fedora die Kommandozeile aufrufen und den Status abfragen:
firewall-cmd --state
Das Ergebnis sollte „running“ sein. Möchte man die Firewall-Einstellungen grafisch einstellen, anstatt auf der Kommandozeile, installiert man einfach das Programm firewall-config nach. Eine grafische Oberfläche bringt openSUSE in der Regel schon bei der Installation mit: YaST ist eine Sammlung grafischer Tools, um ein Linux zu administrieren, unter anderem auch die Firewall.
Um einen Dienst wie SSH kurzfristig in der Firewall zu erlauben, damit man auf den Rechner zugreifen kann, gibt man in der Kommandozeile den folgenden Befehl ein:
firewall-cmd --zone=public --add-service=sshMöchte man den Dienst nicht nur kurzfristig, sondern dauerhaft freigeben, hängt man am Ende des Befehls noch die Option --permanent an. Danach werden die Firewall-Regeln nochmal neu geladen, damit sie greifen:
firewall-cmd --reloadIn der grafischen Oberfläche wählt man zuerst die Firewall-Zone aus, in der sich der Rechner befindet. Standardmäßig ist das die Zone „public“, also öffentlich. Es gibt noch viele weitere Zonen wie „home“, „work“ und so weiter, die man manuell einstellen kann. In der Zone „public“ wird dann im linken Feld der Dienst ausgewählt, beispielsweise „SSH“ und mit „Hinzufügen“ ins rechte Feld mit dem erlaubten Diensten hinzugefügt. Nach dem Klick auf „Übernehmen“ werden die Firewall-Einstellungen neu geladen und sind aktiv.
Andere Linux-Distributionen wie beispielsweise Ubuntu setzen auf die benutzerfreundliche, also user-friendly Firewall (UFW). Ob sie aktiv ist, findet man in der Kommandozeile heraus, indem man ihren Status abfragt:
sudo ufw status verbose
Das Ergebnis ist vermutlich „Status: Inaktiv“. Sollte das der Fall sein, kann man die Firewall mit dem folgenden Befehl scharf schalten:
sudo ufw enableDanach öffnet man den Port für SSH:
sudo ufw allow sshWenn man jetzt den Status der Firewall erneut überprüft, sieht man, dass der Port 22 für Anfragen über SSH geöffnet ist.
Auch hier kann man die Einstellungen mit einer grafischen Benutzeroberfläche machen. Dazu installiert man das Programm GUFW, um mit der Administration der Firewall zu beginnen. Um den Port 22 nach außen zu öffnen, geht man zur Registerkarte „Regeln“ klickt auf das Plus-Zeichen (+) und fügt eine einfache Firewall-Regel hinzu, indem man das entsprechende Programm, dessen Port man freigeben möchte, über den Anwendungsfilter auswählt.
Ob man sich eine Firewall installieren möchte, muss jede und jeder für sich selbst entscheiden. Bei einigen Distributionen sind sie standardmäßig sowieso dabei und auch aktiv. Da Firewalls kaum Ressourcen kosten und einen Sicherheitsgewinn darstellen, lohnt sich die Auseinandersetzung mit ihnen auf jeden Fall.
Wofür brauche ich denn den SSH-Befehl?
Im Beispiel wird der Port von SSH freigegeben, damit man von außen übers Netzwerk auf den Linux-Rechner zugreifen kann. Ein anderes Beispiel wäre z.B. RDP, wenn man eine RDP-Verbindung zum Linux-Rechner öffnen möchte. Ein anderes Beispiel wäre VNC und so weiter.
Danke für diese toll gemachte, kurze und knackige Erklärung!
Dieser Artikel lässt sich super verlinken um den Anfängern die Basics zu zeigen, und ist ein toller Ausgangspunkt für diejenigen, die es betrifft, tiefergehende Recherchen vorzunehmen.
Hallo Christian Imhorst, dein Beitrag ist super gemacht, auch für Anfänger geeignet. :-)
ufwsteht für uncomplicated firewall.Link: https://wiki.ubuntu.com/UncomplicatedFirewall
Ja, stimmt. Sollte im Text korrigiert werden.
Also ich persönlich würde niemanden unter Linux eine (personal) Firewall empfehlen, da zusätzlicher Code ein deutlich erhöhtes Angriffsrisiko darstellt! Eine Firewall muss nach meiner Einschätzung entweder auf einem separaten Gerät (Router) oder zumindest in einer wirklich sicheren VM laufen. Zusätzlich muss sie auch noch richtig gut konfiguriert sein, damit sie einen zusätzlichen Schutz bietet. Hier wird den meisten die Expertise fehlen.
Aktuell ist die Wahrscheinlichkeit bei einem sauber konfigurierten Desktop Linux kompromittiert zu werden deutlich geringer als mit einer mehr oder weniger gut konfigurierte Firewall. Wichtig ist nur, alle nicht zwingend benutzten Dienste abzuschalten bzw. nur einzuschalten, wenn man sie benötigt.