Я хочу установить UFW на Debian Lenny. Все выглядит просто, за исключением того, что я не знаю, куда подключить скрипт запуска UFW, чтобы он настраивал iptables до того, как hax0rs сможет взломать.
Я просмотрел каталоги уровня выполнения и в /etc/rc0.d, /etc/rc6.d и /etc/rcS.d есть такие элементы:
S35networking -> ../init.d/networking S36ifupdown -> ../init.d/ifupdown Уровни запуска 0 и 6 предназначены для выключения и перезагрузки, так что я думаю, что там ничего не должно быть изменено, но уровень запуска S рекламирует себя (в README) как-то для меня:
The scripts in this directory whose names begin with an 'S' are executed once when booting the system, even when booting directly into single user mode. The following sequence points are defined at this time: * After the S40 scripts have executed, all local file systems are mounted and networking is available. All device drivers have been initialized. (Что меня беспокоит, так это то, что и rc0 / 6.d, и rcS.d указывают на одно networkingи то же и на ifupdownскрипты, но, посмотрев на источники, я считаю, что эти скрипты достаточно умны, чтобы понять, с чего начать и где прекратить работу в сети.)
Теперь, я думаю, что я должен подключить мой /lib/ufw/ufw-initINTO /etc/rcS.d, с приоритетом выше, что один из ifupdownи networking, т <= 38 для моего /etc/rcS.d.
Прав ли я в этом «анализе»?
При запуске rc0.dи rc6.d, initвызывает stopоперацию для сценариев. Таким образом, скрипт знает, должен он запускаться или останавливаться.
По крайней мере, в моем Debian есть /etc/rcS.d/S14ufw, который начинается одновременно с interfaces ( S14networking). Если это проблема (может быть очень короткое время с включенным интерфейсом и выключенным межсетевым экраном), вы можете переместить его S13ufw, например, в rcS.d.
Вы можете посмотреть man update-rc.dтакже.