将桌面直接暴露在互联网上时应该采取哪些预防措施?
我总是使用我的Ubuntu桌面支持带有NAT的路由器的安全性,但是有几次我不得不将它直接插入有源电缆调制解调器。
一般来说,当我的计算机长时间暴露在互联网上时,我应该采取什么预防措施? 立即想到的细节是:
- 我可能要禁用任何默认网络服务吗?
- 是否需要修改默认防火墙配置?
- 我应该关注使用密码validation的服务吗?
- 我可以做什么样的日志记录来通知未经授权的访问?
我意识到像这样的问题只是整个专业所基于的广泛主题的冰山一角,所以让我说清楚:我正在寻找的是一些桌面用户的最佳实践或配置更改的直接建议会在默认的Ubuntu安装中发现有用。
标准的ubuntu安装不应激活可通过Internet访问的网络服务。
你可以检查通过(对于tcp):
netstat -lntp
类似于udp,但是udp不区分为收听或发送而打开的端口。
因此,不需要iptables配置。
可能有点偏离主题,因为在任何情况下跟随你的问题(如果你在路由器后面并不重要):
- 考虑禁用闪存(因为Flash插件有很多热闹的安全问题)
- 考虑禁用Java-Plugin(如果启用)并仅为某些站点启用它(过去没有像flash一样多的安全相关问题,只有少数)
而且,当然,您可能知道,但无论如何:始终以正常用户身份工作。 不要以root身份使用firefox等…
一个示例netstat -lntp输出:
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4 tcp6 0 0 :::22 :::* LISTEN 935/sshd tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
127.0.0.1条目是无害的,因为这些程序只在本地网络接口上侦听。
sshd是一个侦听所有可用接口(0.0.0.0,即包括有线互联网调制解调器所连接的接口)的服务示例 – 但通常你有良好的密码或禁用密码validation,只使用公钥。
无论如何,默认情况下不安装IIRC sshd。
最后两个接口是IPv6。 :: 1是环回设备的地址(如IPv4中的127.0.0.1),因此是安全的。 :::是IPv6所有网络接口通配符模拟到0.0.0.0(IPv4)。
防火墙。 启用ufw
( sudo ufw enable
)然后拒绝所有,只允许你想要暴露的thigs。 ufw
使用iptables。 情况并不糟糕。
ufw
可以登录IIRC。
将东西绑定到localhost而不是*。
Oli和maxschlepzig都有很好的答案。
对于大多数人来说,防火墙不是必需的,因为你不应该运行在工作站上监听的东西。 但是,使用默认拒绝所有策略运行简单的iptables设置绝不是一件坏事。 如果你开始做任何更有创意的事情,你只需要记住允许连接(SSH是第一个很好的例子)。
然而,maxschlepzig也提出了另一个重点。 这不仅仅是人们试图对你做的事情,也是你对自己所做的事情。 不安全的网页浏览可能是普通桌面用户面临的最大风险,不安全的电子邮件和“拇指驱动”使用紧随其后。
如果Firefox是您的默认浏览器,我建议使用Adblock Plus,FlashBlock,NoScript和BetterPrivacy等插件。 Chrome也有类似的工具。 我将adblocking作为保护措施包含在内,因为我在合法网站上看到的广告确实是恶意软件加载程序,所以除非您有理由不使用特定网站,否则我建议您使用广告拦截器。 除非您允许JavaScript,否则NoScript也会阻止JavaScript的运行。
对于电子邮件,明显的建议是不打开未经检查的未知或意外附加文件仍然是一个很好的建议。 我也会看到你可以关闭的东西。 某些客户端允许您在入站HTML电子邮件中禁用JavaScript,或完全禁用邮件的HTML部分。 纯文本可能不是那么漂亮,但是在一些恶意软件中潜行也要困难得多。
你很安全 ! Ubuntu干净安装没有其他系统可用的网络服务。 所以没有风险。
然而,在使用Ubuntu时,您可能会安装将为网络上的其他系统提供服务的应用程序:例如文件或打印机共享。
只要您呆在家中或工作环境中(通常位于路由器或防火墙后面), 您就可以认为您的计算机是安全的 ,特别是如果您使用最新的安全修复程序使其保持最新:请参阅System
– > Administration
– > Update Manager
。
只有当您直接连接到互联网或公共WiFi(如咖啡馆或酒店房间) 并且使用网络服务(如共享文件/文件夹)时, 您才会被曝光 。 尽管如此,负责Windows文件共享(名为samba
)的软件包通常会与安全修复程序保持同步。 所以你不要太担心。
Gufw – 简单的防火墙
因此,如果您觉得它存在风险,或者您处于危险环境中,请尝试安装防火墙 。 ufw
已被建议,但它是命令行,并有一个很好的图形界面来直接配置它。 在Ubuntu软件中心中查找名为Firewall Configuration
或gufw
的软件包。
应用程序位于(一旦安装) System
– > Administration
– > Firewall Configuration
。
当您使用公共WiFi或其他类型的直接/不可信连接时,您可以激活它。 要激活防火墙,请在主窗口中选择“启用”。 取消选择它以停用防火墙。 就这么简单。
PS:我不知道如何找到’apt’链接,这就是为什么我不把它们放到……
您确定您的ubuntu桌面直接暴露在互联网上吗? 通常在中间有一个路由器,它已经起到了防火墙的作用。
否则你可以安装Firestarter,如果你对自己运行的服务感到偏执。
但总的来说,它不是必需的。 但是,您需要确保及时安装安全更新。
默认情况下,samba和avahi不会将自己暴露给除本地ips以外的任何东西。 Avahi默认运行,sambda是您手动安装的。 (当您选择“共享”文件夹时,会弹出samba的安装对话框)
除此之外,在ubuntu安装上默认情况下不会传入任何传入连接。
我认为你需要研究iptables。
iptables是默认安装在Ubuntu中的防火墙。 这里有一个HowTo 。 如果您不是命令行流畅,那么您可能会发现Firestarter是一个有用的补充,因为它在iptables上添加了一个GUI。
这里有一个很好的方法 。
您还应该看看AppArmor: https : //help.ubuntu.com/community/AppArmor
AppArmor允许您控制每个可以访问Internet的应用程序。 使用此工具,您可以控制此应用程序访问哪些文件和目录,以及哪些posix 1003.1efunction。 这非常非常强大。
通过从存储库安装apparmor-profiles软件包,可以轻松地分析许多应用程序。