问题描述
我总是使用我的Ubuntu桌面支持带有NAT的路由器的安全性,但是有几次我必须将它直接插入有源电缆调制解调器。
一般来说,当我的计算机长时间暴露在互联网上时,我应该采取什么预防措施?立即想到的细节是:
-
我可能要禁用任何默认网络服务吗?
-
是否需要修改默认防火墙配置?
-
我应该关注使用密码验证的服务吗?
-
我可以做什么样的日志记录来通知未经授权的访问?
我意识到像这样的问题只是整个专业所依据的广泛主题的冰山一角,所以让我说清楚:我正在寻找的是桌面用户的一些简单的最佳实践或配置更改建议会在默认的Ubuntu安装中发现有用。
最佳解决思路
标准的ubuntu安装不应激活可通过Internet访问的网络服务。
你可以检查通过(对于tcp):
netstat -lntp
类似于udp,但udp不区分为收听或发送而打开的端口。
因此,不需要iptables配置。
或许有点off-topic,因为无论如何关注你(如果你在路由器后面并不重要):
-
考虑禁用闪存(因为Flash插件有很多热闹的安全问题)
-
考虑禁用Java-Plugin(如果已启用)并仅为某些站点启用它(过去没有与闪存相关的安全相关问题,但有一些)
而且,当然,您可能知道,但无论如何:始终尽可能使用normal-user。不要以root身份使用firefox等…
一个示例netstat -lntp输出:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4
tcp6 0 0 :::22 :::* LISTEN 935/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
127.0.0.1条目是无害的,因为这些程序只在本地网络接口上侦听。
sshd是一个侦听所有可用接口(0.0.0.0,即包括有线互联网调制解调器所连接的接口)的服务示例 – 但通常你有良好的密码或禁用密码验证,只使用public-key。
无论如何,默认情况下不安装IIRC sshd。
最后两个接口是IPv6。 :: 1是环回设备的地址(如IPv4中的127.0.0.1),因此是安全的。 :::是IPv6所有网络接口通配符模拟到0.0.0.0(IPv4)。
次佳解决思路
防火墙。启用ufw(sudo ufw enable),然后拒绝所有,只允许您想要暴露的thigs。 ufw使用iptables。情况并不糟糕。
ufw可以记录IIRC。
将事物绑定到localhost而不是*。
第三种解决思路
Oli和maxschlepzig都有很好的答案。
对于大多数人来说,防火墙不是必需的,因为你不应该运行在工作站上监听的东西。但是,使用默认拒绝所有策略运行简单的iptables设置绝不是一件坏事。如果你开始做任何更有创意的事情,你只需要记住允许连接(SSH是第一个很好的例子)。
然而,maxschlepzig也提出了另一个重点。这不仅仅是人们试图对你做的事情,也是你对自己所做的事情。不安全的网页浏览可能是普通桌面用户面临的最大风险,不安全的电子邮件和”thumbdrive”使用紧随其后。
如果Firefox是您的默认浏览器,我建议使用Adblock Plus,FlashBlock,NoScript和BetterPrivacy等插件。 Chrome也有类似的工具。我将adblocking作为保护包括在内,因为我在合法网站上看到的广告确实是恶意软件加载程序,因此除非您有理由不使用特定网站,否则我建议您使用广告拦截器。除非你允许JavaScript,否则NoScript也会阻止JavaScript的运行。
对于电子邮件,明显的建议是不打开未经检查的未知或意外附加文件仍然是一个很好的建议。我也会看到你可以关掉的东西。某些客户端允许您在入站HTML电子邮件中禁用JavaScript,或完全禁用邮件的HTML部分。纯文本可能不是那么漂亮,但是偷一点恶意软件要困难得多。
第四种思路
你安全了! Ubuntu干净安装没有其他系统可用的网络服务。所以没有风险。
然而,在使用Ubuntu时,您可以安装将为网络上的其他系统提供服务的应用程序:例如文件或打印机共享。
只要您呆在家中或工作环境中(通常都在路由器或防火墙后面),您就可以认为您的计算机是安全的,特别是如果您使用最新的安全修复程序保留它up-to-date:请参阅System – > Administration – > Update Manager。
只有当您直接连接到互联网或公共WiFi(如咖啡馆或酒店房间),并且如果您使用共享文件/文件夹等网络服务时,您才会被曝光。尽管如此,负责Windows文件共享(名为samba)的软件包经常与安全修复程序保持同步。所以你不要太担心。
因此,如果您觉得它存在风险,或者您处于危险环境中,请尝试安装防火墙。建议使用ufw,但它是命令行,并且有一个很好的图形界面可以直接配置它。在Ubuntu软件中心中查找名为Firewall Configuration或gufw的软件包。
该应用程序位于(一旦安装)System – > Administration – > Firewall Configuration。
当您使用公共WiFi或其他类型的直接/不可信连接时,您可以激活它。要激活防火墙,请在主窗口中选择”Enable”。取消选择它以停用防火墙。就这么简单。
PS:我不知道如何找到’apt’链接,这就是为什么我不放它们……
第五种思路
您确定您的ubuntu桌面直接暴露在互联网上吗?通常在中间有一个路由器,它已经起到了防火墙的作用。
否则你可以安装Firestarter,如果你对自己运行的服务感到偏执。
但总的来说,它不是必需的。但是,您需要确保及时安装安全更新。
默认情况下,samba和avahi不会将自己暴露给除本地ips以外的任何东西。 Avahi默认运行,sambda是您手动安装的。 (当您选择’share’文件夹时,会弹出samba的安装对话框)
除此之外,在ubuntu安装上默认情况下不会传入任何传入连接。