我一直在具有 NAT 的路由器的安全保护下使用我的 Ubuntu 桌面,但有几次我不得不将其直接插入活动的电缆调制解调器。
一般来说,当我的电脑长时间暴露在互联网上时,我应该采取什么预防措施?我立即想到的具体措施包括:
- 是否存在我可能想要禁用的默认网络服务?
- 是否需要修改默认防火墙配置?
- 我是否应该担心使用密码验证的服务?
- 我可以进行哪种日志记录来接收未经授权的访问通知?
我意识到这样的问题只是整个行业所基于的广泛主题的冰山一角,所以让我说清楚:我正在寻找的是一些简单的最佳实践或配置更改的建议,桌面用户会发现这些建议在默认的 Ubuntu 安装中很有用。
答案1
标准的 ubuntu 安装不应激活可通过互联网访问的网络服务。
您可以通过以下方式检查(对于 tcp):
netstat -lntp
与udp类似,但是udp不区分打开用于监听还是发送的端口。
因此,不需要 iptables 配置。
可能有点离题,因为无论如何以下内容都与您有关(如果您在路由器后面也没关系):
- 考虑禁用 Flash(因为 Flash 插件存在大量令人啼笑皆非的安全问题)
- 考虑禁用 Java 插件(如果已启用)并仅为某些网站启用它(过去与安全相关的问题不像 Flash 那么多,但还是有一些)
当然,您可能知道这一点,但无论如何:始终尽可能以普通用户身份工作。不要以 root 身份使用 Firefox 等...
netstat -lntp 输出示例:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4
tcp6 0 0 :::22 :::* LISTEN 935/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
127.0.0.1 条目是无害的,因为这些程序只在本地网络接口上监听。
sshd 是一个监听所有可用接口(0.0.0.0,即包括有线互联网调制解调器所连接的接口)的服务示例 - 但通常您会有好的密码或禁用密码验证并只使用公钥。
无论如何,IIRC sshd 默认情况下未安装。
最后两个接口涉及 IPv6。::1 是环回设备的地址(类似于 IPv4 中的 127.0.0.1),因此是安全的。::: 是 IPv6 所有网络接口通配符,类似于 0.0.0.0(IPv4)。
答案2
防火墙。启用ufw
(sudo ufw enable
)然后拒绝所有,只允许您想要暴露的内容。ufw
使用 iptables。这并不糟糕。
ufw
可以记录IIRC。
将事物绑定到本地主机而不是 *。
答案3
Oli 和 maxschlepzig 都给出了很好的答案。
防火墙不应该对大多数人来说,这是必要的,因为无论如何你都不应该运行在工作站上监听的东西。但是,运行一个带有默认拒绝所有策略的简单 iptables 设置永远不是坏事。你只需要记住,如果你开始做任何更有创意的事情,就允许连接(SSH 是第一个很好的例子)。
然而,maxschlepzig 还提出了另一个重要观点。这不仅仅是别人试图对你做的事情,也是你对自己做的事情。不安全的网页浏览可能是普通桌面用户面临的最大风险,其次是不安全的电子邮件和“拇指驱动器”的使用。
如果 Firefox 是您的默认浏览器,我建议使用 Adblock Plus、FlashBlock、NoScript 和 BetterPrivacy 等插件。Chrome 也有类似的工具。我将广告拦截作为一种保护措施,因为我看到过合法网站上的广告实际上是恶意软件加载器,所以我建议使用广告拦截器,除非您有理由不针对特定网站使用。NoScript 也有很大帮助,它可以阻止 JavaScript 运行,除非您允许它。
对于电子邮件,显而易见的建议是不要在未经检查的情况下打开未知或意外的附件,这仍然是一个很好的建议。我还会看看你可以关闭什么。有些客户端允许您在入站 HTML 电子邮件中禁用 JavaScript,或完全禁用邮件的 HTML 部分。纯文本可能不那么漂亮,但也更难偷偷插入一些恶意软件。
答案4
你确定你的 ubuntu 桌面直接暴露在互联网上吗?通常中间有一个路由器,它已经充当了防火墙。
否则,如果您对自己运行的服务感到疑惑,您可以安装 Firestarter。
但一般来说,这不是必需的。但你需要确保及时安装安全更新。
默认情况下,samba 和 avahi 不会向除本地 ip 之外的任何设备公开自身。默认情况下,Avahi 会运行,sambda 需要您手动安装。(当您选择“共享”文件夹时,会弹出 samba 安装对话框)
除此之外,在 ubuntu 安装中默认不接受任何传入连接。