将我的桌面直接暴露给互联网时应该采取什么预防措施？

Question 1

标准的 ubuntu 安装不应激活可通过互联网访问的网络服务。

您可以通过以下方式检查（对于 tcp）：

netstat -lntp

与udp类似，但是udp不区分打开用于监听还是发送的端口。

因此，不需要 iptables 配置。

可能有点离题，因为无论如何以下内容都与您有关（如果您在路由器后面也没关系）：

考虑禁用 Flash（因为 Flash 插件存在大量令人啼笑皆非的安全问题）
考虑禁用 Java 插件（如果已启用）并仅为某些网站启用它（过去与安全相关的问题不像 Flash 那么多，但还是有一些）

当然，您可能知道这一点，但无论如何：始终尽可能以普通用户身份工作。不要以 root 身份使用 Firefox 等...

netstat -lntp 输出示例：

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1 条目是无害的，因为这些程序只在本地网络接口上监听。

sshd 是一个监听所有可用接口（0.0.0.0，即包括有线互联网调制解调器所连接的接口）的服务示例 - 但通常您会有好的密码或禁用密码验证并只使用公钥。

无论如何，IIRC sshd 默认情况下未安装。

最后两个接口涉及 IPv6。::1 是环回设备的地址（类似于 IPv4 中的 127.0.0.1），因此是安全的。::: 是 IPv6 所有网络接口通配符，类似于 0.0.0.0（IPv4）。

Answer

标准的 ubuntu 安装不应激活可通过互联网访问的网络服务。

您可以通过以下方式检查（对于 tcp）：

netstat -lntp

与udp类似，但是udp不区分打开用于监听还是发送的端口。

因此，不需要 iptables 配置。

可能有点离题，因为无论如何以下内容都与您有关（如果您在路由器后面也没关系）：

考虑禁用 Flash（因为 Flash 插件存在大量令人啼笑皆非的安全问题）
考虑禁用 Java 插件（如果已启用）并仅为某些网站启用它（过去与安全相关的问题不像 Flash 那么多，但还是有一些）

当然，您可能知道这一点，但无论如何：始终尽可能以普通用户身份工作。不要以 root 身份使用 Firefox 等...

netstat -lntp 输出示例：

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1 条目是无害的，因为这些程序只在本地网络接口上监听。

sshd 是一个监听所有可用接口（0.0.0.0，即包括有线互联网调制解调器所连接的接口）的服务示例 - 但通常您会有好的密码或禁用密码验证并只使用公钥。

无论如何，IIRC sshd 默认情况下未安装。

最后两个接口涉及 IPv6。::1 是环回设备的地址（类似于 IPv4 中的 127.0.0.1），因此是安全的。::: 是 IPv6 所有网络接口通配符，类似于 0.0.0.0（IPv4）。

Question 2

防火墙。启用ufw（sudo ufw enable）然后拒绝所有，只允许您想要暴露的内容。ufw使用 iptables。这并不糟糕。

ufw可以记录IIRC。

将事物绑定到本地主机而不是 *。

Answer

防火墙。启用ufw（sudo ufw enable）然后拒绝所有，只允许您想要暴露的内容。ufw使用 iptables。这并不糟糕。

ufw可以记录IIRC。

将事物绑定到本地主机而不是 *。

Question 3

Oli 和 maxschlepzig 都给出了很好的答案。

防火墙不应该对大多数人来说，这是必要的，因为无论如何你都不应该运行在工作站上监听的东西。但是，运行一个带有默认拒绝所有策略的简单 iptables 设置永远不是坏事。你只需要记住，如果你开始做任何更有创意的事情，就允许连接（SSH 是第一个很好的例子）。

然而，maxschlepzig 还提出了另一个重要观点。这不仅仅是别人试图对你做的事情，也是你对自己做的事情。不安全的网页浏览可能是普通桌面用户面临的最大风险，其次是不安全的电子邮件和“拇指驱动器”的使用。

如果 Firefox 是您的默认浏览器，我建议使用 Adblock Plus、FlashBlock、NoScript 和 BetterPrivacy 等插件。Chrome 也有类似的工具。我将广告拦截作为一种保护措施，因为我看到过合法网站上的广告实际上是恶意软件加载器，所以我建议使用广告拦截器，除非您有理由不针对特定网站使用。NoScript 也有很大帮助，它可以阻止 JavaScript 运行，除非您允许它。

对于电子邮件，显而易见的建议是不要在未经检查的情况下打开未知或意外的附件，这仍然是一个很好的建议。我还会看看你可以关闭什么。有些客户端允许您在入站 HTML 电子邮件中禁用 JavaScript，或完全禁用邮件的 HTML 部分。纯文本可能不那么漂亮，但也更难偷偷插入一些恶意软件。

Answer

Oli 和 maxschlepzig 都给出了很好的答案。

防火墙不应该对大多数人来说，这是必要的，因为无论如何你都不应该运行在工作站上监听的东西。但是，运行一个带有默认拒绝所有策略的简单 iptables 设置永远不是坏事。你只需要记住，如果你开始做任何更有创意的事情，就允许连接（SSH 是第一个很好的例子）。

然而，maxschlepzig 还提出了另一个重要观点。这不仅仅是别人试图对你做的事情，也是你对自己做的事情。不安全的网页浏览可能是普通桌面用户面临的最大风险，其次是不安全的电子邮件和“拇指驱动器”的使用。

如果 Firefox 是您的默认浏览器，我建议使用 Adblock Plus、FlashBlock、NoScript 和 BetterPrivacy 等插件。Chrome 也有类似的工具。我将广告拦截作为一种保护措施，因为我看到过合法网站上的广告实际上是恶意软件加载器，所以我建议使用广告拦截器，除非您有理由不针对特定网站使用。NoScript 也有很大帮助，它可以阻止 JavaScript 运行，除非您允许它。

对于电子邮件，显而易见的建议是不要在未经检查的情况下打开未知或意外的附件，这仍然是一个很好的建议。我还会看看你可以关闭什么。有些客户端允许您在入站 HTML 电子邮件中禁用 JavaScript，或完全禁用邮件的 HTML 部分。纯文本可能不那么漂亮，但也更难偷偷插入一些恶意软件。

Question 4

你确定你的 ubuntu 桌面直接暴露在互联网上吗？通常中间有一个路由器，它已经充当了防火墙。

否则，如果您对自己运行的服务感到疑惑，您可以安装 Firestarter。

但一般来说，这不是必需的。但你需要确保及时安装安全更新。

默认情况下，samba 和 avahi 不会向除本地 ip 之外的任何设备公开自身。默认情况下，Avahi 会运行，sambda 需要您手动安装。（当您选择“共享”文件夹时，会弹出 samba 安装对话框）

除此之外，在 ubuntu 安装中默认不接受任何传入连接。

Answer