将我的桌面直接暴露给互联网时应该采取什么预防措施?

将我的桌面直接暴露给互联网时应该采取什么预防措施?

我一直在具有 NAT 的路由器的安全保护下使用我的 Ubuntu 桌面,但有几次我不得不将其直接插入活动的电缆调制解调器。

一般来说,当我的电脑长时间暴露在互联网上时,我应该采取什么预防措施?我立即想到的具体措施包括:

  • 是否存在我可能想要禁用的默认网络服务?
  • 是否需要修改默认防火墙配置?
  • 我是否应该担心使用密码验证的服务?
  • 我可以进行哪种日志记录来接收未经授权的访问通知?

我意识到这样的问题只是整个行业所基于的广泛主题的冰山一角,所以让我说清楚:我正在寻找的是一些简单的最佳实践或配置更改的建议,桌面用户会发现这些建议在默认的 Ubuntu 安装中很有用。

答案1

标准的 ubuntu 安装不应激活可通过互联网访问的网络服务。

您可以通过以下方式检查(对于 tcp):

netstat -lntp

与udp类似,但是udp不区分打开用于监听还是发送的端口。

因此,不需要 iptables 配置。

可能有点离题,因为无论如何以下内容都与您有关(如果您在路由器后面也没关系):

  • 考虑禁用 Flash(因为 Flash 插件存在大量令人啼笑皆非的安全问题)
  • 考虑禁用 Java 插件(如果已启用)并仅为某些网站启用它(过去与安全相关的问题不像 Flash 那么多,但还是有一些)

当然,您可能知道这一点,但无论如何:始终尽可能以普通用户身份工作。不要以 root 身份使用 Firefox 等...

netstat -lntp 输出示例:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1 条目是无害的,因为这些程序只在本地网络接口上监听。

sshd 是一个监听所有可用接口(0.0.0.0,即包括有线互联网调制解调器所连接的接口)的服务示例 - 但通常您会有好的密码或禁用密码验证并只使用公钥。

无论如何,IIRC sshd 默认情况下未安装。

最后两个接口涉及 IPv6。::1 是环回设备的地址(类似于 IPv4 中的 127.0.0.1),因此是安全的。::: 是 IPv6 所有网络接口通配符,类似于 0.0.0.0(IPv4)。

答案2

防火墙。启用ufwsudo ufw enable)然后拒绝所有,只允许您想要暴露的内容。ufw使用 iptables。这并不糟糕。

ufw可以记录IIRC。

将事物绑定到本地主机而不是 *。

答案3

Oli 和 maxschlepzig 都给出了很好的答案。

防火墙不应该对大多数人来说,这是必要的,因为无论如何你都不应该运行在工作站上监听的东西。但是,运行一个带有默认拒绝所有策略的简单 iptables 设置永远不是坏事。你只需要记住,如果你开始做任何更有创意的事情,就允许连接(SSH 是第一个很好的例子)。

然而,maxschlepzig 还提出了另一个重要观点。这不仅仅是别人试图对你做的事情,也是你对自己做的事情。不安全的网页浏览可能是普通桌面用户面临的最大风险,其次是不安全的电子邮件和“拇指驱动器”的使用。

如果 Firefox 是您的默认浏览器,我建议使用 Adblock Plus、FlashBlock、NoScript 和 BetterPrivacy 等插件。Chrome 也有类似的工具。我将广告拦截作为一种保护措施,因为我看到过合法网站上的广告实际上是恶意软件加载器,所以我建议使用广告拦截器,除非您有理由不针对特定网站使用。NoScript 也有很大帮助,它可以阻止 JavaScript 运行,除非您允许它。

对于电子邮件,显而易见的建议是不要在未经检查的情况下打开未知或意外的附件,这仍然是一个很好的建议。我还会看看你可以关闭什么。有些客户端允许您在入站 HTML 电子邮件中禁用 JavaScript,或完全禁用邮件的 HTML 部分。纯文本可能不那么漂亮,但也更难偷偷插入一些恶意软件。

答案4

你确定你的 ubuntu 桌面直接暴露在互联网上吗?通常中间有一个路由器,它已经充当了防火墙。

否则,如果您对自己运行的服务感到疑惑,您可以安装 Firestarter。

但一般来说,这不是必需的。但你需要确保及时安装安全更新。

默认情况下,samba 和 avahi 不会向除本地 ip 之外的任何设备公开自身。默认情况下,Avahi 会运行,sambda 需要您手动安装。(当您选择“共享”文件夹时,会弹出 samba 安装对话框)

除此之外,在 ubuntu 安装中默认不接受任何传入连接。

相关内容