Zenmap 向我显示端口 1716/tcp 已打开,并sudo fuser -v 1716/tcp告诉我 kdeconnectd 对此负责。
为什么kdeconnectd 1716端口一直打开?从安全角度来看,最佳实践是什么?我想使用 KDE Connect,但不会受到任何可能利用此开放端口的攻击。
除非我想明确使用 KDE Connect,否则是否会关闭它?如果这是一件好事:我该怎么做?
我正在使用 KDE 运行 Debian 9.1,但对 GNU/Linux 仍然很陌生。
编辑:根据 schweik 的回答,当前的方式似乎正在运行sudo chmod -x /usr/lib/x86_64-linux-gnu/libexec/kdeconnectd && pkill kdeconnectd(运行 KDE Connect 之后)和sudo chmod +x /usr/lib/x86_64-linux-gnu/libexec/kdeconnectd运行 KDE Connect 之前。更新包后必须再次运行它,并且还可能移动文件。检查与sudo lsof -i.
答案1
听起来 UFW 可能就是您要找的。有多种 GUI 可用: http://linuxbsdos.com/2011/07/22/3-graphical-clients-for-managing-the-uncomplicated-firewall/
简而言之,您可以添加一条规则来阻止端口 1716(两者),在大多数情况下保持其启用状态,并在您想要恢复连接时将其禁用。
除此之外,如果有人有动力或付费从事此工作,那么从技术上讲,向 kdeconnect-android 和系统防火墙添加自定义端口敲门是可能的。在 Android 方面,基本上可以配置类似“如果配对主机上未打开端口 1716,则尝试按顺序连接到端口 x、y 和 z”之类的内容。这就像密码锁上的密码,系统防火墙需要配置为当设备“敲击”端口 x、y 和 z 时打开端口 1716。端口的选择需要是随机的,并且需要在配对时将“代码”输入到两个设备中......对于许多用户来说,这将是一种 PITA。
我想下一步是将这种“防火墙组合”的配置集成到桌面环境的系统设置中,类似于现在处理蓝牙 PIN 的方式。
答案2
嗯,有很多垃圾在新安装的 debian 上。其中很多可以关闭,有些可以配置得更安静,很少可以安全卸载,但我没有找到任何可配置的项目,用于禁用断开连接守护进程。/etc/xdg/autostart/kdeconnect.desktop即使删除了标准配置文件(例如),任何更改也不会产生任何影响。一些专家建议在 KDE/Plasma 控制面板(自动启动)中禁用 kdeconnect,但由于自动启动列表中没有 kdeconnect 项目,我无法单击它。
我尝试 ( apt-get)purge该软件包,但由于(神秘的)依赖性,近一半的 KDE/Plasma 软件包也被要求清除。
最后我用最残酷的unix方式做到了:找到kdeconnect( /usr/lib/x86_64-linux-gnu/libexec/kdeconnectd)的bin文件并将其execute属性关闭。当然,这会在 Plasma 日志中产生一些错误消息,但已经达到了目标 - 使网络保持沉默。
答案3
这是因为在台式机上,KDE Connect 充当服务器,电话应用程序正在连接到它。这实际上不应该成为问题,因为所有传入连接都会首先经过身份验证(您必须“接受来自设备的配对”,以便它能够对您的电脑执行任何操作),但如果您愿意,您可以可以禁用 kdeconnectd 服务(在 KDE 上是系统设置→启动和关闭→服务管理器→启动服务→取消选中“KDE Connect”;在其他桌面上类似)并在需要时手动运行它。
答案4
kdeconnectd 允许人们通过智能手机远程控制台式计算机。虽然肯定有这样的用例,但这也是一个安全风险,因为它需要一个开放的端口,人们可以连接到。安全问题始于八卦:“嘿,我是一个运行 KDE 的 linux 机器”,在您当地星巴克或长途机场的公共 WiFi 中,然后继续出现拒绝服务安全漏洞,甚至可能更多:
https://kde.org/info/security/advisory-20201002-1.txt
因此,最好的行动是遵循 KDE 团队本身的建议:“强力方法是卸载 kdeconnect 软件包”。