我曾经在超级用户的另一个帖子中看到,网络中的 PC 可以尝试访问同一网络中其他 PC 上运行的服务
当在 Ubuntu PC 上使用具有强 sudo 密码的未知网络时,启用 ufw 并拒绝所有传入连接是否足够安全,还是还有其他需要注意的地方?
答案1
在 Ubuntu PC 上使用未知网络时,启用 ufw 并拒绝所有传入连接是否足够安全
您还应该考虑到,在未知网络上,该网络上的另一个系统可能会监视通过介质的所有流量(无线比有线更有可能)和/或执行各种攻击来欺骗主机。这两种策略都可用于查看离开和进入您 PC 的流量并获取您通常认为是私密的信息(例如密码等)。
为了缓解这种情况:
- 将不受信任网络上的重要/敏感通信限制为 SSL 流量。Chrome 和 Firefox 有插件可以
https://在可能的情况下强制执行。 - 理想情况下,您应该在进入不受信任的网络之前,了解您希望通过不受信任的网络连接到的任何域的 SSL 证书的指纹。这将让您发现任何试图使用伪造证书进行中间人攻击的行为。第一次在不受信任的网络上连接到此类域时,请比较指纹。
- 如果您在不受信任的网络上遇到证书错误,请不要继续,或者比较指纹并确保您连接到预期的主机 - 如果您收到证书警告,则可能无法连接到预期的主机。
- 使用 VPN 服务器(虚拟专用网络)或类似技术(IPSEC、Tor、SSH……)加密通过潜在不安全的 LAN 的流量。这样,您至少可以避免使用 WiFi 甚至有线连接时被嗅探。
答案2
(我从未使用过 UFW,但我对其所基于的 IPTables 很熟悉,并且 UFW 声称它默认只允许出站连接 - 因此假设您采用这个答案,则假设您采用默认配置)
在您的机器上打开 UFW 将使您的计算机不信任 LAN / WIFI 网络上的其他系统 - 这意味着它只是将它们视为更广泛互联网的一部分 - 因此运行 UFW 与依赖路由器一样安全(实际上更安全)。
@ultrasawblade 所说的大体上是正确的,而且通常都是很好的建议 - 但是没有解决互联网上你和目标之间的任何人都可以拦截你的流量的问题,因此遵循他的指导方针 - 虽然通常是一个好主意 - 但在针对基于 LAN/WIFI 的攻击的安全性方面并没有给你带来太多帮助。中间人攻击虽然可能在 LAN 上发生,但除非路由器受到攻击,否则很难发生。(他的要点重点是缓解 MITM 攻击)
您询问使用 sudo 和强密码的问题。这个问题与 LAN/WIFI 网络上的盒子的安全性无关。然而,答案却很复杂。
安全最好不要被看作是“开或关”,而应该从层次和入侵时间的角度来看待。就像物理安全一样,有人用攻城槌最终将能够进入 - 但门越坚固,需要的时间就越长,强行进入的迹象也越多。就像有更多的门/带有不同锁的警报器等也会减慢进入速度 - 就像有更多的安全层一样。
防火墙是一层安全。要求 SUDO 是另一层。使用 SELinux 或 Apparmour 是另一层。使用病毒扫描程序是另一层(可能不太适用)。不安装不需要的东西 - 特别是 Adobe Flash 之类的东西,不运行你不知道是否可以信任的可执行文件是另一层,就像运行广告/javascript 拦截器一样。备份是另一层。(RAID 不是备份)定期修补系统是另一层。在 VM 中运行东西是另一层。
因此,安全性是在易用性、实用性和您要保护的内容的价值之间取得平衡的行为。只有您才能根据权衡来决定正确的解决方案 - 使用 SUDO 和 UFW 的系统类似于具有防火墙和独立管理员帐户的 Windows PC。