安装 Debian 后,我正在阅读Debian 安全手册,并且我发现安装过程中出现无法连接互联网的警告。这让我感到惊讶,因为这似乎是安装 Debian 的默认方式,事实上,有很多故事表明人们在没有互联网连接的情况下进行安装时安装失败/无法使用。此外,安装程序在安装过程的早期就要求连接互联网,没有明确的选择退出(但也许我错过了),而且也没有Debian 安装指南安装程序也没有提到任何有关此不安全的内容。
所以我的问题是:2022 年在笔记本电脑上安装 Debian stable (Bullseye) 时,安装过程中连接互联网是否危险?具体风险有哪些?例如,《Debian 安全手册》中说第 3.3 节:在准备好之前不要插入互联网:
由于系统会立即安装并激活服务,因此如果系统连接到互联网并且服务配置不正确,您就会将其打开以进行攻击。
这里指的是哪些服务?这是否仅适用于服务器安装(可能运行 Web 服务器、SSH 等),还是也影响桌面用户?
答案1
由于系统会立即安装并激活服务,因此如果系统连接到互联网并且服务配置不正确,您就会将其打开以进行攻击。
是的,这没有意义。服务的默认配置应该是安全的,其他一切都是 Debian 推出不安全的默认安装的错。安装后这不会神奇地变得安全,因为无论如何,服务激活是守护程序包设置的最后一步。
因此,老实说,该指南似乎并没有密切关注 debian 的打包现实或安全最佳实践。也许只是忽略它。
情况变得更糟,例如 3.4.:
设置良好的root密码是拥有安全系统的最基本要求
真是一堆废话。如果不设置root密码,root将无法使用密码登录。这无疑比让 root 使用正确的密码登录更安全。
所以,真的,忽略该指南。它是错误的,非常过时(从引用的参考文献来看),而它并没有错,并且完全不适用于 debian 11:update-rc.d例如,它指的是一个在现代 debian 上不再有任何作用/存在的脚本。 debian系统默认没有安装telnet,甚至没有老式的inetd。
本指南充满了在 2000 年代初存在疑问的建议,并且在 2022 年是错误的或过时的。无论如何,对于安全系统来说,使用 debian 默认值比遵循任何特定指南更好(除了可能“不要”)显式安装您知道不需要的守护进程”)。
事实上,变更日志表示 2013 年 1 月(差不多 10 年前)的修订版 3.16
表明该文档未更新为最新版本。
我在文档中的任何地方都找不到该指示。老实说,那个文件当时并不是很好,而且也不是真的自 2009 年以来一直在更新。此时此文档已经存在减少读者的安全;)
答案2
无需连接互联网即可安装大多数软件包。只是不要使用 netinst 图像。然而,anetinst本身并不是不安全的。这是因为该netinst映像包含用于签署软件包的所有 Debian gpg 密钥,并且您的系统将验证没有软件包被中间人攻击篡改。您提到的指南并不反对这一点。
该手册警告您在有机会配置机器之前将其连接到互联网。在某些方面我可以看到手册的来源。这取决于您的安全策略。在连接到互联网之前,让一切都遵守您的策略是合理的。您可能希望在将服务公开到 Internet 之前更改其配置。
例子:
openssh-server可以在基本安装过程中安装,并配置以下默认值:
PasswordAuthentication yes
这允许您ssh使用密码而不是仅允许密钥进入机器。对于大多数人来说,这很棒,因为它让您有机会ssh-copy-id在锁定这台机器之前获得该机器的 ssh 密钥。有些人想保留PasswordAuthentication yes,使用诸如fail2ban阻止尝试重复猜测您的用户名/密码的攻击者之类的东西。其他人只是依赖于简单的非目标字典攻击无法破解的强密码。
如果您在一家习惯于共享用户名/密码的公司工作,那么将计算机暴露在PasswordAuthentication yes互联网上会打开一个窗口,知情人(可能是以前的员工)可以访问该计算机。
如果您为公司/政府工作,那么他们可能只是有一项政策,PasswordAuthentication no并且不会容忍任何机器在任何时候具有不同的配置。
但是,如果您想安装openssh-server并且不打算更改其配置或安装额外的安全性(例如ufw或fail2ban),那么等到安装后连接到互联网不会给您带来任何好处。