我想知道 Linux 的安全问题。大多数人都认为病毒扫描程序在 Linux 系统上没有用处,但是防火墙呢?我使用的是 Debian wheezy stable,之前使用过 Ubuntu 12.04。如果我只有一台登录到安全 WLAN 的个人电脑,我是否需要防火墙以及上述两个操作系统上已经设置了什么?
答案1
首先是简单的部分:Debian 或 Ubuntu 或我所知道的大多数 Linux 发行版上默认没有设置防火墙。
你需要Linux 上有防火墙吗?可能不是,因为 Linux 系统上侦听传入连接的大多数程序都必须由某人显式启动,并且是从发行版运行的软件包存储库安装的。如果您位于受信任的 WLAN 上,则您的计算机可能有一个私有 IP 地址,并且正在使用具有公共 IP 地址的 NAT 连接到路由器,并且该路由器还充当防火墙。
Linux 上可能需要防火墙的原因:
- 有许多程序可以启动 Web 服务器(或其他类型的服务器),因此您可以从任何计算机与该程序进行交互。如果您不需要远程连接此类程序,则可以使用防火墙来阻止所有非来自计算机本身的连接。
- 您不希望您的计算机响应
ping
.然后您将使用防火墙丢弃所有 ICMP 数据包。您还可以让防火墙丢弃所有请求连接到已关闭端口的数据包,而计算机根本不响应。例如,如果您在阴暗的咖啡店中使用 WLAN,这将使您对(几乎所有)端口扫描不可见。 - 您使用公共 IP 地址直接连接到互联网,然后加入一堆 IRC 聊天室,大胆的占用者会攻击您。
- 你正在被一个民族国家追捕。
答案2
您通常不需要防火墙。
防火墙(更准确地说是数据包过滤器)用于过滤网络数据包,即允许某些连接并禁止其他连接。
连接方式可以是传入或者外向的。
一个传入连接,即其他人想要连接到您的计算机,只有当您的计算机提供某些服务时才有可能。 - 对于私人计算机,您不提供任何服务,并且其他人无法连接到您。一切都没有任何防火墙。
为了外向的连接,即您正在尝试连接到其他计算机,您需要一些软件来执行此操作。例如,您使用 Web 浏览器访问某些远程 Web 服务器。 - 对于所有 Linux 发行版,您通常只安装您选择的发行版存储库中的软件。 - 由于该软件通常是开源的,因此您可以非常确定,该软件仅执行其声称的功能。 - 防火墙通常没有帮助。
防火墙有意义的唯一情况是,如果您想向网络的某些特定部分提供某些服务。在这种情况下,您必须允许连接,但过滤掉那些您不需要的连接。 - 但即使在这种情况下,也可能有更简单的解决方案,例如 tcpwrapper 或服务的某些配置。
sudo netstat -tupln
您可以使用诸如列出所有活动服务之类的命令。这些可能被绑定到,127.0.0.1
这意味着它们只能从同一主机访问,或者被绑定到,0.0.0.0
这意味着它们可以从任何地方访问。
答案3
在不需要时公开开放端口确实不是一个好主意。它会增加您暴露于相关软件中安全漏洞的风险。
您没有提到单独的访客 WLAN,因此我必须假设您将来将允许其他设备(例如访客的笔记本电脑或您自己的手机)连接到同一 WLAN。反过来,您应该假设您的访客笔记本电脑不值得信赖。
这两个操作系统都没有设置任何防火墙。
Ubuntu 的目标是满足一个叫做“没有开放端口”默认情况下。在最近的版本中,他们没有这样做。 (Ubuntu 上 Rhythmbox 的错误)。
Debian Wheezy 的标准安装会监听 UDP 端口 111,因为它运行rpcbind
. (如上所述这里)
我支持使用ss
或检查您当前开放的端口netstat
。我使用说明这里。上面的两个例子是我希望找到的主要例子。
rpcbind
如果您不使用它, 请务必将其删除。rpcbind
仅 NFS2 和 NFS3 需要。 (NFS4 不需要)。如果您有一台个人 PC 并且您不知道什么是 NFS,那么您就没有使用 NFS。
如果您不使用 Rhythmbox 中的 DAAP 插件,您也可以禁用它。 (这是通过本地网络访问音乐的一种方法。因此您可以禁用它并查看是否丢失任何音乐:-)。
运行防火墙的缺点是,当它阻止您的某些内容时,需要进行故障排除做需要。例如,如果您想使用 BitTorrent,则需要配置防火墙以允许它,否则您将无法上传(针锋相对的算法意味着这会减慢您的下载速度)。
我建议采用两层方法。首先学习如何检查ss
或netstat
。确保禁用/删除任何不需要的在网络上侦听的程序。其次,配置防火墙。
当某些东西无法正常工作并且您需要对其进行故障排除时,您将能够 1) 重新检查哪些程序正在网络上侦听,以及 2) 完全禁用防火墙。
如果问题消失,您就会知道这是防火墙问题。您可以开始研究需要允许哪些端口(或者是否存在一些更棘手的问题:-)。希望最终配置并重新启用防火墙,以便您能够覆盖下一个是时候 Ubuntu 忘记他们的旗舰安全策略并开放一个你不需要的新端口了:-)
该ufw
防火墙适用于 Debian 和 Ubuntu。 Ubuntu 创建它是为了提供“简单的防火墙”。