如何确保从可启动 USB 安全安装 Ubuntu?

如何确保从可启动 USB 安全安装 Ubuntu?

我想从可启动 USB 重新安装 Ubuntu,但我相信每次尝试安装时都有人试图侵入计算机,因此我需要帮助来确保安装干净(完整)。

当我第一次从可启动 USB 启动时,我快速按下控制 WiFi 的键(将其关闭),一旦我进入 GUI 环境,我就会打开一个终端并:

在此处输入图片描述

请注意“有线连接 1:连接配置文件已移除”,后面跟着红色字母wlo1:已断开连接

然后,当我查看系统日志文件时:

我看到了超过 100 条这样的条目:

Feb  2 19:52:39 ubuntu kernel: [  363.763644] usb 2-14: new full-speed USB device number 13 using xhci_hcd
Feb  2 19:52:39 ubuntu kernel: [  363.891630] usb 2-14: device descriptor read/64, error -71
Feb  2 19:52:39 ubuntu kernel: [  364.131606] usb 2-14: device descriptor read/64, error -71

自启动以来,我没有添加任何 USB。我使用可启动 USB、另一个 USB 来保存文件,以及 USB 鼠标。

然后,我还看到许多防火墙阻止入站的记录

Feb  2 19:54:04 ubuntu kernel: [  448.478018] [UFW BLOCK] IN=wlo1 OUT= MAC= SRC=fe80:0000:0000:0000:363e:8d79:6cad:2c9d DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=404972 PROTO=UDP SPT=8612 DPT=8612 LEN=24 
Feb  2 19:54:04 ubuntu kernel: [  448.478033] [UFW BLOCK] IN=wlo1 OUT= MAC= SRC=fe80:0000:0000:0000:363e:8d79:6cad:2c9d DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=775837 PROTO=UDP SPT=8612 DPT=8610 LEN=24 
Feb  2 19:54:04 ubuntu kernel: [  448.488300] [UFW BLOCK] IN=wlo1 OUT= MAC= SRC=fe80:0000:0000:0000:363e:8d79:6cad:2c9d DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=404972 PROTO=UDP SPT=8612 DPT=8612 LEN=24 
Feb  2 19:54:04 ubuntu kernel: [  448.488321] [UFW BLOCK] IN=wlo1 OUT= MAC= SRC=fe80:0000:0000:0000:363e:8d79:6cad:2c9d DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=775837 PROTO=UDP SPT=8612 DPT=8610 LEN=24 

在“使用 xhci_hcd 新建全速 USB 设备号 125”之后,它重置为设备 6:

Feb  2 20:34:53 ubuntu kernel: [ 2897.317801] usb 2-14: new full-speed USB device number 6 using xhci_hcd

并且它还在继续...

Feb  2 20:39:34 ubuntu kernel: [ 3178.651673] [UFW BLOCK] IN=wlo1 OUT= MAC= SRC=fe80:0000:0000:0000:363e:8d79:6cad:2c9d DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=404972 PROTO=UDP SPT=8612 DPT=8612 LEN=24 
Feb  2 20:39:34 ubuntu kernel: [ 3178.910894] usb 2-14: new full-speed USB device number 38 using xhci_hcd
Feb  2 20:39:34 ubuntu kernel: [ 3179.060348] usb 2-14: New USB device found, idVendor=138a, idProduct=0050, bcdDevice= 0.60
Feb  2 20:39:34 ubuntu kernel: [ 3179.060351] usb 2-14: New USB device strings: Mfr=0, Product=0, SerialNumber=1
Feb  2 20:39:34 ubuntu kernel: [ 3179.060353] usb 2-14: SerialNumber: 20100020d28d
Feb  2 20:39:34 ubuntu mtp-probe: checking bus 2, device 38: "/sys/devices/pci0000:00/0000:00:14.0/usb2/2-14"
Feb  2 20:39:34 ubuntu mtp-probe: bus: 2, device: 38 was not an MTP device
Feb  2 20:39:34 ubuntu upowerd[1945]: unhandled action 'bind' on /sys/devices/pci0000:00/0000:00:14.0/usb2/2-14

更新

另外,我无法激活 VPN 连接。因此,我检查了 NetworkManager 状态,结果显示:

在此处输入图片描述

然后我重置了 NetworkManager 并得到:

    ● NetworkManager.service - Network Manager
       Loaded: loaded (/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled)
       Active: active (running) since Sun 2020-02-02 22:10:58 UTC; 15s ago
         Docs: man:NetworkManager(8)
     Main PID: 12119 (NetworkManager)
        Tasks: 5 (limit: 4915)
       CGroup: /system.slice/NetworkManager.service
               ├─12119 /usr/sbin/NetworkManager --no-daemon
               └─12132 /sbin/dhclient -d -q -sf /usr/lib/NetworkManager/nm-dhcp-helper -pf /run/dhclient-wlo1.pid -lf /var/lib/NetworkManager/dhclient-c85ad9a3-ae0f-44c6-84ce-bef43cb1af4a-wlo1.lease -cf /var/

Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4284] error requesting auth for org.freedesktop.NetworkManager.enable-disable-wwan: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4288] error requesting auth for org.freedesktop.NetworkManager.enable-disable-wimax: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4293] error requesting auth for org.freedesktop.NetworkManager.network-control: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4297] error requesting auth for org.freedesktop.NetworkManager.wifi.share.protected: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4302] error requesting auth for org.freedesktop.NetworkManager.wifi.share.open: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4307] error requesting auth for org.freedesktop.NetworkManager.settings.modify.system: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4311] error requesting auth for org.freedesktop.NetworkManager.settings.modify.own: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4315] error requesting auth for org.freedesktop.NetworkManager.settings.modify.hostname: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4319] error requesting auth for org.freedesktop.NetworkManager.settings.modify.global-dns: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4323] error requesting auth for org.freedesktop.NetworkManager.reload: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4327] error requesting auth for org.freedesktop.NetworkManager.checkpoint-rollback: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4331] error requesting auth for org.freedesktop.NetworkManager.enable-disable-statistics: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:03 ubuntu NetworkManager[12119]: <warn>  [1580681463.4336] error requesting auth for org.freedesktop.NetworkManager.enable-disable-connectivity-check: Authorization check failed: Failed to open file “/proc/12196/status”: No such file or directory
Feb  2 22:11:04 ubuntu NetworkManager[12119]: <info>  [1580681464.7412] manager: startup complete
Feb  2 22:11:12 ubuntu NetworkManager[12119]: <info>  [1580681472.3892] manager: NetworkManager state is now CONNECTED_GLOBAL

有没有办法可以创建可启动的 USB 来安装 Ubuntu,并且默认启用 ufw 并禁用网络?

答案1

当我第一次从可启动 USB 启动时,我快速按下控制 WiFi 的键

为什么?你从未提供过设置 wifi 的密码,所以别人不可能滥用你的 wifi。这不是连接互联网的工作原理。

请注意“有线连接 1:连接配置文件已移除”,后面跟着红色字母 wlo1:已断开连接

当关闭 wifi 时这是正常的。

然后,我还看到许多防火墙阻止入站的记录

Feb  2 19:54:04 ubuntu kernel: [  448.478018] [UFW BLOCK] IN=wlo1 OUT= MAC=    
SRC=fe80:0000:0000:0000:363e:8d79:6cad:2c9d 
DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 
FLOWLBL=404972 PROTO=UDP SPT=8612 DPT=8612 LEN=24 

然后注意 UDP 和端口。这是一台试图连接的打印机。具体来说是一台佳能打印机。无论如何:这不是攻击者。

有没有办法让我创建一个可启动的 USB 来安装 Ubuntu 并启用 ufw

不,没有必要。在实时会话期间尝试连接到您的系统的任何事物都无法对您的系统造成任何影响。您使用的 USB 无论如何都处于只读模式。没有设置网络,也没有可供他人滥用的活跃服务器。

有没有办法让我创建一个可启动的 USB 来安装 Ubuntu,并且默认情况下禁用网络?

不可以。请注意,网络处于非活动状态,因为需要先进行设置才能运行。

你说的是不可能的。互联网不是这样运作的。

总结:

  1. USB 安装程序是只读的,因此无法写入。
  2. 所有操作都是在内存中完成的,而不是在磁盘上完成的,因此攻击者不可能获取到。
  3. 攻击者需要服务器中的错误才能连接到您并修改软件,以便能够滥用该服务器。安装期间没有这样的服务器处于活动状态,并且:该服务器将在内存中处于活动状态,而不是从磁盘加载。即便如此:USB 是只读的,因此没有可写入的内容。
  4. 在安装过程中,需要设置 WIFI 以从 Canonical 服务器或镜像获取较新的软件。这是从您的系统发出的单向流量。
  5. 在安装过程中轮询系统的任何东西都是网络内部的东西。例如打印机、电话、NAS、路由器,它们认为旧系统已启动并正在运行,它们正在轮询连接,以便您可以使用该设备。

您所发布的内容并没有什么异常。

要检查 Live 会话 USB 的有效性,请参阅可以对 USB 启动盘运行完整性检查吗?它可用于检查写入 USB 的内容是否与 ISO 中预期的一致。因此,可以发现并警告任何写入 USB 的错误。这基本上是检查 USB 是否正确创建,并间接检查是否有人篡改了您下载的 ISO。关于 ISO 和 USB 棒的安全性,我们无能为力。

答案2

为了确保您的安装不受损害,请务必检查下载的 ISO 的校验和,并确保使用未经篡改的计算机来创建 USB 驱动器。

有一种方法可以满足您的要求。您不是唯一一个想要安装修改过的 ISO 的人。

看这里例如。

相关内容