Ubuntu 14.04 正在监视?启动时出现可疑流量

Ubuntu 14.04 正在监视?启动时出现可疑流量

全新安装 Ubuntu 14.04。

在禁用 Unity 栏中的所有网络搜索(我能找到的所有搜索,亚马逊、各种镜头等)后,我注意到当 Ubuntu 启动时,有可疑的网络流量流向各个 Canonical 位置。它发生在登录时或登录前后。

iftop我从路由器计算机观察了此流量。

两部分问题:

  1. 这些流量是什么?用于什么目的?是打电话回家吗?分发信息?还是检查最新软件?

  2. 不管它为什么在那里,我该如何停止/禁用/卸载/中断/防止这种情况发生?

    没有理由让计算机在未经请求的情况下在后台连接到互联网。


更新:我已确保 Ubuntu 中的所有隐私设置都已关闭在线搜索。我已使用隐私设置和调整工具来执行此操作。

我追踪了计算机访问过的站点,并在此过程中发现,Ubuntu 在关机时(而不仅仅是启动时)也会这样做。

计算机连接了 barbadine.canonical.com、mulberry.canonical.com、golem.canonical.com 和 juniperberry.canonical.com。

这正是我想要阻止的,无论流量的目的或原因是什么。我遇到的所有设置切换选项似乎都无法阻止这种情况。这似乎是硬连线的电话回家类型的东西。除了使用外部防火墙阻止它之外,我不知道如何阻止它。

答案1

知道了! 或者至少,现在,我想我有答案了(感谢下面提到的问答和研究)。我现在有一台电脑,它不连接到互联网,除非我要求它这样做(我们将看看定期自动更新如何做到 [我可以接受])...啊,终于在启动/启动和关闭时听到了互联网安静机器的舒缓宁静的声音(仍然与路由器、广播等对话。可以接受)

以下是我所做的。我会尽我所能解释,但不会深入讨论为什么应该或不应该这样做。我不想和任何人讨论他们允许他们的计算机在后台进行哪些流量。这篇文章的目的不是“惊慌失措”或暗示 Canonical 的电话到家庭和 NTP 检查是邪恶的、险恶的或诸如此类。我问这些问题是有特定原因的,我感谢所有回复提示、建议和信息的人。我发现其中大部分都非常有用,并从中学到了一些东西(popcon.ubuntu.com - 消失了;另一个网站倒闭了)。

解决方案(至少到目前为止)

我发现部分流量与时钟和使用情况有关,因此我继续研究该主题,并找到了下面引用的网站(功劳归功方)。我认为罪魁祸首是一个名为 Zeitgeist 的程序。它驻扎在您的计算机上并监视用户。它与一些名为 GeoClue 和 geoip 的卑鄙同谋一起,疯狂地收集有关用户的信息。这些强盗收集、统计、打包并将您的行为发送给 Canonical(哦,...他们还会记录您的时间,以防您穿越虫洞)。然后(而不是在此之前),我相信,Canonical 将数据匿名化并存储起来,以满足他们的使用需求(调试、开发、商业或其他)。无论如何,它都必须消失。

所以:

sudo apt-get remove zeitgeist zeitgeist-core zeitgeist-datahub python-zeitgeist \
  rhythmbox-plugin-zeitgeist geoclue geoclue-ubuntu-geoip geoip-database

运行最终删除了:

activity-log-manager activity-log-manager-control-center geoclue
geoclue-ubuntu-geoip geoip-database libunity-webapps0 python-zeitgeist
rhythmbox-plugin-zeitgeist unity-webapps-common unity-webapps-service
xul-ext-unity xul-ext-websites-integration zeitgeist zeitgeist-core
zeitgeist-datahub

一堆东​​西我都可以不用。我预料到它会“破坏” Unity,因此我启用了“flashback”和 Gnome Shell 以获得其他一些选项。但令我惊讶的是,Unity 仍然有效!没有错误。Time 看起来不错,Dash 可以正常工作(减去臃肿的 Web 搜索/实时搜索/镜头搜索,如预期的那样),我还没有被迫关闭 Unity。

然后:

sudo gedit /etc/default/ntpdate

在第一行;

exit 0

终止 NTPD 请求(juniperberry、golem 等)

下面引用的网站也讨论了可能删除 Whoopsie,但我暂时保留这一点,因为您通常会在出现问题时调用传输。(强调……现在。)

就这样!现在我的电脑在网络邻居中可以安静地运行了!再次感谢大家的评论和帮助。我会密切关注此事,如果问题再次出现,也许您会收到我的消息。如果您尝试此操作,祝您好运。

参考: http://ubuntuforums.org/showthread.php?t=2000108
gvfsd-http --spawner 的奇怪连接

答案2

您可以使用wireshark嗅探网络流量并分析您的所有交流Ubuntu框。以下是我通过安装得到的成果Ubuntu 14.04虚拟盒(为了更容易地嗅探流量):

启动时:

  • DHCP请求、提供、确认
  • 各种各样的移动域名系统查询/响应 224.0.0.251
  • 然后对 ntp.ubuntu.com 进行 DNS 查询网络时间协议 (NTP)流量ntp.ubuntu.com
  • DNS 查询daisy.ubuntu.com
  • DNS查询变更日志和一些 HTTP 数据,仅一次

所以这没什么不寻常的。你可以得到关于这个的所有解释自动连接以及如何预防,这里

我唯一的建议是不要禁用网络时间协议 (NTP)请求,但如果您路由器有 NTP 服务器,请使用它,或者使用公共 NTP 服务器,例如ntp.org. 您需要更改变量NTP 服务器/etc/default/ntpdate文件中。

如果您确实想要并且知道自己在做什么,您甚至可以使用防火墙阻止 MDNS。

答案3

转到系统设置,应该有安全和隐私选项。点击它并打开隐私模式已开启. 应该可以解决你的第一个疑问,是的,它确实会将信息发送给规范,但如果你打开隐私功能,应该就可以不再发送数据,他们这样做主要是为了查看你使用什么类型的软件。

答案4

把 Linux 内核放在一边,专注于 Canonical 方面,按顺序回答您的问题:

  1. 你的干净、全新安装Ubuntu 确实会因为各种原因向 Canonical(Ubuntu 背后的公司)的多个服务器(例如 canonical.com、ubuntu.com 等)“打电话”。无需用户交互启动时关机时执行以下操作:

    • 时间服务器更新
    • 软件更新
    • 崩溃报告
    • ...

    此外,通过用户交互,它还可以“拨打电话”进行软件安装(软件中心)、在线搜索(您已禁用)等……

    为什么以及发生了什么事?

    由于这些都是开源的,你可以自己验证http://archive.ubuntu.com/ubuntu/或者,对于特定的包,通过下载源代码并亲自查看到底发生了什么,但详细回答这个问题需要更多的文字,而这不适合问答网站。

    请注意,Canonical 仅收集匿名数据来指导其打包和开发工作(Canonical 更像是打包者而非开发者),因此 Ubuntu 并未“致电”恶意的意思因为 Canonical 竭尽全力征求你的许可在发送个人身份信息之前(例如,它会询问您,用户如果您的系统被允许在崩溃发生时发送带有 MAC 地址的网络配置或fstab带有s 的信息,并且 Canonical 需要这些信息来提交错误报告)blkid

  2. 有多种方法可以阻止这种情况,但最简单的方法是将 canonical.com 和 ubuntu.com 添加到本地主机文件并将其指向本地循环适配器。

    我会这么做吗?

    不!Ubuntu 是目前最常见的 Linux 版本,大量安全研究人员和爱好者将其用作主要操作系统,在 Canonical 将其部署到全球各地后,任何恶意连接都会在几分钟内被清除,华盛顿州雷德蒙德的某家大公司也乐于将其用作宣传手段,以宣传使用其专有操作系统……

相关内容