ฉันควรใช้ความระมัดระวังอย่างไรเมื่อเปิดเผยเดสก์ทอปของฉันโดยตรงกับอินเทอร์เน็ต

30

ฉันใช้เดสก์ท็อป Ubuntu ของฉันเสมอหลังการรักษาความปลอดภัยของเราเตอร์กับ NAT แต่มีไม่กี่ครั้งเมื่อฉันต้องเสียบเข้ากับโมเด็มเคเบิลที่ใช้งานอยู่โดยตรง

โดยทั่วไปฉันควรระวังอะไรบ้างในสถานการณ์ที่คอมพิวเตอร์ของฉันต้องเผชิญกับอินเทอร์เน็ตเช่นนี้เป็นระยะเวลานาน? ข้อมูลเฉพาะที่อยู่ในใจได้ทันทีคือ:

  • มีบริการเครือข่ายเริ่มต้นที่ฉันอาจต้องการปิดการใช้งานหรือไม่
  • จำเป็นต้องแก้ไขการกำหนดค่าไฟร์วอลล์เริ่มต้นหรือไม่
  • ฉันควรกังวลเกี่ยวกับบริการที่ใช้การตรวจสอบรหัสผ่านหรือไม่
  • ฉันจะทำอย่างไรเพื่อให้ได้รับการแจ้งเตือนเกี่ยวกับการเข้าใช้โดยไม่ได้รับอนุญาต

ฉันรู้ว่าคำถามเช่นนี้เป็นเพียงส่วนเล็ก ๆ ของหัวข้อที่กว้างขวางซึ่งวิชาชีพทั้งหมดยึดถือดังนั้นขอให้ฉันพูดให้ชัดเจน: สิ่งที่ฉันกำลังมองหาเป็นคำแนะนำที่ตรงไปตรงมาของแนวทางปฏิบัติที่ดีที่สุดหรือการเปลี่ยนแปลงการกำหนดค่าที่ผู้ใช้เดสก์ท็อป จะพบว่ามีประโยชน์ในการติดตั้ง Ubuntu เริ่มต้น

networking  configuration  security 
ændrük
แหล่งที่มา

คำตอบ:

29

การติดตั้ง Ubuntu แบบมาตรฐานไม่ควรเปิดใช้งานบริการเครือข่ายที่สามารถเข้าถึงได้ผ่านอินเทอร์เน็ต

คุณสามารถตรวจสอบผ่าน (สำหรับ tcp):

netstat -lntp

คล้ายกับ udp แต่ udp ไม่แยกความแตกต่างระหว่างพอร์ตที่เปิดสำหรับฟังหรือส่ง

ดังนั้นการกำหนดค่า iptables จึงไม่จำเป็น

อาจเป็นเรื่องเล็กน้อยเนื่องจากการติดตามคุณเกี่ยวข้องในทุกกรณี (ไม่สำคัญว่าคุณอยู่หลังเราเตอร์):

  • พิจารณาปิดการใช้งานแฟลช (เนื่องจากปลั๊กอินแฟลชมีประวัติความปลอดภัยเฮฮา)
  • พิจารณาการปิดการใช้งาน Java-Plugin (ถ้าเปิดใช้งาน) และเปิดใช้งานสำหรับบางเว็บไซต์เท่านั้น (ไม่ใช่ปัญหาเกี่ยวกับความปลอดภัยในอดีตอย่าง flash แต่มีอยู่น้อย)

และแน่นอนคุณอาจรู้ว่า แต่ยังไงก็ตาม: ทำงานเป็นผู้ใช้ปกติที่สุดเท่าที่จะทำได้ อย่าใช้ Firefox และอื่น ๆ เป็นหลัก ...

ตัวอย่างเอาต์พุต netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

รายการ 127.0.0.1 ไม่เป็นอันตรายเนื่องจากโปรแกรมเหล่านั้นจะฟังเฉพาะในส่วนต่อประสานเครือข่ายท้องถิ่น

sshd เป็นตัวอย่างของบริการที่รับฟังในส่วนต่อประสานที่มีอยู่ทั้งหมด (0.0.0.0 เช่นที่เชื่อมต่อกับเคเบิลอินเทอร์เน็ตโมเด็ม) แต่โดยปกติแล้วคุณจะมีรหัสผ่านที่ดีหรือปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่านและใช้รหัสสาธารณะเท่านั้น

อย่างไรก็ตาม IIRC sshd ไม่ได้ถูกติดตั้งเป็นค่าเริ่มต้น

สองอินเตอร์เฟสสุดท้ายคำนึงถึง IPv6 :: 1 คือที่อยู่ของอุปกรณ์ลูปแบ็ค (เช่น 127.0.0.1 ใน IPv4) จึงปลอดภัย ::: เป็น IPv6 สัญลักษณ์แทนการเชื่อมต่อเครือข่ายทั้งหมดแบบอะนาล็อกเป็น 0.0.0.0 (IPv4)

maxschlepzig
แหล่งที่มา
3
คำแนะนำเกี่ยวกับ netstat -lntp นั้นดีจริงๆ ควรป้องกันข้อสงสัยเกี่ยวกับการเชื่อมต่อแบบเปิดที่เป็นค่าเริ่มต้น
Ralf
1
สิ่งที่คุณคาดหวังที่จะเห็นในสภาพแวดล้อมเดสก์ทอปปกติ?
Chris
1
ใช้งานเว็บเบราว์เซอร์ในฐานะรูท บานประตูหน้าต่าง
Tim Lytle
11

ไฟร์วอลล์ เปิดใช้งานufw( sudo ufw enable) จากนั้นปฏิเสธทั้งหมดอนุญาตเฉพาะ thigs ที่คุณต้องการเปิดเผย ufwใช้ iptables มันไม่ได้เลวร้าย

ufw สามารถบันทึก IIRC

ผูกสิ่งต่าง ๆ กับ localhost ไม่ใช่ *

Oli
แหล่งที่มา
7

ทั้ง Oli และ maxschlepzig มีคำตอบที่ดีจริงๆ

ไฟร์วอลล์ไม่ควรจำเป็นสำหรับคนส่วนใหญ่เพราะคุณไม่ควรใช้สิ่งที่ฟังบนเวิร์กสเตชันอยู่แล้ว อย่างไรก็ตามมันไม่เคยเป็นเรื่องเลวร้ายเลยที่จะเรียกใช้การตั้งค่า iptables อย่างง่ายโดยค่าเริ่มต้นจะปฏิเสธนโยบายทั้งหมด คุณต้องจำไว้ว่าให้อนุญาตการเชื่อมต่อหากคุณเริ่มทำอะไรที่สร้างสรรค์มากกว่านี้ (SSH เป็นตัวอย่างแรกที่ดีในเรื่องนี้)

อย่างไรก็ตาม maxschlepzig ยังนำเสนอจุดสำคัญอีกประการหนึ่ง ไม่ใช่แค่สิ่งที่คนอื่นพยายามทำกับคุณ แต่ยังทำในสิ่งที่คุณทำด้วยตัวเอง การท่องเว็บที่ไม่ปลอดภัยน่าจะเป็นความเสี่ยงสูงสุดต่อผู้ใช้เดสก์ท็อปโดยเฉลี่ยด้วยอีเมลที่ไม่ปลอดภัยและการใช้ "thumbdrive" ที่ใกล้เคียงที่สุด

หาก Firefox เป็นเบราว์เซอร์เริ่มต้นของคุณฉันแนะนำปลั๊กอินเช่น Adblock Plus, FlashBlock, NoScript และ BetterPrivacy มีเครื่องมือที่คล้ายกันสำหรับ Chrome เช่นกัน ฉันรวมการปิดกั้นโฆษณาไว้เป็นการป้องกันเพราะฉันเห็นโฆษณาในไซต์ที่ถูกกฎหมายซึ่งเป็นมัลแวร์ตัวตักดังนั้นฉันขอแนะนำให้ใช้ตัวป้องกันโฆษณาเว้นแต่คุณจะมีเหตุผลที่จะไม่ทำเว็บไซต์เฉพาะ NoScript ยังช่วยได้มากโดยป้องกันไม่ให้ JavaScript ทำงานยกเว้นว่าคุณอนุญาต

สำหรับอีเมลคำแนะนำที่ชัดเจนว่าไม่เปิดไฟล์ที่แนบที่ไม่รู้จักหรือที่ไม่คาดคิดโดยไม่มีการตรวจสอบยังคงเป็นคำแนะนำที่ดี ฉันก็จะเห็นสิ่งที่คุณสามารถปิด ลูกค้าบางรายให้คุณปิดการใช้งาน JavaScript ในอีเมล HTML ขาเข้าหรือปิดการใช้งานส่วน HTML ของข้อความทั้งหมด ข้อความธรรมดาอาจไม่สวยเท่าไหร่นัก แต่มันก็ยากที่จะแอบเข้าไปในมัลแวร์ด้วยเช่นกัน

ดอนฟอล์กเนอร์
แหล่งที่มา
7

คุณปลอดภัย ! การติดตั้งใหม่ทั้งหมดของ Ubuntu นั้นมาพร้อมกับไม่มีบริการเครือข่ายสำหรับระบบอื่น ดังนั้นจึงไม่มีความเสี่ยง

อย่างไรก็ตามในขณะที่ใช้งาน Ubuntu คุณอาจติดตั้งแอพพลิเคชั่นที่จะให้บริการกับระบบอื่น ๆ บนเครือข่ายเช่นไฟล์หรือเครื่องพิมพ์ร่วมกัน

ตราบใดที่คุณอยู่ในบ้านหรือสภาพแวดล้อมในการทำงาน (ซึ่งมักจะอยู่หลังเราเตอร์หรือไฟร์วอลล์) คุณสามารถพิจารณาคอมพิวเตอร์ของคุณให้ปลอดภัยโดยเฉพาะอย่างยิ่งถ้าคุณรักษาความปลอดภัยล่าสุดอยู่เสมอ: ดูในSystem-> ->AdministrationUpdate Manager

เพียง แต่ถ้าคุณจะเชื่อมต่อโดยตรงกับอินเทอร์เน็ตหรือบนอินเตอร์เน็ตไร้สายสาธารณะ (เหมือนในร้านกาแฟหรือโรงแรมห้องพัก) และถ้าคุณใช้บริการเครือข่ายเช่นการแชร์ไฟล์ / โฟลเดอร์แล้วคุณอาจจะสัมผัส แม้ว่าอีกครั้งแพคเกจที่รับผิดชอบในการแชร์ไฟล์ Windows (ชื่อsamba) มักจะได้รับการปรับปรุงด้วยการแก้ไขด้านความปลอดภัย ดังนั้นคุณไม่ควรกังวลมากเกินไป

Gufw - ไฟร์วอลล์ที่ไม่ซับซ้อน

ดังนั้นถ้าคุณรู้สึกว่ามันมีความเสี่ยงหรือถ้าคุณอยู่ในสภาพแวดล้อมที่มีความเสี่ยงลองติดตั้งไฟร์วอลล์ ufwได้รับการแนะนำ แต่มันเป็นบรรทัดคำสั่งและมีส่วนต่อประสานกราฟิกที่ดีในการกำหนดค่าโดยตรง ค้นหาแพ็คเกจที่มีชื่อFirewall Configurationหรือgufwใน Ubuntu Software Center

Gufw ในศูนย์ซอฟต์แวร์

โปรแกรมประยุกต์ที่ตั้งอยู่ (ติดตั้งครั้งเดียว) ในSystem-> ->AdministrationFirewall Configuration

คุณสามารถเปิดใช้งานเมื่อคุณใช้ WiFi สาธารณะหรือการเชื่อมต่อโดยตรง / ไม่น่าเชื่อถือประเภทอื่น หากต้องการเปิดใช้งานไฟร์วอลล์ให้เลือก "เปิดใช้งาน" ในหน้าต่างหลัก ยกเลิกการเลือกเพื่อปิดใช้งานไฟร์วอลล์ มันง่ายมาก

PS: ฉันไม่รู้วิธีหาลิงก์ 'apt' ดังนั้นฉันจึงไม่ใส่มัน ...

Huygens
แหล่งที่มา
3

คุณแน่ใจหรือไม่ว่าเดสก์ท็อป Ubuntu ของคุณถูกเปิดใช้งานอินเทอร์เน็ตโดยตรง มักจะมีเราเตอร์อยู่ระหว่างซึ่งทำหน้าที่ไฟร์วอลล์แล้ว

มิฉะนั้นคุณสามารถติดตั้ง Firestarter ได้หากคุณหวาดระแวงเกี่ยวกับบริการที่คุณใช้เอง

โดยทั่วไปแล้วมันไม่จำเป็น สิ่งที่จำเป็นคือคุณต้องแน่ใจว่าคุณติดตั้งการปรับปรุงความปลอดภัยตามเวลาที่กำหนด

โดยค่าเริ่มต้น samba และ avahi จะไม่เปิดเผยอะไรเลยนอกจากรหัสท้องถิ่น Avahi ทำงานตามค่าเริ่มต้น sambda เป็นสิ่งที่คุณติดตั้งด้วยตนเอง (เมื่อคุณเลือกที่จะ 'แชร์' โฟลเดอร์กล่องโต้ตอบติดตั้งสำหรับแซมบ้าจะปรากฏขึ้น)

นอกเหนือจากนั้นจะไม่มีการเชื่อมต่อเข้ามายกเว้นโดยค่าเริ่มต้นในการติดตั้ง Ubuntu

ราล์ฟ
แหล่งที่มา
7
มีเพียงเราเตอร์เท่านั้นหากมีเราเตอร์ ผู้ที่ใช้โมเด็ม (ไม่ว่าจะเป็น 56k, 3g หรือ ADSL) หรือผู้ที่เสียบเข้ากับเคเบิลโมเด็มโดยตรงจะไม่มีเลเยอร์ NAT ที่ป้องกัน
Oli
1

ฉันคิดว่าคุณต้องมองหา iptables

iptables เป็นไฟร์วอลล์ที่ติดตั้งตามค่าเริ่มต้นใน Ubuntu มีความเป็นHowTo ที่นี่ หากคุณไม่ได้ใช้บรรทัดคำสั่งอย่างคล่องแคล่วคุณอาจพบFirestarterเป็นส่วนเสริมที่มีประโยชน์เนื่องจากมันเพิ่ม GUI บน iptables

มีดีคือHowTo ที่นี่

DilbertDave
แหล่งที่มา
คุณไม่เกลียดเมื่อมีคนลงคะแนนโดยไม่อธิบายว่าทำไม - ฉันมีไหล่กว้างและสามารถวิจารณ์ถ้าฉันทำอะไรผิดถ้ามี แต่คนที่เหมาะสมที่จะบอกฉัน ด้วยวิธีนี้เราทุกคนเรียนรู้บางสิ่งบางอย่าง
DilbertDave
0

คุณควรดูที่ AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor ช่วยให้คุณควบคุมทุกแอปพลิเคชันที่มีการเข้าถึงอินเทอร์เน็ต ด้วยเครื่องมือนี้คุณสามารถควบคุมว่าไฟล์และไดเรกทอรีใดที่แอพพลิเคชั่นนี้เข้าถึงและความสามารถ posix 1003.1e นี่เป็นสิ่งที่ทรงพลังมาก ๆ

แอ็พพลิเคชันจำนวนมากสามารถทำโปรไฟล์ได้อย่างง่ายดายโดยการติดตั้งแพ็กเกจ apparmor-profiles จากที่เก็บ

Nicolas Schirrer
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.