Які заходи обережності слід вжити, коли виставляти робочий стіл безпосередньо в Інтернет?

30

Я завжди використовував свій робочий стіл Ubuntu за захистом маршрутизатора з NAT, але було кілька разів, коли мені доводилося підключати його безпосередньо до активного кабельного модему.

Взагалі, які заходи безпеки я повинен дотримуватися в ситуаціях, коли мій комп'ютер знаходиться в інтернеті, як цей протягом тривалого періоду часу? Особливості, які одразу приходять на думку:

  • Чи є якісь мережеві послуги за замовчуванням, які я, можливо, хочу відключити?
  • Чи потрібно змінювати конфігурацію брандмауера за замовчуванням?
  • Чи слід турбуватися про послуги, що використовують автентифікацію пароля?
  • Який журнал можна зробити, щоб отримувати сповіщення про несанкціонований доступ?

Я розумію, що подібні запитання - це лише вершина айсберга розширених тем, на яких ґрунтуються цілі професії, тому дозвольте мені зрозуміти: Що я шукаю, це декілька відвертих рекомендацій найкращих практик чи змін конфігурації, які користувач настільних ПК виявиться корисним при встановленні Ubuntu за замовчуванням.

networking  configuration  security 
ændrük
джерело

Відповіді:

29

Стандартна установка ubuntu не повинна активувати мережеві послуги, доступні через Інтернет.

Ви можете перевірити через (для tcp):

netstat -lntp

Схоже для udp, але udp не розрізняє порти, відкриті для прослуховування чи надсилання.

Таким чином, конфігурація iptables не потрібна.

Можливо, трохи поза темою, оскільки наступне вас стосується в будь-якому випадку (не має значення, чи ви за маршрутизатором):

  • Подумайте про відключення спалаху (оскільки у плагіна є велика історія веселих проблем із безпекою)
  • рекомендуємо вимкнути Java-плагін (якщо він включений) та ввімкнути його лише для певних сайтів (не стільки проблем, пов’язаних із безпекою, як минулого, як спалаху, але декількох)

І, звичайно, ви, напевно, це знаєте, але все одно: Завжди працюйте якнайшвидше, ніж це можливо. Не використовуйте firefox тощо як корінь ...

Приклад netstat -lntp вихід:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Записи 127.0.0.1 нешкідливі, оскільки ці програми слухають лише в інтерфейсі локальної мережі.

sshd - приклад сервісу, який слухає всі доступні інтерфейси (0.0.0.0, тобто включаючи той, до якого підключений кабельний інтернет-модем) - але зазвичай у вас є хороші паролі або вимкнено автентифікацію пароля і використовуєте лише відкритий ключ.

У будь-якому випадку, IIRC sshd не встановлений за замовчуванням.

Останні два інтерфейси стосуються IPv6. :: 1 - це адреса пристрою зворотного зв'язку (наприклад, 127.0.0.1 в IPv4), таким чином, безпечно. ::: - аналог підстановочного символу всього мережевого інтерфейсу IPv6 до 0,0.0,0 (IPv4).

maxschlepzig
джерело
3
Поради щодо netstat -lntp дійсно хороші. Це повинно запобігти будь-яким сумнівам щодо можливих відкритих з'єднань за замовчуванням.
Ральф
1
Що ви очікуєте побачити там у досить нормальному середовищі робочого столу?
Кріс
1
Запуск веб-браузера як root. Затвор.
Тім Літлл
11

Брандмауер. Увімкніть ufw( sudo ufw enable), а потім заперечте всі, дозвольте лише тигам, які ви хочете оголити. ufwвикористовує iptables. Це не гірше.

ufw може ввійти в IIRC.

Прив’яжіть речі до localhost, а не *.

Олі
джерело
7

І Олі, і Максшлепзіг мають справді хороші відповіді.

Брандмауер не повинен бути необхідним для більшості людей, тому що ви не повинні виконувати речі, які слухають на робочій станції. Однак ніколи не погано запускати просту настройку iptables із замовчуванням заперечувати всю політику. Вам просто потрібно пам’ятати, щоб дозволити з'єднання, якщо ви коли-небудь почнете робити щось більш творче (SSH - це перший хороший приклад цього).

Однак maxschlepzig також підкреслює ще один важливий момент. Це не тільки те, що люди намагаються зробити з тобою, але і те, що ти робиш самому. Небезпечний веб-перегляд - це, мабуть, найбільший ризик для пересічного користувача робочого столу, оскільки небезпечна електронна пошта та використання "thumbdrive" мають бути поруч.

Якщо Firefox - ваш браузер за замовчуванням, я рекомендую плагіни, такі як Adblock Plus, FlashBlock, NoScript та BetterPrivacy. Подібні інструменти існують і для Chrome. Я включаю рекламне блокування як захист, оскільки я бачив рекламу на законних сайтах, які дійсно завантажували програмне забезпечення, тому рекомендую використовувати блокатор оголошень, якщо у вас немає причин цього не робити для певного сайту. NoScript також дуже допомагає, запобігаючи запуску JavaScript, якщо ви не дозволите це.

Для електронної пошти очевидні рекомендації не відкривати невідомі або несподівані додані файли без перевірки, як і раніше, є хорошою рекомендацією. Я також побачив, що ви можете вимкнути. Деякі клієнти дозволяють вимкнути JavaScript у вхідній HTML-пошті або повністю відключити частину HTML повідомлення. Звичайний текст може бути не таким гарним, але набагато складніше прокрастись у зловмисне програмне забезпечення.

Дон Фолкнер
джерело
7

Ти в безпеці ! Чиста установка Ubuntu поставляється без доступних мережевих служб для іншої системи. Так що ризику немає.

Тим не менш, під час використання Ubuntu ви можете встановити додаток, який буде пропонувати послуги іншій системі в мережі: наприклад, спільний доступ до файлів або принтерів.

Поки ви знаходитесь вдома або в робочому середовищі (які зазвичай знаходяться за маршрутизатором або брандмауером), ви можете вважати свій комп’ютер безпечним , особливо якщо ви будете в курсі останніх виправлень безпеки: Див. В System-> Administration-> Update Manager.

Тільки якщо ви безпосередньо підключені до Інтернету або на загальнодоступному Wi-Fi (наприклад, у кавовому барі чи готельному номері) і якщо ви користуєтесь мережевими службами, такими як обмін файлами / папками, ви можете потрапити на них . Хоча знову ж таки, пакет, що відповідає за спільний доступ до файлів Windows (названий samba), часто оновлюється з виправленням безпеки. Тож не варто надто хвилюватися.

Gufw - Нескладний брандмауер

Тож якщо ви вважаєте, що це ризиковано, або якщо ви перебуваєте в небезпечному середовищі, спробуйте встановити брандмауер . ufwбуло запропоновано, але це командний рядок, і є приємний графічний інтерфейс для його налаштування безпосередньо. Шукайте пакет з назвою Firewall Configurationабо gufwв програмному центрі Ubuntu.

Gufw в Центрі програмного забезпечення

Додаток розміщено (після встановлення) у System-> Administration-> Firewall Configuration.

Ви можете активувати його, коли ви перебуваєте на загальнодоступному Wi-Fi або іншому прямому / ненадійному з'єднанні. Щоб активувати брандмауер, у головному вікні виберіть "Увімкнути". Зніміть його, щоб відключити брандмауер. Це так просто.

PS: Я не знаю, як знайти "влучне" посилання, тому я не ставлю їх ...

Гюйгенс
джерело
3

Ви впевнені, що ваш робочий стіл ubuntu доступний безпосередньо в Інтернеті? Зазвичай між ними є маршрутизатор, який вже діє брандмауером.

В іншому випадку ви можете встановити Firestarter, якщо ви параноїчні щодо того, які сервіси ви запускаєте самостійно.

Взагалі, хоча, це не потрібно. Однак потрібно те, що ви переконайтеся, що ви своєчасно встановлюєте оновлення безпеки.

За замовчуванням samba і avahi не піддають себе нічого, крім локальних ips '. Avahi працює за замовчуванням, sambda - це те, що ви встановлюєте вручну. (коли ви вирішите "поділитися" папкою, з'явиться діалогове вікно встановлення Samba)

Крім цього, при встановленні ubuntu за замовчуванням не виключається жодне вхідне з'єднання.

Ральф
джерело
7
Існує лише маршрутизатор, якщо є маршрутизатор. Люди, які використовують модем (будь то 56k, 3g або ADSL) або люди, підключені безпосередньо до кабельного модему, не мають захисного шару NAT.
Олі
1

Я думаю, що вам потрібно заглянути в iptables.

iptables - це брандмауер, встановлений за замовчуванням в Ubuntu. Тут є HowTo . Якщо ви не вільно володієте командним рядком, ви можете виявити Firestarter корисним доповненням, оскільки він додав GUI поверх iptables.

Тут є хороший HowTo .

DilbertDave
джерело
Ви не ненавидите це, коли люди схиляються, не пояснюючи чому, - у мене широкі плечі і я можу критикувати, якщо я щось не так, якщо тільки люди мали пристойність сказати мені; таким чином ми всі чомусь дізнаємось.
DilbertDave
0

Також слід поглянути на AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor дозволяє контролювати кожен додаток, який має доступ до Інтернету. За допомогою цього інструменту ви можете керувати, до яких файлів та каталогів можна отримати доступ до цього додатка, а також до яких функцій posix 1003.1e. Це дуже, дуже потужно.

Багато програм можна легко профілювати, встановивши пакет схожих профілів зі сховищ.

Ніколя Ширрер
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.