Tôi nên thực hiện các biện pháp phòng ngừa nào khi tiếp xúc trực tiếp với máy tính để bàn của mình với internet?

Tôi đã luôn sử dụng máy tính để bàn Ubuntu của mình đằng sau sự bảo mật của bộ định tuyến với NAT, nhưng đã có một vài lần tôi phải cắm trực tiếp vào modem cáp hoạt động.

Nói chung, tôi nên thực hiện các biện pháp phòng ngừa nào trong các tình huống khi máy tính của tôi tiếp xúc với internet như thế này trong thời gian dài? Cụ thể ngay lập tức đến với tâm trí là:

• Có bất kỳ dịch vụ mạng mặc định nào tôi có thể muốn tắt không?
• Có cần phải sửa đổi cấu hình tường lửa mặc định?
• Tôi có nên lo lắng về các dịch vụ sử dụng xác thực mật khẩu?
• Tôi có thể làm loại đăng nhập nào để được thông báo về việc truy cập trái phép?

Tôi nhận ra rằng những câu hỏi như thế này chỉ là phần nổi của các chủ đề mở rộng mà toàn bộ ngành nghề dựa trên, vì vậy hãy để tôi nói rõ: Điều tôi đang tìm kiếm là một vài khuyến nghị đơn giản về thực tiễn tốt nhất hoặc thay đổi cấu hình mà người dùng máy tính để bàn sẽ thấy hữu ích trong cài đặt Ubuntu mặc định.

Cài đặt Ubuntu tiêu chuẩn không nên kích hoạt các dịch vụ mạng có thể truy cập qua internet.

Bạn có thể kiểm tra qua (đối với tcp):

netstat -lntp

Tương tự đối với udp, nhưng udp không phân biệt giữa các cổng được mở để nghe hoặc gửi.

Do đó, một cấu hình iptables là không cần thiết.

Có lẽ hơi lạc đề, vì việc theo dõi bạn quan tâm trong mọi trường hợp (không thành vấn đề nếu bạn đứng sau bộ định tuyến):

• xem xét việc tắt flash (vì plugin flash có một lịch sử lớn về các vấn đề bảo mật vui nhộn)
• xem xét việc vô hiệu hóa Trình cắm Java (nếu được bật) và chỉ bật nó cho một số trang nhất định (không có nhiều vấn đề liên quan đến bảo mật trong quá khứ như flash, nhưng một số ít)

Và, chắc chắn, bạn có thể biết điều đó, nhưng dù sao đi nữa: Luôn hoạt động như người dùng bình thường nhất có thể. Đừng sử dụng firefox, v.v.

Một ví dụ đầu ra netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Các mục 127.0.0.1 là vô hại, bởi vì các chương trình đó chỉ nghe trên giao diện mạng cục bộ.

sshd là một ví dụ về dịch vụ lắng nghe trên tất cả các giao diện có sẵn (0.0.0.0, tức là bao gồm cả modem internet cáp được kết nối) - nhưng thông thường bạn có mật khẩu tốt hoặc vô hiệu hóa xác thực mật khẩu và chỉ sử dụng khóa chung.

Dù sao, IIrc sshd không được cài đặt theo mặc định.

Hai giao diện cuối cùng liên quan đến IPv6. :: 1 là địa chỉ của thiết bị loopback (như 127.0.0.1 trong IPv4), do đó an toàn. ::: là IPv6 tương tự tất cả các ký tự đại diện giao diện mạng thành 0.0.0.0 (IPv4).

Bức tường lửa. Kích hoạt ufw( sudo ufw enable) và sau đó từ chối tất cả, chỉ cho phép các thiết bị bạn muốn trưng ra. ufwsử dụng iptables. Nó không tệ hơn.

ufw có thể đăng nhập IIRC.

Liên kết mọi thứ với localhost và không *.

Cả Oli và maxschlepzig đều có câu trả lời thực sự tốt.

Một tường lửa không cần thiết cho hầu hết mọi người, vì dù sao bạn cũng không nên chạy những thứ nghe trên máy trạm. Tuy nhiên, không bao giờ là một điều xấu khi chạy một thiết lập iptables đơn giản với mặc định từ chối tất cả chính sách. Bạn chỉ cần nhớ cho phép kết nối nếu bạn bắt đầu làm bất cứ điều gì sáng tạo hơn (SSH là ví dụ điển hình đầu tiên về điều này).

Tuy nhiên, maxschlepzig cũng mang đến một điểm quan trọng khác. Đó không chỉ là những gì mọi người cố gắng làm cho bạn, mà còn là những gì bạn làm cho chính mình. Duyệt web không an toàn có lẽ là rủi ro lớn nhất đối với người dùng máy tính để bàn trung bình, với email không an toàn và việc sử dụng "ngón tay cái" bị bỏ lại phía sau.

Nếu Firefox là trình duyệt mặc định của bạn, tôi khuyên dùng các plugin như Adblock Plus, FlashBlock, NoScript và BetterPrivacy. Các công cụ tương tự cũng tồn tại cho Chrome. Tôi bao gồm quảng cáo như một biện pháp bảo vệ vì tôi đã thấy quảng cáo trên các trang web hợp pháp thực sự là trình tải phần mềm độc hại, vì vậy tôi khuyên bạn nên sử dụng trình chặn quảng cáo trừ khi bạn có lý do không nên vào một trang web cụ thể. NoScript cũng giúp ích rất nhiều, bằng cách ngăn JavaScript chạy trừ khi bạn cho phép.

Đối với email, các khuyến nghị rõ ràng để không mở các tệp đính kèm không xác định hoặc không mong muốn mà không kiểm tra vẫn là một khuyến nghị tốt. Tôi cũng sẽ thấy những gì bạn có thể tắt. Một số khách hàng cho phép bạn vô hiệu hóa JavaScript trong email HTML gửi đến hoặc vô hiệu hóa hoàn toàn phần HTML của thư. Văn bản thuần túy có thể không đẹp bằng, nhưng cũng khó hơn rất nhiều để lén lút một chút phần mềm độc hại.

Bạn an toàn ! Cài đặt sạch Ubuntu đi kèm với không có dịch vụ mạng có sẵn cho hệ thống khác. Vì vậy, không có rủi ro.

Tuy nhiên, trong khi sử dụng Ubuntu, bạn có thể cài đặt ứng dụng sẽ cung cấp dịch vụ cho hệ thống khác trên mạng: ví dụ: chia sẻ tệp hoặc máy in.

Miễn là bạn ở trong nhà hoặc môi trường làm việc (thường ở phía sau bộ định tuyến hoặc tường lửa), bạn có thể xem xét máy tính của mình an toàn , đặc biệt nếu bạn luôn cập nhật với bản sửa lỗi bảo mật mới nhất: Xem trong System-> Administration-> Update Manager.

Chỉ khi bạn được kết nối trực tiếp với internet hoặc trên WiFi công cộng (như trong quán cà phê hoặc phòng khách sạn) và nếu bạn sử dụng các dịch vụ mạng như chia sẻ tệp / thư mục thì bạn mới có thể bị lộ . Mặc dù vậy, một lần nữa, gói chịu trách nhiệm chia sẻ tệp Windows (được đặt tên samba) thường được cập nhật với sửa lỗi bảo mật. Vì vậy, bạn không nên lo lắng quá nhiều.

Gufw - Tường lửa không biến chứng

Vì vậy, nếu bạn cảm thấy rủi ro hoặc nếu bạn ở trong môi trường rủi ro, hãy thử cài đặt tường lửa . ufwđã được đề xuất, nhưng nó là dòng lệnh và có một giao diện đồ họa đẹp để cấu hình trực tiếp. Tìm gói có tên Firewall Configurationhoặc gufwtrong Trung tâm phần mềm Ubuntu.

Ứng dụng được đặt (sau khi cài đặt) trong System-> Administration-> Firewall Configuration.

Bạn có thể kích hoạt nó khi bạn sử dụng WiFi công cộng hoặc các loại kết nối trực tiếp / không tin cậy khác. Để kích hoạt tường lửa, chọn "Kích hoạt" trên cửa sổ chính. Bỏ chọn nó để tắt tường lửa. Nó là dễ dàng.

Tái bút: Tôi không biết cách tìm liên kết 'apt', vì vậy đó là lý do tại sao tôi không đặt chúng ...

Bạn có chắc chắn máy tính để bàn Ubuntu của bạn được tiếp xúc trực tiếp với internet? Thông thường có một bộ định tuyến ở giữa, đã hoạt động với tường lửa.

Nếu không, bạn có thể cài đặt Firestarter, nếu bạn hoang tưởng về những dịch vụ bạn tự chạy.

Nói chung, nó không cần thiết. Tuy nhiên, điều cần thiết là bạn đảm bảo rằng bạn cài đặt các bản cập nhật bảo mật một cách kịp thời.

Theo mặc định samba và avahi không tiếp xúc với bất cứ điều gì ngoại trừ ips địa phương '. Avahi chạy theo mặc định, sambda là thứ bạn cài đặt thủ công. (khi bạn chọn 'chia sẻ' một thư mục, hộp thoại cài đặt cho samba bật lên)

Ngoài ra, không có kết nối đến nào được loại trừ theo mặc định khi cài đặt Ubuntu.

Tôi nghĩ rằng bạn cần phải nhìn vào iptables.

iptables là tường lửa được cài đặt, theo mặc định, trong Ubuntu. Có một HowTo ở đây . Nếu bạn không thành thạo dòng lệnh thì bạn có thể thấy Firestarter là một bổ sung hữu ích vì nó đã thêm GUI trên đầu trang của iptables.

Có một HowTo tốt ở đây .

Bạn cũng nên xem qua AppArmor: https://help.ubfox.com/community/AppArmor

AppArmor cho phép bạn kiểm soát mọi ứng dụng có quyền truy cập Internet. Với công cụ này, bạn có thể kiểm soát các tệp và thư mục nào được truy cập bởi ứng dụng này và khả năng nào kết hợp 1003.1e. Điều này rất, rất mạnh mẽ.

Nhiều ứng dụng có thể được định hình dễ dàng bằng cách cài đặt gói hồ sơ apparmor từ kho lưu trữ.