Masaüstümü doğrudan internete açarken ne gibi önlemler almalıyım?

Ubuntu masaüstümü her zaman NAT'li bir yönlendiricinin güvenliğinin arkasında kullandım, ancak bir kaç kez doğrudan aktif bir kablo modeme bağlamak zorunda kaldım.

Genel olarak, bilgisayarım internete bu kadar uzun süre maruz kaldığında hangi önlemleri almam gerekir? Hemen akla gelen özellikler şunlardır:

• Devre dışı bırakmak isteyebileceğim herhangi bir varsayılan ağ servisi var mı?
• Varsayılan güvenlik duvarı yapılandırmasını değiştirmeye gerek var mı?
• Şifre doğrulaması kullanan servisler için endişelenmeli miyim?
• İzinsiz erişimden haberdar olmak için ne tür bir günlük kaydı yapabilirim?

Bunun gibi soruların, tüm mesleklerin dayandığı geniş kapsamlı konuların buzdağının sadece görünen yüzü olduğunu anlıyorum, bu yüzden şunu açıklığa kavuşturmama izin verin: Aradığım şey, masaüstü kullanıcısı olan en iyi uygulamaların veya yapılandırma değişikliklerinin birkaç basit önerisidir. varsayılan bir Ubuntu kurulumunda yararlı bulabilirim.

Standart bir ubuntu kurulumu internet üzerinden erişilebilen şebeke servislerini aktif etmemelidir.

Kontrol edebilirsiniz (tcp için):

netstat -lntp

UDP'ye benzer, ancak UDP dinleme veya gönderme için açılan bağlantı noktaları arasında ayrım yapmaz.

Bu nedenle, bir iptables yapılandırması gerekli değildir.

Biraz konu dışı olabilir, çünkü aşağıdakiler sizi her durumda endişelendiriyordur (yönlendiricinin arkasında olmanızın bir önemi yoktur):

• flaşı devre dışı bırakmayı düşünün (flaş eklentisinin çok büyük güvenlik sorunları geçmişi olduğundan)
• Java Eklentisini devre dışı bırakmayı (etkinse) devre dışı bırakmayı ve yalnızca belirli siteler için etkinleştirmeyi (geçmişte flaş kadar güvenlikle ilgili sorunları değil, birkaç tane) etkinleştirmeyi düşünün

Ve, elbette, muhtemelen biliyorsunuzdur, ama yine de: Her zaman mümkün olduğunca normal kullanıcı olarak çalışın. Firefox vb. Root olarak kullanmayın.

Bir örnek netstat -lntp çıkışı:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1 girişleri zararsızdır, çünkü bu programlar yalnızca yerel ağ arabiriminde dinler.

sshd, kullanılabilir tüm arayüzleri dinleyen bir hizmet örneğidir (0.0.0.0, yani, kablolu internet modeminin bağlı olduğu sistem de dahil) - ancak genellikle iyi şifreleriniz vardır veya şifre doğrulamasını devre dışı bırakırsınız ve sadece genel anahtarı kullanırsınız.

Neyse, IIRC sshd varsayılan olarak yüklenmez.

Son iki arayüz IPv6 ile ilgilidir. :: 1 geridöngü aygıtının adresidir (IPv4'te 127.0.0.1 gibi), bu nedenle güvenlidir. ::: IPv6, tüm ağ arabirim joker karakterini 0,0.0.0'a (IPv4) benzer.

Firewall. Etkinleştir ufw( sudo ufw enable) ve ardından hepsini reddet, yalnızca göstermek istediğin şeylere izin ver. ufwiptables kullanır. Daha kötü değil.

ufw IIRC'yi günlüğe kaydedebilir.

Olayları localhost'a bağlayın, değil *.

Hem Oli hem de Maxschlepzig'in gerçekten iyi cevapları var.

Güvenlik duvarı çoğu insan için gerekli olmamalıdır , çünkü yine de bir iş istasyonunda dinleyen şeyler çalıştırmamalısınız. Ancak, varsayılan olarak tüm politikaları reddetmek için basit bir iptables kurulumunu çalıştırmak hiçbir zaman kötü bir şey değildir. Daha yaratıcı bir şey yapmaya başlarsanız bağlantılara izin vermeyi hatırlamanız gerekir (SSH bunun ilk örneğidir).

Bununla birlikte, maxschlepzig ayrıca önemli bir noktayı da ortaya çıkarmaktadır. Bu sadece insanların size yapmaya çalıştığı şey değil, aynı zamanda kendinize yaptığınız şeydir. Güvenli olmayan web taraması, ortalama masaüstü kullanıcısı için muhtemelen en büyük risktir; güvensiz e-posta ve "thumbdrive" kullanımı çok yakındır.

Eğer Firefox varsayılan tarayıcınızsa, Adblock Plus, FlashBlock, NoScript ve BetterPrivacy gibi eklentiler öneririm. Chrome için de benzer araçlar vardır. Reklamları koruma amaçlı olarak ekliyorum çünkü yasal olarak kötü amaçlı yazılım yükleyen meşru sitelerde reklamlar gördüm, bu yüzden belirli bir siteye girmemek için bir nedeniniz yoksa bir reklam engelleyici kullanmanızı öneririz. Ayrıca NoScript, izin vermediğiniz sürece JavaScript'in çalışmasını engelleyerek çok yardımcı olur.

E-posta için, bilinmeyen veya beklenmeyen ekli dosyaları denetlemeden açmamanın açık önerileri hala iyi bir öneridir. Neleri kapatabildiğini de görürüm. Bazı müşteriler gelen HTML e-postasında JavaScript’i devre dışı bırakmanıza veya bir iletinin HTML bölümünü tamamen devre dışı bırakmanıza izin verir. Düz metinler o kadar güzel olmayabilir, ama bir nevi kötü amaçlı yazılımdan gizlice girmek çok daha zor.

Güvendesin ! Ubuntu clean install, başka bir sistem için şebeke servisi mevcut değildir. Yani risk yok.

Bununla birlikte, Ubuntu kullanırken, bir ağdaki diğer sistemlere hizmet verecek bir uygulama yükleyebilirsiniz: örn. Dosya veya yazıcı paylaşımı.

Sürece (genellikle her iki duvarı bir yönlendirici veya arkasında) ev veya iş ortamında içinde kalmak gibi bilgisayarınızın güvende düşünebiliriz bunu yukarı güncel tutmak özellikle son güvenlik düzeltme ile,: See içinde System-> Administration-> Update Manager.

Yalnızca doğrudan internete veya halka açık bir WiFi'ye bağlıysanız (kahve barı veya otel odasında olduğu gibi) ve dosya / klasör paylaşımı gibi ağ hizmetleri kullanıyorsanız ortaya çıkarsınız . Yine de, Windows Dosya Paylaşımı'ndan (paket adı verilen samba) sorumlu olan paket genellikle güvenlik düzeltmesiyle güncel tutulur. Bu yüzden çok endişelenmemelisin.

Gufw - Karmaşık olmayan güvenlik duvarı

Riskli olduğunu düşünüyorsanız veya riskli bir ortamdaysanız, güvenlik duvarı yüklemeyi deneyin . ufwönerilmiş, ancak komut satırı ve doğrudan yapılandırmak için güzel bir grafik arayüzü var. Ubuntu Yazılım Merkezi'nde Firewall Configurationveya adında bir paket arayın gufw.

Uygulama System- yüklendikten sonra -> Administration-> içinde bulunur Firewall Configuration.

Herkese açık bir WiFi veya başka tür bir doğrudan / güvenilmeyen bağlantıdayken etkinleştirebilirsiniz. Güvenlik duvarını etkinleştirmek için ana pencerede "Etkinleştir" i seçin. Güvenlik duvarını devre dışı bırakmak için seçimini kaldırın. Bu kadar kolay.

Not: 'apt' linkini nasıl bulacağımı bilmiyorum, bu yüzden onları koymuyorum ...

Ubuntu masaüstünüzün doğrudan internete maruz kaldığından emin misiniz? Genellikle aralarında bir güvenlik duvarı yapan bir yönlendirici vardır.

Aksi takdirde, hangi hizmetleri kullandığınız konusunda paranoyaksanız, Firestarter'ı yükleyebilirsiniz.

Genel olarak, buna gerek yok. Bununla birlikte, ihtiyaç duyulan şey, güvenlik güncellemelerini zamanında kurduğunuzdan emin olmanızdır.

Varsayılan olarak samba ve avahi kendilerini yerel ips'lerden başka bir şeye maruz bırakmazlar. Avahi varsayılan olarak çalışır, sambda el ile yüklediğiniz bir şeydir. (bir klasörü 'paylaşmayı' seçtiğinizde, samba için yükleme iletişim kutusu açılır)

Bunun dışında, bir ubuntu kurulumunda varsayılan olarak gelen bağlantı kabul edilmez.

Ben iptables içine bakmak gerektiğini düşünüyorum.

iptables, varsayılan olarak Ubuntu'da kurulu olan güvenlik duvarıdır. Burada bir HowTo var . Komut satırı akıcı değilse, Firestarter'ı iptables'ın üstüne bir GUI eklediğinden yararlı bir ek bulabilirsiniz .

Burada iyi bir HowTo var .

Ayrıca AppArmor'a da göz atmalısınız: https://help.ubuntu.com/community/AppArmor

AppArmor, İnternete erişimi olan her uygulamayı kontrol etmenizi sağlar. Bu araçla, bu uygulamada hangi dosyalara ve dizinlere erişildiğini ve hangi posix 1003.1e yeteneklerini kontrol edebilirsiniz. Bu çok, çok güçlü.

Apparmor-profilleri paketini depolardan takarak birçok uygulama kolayca profillenebilir.