Какие меры предосторожности следует предпринять при подключении моего рабочего стола непосредственно к Интернету?

Я всегда использовал свой рабочий стол Ubuntu для защиты маршрутизатора с NAT, но было несколько раз, когда мне приходилось подключать его непосредственно к активному кабельному модему.

В общем, какие меры предосторожности я должен предпринять в ситуациях, когда мой компьютер постоянно находится в интернете, как это? Особенности, которые сразу приходят на ум:

• Существуют ли сетевые службы по умолчанию, которые я мог бы отключить?
• Есть ли необходимость изменить конфигурацию брандмауэра по умолчанию?
• Должен ли я быть обеспокоен услугами, использующими аутентификацию по паролю?
• Какую регистрацию я могу сделать, чтобы получать уведомления о несанкционированном доступе?

Я понимаю, что подобные вопросы - это лишь вершина айсберга обширных тем, на которых основаны целые профессии, поэтому позвольте мне прояснить: я ищу несколько простых рекомендаций передового опыта или изменений конфигурации, которые настольный пользователь было бы полезно в установке Ubuntu по умолчанию.

Стандартная установка Ubuntu не должна активировать сетевые службы, доступные через Интернет.

Вы можете проверить через (для tcp):

netstat -lntp

Аналогично для udp, но udp не различает порты, открытые для прослушивания или отправки.

Таким образом, конфигурация iptables не требуется.

Возможно, немного не по теме, поскольку в любом случае вас беспокоит следующее (не важно, находитесь ли вы за маршрутизатором):

• подумайте об отключении флеш-памяти (поскольку у плагина флеш-памяти много веселых проблем с безопасностью)
• рассмотрите возможность отключения плагина Java (если он включен) и его включения только для определенных сайтов (не столько проблем, связанных с безопасностью в прошлом, сколько flash, но несколько)

И, конечно, вы, вероятно, знаете это, но в любом случае: всегда работайте как обычный пользователь, насколько это возможно. Не используйте Firefox и т.д. как root ...

Пример вывода netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Записи 127.0.0.1 безвредны, поскольку эти программы прослушивают только локальный сетевой интерфейс.

sshd - это пример службы, которая прослушивает все доступные интерфейсы (0.0.0.0, т.е. включая тот, к которому подключен кабельный интернет-модем), но обычно у вас есть хорошие пароли или вы отключаете аутентификацию по паролю и используете только открытый ключ.

В любом случае IIRC sshd не устанавливается по умолчанию.

Последние два интерфейса относятся к IPv6. :: 1 - это адрес устройства обратной связи (например, 127.0.0.1 в IPv4), поэтому он безопасен. ::: является аналогом универсального сетевого интерфейса IPv6 0.0.0.0 (IPv4).

Межсетевой экран. Включить ufw( sudo ufw enable), а затем запретить все, разрешить только те ветки, которые вы хотите выставить. ufwиспользует iptables. Не хуже

ufw можете войти IIRC.

Связывайте вещи с localhost, а не *.

И Оли, и Максшлепциг имеют действительно хорошие ответы.

Брандмауэр не должен быть необходим для большинства людей, потому что вы все равно не должны запускать вещи, которые слушают на рабочей станции. Тем не менее, запускать простую установку iptables по умолчанию запрещает всю политику. Вы просто должны помнить, чтобы разрешить подключения, если вы когда-нибудь начнете делать что-то более творческое (SSH - первый хороший пример этого).

Тем не менее, maxschlepzig также поднимает еще один важный момент. Это не только то, что люди пытаются сделать с тобой, но и то, что ты делаешь с собой. Небезопасный просмотр веб-страниц, вероятно, представляет собой наибольший риск для обычного пользователя настольного компьютера, поскольку небезопасное использование электронной почты и использование «большого пальца» находятся рядом.

Если браузером по умолчанию является Firefox, я рекомендую такие плагины, как Adblock Plus, FlashBlock, NoScript и BetterPrivacy. Подобные инструменты существуют и для Chrome. Я включил блокировку рекламы в качестве защиты, потому что я видел рекламу на законных сайтах, которые действительно являлись вредоносными программами, поэтому я рекомендую использовать блокировщик рекламы, если у вас нет причин отказываться от конкретного сайта. NoScript также очень помогает, предотвращая запуск JavaScript, если вы не позволите.

Для электронной почты очевидной рекомендацией по-прежнему являются очевидные рекомендации не открывать неизвестные или неожиданно вложенные файлы без проверки. Я также посмотрю, что вы можете отключить. Некоторые клиенты позволяют отключить JavaScript во входящей электронной почте HTML или полностью отключить HTML-часть сообщения. Обычный текст может быть не таким красивым, но его тоже намного сложнее проникнуть в небольшое количество вредоносных программ.

Вы в безопасности ! Чистая установка Ubuntu идет без сетевых служб, доступных для другой системы. Так что риска нет.

Тем не менее, при использовании Ubuntu вы можете установить приложение, которое будет предлагать услуги для другой системы в сети: например, общий доступ к файлам или принтерам.

Пока вы находитесь в своей домашней или рабочей среде (которая обычно находится за маршрутизатором или брандмауэром), вы можете считать свой компьютер безопасным , особенно если вы обновляете его с последним исправлением безопасности: см. В System-> Administration-> Update Manager.

Только если вы напрямую подключены к Интернету или общедоступному Wi-Fi (например, в кафе-баре или в гостиничном номере) и если вы используете сетевые сервисы, такие как обмен файлами / папками, вы можете подвергнуться воздействию . Тем не менее, пакет, отвечающий за общий доступ к файлам Windows (именованный samba), часто обновляется с помощью исправлений безопасности. Так что не стоит сильно волноваться.

Gufw - несложный брандмауэр

Поэтому, если вы чувствуете, что это рискованно, или если вы находитесь в рискованной среде, попробуйте установить брандмауэр . ufwБыло предложено, но это командная строка, и есть хороший графический интерфейс для его прямой настройки. Найдите пакет с именем Firewall Configurationили gufwв программном центре Ubuntu.

Приложение находится (после установки) в System-> Administration-> Firewall Configuration.

Вы можете активировать его, когда вы находитесь в общедоступном Wi-Fi или другом виде прямого / ненадежного соединения. Чтобы активировать брандмауэр, выберите «Включить» в главном окне. Отмените выбор, чтобы отключить брандмауэр. Это так просто.

PS: я не знаю, как найти ссылку «apt», поэтому я не ставлю их ...

Вы уверены, что ваш рабочий стол Ubuntu подключен напрямую к Интернету? Обычно между ними находится маршрутизатор, на котором уже действует брандмауэр.

В противном случае вы можете установить Firestarter, если вы не уверены, какие сервисы вы запускаете сами.

В общем, это не нужно. Однако необходимо убедиться, что вы своевременно устанавливаете обновления для системы безопасности.

По умолчанию samba и avahi не подвергаются ничему, кроме локальных ips '. Avahi запускается по умолчанию, sambda - это то, что вы устанавливаете вручную. (когда вы решаете «поделиться» папкой, всплывает диалоговое окно установки для samba)

Кроме этого, никакие входящие соединения не исключаются по умолчанию при установке Ubuntu.

Я думаю, что вам нужно посмотреть в iptables.

iptables - это брандмауэр, который по умолчанию установлен в Ubuntu. Здесь есть HowTo . Если вы не владеете командной строкой, вы можете найти Firestarter полезным дополнением, так как он добавил графический интерфейс поверх iptables.

Здесь есть хорошая инструкция .

Вы также должны взглянуть на AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor позволяет контролировать все приложения, которые имеют доступ к Интернету. С помощью этого инструмента вы можете контролировать, какие файлы и каталоги будут доступны для этого приложения, а какие - в POSIX 1003.1e. Это очень, очень сильно.

Многие приложения можно легко профилировать, установив пакет apparmor-Profiles из репозиториев.