将桌面直接暴露在 Internet 上时应采取哪些预防措施？

Question

我一直使用我的 Ubuntu 桌面来保护带有 NAT 的路由器的安全性，但是有几次我不得不将它直接插入活动的电缆调制解调器。

一般来说，当我的电脑长时间暴露在互联网上时，我应该采取哪些预防措施？立即想到的细节是：

• 是否有任何我可能想要禁用的默认网络服务？
• 是否需要修改默认的防火墙配置？
• 我应该关注使用密码认证的服务吗？
• 我可以做什么样的日志记录来收到未经授权的访问通知？

我意识到像这样的问题只是整个职业所基于的广泛主题的冰山一角，所以让我澄清一下：我正在寻找的是桌面用户的最佳实践或配置更改的一些直接建议在默认的 Ubuntu 安装中会很有用。

Answer 1

标准的 ubuntu 安装不应激活可通过 Internet 访问的网络服务。

您可以通过（对于tcp）检查：

netstat -lntp

与 udp 类似，但 udp 不区分为侦听或发送而打开的端口。

因此，不需要 iptables 配置。

可能有点题外话，因为在任何情况下都会关注您（如果您在路由器后面并不重要）：

• 考虑禁用 flash（因为 flash 插件有很多搞笑的安全问题历史）
• 考虑禁用 Java 插件（如果已启用）并仅对某些站点启用它（过去与闪存相关的安全问题没有那么多，但有一些）

而且，当然，您可能知道这一点，但无论如何：始终尽可能以普通用户的身份工作。不要使用 Firefox 等作为 root ...

一个示例 netstat -lntp 输出：

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1 条目是无害的，因为这些程序只侦听本地网络接口。

sshd 是侦听所有可用接口（0.0.0.0，即包括有线 Internet 调制解调器连接到的接口）的服务的一个示例 - 但通常您有正确的密码或禁用密码验证并且只使用公钥。

无论如何，默认情况下不安装 IIRC sshd。

最后两个接口与 IPv6 相关。::1 是环回设备的地址（如 IPv4 中的 127.0.0.1），因此是安全的。::: 是模拟 0.0.0.0 (IPv4) 的 IPv6 所有网络接口通配符。

Answer 2

防火墙。启用ufw( sudo ufw enable) 然后全部拒绝，只允许您想暴露的东西。ufw使用 iptables。这不是更糟。

ufw 可以登录IIRC。

将东西绑定到 localhost 而不是 *.

Answer 3

Oli 和 maxschlepzig 都有很好的答案。

防火墙不应该是必要的大多数人，因为你不应该运行的东西，在工作站上听无妨。但是，使用默认拒绝所有策略运行简单的 iptables 设置从来都不是坏事。如果你开始做任何更有创意的事情，你只需要记住允许连接（SSH 是第一个很好的例子）。

然而，maxschlepzig 也提出了另一个重要的观点。这不仅仅是人们试图对你做什么，也包括你对自己做了什么。不安全的网页浏览可能是普通桌面用户面临的最大风险，不安全的电子邮件和“拇指驱动器”使用紧随其后。

如果 Firefox 是您的默认浏览器，我建议您使用 Adblock Plus、FlashBlock、NoScript 和 BetterPrivacy 等插件。Chrome 也存在类似的工具。我将广告拦截作为一种保护措施，因为我在合法网站上看到过真正是恶意软件加载程序的广告，因此我建议您使用广告拦截器，除非您有理由不对特定网站使用。NoScript 也有很大帮助，通过阻止 JavaScript 运行，除非你允许它。

对于电子邮件，不经检查就打开未知或意外附件的明显建议仍然是一个很好的建议。我也想看看你可以关闭什么。某些客户端允许您在入站 HTML 电子邮件中禁用 JavaScript，或完全禁用邮件的 HTML 部分。纯文本可能不那么漂亮，但也很难潜入一些恶意软件。

Answer 4

你安全了！Ubuntu 全新安装没有其他系统可用的网络服务。所以没有风险。

然而，在使用 Ubuntu 时，您可能会安装为网络上的其他系统提供服务的应用程序：例如文件或打印机共享。

只要您呆在家里或工作环境中（通常都在路由器或防火墙后面），您就可以认为您的计算机是安全的，尤其是如果您使用最新的安全修复程序使其保持最新状态：请参阅System-> Administration-> Update Manager.

仅当您直接连接到互联网或使用公共 WiFi（例如在咖啡馆或酒店房间）并且您使用网络服务（例如共享文件/文件夹）时，您才可能被暴露。尽管如此，负责 Windows 文件共享（名为samba）的包通常会通过安全修复保持最新。所以你不必太担心。

Gufw - 简单的防火墙

因此，如果您觉得它有风险，或者您处于风险环境中，请尝试安装防火墙。ufw已建议，但它是命令行，并且有一个很好的图形界面可以直接配置它。在 Ubuntu 软件中心查找名为Firewall Configuration或的包gufw。

该应用程序位于（安装后）System-> Administration-> Firewall Configuration。

当您使用公共 WiFi 或其他类型的直接/不受信任的连接时，您可以激活它。要激活防火墙，请在主窗口中选择“启用”。取消选择它以停用防火墙。就这么简单。

PS：我不知道如何找到“apt”链接，所以我不把它们...