将桌面直接暴露在互联网上时应该采取哪些预防措施?

Modified on: Sat, 09 Jun 2018 18:32:23 +0800

我一直使用我的Ubuntu桌面支持带有NAT的路由器的安全性,但有几次我不得不将其直接插入有源电缆调制解调器。

一般情况下,当我的计算机长时间暴露在互联网上时,我应该采取哪些预防措施?立即想到的细节是:

  • 我可能要禁用任何默认网络服务吗?
  • 是否需要修改默认防火墙配置?
  • 我应该关注使用密码验证的服务吗?
  • 我可以采取哪种记录方式来获取未经授权的访问通知?

我意识到像这样的问题只是整个职业所依据的广泛主题的冰山一角,所以让我说清楚:我正在寻找的是一些关于最佳实践或配置变化的直接建议桌面用户会发现在默认的Ubuntu安装中很有用。

最佳答案

标准的ubuntu安装不应该激活可通过互联网访问的网络服务。

您可以通过(对于tcp)检查:

netstat -lntp

类似于udp,但是udp不区分为收听或发送而打开的端口。

因此,不需要iptables配置。

可能有点偏离主题,因为在任何情况下都会关注你(如果你在路由器后面并不重要):

  • 考虑禁用闪存(因为flash插件有很多热闹的安全问题)
  • 考虑禁用Java-Plugin(如果已启用)并仅为某些站点启用它(过去与闪存相关的安全问题不多,只有少数)

而且,当然,您可能知道,但无论如何:始终以正常用户身份工作。不要使用firefox等作为root ...

示例netstat -lntp输出:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1条目是无害的,因为这些程序只在本地网络接口上侦听。

sshd是一个侦听所有可用接口(0.0.0.0,即包括有线互联网调制解调器所连接的接口)的服务示例 - 但通常你有良好的密码或禁用密码验证并且只使用公钥

无论如何,默认情况下不安装IIRC sshd。

最后两个接口是IPv6。 :: 1是环回设备的地址(如IPv4中的127.0.0.1),因此是安全的。 :::是IPv6所有网络接口通配符模拟到0.0.0.0(IPv4)。

作者:,maxschlepzig

相关问答

添加新评论