NATを備えたルーターのセキュリティの背後でUbuntuデスクトップを常に使用していましたが、アクティブなケーブルモデムに直接接続しなければならないことが何度かありました。
一般に、コンピューターがこのようなインターネットに長時間さらされている場合、どのような予防策を講じる必要がありますか?すぐに思い浮かぶ詳細は次のとおりです。
このような質問は、職業全体が基づいている広大なトピックの氷山の一角にすぎないことを理解しているので、明確にしておきましょう。デフォルトのUbuntuインストールで役立つでしょう。
標準のubuntuインストールでは、インターネット経由でアクセス可能なネットワークサービスをアクティブにしないでください。
(tcpの場合)で確認できます。
netstat -lntp
Udpについても同様ですが、udpは受信または送信のために開かれたポートを区別しません。
したがって、iptablesの構成は必要ありません。
おそらく少し話題から外れているのは、次のことはどんな場合でもあなたに関係があるからです(ルータの後ろにいるかどうかは関係ありません):
そして、確かに、あなたはおそらくそれを知っていますが、とにかく:常に可能な限り通常のユーザーとして動作します。 rootとしてfirefoxなどを使用しないでください...
Netstat -lntpの出力例:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4
tcp6 0 0 :::22 :::* LISTEN 935/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
127.0.0.1エントリは、これらのプログラムがローカルネットワークインターフェイスでのみリッスンするため、無害です。
sshdは、利用可能なすべてのインターフェイス(0.0.0.0、つまりケーブルインターネットモデムが接続されているインターフェイスを含む)でリッスンするサービスの例です。
とにかく、IIRC sshdはデフォルトではインストールされません。
最後の2つのインターフェイスはIPv6を考慮しています。 :: 1はループバックデバイスのアドレス(IPv4の127.0.0.1など)であり、安全です。 :::は、0.0.0.0(IPv4)に類似したIPv6全ネットワークインターフェイスワイルドカードです。
ファイアウォール。 ufw
(Sudo ufw enable
)を有効にしてから、すべてを拒否し、公開したいthigだけを許可します。 ufw
はiptablesを使用します。悪くはありません。
ufw
はIIRCを記録できます。
*ではなくlocalhostにバインドします。
あなたは安全です! Ubuntuのクリーンインストールには、他のシステムで利用可能なネットワークサービスが付属していません。したがって、リスクはありません。
それでも、Ubuntuを使用しているときに、ネットワーク上の他のシステムにサービスを提供するアプリケーションをインストールする場合があります。ファイルまたはプリンターの共有。
自宅や職場の環境(通常は両方ともルーターまたはファイアウォールの内側にあります)にいる限り、コンピューターの安全性を考慮できます、特に最新のセキュリティ修正プログラムで最新の状態に保ちます。System
-> Administration
-> Update Manager
を参照してください。
インターネットに直接接続している場合のみ(コーヒーバーやホテルの部屋など) )そして、ファイル/フォルダーの共有のようなネットワークサービスを使用すると、にさらされる可能性があります繰り返しになりますが、Windowsファイル共有を担当するパッケージ(名前はsamba
)は、多くの場合、セキュリティ修正により最新の状態に保たれます。したがって、あまり心配する必要はありません。
リスクがあると感じる場合、またはリスクのある環境にいる場合は、firewallをインストールしてみてください。 ufw
が推奨されていますが、これはコマンドラインであり、直接設定するための素敵なグラフィカルインターフェイスがあります。 Ubuntu Software CentreでFirewall Configuration
またはgufw
という名前のパッケージを探します。
アプリケーションはSystem
-> Administration
-> Firewall Configuration
にあります(インストール後)。
公共のWiFiまたは他の種類の直接/信頼されていない接続を使用している場合にアクティブ化できます。ファイアウォールを有効にするには、メインウィンドウで[有効にする]を選択します。ファイアウォールを無効にするには、選択を解除します。とても簡単です。
PS:「apt」リンクを見つける方法がわからないので、私はそれらを入れない理由です...
Oliとmaxschlepzigの両方が本当に良い答えを持っています。
ファイアウォールshould n'tはほとんどの人にとって必要です。とにかくワークステーションでリッスンするものを実行するべきではないからです。ただし、デフォルトですべてのポリシーを拒否する単純なiptablesセットアップを実行することは決して悪いことではありません。もっとクリエイティブなことを始めた場合は、接続を許可することを覚えておく必要があります(これの最初の良い例です)。
ただし、maxschlepzigには別の重要なポイントもあります。人々があなたにしようとしていることだけでなく、あなたがあなた自身にしていることでもあります。安全でない電子メールと「サムドライブ」の使用が遅れているため、安全でないウェブブラウジングはおそらく平均的なデスクトップユーザーにとって最大のリスクです。
Firefoxがデフォルトのブラウザである場合、Adblock Plus、FlashBlock、NoScript、BetterPrivacyなどのプラグインをお勧めします。 Chromeにも同様のツールがあります。マルウェアローダーである正当なサイトで広告を見たため、保護としてアドブロッキングを含めます。したがって、特定のサイトを使用しない理由がない限り、広告ブロッカーを使用することをお勧めします。 NoScriptは、許可しない限りJavaScriptが実行されないようにすることでも非常に役立ちます。
電子メールについては、検査せずに不明または予期しない添付ファイルを開かないことをお勧めします。私はあなたがオフにできるものも見たいです。一部のクライアントでは、受信HTMLメールでJavaScriptを無効にしたり、メッセージのHTML部分を完全に無効にしたりできます。プレーンテキストはそれほどきれいではないかもしれませんが、少しのマルウェアに忍び込むのははるかに困難です。
あなたのubuntuデスクトップはインターネットに直接さらされていますか?通常、間にファイアウォールがあり、すでにルーターとして機能しています。
それ以外の場合は、自分で実行するサービスに不安がある場合は、Firestarterをインストールできます。
ただし、一般的には必要ありません。ただし、必要なのは、セキュリティ更新プログラムをタイムリーにインストールすることです。
デフォルトでは、sambaとavahiはローカルIP以外には何も公開しません。 Avahiはデフォルトで実行されます。sambdaは手動でインストールするものです。 (フォルダーを「共有」することを選択すると、sambaのインストールダイアログが表示されます)
それ以外は、ubuntuインストールではデフォルトで着信接続は除外されません。
Iptablesを調べる必要があると思います。
iptablesは、デフォルトでUbuntuにインストールされるファイアウォールです。 HowTo here があります。コマンドラインに堪能でない場合、 Firestarter がiptablesの上部にGUIを追加したため、便利な追加機能が見つかるかもしれません。
良い HowTo here があります。
AppArmorもご覧ください: https://help.ubuntu.com/community/AppArmor
AppArmorでは、インターネットにアクセスできるすべてのアプリケーションを制御できます。このツールを使用すると、このアプリケーションがアクセスするファイルとディレクトリ、およびPOSIX 1003.1eの機能を制御できます。これは非常に強力です。
リポジトリからapparmor-profilesパッケージをインストールすることにより、多くのアプリケーションを簡単にプロファイルできます。