web-dev-qa-db-ja.com

デスクトップをインターネットに直接公開する場合、どのような予防策を講じる必要がありますか?

NATを備えたルーターのセキュリティの背後でUbuntuデスクトップを常に使用していましたが、アクティブなケーブルモデムに直接接続しなければならないことが何度かありました。

一般に、コンピューターがこのようなインターネットに長時間さらされている場合、どのような予防策を講じる必要がありますか?すぐに思い浮かぶ詳細は次のとおりです。

  • 無効にしたいデフォルトのネットワークサービスはありますか?
  • デフォルトのファイアウォール構成を変更する必要はありますか?
  • パスワード認証を使用するサービスについて心配する必要がありますか?
  • 不正アクセスの通知を受け取るには、どのような種類のログを記録できますか?

このような質問は、職業全体が基づいている広大なトピックの氷山の一角にすぎないことを理解しているので、明確にしておきましょう。デフォルトのUbuntuインストールで役立つでしょう。

30
ændrük

標準のubuntuインストールでは、インターネット経由でアクセス可能なネットワークサービスをアクティブにしないでください。

(tcpの場合)で確認できます。

netstat -lntp

Udpについても同様ですが、udpは受信または送信のために開かれたポートを区別しません。

したがって、iptablesの構成は必要ありません。

おそらく少し話題から外れているのは、次のことはどんな場合でもあなたに関係があるからです(ルータの後ろにいるかどうかは関係ありません):

  • フラッシュを無効にすることを検討してください(フラッシュプラグインには陽気なセキュリティ問題の大きな歴史があるため)
  • javaプラグインを無効にして(有効になっている場合)、特定のサイトに対してのみ有効にすることを検討してください(過去のセキュリティ関連の問題はフラッシュほどではありませんが、いくつかは)

そして、確かに、あなたはおそらくそれを知っていますが、とにかく:常に可能な限り通常のユーザーとして動作します。 rootとしてfirefoxなどを使用しないでください...

Netstat -lntpの出力例:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1エントリは、これらのプログラムがローカルネットワークインターフェイスでのみリッスンするため、無害です。

sshdは、利用可能なすべてのインターフェイス(0.0.0.0、つまりケーブルインターネットモデムが接続されているインターフェイスを含む)でリッスンするサービスの例です。

とにかく、IIRC sshdはデフォルトではインストールされません。

最後の2つのインターフェイスはIPv6を考慮しています。 :: 1はループバックデバイスのアドレス(IPv4の127.0.0.1など)であり、安全です。 :::は、0.0.0.0(IPv4)に類似したIPv6全ネットワークインターフェイスワイルドカードです。

29
maxschlepzig

ファイアウォール。 ufwSudo ufw enable)を有効にしてから、すべてを拒否し、公開したいthigだけを許可します。 ufwはiptablesを使用します。悪くはありません。

ufwはIIRCを記録できます。

*ではなくlocalhostにバインドします。

11
Oli

あなたは安全です! Ubuntuのクリーンインストールには、他のシステムで利用可能なネットワークサービスが付属していません。したがって、リスクはありません。

それでも、Ubuntuを使用しているときに、ネットワーク上の他のシステムにサービスを提供するアプリケーションをインストールする場合があります。ファイルまたはプリンターの共有。

自宅や職場の環境(通常は両方ともルーターまたはファイアウォールの内側にあります)にいる限り、コンピューターの安全性を考慮できます、特に最新のセキュリティ修正プログラムで最新の状態に保ちます。System-> Administration-> Update Managerを参照してください。

インターネットに直接接続している場合のみ(コーヒーバーやホテルの部屋など) )そして、ファイル/フォルダーの共有のようなネットワークサービスを使用すると、にさらされる可能性があります繰り返しになりますが、Windowsファイル共有を担当するパッケージ(名前はsamba)は、多くの場合、セキュリティ修正により最新の状態に保たれます。したがって、あまり心配する必要はありません。

Gufw-複雑でないファイアウォール

リスクがあると感じる場合、またはリスクのある環境にいる場合は、firewallをインストールしてみてください。 ufwが推奨されていますが、これはコマンドラインであり、直接設定するための素敵なグラフィカルインターフェイスがあります。 Ubuntu Software CentreでFirewall Configurationまたはgufwという名前のパッケージを探します。

Gufw in Software Centre

アプリケーションはSystem-> Administration-> Firewall Configurationにあります(インストール後)。

公共のWiFiまたは他の種類の直接/信頼されていない接続を使用している場合にアクティブ化できます。ファイアウォールを有効にするには、メインウィンドウで[有効にする]を選択します。ファイアウォールを無効にするには、選択を解除します。とても簡単です。

PS:「apt」リンクを見つける方法がわからないので、私はそれらを入れない理由です...

7
Huygens

Oliとmaxschlepzigの両方が本当に良い答えを持っています。

ファイアウォールshould n'tはほとんどの人にとって必要です。とにかくワークステーションでリッスンするものを実行するべきではないからです。ただし、デフォルトですべてのポリシーを拒否する単純なiptablesセットアップを実行することは決して悪いことではありません。もっとクリエイティブなことを始めた場合は、接続を許可することを覚えておく必要があります(これの最初の良い例です)。

ただし、maxschlepzigには別の重要なポイントもあります。人々があなたにしようとしていることだけでなく、あなたがあなた自身にしていることでもあります。安全でない電子メールと「サムドライブ」の使用が遅れているため、安全でないウェブブラウジングはおそらく平均的なデスクトップユーザーにとって最大のリスクです。

Firefoxがデフォルトのブラウザである場合、Adblock Plus、FlashBlock、NoScript、BetterPrivacyなどのプラグインをお勧めします。 Chromeにも同様のツールがあります。マルウェアローダーである正当なサイトで広告を見たため、保護としてアドブロッキングを含めます。したがって、特定のサイトを使用しない理由がない限り、広告ブロッカーを使用することをお勧めします。 NoScriptは、許可しない限りJavaScriptが実行されないようにすることでも非常に役立ちます。

電子メールについては、検査せずに不明または予期しない添付ファイルを開かないことをお勧めします。私はあなたがオフにできるものも見たいです。一部のクライアントでは、受信HTMLメールでJavaScriptを無効にしたり、メッセージのHTML部分を完全に無効にしたりできます。プレーンテキストはそれほどきれいではないかもしれませんが、少しのマルウェアに忍び込むのははるかに困難です。

7
Don Faulkner

あなたのubuntuデスクトップはインターネットに直接さらされていますか?通常、間にファイアウォールがあり、すでにルーターとして機能しています。

それ以外の場合は、自分で実行するサービスに不安がある場合は、Firestarterをインストールできます。

ただし、一般的には必要ありません。ただし、必要なのは、セキュリティ更新プログラムをタイムリーにインストールすることです。

デフォルトでは、sambaとavahiはローカルIP以外には何も公開しません。 Avahiはデフォルトで実行されます。sambdaは手動でインストールするものです。 (フォルダーを「共有」することを選択すると、sambaのインストールダイアログが表示されます)

それ以外は、ubuntuインストールではデフォルトで着信接続は除外されません。

3
Ralf

Iptablesを調べる必要があると思います。

iptablesは、デフォルトでUbuntuにインストールされるファイアウォールです。 HowTo here があります。コマンドラインに堪能でない場合、 Firestarter がiptablesの上部にGUIを追加したため、便利な追加機能が見つかるかもしれません。

良い HowTo here があります。

1
DilbertDave

AppArmorもご覧ください: https://help.ubuntu.com/community/AppArmor

AppArmorでは、インターネットにアクセスできるすべてのアプリケーションを制御できます。このツールを使用すると、このアプリケーションがアクセスするファイルとディレクトリ、およびPOSIX 1003.1eの機能を制御できます。これは非常に強力です。

リポジトリからapparmor-profilesパッケージをインストールすることにより、多くのアプリケーションを簡単にプロファイルできます。

0