私は常にNATを備えたルーターのセキュリティの背後でUbuntuデスクトップを使用していましたが、アクティブなケーブルモデムに直接接続しなければならなかったことが何度かありました。
一般に、コンピューターがこのようなインターネットに長時間さらされている場合、どのような予防策を講じる必要がありますか?すぐに思い浮かぶ詳細は次のとおりです。
このような質問は、職業全体が基づいている広大なトピックの氷山の一角にすぎないことを理解しているので、明確にしましょう:私が探しているのは、デスクトップユーザーがベストプラクティスまたは構成を変更するための簡単な推奨事項ですデフォルトのUbuntuインストールで役立ちます。
回答:
標準のubuntuインストールでは、インターネット経由でアクセス可能なネットワークサービスをアクティブにしないでください。
(tcpの場合)で確認できます。
netstat -lntp
udpについても同様ですが、udpは受信または送信のために開かれたポートを区別しません。
したがって、iptablesの構成は必要ありません。
おそらく少し話題から外れているのは、次のことが懸念されるからです(ルーターの後ろにいるかどうかは関係ありません)。
そして、確かに、あなたはおそらくそれを知っていますが、とにかく:可能な限り常に通常のユーザーとして作業してください。rootとしてfirefoxなどを使用しないでください...
netstat -lntpの出力例:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4
tcp6 0 0 :::22 :::* LISTEN 935/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
これらのプログラムはローカルネットワークインターフェイスでのみリッスンするため、127.0.0.1エントリは無害です。
sshdは、利用可能なすべてのインターフェイス(0.0.0.0、つまりケーブルインターネットモデムが接続されているインターフェイスを含む)でリッスンするサービスの例です。
とにかく、IIRC sshdはデフォルトではインストールされません。
最後の2つのインターフェイスはIPv6を考慮しています。:: 1はループバックデバイスのアドレス(IPv4の127.0.0.1など)であり、安全です。:::は、0.0.0.0(IPv4)に類似したIPv6全ネットワークインターフェイスワイルドカードです。
Oliとmaxschlepzigの両方が本当に良い答えを持っています。
とにかくワークステーションでリッスンするものを実行してはならないため、ほとんどの人にとってファイアウォールは必要ないはずです。ただし、デフォルトですべてのポリシーを拒否する単純なiptablesセットアップを実行することは決して悪いことではありません。もっとクリエイティブなことを始めたら、接続を許可することを覚えておく必要があります(SSHはこの最初の良い例です)。
ただし、maxschlepzigには別の重要なポイントもあります。人々があなたにしようとしていることだけでなく、あなたがあなた自身にしていることでもあります。安全でない電子メールと「サムドライブ」の使用が遅れているため、安全でないWebブラウジングはおそらく平均的なデスクトップユーザーにとって最大のリスクです。
Firefoxがデフォルトのブラウザである場合、Adblock Plus、FlashBlock、NoScript、BetterPrivacyなどのプラグインをお勧めします。Chromeにも同様のツールが存在します。本当にマルウェアローダーである正当なサイトで広告を見たので、保護としてアドブロッキングを含めます。したがって、特定のサイトを使用しない理由がない限り、広告ブロッカーを使用することをお勧めします。NoScriptは、許可しない限りJavaScriptが実行されないようにすることでも非常に役立ちます。
電子メールについては、検査せずに不明または予期しない添付ファイルを開かないことをお勧めします。私はあなたがオフにできるものも見たいです。一部のクライアントでは、受信HTMLメールでJavaScriptを無効にしたり、メッセージのHTML部分を完全に無効にしたりできます。平文はそれほどきれいではないかもしれませんが、少しのマルウェアに忍び込むのははるかに困難です。
あなたは安全です!Ubuntuのクリーンインストールには、他のシステムで利用可能なネットワークサービスが付属していません。したがって、リスクはありません。
それにもかかわらず、Ubuntuを使用しているときに、ネットワーク上の他のシステムにサービスを提供するアプリケーション(ファイルやプリンターの共有など)をインストールする場合があります。
限り、あなたは(通常は両方のファイアウォールルータまたは背後にある)自宅や職場の環境内でとどまるよう、お使いのコンピュータの安全を考慮することができ、あなたがそれを最新に保つ場合は特に、最新のセキュリティ修正して、:参照をしてSystem- > Administration-> Update Manager。
インターネットまたは公共のWiFi(コーヒーバーやホテルの部屋など)に直接接続していて、ファイル/フォルダーの共有などのネットワークサービスを使用している場合にのみ、公開される可能性があります。繰り返しになりますが、Windowsファイル共有を担当するパッケージ(という名前samba)は、多くの場合、セキュリティ修正により最新の状態に保たれます。したがって、あまり心配する必要はありません。
そのため、リスクが高いと感じる場合、またはリスクの高い環境にいる場合は、ファイアウォールをインストールしてみてください。ufw提案されていますが、それはコマンドラインであり、それを直接設定するための素晴らしいグラフィカルインターフェースがあります。Firewall ConfigurationまたはgufwUbuntu Software Centreの名前のパッケージを探します。
アプリケーションは(インストール後)System-> Administration->にありFirewall Configurationます。
公共のWiFiまたは他の種類の直接/信頼されていない接続を使用している場合にアクティブ化できます。ファイアウォールを有効にするには、メインウィンドウで[有効にする]を選択します。ファイアウォールを無効にするには、選択を解除します。とても簡単です。
PS:「apt」リンクを見つける方法がわからないので、私はそれらを入れない理由です...
あなたのubuntuデスクトップはインターネットに直接さらされていますか?通常、間にファイアウォールがあり、すでにルーターとして機能しています。
それ以外の場合は、自分で実行するサービスに不安がある場合は、Firestarterをインストールできます。
ただし、一般的には必要ありません。ただし、必要なのは、セキュリティ更新プログラムをタイムリーにインストールすることです。
デフォルトでは、sambaとavahiはローカルIP以外には何も公開しません。Avahiはデフォルトで実行されます。sambdaは手動でインストールするものです。(フォルダーを「共有」することを選択すると、sambaのインストールダイアログが表示されます)
それ以外は、ubuntuインストールではデフォルトで着信接続は除外されません。
iptablesを調べる必要があると思います。
iptablesは、デフォルトでUbuntuにインストールされるファイアウォールです。ここにHowToがあります。コマンドラインに堪能でない場合は、Firetableがiptablesの上にGUIを追加したので、Firestarterが便利な追加機能であることに気付くかもしれません。
AppArmorもご覧ください:https : //help.ubuntu.com/community/AppArmor
AppArmorでは、インターネットにアクセスできるすべてのアプリケーションを制御できます。このツールを使用すると、このアプリケーションがアクセスするファイルとディレクトリ、およびPOSIX 1003.1eの機能を制御できます。これは非常に強力です。
リポジトリからapparmor-profilesパッケージをインストールすることにより、多くのアプリケーションを簡単にプロファイルできます。