나는 항상 NAT가있는 라우터의 보안 뒤에 Ubuntu 데스크탑을 사용했지만 활성 케이블 모뎀에 직접 연결 해야하는 경우가 몇 번있었습니다.
일반적으로 컴퓨터가 이와 같은 인터넷에 오랫동안 노출되어있을 때 어떤 예방책을 취해야합니까? 즉시 염두에 두어야 할 사항은 다음과 같습니다.
이와 같은 질문은 전체 직업이 기반으로하는 광범위한 주제의 빙산의 일각에 불과하다는 것을 알고 있습니다. 내가 찾고있는 것은 데스크탑 사용자가 권장하는 모범 사례 또는 구성 변경에 대한 몇 가지 간단한 권장 사항입니다. 기본 우분투 설치에서 유용합니다.
답변:
표준 우분투 설치는 인터넷을 통해 액세스 할 수있는 네트워크 서비스를 활성화하지 않아야합니다.
(TCP의 경우)를 통해 확인할 수 있습니다.
netstat -lntp
udp와 유사하지만 udp는 청취 또는 전송을 위해 열린 포트를 구별하지 않습니다.
따라서 iptables 구성이 필요하지 않습니다.
어쨌든 다음과 같은 우려가 있기 때문에 약간의 주제가 아닐 수도 있습니다 (라우터 뒤에 있는지 여부는 중요하지 않음).
그리고 아마도, 당신은 아마 알고 있지만 어쨌든 : 항상 가능한 한 일반 사용자로 작업하십시오. 파이어 폭스 등을 루트로 사용하지 마십시오 ...
netstat -lntp 출력 예 :
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4
tcp6 0 0 :::22 :::* LISTEN 935/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
127.0.0.1 항목은 해당 프로그램이 로컬 네트워크 인터페이스에서만 수신하기 때문에 무해합니다.
sshd는 사용 가능한 모든 인터페이스 (0.0.0.0, 즉 케이블 인터넷 모뎀이 연결된 인터페이스 포함)를 수신하는 서비스의 예입니다. 그러나 일반적으로 암호가 양호하거나 암호 인증을 비활성화하고 공개 키만 사용합니다.
어쨌든 IIRC sshd는 기본적으로 설치되지 않습니다.
마지막 두 인터페이스는 IPv6을 고려합니다. :: 1은 루프백 장치의 주소 (예 : IPv4의 127.0.0.1)이므로 안전합니다. :::는 IPv6 모든 네트워크 인터페이스 와일드 카드이며 0.0.0.0 (IPv4)과 유사합니다.
Oli와 maxschlepzig 둘 다 정말 좋은 대답이 있습니다.
대부분의 사람들에게 방화벽 은 필요하지 않습니다. 어쨌든 워크 스테이션에서 수신 대기하는 것을 실행해서는 안됩니다. 그러나 기본적으로 모든 정책을 거부하여 간단한 iptables 설정을 실행하는 것은 결코 나쁜 일이 아닙니다. 보다 창의적인 작업을 시작한 경우 연결을 허용해야합니다 (SSH가 이에 대한 첫 번째 좋은 예입니다).
그러나 maxschlepzig는 또 다른 중요한 점을 제시합니다. 사람들이 당신에게하려는 것이 아니라 자신에게하는 일이기도합니다. 안전하지 않은 웹 브라우징은 아마도 일반 데스크탑 사용자에게 가장 큰 위험 일 수 있습니다. 안전하지 않은 전자 메일과 "엄지 드라이브"사용은 뒤쳐져 있습니다.
Firefox가 기본 브라우저 인 경우 Adblock Plus, FlashBlock, NoScript 및 BetterPrivacy와 같은 플러그인을 권장합니다. Chrome에도 비슷한 도구가 있습니다. 실제로 악성 코드 로더 인 합법적 인 사이트에 광고를 보았으므로 광고 차단을 보호 기능으로 포함 시키므로 특정 사이트에 대한 이유가없는 한 광고 차단기를 사용하는 것이 좋습니다. NoScript는 또한 허용하지 않는 한 JavaScript가 실행되지 않도록하여 많은 도움을줍니다.
전자 메일의 경우 검사없이 알 수 없거나 예기치 않은 첨부 파일을 열지 않는 것이 좋습니다. 나는 당신이 무엇을 끌 수 있는지 볼 것입니다. 일부 클라이언트에서는 인바운드 HTML 전자 메일에서 JavaScript를 비활성화하거나 메시지의 HTML 부분을 완전히 비활성화 할 수 있습니다. 평범한 텍스트는 예쁘지 않지만 약간의 맬웨어에 몰래 들어가는 것은 훨씬 어렵습니다.
당신은 안전합니다 ! Ubuntu 클린 설치에는 다른 시스템에서 사용할 수있는 네트워크 서비스가 없습니다. 따라서 위험이 없습니다.
그럼에도 불구하고 Ubuntu를 사용하는 동안 네트워크의 다른 시스템 (예 : 파일 또는 프린터 공유)에 서비스를 제공하는 응용 프로그램을 설치할 수 있습니다.
일반적으로 라우터 나 방화벽 뒤에있는 가정이나 직장 환경에 머무르는 한 컴퓨터를 안전하게 고려할 수 있습니다 . 특히 최신 보안 수정 사항으로 컴퓨터를 최신 상태로 유지하는 경우 : System->를 참조하십시오. Administration-> Update Manager.
만 직접 연결되어있는 경우 인터넷에 또는 (커피 바 또는 호텔 객실 등) 공공 무선 랜에 당신이 네트워크 서비스를 사용하는 경우 파일을 공유처럼 / 폴더는 다음 당신은 노출 될 수있다 . 그럼에도 불구하고 Windows 파일 공유 ( samba)를 담당하는 패키지 는 종종 보안 수정으로 최신 상태로 유지됩니다. 너무 걱정하지 마십시오.
위험하다고 느끼거나 위험한 환경에 있다면 방화벽을 설치하십시오 . ufw제안되었지만 명령 행이며 직접 구성 할 수있는 멋진 그래픽 인터페이스가 있습니다. 라는 이름의 패키지를 찾아 Firewall Configuration또는 gufw우분투 소프트웨어 센터에서.
응용 프로그램은 System-> Administration-> 에 설치 (한 번 설치)됩니다 Firewall Configuration.
공용 WiFi 또는 다른 종류의 직접 / 신뢰할 수없는 연결 상태 일 때 활성화 할 수 있습니다. 방화벽을 활성화하려면 메인 창에서 "사용"을 선택하십시오. 방화벽을 비활성화하려면 선택을 해제하십시오. 그렇게 쉽습니다.
추신 : 'apt'링크를 찾는 방법을 모르겠습니다. 그래서 내가 넣지 않은 이유는 ...
우분투 데스크탑이 인터넷에 직접 노출되어 있습니까? 일반적으로 라우터 사이에 방화벽이 이미 존재합니다.
그렇지 않으면 자신이 실행하는 서비스에 대해 편집증이 있으면 Firestarter를 설치할 수 있습니다.
그러나 일반적으로 필요하지 않습니다. 그러나 필요한 것은 보안 업데이트를 적시에 설치해야한다는 것입니다.
기본적으로 삼바 및 avahi는 로컬 IP 이외의 다른 것에 노출되지 않습니다. Avahi는 기본적으로 실행되며 sambda는 수동으로 설치하는 것입니다. (폴더를 '공유'하기로 선택하면 삼바 설치 대화 상자가 나타납니다)
그 외에는 우분투 설치에서 기본적으로 들어오는 연결이 제외됩니다.
iptables를 조사해야한다고 생각합니다.
iptables는 기본적으로 우분투에 설치된 방화벽입니다. 가 여기 하우투는 . 커맨드 라인에 유창하지 않다면 Firestarter 가 iptables 위에 GUI를 추가했기 때문에 유용한 추가 기능을 찾을 수 있습니다 .
여기에 좋은 HowTo가 있습니다 .
또한 AppArmor를 살펴보십시오 : https://help.ubuntu.com/community/AppArmor
AppArmor를 사용하면 인터넷에 액세스 할 수있는 모든 응용 프로그램을 제어 할 수 있습니다. 이 도구를 사용하면이 응용 프로그램에서 액세스 할 파일과 디렉토리 및 posix 1003.1e 기능을 제어 할 수 있습니다. 이것은 매우 강력합니다.
리포지토리에서 apparmor-profiles 패키지를 설치하면 많은 응용 프로그램을 쉽게 프로파일 링 할 수 있습니다.