अपने डेस्कटॉप को सीधे इंटरनेट पर उजागर करते समय मुझे क्या सावधानियां बरतनी चाहिए?


30

मैंने नेट के साथ राउटर की सुरक्षा के पीछे हमेशा अपने उबंटू डेस्कटॉप का उपयोग किया है, लेकिन कुछ बार ऐसा हुआ है जब मुझे इसे सीधे एक सक्रिय केबल मॉडेम में प्लग करना पड़ा है।

सामान्य तौर पर, मैं उन स्थितियों में क्या सावधानी बरतता हूं जब मेरा कंप्यूटर इस तरह से इंटरनेट के संपर्क में रहता है? विशेष रूप से दिमाग में आने वाली विशिष्ट बातें हैं:

  • क्या कोई डिफ़ॉल्ट नेटवर्क सेवा है जिसे मैं अक्षम करना चाहता हूं?
  • क्या डिफ़ॉल्ट फ़ायरवॉल कॉन्फ़िगरेशन को संशोधित करने की आवश्यकता है?
  • क्या मुझे पासवर्ड प्रमाणीकरण का उपयोग करने वाली सेवाओं के बारे में चिंतित होना चाहिए?
  • अनधिकृत पहुंच के बारे में मुझे किस तरह की लॉगिंग की जा सकती है?

मुझे एहसास है कि इस तरह के सवाल सिर्फ विस्तार विषयों के हिमशैल के टिप हैं जो पूरे व्यवसायों पर आधारित हैं, इसलिए मुझे स्पष्ट करना चाहिए: मैं जो देख रहा हूं वह सर्वोत्तम प्रथाओं या कॉन्फ़िगरेशन परिवर्तनों की कुछ सीधी सिफारिशें हैं जो एक डेस्कटॉप उपयोगकर्ता डिफ़ॉल्ट Ubuntu स्थापना में उपयोगी मिलेगा।

जवाबों:


29

एक मानक ubuntu इंस्टॉल की गई नेटवर्क सेवाओं को सक्रिय नहीं करना चाहिए जो इंटरनेट के माध्यम से सुलभ हैं।

आप (tcp के लिए) के माध्यम से देख सकते हैं:

netstat -lntp

Udp के लिए समान है, लेकिन udp सुनने या भेजने के लिए खोले गए बंदरगाहों के बीच अंतर नहीं करता है।

इस प्रकार, एक iptables कॉन्फ़िगरेशन आवश्यक नहीं है।

कुछ हद तक संभवत: कुछ मामलों में, जब से आप किसी मामले में चिंता करते हैं (यह मायने नहीं रखता कि आप राउटर के पीछे हैं):

  • फ्लैश को अक्षम करने पर विचार करें (चूंकि फ्लैश प्लगइन में उल्लसित सुरक्षा समस्याओं का एक बड़ा इतिहास है)
  • जावा-प्लगइन (यदि सक्षम है) को अक्षम करने और इसे केवल कुछ साइटों के लिए सक्षम करने पर विचार करें (फ्लैश में अतीत में सुरक्षा संबंधी कोई समस्या नहीं है, लेकिन कुछ)

और, निश्चित रूप से, आप शायद यह जानते हैं, लेकिन वैसे भी: हमेशा सामान्य-उपयोगकर्ता के रूप में संभव के रूप में काम करते हैं। रूट के रूप में फ़ायरफ़ॉक्स आदि का उपयोग न करें ...

एक उदाहरण netstat -lntp आउटपुट:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1 प्रविष्टियाँ हानिरहित हैं, क्योंकि वे प्रोग्राम केवल स्थानीय नेटवर्क इंटरफ़ेस पर सुनते हैं।

sshd एक ऐसी सेवा का एक उदाहरण है जो सभी उपलब्ध इंटरफेस पर सुनता है (0.0.0.0, यानी जिसमें एक केबल इंटरनेट मॉडेम जुड़ा हुआ है) - लेकिन आमतौर पर आपके पास अच्छे पासवर्ड हैं या पासवर्ड प्रमाणीकरण अक्षम है और केवल सार्वजनिक-कुंजी का उपयोग करें।

वैसे भी, IIRC sshd डिफ़ॉल्ट रूप से स्थापित नहीं है।

अंतिम दो इंटरफेस IPv6 के संबंध में हैं। :: 1 लूपबैक डिवाइस का पता है (जैसे IPv4 में 127.0.0.1), इस प्रकार सुरक्षित है। ::: IPv6 सभी नेटवर्क इंटरफ़ेस वाइल्डकार्ड एनालॉग से 0.0.0.0 (IPv4) है।


3
Netstat -lntp के बारे में सलाह वास्तव में अच्छी है। यह संभव डिफ़ॉल्ट खुले कनेक्शन के बारे में किसी भी संदेह को रोकना चाहिए।
राल्फ

1
आप काफी सामान्य डेस्कटॉप वातावरण में वहां क्या देखने की उम्मीद करेंगे?
क्रिस

1
वेब ब्राउजर को रूट के रूप में चलाना। शटर।
टिम लिटल

11

फ़ायरवॉल। सक्षम करें ufw( sudo ufw enable) और फिर सभी को अस्वीकार करें, केवल उन थिगल्स को अनुमति दें जिन्हें आप उजागर करना चाहते हैं। ufwiptables का उपयोग करता है। यह बदतर नहीं है।

ufw IIRC लॉग कर सकते हैं।

लोकलहोस्ट को चीजों को बाँधो और न *।


7

ओली और मैक्सक्लेपज़िग दोनों के पास वास्तव में अच्छे उत्तर हैं।

अधिकांश लोगों के लिए एक फ़ायरवॉल आवश्यक नहीं होना चाहिए , क्योंकि आपको ऐसी चीज़ों को नहीं चलाना चाहिए जो किसी भी तरह वर्कस्टेशन पर सुनते हैं। हालाँकि, डिफ़ॉल्ट नीति सभी नीति के साथ एक साधारण iptables सेटअप चलाना कोई बुरी बात नहीं है। आपको केवल कनेक्शन की अनुमति देना याद रखना होगा यदि आप कभी भी अधिक रचनात्मक करना शुरू करते हैं (एसएसएच इस का पहला अच्छा उदाहरण है)।

हालाँकि, maxschlepzig भी एक और महत्वपूर्ण बिंदु लाता है। यह सिर्फ वही नहीं है जो लोग आपके लिए करने की कोशिश करते हैं, बल्कि यह भी कि आप अपने लिए क्या करते हैं। असुरक्षित वेब ब्राउज़िंग शायद औसत डेस्कटॉप उपयोगकर्ता के लिए सबसे बड़ा जोखिम है, जिसमें असुरक्षित ईमेल और "थंबड्राइव" का उपयोग किया जा रहा है।

अगर फ़ायरफ़ॉक्स आपका डिफ़ॉल्ट ब्राउज़र है, तो मैं Adblock Plus, FlashBlock, NoScript और BetterP गोपनीयता जैसे प्लगइन्स की सलाह देता हूं। क्रोम के लिए भी इसी तरह के उपकरण मौजूद हैं। मैं एक सुरक्षा के रूप में एडब्लॉक करना शामिल करता हूं क्योंकि मैंने वैध साइटों पर विज्ञापन देखे हैं जो वास्तव में मैलवेयर लोडर थे, इसलिए मैं एक विज्ञापन अवरोधक का उपयोग करने की सलाह देता हूं जब तक कि आपके पास एक विशिष्ट साइट के लिए कारण नहीं है। जावास्क्रिप्ट को चलने से रोकने से NoScript भी बहुत मदद करता है, जब तक कि आप इसकी अनुमति नहीं देते हैं।

ईमेल के लिए, निरीक्षण के बिना अज्ञात या अप्रत्याशित संलग्न फ़ाइलों को नहीं खोलने के लिए स्पष्ट सिफारिशें अभी भी एक अच्छी सिफारिश है। मैं यह भी देखूंगा कि आप क्या कर सकते हैं। कुछ क्लाइंट आपको जावास्क्रिप्ट को इनबाउंड HTML ईमेल में अक्षम करते हैं, या किसी संदेश के HTML भाग को पूरी तरह से अक्षम करते हैं। सादा पाठ उतने सुंदर नहीं हो सकते हैं, लेकिन थोड़ा सा मालवेयर में भी बहुत मुश्किल है।


7

आप सुरक्षित हैं ! उबंटू क्लीन इंस्टाल अन्य सिस्टम के लिए उपलब्ध कोई नेटवर्क सेवा नहीं है। इसलिए कोई जोखिम नहीं है।

फिर भी, उबंटू का उपयोग करते समय, आप उस एप्लिकेशन को इंस्टॉल कर सकते हैं जो किसी नेटवर्क पर अन्य सिस्टम को सेवाएं प्रदान करेगा: जैसे फाइलें या प्रिंटर साझा करना।

जब तक आप अपने घर या कार्य वातावरण (जो आमतौर पर एक राउटर या फ़ायरवॉल दोनों के पीछे हैं) के अंदर रहते हैं, तो आप अपने कंप्यूटर को सुरक्षित मान सकते हैं , खासकर यदि आप इसे नवीनतम सुरक्षा फ़िक्स के साथ अद्यतित रखते हैं: System-> देखें -> Administration-> Update Manager

केवल अगर आप इंटरनेट से या किसी सार्वजनिक वाईफाई (जैसे कॉफी बार या होटल के कमरे में) से सीधे जुड़े हुए हैं और यदि आप नेटवर्क सेवाओं जैसे फ़ाइलों / फ़ोल्डरों को साझा करने का उपयोग करते हैं , तो आप उजागर हो सकते हैं । हालाँकि, Windows फ़ाइल शेयरिंग (नामांकित samba) के लिए जिम्मेदार पैकेज को अक्सर सुरक्षा सुधार के साथ अद्यतित रखा जाता है। इसलिए आपको ज्यादा चिंता नहीं करनी चाहिए।

Gufw - अस्पष्ट फ़ायरवॉल

इसलिए यदि आपको लगता है कि यह जोखिम भरा है या यदि आप जोखिम भरे माहौल में हैं, तो एक फ़ायरवॉल स्थापित करने का प्रयास करें । ufwसुझाव दिया गया है, लेकिन यह कमांड लाइन है, और इसे सीधे कॉन्फ़िगर करने के लिए एक अच्छा चित्रमय इंटरफ़ेस है। नाम Firewall Configurationया gufwUbuntu सॉफ्टवेयर सेंटर में पैकेज के लिए देखें ।

सॉफ्टवेयर सेंटर में Gufw

में आवेदन स्थित है (एक बार स्थापित) System-> Administration-> Firewall Configuration

जब आप सार्वजनिक वाईफाई या अन्य प्रकार के प्रत्यक्ष / अविश्वसनीय कनेक्शन पर हों, तो आप इसे सक्रिय कर सकते हैं। फ़ायरवॉल को सक्रिय करने के लिए, मुख्य विंडो पर "सक्षम करें" चुनें। फ़ायरवॉल को निष्क्रिय करने के लिए इसे अचयनित करें। इट्स दैट ईजी।

पुनश्च: मैं नहीं जानता कि कैसे 'उपयुक्त' लिंक खोजने के लिए, यही कारण है कि मैं उन्हें डाल नहीं ...


3

क्या आप वाकई अपने ubuntu डेस्कटॉप को सीधे इंटरनेट पर उजागर कर रहे हैं? आमतौर पर एक राउटर इनबिल्ट होता है, जो पहले से ही एक फ़ायरवॉल काम करता है।

अन्यथा आप फायरस्टार को स्थापित कर सकते हैं, यदि आप स्वयं को चलाने वाली सेवाओं के बारे में पागल हैं।

सामान्य तौर पर, इसकी आवश्यकता नहीं है। हालाँकि, क्या जरूरत है कि आप सुनिश्चित करें कि आप समय पर फैशन में सुरक्षा अद्यतन स्थापित करें।

डिफ़ॉल्ट रूप से सांबा, और अवही खुद को कुछ भी नहीं बल्कि स्थानीय ips से उजागर करते हैं। अवहि डिफ़ॉल्ट रूप से चलता है, सांबा कुछ ऐसा है जिसे आप मैन्युअल रूप से इंस्टॉल करते हैं। (जब आप किसी फ़ोल्डर को 'साझा' करने के लिए चुनते हैं, तो सांबा पॉप अप के लिए संवाद स्थापित करें)

इसके अलावा, कोई आवक कनेक्शन डिफ़ॉल्ट रूप से एक ubuntu इंस्टॉल पर नहीं है।


7
यदि राउटर है तो केवल एक राउटर है। एक मॉडेम का उपयोग करने वाले लोग (जो कि 56k, 3G या ADSL हो) या लोग सीधे केबल मॉडेम में प्लग करते हैं, जिसमें कोई सुरक्षात्मक परत नहीं होती है।
ओली

1

मुझे लगता है कि आपको iptables में देखने की जरूरत है।

iptables फ़ायरवॉल है जो कि, डिफ़ॉल्ट रूप से, Ubuntu में स्थापित है। यहां एक हाउटो है । यदि आप कमांड लाइन धाराप्रवाह नहीं हैं, तो आप फायरस्टार को एक उपयोगी जोड़ पा सकते हैं क्योंकि इसमें iptables के ऊपर एक जीयूआई जोड़ा गया है।

यहां एक अच्छा हॉव्टो है


क्या आप इसे नफरत नहीं करते हैं जब लोग यह समझाए बिना नीचे आते हैं - मुझे व्यापक कंधे मिले हैं और आलोचना ले सकते हैं अगर मुझे कुछ गलत मिला है अगर केवल लोगों को मुझे बताने की शालीनता थी; इस तरह हम सभी कुछ सीखते हैं।
दिलबर्टडेव

0

आपको AppArmor: https://help.ubuntu.com/community/AppArmor पर भी नज़र डालनी चाहिए

AppArmor आपको हर उस एप्लिकेशन को नियंत्रित करने की अनुमति देता है जिसकी इंटरनेट तक पहुंच है। इस उपकरण से आप यह नियंत्रित कर सकते हैं कि इस एप्लिकेशन द्वारा कौन सी फाइलें और निर्देशिकाएं एक्सेस की गई हैं, और कौन सी 1003.1e क्षमताएँ हैं। यह बहुत, बहुत शक्तिशाली है।

कई एप्लिकेशन को रिपॉजिटरी से ऐप-प्रोफाइल पैकेज स्थापित करके आसानी से प्रोफाइल किया जा सकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.