将台式机直接暴露于互联网时，应采取哪些预防措施？

我一直在将我的Ubuntu桌面用于具有NAT的路由器的安全性之后，但是有几次不得不将其直接插入活动的电缆调制解调器中。

通常，当我的计算机长时间处于这种状态时，应该采取哪些预防措施？立即想到的细节是：

• 我可能要禁用任何默认的网络服务吗？
• 是否需要修改默认防火墙配置？
• 我应该担心使用密码验证的服务吗？
• 如果收到未经授权的访问通知，我该怎么做？

我意识到，这样的问题只是整个行业所基于的广泛主题的冰山一角，所以让我明确：我正在寻找的是台式机用户对最佳做法或配置更改的一些简单建议在默认的Ubuntu安装中会很有用。

标准的ubuntu安装不应激活可通过Internet访问的网络服务。

您可以通过（对于tcp）进行检查：

netstat -lntp

与udp类似，但udp不能区分为侦听或发送而打开的端口。

因此，不需要iptables配置。

也许有点题外话，因为无论如何，以下问题都会引起您的关注（如果您在路由器后面，则无所谓）：

• 考虑禁用Flash（因为Flash插件具有可笑的安全问题的悠久历史）
• 考虑禁用Java-Plugin（如果启用），并仅对某些站点启用它（过去与Flash有关的安全性问题不多，但有少数问题）

而且，当然，您可能知道这一点，但是无论如何：始终以普通用户身份工作。不要使用Firefox等作为根...

netstat -lntp输出示例：

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

127.0.0.1条目是无害的，因为这些程序仅在本地网络接口上侦听。

sshd是在所有可用接口（0.0.0.0，即包括电缆调制解调器连接到的接口）上侦听的服务的示例-但通常您具有良好的密码或禁用密码身份验证，并且仅使用公共密钥。

无论如何，默认情况下未安装IIRC sshd。

最后两个接口涉及IPv6。:: 1是回送设备的地址（例如IPv4中的127.0.0.1），因此很安全。:::是IPv6所有网络接口通配符，类似于0.0.0.0（IPv4）。

防火墙。启用ufw（sudo ufw enable），然后全部拒绝，只允许您要暴露的thig。ufw使用iptables。还不错

ufw 可以登录IIRC。

将内容绑定到localhost而不是*。

Oli和maxschlepzig都有很好的答案。

大多数人都不需要防火墙，因为无论如何您都不应运行监听工作站的东西。但是，使用默认的拒绝所有策略运行简单的iptables设置从来不是一件坏事。如果您开始做更多有创意的事情，您只需要记住允许连接即可（SSH是第一个很好的例子）。

但是，maxschlepzig还提出了另一个要点。这不仅是人们试图对您做的事情，而且还包括您对自己做的事情。不安全的Web浏览可能是普通桌面用户面临的最大风险，不安全的电子邮件和“ thumbdrive”的使用紧随其后。

如果Firefox是您的默认浏览器，则建议您使用Adblock Plus，FlashBlock，NoScript和BetterPrivacy之类的插件。Chrome也有类似的工具。我之所以将广告拦截作为一种保护，是因为我在合法的网站上看到过真正的广告，这些网站实际上是恶意软件加载程序，因此，除非您有理由不访问特定网站，否则我建议使用广告拦截器。除非您允许，否则禁止脚本运行，NoScript也会有很大帮助。

对于电子邮件，明显的建议是不检查就不要打开未知或意外的附件，这仍然是一个不错的建议。我还将看到您可以关闭的内容。某些客户端允许您禁用入站HTML电子邮件中的JavaScript，或完全禁用消息的HTML部分。纯文本可能不那么漂亮，但是要潜入一些恶意软件也要困难得多。

你很安全！Ubuntu全新安装不包含其他系统可用的网络服务。因此没有风险。

但是，在使用Ubuntu时，您可能会安装将为网络上其他系统提供服务的应用程序：例如文件或打印机共享。

只要您留在家庭或工作环境中（通常都在路由器或防火墙后面），就可以认为您的计算机是安全的，尤其是如果您使用最新的安全修复程序使它保持最新状态：请参阅System-> Administration-> Update Manager。

仅当您直接连接到Internet或公共WiFi（例如在咖啡厅或酒店房间中）并且使用共享文件/文件夹之类的网络服务时，您才可能暴露在外。再次强调，负责Windows文件共享的软件包（名为samba）经常通过安全修补程序进行更新。因此，您不必担心太多。

Gufw-简单的防火墙

因此，如果您觉得它有风险，或者在有风险的环境中，请尝试安装防火墙。ufw建议，但它是命令行，并且有一个不错的图形界面可以直接对其进行配置。在Ubuntu软件中心中查找名为Firewall Configuration或的软件包gufw。

该应用程序位于（一旦安装）在System-> Administration->中Firewall Configuration。

当您使用公共WiFi或其他类型的直接/不受信任的连接时，可以激活它。要激活防火墙，请在主窗口中选择“启用”。取消选择它可以停用防火墙。就这么简单。

PS：我不知道如何找到“ apt”链接，所以这就是为什么我不把它们放在...

您确定您的ubuntu桌面直接暴露在互联网上吗？通常它们之间有一个路由器，它已经充当了防火墙。

否则，如果您对自己运行的服务抱有幻想，则可以安装Firestarter。

通常，它不是必需的。但是，需要确保及时安装安全更新。

默认情况下，samba和avahi除了本地ips之外不暴露任何东西。Avahi默认运行，sambda是您手动安装的东西。（当您选择“共享”文件夹时，将弹出samba的安装对话框）

除此之外，在ubuntu安装中，默认情况下不排除任何传入连接。

我认为您需要研究iptables。

iptables是默认情况下在Ubuntu中安装的防火墙。这里有一个HowTo。如果您的命令行不流利，那么Firestarter可能会是一个有用的补充，因为它在iptables上添加了GUI。

这里有一个很好的HowTo。

您还应该看看AppArmor：https : //help.ubuntu.com/community/AppArmor

AppArmor允许您控制可以访问Internet的每个应用程序。使用此工具，您可以控制此应用程序访问哪些文件和目录以及posix 1003.1e的哪些功能。这是非常非常强大的。

通过从存储库安装apparmor-profiles软件包，可以轻松地对许多应用程序进行概要分析。