Siempre he usado mi escritorio Ubuntu detrás de la seguridad de un enrutador con NAT, pero ha habido algunas veces que tuve que conectarlo directamente a un módem de cable activo.
En general, ¿qué precauciones debo tomar en situaciones en las que mi computadora está expuesta a Internet de esta manera durante largos períodos de tiempo? Los detalles que vienen a la mente de inmediato son:
- ¿Hay algún servicio de red predeterminado que quiera deshabilitar?
- ¿Es necesario modificar la configuración predeterminada del firewall?
- ¿Debería preocuparme los servicios que usan autenticación de contraseña?
- ¿Qué tipo de registro puedo hacer para recibir notificaciones de acceso no autorizado?
Me doy cuenta de que preguntas como esta son solo la punta del iceberg de temas expansivos en los que se basan profesiones enteras, así que déjenme aclarar: lo que estoy buscando son algunas recomendaciones directas de mejores prácticas o cambios de configuración que un usuario de escritorio sería útil en una instalación predeterminada de Ubuntu.
fuente
Cortafuegos Habilite
ufw
(sudo ufw enable
) y luego niegue todo, permita solo las thigs que desea exponer.ufw
usa iptables. No es peorufw
puede iniciar sesión IIRC.Ate las cosas a localhost y no *.
fuente
Tanto Oli como maxschlepzig tienen muy buenas respuestas.
Un cortafuegos no debería ser necesario para la mayoría de las personas, porque de todos modos no debería estar ejecutando cosas que escuchan en una estación de trabajo. Sin embargo, nunca es malo ejecutar una configuración simple de iptables con una política predeterminada denegar todas las políticas. Solo debe recordar permitir conexiones si alguna vez comienza a hacer algo más creativo (SSH es el primer buen ejemplo de esto).
Sin embargo, maxschlepzig también plantea otro punto importante. No es solo lo que la gente intenta hacerte, sino también lo que te haces a ti mismo. La navegación web insegura es probablemente el mayor riesgo para el usuario promedio de escritorio, ya que el correo electrónico no seguro y el uso de "memoria USB" están muy cerca.
Si Firefox es su navegador predeterminado, le recomiendo complementos como Adblock Plus, FlashBlock, NoScript y BetterPrivacy. Existen herramientas similares para Chrome también. Incluyo el bloqueo de anuncios como protección porque he visto anuncios en sitios legítimos que realmente eran cargadores de malware, por lo que recomiendo usar un bloqueador de anuncios a menos que tenga una razón para no hacerlo en un sitio específico. NoScript también ayuda mucho, al evitar que JavaScript se ejecute a menos que lo permita.
Para el correo electrónico, las recomendaciones obvias para no abrir archivos adjuntos desconocidos o inesperados sin inspección siguen siendo una buena recomendación. También vería lo que puedes apagar. Algunos clientes le permiten deshabilitar JavaScript en el correo electrónico HTML entrante, o deshabilitar la parte HTML de un mensaje por completo. Puede que el texto sin formato no sea tan bonito, pero también es mucho más difícil introducir un poco de malware.
fuente
Estás a salvo ! La instalación limpia de Ubuntu viene sin servicios de red disponibles para otro sistema. Entonces no hay riesgo.
Sin embargo, mientras usa Ubuntu, puede instalar una aplicación que ofrecerá servicios a otro sistema en una red: por ejemplo, compartir archivos o impresoras.
Mientras permanezca dentro de su hogar o entorno de trabajo (que generalmente están detrás de un enrutador o firewall), puede considerar su computadora segura , especialmente si la mantiene actualizada con la última solución de seguridad: consulte en
System
->Administration
->Update Manager
.Solo si está conectado directamente a Internet o en un WiFi público (como en una cafetería o habitación de hotel) y si utiliza servicios de red como compartir archivos / carpetas , podría estar expuesto . Sin embargo, el paquete responsable del uso compartido de archivos de Windows (denominado
samba
) a menudo se mantiene actualizado con la corrección de seguridad. Entonces no debes preocuparte demasiado.Gufw - Cortafuegos sin complicaciones
Entonces, si siente que es arriesgado o si se encuentra en un entorno riesgoso, intente instalar un firewall .
ufw
ha sido sugerido, pero es una línea de comando, y hay una interfaz gráfica agradable para configurarlo directamente. Busque el paquete nombradoFirewall Configuration
ogufw
en el Centro de software de Ubuntu.La aplicación se encuentra (una vez instalada) en
System
->Administration
->Firewall Configuration
.Puede activarlo cuando esté en un WiFi público u otro tipo de conexiones directas / no confiables. Para activar el firewall, seleccione "Activar" en la ventana principal. Deseleccione para desactivar el firewall. Es fácil.
PD: No sé cómo encontrar el enlace 'apto', por eso no los pongo ...
fuente
¿Estás seguro de que tu escritorio ubuntu está expuesto directamente a internet? Por lo general, hay un enrutador intermedio, que ya actúa como firewall.
De lo contrario, puede instalar Firestarter, si está paranoico sobre los servicios que ejecuta.
En general, sin embargo, no es necesario. Sin embargo, lo que se necesita es que se asegure de instalar las actualizaciones de seguridad de manera oportuna.
Por defecto, samba y avahi no se exponen a nada más que a ips locales '. Avahi se ejecuta de forma predeterminada, sambda es algo que instala manualmente. (cuando elige 'compartir' una carpeta, aparece el cuadro de diálogo de instalación de samba)
Aparte de eso, no se exceptúan las conexiones entrantes de forma predeterminada en una instalación de ubuntu.
fuente
Creo que necesitas buscar en iptables.
iptables es el firewall que está instalado, por defecto, en Ubuntu. Hay un HowTo aquí . Si no tiene fluidez en la línea de comandos, puede encontrar que Firestarter es una adición útil, ya que agregó una GUI en la parte superior de iptables.
Hay un buen HowTo aquí .
fuente
También debe echar un vistazo a AppArmor: https://help.ubuntu.com/community/AppArmor
AppArmor le permite controlar todas las aplicaciones que tienen acceso a Internet. Con esta herramienta puede controlar a qué archivos y directorios accede esta aplicación, y qué capacidades de posix 1003.1e. Esto es muy, muy poderoso.
Muchas aplicaciones se pueden perfilar fácilmente instalando el paquete apparmor-profiles desde los repositorios.
fuente