J'ai toujours utilisé mon bureau Ubuntu derrière la sécurité d'un routeur avec NAT, mais il y a eu quelques fois où je devais le brancher directement sur un modem câble actif.
En général, quelles précautions dois-je prendre dans des situations où mon ordinateur est exposé à Internet comme celui-ci pendant de longues périodes? Les détails qui me viennent immédiatement à l'esprit sont les suivants:
- Existe-t-il des services réseau par défaut que je souhaiterais désactiver?
- Est-il nécessaire de modifier la configuration du pare-feu par défaut?
- Dois-je m'inquiéter des services utilisant l'authentification par mot de passe?
- Quel type de journalisation puis-je faire pour être averti d'un accès non autorisé?
Je me rends compte que des questions comme celle-ci ne sont que la pointe de l'iceberg de sujets étendus sur lesquels des professions entières sont basées, alors permettez-moi de préciser: ce que je recherche, ce sont quelques recommandations simples de meilleures pratiques ou de changements de configuration qu'un utilisateur de bureau trouverait utile dans une installation Ubuntu par défaut.
la source
Pare-feu. Activez
ufw
(sudo ufw enable
) puis refusez tout, autorisez uniquement les éléments que vous souhaitez exposer.ufw
utilise iptables. Ce n'est pas pire.ufw
peut se connecter IIRC.Liez les choses à localhost et non *.
la source
Oli et maxschlepzig ont de très bonnes réponses.
Un pare-feu ne devrait pas être nécessaire pour la plupart des gens, car de toute façon, vous ne devriez pas exécuter des choses qui écoutent sur un poste de travail. Cependant, ce n'est jamais une mauvaise chose d'exécuter une configuration iptables simple avec une stratégie de refus par défaut. Vous devez juste vous rappeler d'autoriser les connexions si vous commencez à faire quelque chose de plus créatif (SSH en est le premier bon exemple).
Cependant, maxschlepzig soulève également un autre point important. Ce n'est pas seulement ce que les gens essaient de vous faire, mais aussi ce que vous vous faites. La navigation Web non sécurisée est probablement le plus grand risque pour l'utilisateur de bureau moyen, les courriers électroniques non sécurisés et l'utilisation de la «clé USB» étant tout près.
Si Firefox est votre navigateur par défaut, je recommande des plugins tels que Adblock Plus, FlashBlock, NoScript et BetterPrivacy. Des outils similaires existent également pour Chrome. J'inclus le blocage des publicités comme protection parce que j'ai vu des publicités sur des sites légitimes qui étaient vraiment des chargeurs de logiciels malveillants, je recommande donc d'utiliser un bloqueur de publicités, sauf si vous avez une raison de ne pas le faire pour un site spécifique. NoScript aide également beaucoup, en empêchant JavaScript de s'exécuter à moins que vous ne le permettiez.
Pour le courrier électronique, les recommandations évidentes de ne pas ouvrir les fichiers joints inconnus ou inattendus sans inspection sont toujours une bonne recommandation. Je verrais aussi ce que vous pouvez désactiver. Certains clients vous permettent de désactiver JavaScript dans les e-mails HTML entrants ou de désactiver entièrement la partie HTML d'un message. Le texte brut n'est peut-être pas aussi joli, mais il est beaucoup plus difficile de se faufiler dans un peu de malware, aussi.
la source
Tu es en sécurité ! L'installation propre d'Ubuntu est fournie sans aucun service réseau disponible sur un autre système. Il n'y a donc aucun risque.
Néanmoins, lors de l'utilisation d'Ubuntu, vous pouvez installer une application qui offrira des services à d'autres systèmes sur un réseau: par exemple, le partage de fichiers ou d'imprimantes.
Tant que vous restez à l'intérieur de votre maison ou de votre environnement de travail (qui sont généralement à la fois derrière un routeur ou un pare-feu), vous pouvez considérer votre ordinateur comme sûr , surtout si vous le maintenez à jour avec le dernier correctif de sécurité: voir dans
System
->Administration
->Update Manager
.Ce n'est que si vous êtes directement connecté à Internet ou sur une connexion Wi-Fi publique (comme dans un café ou une chambre d'hôtel) et si vous utilisez des services réseau comme le partage de fichiers / dossiers que vous pourriez être exposé . Encore une fois, le package responsable du partage de fichiers Windows (nommé
samba
) est souvent mis à jour avec un correctif de sécurité. Donc, ne vous inquiétez pas trop.Gufw - Pare-feu simple
Donc, si vous pensez que c'est risqué ou si vous êtes dans un environnement à risque, essayez d'installer un pare - feu .
ufw
a été suggéré, mais c'est en ligne de commande, et il y a une belle interface graphique pour le configurer directement. Recherchez le package nomméFirewall Configuration
ougufw
dans le Centre logiciel Ubuntu.L'application est située (une fois installée) dans
System
->Administration
->Firewall Configuration
.Vous pouvez l'activer lorsque vous êtes sur un réseau Wi-Fi public ou tout autre type de connexions directes / non fiables. Pour activer le pare-feu, sélectionnez "Activer" dans la fenêtre principale. Désélectionnez-le pour désactiver le pare-feu. C'est si facile.
PS: Je ne sais pas comment trouver le lien "apt", c'est pourquoi je ne les mets pas ...
la source
Êtes-vous sûr que votre bureau ubuntu est directement exposé à Internet? Habituellement, il y a un routeur entre les deux, qui agit déjà comme un pare-feu.
Sinon, vous pouvez installer Firestarter, si vous êtes paranoïaque quant aux services que vous exécutez vous-même.
En général cependant, ce n'est pas nécessaire. Ce qu'il faut cependant, c'est que vous vous assuriez d'installer les mises à jour de sécurité en temps opportun.
Par défaut, la samba et l'avahi ne s'exposent à rien d'autre qu'aux ips locaux. Avahi fonctionne par défaut, sambda est quelque chose que vous installez manuellement. (lorsque vous choisissez de «partager» un dossier, la boîte de dialogue d'installation de samba apparaît)
En dehors de cela, aucune connexion entrante n'est exceptée par défaut sur une installation ubuntu.
la source
Je pense que vous devez vous pencher sur iptables.
iptables est le pare-feu installé par défaut dans Ubuntu. Il y a un HowTo ici . Si vous n'êtes pas familier avec la ligne de commande, vous pouvez trouver Firestarter un ajout utile car il a ajouté une interface graphique sur iptables.
Il y a un bon HowTo ici .
la source
Vous devriez également jeter un œil à AppArmor: https://help.ubuntu.com/community/AppArmor
AppArmor vous permet de contrôler toutes les applications qui ont accès à Internet. Avec cet outil, vous pouvez contrôler quels fichiers et répertoires sont accessibles par cette application, et quelles capacités posix 1003.1e. C'est très, très puissant.
De nombreuses applications peuvent être facilement profilées en installant le package apparmor-profiles à partir des référentiels.
la source