Niczego co zdalne mi nie trzeba

[Harpagon]

Mam takie pytanko: jak upewnić się czy nikt mi się nie może włamać zdalnie do systemu?
No bo jednak serwery są zwykle na Pingwinach a i tak są włamy.
A w moim przypadku chodzi po prostu o domowy pecet.
Tzn. co wyłączyć /usunąć/ustawić żeby jaka-kolwiek możliwość zdalnego dostępu do Linuxa była nie możliwa?
Oczywiście poza odłączeniem kabelka od internetu

[MichałM]

Najważniejsze jest kilka rzeczy - bo podejrzewam, że nie masz bezpośredniego podłączenia pod sieć "światową". No więc dużo zależy do twojego dostawcy i warunków przyłącza (najczęściej tu nie ma zbytnich ograniczeń/zabezpieczeń typu jakiś filtr na wejściu, blokowanie portów). Kolejna kwestia to typ adresu - najczęściej jest to bezpieczniejszy adres zmienny, ale możesz mieć równie dobrze statyczny (w uproszczeniu - dzisiaj jesteś jako 12.12.12.12, jutro jako 12.12.12.13 itp. jest bezpieczniejsze pod tym względem niż jestem 12.12.12.12 cały czas). Potem już "twoja działka" - jeśli od punktu dostępowego do urządzenia końcowego coś jest no to robi nam się łańcuch. Na routerze możesz zablokować dostęp z zewnątrz dla np. wybranego portu - przykładowo :80 odpowiedzialny za http, 20/21 za FTP - ogólnie najlepiej zablokować wszystko i odblokowywać tylko to, co ci potrzebne - w razie zbyt dużej liczby "chętnych" używać niestandardowych numerów portów i ustawić sobie przekierowanie lokalnie. Na samym komputerze - no tu też wypada zablokować, ale nie wiem co dokładnie, bo mam tylko na routerze ustawione i co jakiś czas w logach tylko, że jakieś Google, M$ i inne boty szpiegujące próbowały się dostać, ale nie wyszło i dostały bana od routera

[kobrawerde]

Może zainstaluj firewall : ufw jeśli jeszcze nie masz w systemie ...jeśli jest to uruchom i nie przepuszczaj żadnych usług i portów.
https://www.digitalocean.com/community/ ... untu-20-04

[320]

Na ufw jest graficzna nakładka gufw.

[jacekalex]

Może zainstaluj firewall : ufw jeśli jeszcze nie masz w systemie ...jeśli jest to uruchom i nie przepuszczaj żadnych usług i portów.
https://www.digitalocean.com/community/ ... untu-20-04

Co dokładnie robi ten ufw/gufw?

Pytam, bo kiedy ostatnio instalowałem nftables, to mi od razu się pojawił się w pliku:

Kod: Zaznacz cały

/usr/share/doc/nftables/examples/workstation.nft

gotowy zestaw reguł dla stacji roboczej, która nie wpuszcza z internetu żadnych nowych połączeń, pozawala tylko na działanie połączeń nawiązanych z sytemu operacyjnego do internetu.

Więc wystarczy zrobić:

Kod: Zaznacz cały

cat /usr/share/doc/nftables/examples/workstation.nft  >/etc/nftables.conf

potem:

Kod: Zaznacz cały

systemctl enable nftables.service
systemctl start nftables.service

i gotowe.

Ten sam efekt w starszym iptables robi się tak:
wskakujemy na konto root w terminalu (lub konsoli TTY):

Kod: Zaznacz cały

sudo su

edytujemy:

Kod: Zaznacz cały

nano  /etc/network/if-pre-up.d/iptables.sh

wklejamy do niego:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

zapisujemy.
potem

Kod: Zaznacz cały

chmod 700 /etc/network/if-pre-up.d/iptables.sh

i po restarcie mamy skonfigurowany netfilter-iptables dla stacji roboczej.

Prosto, szybko i względnie "ekologicznie".

Pozdro