使用防火墙您应采取的下一个预防性步骤是使用内置于操作系统中的防火墙。在默认情况下,Ubuntu 会在每个发行版上运行 iptables 作为防火墙。在安装防火墙之后,该防火墙的默认设置会允许所有传入和传出的流量。要有效地使用防火墙,您需要创建规则来锁定桌面。
您可以通过终端配置 iptables 来编写防火墙规则,也可以使用一个称为 Gufw 的 GUI,基于 Ubuntu 随带的 Uncomplicated Firewall (UFW) 程序来编写防火墙规则。
打开终端并运行以下命令来安装 Gufw:
1
| sudo apt-get install gufw
|
完成安装后,您可以从 System > Administration > Firewall 访问它。打开并启用 Gufw,默认情况下它处于禁用状态。在标题 Actual Status 下,单击 Enabled 复选框来打开它。这么做会将所有传入流量都设置为 Deny。然后单击 Add,依据您想要 UFW 如何处理某些类型的流量,基于 4 个可用选项来创建规则:
- Allow。系统允许从一个端口进入的流量。
- Deny。系统拒绝进入一个端口的流量。
- Reject。系统拒绝进入一个端口的流量,并传达其流量被拒绝的连接系统的请求。
- Limit。如果某个 IP 地址尝试在过去 30 秒内发起 6 个或更多的连接,系统会拒绝这些连接。
单击 Add 时,会出现一个包含 3 个选项卡的窗口:Preconfigured、Simple 和 Advanced。Preconfigured 选项卡是创建规则的最轻松方式,因为您可以从一个下拉列表中选择您希望允许或拒绝的流量
使用 Simple 选项卡,您可以告诉 UFW 您希望允许还是拒绝某些流量,然后选择协议/服务和端口号。
您可以使用 Advanced 选项卡进一步调优规则。
备份和还原桌面文件保护 GNU/Linux 桌面的另一个步骤涉及到建立一个备份和恢复流程。
在过去,您需要在大多数 Linux 发行版中安装备份和恢复软件。但是,拥有一个合理的灾难恢复解决方案的需求已促使许多发行版在安装中包含备份和恢复软件。Ubuntu 依赖于 Duplicity,该程序使用了 rsync。为了让事情变得更简单,Ubuntu 随带了 Deja Dup,这是 Duplicity 的图形前端。
要开始使用 Deja Dup,可单击齿轮图标中的 System Settings。在 System Settings 窗口中,单击 Backup。
在打开自动备份之前,单击 Storage 设置备份位置。您可以使用 Ubuntu One(一个云存储选项),通过 FTP 将您的备份发送到另一个服务器,保存到本地文件夹,或者设置一个自定义位置。确定备份文件的最佳位置后,单击 Folders 选择想要备份的内容。这里有两个选项:Folders to back up 和 Folders to ignore。可从每一栏添加或删除任何文件夹。
现在,单击 Schedule,告诉 Deja Dup 运行备份的频率和它们的保留时间。您可以选择每日、每周、双周或每月备份一次,这些备份可存储至少一周到至少一年,甚至是永久存储。
现在,返回到 Overview 并将 Automatic backups 滑动到 On。这就是该软件的全部操作。如果需要还原文件,可单击 Restore,Deja Dup 会询问您希望从何处、哪个日期还原,以及您希望将文件还原到哪个位置。通过时常还原文件来确保您的备份正常工作,这是一个不错的想法。
安装更新许多对计算机的攻击,都是在恶意的攻击者在操作系统软件或另一个软件中找到漏洞时发起的。安全专家会查找这些漏洞,创建软件补丁和更新来修补它们。
请保持您的软件最新。大部分操作系统都有一个内置的功能来通知您更新何时可用,许多 GNU/Linux 发行版都包含这种类型的功能。单击桌面菜单栏上的齿轮图标,然后单击 Software Up to Date 启动 Update Manager。Update Manager 通常会在更新可用时自行打开。
在 Update Manager 窗口中,您可以单击 Install Updates。您也可以单击 Settings 来选择更新频率和想要更新的软件。只要 Important security updates 复选框已被选中并且 When there are security updates 选项被设置为 Download and install automatically,默认选项就应该足够用了。
通过密码保护引导加载程序使用 GNU/Linux 时,您可以引导计算机来更改 root 密码,无需输入一个密码。这种方法被称为单用户模式。要通过密码保护此功能,您有两个引导加载程序选项:GRUB 和 LILO。如果使用 GRUB,那么您可以加密密码,让信息更加安全。LILO 的用户没有此选项。如果使用 GRUB,那么请执行以下步骤:
- 启动终端。
- 在提示符下输入 grub。
- 为了确保不会将要创建的密码存储为明文,可输入 md5crypt。
- 在提示符下,输入您想用于单用户模式的密码。然后您会获得一个加密的密码版本。不要关闭这个终端窗口 — 后续步骤中需要使用这个加密的密码。
现在,您需要编辑 GRUB 配置文件。当然,首先要备份它:
- 输入以下命令:
1
| sudo cp /boot/grub/menu.lst /boot/grub/menu.lst-backup
|
- 在系统提示您时输入您的密码。
- 输入以下命令:
1
| gedit /boot/grub/menu.lst
|
这会调出 GRUB 配置文件。
- 找到文件中显示为 password --md5 的一行,将现有的密码替换为您之前创建的加密密码。清单 1 显示了在密码更改时 GRUB 配置文件应该是什么样的:
密码更改后的 GRUB 配置文件1
2
3
4
5
6
7
8
9
| # Set a timeout, in SEC seconds before
automatically booting the default entry # (normally the first entry
defined). timeout 3 ## hiddenmenu # Hides the menu by default (press ESC
to see the menu) hiddenmenu # Pretty colours #color cyan/blue while/blue
## password ['--md5'] passwd # If used in the first section of the menu
file, disable all interactive editing # control (menu entry editor and
command-line) and entries protected by the # command 'lock' # e.g.
password topsecret # password --md5 $1$jLhUO/$aW78kHK1QfV3P2b2znUoe/ #
password topsecret # # examples # # title Windows 95/98/NT/2000
|
不同于 GRUB,LILO 不允许使用加密的密码。如果使用 LILO 引导加载程序,那么可以执行以下步骤:
- 启动终端。
- 在提示符下输入 edit cat /etc/lilo.conf。
- 编辑器打开时,搜索密码部分并在其中创建新密码。
结束语本文介绍了一些可帮助您加强 GNU/Linux 桌面的安全的工具。即使您安装了所有可用的工具来保护计算机和其中存储的数据,也应该掌握这些工具的使用。
请设定一个时间表来检查 ClamAV 和 rkhunter 的更新。每周和在安装新软件时运行这些实用程序。为您的数据设置一个备份时间表,并关注计算机安全领域的最新趋势(这一点最为重要)。新的漏洞不断被发现。您需要与时俱进,采取适当的操作来保持计算机的安全。 |
