保护你的Linux设备
更新18 May 2021
目录
...加载目录...如果你使用的是Linux系统,你也许曾听过Linux系统比Windows更安全的说法。这个说法并不正确。安全性既取决于我们使用设备的方式,又取决于设备上的软件,这些软件随时都可能被发现存在漏洞。完成以下步骤可以让你使用Linux系统的设备更加安全。养成习惯,随时检查这些设置,以确保没有任何更改。
本教程具体涵盖了Ubuntu Linux系统的内容。如果你使用的是Ubuntu,本教程的内容对你来说非常有用。如果你用的是其他版本的Linux,本教程也许会有些用处,或者你也可以查询一下你所使用的Linux版本的使用说明书中相关的内容。
视频教程
你可以按照这个视频教程来了解下面的清单。
Use the latest version of your device's operating system (OS)
- 更新软件时,请选择安全可信赖的地点,如家中和办公室中,不要选择网卡或咖啡馆。
- 更新最新版本的操作系统也许会要求你下载软件,并多次重启电脑。为了防止打扰你的工作,你也许会需要专门找时间来做这件事。采取下列步骤来比较你设备的软件版本和最新版本,直到你的设备不再提示更新软件版本。
- 如果你的设备无法运行操作系统的最新版本,你可以试试专门为旧型号硬件设计的Linux发行版本,例如Lubuntu,或者购买新设备。
- 确保你下载更新后重启你的电脑,这样软件才能完成安装。
- 查询Ubuntu系统可用的最新版本
- 对比你设备上安装的系统版本与最新版本
了解我们推荐这样做的理由
你设备上或应用程序里运行的代码每天都有新的漏洞被发现。这些代码的开发人员无法预测它们何时会被发现,因为程序代码十分复杂。意图不轨的攻击者也许会利用这些漏洞来攻陷你设备的安防。
但是软件开发者会定期发布代码来修复这些漏洞。因此,将每一台设备的操作系统都保持在最新更新状态极为重要。我们建议你将设备设置为自动更新操作系统,这样你就少了一个后顾之忧。
Use apps from trusted sources
了解我们推荐这样做的理由
Ubuntu Software是用来在Ubuntu上安装应用程序的软件。请只从Linux发行版本的开发人员所管理的软件库中安装应用程序。“镜像”下载网站可能不太可靠,除非你认识镜像网站服务的提供者并信任他们。如果你认为有必要使用某一应用程序,并愿意为之承担风险,也请采取额外措施来保护你自己,例如说避免将敏感信息或个人信息输入储存于安装了该应用的设备上。
Remove apps that you do not need and do not use
了解我们推荐这样做的理由
你设备上或应用程序里运行的代码每天都有新的漏洞被发现。这些代码的开发人员无法预测它们何时会被发现,因为程序代码十分复杂。意图不轨的攻击者也许会利用这些漏洞来攻陷你设备的安防。移除你不需要的应用程序可以限制能引起风险的程序数量。另外,很多应用程序,即使你不再使用,它们也还是会将你的有关信息或不想暴露的个人隐私传送给开发者,例如你的定位。
检查你的应用程序权限
- 检查已安装的应用程序的权限和它们能获取的信息。你可以从【系统设置】>【应用程序】中查看。
- 检查设备上可能关联的在线账号,如谷歌账号、脸书账号,NextCloud账号等,自定义每种账号可以访问的服务。如果你停用了某个账号,请将其从设备上移除。
了解我们推荐这样做的理由
如果一个应用程序可以访问你设备上的敏感信息或功能——如定位、麦克风、摄像头,或设备系统设置,那么这个应用程序就有可能被攻击者利用或将这些数据泄露给攻击者。因此,当你不需要使用某一应用程序或功能时,关闭其权限。
关闭定位功能和清理历史记录
- 养成非必要时关闭定位功能的习惯,请注意关闭设备系统设置和每一个应用程序中的这项功能。
- 如果你开启了定位功能,定期检查清理你的定位历史记录。
- 关闭定位功能
了解我们推荐这样做的理由
许多设备都会利用GPS、手机信号塔,和我们使用的Wi-Fi来追踪我们的地理位置。如果你的设备上保留了你的物理定位,有人就有可能通过这些历史记录来找到你,或者用这些记录来证明你去过某地、与某人产生过关联。
在设备上分别建立独立的用户账号
- 在设备上建立多个账号,其中之一设置为“管理员”(admin),拥有系统管理员权限,其余的账号为普通用户(non-admin)。
- 只有你可以用管理员的身份登录。
- 普通用户账号不应被授权访问所有应用程序、文件,或系统设置。
- 请考虑为你的日常工作建立一个普通用户账号:
- 仅当你需要更改设备的安全设置时才使用管理员账号登录,例如安装软件。
- 日常中使用普通用户账号可以减少设备暴露在恶意软件攻击下的风险。
- 当你出入境时,一个“旅行用”账号可以帮你隐藏更敏感的文件。请自行判断:边境检查的工作人员是会收缴你的设备进行排查,还是他们会打开你的设备快速浏览一遍?如果你认为他们不会特别仔细地排查你的设备,使用普通用户账号进行不那么敏感的工作会给你一些合理的掩护。
- 管理用户账号
- 选择系统管理员,管理更改敏感设置的权限
了解我们推荐这样做的理由
我们强烈建议你不要将用于敏感工作的设备与他人共享。然而,如果你不得不与家人或同事共享设备,你可以通过为每个人单独设立账号来保护敏感信息,这样其他用户就无法访问你的敏感文件。
Remove unneeded accounts associated with your device
了解我们推荐这样做的理由
当你不想让别人登录你的设备,最好不要在机器上留下额外的“入口”(这叫做“减小攻击面”)。另外,检查你设备关联了哪些用户可以帮你确认是否有人在你不知情的情况下在设备上建立了新的账号。
将屏幕设置为休眠锁屏
- 将你的屏幕设置为短时间内不使用即休眠锁屏(五分钟是个不错的选择)
- 开机密码请使用长密码(至少多于16个字符),不要用短密码或PIN码
- 允许使用指纹识别、面部识别、眼部识别,或语音识别来解锁手机可能会对你不利,因为他人可以强迫你提供这些数据来解锁手机。不要使用这些功能,除非你的身体有障碍,无法打字
- 如果你曾在设备上使用过指纹识别,请将其移除。你可以从【系统设置】>【用户】中找到”指纹登录”,点击“启用”菜单,选择“删除指纹”。
了解我们推荐这样做的理由
虽然也许看上去你最大的威胁来自于技术手段攻击,但其实你的设备更有可能会因被人收缴或盗窃而被入侵。因此,明智之选就是设定锁屏和解锁密码,这样一来,别人就无法仅靠开机就能登录你的设备。
我们不推荐除密码解锁以外的屏幕解锁方式。生物识别信息,如面部、语音、眼睛扫描,或指纹很容易被人获得,尤其是如果你遭遇了逮捕、拘留或搜查。如果有人得到了你的设备,而你使用了短密码或PIN码,他们使用软件就可以轻易破解。通过检查屏幕上的指纹痕迹,还可以猜测手势密码。如果你设置了指纹解锁,获取你的指纹痕迹就能复制指纹信息来解锁设备。类似的伎俩也已被证实曾被用来进行脸部识别解锁。
因此,最安全的锁屏方式就是长密码。
Control what can be seen when your device is locked
了解我们推荐这样做的理由
如果你的设备被盗或被没收,强密码锁屏或多或少会给你提供一些保护。但如果你不关闭锁屏时显示推送内容的功能,持有你设备的人就能看到这些推送信息(如接收到的短信和邮件),从而获得你联系人的信息和消息内容。
Use a physical privacy filter that prevents others from seeing your screen
了解我们推荐这样做的理由
虽然在人们的想象里,攻击者都是精于技术的黑客,但可能出乎你的意外,有些人权工作者恰恰就是因为被旁人或摄像头偷看了屏幕导致个人信息被盗或账号泄露。防窥膜降低了这种伎俩成功的可能性。你可以在销售电子设备配件的商店找到防窥膜。
Use a camera cover
- 首先,找出你的设备是否有摄像头,如果有,在哪里。如果你的电脑使用了外置摄像头,那么加上电脑内置的,就会有多个摄像头。
- 简易镜头盖:用小创可贴贴住镜头,需要使用相机时将其撕下。创可贴的效果比贴纸好,因为创可贴的中间部分没有粘合剂,不会让镜头粘上脏东西。
- 或者在你中意的商店里搜索“超薄网络摄像头隐私盖”。“超薄”很重要,因为有些镜头盖太厚,会妨碍你合上笔记本电脑。
了解我们推荐这样做的理由
有一些恶意软件会偷偷开启设备上的摄像头来监视你和你周围的人,或者定位你的所在。
Turn off connectivity you're not using
- 夜间请关机。
- 养成习惯,不使用Wi-Fi、蓝牙,或网络共享的时候将其关闭。
- 确保蓝牙已关闭
- 将蓝牙设置为不可见
- 关闭Wi-Fi(开启飞行模式)
了解我们推荐这样做的理由
Wi-Fi能够传输数据,让我们的设备通过互联网连接到其他设备,它通过无线电波连接到路由器,路由器通常由有线网络接入互联网。手机也可让我们通过移动网络访问世界各地的其它电脑和手机,手机的移动网络由信号塔和中继器组成。 近距离无线通信技术(NFC)和蓝牙也使用无线电波将我们的设备连接到附近其它设备。所有这些网络连接对于与他人通信来说至关重要。但由于我们的设备连接到其他设备,也有人会恶意使用此连接来劫持我们的设备和其中的敏感信息。
因此,不使用时关掉这些连接功能不失为一个良策,特别是Wi-Fi和蓝牙。这就能减少攻击者趁你不备劫持你设备和信息的机会(一些难以察觉的入侵迹象包括设备运行异常缓慢,不使用设备时通常无法注意到)。
清理你保存过的Wi-Fi网络
- 将网络名称和密码保存在密码管理器中,不要保存在设备上的网络列表里。
- 养成习惯,定期清理Wi-Fi网络列表,可以参考此教程来移除每一个网络 While you are there, un-check "Connect automatically" and "Make available to other users"
了解我们推荐这样做的理由
当你开启了设备的Wi-Fi连接,它会试图搜索之前保存过的Wi-Fi网络。基本上,你的设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存过的列表通常都是独一无二的:在这个列表里至少有你的家用网络和办公室网络,更不用说也许可能还会有你朋友家中的网络、你常去的网咖网络等等。这些如同指纹一般识别度极高的信息恰恰方便了窥探的人找出你的设备,或者找出你的活动地点。
为了防止这些信息被掌握,你需要清除已保存的网络列表,并且关闭设备自动保存网络的功能。虽然这不利于你快速连接到网络,但你可以将网络名称和密码保存在密码管理器中以备不时之需。
不使用共享功能时将其关闭
Ubuntu may not automatically make it possible to share files, media, or your desktop. If you know sharing is available on your device, check and see if you need to turn the following settings off. If you cannot find the settings using the instructions described here, you probably do not have these sharing options installed.
了解我们推荐这样做的理由
许多设备提供方便与周围人共享文件或服务的功能,这项功能非常便利。然而,如果不使用这些功能时仍保持开启,意图不轨的人就有可能趁机劫取你的文件。
Use a firewall
- 使用Gufw防火墙管理工具
- 请将“传入”的默认设置为“拒绝”,将“传出”的默认设置为“允许”。
了解我们推荐这样做的理由
防火墙是一项安保措施,可以保护我们的设备不被连接到不需要的终端。就像建筑物门口的安保人员会判定谁可以进入、谁可以离开,防火墙会接收、检查设备上进出的所有通信,并判定哪些通信可以进入或离开,哪些不可以。我们建议你打开防火墙,以防止恶意代码试图访问你的设备。默认的防火墙配置对于大多数人来说足以提供保护。
并不是所有设备上的防火墙都是默认开启的。这也不意味着这些系统对所有网络连接都门户大开。这只意味着这些系统相信它们的软件在不该监控的时候不会实施监控。就像一些大楼业主,不会劳烦安排警卫和摄像头,因为他们十分了解大楼里哪些门上了锁、哪些门没上锁,哪些门只有拥有相应钥匙的人才能打开。
当某个软件开始监听我们不希望它听到的信息时,防火墙可以帮助我们保护设备。换言之,不管是因为意外还是有意而造成后门出现时,监控与外界连接的防火墙有时能有助于我们了解恶意软件是否在试图窃取信息,或者是否在联系其使用者等待进一步指示。如果你安装了专门用于限制与外界连接的防火墙,或者如果你将内建的防火墙配置成这种工作方式,那么你需要准备花一些时间来“训练”它,以便让它只有在观察到异常情况时才对你发出警报。
延伸阅读
常见问题
问:我听说Linux不会感染病毒,因为大多数恶意软件都是针对Windows设计的。是真的吗?
答:不是。虽然大多数恶意软件的确是针对Windows设计的,但是Linux系统的用户还是会感染恶意软件,比如,当你不慎点击了钓鱼链接,或者打开了包含恶意代码的附件时。了解更多有关恶意软件及如何防治的内容请参考此教程。
问:比起Windows或MacOS X,Ubuntu更难以被攻破对吗?
A: Not necessarily. The process of discovering vulnerabilities and exploiting is pretty much the same, regardless of your operating system.