保护你的Linux电脑
更新13 June 2024
目录
...加载目录...如果你使用的是Linux系统,你也许曾听过Linux系统比Windows更安全的说法。这个说法并不正确。安全性既取决于我们使用设备的方式,又取决于设备上的软件,这些软件随时都可能被发现存在漏洞。虽然大多数恶意软件对广泛使用的系统(如Windows和安卓系统)更具有针对性,但Linux用户还是有可能感染恶意软件,比如,当你点击了一个携带恶意软件的链接、或打开了一个受感染的附件。你可以阅读本手册关于如何防范恶意软件的内容。
按照本教程的步骤加强设备的安保。养成习惯时时检查这些设置,确保没有任何设置受到篡改。
本教程具体涵盖了Ubuntu Linux系统的内容。如果你使用的是Ubuntu,本教程的内容对你来说非常有用。如果你用的是其他版本的Linux,本教程也许会有些用处,或者你也可以查询一下你所使用的Linux版本的使用说明书中相关的内容。
如果你决定将操作系统换成Linux
- 阅读Ubuntu的官方安装指南。
- 有条件的话,尽可能全盘加密你的电脑,具体方法是选择“擦除硬盘并安装Ubuntu”的选项,在硬盘设置过程中的高级选项里点选“使用LVM进行加密”。按照页面指示,选择强硬盘密码。
- 当你设置登录信息时,确保设置一个强密码,启用“需要密码才能登录”。
了解我们推荐这样做的理由
诚然,技术手段攻击的威胁性貌似很大,但其实你的设备更有可能会因被人收缴或盗窃而被入侵。因此,明智之选就是使用强密码来加密你的电脑,并用另一个强密码来保护你的用户账号,这样一来,别人就无法仅靠开机和试出PIN码或密码就轻轻松松登录你的设备、获得你的敏感文件。
使用设备上最新版本的操作系统
- 更新软件时,请选择可信赖的场所和网络,例如家中或办公室,不要选择网咖或咖啡厅等场所。
- 更新最新版本的操作系统也许会要求你下载软件,并多次重启电脑。如果你不希望在设备上的工作受到干扰,请考虑专门安排时间来进行系统更新。
- 更新完成后,也要检查是否有更近的版本,直到你看不到更新提示为止。
- Linux系统大致以其对计算机硬件要求不高而闻名,所以,相比起其他操作系统,使用Linux可以保证你很长一段时间都不用更换设备。不过,Ubuntu的最低系统要求仍然比其他版本的Linux系统要高一些。
- Ubuntu为它的主要LTS版本提供长达五年的维护。如果你想要继续为使用了五至十年的Ubuntu接收安全更新,你可以订阅Ubuntu Pro (个人用户可以免费使用)。
- 如果你的设备无法运行最新版本的Ubuntu,也无法使用Ubuntu Pro,你可以试试专门为旧型号硬件设计的Linux发行版本,例如Lubuntu。
- 如果你想要升级到最新版本的Ubuntu,使用它的全部功能,最好还是购买新设备。
- 查询Ubuntu系统可用的最新版本。
- 对比你设备上安装的系统版本与最新版本。
- 检查当前稳定版本的Ubuntu最低系统要求 或使用LiveCD在电脑上试用Ubuntu。
- 升级Ubuntu。
- 为保证更新安装彻底,更新完成时,一旦出现重启系统提示,就要重新启动你的电脑。
了解我们推荐这样做的理由
你设备上和应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。但是软件开发者会定期发布代码来修复这些漏洞。因此,非常需要保证每一台设备的操作系统和其上安装的软件都是最新版本。我们建议你启用操作系统和软件的自动更新,以减少后顾之忧。
定期更新系统里安装的所有应用程序
使用可信来源的应用程序
了解我们推荐这样做的理由
Ubuntu Software是一个用来在Ubuntu上安装应用和软件的程序。不要葱这些Linux发行版开发人员管理的软件存储库以外的来源安装应用程序。
如果你认为有必要使用某一应用程序,并愿意为之承担风险,也请采取额外措施来保护你自己,例如说,避免将敏感信息或个人信息输入储存于安装了该应用的设备上。即使是这样,也还是需要限制安装软件的来源,仅从开发人员自己的官方网站下载。“镜像”下载网站不可信,除非你了解并信任镜像服务的提供者。
了解如何决定你是否应使用某一应用,请阅读盒中安全手册如何挑选所推荐的工具和服务。
移除你不再需要使用的应用程序
了解我们推荐这样做的理由
你设备上和应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。删除你不需要的应用程序可以限制能引起风险的程序数量。另外,很多你不再使用的应用程序也有可能会将你不想暴露的个人隐私信息传送给第三方,例如你的定位。
检查你的应用程序权限和关联的账号
- 检查已安装的应用程序的权限和它们能获取的信息。你可以从【系统设置】>【应用程序】中,点击选择每一个应用程序,查看左手边的菜单。
- 检查设备上可能关联的网络账号,如谷歌账号、脸书账号,NextCloud账号等, 检查每种账号可以访问哪些服务,删除你不使用的账号。
了解我们推荐这样做的理由
如果一个应用程序可以访问你设备上的敏感信息或服务——如定位、麦克风、摄像头,或设备系统设置,那么这个应用程序就有可能被攻击者利用或将这些数据泄露给攻击者。因此,当你不需要使用某一应用程序或功能时,关闭其权限。
关闭定位功能和清理历史记录
- 养成非必要时关闭定位功能的习惯,请注意关闭设备系统设置和每一个应用程序中的这项功能。
- 如果你开启了定位功能,定期检查清理你的定位历史记录。
- 关闭定位服务。
- 如果你使用Google地图,请定期检查清理你的位置信息历史记录。你可以按照此教程删除定位的历史记录,并按照此教程禁止设备和Google地图保存你的位置活动。
了解我们推荐这样做的理由
许多设备都会利用GPS、手机信号塔,和我们链接上的Wi-Fi来追踪我们的地理位置。如果你的设备上保留了你的物理定位,就有可能有人通过这些历史记录来找到你,或者用这些记录来证明你去过某地、与某人产生过关联。
在设备上分别建立独立的用户账号
- 在设备上创建多个用户,其中之一设置为“管理员”(admin),拥有系统管理员权限,其余的用户账号为普通用户(non-admin)。
- 只有你可以用管理员的身份登录。
- 普通用户账号不应被授权访问所有应用程序、文件,或系统设置。
- 请考虑为你的日常工作建立一个普通用户账号:
- 仅当你需要更改设备的安全设置时才使用管理员账号登录,例如安装软件。
- 日常中使用普通用户账号可以减少设备暴露在恶意软件攻击下的风险。
- 当你出入境时,一个“旅行用”账号可以帮你隐藏更敏感的文件。请自行判断:边境检查的工作人员会否收缴你的设备进行排查,亦或是他们会打开你的设备快速浏览一遍?如果你认为他们不会特别仔细地排查你的设备,使用普通用户账号进行不那么敏感的工作会给你一些合理的掩护。
- 管理用户账号。
- 选择系统管理员,管理更改敏感设置的权限。
了解我们推荐这样做的理由
我们强烈建议你不要将用于敏感工作的设备与他人共享。然而,如果你不得不与家人或同事共享设备,你可以为每个人单独创建一个用户账号来保护敏感信息,这样,你就可以保证只有你自己拥有管理员权限,其他用户无法访问你的敏感文件。
解除不需要的设备关联账号
了解我们推荐这样做的理由
当你不想让别人登录你的设备,最好不要在机器上留下额外的“入口”(这叫做“减小攻击面”)。此外,检查设备关联了哪些用户可以帮你确认是否有人未经允许在设备上建立了新的账号。
使用强密码保护你的用户账号
- 锁屏密码请使用长密码(至少多于10个字符),不要用短密码或PIN码。
- 想要学习如何更改密码,阅读Ubuntu更改密码的官方教程。
了解我们推荐这样做的理由
诚然,技术手段攻击的威胁性貌似很大,但其实你的设备更有可能会因被人收缴或盗窃而被入侵。因此,明智之选就是使用强密码保护你的用户账号,这样一来,别人就无法仅靠开机和试出PIN码或密码就轻轻松松登录你的设备。
将屏幕设置为休眠锁屏
- 将你的电脑设置为闲置一段时间后自动锁屏(试一试一分钟和五分钟哪种时限更适合你)。你需要用户密码来解锁屏幕。
- 允许使用指纹识别和面部识别来解锁电脑可能会对你不利,因为他人可以强迫你提供这些数据来解锁电脑。不要使用这些功能,除非你的身体有障碍,无法打字。
- 如果你开启了指纹识别,请将其移除。你可以从【系统设置】>【用户】中找到”指纹登录”,点击“启用”菜单,选择“删除指纹”。
了解我们推荐这样做的理由
我们不推荐除密码解锁以外的屏幕解锁方式。如果你遭遇了逮捕、拘留或搜查,你的面部或指纹信息很容易被人获得解锁电脑。如果你使用的是短密码,一旦有人得到了你的设备,他们就可以使用软件轻易破解。如果你设置了指纹解锁,从电脑上取得你的指纹就能复制指纹信息来解锁设备。类似的伎俩也已被证实曾用来进行脸部识别解锁。
因此,保护用户账号最安全的方式就是长密码。
控制设备锁屏时可以看到的内容
- 阅读Ubuntu官方的“隐藏锁屏通知”教程学习如何将电脑设置为锁定时隐藏锁屏通知。
了解我们推荐这样做的理由
如果你的设备被盗或被没收,强密码锁屏或多或少会给你提供一些保护。但如果你不关闭锁屏时显示推送内容的功能,持有你设备的人就能看到这些推送信息(如接收到的短信和邮件),从而获得你联系人的信息和消息内容。
使用防窥膜来防止别人窥视你的屏幕
- 阅读Security Planner的指南了解更多有关防窥膜的内容。
了解我们推荐这样做的理由
在人们的想象里,针对数字安全的攻击都是高度技术化的,但是,也许你想象不到,有些人权工作者恰恰就是因为被旁人或摄像头偷看了屏幕导致个人信息被盗或账号泄露。防窥膜降低了这种伎俩——通常被称为从身后偷窥——成功的可能性。你可以在销售电子设备配件的商店找到防窥膜。
使用镜头盖遮挡镜摄像头
- 首先,找出你的设备是否有摄像头,如果有,在哪里。如果你的电脑使用了外置摄像头,那么加上电脑内置的,就会有多个摄像头。
- 你可以制作一个简易镜头盖:用小创可贴贴住镜头,需要使用相机时可将其撕下。创可贴的效果比贴纸好,因为创可贴的中间部分没有粘合剂,不会让镜头粘上脏东西。
- Alternatively, search your preferred store for the model of your computer and "webcam privacy cover thin slide" to find the most suitable sliding cover for your device.
- 进阶的Linux用户可以考虑彻底禁用设备上的相机功能。
了解我们推荐这样做的理由
恶意软件会偷偷开启设备上的摄像头来监视你和你周围的人,或者定位你的所在。
不使用网络连接时,请将其关闭
- 夜间请关机。
- 养成习惯,不使用Wi-Fi、蓝牙,或网络共享的时候将其关闭。
- 飞行模式可以快速关闭电脑的连接。阅读Ubuntu的官方教程学习如何通过开启飞行模式快速关闭无线连接,包括Wi-Fi、3G和蓝牙。
- 确保蓝牙已关闭,除非你需要使用蓝牙。
- 确保你的设备没有为他人提供共享网络。阅读Ubuntu的创建网络热点教程学习如何关掉热点。
- 关闭Wi-Fi,可以进入【设置】>【Wi-Fi】,然后关闭菜单右上角的Wi-Fi开关。
了解我们推荐这样做的理由
所有无线通信频道(如Wi-Fi、NFC和蓝牙)都有可能被我们周围的攻击者滥用,通过攻击这些网络中的弱点来入侵我们的设备,获取敏感信息。
当你开启蓝牙或Wi-Fi连接,你的设备会试图搜索之前保存过的蓝牙或Wi-Fi。基本上,设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存列表里的设备和网络通常都是很有辨识度的。这些如同指纹一般识别度极高的信息恰恰方便了附近窥探的人找出你的设备。
因此,不使用时关掉这些连接功能不失为一个良策,特别是Wi-Fi和蓝牙。这就能减少攻击者在你毫无知觉的情况下劫持你设备和信息的机会。
清理你保存过的Wi-Fi网络
- 将网络名称和密码保存在密码管理器中,不要保存在设备上的网络列表里。
- 如果你将连接过的Wi-Fi名称和密码保存在了网络列表里,请保证:
- 在网络设置页面里取消“自动连接”和“设置为其他用户可用“的选项:进入【设置】>【Wi-Fi】,点击菜单右上角的选项按钮,选择“已知的Wi-Fi网络”。选择你需要设置的网络。
- 养成习惯定期清理列表,删除不再使用的网络。 具体操作:进入【设置】>【Wi-Fi】,点击菜单右上角的选项按钮,选择“已知Wi-Fi网络”。然后选择你要删除的网络,点击“移除”。
了解我们推荐这样做的理由
当你开启了Wi-Fi连接,你的设备会试图搜索之前保存过的Wi-Fi网络。基本上,你的设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存过的列表通常都具有辨识度:在这个列表里至少有你的家用网络和办公室网络,更不用说也许可能还会有你朋友家中的网络、你常去的咖啡馆等等。这些如同指纹一般识别度极高的信息恰恰方便了窥探的人找出你的设备,或者找出你的活动地点。
为了防止这些信息被掌握,你需要清除已保存的网络列表,并且让你的设备不要一直寻找网络连接。虽然这不利于你快速连接到网络,但你可以将网络名称和密码保存在密码管理器中以备不时之需。
不使用共享功能时将其关闭
Ubuntu也许不会自动开启文件、媒体,或桌面的共享功能。如果你的设备允许共享功能,查一查你是否需要将下列设置关闭。如果你按照下面的说明无法找到这些设置,有可能这些共享功能并没有安装。
了解我们推荐这样做的理由
许多设备都有选项可以方便我们与周围的人共享文件或服务,这项功能通途广泛。然而,如果在不使用该功能时也保持开启,不法之徒也许会利用这个功能窃取你设备上的文件。
使用防火墙
- 使用Gufw防火墙管理工具。
- 请将“传入”的默认设置为“拒绝”,将“传出”的默认设置为“允许”。
了解我们推荐这样做的理由
防火墙是一项安保措施,可以保护我们的设备不被连接到不需要的终端。就像建筑物门口的安保人员会判定谁可以进入、谁可以离开,防火墙会接收、检查设备上进出的所有通信,并判定哪些通信可以进入或离开,哪些不可以。我们建议你打开防火墙,以防止恶意代码试图访问你的设备。默认的防火墙配置对于大多数人来说足以提供保护。
并不是所有设备上的防火墙都是默认开启的。这也不意味着这些系统对所有网络连接都门户大开。这只意味着这些系统相信它们的软件在不该监控的时候不会实施监控。就像一些大楼业主,不会劳烦安排警卫和摄像头,因为他们十分了解大楼里哪些门上了锁、哪些门没上锁,哪些门只有拥有相应钥匙的人才能打开。
防火墙可以帮助我们防范软件不经允许监听我们的设备。换言之,不管是因为意外还是有意而造成后门出现时,防火墙通过监控外向网络连接,有时可以提醒我们恶意软件是否在试图窃取信息,或者是否在联系其使用者等待进一步指示。如果你安装了专门用于限制外向网络连接的防火墙,或者如果你将系统内置的防火墙配置成这种工作方式,那么你需要花一些时间来“训练”它,以便让它只有在观察到异常情况时才对你发出警报。