Действительно ли безопасно поместить Mac непосредственно в Интернете?
6 ответов
Хотя я не возражаю против присоединения мой Mac ни к какой сети, у меня нет категорического ответа. Однако, некоторые примечания слишком долго для комментария:
OS X встроенный брандмауэр является брандмауэром приложения: принятие входящих соединений предоставляют на приложение, не на порт. После того, как данное разрешение, приложение могло открыть любой порт, который оно любит, но я предполагаю, что это не проблема для программного обеспечения, которому Вы доверяете. Кроме того, это только относится к входящим соединениям: все исходящие соединения всегда позволяются (но это верно для брандмауэра NAT также). И согласно "Mac OS X Apple 10,5 Leopard: О Брандмауэре Приложения":
Все приложения [..] это было снабжено цифровой подписью Центром сертификации, которому доверяет система [..] позволяются получить входящие соединения. Каждое приложение Apple в Leopard было подписано Apple и позволяется получить входящие соединения.
В 10,6 последний сделан более явным (и может быть отключен), поскольку "Автоматически позволяют подписанному программному обеспечению получать входящие соединения. Позволяет программному обеспечению, подписанному допустимым центром сертификации предоставлять услуги, к которым получают доступ из сети".:
Следовательно, даже когда брандмауэр активен, каждому подобному серверу приложению Apple, что у Вас есть выполнение, по умолчанию, позволяют принять входящие соединения. (Или, возможно, в 10,6 это даже относится к какому-либо приложению со знаком?) Ошибка в таком программном обеспечении могла захватить Ваш компьютер. Я не знаю, как это влияет на вещи как Добрый день и совместный доступ к файлам.
Если брандмауэр активен затем какое-либо программное обеспечение не-Apple (или по крайней мере неподписанное программное обеспечение) первые потребности Ваше разрешение принять входящие соединения. Когда такое программное обеспечение обновляется, оно могло бы или, возможно, не нуждалось бы в Вашем разрешении снова:
Приложение со знаком [..] может математически доказать, что это - действительно новая версия того же приложения от того же поставщика, для которого Вы выразили доверие в прошлом. Результатом является конец диалоговым окнам, просящим, чтобы Вы подтвердили выбор, безопасность которого у Вас нет разумного способа проверить.
Конечно, можно было продолжить о том, как в теории ничто не безопасно, никогда, и все это.
Но практически, да, достаточно обычно безопасно поместить Ваш Mac непосредственно в Интернете. (Все делают это – хорошо, большинство людей в любом случае – и очень маловероятно, что что-либо плохо произойдет с Вами.) Особенно, если Вы не открываете дополнительных сервисов (как httpd, и т.д.) на Вашей машине.
Тем не менее сделайте (позвольте автоматическому updater), сохраняйте свой Mac OS X всегда актуальным с последними исправлениями безопасности и проверяйте, что его встроенный брандмауэр включен.
Это никогда не безопасно для подключения компьютера с Интернетом, и всегда лучше иметь промежуточный маршрутизатор.
Так как большинство маршрутизаторов запускает встроенный Linux, это, скорее всего, более безопасно, чтобы иметь их промежуточный.
Разговор как пользователь Linux: MAC OSX имеет большинство приложений из FreeBSD, поэтому сделайте абсолютно уверенными, что у Вас есть ssh и sshfs, не установленный или выполнение, если Вам не нужны они.
И просто наличие брандмауэра недостаточно. Удостоверьтесь, что это правильно настроено.
Рассмотрение, которое Вы не выполнить что-то как IE6 из поля (в отличие от нового XP устанавливают, например) необходимо быть в порядке.
Как всегда, именно то, что Вы ДЕЛАЕТЕ в Интернете в конечном счете, производит безопасность Вашей системы. Если Вы загрузите много файлов из большого количества источников и нажмете на каждую ссылку, которая появляется Ваш путь затем, который Вы в более высоком риске (конечно, если Вы примете правильные меры предосторожности безопасности, то Вы будете правы),
Как другие сказали, ничто в Интернете не технически 100%-й сейф. Mac менее уязвим..., но ни в коем случае неуязвим.
Не безопасно поместить что-либо в Интернете. Однако в наше время большинство людей соединяется с Интернетом позади маршрутизатора, которые также имеют тенденцию реализовывать firwalls и безотносительно, таким образом, Вы могли использовать win95 без помехи.
Все это зависит от того, что Вы делаете с тем компьютером и если Вы только просматриваете Интернет или служите содержанию. Не может ответить ничто более определенное без более подробной информации.
У меня есть подключение ADSL NAT дома и обслуживание 3G для далеко. В то время как на 3G я заметил ssh login попытки, которые Вы обычно не видели бы позади брандмауэра NAT.
Взгляните для наблюдения, какие сервисы Вы выполняете.
netstat
или
netstat -f inet
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
udp4 0 0 *.ipp *.*
udp4 0 0 172.16.250.1.kerberos *.*
udp4 0 0 192.168.144.1.kerberos *.*
udp4 0 0 *.* *.*
udp4 0 0 localhost.ntp *.*
udp4 0 0 *.ntp *.*
udp4 0 0 *.snmp *.*
udp4 0 0 *.* *.*
udp4 0 0 *.mdns *.*
udp4 0 0 *.* *.*
udp4 0 0 *.syslog *.*
icm4 0 0 *.* *.*
Это - сокращенный список того, что я выполняю. Вы видите snmp и a syslog сервер, который Вы, вероятно, не имели бы.
Большинство сервисов слушает во всех интерфейсах (*).. В моем случае я должен fixup мой snmp и syslog к только перечисленному в моей локальной сети.
Установка nmap http://nmap.org/dist/nmap-5.21.dmg. nmap имеет много различных способов видеть, слушают ли сервис или порт - испытывают некоторых на Вашей машине, но не на других машинах, если Вы не знаете то, что Вы делаете (я, конечно, не делаю).
nmap 127.0.0.1
Starting Nmap 4.85BETA6 ( http://nmap.org ) at 2010-06-17 00:09 EST
Interesting ports on localhost (127.0.0.1):
Not shown: 960 closed ports, 32 filtered ports
PORT STATE SERVICE
22/tcp open ssh
88/tcp open kerberos-sec
139/tcp open netbios-ssn
445/tcp open microsoft-ds
548/tcp open afp
625/tcp open apple-xsrvr-admin
631/tcp open ipp
5900/tcp open vnc
Nmap done: 1 IP address (1 host up) scanned in 6.28 seconds
Попробовать nmap от другой машины также - необходимо будет установить его там также. Windows и версии Linux доступны.
Есть ли сервисы, которые Вы не хотите выполнять?
В моем случае я не уверен, почему я совместно использую файлы через самбу (139/445), таким образом, я выключу это. Я не вижу, как выключить ipp (631). Это для совместного использования принтера, которое выключено. Если я иду онлайн и nmap мой pppd IP-адрес, ipp порт закрывается. Это хорошо и подобрано cupsd файл конфигурации. Мне не нужно AFP выполнение все время, таким образом, я выключу это. Мне не нужно ssh или демонстрация экрана, работающая, таким образом, я выключу это также.
У меня теперь просто есть они выполнение.
88/tcp open kerberos-sec
625/tcp open apple-xsrvr-admin
631/tcp open ipp
Кто-то упомянул, что большинство людей находится позади брандмауэра NAT. Это, вероятно, верно, если Вы имеете маршрутизатор, но проверяете, что NAT включен.
Но на сервисе 3G Вы непосредственно соединены так, необходимо быть осторожными. Я не был, таким образом, это было хорошим вопросом заставить меня рассмотреть свои настройки.
Другие вещи сделать.
- Рассмотрите Ваш
appfirewall.logфайл - Если Вы являетесь техническими, попытайтесь добавить некоторых
ipfwправила.
Помните, если услуга не работает, никто не может войти. Так, чем меньше портов, которые открыты, тем лучше.