[shisik]

Цитата jah:

то насколько безопасной будет такая система по отношению к доступу к ней из интернета »

Если ssh не поднимать, то в чём проблема?

[jah]

Цитата shisik:

Если ssh не поднимать, то в чём проблема? »

то есть без поднятия подобных сервисов, всё довольно безопасно?
проблема в том, чтобы это точно знать, так как хочу заюзать подобную систему в боевых условиях
вопрос возник на основании информации о предыдущей слежке в unity и обнаружении того, что галочки отправки отчётов об ошибках и дополнительных сведений о системе стоят в ubuntu по умолчанию

[El Scorpio]

Цитата jah:

насколько безопасной будет такая система по отношению к доступу к ней из интернета? »

У вас компьютер имеет "белый" адрес или хотя-бы подключен напрямую к "серой" сети провайдера?
Вряд ли. Сейчас практически все используют маршрутизаторы, которые отсекают любые "внешние" атаки.

Цитата jah:

вопрос возник на основании информации о предыдущей слежке в unity и обнаружении того, что галочки отправки отчётов об ошибках и дополнительных сведений о системе стоят в ubuntu по умолчанию »

Что же касается гипотетического системного сервиса, который будет загружать вредоносные команды с внешнего сервера, то этот сервис будет запускать загруженные команды без всякого пароля. Но про наличие таких сервисов в убунте сведений нет.
Ставьте программы из официальных репозиториев, не подключайте подозрительные источники и тем более не запускайте неизвестные программы.

[jah]

Цитата El Scorpio:

У вас компьютер имеет "белый" адрес или хотя-бы подключен напрямую к "серой" сети провайдера? Вряд ли. Сейчас практически все используют маршрутизаторы, которые отсекают любые "внешние" атаки. »

скорей всего не выделенный, так как обычно это отдельная услуга
у меня тоже маршрутизатор, вопрос только отсекает ли он у меня внешние атаки или нет
или имеется ввиду, что без специально настроенной трансляции адресов, коей по умолчанию нет, никак?

Цитата El Scorpio:

Что же касается гипотетического системного сервиса, который будет загружать вредоносные команды с внешнего сервера, то этот сервис будет запускать загруженные команды без всякого пароля. Но про наличие таких сервисов в убунте сведений нет. »

так скажем, не вредоносные программы, а неизвестные мне, которые могут дать коннект по логин-паролю

[El Scorpio]

Цитата jah:

у меня тоже маршрутизатор, вопрос только отсекает ли он у меня внешние атаки или нет »

Поскольку у вас стоит маршрутизатор, то ваш компьютер имеет только IP-адрес из внутренней сети маршрутизатора (например 192.168.1.2).
Этот адрес доступен только устройствам из вашей же домашней сети.

Злой хакер может обратиться только к внешнему IP-адресу вашего маршрутизатора, однако по-умолчанию любые подключения к имеющемся в нём средствам управления (вёб-интерфейс, строка telnet и т.д.) работают только по внутреннему интерфейсу.

Цитата jah:

или имеется ввиду, что без специально настроенной трансляции адресов, коей по умолчанию нет, никак? »

Угу. Для доступа к определённой службе определённого компьютера во внутренней сети по внешнему адресу на маршрутизаторе нужно настроить "проброс порта". Однако по-умолчанию никаких пробросов нигде не прописано, а настроить маршрутизатор соответствующим образом можно только изнутри (см. предыдущую строку).

Цитата jah:

так скажем, не вредоносные программы, а неизвестные мне, которые могут дать коннект по логин-паролю »

"давать коннект" могут только программы, ожидающие входящего подключения.
Или троянские программы, в которых специально прописана отправка исходящих подключений к серверу злого хакера для получения дальнейших инструкций и/или создания несанкционированных соединений к стандартным службам удалённого управления.

Так что запускайте только безопасные программы из надёжных официальных источников, и будет вам счастье.

[jah]

El Scorpio, спасибо

[MakaBooka]

"слабый пароль" учётки влияет только на ssh (решается доступом только по ключу) и (вот это серьёзнее) получением прав по sudo: если пароль "1", то любой процесс в два счёта может получить рутовые права. Соответственно, учётки со слабыми паролями не должны иметь возможность выполнения по sudo (вообще или можно задать те немногие команды, которые можно). Так же можно настроить SELinux. Ну и самое главное уже озвучили: помнить, что штатный способ установки софта - из проверенных репозитариев, тащить, как в венде, всё подряд с интернет-помоек - не стОит.