インターネット接続でDebianをインストールするのは危険ですか?

インターネット接続でDebianをインストールするのは危険ですか?

Debianをインストールした後読んでいます。Debian セキュリティマニュアルそして、インストール中にインターネットに接続できないという警告が見つかりました。これがDebianをインストールする基本的な方法だと思って驚きました。実際にインターネットに接続せずにインストールすると、インストールが失敗したり機能しないという話がたくさんあります。また、インストーラは明示的な拒否なしにインストールプロセスの初期にインターネット接続を要求しましたが(おそらく私が見逃した可能性があります)、インターネット接続は必要ありませんでした。Debian インストールガイドインストーラは、これが安全ではないことについても言及していません。

だから私の質問は:2022年にラップトップにDebian stable(Bullseye)をインストールするときにインストール中にインターネットに接続するのは危険ですか?具体的なリスクは何ですか?たとえば、Debian のセキュリティマニュアルにはこんな感じがあります。セクション3.3:準備ができるまでインターネットに接続しないでください:

システムはすぐにサービスをインストールしてアクティブにするため、システムがインターネットに接続されており、サービスが正しく構成されていない場合、攻撃にさらされます。

ここではどのサービスを指しますか?これはサーバーのインストール(Webサーバー、SSHなどの実行)にのみ適用されますか、それともデスクトップユーザーにも影響しますか?

答え1

システムはすぐにサービスをインストールしてアクティブにするため、システムがインターネットに接続されており、サービスが正しく構成されていない場合、攻撃にさらされます。

うん、それは言わない。サービスのデフォルト設定は安全でなければならず、他のすべては安全でない基本インストールをプッシュするDebianの誤りです。とにかく、サービスの有効化はデーモンパッケージの設定の最後のステップなので、インストール後に魔法のように安全になりません。

だから正直に言って、このガイドはDebianパッケージングの現実やセキュリティのベストプラクティスに細心の注意を払っていないようです。たぶんそれを無視するだけです。

3.4のように、状況はさらに悪化します。

良いルートパスワードを設定することは、セキュリティシステムを維持するための最も基本的な要件です。

本当にゴミが多いです。ルートパスワードが設定されていないと、ルートはそのパスワードを使用してログインできません。これは、正しいパスワードでルートログインするよりも確かに安全です。

したがって、実際にそのガイドを無視してください。それは間違っていて非常に古いですが(引用された参照で判断した場合)、間違っているわけではなく、Debian 11には完全には不適切です。update-rc.dたとえば、現代の Debian スクリプトで役割/存在がなくなったことを示します。 Debian システムにはデフォルトで Telnet がインストールされておらず、古い inetd もありません。

このガイドは2000年代初頭には疑わしく、2022年には間違っているか時代遅れのアドバイスでいっぱいです。それにもかかわらず、セキュリティシステムでは、特定の指示に従うよりもDebianのデフォルトを使用する方が良いです(「不要なデーモンを明示的にインストールしない場合」を除く)。


実は、変更ログ2013年1月(ほぼ10年前)の改訂版3.16を表します。

文書が最新バージョンに更新されていないことを示します。

ドキュメントのどこにもこの指示がありません。正直に言うと、その文書は当時あまり良くなかったし、良くなかった。本物2009年から更新されました。この文書は現在すでに存在しています。減らす読者の安全;)

答え2

ほとんどのパッケージはインターネット接続なしでインストールできます。 netinst イメージを使用しないでください。しかし、anetinst自体は安全ではありません。その理由は、netinstイメージにパッケージの署名に使用されたすべてのDebian GPGキーが含まれており、システムがメッセージの傍受攻撃によって改ざんされたパッケージがないことを確認するためです。あなたが言及した指示はこれにはお勧めできません。

このマニュアルでは、コンピュータを設定する前にコンピュータをインターネットに接続するように警告します。ある意味では、マニュアルがどこから出てくるのかがわかります。これはセキュリティポリシーによって異なります。インターネットに接続する前に、すべてをポリシーに準拠させることが合理的です。サービスをインターネットに公開する前に、サービス構成を変更できます。

例:

openssh-server基本インストール中にインストールし、次のデフォルト値に構成できます。

PasswordAuthentication yes

これにより、ssh単純なキーの代わりにパスワードを使用してデバイスに入ることができます。ほとんどの人にとって、これはssh-copy-idシステムをロックする前にシステムのSSHキーを取得する機会を提供するので便利です。一部のユーザーは、ユーザー名/パスワードを繰り返し推測しようとする攻撃者をブロックするなどの方法をPasswordAuthentication yes使用してこれを維持したいと考えています。fail2ban他の人は、単純な非標的辞書攻撃では解読できない強力なパスワードに頼っています。

ユーザー名/パスワードを共有する習慣がある会社で働いている場合、コンピュータをPasswordAuthentication yesインターネットに公開すると、知っている人(以前の従業員)がコンピュータにアクセスできるウィンドウが開きます。

会社/政府で働いている場合は、ポリシーだけがあり、PasswordAuthentication noいつでも異なる構成のシステムを受け入れないでください。

ただし、インストールしたいが設定を変更したり、追加のセキュリティ(または)をインストールするopenssh-server予定がない場合は、インストール後にインターネット接続を待つことは役に立ちません。ufwfail2ban

関連情報