提要:如果你和我一樣,對命令行一竅不通、英語只有中學水平、鍵盤只會二指禪,但對Linux很感興趣,在網上大部分教程都是各種命令的情況下,該怎么愉快使用Linux呢?本期的重點是局域網和防火墻。在此期間,你會看見好幾個命令。系統是Linux mint 18.3 kde amd64。
一、勒索病毒
Windows平臺出現WannaCry之后,Linux又出現了SambaCry。但對于一般用戶來說,不管是什么Cry,原本不該產生什么影響,所以也不該受重視。為什么這么說呢?
Samba官網對漏洞的描述是這樣的:“Malicious clients can upload...from a writable share”。雖然我不太懂英文,但這個漏洞看起來太難了——憑什么你能連接別人的電腦?憑什么你能匿名登錄?憑什么你還可以寫入?
所以,能夠中毒的人至少犯了三個錯誤:允許陌生人連接、允許陌生人登錄、允許陌生人寫入。其中后兩點可能利用別的漏洞,但第一點是病毒在網絡中傳播最大的難點,因為大部分系統都是有防火墻的。
以前我們說過,Ubuntu默認關閉防火墻,應當自行打開,并配置為拒絕所有傳入連接。對于Windows來說,如果不是人為設置,默認的防火墻也是不允許傳入的,那么WannaCry怎么會在校園網中傳播呢?
下面是校園網的兩種常見操作:
1、在網上搜索windows 7純凈版下載,來到了××之家(圖1)。沒想到還有這種優化。
2、在網上搜索怎么打dota,來到了×度經驗(圖2)。沒想到還有這種經驗。
校園網中有上千用戶,從這一點來看,連網吧都比校園網靠譜。當年我還上學的時候,整棟樓都是網上鄰居——林子大了什么鳥都有,一旦關上防火墻,你的論文可能就沒了。
二、配置防火墻
假設現在我的防火墻是這樣的(圖3)。
雖然這樣很安全,但為了使用某些程序,現在必須添加白名單。下面列舉幾個例子,來說明適用于不同情況的防火墻規則:
1、公開
Qbittorrent作為一個種子客戶端,應當是開放的。前面說過,qb默認使用8999端口,假設程序有未公開的漏洞,那么或許會出現一種掃描8999端口的病毒,因此向太多人開放的端口應當不是默認值(比如把ssh端口從22改成1926)。
在qb設置中隨機一個看著順眼的端口(圖4)。
點擊防火墻下面的加號,配置一個簡單規則(圖5)。
切換到右邊的“Report”,可以看到qb的連接狀況(圖6),至于圖上的其它幾個端口——既然不認識,就不要管它了。有些軟件在預設規則中找不到,軟件本身也沒有太多說明,此時可以利用“Report”來創建規則。
2、局域網
添加Samba規則非常簡單,只要在預設中搜索即可(圖7)。
但這樣搞也不太好,繼續編輯預設規則,(圖8),限制對方的ip地址。圖中的192.168.0.0/24表示192.168.0.×××這樣的地址,這可能是你的路由器下面的所有設備的地址,如果你覺得它們是安全的,這樣應該沒有問題(有時候路由器本身會有問題)。現在隔壁的192.168.1.×××就會被拒絕。
3、私密連接
每個人都有一些不愿被人發現的秘密,比如我就不想被人發現自己看漫畫,畢竟這是小孩子的玩意。現在我們用以前提到過的Calibre開一個漫畫服務器,選擇常用端口8080。
添加規則,只寫一個ip,也就是我的手機,這會導致其他所有ip都不能看我的漫畫。
在手機上用chrome打開192.168.0.xxx:8080,并作為pwa應用添加到桌面,現在可以藏被窩里看熱血動作勵志偶像漫了。由于pwa的特性,這些漫畫可以離線觀看。
4、其他
ip轉發:目前并不需要。
為不認識的應用配置防火墻:本文最后的“kde connect”或許可以作為參考。
三、使用Samba
我們都對Windows的網上鄰居比較熟悉,如果你想加入“workgroup”,那就用Samba。安裝Samba請去應用商店,之后就可以使用Windows文件和打印機共享。
如果實在想用命令的話,你現在可以試著添加一個賬號(圖10)。
現在找到你要共享的文件夾,右鍵-屬性-共享(圖11)。此處可允許匿名登錄,但一定不能有寫入權限。如果要寫入的話,請使用剛才添加的“lucy”,把這個賬號設置為“完全控制”。
現在可以在文件管理器中查看Windows工作組(圖12)。
由于我沒錢再買一個電腦,只能用手機來演示。總之先花兩塊錢買個像樣的文件管理器(圖13)。
在文件管理器中添加一個smb連接(圖14)。
進行端口掃描(圖15),由于上面的防火墻配置,不在白名單中的設備是掃不到我的。
填寫賬號密碼,這個密碼不是系統密碼,而是圖9的密碼。如果不填,就會是匿名登錄(圖16)。
成功接入(圖17)。現在可以瀏覽文件,但能不能寫入,取決于上面的設置和你的登錄賬號。
現在還有一個問題。目前使用的是被微軟放棄了的smb1,也就是xp上的版本,出現許多問題的也是它。如果你毫不在意xp能不能訪問你的共享,那就禁用它吧。
打開/etc/samba/smb.conf。由于上次用記事本被嫌棄不專業,這次用高級記事本——雖然沒有任何區別。在第26行后面加幾句話(圖18)。
現在已經無法使用舊協議了(圖19)。
四、建立局域網
在這之前,先要解決熊孩子的問題。眾所周知,上次我剪了他的專輯然后又刪掉了,沒想到竟然會被發現。現在他找上門來,我只好把上面的熱血漫畫賠給他。在這期間,他嚷嚷著要連WiFi玩農藥,于是我偷偷給他搞了個熱點。
在系統托盤上右鍵打開網絡連接,新建一個wifi,起一個一看就是熱點的名字,模式選“接入點”(圖19)。
設置一個人人都能猜到的簡單密碼(圖20)。
選擇“與其他計算機共享”(圖21),這樣就能把你的網絡分享出去——本來應該是這樣的。
但由于我一時手快選錯了(圖22),變成了一個沒插網線的路由器。但我還是把密碼告訴了熊孩子——反正我這邊能上網,可能是你的手機有問題吧。
五、連接手機
這是我第一次使用kde connect連接電腦和手機,防火墻預設規則里面沒有這玩意。Gufw的“Report”中顯示使用了1716端口,但這個軟件功能眾多,1716或許只是其中之一,此時應當查閱官方文檔。文檔中稱“KDE Connect uses dynamic ports in the range 1714-1764 for UDP and TCP”。我現在有兩個路由器,隔壁房間是192.168.1.1,這個房間是192.168.0.1,手機在這兩個房間里應當都能連接。現在我們來建立一個規則。
使用192.168.0.1/23來覆蓋從192.168.0.x到192.168.1.x的地址范圍(別問我這是為什么,因為網上有一種叫做“IP地址計算器”的東西),使用1714:1764來表示1714-1764間的所有端口,分別建立tcp和udp規則(圖23)。
規則生效后,程序能發現并連接設備(圖24)。
手機端要在谷歌商店安裝“kde connect”。連接后大致實現了以下功能:
1、通知雙向同步。電腦和手機會互相收發應用或系統通知,電腦端可接收短信、電話。
2、剪貼板雙向同步。這頭復制,那頭粘貼。這在復制段子發評論的時候可能特別有用,畢竟人的本質就是復讀機啊。
3、文件共享。手機端集成到分享菜單(圖25),分享文件會自動發送,分享網頁會在電腦端彈出chrome。電腦端右鍵菜單可選“發送到手機”,資源管理器可遠程管理手機存儲。
4、手機代替鍵盤打字。雖然平時沒有任何意義,但躺在床上用手柄玩電腦的時候終于不用再忍受手柄打字了。
5、運行預設命令,可以在電腦端設置(圖26)。
躺床上關機的命令是“systemctl poweroff”,由于此時摸不到電腦且無法輸入密碼,命令只能以用戶權限運行(圖27)。經測試,晚上掛機下載小電影,下載完成后手機接收通知并使用此功能關機是可行的。
下期預告:如何安裝打印機?打印機的光盤只給了Windows驅動怎么辦?如何把打印機共享給別人?如果下一期之前我不能白嫖一個真正的打印機,可能就要用虛擬打印機來演示了。
相關閱讀:
《IT之家學院:不懂命令行怎么玩Linux(一)雙系統安裝》
《IT之家學院:不懂命令行怎么玩Linux(二)安裝軟件篇》