Сбой LibreOffice Writer на «buster» Debian с рабочим столом Gnome
Было бы неплохо разблокировать все порты в моем роутер?
Да.
tl; dr
Я бы не подумал об открытии портов на маршрутизаторе, который не служил законной цели в моей сети, и даже тогда я захочу фильтровать трафик на этих портах.
Обоснование
В целях обсуждения «порты» обычно не являются местом, где находится конкретная уязвимость, а скорее то, какая служба или приложение прослушивает такой-то порт.
Соединения с портами отслеживают состояние. У них есть адрес источника и адрес назначения. Когда ваш брандмауэр блокирует порт, он не просто отключает этот порт, он либо запрещает «исходящие», либо «входящие» соединения, а также принимает во внимание состояние каждого соединения.
Что касается информации, которую вы слышали об открытых портах в Linux, то «открытые порты не очень уязвимы», рассмотрите следующее:
Сценарий 1
Запретить все входящие, которые не установлены, разрешить все исходящие
У нас есть маршрутизатор, который блокирует все входящие подключения ко всем портам, которые еще не установлены разрешенным исходящим подключением. Если вы не инициируете соединение изнутри и не устанавливаете соединение, никто не сможет подключиться извне. Также представьте, что все исходящие соединения на всех портах открыты.Это безопасно?
Сценарий 2
Разрешить все входящие, разрешить все исходящие
То же, что и выше, но маршрутизатор также разрешает неустановленные исходящие подключения на всех портах, также известную как конфигурация «широко открыта». Это менее безопасно?
Сценарий 3
Запретить все входящие, отфильтровать все исходящие
Отличается от сценария 1 только тем, что брандмауэр также настроен так, чтобы разрешать только определенные исходящие подключения на определенных портах из белого списка (например, 443 , 80 , 22 ). Это безопаснее?
Заключение
Без учета трансляции сетевых адресов ...
Если вы действительно не заботитесь о безопасности, я бы сказал, что Сценарий 3 - единственный сценарий из трех чрезмерно упрощенных сценариев выше, который удаленно безопасно. Явный белый список разрешенных исходящих подключений и явный белый список (или полное запрещение) входящих подключений.
Сценарий 2 просто ожидает, когда кто-то найдет уязвимость для использования в любой службе или программе, которая прослушивает порт. Допустимая конфигурация nat выходит за рамки этого ответа, и большинство маршрутизаторов не слушают намного больше, если не происходит nat ting.
Сценарий 1 выглядит более безопасным, чем ужасный сценарий 2, но на самом деле, если есть какие-либо вредоносные программы, которые развертываются из вашей сети, они могут проникнуть через ваш брандмауэр и сеять все виды зла в вашей сети с этой конфигурацией. Cryptolocker Я смотрю на тебя.Этот тип конфигурации маршрутизатора является наиболее распространенным, но он лишь немного безопаснее, чем сценарий 2 (читайте не так много).
Я столкнулся с этой проблемой только сегодня после разрешения автоматического обновления Debian Buster (stable ). LibreOffice теперь имеет версию 6.1.5.2, и Writer аварийно завершает работу, а Calc — нет после обновления.
Мне удалось это исправить, следуя совету @StephenKitt переместить файл конфигурации в сторону:
mv ~/.config/libreoffice{,.old}
После этого мне пришлось вручную сбросить настройки LibreOffice до моих предпочтений.
в моем случае проблема решилась удалением этого пакета
sudo apt purge mesa-opencl-icd