Как предотвратить подключение Ubuntu Desktop к любому серверу Ubuntu?

Вопрос или проблема

Я сократил все прослушивающие службы на своем Ubuntu рабочем столе, чтобы не видеть слова LISTEN в netstat. Во время проверки netstat сегодня я увидел tcp_wait соединение с портом ubuntu-content-cache-3.ps5.canonical.com:80, хотя ничего не было открыто, кроме терминала. Я знаю, что это безопасные соединения, но я хочу их остановить. Мне нужен этот рабочий стол только для одного приложения и ничего больше, чтобы не беспокоить мое параноидальное состояние.
Система работает на lxde с lightdm на Ubuntu 22.04.

Фактический URL, вызываемый Ubuntu, это contracts.canonical.com (обнаружено через tcpdump) на моей системе, что связано с Ubuntu Pro.

FQDN, который вы написали, является одним из нескольких, насколько мне известно:

ubuntu-content-cache-1.ps5.canonical.com
ubuntu-content-cache-2.ps5.canonical.com
ubuntu-content-cache-3.ps5.canonical.com

Все эти FQDN являются результатами обратного DNS поиска их соответствующих IP адресов, полученных при обращении к contracts.canonical.com.

Соединение может быть инициировано выполнением команды sudo pro refresh.

Соединение устанавливается несколькими частями компонентов Ubuntu Pro / ESM / Ubuntu Advantage. Одна из служб – это служба esm-cache, это можно наблюдать, выполнив sudo systemctl status esm-cache на Ubuntu 24.04 LTS noble, особенно если соединение не удалось. Решением будет отключить клиент Ubuntu Pro, остановив и отключив службу ubuntu-advantage и замаскировав службу esm-cache:

sudo systemctl stop ubuntu-advantage.service
sudo systemctl disable ubuntu-advantage.service
sudo systemctl mask esm-cache.service
sudo dpkg-divert --rename --divert /etc/apt/apt.conf.d/20apt-esm-hook.conf.disabled --add /etc/apt/apt.conf.d/20apt-esm-hook.conf

Служба безопасна для отключения, источник: https://manpages.ubuntu.com/manpages/noble/man1/ubuntu-advantage.1.html

Однако, даже отключив вышеупомянутые службы, соединения стали более редкими, но все равно выполняются, и я еще не смог полностью отключить обращения к contracts.canonical.com. См. также Какие службы ‘apt-news’ и ‘esm-cache’, и как их отключить? для другого обсуждения по отключению esm-cache.

Ответ или решение

Остановить Ubuntu Desktop 22.04 от подключения к любому Ubuntu Server можно, принимая во внимание несколько технических аспектов и конфигураций. Цель состоит в том, чтобы предотвратить автоматические обращения Ubuntu Desktop к удалённым серверам, например к contracts.canonical.com, والتي يمكن أن تسبب беспокойство из-за желания сохранить уровень приватности или снизить сетевые ресурсы до минимума. Для этого следует рассмотреть несколько практических шагов.

Теоретический аспект

Ubuntu, как и многие другие операционные системы, периодически обращается к удалённым серверам для получения обновлений, проверки статуса подписок (например, Ubuntu Pro) и выполнения прочих сетевых задач. Эти действия обычно выполняются в фоновом режиме системными службами, такими как ubuntu-advantage и esm-cache, которые могут инициировать соединения с серверами Canonical. Чтобы отключить эти взаимодействия, необходимо остановить и отключить соответствующие службы.

Пример

В вашей ситуации, одним из активных соединений становится соединение с ubuntu-content-cache-*.ps5.canonical.com. Оно может инициироваться службой Ubuntu Advantage, которая занимается сетевыми обновлениями и управлением подпиской. Для предотвращения таких соединений можно предпринять следующие действия:

Остановка и отключение служб:
Можно использовать системные команды для остановки и отключения служб, ответственных за такие соединения.
```
sudo systemctl stop ubuntu-advantage.service
sudo systemctl disable ubuntu-advantage.service
```
Эти команды остановят и отключат службу ubuntu-advantage, предотвращая её автозапуск при следующих загрузках системы.
Маскирование службы esm-cache:
Маскирование предотвратит случайный запуск данной службы.
```
sudo systemctl mask esm-cache.service
```
Это даст дополнительную уверенность в том, что esm-cache не запустится и не создаст нежелательных сетевых соединений.
Отключение конфигураций apt:
Помимо остановки служб, следует также изменить конфигурации apt, чтобы предотвратить вызовы к внешним ресурсам для получения подписочных обновлений.
```
sudo dpkg-divert --rename --divert /etc/apt/apt.conf.d/20apt-esm-hook.conf.disabled --add /etc/apt/apt.conf.d/20apt-esm-hook.conf
```

Практическое применение

Реализация вышеописанных действий существенно сократит количество нежелательных сетевых соединений. Однако следует понимать, что полное отключение всех сетевых взаимодействий может повлиять на функциональность системы, особенно в части получения обновлений безопасности и функциональных дополнений. Чем больше изменений в системных конфигурациях вы внесёте, тем более изолированной станет система, но и тем сложнее будет поддерживать её актуальной и безопасной.

В случаях, где вышеописанные меры всё ещё не привели к решению задачи, можно рассмотреть дополнительные подходы, например, использование сетевых брандмауэров для создания специфичных фильтров трафика, которые будут блокировать определённые домены или IP-адреса.

Также полезно будет следить за обновлениями и обсуждениями в сообществах, таких как Ask Ubuntu или официальные форумы Canonical, чтобы быть в курсе новых решений и техник, которые могут оказаться полезными в специфических ситуациях по блокировке непрошенных соединений.

Этот подход позволяет пользователю контролировать свои системы более тщательно, минимизируя нежелательные сетевые активности и поддерживая высокий уровень конфиденциальности и безопасности.