Вопросы Теги

Как обезопасить Ubuntu для нетехнического пользователя? (твоя мама)

Моя мама будет путешествовать некоторое время, и мне нужно предоставить ей безопасный ноутбук, чтобы она могла работать. О ноутбуке с Windows не может быть и речи, потому что:

  • она будет подключаться к хитрым беспроводным сетям отелей и конференц-сетям

  • по цене Лицензия Windows для установки на нетбук

Я установил на него libreoffice, медиаплееры и Skype. Также включен SSH, поэтому я могу вмешаться, но я боюсь, что не смогу сделать это.

Возможные угрозы:

  • просмотр веб-страниц

  • USB-накопители

  • небезопасные сети, склонные к вторжения

  • вредоносное ПО

  • уязвимости SSH / VNC

  • уязвимости Skype

Во всех руководствах по безопасности Ubuntu предполагается, что пользователь обладает определенным уровнем технических знаний, но это не относится к мамам в целом. Если вредоносная программа может получить доступ даже на уровне пользователя, это может поставить под угрозу ее файлы.

11
задан 26 March 2012 в 20:29

5 ответов

Необходимо выполнить брандмауэр (ufw) и позволить только порты, которые необходимы, чтобы быть открытыми (22 SSH). https://help.ubuntu.com/community/UFW при необходимости в GUI с ufw существует GUFW. https://help.ubuntu.com/community/Gufw

Необходимо также использовать что-то как sshguard, чтобы удостовериться, что автоматические боты и т.д. не смогут войти в систему. http://www.sshguard.net/, который SSHGuard не пустит в один неудавшийся вход в систему, пытается к 5 или 15 (я не помню, который) минуты сначала и он повысит экспоненциально после более неудавшихся попыток входа в систему. У меня есть псевдонимы для помощи в этом случае.

alias ssh-add='\ssh-add -D && \ssh-add '

(Таким образом, ssh-агент не будет содержать слишком много ключей и сбоя из-за этого),

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Для наблюдения запретов, которые sshguard добавил),

alias sshguard-unban='sudo iptables -D sshguard '

(Для легкого незапрета IP-адреса. Sshguard-незапрет использования number_from_sshguard_show_bans)

Необходимо также сказать SSHd не позволять вход в систему с паролем (дополнительный, но рекомендуемый. Если Вы не делаете этого, используйте, по крайней мере, sshguard или альтернатива ему), https://help.ubuntu.com/11.10/serverguide/C/openssh-server.html

VNC мог быть туннелирован с SSH. В ~/.ssh/config это - что-то вроде этого:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

Последняя строка вперед порт 5900 (VNC) к localhost порту 8090 так для соединения с удаленным сервером скажите клиенту VNC соединяться с localhost 8090. (Существует 4 пробелов перед "Пользователем" "Порта" "имя хоста" и "LocalForward"

1
ответ дан 26 March 2012 в 20:29

Держите его обновленным (автоматически).

Если вам нужно использовать ssh (я думаю, вам нужно что-то исправить ... :)), установите сервер openVPN на свою машину и клиент на ней (и автоматическое / постоянное соединение). Если ваш IP динамический, вам понадобится динамический DNS (например, dnsexit.com). Таким образом, вы сможете добраться до ее машины повсюду, используя туннель (даже если в локальной сети отеля, где вы не сможете использовать SSH, как правило, потому что вы не контролируете маршрутизатор, к которому она подключена, только VNC или команда просмотра, и это означает, что сервер VNC всегда онлайн ...). Разрешите SSH и VNC (или аналогичные) соединения только в подсети openvpn (и только вы сможете подключиться к ним).

Не забудьте настроить iptables, чтобы блокировать все снаружи, включая все подсети локальных сетей (для небезопасных гостиничных локальных сетей), кроме подсети openvpn (и не используйте стандартную подсеть :)).

Используйте VNC или любой другой удаленный рабочий стол через туннель, и вы должны быть в безопасности.

ОБНОВЛЕНИЕ после того, как я видел ваш комментарий о настройке VPN каждый раз: вы можете запустить VPN при загрузке и разрешить это таким образом. Когда ваш компьютер не подключен к сети или ваша мать не подключена к Интернету, подключение не будет установлено и повторяется каждые x минут (вы установили его). Когда обе машины в порядке, соединение будет успешным, поэтому она будет иметь постоянное соединение, ничего не делая (например, 2 филиала). Другим способом может быть создание небольшого сценария, запускающего openvpn, и размещение значка на ее рабочем столе, но она должна быть в sudoers, чтобы выполнить сценарий, в который я верю, и ей нужно будет не забыть нажать на значок. По этой причине я бы предпочел 1-й способ с постоянным подключением. Вам нужно только обратить внимание, чтобы не перенаправлять весь ее трафик через VPN в конфиге.

0
ответ дан 26 March 2012 в 20:29

Первое, что вы можете сделать для обеспечения безопасности этого компьютера, - это регулярно обновлять пакеты. Я бы включил полностью автоматические обновления (https://help.ubuntu.com/community/AutomaticSecurityUpdates) до тех пор, пока вероятность разрыва использования сети при подключении к изящному WiFi отеля не является серьезной проблемой.

После этого, я думаю, единственная большая проблема - это VNC. Если VNC-сервер работает постоянно, это, вероятно, самая большая потенциальная проблема безопасности в системе (SSH аналогичен по объему, но по умолчанию считается более безопасным). Если вам нужен установленный VNC и он должен работать постоянно, то, вероятно, вы ничего не можете с этим поделать - он либо запущен, либо нет, и вы мало что можете сделать, чтобы обезопасить процесс, который контролирует ввод / вывод, как VNC. Но если вам не нужно, чтобы он был включен постоянно, просто отключите его. Вы можете запустить его вручную через SSH, если вам нужно.

Пока ваши пакеты обновлены, я не буду беспокоиться о просмотре веб-страниц, USB-флешках, вредоносном ПО или SSH-уязвимостях. Настольные компьютеры / ноутбуки Linux не являются для них обычной целью, и Ubuntu довольно хорошо защищена своим дизайном. Даже если вы не сделаете ничего особенного, чтобы обезопасить себя от этих уязвимостей, система Ubuntu будет менее подвержена риску, чем машина Windows, на которой работает даже довольно хорошее программное обеспечение безопасности.

Skype не обязательно является безопасным, но он не работает с повышенными привилегиями, и вы не можете многое сделать для его защиты, учитывая состояние версии Linux linux. Просто имейте в виду, что Skype для Linux не очень стабильный или функциональный, и над ним давно не работали. Тем не менее, я все время использую его для деловых целей, и после того, как привык к его причудам, это было достаточно.

0
ответ дан 26 March 2012 в 20:29

Самая важная угроза безопасности для дорожных воинов - это небезопасное сетевое соединение (общедоступный Wi-Fi), которое позволяет незашифрованному трафику считываться третьими лицами или атакам «посредник» на зашифрованный трафик.

Единственный способ обойти это - использовать VPN. Если у вас есть сервер, просто настройте VPN на нем. PPTP или OpenVPN легко настраиваются, и, по крайней мере, первый поддерживается практически всеми (Linux, Mac, Win, iPhone, Android, как вы это называете).

Для удаленной поддержки я бы порекомендовал Teamviewer. Работает везде и за каждым брандмауэром.

0
ответ дан 26 March 2012 в 20:29

А как насчет доступа UMTS / LTE? Это защитит от нюхания и позволит SSH. Это стало действительно легко настроить. Вы должны будете научить свою маму, как получить ее IP или получить решение, подобное dyndns Это вопрос цены и покрытия, конечно.

0
ответ дан 26 March 2012 в 20:29

Другие вопросы по тегам:

Похожие вопросы: