Вопросы Теги

Как защитить Ubuntu для нетехнического пользователя? (твоя мама)

Мой опыт работы с Xonar U3 и 11.10 на ноутбуке Samsung RV511 был очень хорошим.

Установка просты, просто подключитесь и перейдите в «Настройки звука» (щелкните правой кнопкой мыши по значку «Звук»), а на вкладках аппаратного обеспечения, ввода и вывода выберите, в свою очередь, USB Advanced Audio Device. И там у вас есть, заметно улучшенный выход звука, не использовали Xonar с микрофоном, но я не могу прокомментировать возможности ввода Xonar.

К Xonar можно также получить доступ через alsamixer, не зная, не отличается ли это от использования настроек звука (возможно, нет).

11
задан 26 March 2012 в 21:29

5 ответов

Единственное, что вы можете сделать, чтобы обеспечить безопасность этого компьютера, - это обеспечить регулярное обновление пакетов. Я бы включил полностью автоматические обновления (https://help.ubuntu.com/community/AutomaticSecurityUpdates), если потенциальная возможность использования сети при подключении к изворотливому WiFi отеля не является серьезной проблемой.

После этого, я думаю, единственной большой проблемой является VNC. Если сервер VNC работает постоянно, это, вероятно, самая большая потенциальная проблема безопасности в системе (SSH похож по объему, но по умолчанию считается более безопасным). Если вам нужен VNC и нужно, чтобы он работал все время, то, вероятно, вы ничего не можете с этим поделать - он либо запущен, либо нет, и вы не можете сделать так, чтобы защитить процесс, который имеет контроль над вводом / output, как VNC. Но если вам это не нужно, то просто отключите его. Вы можете запустить его вручную через SSH, если вам нужно.

Пока ваши пакеты обновлены, я не буду беспокоиться о веб-браузере, USB-накопителях, вредоносных программах или уязвимостях SSH. Linux-настольные компьютеры / ноутбуки не являются общей целью для них, и Ubuntu довольно хорошо закаливается по дизайну. Даже если вы не сделаете ничего особенного для защиты от этих уязвимостей, система Ubuntu будет менее подвержена риску, чем компьютер Windows, на котором работает даже довольно хорошее программное обеспечение безопасности.

Skype не обязательно безопасен, но он не работает с повышенными привилегиями, и вы не можете сделать это, чтобы защитить его, учитывая состояние версии linux для Skype. Просто имейте в виду, что Skype для Linux не очень стабилен или функциональен и долгое время не работал. Это было сказано, я использую его для деловых целей все время, и после того, как я привык к его причудам, он был адекватен.

9
ответ дан 25 May 2018 в 13:13
  • 1
    я думаю, что зритель команды лучше, чем vnc – One Zero 27 March 2012 в 00:01
  • 2
    SSH не будет работать, если она находится в гостинице (или любой) LAN, потому что не будет возможности добраться до ее машины, не управляя маршрутизатором ... – laurent 27 March 2012 в 01:57
  • 3
    @laurent будет компрометировать безопасность SSH? – Gil 27 March 2012 в 13:45
  • 4
    @Gil Открытие порта SSH в Интернете всегда является проблемой, и если ваша мама находится в локальной сети (в гостиницах или конференц-залах) даже при открытом порту, вы не сможете добраться до своего компьютера, потому что IP (если вы это знаете например, из зрителя команды) будет связан с маршрутизатором локальной сети, и он не перейдет на компьютер вашей мамы. Таким образом, вы не сможете подключиться к своему компьютеру таким образом (но другие в локальной сети отеля будут). Поэтому я думаю, что это не рабочее решение, и это опасно. Я думаю, что способ, которым я ответил, используя VPN, - это единственный простой способ достичь своего компьютера всегда и без особого риска. – laurent 29 March 2012 в 06:41
  • 5
    Существует такая вещь, как «обратный ssh», где соединение инициируется хостом - ваша мать в этом случае - и это может быть упаковано в сценарий и помещено на рабочий стол для пользователя, чтобы использовать его в чрезвычайные ситуации. Однако я не знаю никаких подробностей об этом подходе, так как мне никогда не приходилось использовать его сам. – Andrew G. 29 March 2012 в 23:41

Самый важный риск безопасности для дорожных воинов - это небезопасное сетевое соединение (общедоступное WiFi), которое позволяет считывать незашифрованный трафик третьими лицами или атаки «человек-в-середине» на зашифрованный трафик.

] Единственный способ использования VPN. Если у вас есть сервер, просто настройте VPN на нем. PPTP или OpenVPN легко настраиваются, и, по крайней мере, первая поддерживается практически всеми (Linux, Mac, Win, iPhone, Android, вы называете это).

Для удаленных Я бы рекомендовал Teamviewer. Работает везде и за каждым брандмауэром.

3
ответ дан 25 May 2018 в 13:13
  • 1
    Это моя мать. Она не собирается настраивать vpn каждый раз, когда она подключается. – Gil 27 March 2012 в 02:18
  • 2
    @Gil: Ubuntu позволяет вам автоматизировать этот процесс, пока у вас есть «фиксированный». внешний провайдер для VPN. Например, вы можете настроить правило для подключения к VPN при использовании WLAN, в то время как обычная проводная локальная сеть не будет инициировать это поведение. +1 для ответа, кстати. – 0xC0000022L 29 March 2012 в 07:34

Как насчет доступа UMTS / LTE? Это защитит от обнюхивания и позволит SSH. Это очень легко настроить. Вам нужно будет научить вашу маму, как получить ее IP-адрес или получить решение типа dyndns. Конечно, это вопрос ценообразования и охвата.

2
ответ дан 25 May 2018 в 13:13

Вы должны запустить брандмауэр (ufw) и разрешить только порты, которые необходимо открыть (22 SSH). https://help.ubuntu.com/community/UFW Если вам нужен GUI с ufw, есть GUFW. https://help.ubuntu.com/community/Gufw

Вы также должны использовать что-то вроде sshguard, чтобы убедиться, что автоматические боты и т. д. не смогут войти в систему. https://help.ubuntu.com/community/UFW SSHGuard будет запрещать одну неудачную попытку входа в систему до 5 или 15 (я не помню, какие) минуты сначала, и она будет увеличиваться экспоненциально после более неудачные попытки входа в систему. У меня есть псевдонимы, чтобы помочь в этом случае. 

alias ssh-add='\ssh-add -D && \ssh-add '

(Таким образом, ssh-агент не будет содержать слишком много ключей и из-за него не будет) 

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Чтобы увидеть запреты, которые добавил sshguard) 

alias sshguard-unban='sudo iptables -D sshguard '

(Чтобы легко удалить запрещенный IP-адрес. Использование sshguard-unban number_from_sshguard_show_bans)

Вы также должны сообщить SSHd, чтобы не разрешать вход с паролем (необязательно, но рекомендуется. Если вы этого не сделаете, используйте по крайней мере sshguard или альтернативу ему) https://help.ubuntu.com/11.10/serverguide/C/openssh-server.html

VNC может туннелироваться с SSH. В ~ / .ssh / config это примерно так: 

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

Последняя строка пересылает порт 5900 (VNC) на локальный порт 8090, поэтому для подключения к удаленному серверу сообщите клиенту VNC о подключении к localhost 8090 (Перед «Port» «User» «hostname» и «LocalForward» есть 4 пробела

1
ответ дан 25 May 2018 в 13:13

Держите его обновленным (автоматически).

Если вам нужно использовать ssh (я думаю, вам нужно исправить вещи ... :)) установите openVPN-сервер на свой компьютер и клиент на нее (и автоматически / постоянное соединение). Если ваш IP динамический, вам понадобится динамический DNS (например, dnsexit.com). Таким образом, вы сможете добраться до своей машины повсюду, используя туннель (даже если в локальной сети в гостинице, где вы не сможете использовать SSH другим способом, потому что вы не контролируете маршрутизатор, к которому она подключена, только VNC или просмотрщик команд, и это означает, что сервер VNC всегда в сети ...). Разрешить соединение SSH и VNC (или similars) только в подсети openvpn (и только вы сможете подключиться к ним).

Не забудьте настроить iptables, чтобы блокировать все извне, включая все локальные сети подсети (для небезопасных локальных сетей), кроме подсети openvpn (и не использовать по умолчанию:)).

Используйте VNC или любой удаленный рабочий стол, который вы хотите по туннелю, и вы должны быть в безопасности.

UPDATE после того, как я увидел ваш комментарий об установке VPN каждый раз: вы можете запустить VPN при загрузке и позволить этому. Когда ваш компьютер не подключен к сети или ваша мать не подключена к Интернету, соединение не будет выполнено и повторите каждые x минут (вы установите его). Когда обе машины в порядке, соединение будет успешным, поэтому она будет иметь постоянное соединение без каких-либо действий (например, 2 филиала). Другой способ может заключаться в том, чтобы создать небольшой скрипт, начинающийся с openvpn, и поместить значок на свой рабочий стол, но ей нужно будет быть в sudoers, чтобы выполнить сценарий, который я верю, и ей нужно будет не забудьте щелкнуть значок. По этой причине я предпочел бы 1-й путь с постоянной связью. Вам нужно только обратить внимание, чтобы не перенаправлять весь трафик, хотя VPN в конфиге.

1
ответ дан 25 May 2018 в 13:13

Другие вопросы по тегам:

Похожие вопросы: