Як убезпечити Ubuntu для нетехнічного користувача? (твоя мама)

Моя мати деякий час буде подорожувати, і мені потрібно забезпечити їй безпечний ноутбук, щоб вона могла працювати. Ноутбук Windows не підлягає сумніву, оскільки:

• вона буде входити в примхливі бездротові мережі готелів та конференц-мережі

• ціна ліцензії Windows на встановлення на нетбук

Я встановив лібріофіс, медіаплеєри та скайп на ньому. Також увімкнено SSH, тому я можу втрутитися, але я переживаю, що я не можу це зробити.

Можливі загрози:

• перегляд веб-сторінок

• USB-палички

• незахищені мережі, схильні до вторгнень

• зловмисне програмне забезпечення

• Уразливості SSH / VNC

• Уразливості Skype

Усі посібники із забезпечення "Ubuntu" , які припускаються, передбачають, що користувач має певний рівень технічних знань, але це не так у мам. Якщо зловмисне програмне забезпечення може отримати доступ навіть на рівні користувача, це може поставити під загрозу її файли.

Перше, що ви можете зробити, щоб захистити цей комп'ютер - це забезпечити регулярне оновлення пакунків. Я б увімкнув повністю автоматичні оновлення (https://help.ubuntu.com/community/AutomaticSecurityUpdates), доки потенціал для сплеску використання мережі під час підключення до химерного WiFi готелю не є серйозною проблемою.

Після цього, я думаю, єдина велика проблема - ВНК. Якщо сервер VNC працює постійно, це, мабуть, найбільша проблема безпеки в системі (SSH схожий за обсягом, але вважається більш безпечним за замовчуванням). Якщо вам потрібен інстальований VNC і він потрібен, щоб він працював увесь час, ви, мабуть, нічого з цим не можете зробити - він працює або не працює, і ви не можете багато чого зробити, щоб забезпечити процес, який має контроль над входом / вихід, як це робить VNC. Але якщо вам не потрібно, щоб воно було постійно, тоді просто відключіть його. Ви можете запустити його вручну через SSH, якщо потрібно.

Поки ваші пакети актуальні, я б не переймався переглядом веб-сторінок, USB-накопичувачами, зловмисним програмним забезпеченням або вразливістю SSH. Настільні ПК / ноутбуки Linux не є загальною ціллю для них, і Ubuntu досить добре загартований дизайном. Навіть якщо ви не зробите нічого особливого для захисту від цих вразливих ситуацій, система Ubuntu буде менш схильна, ніж машина з Windows, на якій працює навіть досить хороше програмне забезпечення.

Skype не обов'язково захищений, але він не працює з підвищеними привілеями, і ви не можете зробити це для його захисту, враховуючи стан версії Linux Skype. Просто пам’ятайте, що Skype для Linux не дуже стабільний або функціональний, і над ним тривалий час не працювали. Як було сказано, я використовую це для ділових цілей весь час, і після того, як я звик до його примх, він був адекватним.

Найважливішим ризиком безпеки для дорожніх воїнів є незахищене мережеве з'єднання (загальнодоступний Wi-Fi), який дозволяє читати незашифрований трафік третіми особами або атаки "людиною посередині" на зашифрований трафік.

Єдиний спосіб цього - використовувати VPN. Якщо у вас є сервер, просто встановіть на ньому VPN. PPTP або OpenVPN легко налаштовуються, принаймні, колишній підтримується нестандартно майже всім (Linux, Mac, Win, iPhone, Android, ви його називаєте).

Для віддаленої підтримки я рекомендую Teamviewer. Працює звідусіль і позаду кожного брандмауера.

Що з доступом до UMTS / LTE? Це захистило б від обнюхування і дозволило б SSH. Налаштувати це дуже просто. Вам доведеться навчити маму, як отримати її IP або отримати рішення, подібне до дайнда. Це питання ціни та покриття курсу.

Вам слід запустити брандмауер (ufw) і дозволити відкривати лише порти, які потрібні (22 SSH). https://help.ubuntu.com/community/UFW Якщо вам потрібен графічний інтерфейс з ufw, є GUFW. https://help.ubuntu.com/community/Gufw

Ви також повинні використовувати щось на кшталт sshguard, щоб переконатися, що автоматичні боти тощо не зможуть увійти. http://www.sshguard.net/ SSHGuard заборонить одну невдалу спробу входу до 5 або 15 (я не пам’ятаю, які) хвилини спочатку, і вона підніметься експоненціально після більше невдалих спроб входу. У мене є псевдоніми, які допоможуть у цій справі.

alias ssh-add='\ssh-add -D && \ssh-add '

(Отже, ssh-агент не буде містити занадто багато ключів і виходить з ладу через нього)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Щоб побачити заборони, які додав sshguard)

alias sshguard-unban='sudo iptables -D sshguard '

(Щоб легко заборонити IP-адресу. Використовуйте номер sshguard-unban_from_sshguard_show_bans)

Ви також повинні сказати SSHd не дозволяти вхід з паролем (необов’язково, але рекомендується. Якщо цього не робити, використовуйте принаймні sshguard або альтернативу йому) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC можна тунелювати за допомогою SSH. У ~ / .ssh / config це щось подібне:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

Останній рядок пересилає порт 5900 (VNC) до порту 8090 localhost, щоб підключитися до віддаленого сервера, сказати клієнту VNC підключитися до localhost 8090. (Перед "Портом", "Користувачем", ім'ям хоста "та" Локальним форвардом "є 4 місця

Тримайте його оновленим (автоматичним).

Якщо вам потрібно використовувати ssh (я думаю, вам потрібно виправити речі ... :)) встановіть сервер openVPN на свою машину і клієнт на неї (і автоматичне / постійне з'єднання). Якщо ваш IP-адрес динамічний, вам знадобиться динамічний DNS (наприклад, dnsexit.com). Таким чином ви зможете дістатися до її машини скрізь, використовуючи тунель (навіть якщо в локальній мережі в готелі, де ви не зможете використовувати SSH іншим способом, як правило, тому що ви не керуєте маршрутизатором, до якого він підключений, тільки VNC або команда перегляду, а це означає, що сервер VNC завжди в Інтернеті ...). Дозволити з'єднання SSH та VNC (або подібні пристрої) лише в підмережі openvpn (і тільки ви зможете підключитися до них).

Не забудьте налаштувати iptables, щоб заблокувати все ззовні, включаючи всі підмережі локальних мереж (для незахищених локальних мереж готелю), крім підмережі openvpn (і не використовуйте за замовчуванням :)).

Використовуйте VNC або будь-який віддалений робочий стіл, який ви хочете над тунелем, і ви повинні бути в безпеці.

ОНОВЛЕННЯ після того, як я щоразу бачив ваш коментар щодо налаштування VPN: Ви можете запустити VPN під час завантаження і дозволити його таким чином. Якщо ваша машина не в Інтернеті або ваша мати не підключена до Інтернету, з'єднання не вдасться і повторіть спробу кожні х хвилин (ви встановили це). Коли обидві машини нормально, з'єднання вдасться, тому вона матиме постійне з'єднання, не роблячи нічого (наприклад, 2 відділення). Іншим способом може бути створення невеликого сценарію, починаючи openvpn і розміщуючи піктограму на своєму робочому столі, але їй потрібно буде знаходитись у судерах, щоб виконати сценарій, який я вірю, і їй потрібно буде пам'ятати, щоб натиснути на іконку. З цієї причини я вважаю за краще 1-й спосіб з постійним зв'язком. Вам потрібно лише звернути увагу на те, щоб не перенаправляти весь її трафік через VPN у конфігурації.