Làm cách nào để bảo mật Ubuntu cho người dùng không có kỹ thuật? (mẹ của bạn)

Mẹ tôi sẽ đi du lịch một thời gian và tôi cần cung cấp cho bà một chiếc máy tính xách tay an toàn để bà có thể làm việc. Một máy tính xách tay windows là không cần thiết bởi vì:

• cô ấy sẽ đăng nhập vào mạng không dây của khách sạn và mạng hội nghị

• Giá của bản quyền windows để cài đặt trên netbook

Tôi đã cài đặt libreoffice, trình phát phương tiện và skype trên đó. Cũng kích hoạt SSH để tôi có thể can thiệp nhưng tôi lo lắng rằng tôi có thể không ở vị trí để làm như vậy.

Các mối đe dọa có thể:

• duyệt web

• Gậy USB

• mạng không an toàn dễ bị xâm nhập

• phần mềm độc hại

• Lỗ hổng SSH / VNC

• Lỗ hổng Skype

Tất cả các hướng dẫn " bảo mật Ubuntu" ngoài kia đều cho rằng người dùng có trình độ kiến ​​thức kỹ thuật nhất định nhưng điều này không đúng với các bà mẹ nói chung. Nếu một phần mềm độc hại có thể đạt được quyền truy cập ngay cả cấp độ người dùng, nó có thể làm tổn hại đến các tệp của cô ấy.

Điều số một bạn có thể làm để giữ an toàn cho máy tính đó là đảm bảo rằng các gói được cập nhật thường xuyên. Tôi sẽ kích hoạt cập nhật hoàn toàn tự động (https://help.ubfox.com/community/AutomaticSecurityUpdates), miễn là khả năng bùng nổ sử dụng mạng trong khi kết nối với WiFi của khách sạn tinh ranh không phải là vấn đề nghiêm trọng.

Sau đó, tôi nghĩ vấn đề lớn duy nhất là VNC. Nếu máy chủ VNC chạy liên tục, có lẽ đây là sự cố bảo mật tiềm năng lớn nhất trên hệ thống (SSH có phạm vi tương tự nhưng được coi là an toàn hơn theo mặc định). Nếu bạn cần cài đặt VNC và cần chạy mọi lúc, thì có lẽ bạn không thể làm gì về nó - nó chạy hoặc không, và bạn không thể làm gì nhiều để đảm bảo quá trình kiểm soát đầu vào / đầu ra như VNC nào. Nhưng nếu bạn không cần nó ở mọi lúc, thì hãy tắt nó đi. Bạn có thể khởi động thủ công thông qua SSH nếu bạn cần.

Miễn là các gói của bạn được cập nhật, tôi sẽ không lo lắng về trình duyệt web, thẻ nhớ USB, phần mềm độc hại hoặc lỗ hổng SSH. Máy tính để bàn / máy tính xách tay Linux không phải là mục tiêu chung cho chúng và Ubuntu được thiết kế khá cứng. Ngay cả khi bạn không làm gì đặc biệt để bảo mật chống lại các lỗ hổng đó, một hệ thống Ubuntu sẽ ít bị xâm phạm hơn so với máy Windows chạy phần mềm bảo mật khá tốt.

Skype không nhất thiết phải bảo mật, nhưng nó không chạy với các đặc quyền nâng cao và bạn không thể làm gì nhiều để bảo mật nó với trạng thái của phiên bản Skype linux. Chỉ cần lưu ý rằng Skype cho Linux không ổn định hoặc có tính năng và đã không hoạt động trong một thời gian dài. Điều đó đã được nói, tôi sử dụng nó cho mục đích kinh doanh mọi lúc và sau khi tôi đã quen với những điều kỳ quặc của nó, nó là đủ.

Rủi ro bảo mật quan trọng nhất đối với các chiến binh đường bộ là kết nối mạng không an toàn (WiFi công cộng) cho phép lưu lượng truy cập không được mã hóa được đọc bởi các bên thứ ba hoặc các cuộc tấn công trung gian vào lưu lượng được mã hóa.

Cách duy nhất để giải quyết vấn đề này là sử dụng VPN. Nếu bạn sở hữu một máy chủ chỉ cần thiết lập VPN trên đó. PPTP hoặc OpenVPN có thể dễ dàng thiết lập và ít nhất trước đây được hỗ trợ ngoài mọi thứ (Linux, Mac, Win, iPhone, Android, bạn đặt tên cho nó).

Để được hỗ trợ từ xa, tôi muốn giới thiệu Teamviewer. Hoạt động từ mọi nơi và đằng sau mọi tường lửa.

Còn truy cập UMTS / LTE thì sao? Nó sẽ bảo vệ khỏi việc đánh hơi và cho phép SSH. Nó thực sự dễ dàng để cấu hình. Bạn sẽ phải dạy cho mẹ của bạn cách lấy IP của cô ấy hoặc có được một giải pháp giống như dyndns. Tất nhiên đó là vấn đề về giá cả và phạm vi bảo hiểm.

Bạn nên chạy tường lửa (ufw) và chỉ cho phép các cổng cần mở (22 SSH). https://help.ubfox.com/community/UFW Nếu bạn cần GUI với ufw, có GUFW. https://help.ubfox.com/community/Gufw

Bạn cũng nên sử dụng một cái gì đó như sshguard để đảm bảo rằng các bot tự động, vv sẽ không thể đăng nhập. http://www.sshguard.net/ SSHGuard sẽ cấm một lần đăng nhập thất bại thành 5 hoặc 15 (tôi không nhớ là) phút đầu tiên và nó sẽ tăng theo cấp số nhân sau nhiều lần đăng nhập thất bại. Tôi có bí danh để giúp đỡ trong trường hợp này.

alias ssh-add='\ssh-add -D && \ssh-add '

(Vì vậy, ssh-agent sẽ không chứa quá nhiều khóa và thất bại, vì nó)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Để xem các lệnh cấm mà sshguard đã thêm)

alias sshguard-unban='sudo iptables -D sshguard '

(Để dễ dàng hủy địa chỉ IP. Sử dụng sshguard-unban number_from_sshguard_show_bans)

Bạn cũng nên nói với SSHd không cho phép đăng nhập bằng mật khẩu (tùy chọn, nhưng được khuyến nghị. Nếu bạn không làm điều này, hãy sử dụng ít nhất sshguard hoặc thay thế cho nó) https: //help.ub Ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC có thể được tạo đường hầm bằng SSH. Trong ~ / .ssh / config, nó giống như thế này:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

Dòng cuối cùng chuyển cổng 5900 (VNC) sang cổng localhost 8090 để kết nối với máy chủ từ xa, hãy báo cho khách hàng VNC kết nối với localhost 8090. (Có 4 khoảng trắng trước "Cổng" "Tên người dùng" "tên máy chủ" và "LocalForward"

Giữ cho nó cập nhật (tự động).

Nếu bạn cần sử dụng ssh (Tôi nghĩ rằng bạn cần sửa chữa mọi thứ ... :)) cài đặt máy chủ openVPN trên máy và máy khách của bạn trên cô ấy (và kết nối tự động / vĩnh viễn). Nếu IP của bạn là động, bạn sẽ cần một DNS động (ví dụ như dnsexit.com). Bằng cách này, bạn sẽ có thể tiếp cận máy của mình ở mọi nơi bằng đường hầm (ngay cả khi trong mạng LAN trong khách sạn nơi bạn sẽ không thể sử dụng SSH theo cách khác thường vì bạn không điều khiển bộ định tuyến mà cô ấy đã kết nối, chỉ VNC hoặc người xem nhóm và điều này có nghĩa là máy chủ VNC luôn trực tuyến ...). Chỉ cho phép kết nối SSH và VNC (hoặc similars) trên mạng con openvpn (và chỉ bạn mới có thể kết nối với chúng).

Đừng quên định cấu hình iptables để chặn mọi thứ từ bên ngoài, bao gồm tất cả các mạng con cục bộ (đối với mạng LAN khách sạn không an toàn) ngoại trừ mạng con openvpn (và không sử dụng mạng mặc định :)).

Sử dụng VNC hoặc bất kỳ máy tính để bàn từ xa nào bạn muốn qua đường hầm và bạn nên an toàn.

CẬP NHẬT sau khi tôi thấy nhận xét của bạn về việc thiết lập VPN mỗi lần: Bạn có thể khởi động VPN khi khởi động và để nó theo cách đó. Khi máy của bạn không trực tuyến hoặc mẹ bạn không kết nối với internet, kết nối sẽ không thành công và thử lại sau mỗi x phút (bạn đặt nó). Khi cả hai máy đều ổn, kết nối sẽ thành công nên cô ấy sẽ có kết nối vĩnh viễn mà không phải làm gì cả (ví dụ như 2 văn phòng chi nhánh). Một cách khác có thể là tạo một tập lệnh nhỏ bắt đầu openvpn và đặt một biểu tượng trên máy tính để bàn của cô ấy nhưng cô ấy sẽ cần phải ở trong sudoers để thực thi tập lệnh mà tôi tin và cô ấy sẽ cần phải nhớ để nhấp vào biểu tượng. Vì lý do này, tôi thích cách thứ nhất với kết nối vĩnh viễn. Bạn chỉ cần chú ý để không chuyển hướng tất cả lưu lượng truy cập của cô ấy mặc dù VPN trong cấu hình.