จะทำให้ Ubuntu ปลอดภัยสำหรับผู้ใช้ที่ไม่ใช่ด้านเทคนิคได้อย่างไร? (แม่ของเธอ)

แม่ของฉันจะต้องเดินทางไประยะหนึ่งและฉันจำเป็นต้องจัดหาแล็ปท็อปที่ปลอดภัยเพื่อให้เธอสามารถทำงานได้ แล็ปท็อป windows อยู่นอกคำถามเนื่องจาก:

• เธอจะเข้าสู่เครือข่ายไร้สายของโรงแรมและเครือข่ายการประชุมหลบ

• ราคาของลิขสิทธิ์ Windows ที่จะติดตั้งบนเน็ตบุ๊ก

ฉันได้ติดตั้ง libreoffice, เครื่องเล่นมีเดียและ skype ไว้แล้ว นอกจากนี้ยังเปิดใช้งาน SSH เพื่อให้ฉันสามารถแทรกแซง แต่ฉันกังวลว่าฉันอาจไม่อยู่ในตำแหน่งที่จะทำเช่นนั้น

ภัยคุกคามที่เป็นไปได้:

• การท่องเว็บ

• แท่ง USB

• เครือข่ายที่ไม่ปลอดภัยมีแนวโน้มที่จะถูกโจมตี

• มัลแวร์

• ช่องโหว่ SSH / VNC

• ช่องโหว่ของ Skype

คำแนะนำทั้งหมด " การรักษาความปลอดภัยของ Ubuntu"ถือว่าผู้ใช้มีความรู้ด้านเทคนิคในระดับหนึ่ง แต่นี่ไม่ใช่กรณีที่คุณแม่ทั่วไป หากมัลแวร์สามารถเข้าถึงผู้ใช้ในระดับที่เหมาะสมอาจทำให้ไฟล์ของเธอมีอันตราย

สิ่งสำคัญอันดับหนึ่งที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับคอมพิวเตอร์นั้นคือการทำให้แน่ใจว่าแพคเกจนั้นได้รับการอัพเดทเป็นประจำ ฉันจะเปิดใช้งานการอัปเดตอัตโนมัติอย่างสมบูรณ์ (https://help.ubuntu.com/community/AutomaticSecurityUpdates) ตราบใดที่มีโอกาสเกิดการระเบิดของการใช้เครือข่ายในขณะที่เชื่อมต่อกับ WiFi ของโรงแรมซึ่งไม่ได้เป็นปัญหาร้ายแรง

หลังจากนั้นฉันคิดว่าปัญหาใหญ่เพียงอย่างเดียวคือ VNC หากเซิร์ฟเวอร์ VNC ทำงานอย่างต่อเนื่องอาจเป็นปัญหาด้านความปลอดภัยที่ใหญ่ที่สุดในระบบ (SSH คล้ายกันในขอบเขต แต่ถือว่าปลอดภัยกว่าโดยค่าเริ่มต้น) หากคุณต้องการติดตั้ง VNC และต้องการใช้งานตลอดเวลาอาจไม่มีอะไรที่คุณสามารถทำได้ - มันกำลังรันอยู่หรือไม่และคุณไม่สามารถทำได้เพื่อรักษาความปลอดภัยของกระบวนการที่ควบคุมอินพุต / เอาท์พุทเหมือน VNC ทำ แต่ถ้าคุณไม่ต้องการให้มันอยู่ตลอดเวลาให้ปิดการใช้งาน คุณสามารถเริ่มต้นด้วยตนเองผ่าน SSH หากคุณต้องการ

ตราบใดที่แพ็คเกจของคุณเป็นรุ่นล่าสุดฉันจะไม่กังวลเกี่ยวกับการท่องเว็บ USB sticks มัลแวร์หรือช่องโหว่ SSH เดสก์ท็อป / โน้ตบุ๊ค Linux ไม่ใช่เป้าหมายทั่วไปสำหรับพวกเขาและ Ubuntu นั้นได้รับการออกแบบมาอย่างดี แม้ว่าคุณจะไม่ได้ทำอะไรเป็นพิเศษเพื่อรักษาความปลอดภัยจากช่องโหว่เหล่านั้นระบบ Ubuntu จะมีโอกาสน้อยที่จะถูกโจมตีน้อยกว่าเครื่อง Windows ที่ใช้งานได้แม้กระทั่งซอฟต์แวร์รักษาความปลอดภัยที่ดีพอสมควร

Skype ไม่จำเป็นต้องมีความปลอดภัย แต่มันไม่ได้ทำงานด้วยสิทธิ์ที่ยกระดับและคุณไม่สามารถทำอะไรได้มากนักเพื่อรักษาความปลอดภัยให้กับสถานะของเวอร์ชัน Skype linux เพิ่งทราบว่า Skype for Linux นั้นไม่เสถียรหรือมีฟีเจอร์และไม่ได้ทำงานมาเป็นเวลานาน ที่ได้รับการกล่าวว่าฉันใช้มันเพื่อวัตถุประสงค์ทางธุรกิจตลอดเวลาและหลังจากที่ฉันได้เคยชินกับนิสัยใจคอของมันก็เพียงพอแล้ว

ความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสำหรับนักสู้บนท้องถนนคือการเชื่อมต่อเครือข่ายที่ไม่ปลอดภัย (WiFi สาธารณะ) ที่อนุญาตให้มีการอ่านทราฟฟิกที่ไม่มีการเข้ารหัสโดยบุคคลที่สามหรือการโจมตีจากคนกลาง

วิธีเดียวที่จะแก้ปัญหานี้คือการใช้ VPN หากคุณเป็นเจ้าของเซิร์ฟเวอร์เพียงตั้งค่า VPN ในเซิร์ฟเวอร์ PPTP หรือ OpenVPN สามารถตั้งค่าได้อย่างง่ายดายและอย่างน้อยที่สุดก็รองรับการใช้งานนอกสถานที่โดยทุกอย่าง (Linux, Mac, Win, iPhone, Android, คุณชื่อ)

สำหรับการสนับสนุนระยะไกลฉันขอแนะนำให้ Teamviewer ทำงานได้จากทุกที่และทุกหลังไฟร์วอลล์

สิ่งที่เกี่ยวกับการเข้าถึง UMTS / LTE? มันจะปกป้องจากการดมกลิ่นและอนุญาตให้ SSH มันง่ายที่จะกำหนดค่า คุณจะต้องสอนแม่ของคุณถึงวิธีรับ IP ของเธอหรือหาวิธีแก้ปัญหาแบบ Dyndns มันเป็นเรื่องของการกำหนดราคาและครอบคลุมแน่นอน

คุณควรใช้ไฟร์วอลล์ (ufw) และอนุญาตเฉพาะพอร์ตที่จำเป็นต้องเปิด (22 SSH) https://help.ubuntu.com/community/UFW หากคุณต้องการ GUI ที่มี ufw นั่นคือ GUFW https://help.ubuntu.com/community/Gufw

คุณควรใช้บางอย่างเช่น sshguard เพื่อให้แน่ใจว่าบอทอัตโนมัติ ฯลฯ จะไม่สามารถเข้าสู่ระบบได้ http://www.sshguard.net/ SSHGuard จะระงับจากการพยายามลงชื่อเข้าใช้ที่ล้มเหลวหนึ่งครั้งเป็น 5 หรือ 15 นาที (ฉันจำไม่ได้ว่าใคร) ในตอนแรกและมันจะเพิ่มทวีคูณหลังจากพยายามล็อกอินล้มเหลวมากกว่า ฉันมีนามแฝงที่จะช่วยในกรณีนี้

alias ssh-add='\ssh-add -D && \ssh-add '

(ดังนั้น ssh-agent จะไม่มีคีย์มากเกินไปและล้มเหลวเนื่องจากมัน)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(เพื่อดูเรย์แบนที่เพิ่ม sshguard ไว้)

alias sshguard-unban='sudo iptables -D sshguard '

(เพื่อยกเลิกการปิดกั้นที่อยู่ IP ได้อย่างง่ายดายการใช้งาน sshguard-unban number_from_sshguard_show_bans)

คุณควรบอกให้ SSHd ไม่อนุญาตให้ลงชื่อเข้าใช้ด้วยรหัสผ่าน (เป็นทางเลือก แต่แนะนำถ้าคุณไม่ทำเช่นนี้ให้ใช้อย่างน้อย sshguard หรือทางเลือกอื่น) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC สามารถถูกอุโมงค์ด้วย SSH ใน ~ / .ssh / config มันเป็นดังนี้:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

บรรทัดสุดท้ายส่งต่อพอร์ต 5900 (VNC) ไปยังพอร์ต localhost 8090 เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลบอกไคลเอ็นต์ VNC เพื่อเชื่อมต่อกับ localhost 8090 (มี 4 ช่องว่างก่อน "พอร์ต" "ผู้ใช้" "ชื่อโฮสต์" และ "LocalForward"

อัปเดตอยู่เสมอ (อัตโนมัติ)

หากคุณต้องการใช้ ssh (ฉันคิดว่าคุณต้องแก้ไขสิ่งต่าง ๆ ... :)) ติดตั้งเซิร์ฟเวอร์ openVPN บนเครื่องและไคลเอ็นต์ของคุณบนเธอ (และการเชื่อมต่ออัตโนมัติ / ถาวร) หาก IP ของคุณเป็นแบบไดนามิกคุณจะต้องมี DNS แบบไดนามิก (เช่น dnsexit.com เป็นต้น) วิธีนี้คุณจะสามารถเข้าถึงเครื่องของเธอได้ทุกที่โดยใช้อุโมงค์ (แม้ว่าจะอยู่ใน LAN ในโรงแรมที่คุณจะไม่สามารถใช้ SSH ด้วยวิธีอื่นได้เนื่องจากคุณไม่ได้ควบคุมเราเตอร์ที่เธอเชื่อมต่อเท่านั้น VNC หรือวิวเวอร์ของทีมและนี่หมายความว่าเซิร์ฟเวอร์ VNC ออนไลน์ตลอดเวลา ... ) อนุญาตการเชื่อมต่อ SSH และ VNC (หรือ similars) เฉพาะบนเครือข่าย openvpn (และคุณเท่านั้นที่จะสามารถเชื่อมต่อกับพวกเขาได้)

อย่าลืมกำหนดค่า iptables เพื่อปิดกั้นทุกอย่างจากภายนอกรวมถึงเครือข่ายย่อยในเครือข่ายท้องถิ่นทั้งหมด (สำหรับ LAN ของโรงแรมที่ไม่ปลอดภัย) ยกเว้นเครือข่ายย่อย openvpn (และไม่ใช้ค่าเริ่มต้น :)

ใช้ VNC หรือเดสก์ท็อประยะไกลที่คุณต้องการข้ามอุโมงค์ด้วยและคุณควรจะปลอดภัย

อัปเดตหลังจากที่ฉันเห็นความคิดเห็นของคุณเกี่ยวกับการตั้งค่า VPN ในแต่ละครั้ง: คุณสามารถเริ่มต้น VPN เมื่อบูตและปล่อยให้เป็นเช่นนั้น เมื่อเครื่องของคุณไม่ออนไลน์หรือแม่ของคุณไม่ได้เชื่อมต่อกับอินเทอร์เน็ตการเชื่อมต่อจะไม่สำเร็จและลองใหม่ทุก ๆ x นาที (คุณตั้งค่า) เมื่อเครื่องทั้งสองตกลงการเชื่อมต่อจะสำเร็จดังนั้นเธอจะมีการเชื่อมต่อถาวรโดยไม่ต้องทำอะไร (เช่นสำนักงานสาขา 2 แห่ง) อีกวิธีคือการสร้างสคริปต์เล็ก ๆ เริ่มต้น openvpn และวางไอคอนบนเดสก์ท็อปของเธอ แต่เธอจะต้องอยู่ใน sudoers เพื่อรันสคริปต์ที่ฉันเชื่อและเธอจะต้องจำไว้ว่าให้คลิกที่ไอคอน ด้วยเหตุนี้ฉันจึงชอบวิธีที่ 1 ด้วยการเชื่อมต่อแบบถาวร คุณเพียง แต่ต้องใส่ใจที่จะไม่เปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดของเธอผ่าน VPN ในการกำหนดค่า