Come proteggere Ubuntu per un utente non tecnico? (tua mamma)

12

Mia madre viaggerà per un po 'e devo fornirle un laptop sicuro per poter lavorare. Un laptop Windows è fuori discussione perché:

  • accederà a reti wireless di hotel e reti di conferenze

  • prezzo della licenza di Windows da installare su un netbook

Ho installato libreoffice, lettori multimediali e skype su di esso. Ho anche abilitato SSH in modo da poter intervenire, ma sono preoccupato di non essere in grado di farlo.

Possibili minacce:

  • navigare su Internet

  • Chiavette USB

  • reti insicure soggette a intrusioni

  • il malware

  • Vulnerabilità SSH / VNC

  • Vulnerabilità di Skype

Tutte le guide di "messa in sicurezza di Ubuntu" suppongono che l'utente abbia un certo livello di conoscenza tecnica, ma questo non è il caso delle mamme in generale. Se un malware può ottenere l'accesso anche a livello di utente, potrebbe comprometterne i file.

laptop  security 
Gil
fonte

Risposte:

10

La prima cosa che puoi fare per proteggere quel computer è garantire che i pacchetti vengano aggiornati regolarmente. Vorrei abilitare gli aggiornamenti completamente automatici (https://help.ubuntu.com/community/AutomaticSecurityUpdates), a condizione che il potenziale per un'esplosione dell'uso della rete mentre si è connessi al WiFi dell'hotel malfamato non sia un grave problema.

Dopodiché, penso che l'unico grosso problema sia VNC. Se il server VNC è costantemente in esecuzione, è probabilmente il più grande potenziale problema di sicurezza del sistema (SSH è simile nell'ambito ma è considerato più sicuro per impostazione predefinita). Se è necessario che VNC sia installato e sia necessario che sia sempre in esecuzione, probabilmente non c'è nulla che tu possa fare al riguardo - è in esecuzione o non lo è, e non c'è molto che puoi fare per proteggere un processo che ha il controllo sull'input / output come fa VNC. Ma se non ti serve per essere sempre acceso, disattivalo e basta. Se necessario, puoi avviarlo manualmente tramite SSH.

Finché i tuoi pacchetti sono aggiornati, non mi preoccuperei della navigazione web, delle chiavette USB, del malware o delle vulnerabilità SSH. I desktop / notebook Linux non sono un obiettivo comune per loro e Ubuntu è abbastanza ben rinforzato dal design. Anche se non fai nulla di speciale per proteggerti da queste vulnerabilità, un sistema Ubuntu avrà meno probabilità di essere compromesso rispetto a una macchina Windows che esegue anche un software di sicurezza abbastanza buono.

Skype non è necessariamente sicuro, ma non funziona con privilegi elevati e non c'è molto che puoi fare per proteggerlo dato lo stato della versione di Linux di Skype. Basta essere consapevoli del fatto che Skype per Linux non è molto stabile o ricco di funzionalità e non è stato lavorato per molto tempo. Detto questo, lo uso sempre per motivi di lavoro e dopo essermi abituato alle sue stranezze è stato adeguato.

Andrew G.
fonte
2
penso che il visualizzatore di team sia migliore di quello di vnc
One Zero,
1
SSH non funzionerà se si trova in una LAN di un hotel (o di una qualsiasi) perché non ci sarà modo di raggiungere la sua macchina senza controllare il router ...
Laurent
@laurent comprometterà la sicurezza di SSH?
Gil
@Gil Aprire la porta SSH su Internet è sempre un problema e se tua madre è in una LAN (hotel o sale conferenze) anche con la porta aperta non sarai in grado di raggiungere il suo computer perché l'IP (se lo conosci) dal visualizzatore di gruppo, ad esempio) sarà associato al router LAN e non verrà inoltrato al computer di tua madre. Quindi non sarai in grado di connetterti al suo computer in questo modo (ma altri nella LAN dell'hotel lo faranno). Quindi penso che non sia una soluzione funzionante ed è pericolosa. Penso che il modo in cui ho risposto utilizzando una VPN sia l'unico modo semplice per raggiungere il suo computer sempre e senza rischi elevati.
laurent
Esiste qualcosa come "reverse ssh", in cui la connessione viene avviata dall'host - tua madre in questo caso - e che potrebbe essere impacchettata in uno script e messa sul desktop per essere utilizzata dall'utente in caso di emergenza . Non conosco nessuno dei dettagli di questo approccio, dal momento che non ho mai dovuto usarlo da solo.
Andrew G.
3

Il più importante rischio per la sicurezza dei guerrieri della strada è una connessione di rete non sicura (WiFi pubblico) che consente la lettura del traffico non crittografato da parte di terzi o attacchi man-in-the-middle al traffico crittografato.

L'unico modo per aggirare questo è usare una VPN. Se possiedi un server, configura una VPN su di esso. PPTP o OpenVPN sono facilmente configurabili e almeno il primo è supportato immediatamente da praticamente tutto (Linux, Mac, Win, iPhone, Android, lo chiami).

Per il supporto remoto, consiglierei Teamviewer. Funziona da qualsiasi luogo e dietro ogni firewall.

mniess
fonte
2
È mia madre Non è possibile che crei un VPN ogni volta che si connette.
Gil,
3
@Gil: Ubuntu ti consente di automatizzare quel processo fintanto che hai un provider esterno "fisso" per la VPN. Ad esempio, è possibile impostare una regola per connettersi alla VPN ogni volta che viene utilizzata la WLAN, mentre la normale LAN cablata non attiverà tale comportamento. +1 per la risposta, a proposito.
0xC0000022L
2

Che dire dell'accesso UMTS / LTE? Proteggerebbe dall'annusare e consentire SSH. È diventato davvero facile da configurare. Dovresti insegnare a tua madre come ottenere il suo IP o ottenere una soluzione simile a dyndns. È una questione di prezzi e copertura ovviamente.

user35538
fonte
1

È necessario eseguire il firewall (ufw) e consentire l'apertura solo delle porte necessarie (22 SSH). https://help.ubuntu.com/community/UFW Se hai bisogno di una GUI con ufw, c'è GUFW. https://help.ubuntu.com/community/Gufw

Dovresti anche usare qualcosa come sshguard per assicurarti che i robot automatici ecc. Non possano accedere. http://www.sshguard.net/ SSHGuard bandirà da un tentativo di accesso fallito a 5 o 15 minuti (non ricordo quali) all'inizio e aumenterà esponenzialmente dopo ulteriori tentativi di accesso falliti. Ho degli alias da aiutare in questo caso.

alias ssh-add='\ssh-add -D && \ssh-add '

(Quindi ssh-agent non conterrà troppe chiavi e fallirà, per questo)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Per vedere i divieti che sshguard ha aggiunto)

alias sshguard-unban='sudo iptables -D sshguard '

(Per sbloccare facilmente l'indirizzo IP. Uso sshguard-unban number_from_sshguard_show_bans)

Dovresti anche dire a SSHd di non consentire l'accesso con password (opzionale, ma consigliato. Se non lo fai, usa almeno sshguard o un'alternativa ad esso) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC potrebbe essere tunnelato con SSH. In ~ / .ssh / config è qualcosa del genere:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

L'ultima riga inoltra la porta 5900 (VNC) alla porta 8090 dell'host locale, quindi per connettersi al server remoto, dire al client VNC di connettersi all'host locale 8090. (Vi sono 4 spazi prima di "Porta" "Utente" "nomehost" e "LocalForward"

Mikaela
fonte
1

Tienilo aggiornato (automatico).

Se hai bisogno di usare ssh (penso che tu abbia bisogno di sistemare le cose ... :)) installa il server openVPN sulla tua macchina e client su di essa (e connessione automatica / permanente). Se il tuo IP è dinamico, avrai bisogno di un DNS dinamico (ad esempio dnsexit.com). In questo modo sarai in grado di raggiungere la sua macchina ovunque usando il tunnel (anche se in una LAN in un hotel dove non sarai in grado di usare SSH in un altro modo di solito perché non controlli il router a cui è connessa, solo VNC o team viewer e questo significa server VNC sempre online ...). Consenti la connessione SSH e VNC (o simili) solo sulla sottorete openvpn (e solo tu sarai in grado di collegarti ad essi).

Non dimenticare di configurare iptables per bloccare tutto dall'esterno comprese tutte le sottoreti delle reti locali (per le LAN degli hotel non sicure) tranne la sottorete openvpn (e non usare quella predefinita :)).

Usa VNC o qualsiasi desktop remoto che desideri anche sul tunnel e dovresti essere al sicuro.

AGGIORNA dopo aver visto il tuo commento sull'impostazione di una VPN ogni volta: puoi avviare la VPN all'avvio e lasciarla in quel modo. Quando la macchina non è in linea o tua madre non è connessa a Internet, la connessione non avrà esito positivo e riprovare ogni x minuti (impostata). Quando entrambe le macchine sono a posto, la connessione avrà successo, quindi avrà una connessione permanente senza fare nulla (come ad esempio 2 filiali). Un altro modo potrebbe essere quello di creare un piccolo script avviando openvpn e posizionare un'icona sul desktop, ma dovrà essere sudoer per eseguire lo script che credo e dovrà ricordarsi di fare clic sull'icona. Per questo motivo preferirei il 1 ° modo con connessione permanente. Devi solo prestare attenzione a non reindirizzare tutto il suo traffico attraverso la VPN nella configurazione.

laurent
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.