Teknik olmayan bir kullanıcı için Ubuntu nasıl güvenli hale getirilir? (senin annen)

12

Annem bir süre seyahat edecek ve çalışabilmesi için ona güvenli bir dizüstü bilgisayar sağlamam gerekiyor. Windows dizüstü bilgisayar söz konusu değil çünkü:

  • tehlikeli otel kablosuz ağlarına ve konferans ağlarına giriş yapacak

  • bir netbook'a kurmak için windows lisansının fiyatı

Üzerine libreoffice, medya oynatıcıları ve skype yükledim. Ayrıca SSH'yi etkinleştirdim, böylece müdahale edebilirim ama bunu yapacak bir konumda olmadığımdan endişeliyim.

Olası tehditler:

  • web taraması

  • USB çubukları

  • izinsiz girişlere yatkın güvensiz ağlar

  • Kötü amaçlı yazılım

  • SSH / VNC güvenlik açıkları

  • Skype güvenlik açıkları

Tüm " güvenli Ubuntu" kılavuzları , kullanıcının belirli bir teknik bilgiye sahip olduğunu varsayar, ancak bu genel olarak anneler için geçerli değildir. Bir kötü amaçlı yazılım kullanıcı düzeyinde erişim bile sağlayabilirse, dosyalarının güvenliğini tehlikeye atabilir.

laptop  security 
Gil
kaynak

Yanıtlar:

10

Bilgisayarı güvende tutmak için yapabileceğiniz bir şey, paketlerin düzenli olarak güncellenmesini sağlamaktır. Tehlikeli otel WiFi'sine bağlıyken ağ kullanımı patlaması potansiyeli ciddi bir sorun olmadığı sürece tam otomatik güncellemeleri (https://help.ubuntu.com/community/AutomaticSecurityUpdates) etkinleştiririm.

Bundan sonra, tek büyük sorun VNC. VNC sunucusu sürekli çalışıyorsa, muhtemelen sistemdeki en büyük potansiyel güvenlik sorunudur (SSH kapsamı benzerdir, ancak varsayılan olarak daha güvenli kabul edilir). Yüklü VNC'ye ihtiyacınız varsa ve sürekli çalışıyor olması gerekiyorsa, muhtemelen bu konuda yapabileceğiniz hiçbir şey yoktur - ya çalışıyor ya da çalışmıyor ve giriş üzerinde kontrolü olan bir işlemi güvence altına almak için yapabileceğiniz çok şey yok / VNC gibi çıktı. Ancak her zaman açık olması gerekmiyorsa, devre dışı bırakın. Gerekirse SSH üzerinden manuel olarak başlatabilirsiniz.

Paketleriniz güncel olduğu sürece web'de gezinme, USB bellekler, kötü amaçlı yazılımlar veya SSH güvenlik açıkları konusunda endişe etmem. Linux masaüstleri / dizüstü bilgisayarlar onlar için ortak bir hedef değildir ve Ubuntu tasarımla oldukça sağlamlaştırılmıştır. Bu güvenlik açıklarına karşı korumak için özel bir şey yapmasanız bile, Ubuntu sisteminin güvenliği tehlikeye girme olasılığı oldukça iyi bir güvenlik yazılımı çalıştıran bir Windows makinesinden daha az olacaktır.

Skype mutlaka güvenli değildir, ancak yükseltilmiş ayrıcalıklarla çalışmaz ve Skype linux sürümünün durumu göz önüne alındığında güvenli hale getirmek için yapabileceğiniz çok fazla bir şey yoktur. Linux için Skype'ın çok kararlı veya özellikli olmadığını ve uzun süredir çalışmadığını unutmayın. Söylendiğine göre, her zaman iş amaçlı kullanıyorum ve tuhaflıklarına alıştıktan sonra yeterliydi.

Andrew G.
kaynak
2
Ben takım izleyici vnc daha iyi olduğunu düşünüyorum
Bir Sıfır
1
Otel (veya herhangi bir) LAN'da ise SSH çalışmaz, çünkü yönlendiriciyi kontrol etmeden makinesine ulaşmanın bir yolu olmayacaktır ...
laurent
@laurent SSH güvenliğini tehlikeye atacak mı?
Gil
@Gil İnternette SSH portunu açmak her zaman bir sorundur ve anneniz bir portta (otel veya konferans odaları) açık olsa bile bir LAN'daysa, IP'ye (eğer biliyorsanız) bilgisayara erişemezsiniz. örneğin ekip görüntüleyicisinden) LAN yönlendiricisiyle ilişkilendirilir ve annenizin bilgisayarına yönlendirilmez. Böylece onun bilgisayarına bu şekilde bağlanamayacaksınız (ancak otelin LAN'ındaki diğerleri). Bu yüzden çalışan bir çözüm olmadığını ve tehlikeli olduğunu düşünüyorum. Bir VPN kullanarak cevap vermemin, bilgisayarına her zaman ve yüksek risk almadan ulaşmanın tek basit yolu olduğunu düşünüyorum.
laurent
Bağlantının ana bilgisayar tarafından başlatıldığı "ters ssh" gibi bir şey var - bu durumda anneniz - ve muhtemelen bir komut dosyasına paketlenebilir ve kullanıcının acil durumlarda kullanması için masaüstüne konabilir . Yine de, bu yaklaşımla ilgili hiçbir ayrıntıyı bilmiyorum, çünkü asla kendim kullanmak zorunda kalmadım.
Andrew
3

Yol savaşçıları için en önemli güvenlik riski , şifrelenmemiş trafiğin üçüncü taraflarca okunmasına veya şifrelenmiş trafiğe ortadaki adam saldırılarına izin veren güvenli olmayan bir ağ bağlantısıdır (halka açık WiFi).

Bunun tek yolu VPN kullanmaktır. Bir sunucunuz varsa, üzerine bir VPN kurun. PPTP veya OpenVPN kolayca kurulur ve en azından birincisi hemen hemen her şeyle (Linux, Mac, Win, iPhone, Android, adını siz verirsiniz) desteklenir.

Uzaktan destek için Teamviewer'ı tavsiye ederim. Her yerde ve her güvenlik duvarında çalışır.

mniess
kaynak
2
Bu benim annem. Her bağlandığında vpn kurmanın bir yolu yok.
Gil
3
@Gil: Ubuntu, VPN için "sabit" bir harici sağlayıcınız olduğu sürece bu işlemi otomatikleştirmenizi sağlar. Örneğin, WLAN her kullanıldığında VPN'ye bağlanmak için bir kural ayarlayabilirsiniz, ancak normal kablolu LAN bu davranışı tetiklemez. Cevap için +1, btw.
0xC0000022L
2

UMTS / LTE erişimi ne olacak? Koklamadan koruyacak ve SSH'ye izin verecektir. Yapılandırılması gerçekten çok kolay. Annenize onun IP'sini nasıl alacağını veya dyndns benzeri bir çözümü nasıl alacağını öğretmeniz gerekir. Bu fiyatlandırma ve elbette kapsama meselesi.

user35538
kaynak
1

Güvenlik duvarını (ufw) çalıştırmalı ve yalnızca açık olması gereken bağlantı noktalarına izin vermelisiniz (22 SSH). https://help.ubuntu.com/community/UFW ufw ile bir GUI'ye ihtiyacınız varsa, GUFW vardır. https://help.ubuntu.com/community/Gufw

Otomatik botların vb. Giriş yapamayacağından emin olmak için sshguard gibi bir şey kullanmalısınız. http://www.sshguard.net/ SSHGuard bir başarısız giriş denemesinden önce 5 veya 15 (hangisini hatırlamıyorum) dakikaya yasaklayacak ve daha başarısız giriş denemelerinden sonra katlanarak artacaktır. Bu durumda yardımcı olacak takma adım var.

alias ssh-add='\ssh-add -D && \ssh-add '

(Yani ssh-agent çok fazla anahtar içermez ve bu nedenle başarısız olur)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Shshguard'ın eklediği yasakları görmek için)

alias sshguard-unban='sudo iptables -D sshguard '

(IP adresini kolayca kaldırmak için. Sshguard-unban number_from_sshguard_show_bans kullanın)

Ayrıca SSHd'ye parola ile oturum açmaya izin vermemesini de söylemelisiniz (isteğe bağlı, ancak önerilir. Bunu yapmazsanız, en azından koruyucu veya alternatif kullanın) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC SSH ile tünellenebilir. ~ / .Ssh / config'te şöyle bir şey var:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

Son satır, uzak sunucuya bağlanmak için bağlantı noktası 5900'ü (VNC) localhost bağlantı noktası 8090'a iletir, VNC istemcisine localhost 8090'a bağlanmasını söyleyin. ("Bağlantı Noktası" "Kullanıcı" "ana bilgisayar adı" ve "LocalForward" dan önce 4 boşluk vardır

Mikaela
kaynak
1

Güncel tutun (otomatik).

Ssh kullanmanız gerekiyorsa (bir şeyleri düzeltmeniz gerektiğini düşünüyorum ... :)) openVPN sunucusunu makinenize ve istemcinize yükleyin (ve otomatik / kalıcı bağlantı). IP'niz dinamikse, dinamik bir DNS'ye ihtiyacınız olacaktır (örneğin dnsexit.com gibi). Bu şekilde tünelini kullanarak makinesine her yerden erişebileceksiniz (SSH'yi başka bir şekilde kullanamayacağınız bir oteldeki LAN'da genellikle bağlı olduğu yönlendiriciyi kontrol etmediğiniz için bile, sadece VNC veya takım görüntüleyici ve bu VNC sunucusu her zaman çevrimiçi demektir ...). Yalnızca openvpn alt ağında SSH ve VNC (veya benzeri) bağlantılara izin verin (ve bunlara yalnızca siz bağlanabilirsiniz).

Iptables'ı, openvpn alt ağı hariç tüm yerel ağ alt ağları (güvenli olmayan otel LAN'ları için) dahil olmak üzere dışarıdan her şeyi engelleyecek şekilde yapılandırmayı unutmayın (ve varsayılanı kullanmayın :)).

VNC'yi veya tünel üzerinden istediğiniz herhangi bir uzak masaüstünü de kullanın ve güvende olmalısınız.

Her seferinde bir VPN ayarlama hakkındaki yorumunuzu gördükten sonra GÜNCELLEME: VPN'i önyüklemede başlatabilir ve bu şekilde bırakabilirsiniz. Makineniz çevrimiçi olmadığında veya anneniz internete bağlı olmadığında, bağlantı başarılı olmaz ve her x dakikada bir yeniden denenir (siz ayarlarsınız). Her iki makine de uygun olduğunda bağlantı başarılı olur, böylece hiçbir şey yapmadan kalıcı bir bağlantı kuracaktır (örneğin 2 şube gibi). Başka bir yol, openvpn'den başlayan küçük bir komut dosyası yapmak ve masaüstüne bir simge yerleştirmek olabilir, ancak inandığım komut dosyasını yürütmek için sudo'larda olması gerekecek ve simgeye tıklamayı hatırlaması gerekecek. Bu nedenle kalıcı bağlantı ile 1. yolu tercih ederim. Yapılandırmadaki VPN üzerinden tüm trafiğini yönlendirmemeye dikkat etmeniz yeterlidir.

laurent
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.