Wie sichere ich Ubuntu für einen nicht technischen Benutzer? (deine Mutter)

Meine Mutter wird eine Weile unterwegs sein und ich muss ihr einen sicheren Laptop zur Verfügung stellen, damit sie arbeiten kann. Ein Windows-Laptop kommt aus folgenden Gründen nicht in Frage:

• Sie wird sich in zwielichtige drahtlose Hotel- und Konferenznetzwerke einloggen

• Preis der Windows-Lizenz zur Installation auf einem Netbook

Ich habe libreoffice, Media Player und Skype darauf installiert. Auch SSH aktiviert, damit ich eingreifen kann, aber ich mache mir Sorgen, dass ich möglicherweise nicht in der Lage bin, dies zu tun.

Mögliche Bedrohungen:

• Surfen im Internet

• USB-Sticks

• unsichere Netzwerke, die für Eingriffe anfällig sind

• Malware

• SSH / VNC-Schwachstellen

• Skype-Schwachstellen

Alle " Sichern von Ubuntu" -Handbüchern setzen voraus, dass der Benutzer über ein bestimmtes technisches Wissen verfügt, dies ist jedoch bei Müttern im Allgemeinen nicht der Fall. Wenn eine Malware sogar auf Benutzerebene Zugriff erhalten kann, kann dies ihre Dateien gefährden.

Das Wichtigste, was Sie tun können, um diesen Computer sicher zu halten, ist sicherzustellen, dass die Pakete regelmäßig aktualisiert werden. Ich würde vollautomatische Updates aktivieren (https://help.ubuntu.com/community/AutomaticSecurityUpdates), solange das Potenzial für einen Ausbruch der Netzwerknutzung bei Verbindung mit zwielichtigem Hotel-WLAN kein ernstes Problem darstellt.

Danach denke ich, dass das einzige große Problem VNC ist. Wenn der VNC-Server ständig ausgeführt wird, ist dies wahrscheinlich das größte potenzielle Sicherheitsproblem auf dem System (SSH hat einen ähnlichen Umfang, wird jedoch standardmäßig als sicherer angesehen). Wenn VNC installiert sein muss und ständig ausgeführt werden muss, können Sie wahrscheinlich nichts dagegen tun - es wird entweder ausgeführt oder nicht, und Sie können nicht viel tun, um einen Prozess zu sichern, der die Kontrolle über die Eingabe hat / Ausgabe wie VNC. Wenn Sie es jedoch nicht ständig benötigen, deaktivieren Sie es einfach. Sie können es bei Bedarf manuell über SSH starten.

Solange Ihre Pakete auf dem neuesten Stand sind, würde ich mir keine Gedanken über das Surfen im Internet, USB-Sticks, Malware oder SSH-Schwachstellen machen. Linux-Desktops / Notebooks sind kein gemeinsames Ziel für sie und Ubuntu ist vom Design her ziemlich gut gehärtet. Selbst wenn Sie nichts Besonderes tun, um sich gegen diese Sicherheitsanfälligkeiten abzusichern, ist es weniger wahrscheinlich, dass ein Ubuntu-System gefährdet wird als ein Windows-Computer, auf dem sogar eine recht gute Sicherheitssoftware ausgeführt wird.

Skype ist nicht unbedingt sicher, wird jedoch nicht mit erhöhten Rechten ausgeführt, und angesichts des Status der Skype-Linux-Version können Sie nicht viel tun, um es zu sichern. Beachten Sie jedoch, dass Skype für Linux nicht sehr stabil oder funktionsfähig ist und seit langem nicht mehr bearbeitet wurde. Davon abgesehen benutze ich es die ganze Zeit für geschäftliche Zwecke und nachdem ich mich an seine Macken gewöhnt hatte, war es angemessen.

Das wichtigste Sicherheitsrisiko für Straßenkämpfer ist eine unsichere Netzwerkverbindung (öffentliches WLAN), über die unverschlüsselter Datenverkehr von Dritten gelesen werden kann, oder Man-in-the-Middle-Angriffe auf verschlüsselten Datenverkehr.

Der einzige Weg, dies zu umgehen, ist die Verwendung eines VPN. Wenn Sie einen Server besitzen, richten Sie einfach ein VPN darauf ein. PPTP oder OpenVPN sind einfach einzurichten und zumindest das erstere wird von so ziemlich allem (Linux, Mac, Win, iPhone, Android, wie Sie es nennen) sofort unterstützt.

Für Remote-Support würde ich Teamviewer empfehlen. Funktioniert von überall und hinter jeder Firewall.

Was ist mit UMTS / LTE-Zugang? Es würde vor Schnüffeln schützen und SSH ermöglichen. Die Konfiguration ist sehr einfach geworden. Sie müssten Ihrer Mutter beibringen, wie sie ihre IP erhalten oder eine dyndns-ähnliche Lösung erhalten kann. Es ist natürlich eine Frage der Preisgestaltung und der Abdeckung.

Sie sollten eine Firewall (ufw) ausführen und nur Ports zulassen, die geöffnet sein müssen (22 SSH). https://help.ubuntu.com/community/UFW Wenn Sie eine GUI mit ufw benötigen, gibt es GUFW. https://help.ubuntu.com/community/Gufw

Sie sollten auch so etwas wie sshguard verwenden, um sicherzustellen, dass sich automatische Bots usw. nicht anmelden können. http://www.sshguard.net/ SSHGuard verbietet zunächst einen fehlgeschlagenen Anmeldeversuch auf 5 oder 15 Minuten (ich weiß nicht mehr, welche) und steigt nach weiteren fehlgeschlagenen Anmeldeversuchen exponentiell an. Ich habe Aliase, um in diesem Fall zu helfen.

alias ssh-add='\ssh-add -D && \ssh-add '

(Ssh-agent enthält also nicht zu viele Schlüssel und schlägt deshalb fehl.)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Um Verbote zu sehen, die sshguard hinzugefügt hat)

alias sshguard-unban='sudo iptables -D sshguard '

(Um die IP-Adresse einfach zu entsperren. Verwenden Sie sshguard-unban number_from_sshguard_show_bans)

Sie sollten SSHd auch anweisen, keine Anmeldung mit Kennwort zuzulassen (optional, aber empfohlen. Wenn Sie dies nicht tun, verwenden Sie mindestens sshguard oder eine Alternative dazu) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC könnte mit SSH getunnelt werden. In ~ / .ssh / config ist es ungefähr so:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

In der letzten Zeile wird Port 5900 (VNC) an localhost-Port 8090 weitergeleitet. Um eine Verbindung zum Remote-Server herzustellen, weisen Sie den VNC-Client an, eine Verbindung zu localhost 8090 herzustellen. (Vor "Port" "Benutzer" "Hostname" und "LocalForward" befinden sich 4 Leerzeichen.

Halten Sie es auf dem neuesten Stand (automatisch).

Wenn Sie ssh verwenden müssen (ich denke, Sie müssen Dinge reparieren ... :)), installieren Sie den openVPN-Server auf Ihrem Computer und den Client auf ihr (und die automatische / permanente Verbindung). Wenn Ihre IP dynamisch ist, benötigen Sie ein dynamisches DNS (wie z. B. dnsexit.com). Auf diese Weise können Sie ihren Computer überall über den Tunnel erreichen (auch wenn Sie sich in einem LAN in einem Hotel befinden, in dem Sie SSH normalerweise nicht auf andere Weise verwenden können, da Sie nicht nur den Router steuern, mit dem sie verbunden ist VNC oder Team Viewer und dies bedeutet, dass der VNC-Server immer online ist ...). Erlauben Sie SSH- und VNC-Verbindungen (oder ähnliche Verbindungen) nur im openvpn-Subnetz (und nur Sie können eine Verbindung zu ihnen herstellen).

Vergessen Sie nicht, iptables so zu konfigurieren, dass alles von außen blockiert wird, einschließlich aller lokalen Netzwerk-Subnetze (für unsichere Hotel-LANs) mit Ausnahme des openvpn-Subnetzes (und verwenden Sie nicht das Standard-Subnetz :)).

Verwenden Sie VNC oder einen beliebigen Remotedesktop über den Tunnel, und Sie sollten sicher sein.

UPDATE, nachdem ich Ihren Kommentar zum Einstellen eines VPN jedes Mal gesehen habe: Sie können das VPN beim Booten starten und es so lassen. Wenn Ihr Computer nicht online ist oder Ihre Mutter nicht mit dem Internet verbunden ist, wird die Verbindung nicht erfolgreich hergestellt und alle x Minuten erneut versucht (Sie stellen sie ein). Wenn beide Maschinen in Ordnung sind, ist die Verbindung erfolgreich, sodass sie eine dauerhafte Verbindung hat, ohne etwas zu tun (wie zum Beispiel 2 Zweigstellen). Eine andere Möglichkeit könnte darin bestehen, ein kleines Skript zu erstellen, das openvpn startet, und ein Symbol auf ihrem Desktop zu platzieren. Sie muss jedoch in Sudoers sein, um das Skript auszuführen, von dem ich glaube, und sie muss daran denken, auf das Symbol zu klicken. Aus diesem Grund würde ich den 1. Weg mit dauerhafter Verbindung bevorzugen. Sie müssen nur darauf achten, dass nicht der gesamte Datenverkehr über das VPN in der Konfiguration umgeleitet wird.