Wie sichere ich Ubuntu für einen nicht technischen Benutzer? (deine Mutter)
12
Meine Mutter wird eine Weile unterwegs sein und ich muss ihr einen sicheren Laptop zur Verfügung stellen, damit sie arbeiten kann. Ein Windows-Laptop kommt aus folgenden Gründen nicht in Frage:
Sie wird sich in zwielichtige drahtlose Hotel- und Konferenznetzwerke einloggen
Preis der Windows-Lizenz zur Installation auf einem Netbook
Ich habe libreoffice, Media Player und Skype darauf installiert. Auch SSH aktiviert, damit ich eingreifen kann, aber ich mache mir Sorgen, dass ich möglicherweise nicht in der Lage bin, dies zu tun.
Mögliche Bedrohungen:
Surfen im Internet
USB-Sticks
unsichere Netzwerke, die für Eingriffe anfällig sind
Malware
SSH / VNC-Schwachstellen
Skype-Schwachstellen
Alle " Sichern von Ubuntu" -Handbüchern setzen voraus, dass der Benutzer über ein bestimmtes technisches Wissen verfügt, dies ist jedoch bei Müttern im Allgemeinen nicht der Fall. Wenn eine Malware sogar auf Benutzerebene Zugriff erhalten kann, kann dies ihre Dateien gefährden.
Das Wichtigste, was Sie tun können, um diesen Computer sicher zu halten, ist sicherzustellen, dass die Pakete regelmäßig aktualisiert werden. Ich würde vollautomatische Updates aktivieren (https://help.ubuntu.com/community/AutomaticSecurityUpdates), solange das Potenzial für einen Ausbruch der Netzwerknutzung bei Verbindung mit zwielichtigem Hotel-WLAN kein ernstes Problem darstellt.
Danach denke ich, dass das einzige große Problem VNC ist. Wenn der VNC-Server ständig ausgeführt wird, ist dies wahrscheinlich das größte potenzielle Sicherheitsproblem auf dem System (SSH hat einen ähnlichen Umfang, wird jedoch standardmäßig als sicherer angesehen). Wenn VNC installiert sein muss und ständig ausgeführt werden muss, können Sie wahrscheinlich nichts dagegen tun - es wird entweder ausgeführt oder nicht, und Sie können nicht viel tun, um einen Prozess zu sichern, der die Kontrolle über die Eingabe hat / Ausgabe wie VNC. Wenn Sie es jedoch nicht ständig benötigen, deaktivieren Sie es einfach. Sie können es bei Bedarf manuell über SSH starten.
Solange Ihre Pakete auf dem neuesten Stand sind, würde ich mir keine Gedanken über das Surfen im Internet, USB-Sticks, Malware oder SSH-Schwachstellen machen. Linux-Desktops / Notebooks sind kein gemeinsames Ziel für sie und Ubuntu ist vom Design her ziemlich gut gehärtet. Selbst wenn Sie nichts Besonderes tun, um sich gegen diese Sicherheitsanfälligkeiten abzusichern, ist es weniger wahrscheinlich, dass ein Ubuntu-System gefährdet wird als ein Windows-Computer, auf dem sogar eine recht gute Sicherheitssoftware ausgeführt wird.
Skype ist nicht unbedingt sicher, wird jedoch nicht mit erhöhten Rechten ausgeführt, und angesichts des Status der Skype-Linux-Version können Sie nicht viel tun, um es zu sichern. Beachten Sie jedoch, dass Skype für Linux nicht sehr stabil oder funktionsfähig ist und seit langem nicht mehr bearbeitet wurde. Davon abgesehen benutze ich es die ganze Zeit für geschäftliche Zwecke und nachdem ich mich an seine Macken gewöhnt hatte, war es angemessen.
SSH wird nicht funktionieren, wenn sie sich in einem Hotel (oder einem anderen) LAN befindet, da es keine Möglichkeit gibt, ihren Computer zu erreichen, ohne den Router zu steuern ...
Laurent
@laurent gefährdet dies die SSH-Sicherheit?
Gil
@Gil Das Öffnen des SSH-Ports im Internet ist immer ein Problem, und wenn sich Ihre Mutter in einem LAN (Hotel oder Konferenzraum) befindet, können Sie ihren Computer aufgrund des geöffneten Ports nicht erreichen, da die IP-Adresse (wenn Sie sie kennen) vom Team Viewer zum Beispiel) wird dem LAN-Router zugeordnet und nicht an den Computer Ihrer Mutter weitergeleitet. Auf diese Weise können Sie keine Verbindung zu ihrem Computer herstellen (andere im LAN des Hotels jedoch). Ich denke, es ist keine funktionierende Lösung und es ist gefährlich. Ich denke, die Art und Weise, wie ich mit einem VPN geantwortet habe, ist die einzige einfache Möglichkeit, ihren Computer immer und ohne hohes Risiko zu erreichen.
Laurent
Es gibt so etwas wie "reverse ssh", bei dem die Verbindung vom Host - in diesem Fall von Ihrer Mutter - initiiert wird und die möglicherweise in ein Skript gepackt und auf dem Desktop gespeichert werden kann, damit der Benutzer sie in Notfällen verwenden kann . Ich kenne jedoch keine Details zu diesem Ansatz, da ich ihn nie selbst verwenden musste.
Andrew G.
3
Das wichtigste Sicherheitsrisiko für Straßenkämpfer ist eine unsichere Netzwerkverbindung (öffentliches WLAN), über die unverschlüsselter Datenverkehr von Dritten gelesen werden kann, oder Man-in-the-Middle-Angriffe auf verschlüsselten Datenverkehr.
Der einzige Weg, dies zu umgehen, ist die Verwendung eines VPN. Wenn Sie einen Server besitzen, richten Sie einfach ein VPN darauf ein. PPTP oder OpenVPN sind einfach einzurichten und zumindest das erstere wird von so ziemlich allem (Linux, Mac, Win, iPhone, Android, wie Sie es nennen) sofort unterstützt.
Für Remote-Support würde ich Teamviewer empfehlen. Funktioniert von überall und hinter jeder Firewall.
Es ist meine Mutter. Auf keinen Fall wird sie jedes Mal, wenn sie eine Verbindung herstellt, einen VPN einrichten.
Gil
3
@ Gil: Mit Ubuntu können Sie diesen Prozess automatisieren, solange Sie einen "festen" externen Anbieter für das VPN haben. Sie können beispielsweise eine Regel einrichten, um bei Verwendung von WLAN eine Verbindung zum VPN herzustellen, während ein normales kabelgebundenes LAN dieses Verhalten nicht auslöst. +1 für die Antwort, übrigens.
0xC0000022L
2
Was ist mit UMTS / LTE-Zugang? Es würde vor Schnüffeln schützen und SSH ermöglichen. Die Konfiguration ist sehr einfach geworden. Sie müssten Ihrer Mutter beibringen, wie sie ihre IP erhalten oder eine dyndns-ähnliche Lösung erhalten kann. Es ist natürlich eine Frage der Preisgestaltung und der Abdeckung.
Sie sollten auch so etwas wie sshguard verwenden, um sicherzustellen, dass sich automatische Bots usw. nicht anmelden können.
http://www.sshguard.net/
SSHGuard verbietet zunächst einen fehlgeschlagenen Anmeldeversuch auf 5 oder 15 Minuten (ich weiß nicht mehr, welche) und steigt nach weiteren fehlgeschlagenen Anmeldeversuchen exponentiell an. Ich habe Aliase, um in diesem Fall zu helfen.
alias ssh-add='\ssh-add -D && \ssh-add '
(Ssh-agent enthält also nicht zu viele Schlüssel und schlägt deshalb fehl.)
alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'
(Um Verbote zu sehen, die sshguard hinzugefügt hat)
alias sshguard-unban='sudo iptables -D sshguard '
(Um die IP-Adresse einfach zu entsperren. Verwenden Sie sshguard-unban number_from_sshguard_show_bans)
VNC könnte mit SSH getunnelt werden. In ~ / .ssh / config ist es ungefähr so:
Host lan-weibef
Port 8090
User mkaysi
hostname compaq-mini.local
LocalForward 127.0.0.1:8090 127.0.0.1:5900
In der letzten Zeile wird Port 5900 (VNC) an localhost-Port 8090 weitergeleitet. Um eine Verbindung zum Remote-Server herzustellen, weisen Sie den VNC-Client an, eine Verbindung zu localhost 8090 herzustellen. (Vor "Port" "Benutzer" "Hostname" und "LocalForward" befinden sich 4 Leerzeichen.
Halten Sie es auf dem neuesten Stand (automatisch).
Wenn Sie ssh verwenden müssen (ich denke, Sie müssen Dinge reparieren ... :)), installieren Sie den openVPN-Server auf Ihrem Computer und den Client auf ihr (und die automatische / permanente Verbindung). Wenn Ihre IP dynamisch ist, benötigen Sie ein dynamisches DNS (wie z. B. dnsexit.com). Auf diese Weise können Sie ihren Computer überall über den Tunnel erreichen (auch wenn Sie sich in einem LAN in einem Hotel befinden, in dem Sie SSH normalerweise nicht auf andere Weise verwenden können, da Sie nicht nur den Router steuern, mit dem sie verbunden ist VNC oder Team Viewer und dies bedeutet, dass der VNC-Server immer online ist ...). Erlauben Sie SSH- und VNC-Verbindungen (oder ähnliche Verbindungen) nur im openvpn-Subnetz (und nur Sie können eine Verbindung zu ihnen herstellen).
Vergessen Sie nicht, iptables so zu konfigurieren, dass alles von außen blockiert wird, einschließlich aller lokalen Netzwerk-Subnetze (für unsichere Hotel-LANs) mit Ausnahme des openvpn-Subnetzes (und verwenden Sie nicht das Standard-Subnetz :)).
Verwenden Sie VNC oder einen beliebigen Remotedesktop über den Tunnel, und Sie sollten sicher sein.
UPDATE, nachdem ich Ihren Kommentar zum Einstellen eines VPN jedes Mal gesehen habe: Sie können das VPN beim Booten starten und es so lassen. Wenn Ihr Computer nicht online ist oder Ihre Mutter nicht mit dem Internet verbunden ist, wird die Verbindung nicht erfolgreich hergestellt und alle x Minuten erneut versucht (Sie stellen sie ein). Wenn beide Maschinen in Ordnung sind, ist die Verbindung erfolgreich, sodass sie eine dauerhafte Verbindung hat, ohne etwas zu tun (wie zum Beispiel 2 Zweigstellen). Eine andere Möglichkeit könnte darin bestehen, ein kleines Skript zu erstellen, das openvpn startet, und ein Symbol auf ihrem Desktop zu platzieren. Sie muss jedoch in Sudoers sein, um das Skript auszuführen, von dem ich glaube, und sie muss daran denken, auf das Symbol zu klicken. Aus diesem Grund würde ich den 1. Weg mit dauerhafter Verbindung bevorzugen. Sie müssen nur darauf achten, dass nicht der gesamte Datenverkehr über das VPN in der Konfiguration umgeleitet wird.
Das wichtigste Sicherheitsrisiko für Straßenkämpfer ist eine unsichere Netzwerkverbindung (öffentliches WLAN), über die unverschlüsselter Datenverkehr von Dritten gelesen werden kann, oder Man-in-the-Middle-Angriffe auf verschlüsselten Datenverkehr.
Der einzige Weg, dies zu umgehen, ist die Verwendung eines VPN. Wenn Sie einen Server besitzen, richten Sie einfach ein VPN darauf ein. PPTP oder OpenVPN sind einfach einzurichten und zumindest das erstere wird von so ziemlich allem (Linux, Mac, Win, iPhone, Android, wie Sie es nennen) sofort unterstützt.
Für Remote-Support würde ich Teamviewer empfehlen. Funktioniert von überall und hinter jeder Firewall.
quelle
Was ist mit UMTS / LTE-Zugang? Es würde vor Schnüffeln schützen und SSH ermöglichen. Die Konfiguration ist sehr einfach geworden. Sie müssten Ihrer Mutter beibringen, wie sie ihre IP erhalten oder eine dyndns-ähnliche Lösung erhalten kann. Es ist natürlich eine Frage der Preisgestaltung und der Abdeckung.
quelle
Sie sollten eine Firewall (ufw) ausführen und nur Ports zulassen, die geöffnet sein müssen (22 SSH). https://help.ubuntu.com/community/UFW Wenn Sie eine GUI mit ufw benötigen, gibt es GUFW. https://help.ubuntu.com/community/Gufw
Sie sollten auch so etwas wie sshguard verwenden, um sicherzustellen, dass sich automatische Bots usw. nicht anmelden können. http://www.sshguard.net/ SSHGuard verbietet zunächst einen fehlgeschlagenen Anmeldeversuch auf 5 oder 15 Minuten (ich weiß nicht mehr, welche) und steigt nach weiteren fehlgeschlagenen Anmeldeversuchen exponentiell an. Ich habe Aliase, um in diesem Fall zu helfen.
(Ssh-agent enthält also nicht zu viele Schlüssel und schlägt deshalb fehl.)
(Um Verbote zu sehen, die sshguard hinzugefügt hat)
(Um die IP-Adresse einfach zu entsperren. Verwenden Sie sshguard-unban number_from_sshguard_show_bans)
Sie sollten SSHd auch anweisen, keine Anmeldung mit Kennwort zuzulassen (optional, aber empfohlen. Wenn Sie dies nicht tun, verwenden Sie mindestens sshguard oder eine Alternative dazu) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html
VNC könnte mit SSH getunnelt werden. In ~ / .ssh / config ist es ungefähr so:
In der letzten Zeile wird Port 5900 (VNC) an localhost-Port 8090 weitergeleitet. Um eine Verbindung zum Remote-Server herzustellen, weisen Sie den VNC-Client an, eine Verbindung zu localhost 8090 herzustellen. (Vor "Port" "Benutzer" "Hostname" und "LocalForward" befinden sich 4 Leerzeichen.
quelle
Halten Sie es auf dem neuesten Stand (automatisch).
Wenn Sie ssh verwenden müssen (ich denke, Sie müssen Dinge reparieren ... :)), installieren Sie den openVPN-Server auf Ihrem Computer und den Client auf ihr (und die automatische / permanente Verbindung). Wenn Ihre IP dynamisch ist, benötigen Sie ein dynamisches DNS (wie z. B. dnsexit.com). Auf diese Weise können Sie ihren Computer überall über den Tunnel erreichen (auch wenn Sie sich in einem LAN in einem Hotel befinden, in dem Sie SSH normalerweise nicht auf andere Weise verwenden können, da Sie nicht nur den Router steuern, mit dem sie verbunden ist VNC oder Team Viewer und dies bedeutet, dass der VNC-Server immer online ist ...). Erlauben Sie SSH- und VNC-Verbindungen (oder ähnliche Verbindungen) nur im openvpn-Subnetz (und nur Sie können eine Verbindung zu ihnen herstellen).
Vergessen Sie nicht, iptables so zu konfigurieren, dass alles von außen blockiert wird, einschließlich aller lokalen Netzwerk-Subnetze (für unsichere Hotel-LANs) mit Ausnahme des openvpn-Subnetzes (und verwenden Sie nicht das Standard-Subnetz :)).
Verwenden Sie VNC oder einen beliebigen Remotedesktop über den Tunnel, und Sie sollten sicher sein.
UPDATE, nachdem ich Ihren Kommentar zum Einstellen eines VPN jedes Mal gesehen habe: Sie können das VPN beim Booten starten und es so lassen. Wenn Ihr Computer nicht online ist oder Ihre Mutter nicht mit dem Internet verbunden ist, wird die Verbindung nicht erfolgreich hergestellt und alle x Minuten erneut versucht (Sie stellen sie ein). Wenn beide Maschinen in Ordnung sind, ist die Verbindung erfolgreich, sodass sie eine dauerhafte Verbindung hat, ohne etwas zu tun (wie zum Beispiel 2 Zweigstellen). Eine andere Möglichkeit könnte darin bestehen, ein kleines Skript zu erstellen, das openvpn startet, und ein Symbol auf ihrem Desktop zu platzieren. Sie muss jedoch in Sudoers sein, um das Skript auszuführen, von dem ich glaube, und sie muss daran denken, auf das Symbol zu klicken. Aus diesem Grund würde ich den 1. Weg mit dauerhafter Verbindung bevorzugen. Sie müssen nur darauf achten, dass nicht der gesamte Datenverkehr über das VPN in der Konfiguration umgeleitet wird.
quelle