Como proteger o Ubuntu de um usuário não técnico? (sua mãe)

Navegue suas respostas
11

Minha mãe viajará por um tempo e eu preciso fornecer um laptop seguro para que ela possa trabalhar. Um laptop com Windows está fora de questão porque:

  • ela entrará em redes sem fio de hotéis e redes de conferência

  • preço da licença do Windows para instalar em um netbook

Instalei libreoffice, media players e skype nele. Também habilitei o SSH para que eu possa intervir, mas estou preocupado por não estar em condições de fazê-lo.

Ameaças possíveis:

  • navegação na web

  • pen drives USB

  • redes inseguras propensas a intrusões

  • malware

  • Vulnerabilidades SSH / VNC

  • Vulnerabilidades do Skype

Todos os " assegurando guias do Ubuntu" supõem que o usuário tenha um certo nível de conhecimento técnico, mas isso não é o caso com as mães em geral. Se um malware puder obter acesso de nível de usuário, isso poderá comprometer seus arquivos.

    
por Gil 26.03.2012 / 18:29

5 respostas

9

A primeira coisa que você pode fazer para manter o computador seguro é garantir que os pacotes sejam atualizados regularmente. Eu habilitaria atualizações totalmente automáticas (https://help.ubuntu.com/community/AutomaticSecurityUpdates), contanto que o potencial para um estouro do uso da rede enquanto conectado ao desonesto WiFi do hotel não seja um problema grave.

Depois disso, acho que o único grande problema é o VNC. Se o servidor VNC estiver sendo executado constantemente, provavelmente será o maior problema de segurança potencial no sistema (o SSH é semelhante no escopo, mas é considerado mais seguro por padrão). Se você precisa do VNC instalado e precisa estar rodando o tempo todo, então provavelmente não há nada que você possa fazer - ele está funcionando ou não, e não há muito o que fazer para proteger um processo que tenha controle sobre a entrada. / saída como o VNC faz. Mas se você não precisa estar ligado o tempo todo, basta desativá-lo. Você pode iniciá-lo manualmente via SSH se precisar.

Desde que seus pacotes estejam atualizados, não me preocupo com navegação na web, pendrives, malware ou vulnerabilidades de SSH. Os desktops / notebooks Linux não são um alvo comum para eles, e o Ubuntu é bastante bem protegido pelo design. Mesmo se você não fizer nada de especial para proteger contra essas vulnerabilidades, um sistema Ubuntu será menos provável de ser comprometido do que uma máquina Windows executando software de segurança razoavelmente bom.

O Skype não é necessariamente seguro, mas não é executado com privilégios elevados e não há muito o que fazer para protegê-lo, dado o estado da versão linux do Skype. Esteja ciente de que o Skype para Linux não é muito estável ou cheio de recursos e não foi trabalhado por um longo tempo. Dito isto, eu o uso para fins comerciais o tempo todo e depois que me acostumei com suas peculiaridades, era adequado.

    
por Andrew G. 26.03.2012 / 19:45
3

O risco de segurança mais importante para road warriors é uma conexão de rede insegura (WiFi público) que permite que o tráfego não criptografado seja lido por terceiros ou ataques man-in-the-middle em tráfego criptografado .

A única maneira de contornar isso é usar uma VPN. Se você possui um servidor, basta configurar uma VPN nele. PPTP ou OpenVPN são facilmente configurados e pelo menos o primeiro é suportado por praticamente tudo (Linux, Mac, Win, iPhone, Android, o nome dele).

Para suporte remoto, recomendo o Teamviewer. Funciona em qualquer lugar e atrás de qualquer firewall.

    
por mniess 26.03.2012 / 23:05
2

E o acesso UMTS / LTE? Ele protegeria de sniffing e permitiria o SSH. Ficou muito fácil de configurar. Você teria que ensinar sua mãe como obter seu IP ou obter uma solução como dyndns. É uma questão de preço e cobertura, é claro.

    
por user35538 07.04.2012 / 22:19
1

Você deve executar o firewall (ufw) e permitir somente as portas que precisam ser abertas (22 SSH). link Se você precisa de uma GUI com o ufw, existe o GUFW. link

Você também deve usar algo como sshguard para garantir que bots automáticos, etc., não consigam fazer o login. link O SSHGuard banirá de uma tentativa de login com falha para 5 ou 15 (não me lembro quais) minutos no início e aumentará exponencialmente após mais tentativas de login com falha. Eu tenho aliases para ajudar neste caso. 

alias ssh-add='\ssh-add -D && \ssh-add '

(Então o ssh-agent não conterá muitas chaves e falhará por causa disso) 

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Para ver as proibições que o sshguard adicionou) 

alias sshguard-unban='sudo iptables -D sshguard '

(Para remover facilmente o endereço IP. Uso sshguard-unban number_from_sshguard_show_bans)

Você também deve dizer ao SSHd para não permitir login com senha (opcional, mas recomendado. Se você não fizer isso, use pelo menos sshguard ou alternativa a ele) link

O VNC pode ser encapsulado com SSH. Em ~ / .ssh / config é algo assim: 

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

A última linha encaminha a porta 5900 (VNC) para a porta 8090 do localhost. Portanto, para conectar-se ao servidor remoto, informe ao cliente VNC para se conectar ao localhost 8090. (Existem 4 espaços antes de "Port" "Usuário" "hostname" e "LocalForward"

    
por Mikaela 28.03.2012 / 10:02
1

Mantenha-o atualizado (automático).

Se você precisar usar o ssh (eu acho que você precisa consertar as coisas ... :)) instale o servidor openVPN na sua máquina e cliente nela (e conexão automática / permanente). Se o seu IP é dinâmico, você precisará de um DNS dinâmico (como o dnsexit.com, por exemplo). Dessa forma, você poderá acessar sua máquina em qualquer lugar usando o túnel (mesmo se estiver em uma LAN em um hotel onde você não poderá usar o SSH de outra forma, geralmente, porque você não controla o roteador em que ela está conectada, somente VNC ou visualizador de equipe e isso significa servidor VNC sempre online ...). Permitir conexão SSH e VNC (ou similares) somente na sub-rede openvpn (e somente você poderá se conectar a eles).

Não se esqueça de configurar o iptables para bloquear tudo de fora, incluindo todas as sub-redes de redes locais (para LANs de hotel inseguro), exceto a subnet openvpn (e não use a default:)).

Use o VNC ou qualquer área de trabalho remota que você queira sobre o túnel também e você deve estar seguro.

UPDATE depois de ver seu comentário sobre a configuração de uma VPN toda vez: Você pode iniciar a VPN na inicialização e deixar assim. Quando sua máquina não estiver on-line ou sua mãe não estiver conectada à Internet, a conexão não terá êxito e será repetida a cada x minutos (você a configura). Quando ambas as máquinas estão bem, a conexão terá sucesso, então ela terá uma conexão permanente sem fazer nada (como 2 filiais, por exemplo). Outra maneira poderia ser fazer um pequeno script iniciar o openvpn e colocar um ícone em sua área de trabalho, mas ela precisará estar em sudoers para executar o script que eu acredito e ela precisará lembrar de clicar no ícone. Por esta razão, eu preferiria o primeiro caminho com conexão permanente. Você só precisa prestar atenção para não redirecionar todo o seu tráfego através da VPN na configuração.

    
por laurent 26.03.2012 / 22:32

Tags

Como mover senhas wifi para uma nova instalação Como posso carregar o Ubuntu quando tudo que tenho é o Grub?