Bagaimana cara mengamankan Ubuntu untuk pengguna non-teknis? (ibumu)
12
Ibuku akan bepergian untuk sementara waktu dan aku harus memberinya laptop yang aman agar dia bisa bekerja. Sebuah laptop windows tidak mungkin karena:
dia akan masuk ke jaringan nirkabel hotel yang cerdik dan jaringan konferensi
harga lisensi windows untuk menginstal di netbook
Saya telah menginstal libreoffice, pemutar media, dan skype di atasnya. Juga mengaktifkan SSH sehingga saya bisa melakukan intervensi tetapi saya khawatir saya mungkin tidak dalam posisi untuk melakukannya.
Kemungkinan ancaman:
menjelajah web
Stik USB
jaringan tidak aman rentan terhadap intrusi
malware
Kerentanan SSH / VNC
Kerentanan Skype
Semua " mengamankan Ubuntu" panduan di luar sana menganggap pengguna memiliki tingkat pengetahuan teknis tertentu tetapi ini tidak terjadi dengan ibu pada umumnya. Jika sebuah malware dapat memperoleh bahkan akses tingkat pengguna, itu dapat membahayakan file-nya.
Hal pertama yang dapat Anda lakukan untuk menjaga keamanan komputer adalah memastikan bahwa paket diperbarui secara berkala. Saya akan mengaktifkan pembaruan sepenuhnya otomatis (https://help.ubuntu.com/community/AutomaticSecurityUpdates), selama potensi ledakan penggunaan jaringan saat terhubung ke WiFi hotel yang cerdik bukan masalah yang parah.
Setelah itu, saya pikir satu-satunya masalah besar adalah VNC. Jika server VNC berjalan terus-menerus, itu mungkin merupakan masalah keamanan potensial terbesar pada sistem (SSH serupa dalam ruang lingkup tetapi dianggap lebih aman secara default). Jika Anda perlu VNC diinstal dan perlu menjalankannya sepanjang waktu, maka mungkin tidak ada yang dapat Anda lakukan - VNC berjalan atau tidak, dan tidak banyak yang dapat Anda lakukan untuk mengamankan proses yang memiliki kontrol atas input / output seperti VNC. Tetapi jika Anda tidak membutuhkannya setiap saat, maka cukup nonaktifkan saja. Anda dapat memulainya secara manual melalui SSH jika perlu.
Selama paket Anda terbaru, saya tidak akan khawatir tentang penjelajahan web, stik USB, malware, atau kerentanan SSH. Linux desktops / notebooks bukanlah target yang umum untuk mereka dan Ubuntu dikeraskan dengan baik oleh desain. Bahkan jika Anda tidak melakukan sesuatu yang khusus untuk mengamankan dari kerentanan itu, sistem Ubuntu akan cenderung tidak akan dikompromikan daripada mesin Windows yang menjalankan perangkat lunak keamanan yang bahkan cukup bagus.
Skype belum tentu aman, tetapi tidak berjalan dengan hak yang lebih tinggi dan tidak banyak yang dapat Anda lakukan untuk mengamankannya mengingat status versi linux Skype. Perlu diketahui bahwa Skype untuk Linux tidak terlalu stabil atau berfitur dan tidak pernah bekerja untuk waktu yang lama. Yang telah dikatakan, saya menggunakannya untuk tujuan bisnis sepanjang waktu dan setelah saya terbiasa dengan kebiasaannya itu sudah cukup.
SSH tidak akan berfungsi jika dia berada di hotel (atau di mana saja) LAN karena tidak akan ada cara untuk mencapai mesinnya tanpa mengendalikan router ...
laurent
@laurent akankah ini membahayakan keamanan SSH?
Gil
@Gil Membuka port SSH di internet selalu menjadi masalah dan jika ibumu ada di LAN (hotel atau ruang konferensi) bahkan dengan port terbuka Anda tidak akan dapat menjangkau komputernya karena IP (jika Anda tahu itu misalnya dari penampil tim) akan dikaitkan dengan router LAN dan tidak akan diteruskan ke komputer ibu Anda. Jadi Anda tidak akan dapat terhubung ke komputernya dengan cara ini (tetapi orang lain di LAN hotel akan). Jadi saya pikir ini bukan solusi yang baik dan berbahaya. Saya pikir cara saya menjawab menggunakan VPN adalah satu-satunya cara sederhana untuk mencapai komputernya selalu dan tanpa risiko tinggi.
laurent
Ada yang namanya "reverse ssh", di mana koneksi diprakarsai oleh tuan rumah - ibu Anda dalam hal ini - dan itu mungkin bisa dikemas menjadi naskah dan diletakkan di desktop untuk digunakan pengguna dalam keadaan darurat . Saya tidak tahu detail tentang pendekatan itu, karena saya tidak pernah harus menggunakannya sendiri.
Andrew G.
3
Risiko keamanan paling penting bagi pejuang jalanan adalah koneksi jaringan yang tidak aman (WiFi publik) yang memungkinkan lalu lintas tidak terenkripsi dapat dibaca oleh pihak ketiga atau serangan manusia-di-tengah-tengah pada lalu lintas terenkripsi.
Satu-satunya cara mengatasi ini adalah dengan menggunakan VPN. Jika Anda memiliki server, cukup setel VPN di atasnya. PPTP atau OpenVPN mudah diatur dan setidaknya yang pertama didukung di luar kotak oleh hampir semua hal (Linux, Mac, Win, iPhone, Android, sebut saja).
Untuk dukungan jarak jauh, saya akan merekomendasikan Teamviewer. Bekerja dari mana saja dan di belakang setiap firewall.
Itu ibuku. Tidak mungkin dia akan mengatur vpn setiap kali dia terhubung.
Gil
3
@Gil: Ubuntu memungkinkan Anda untuk mengotomatiskan proses itu selama Anda memiliki penyedia eksternal "tetap" untuk VPN. Misalnya, Anda dapat mengatur aturan untuk menyambung ke VPN setiap kali WLAN digunakan, sementara LAN kabel normal tidak akan memicu perilaku itu. +1 untuk jawabannya, btw.
0xC0000022L
2
Bagaimana dengan akses UMTS / LTE? Itu akan melindungi dari mengendus dan memungkinkan SSH. Sangat mudah dikonfigurasi. Anda harus mengajari ibu Anda cara mendapatkan IP-nya atau mendapatkan solusi seperti dindns. Ini masalah harga dan cakupan saja.
Anda juga harus menggunakan sesuatu seperti sshguard untuk memastikan bahwa bot otomatis dll. Tidak akan bisa masuk.
http://www.sshguard.net/
SSHGuard akan mencekal dari satu upaya login yang gagal menjadi 5 atau 15 (saya tidak ingat yang mana) menit pada awalnya dan itu akan meningkat secara eksponensial setelah lebih banyak upaya login gagal. Saya punya alias untuk membantu dalam kasus ini.
alias ssh-add='\ssh-add -D && \ssh-add '
(Jadi ssh-agent tidak akan berisi terlalu banyak kunci dan gagal, karenanya)
alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'
(Untuk melihat larangan yang telah ditambahkan sshguard)
alias sshguard-unban='sudo iptables -D sshguard '
(Untuk dengan mudah membatalkan pemblokiran alamat IP. Penggunaan sshguard-unban number_from_sshguard_show_bans)
Anda juga harus memberi tahu SSHd untuk tidak mengizinkan login dengan kata sandi (opsional, tetapi disarankan. Jika Anda tidak melakukan ini, gunakan setidaknya sshguard atau alternatif untuk itu)
https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html
VNC bisa diteruskan dengan SSH. Di ~ / .ssh / config kira-kira seperti ini:
Host lan-weibef
Port 8090
User mkaysi
hostname compaq-mini.local
LocalForward 127.0.0.1:8090 127.0.0.1:5900
Baris terakhir meneruskan port 5900 (VNC) ke localhost port 8090 sehingga untuk terhubung ke server jarak jauh, beri tahu klien VNC untuk terhubung ke localhost 8090. (Ada 4 spasi sebelum "Port" "User" "hostname" dan "LocalForward"
Jika Anda perlu menggunakan ssh (saya pikir Anda perlu memperbaiki hal-hal ... :)) instal server openVPN pada mesin Anda dan klien pada dirinya (dan koneksi otomatis / permanen). Jika IP Anda dinamis, Anda akan memerlukan DNS dinamis (seperti dnsexit.com misalnya). Dengan cara ini Anda akan dapat menjangkau mesinnya di mana-mana menggunakan terowongan (bahkan jika dalam LAN di sebuah hotel di mana Anda tidak akan dapat menggunakan SSH dengan cara lain biasanya karena Anda tidak mengontrol router yang terhubung, hanya saja VNC atau penampil tim dan ini berarti server VNC selalu online ...). Izinkan koneksi SSH dan VNC (atau sejenisnya) hanya pada subnet openvpn (dan hanya Anda yang dapat terhubung dengan mereka).
Jangan lupa untuk mengkonfigurasi iptables untuk memblokir segala sesuatu dari luar termasuk semua subnet jaringan lokal (untuk LAN hotel yang tidak aman) kecuali subnet openvpn (dan jangan gunakan yang standar :)).
Gunakan VNC atau desktop jarak jauh yang Anda inginkan di atas terowongan juga dan Anda harus aman.
PEMBARUAN setelah saya melihat komentar Anda tentang pengaturan VPN setiap kali: Anda dapat memulai VPN saat boot dan membiarkannya demikian. Ketika mesin Anda tidak online atau ibumu tidak terhubung ke internet, koneksi tidak akan berhasil dan coba lagi setiap x menit (Anda mengaturnya). Ketika kedua mesin ok koneksi akan berhasil sehingga dia akan memiliki koneksi permanen tanpa melakukan apa-apa (seperti 2 kantor cabang misalnya). Cara lain bisa dengan membuat skrip kecil yang memulai openvpn dan menempatkan ikon di desktop-nya, tetapi dia harus berada di sudoers untuk menjalankan skrip yang saya percaya dan dia harus ingat untuk mengklik ikon tersebut. Untuk alasan ini saya lebih suka cara pertama dengan koneksi permanen. Anda hanya perlu memperhatikan untuk tidak mengarahkan semua lalu lintas melalui VPN di konfigurasi.
Risiko keamanan paling penting bagi pejuang jalanan adalah koneksi jaringan yang tidak aman (WiFi publik) yang memungkinkan lalu lintas tidak terenkripsi dapat dibaca oleh pihak ketiga atau serangan manusia-di-tengah-tengah pada lalu lintas terenkripsi.
Satu-satunya cara mengatasi ini adalah dengan menggunakan VPN. Jika Anda memiliki server, cukup setel VPN di atasnya. PPTP atau OpenVPN mudah diatur dan setidaknya yang pertama didukung di luar kotak oleh hampir semua hal (Linux, Mac, Win, iPhone, Android, sebut saja).
Untuk dukungan jarak jauh, saya akan merekomendasikan Teamviewer. Bekerja dari mana saja dan di belakang setiap firewall.
sumber
Bagaimana dengan akses UMTS / LTE? Itu akan melindungi dari mengendus dan memungkinkan SSH. Sangat mudah dikonfigurasi. Anda harus mengajari ibu Anda cara mendapatkan IP-nya atau mendapatkan solusi seperti dindns. Ini masalah harga dan cakupan saja.
sumber
Anda harus menjalankan firewall (ufw) dan hanya mengizinkan port yang perlu dibuka (22 SSH). https://help.ubuntu.com/community/UFW Jika Anda membutuhkan GUI dengan ufw, ada GUFW. https://help.ubuntu.com/community/Gufw
Anda juga harus menggunakan sesuatu seperti sshguard untuk memastikan bahwa bot otomatis dll. Tidak akan bisa masuk. http://www.sshguard.net/ SSHGuard akan mencekal dari satu upaya login yang gagal menjadi 5 atau 15 (saya tidak ingat yang mana) menit pada awalnya dan itu akan meningkat secara eksponensial setelah lebih banyak upaya login gagal. Saya punya alias untuk membantu dalam kasus ini.
(Jadi ssh-agent tidak akan berisi terlalu banyak kunci dan gagal, karenanya)
(Untuk melihat larangan yang telah ditambahkan sshguard)
(Untuk dengan mudah membatalkan pemblokiran alamat IP. Penggunaan sshguard-unban number_from_sshguard_show_bans)
Anda juga harus memberi tahu SSHd untuk tidak mengizinkan login dengan kata sandi (opsional, tetapi disarankan. Jika Anda tidak melakukan ini, gunakan setidaknya sshguard atau alternatif untuk itu) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html
VNC bisa diteruskan dengan SSH. Di ~ / .ssh / config kira-kira seperti ini:
Baris terakhir meneruskan port 5900 (VNC) ke localhost port 8090 sehingga untuk terhubung ke server jarak jauh, beri tahu klien VNC untuk terhubung ke localhost 8090. (Ada 4 spasi sebelum "Port" "User" "hostname" dan "LocalForward"
sumber
Tetap perbarui (otomatis).
Jika Anda perlu menggunakan ssh (saya pikir Anda perlu memperbaiki hal-hal ... :)) instal server openVPN pada mesin Anda dan klien pada dirinya (dan koneksi otomatis / permanen). Jika IP Anda dinamis, Anda akan memerlukan DNS dinamis (seperti dnsexit.com misalnya). Dengan cara ini Anda akan dapat menjangkau mesinnya di mana-mana menggunakan terowongan (bahkan jika dalam LAN di sebuah hotel di mana Anda tidak akan dapat menggunakan SSH dengan cara lain biasanya karena Anda tidak mengontrol router yang terhubung, hanya saja VNC atau penampil tim dan ini berarti server VNC selalu online ...). Izinkan koneksi SSH dan VNC (atau sejenisnya) hanya pada subnet openvpn (dan hanya Anda yang dapat terhubung dengan mereka).
Jangan lupa untuk mengkonfigurasi iptables untuk memblokir segala sesuatu dari luar termasuk semua subnet jaringan lokal (untuk LAN hotel yang tidak aman) kecuali subnet openvpn (dan jangan gunakan yang standar :)).
Gunakan VNC atau desktop jarak jauh yang Anda inginkan di atas terowongan juga dan Anda harus aman.
PEMBARUAN setelah saya melihat komentar Anda tentang pengaturan VPN setiap kali: Anda dapat memulai VPN saat boot dan membiarkannya demikian. Ketika mesin Anda tidak online atau ibumu tidak terhubung ke internet, koneksi tidak akan berhasil dan coba lagi setiap x menit (Anda mengaturnya). Ketika kedua mesin ok koneksi akan berhasil sehingga dia akan memiliki koneksi permanen tanpa melakukan apa-apa (seperti 2 kantor cabang misalnya). Cara lain bisa dengan membuat skrip kecil yang memulai openvpn dan menempatkan ikon di desktop-nya, tetapi dia harus berada di sudoers untuk menjalankan skrip yang saya percaya dan dia harus ingat untuk mengklik ikon tersebut. Untuk alasan ini saya lebih suka cara pertama dengan koneksi permanen. Anda hanya perlu memperhatikan untuk tidak mengarahkan semua lalu lintas melalui VPN di konfigurasi.
sumber