私の母はしばらく旅行します、そして彼女が働くことができるように私は彼女に安全なラップトップを提供する必要があります。Windowsラップトップは、次の理由で問題外です。
彼女は危険なホテルの無線ネットワークと会議ネットワークにログインします
ネットブックにインストールするWindowsライセンスの価格
libreoffice、メディアプレーヤー、スカイプをインストールしました。また、介入できるようにSSHを有効にしましたが、そうする立場にないのではないかと心配しています。
考えられる脅威:
ウェブ閲覧
USBスティック
侵入しやすい安全でないネットワーク
マルウェア
SSH / VNCの脆弱性
Skypeの脆弱性
そこにあるすべての「Ubuntuを保護する」ガイドは、ユーザーが一定レベルの技術的知識を持っていることを前提としていますが、これは一般的にママには当てはまりません。マルウェアがユーザーレベルのアクセス権さえ取得できる場合、ファイルが危険にさらされる可能性があります。
回答:
そのコンピューターを安全に保つためにできる一番のことは、パッケージが定期的に更新されるようにすることです。危険なホテルのWiFiに接続しているときにネットワークが急激に使用される可能性がある限り、完全自動更新(https://help.ubuntu.com/community/AutomaticSecurityUpdates)を有効にします。
その後、唯一の大きな問題はVNCであると思います。VNCサーバーが常に実行されている場合、おそらくシステムで最も大きな潜在的なセキュリティの問題です(SSHは範囲は似ていますが、デフォルトではより安全であると考えられています)。VNCをインストールする必要があり、常に実行する必要がある場合、おそらく実行できることは何もありません-実行中かそうでないか、および入力を制御するプロセスを保護するためにできることはあまりありませんVNCのような/ output。ただし、常時オンにする必要がない場合は、無効にしてください。必要に応じて、SSH経由で手動で起動できます。
パッケージが最新である限り、Webブラウジング、USBスティック、マルウェア、またはSSHの脆弱性について心配する必要はありません。Linuxデスクトップ/ノートブックはそれらの一般的なターゲットではなく、Ubuntuは設計によってかなり強化されています。これらの脆弱性から保護するために特別なことをしなくても、Ubuntuシステムは、かなり優れたセキュリティソフトウェアを実行しているWindowsマシンよりも危険にさらされる可能性が低くなります。
Skypeは必ずしも安全ではありませんが、昇格した特権で実行されるわけではなく、Skype Linuxバージョンの状態を考えると、Skypeを保護するためにできることはあまりありません。Linux版のSkypeはあまり安定していないか機能が豊富ではなく、長い間取り組んでいないことに注意してください。そうは言っても、私は常にビジネス目的でそれを使用し、その癖に慣れてからは十分でした。
道路の戦士にとって最も重要なセキュリティリスクは、暗号化されていないトラフィックを第三者が読み取ったり、暗号化されたトラフィックに対する中間者攻撃を許可したりする、安全でないネットワーク接続(パブリックWiFi)です。
これを回避する唯一の方法は、VPNを使用することです。サーバーを所有している場合は、VPNをセットアップするだけです。PPTPまたはOpenVPNは簡単にセットアップでき、少なくとも前者はほとんどすべて(Linux、Mac、Win、iPhone、Androidなど)ですぐに使用できます。
リモートサポートについては、Teamviewerをお勧めします。どこからでも、すべてのファイアウォールの背後から機能します。
ファイアウォール(ufw)を実行し、開く必要があるポートのみを許可する必要があります(22 SSH)。 https://help.ubuntu.com/community/UFW ufwでGUIが必要な場合、GUFWがあります。 https://help.ubuntu.com/community/Gufw
また、sshguardなどを使用して、自動ボットなどがログインできないようにする必要があります。 http://www.sshguard.net/ SSHGuardは、1回のログイン試行の失敗を最初に5分または15分(どちらも覚えていない)に禁止し、ログイン試行がさらに失敗すると指数関数的に上昇します。この場合に役立つエイリアスがあります。
alias ssh-add='\ssh-add -D && \ssh-add '
(そのため、ssh-agentにはあまり多くのキーが含まれず、失敗します)
alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'
(sshguardが追加した禁止を確認するには)
alias sshguard-unban='sudo iptables -D sshguard '
(簡単にIPアドレスの禁止を解除します。使用sshguard-unban number_from_sshguard_show_bans)
また、パスワードを使用したログインを許可しないようにSSHdに指示する必要があります(オプションですが、推奨されます。これを行わない場合は、少なくともsshguardまたはそれに代わるものを使用してください) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html
VNCはSSHでトンネリングできます。〜/ .ssh / configでは、次のようなものです。
Host lan-weibef
Port 8090
User mkaysi
hostname compaq-mini.local
LocalForward 127.0.0.1:8090 127.0.0.1:5900
最後の行は、ポート5900(VNC)をlocalhostポート8090に転送して、リモートサーバーに接続し、VNCクライアントにlocalhost 8090に接続するように指示します(「ポート」「ユーザー」「ホスト名」および「LocalForward」の前に4つのスペースがあります
最新の状態に保つ(自動)。
sshを使用する必要がある場合(物事を修正する必要があると思います... :))あなたのマシンにopenVPNサーバーをインストールし、彼女にクライアントをインストールします(自動/永続的な接続)。IPが動的な場合、動的DNS(たとえばdnsexit.comなど)が必要です。この方法では、トンネルを使用してどこにでも彼女のマシンに到達できます(通常、SSHを別の方法で使用できないホテルのLANでも、接続しているルーターを制御しないため、 VNCまたはチームビューアー。これは、VNCサーバーが常にオンラインであることを意味します...)。openvpnサブネット上でのみSSHおよびVNC(または同様の)接続を許可します(そして、あなただけがそれらに接続できます)。
openvpnサブネットを除くすべてのローカルネットワークサブネット(安全でないホテルLANの場合)を含む外部からのすべてをブロックするようにiptablesを構成することを忘れないでください(デフォルトは使用しないでください:))。
トンネルを介して必要なVNCまたは任意のリモートデスクトップを使用しても安全です。
毎回VPNの設定に関するコメントを見た後に更新します。VPNを起動時に起動して、そのようにすることができます。マシンがオンラインでない場合、または母親がインターネットに接続していない場合、接続は成功せず、x分ごとに再試行します(設定した場合)。両方のマシンに問題がなければ、接続は成功するので、何もせずに永続的な接続ができます(たとえば、2つのブランチオフィスなど)。別の方法は、openvpnを起動する小さなスクリプトを作成し、デスクトップにアイコンを配置することですが、彼女は私が信じるスクリプトを実行するためにsudoersにいる必要があり、アイコンをクリックすることを忘れないでください。このため、永続的な接続を使用する最初の方法をお勧めします。設定内のVPNを介してすべてのトラフィックをリダイレクトしないように注意する必要があります。