Comment sécuriser Ubuntu pour un utilisateur non technique? (votre mère)

12

Ma mère va voyager pendant un certain temps et je dois lui fournir un ordinateur portable sécurisé pour qu'elle puisse travailler. Un ordinateur portable Windows est hors de question car:

elle se connectera aux réseaux sans fil et aux réseaux de conférence des hôtels douteux
prix de la licence windows à installer sur un netbook

J'ai installé libreoffice, des lecteurs multimédias et skype dessus. SSH a également été activé pour que je puisse intervenir, mais je crains de ne pas être en mesure de le faire.

Menaces possibles:

navigation sur le Web
Clés USB
réseaux non sécurisés sujets aux intrusions
malware
Vulnérabilités SSH / VNC
Vulnérabilités de Skype

Tous les guides de " sécurisation d'Ubuntu" supposent que l'utilisateur possède un certain niveau de connaissances techniques, mais ce n'est pas le cas des mamans en général. Si un malware peut obtenir un accès égal au niveau utilisateur, il peut compromettre ses fichiers.

laptop security

— Gil
source

10

La première chose que vous pouvez faire pour garder cet ordinateur sécurisé est de faire en sorte que les paquets sont mis à jour régulièrement. J'activerais les mises à jour entièrement automatiques (https://help.ubuntu.com/community/AutomaticSecurityUpdates), tant que le potentiel d'une explosion d'utilisation du réseau lors de la connexion au WiFi douteux de l'hôtel n'est pas un problème grave.

Après cela, je pense que le seul gros problème est VNC. Si le serveur VNC est en cours d'exécution en permanence, il est probablement le plus grand problème de sécurité sur le système (SSH est portée similaire, mais est considéré comme plus sûr par défaut). Si vous avez besoin que VNC soit installé et qu'il fonctionne tout le temps, il n'y a probablement rien que vous puissiez faire à ce sujet - qu'il soit en cours d'exécution ou non, et vous ne pouvez pas faire grand-chose pour sécuriser un processus qui contrôle l'entrée / sortie comme le fait VNC. Mais si vous n'avez pas besoin d'être tout le temps, puis désactivez-le. si vous devez vous pouvez le démarrer manuellement via SSH.

Tant que vos colis sont à jour, je ne vous soucier de la navigation sur le Web, les clés USB, les vulnérabilités des logiciels malveillants ou SSH. Les ordinateurs de bureau / portables Linux ne sont pas une cible commune pour eux et Ubuntu est assez bien durci par conception. Même si vous ne faites rien de spécial pour vous protéger contre ces vulnérabilités, un système Ubuntu sera moins susceptible d'être compromis qu'une machine Windows exécutant un logiciel de sécurité même assez bon.

Skype n'est pas nécessairement sécurisé, mais il ne fonctionne pas avec des privilèges élevés et vous ne pouvez pas faire grand-chose pour le sécuriser étant donné l'état de la version linux de Skype. Sachez simplement que Skype pour Linux est pas très stable ou featureful et n'a pas été travaillé depuis longtemps. Cela dit, je l'utilise à des fins commerciales tout le temps et après que je me suis habitué à ses bizarreries, il était convenable.

— Andrew G.
source

2

je pense que la visionneuse d'équipe est meilleure que celle de vnc

— One Zero

1

SSH ne fonctionnera pas si elle est dans un hôtel (ou n'importe quel) LAN car il n'y aura aucun moyen d'atteindre sa machine sans contrôler le routeur ...

— laurent

@laurent sera cette sécurité SSH compromis?

— Gil

@Gil L'ouverture du port SSH sur Internet est toujours un problème et si votre maman est dans un LAN (hôtel ou salles de conférence) même avec le port ouvert vous ne pourrez pas accéder à son ordinateur car l'IP (si vous le savez) du spectateur d'équipe par exemple) sera associé au routeur LAN et il ne sera pas en avant à l'ordinateur de votre maman. Donc , vous ne serez pas en mesure de se connecter à son ordinateur de cette façon (mais d' autres dans l'hôtel LAN). Je pense donc que ce n'est pas une solution de travail et il est dangereux. Je pense que la façon dont je répondais à l' aide d' un VPN est le seul moyen simple d'atteindre son ordinateur toujours et sans risque élevé.

— laurent

Il existe une chose telle que "reverse ssh", où la connexion est établie par l'hôte - votre mère dans ce cas - et qui pourrait éventuellement être empaquetée dans un script et placée sur le bureau pour que l'utilisateur l'utilise en cas d'urgence . Je ne connais aucun détail sur cette approche, car je n'ai jamais eu à l'utiliser moi-même.

— Andrew G.29

3

Le risque de sécurité le plus important pour les guerriers de la route est une connexion réseau non sécurisée (WiFi public) qui permet la lecture de trafic non crypté par des tiers ou des attaques man-in-the-middle sur le trafic crypté.

La seule solution consiste à utiliser un VPN. Si vous possédez un serveur, il vous suffit de configurer un VPN dessus. PPTP ou OpenVPN sont faciles à configurer et au moins le premier est pris en charge hors de la boîte par à peu près tout (Linux, Mac, Win, iPhone, Android, vous l'appelez).

Pour une assistance à distance, je recommanderais Teamviewer. Fonctionne de partout et derrière chaque pare-feu.

— mniess
source

2

C'est ma mere. Il n'y a aucun moyen de configurer un VPN à chaque connexion.

— Gil

3

@Gil: Ubuntu vous permet d'automatiser ce processus tant que vous avez un fournisseur externe "fixe" pour le VPN. Par exemple, vous pouvez configurer une règle pour vous connecter au VPN chaque fois que le WLAN est utilisé, tandis qu'un LAN câblé normal ne déclenchera pas ce comportement. +1 pour la réponse, btw.

— 0xC0000022L

2

Qu'en est-il de l'accès UMTS / LTE? Il protégerait du reniflement et permettrait SSH. Il est devenu très facile à configurer. Vous devez apprendre à votre maman comment obtenir son IP ou obtenir une solution de type dyndns. C'est une question de prix et de couverture bien sûr.

— user35538
source

1

Vous devez exécuter un pare-feu (ufw) et autoriser uniquement les ports nécessaires à l'ouverture (22 SSH). https://help.ubuntu.com/community/UFW Si vous avez besoin d'une interface graphique avec ufw, il y a GUFW. https://help.ubuntu.com/community/Gufw

Vous devez également utiliser quelque chose comme sshguard pour vous assurer que les robots automatiques, etc. ne pourront pas se connecter. http://www.sshguard.net/ SSHGuard bannira d'une tentative de connexion échouée à 5 ou 15 minutes (je ne me souviens pas de qui) au début et augmentera de façon exponentielle après plusieurs tentatives de connexion infructueuses. J'ai des alias pour aider dans ce cas.

alias ssh-add='\ssh-add -D && \ssh-add '

(Donc, ssh-agent ne contiendra pas trop de clés et échouera à cause de cela)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(Pour voir les interdictions ajoutées par sshguard)

alias sshguard-unban='sudo iptables -D sshguard '

(Pour annuler facilement l'adresse IP. Utilisation sshguard-unban number_from_sshguard_show_bans)

Vous devez également dire à SSHd de ne pas autoriser la connexion avec mot de passe (facultatif, mais recommandé. Si vous ne le faites pas, utilisez au moins sshguard ou une alternative à celui-ci) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC pourrait être tunnelé avec SSH. Dans ~ / .ssh / config, c'est quelque chose comme ceci:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

La dernière ligne transfère le port 5900 (VNC) au port localhost 8090 afin de se connecter au serveur distant, dites au client VNC de se connecter à localhost 8090. (Il y a 4 espaces avant "Port" "User" "hostname" et "LocalForward"

— Mikaela
source

1

Gardez-le à jour (automatique).

Si vous devez utiliser ssh (je pense que vous devez réparer les choses ... :)) installez le serveur openVPN sur votre machine et le client sur elle (et la connexion automatique / permanente). Si votre IP est dynamique, vous aurez besoin d'un DNS dynamique (comme dnsexit.com par exemple). De cette façon, vous pourrez atteindre sa machine partout en utilisant le tunnel (même si dans un LAN dans un hôtel où vous ne pourrez pas utiliser SSH d'une autre manière, généralement parce que vous ne contrôlez pas le routeur auquel elle est connectée, seulement VNC ou visionneuse d'équipe et cela signifie que le serveur VNC est toujours en ligne ...). Autorisez la connexion SSH et VNC (ou similaire) uniquement sur le sous-réseau openvpn (et vous seul pourrez vous y connecter).

N'oubliez pas de configurer iptables pour tout bloquer de l'extérieur, y compris tous les sous-réseaux des réseaux locaux (pour les réseaux locaux d'hôtel non sécurisés), à l'exception du sous-réseau openvpn (et n'utilisez pas celui par défaut :)).

Utilisez VNC ou n'importe quel bureau distant que vous souhaitez également via le tunnel et vous devriez être en sécurité.

MISE À JOUR après avoir vu votre commentaire sur la configuration d'un VPN à chaque fois: vous pouvez démarrer le VPN au démarrage et le laisser ainsi. Lorsque votre machine n'est pas en ligne ou que votre mère n'est pas connectée à Internet, la connexion échoue et réessayez toutes les x minutes (vous la définissez). Lorsque les deux machines sont correctes, la connexion réussit donc elle aura une connexion permanente sans rien faire (comme 2 succursales par exemple). Une autre façon pourrait être de créer un petit script à partir d'openvpn et de placer une icône sur son bureau, mais elle devra être dans sudoers pour exécuter le script je crois et elle devra se rappeler de cliquer sur l'icône. Pour cette raison, je préférerais la 1ère voie avec connexion permanente. Vous devez seulement faire attention à ne pas rediriger tout son trafic via le VPN dans la configuration.

— laurent
source