¿Cómo asegurar Ubuntu para un usuario no técnico? (tu mamá)
12
Mi madre viajará por un tiempo y necesito proporcionarle una computadora portátil segura para que pueda trabajar. Una computadora portátil con Windows está fuera de discusión porque:
iniciará sesión en redes inalámbricas de hotel y redes de conferencia poco fiables
precio de la licencia de Windows para instalar en una netbook
He instalado libreoffice, reproductores multimedia y skype en él. También habilité SSH para poder intervenir, pero me preocupa no estar en condiciones de hacerlo.
Posibles amenazas:
buscando en la web
Memorias USB
redes inseguras propensas a intrusiones
malware
SSH / VNC vulnerabilidades
Vulnerabilidades de Skype
Todas las guías de " seguridad de Ubuntu" por ahí asumen que el usuario tiene un cierto nivel de conocimiento técnico, pero este no es el caso de las madres en general. Si un malware puede obtener acceso a nivel de usuario, puede comprometer sus archivos.
Lo más importante que puede hacer para mantener esa computadora segura es asegurarse de que los paquetes se actualicen regularmente. Permitiría actualizaciones completamente automáticas (https://help.ubuntu.com/community/AutomaticSecurityUpdates), siempre que el potencial de una explosión en el uso de la red mientras esté conectado al WiFi del hotel no sea un problema grave.
Después de eso, creo que el único gran problema es VNC. Si el servidor VNC se ejecuta constantemente, probablemente sea el mayor problema de seguridad potencial en el sistema (SSH tiene un alcance similar pero se considera que es más seguro de forma predeterminada). Si necesita instalar VNC y necesita que se ejecute todo el tiempo, entonces probablemente no pueda hacer nada al respecto: se está ejecutando o no, y no hay mucho que pueda hacer para asegurar un proceso que tenga control sobre la entrada / salida como lo hace VNC. Pero si no necesita que esté encendido todo el tiempo, desactívelo. Puede iniciarlo manualmente a través de SSH si lo necesita.
Mientras sus paquetes estén actualizados, no me preocuparía por la navegación web, las memorias USB, el malware o las vulnerabilidades SSH. Los equipos de escritorio / portátiles Linux no son un objetivo común para ellos y Ubuntu está bastante bien reforzado por el diseño. Incluso si no hace nada especial para protegerse contra esas vulnerabilidades, es menos probable que un sistema Ubuntu se vea comprometido que una máquina Windows que ejecuta incluso un software de seguridad bastante bueno.
Skype no es necesariamente seguro, pero no se ejecuta con privilegios elevados y no hay mucho que puedas hacer para protegerlo dado el estado de la versión de Linux de Skype. Solo tenga en cuenta que Skype para Linux no es muy estable o funcional, y no se ha trabajado durante mucho tiempo. Dicho esto, lo uso con fines comerciales todo el tiempo y después de que me acostumbré a sus peculiaridades, fue adecuado.
Creo que el visor del equipo es mejor que el de vnc
One Zero
1
SSH no funcionará si está en una LAN de hotel (o en alguna) porque no habrá forma de llegar a su máquina sin controlar el enrutador ...
Laurent
@laurent, ¿comprometerá la seguridad de SSH?
Gil
@Gil Abrir el puerto SSH en Internet siempre es un problema y si su madre está en una LAN (hotel o salas de conferencias) incluso con el puerto abierto, no podrá acceder a su computadora debido a la IP (si lo sabe) del visor del equipo, por ejemplo) se asociará con el enrutador LAN y no se reenviará a la computadora de su madre. Por lo tanto, no podrá conectarse a su computadora de esta manera (pero otros en la LAN del hotel lo harán). Así que creo que no es una solución que funcione y es peligrosa. Creo que la forma en que respondí usando una VPN es la única forma simple de llegar a su computadora siempre y sin alto riesgo.
Laurent
Existe una "ssh inversa", donde la conexión es iniciada por el host, su madre en este caso, y que posiblemente podría empaquetarse en un script y colocarse en el escritorio para que el usuario lo use en emergencias . Sin embargo, no conozco ninguno de los detalles sobre ese enfoque, ya que nunca he tenido que usarlo yo mismo.
Andrew G.
3
El riesgo de seguridad más importante para los guerreros de la carretera es una conexión de red no segura (WiFi pública) que permite que el tráfico no cifrado sea leído por terceros o ataques de intermediarios sobre el tráfico cifrado.
La única forma de evitar esto es usar una VPN. Si posee un servidor, simplemente configure una VPN en él. PPTP u OpenVPN se configuran fácilmente y al menos el primero es compatible de forma inmediata con casi todo (Linux, Mac, Win, iPhone, Android, lo que sea).
Para soporte remoto, recomendaría Teamviewer. Funciona desde todas partes y detrás de cada firewall.
Es mi madre. No hay forma de que configure una VPN cada vez que se conecte.
Gil
3
@Gil: Ubuntu le permite automatizar ese proceso siempre que tenga un proveedor externo "fijo" para la VPN. Por ejemplo, puede configurar una regla para conectarse a la VPN cada vez que se utiliza WLAN, mientras que la LAN cableada normal no activará ese comportamiento. +1 por la respuesta, por cierto.
0xC0000022L
2
¿Qué pasa con el acceso UMTS / LTE? Protegería de oler y permitiría SSH. Se ha vuelto realmente fácil de configurar. Tendría que enseñarle a su madre cómo obtener su IP u obtener una solución similar a los Dyndns. Es una cuestión de precios y cobertura, por supuesto.
También debe usar algo como sshguard para asegurarse de que los bots automáticos, etc., no puedan iniciar sesión.
http://www.sshguard.net/
SSHGuard prohibirá un intento fallido de inicio de sesión a 5 o 15 minutos (no recuerdo cuáles) al principio y aumentará exponencialmente después de más intentos fallidos de inicio de sesión. Tengo alias para ayudar en este caso.
alias ssh-add='\ssh-add -D && \ssh-add '
(Por lo tanto, ssh-agent no contendrá demasiadas claves y fallará debido a eso)
alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'
(Para ver las prohibiciones que sshguard ha agregado)
alias sshguard-unban='sudo iptables -D sshguard '
(Para deshacer fácilmente la dirección IP. Utilice sshguard-unban number_from_sshguard_show_bans)
VNC podría ser tunelizado con SSH. En ~ / .ssh / config es algo como esto:
Host lan-weibef
Port 8090
User mkaysi
hostname compaq-mini.local
LocalForward 127.0.0.1:8090 127.0.0.1:5900
La última línea reenvía el puerto 5900 (VNC) al puerto localhost 8090 para conectarse al servidor remoto, dígale al cliente VNC que se conecte al localhost 8090. (Hay 4 espacios antes de "Puerto", "Usuario", "nombre de host" y "LocalForward"
Si necesita usar ssh (creo que necesita arreglar las cosas ... :)) instale el servidor openVPN en su máquina y el cliente en ella (y conexión automática / permanente). Si su IP es dinámica, necesitará un DNS dinámico (como dnsexit.com, por ejemplo). De esta manera, podrá llegar a su máquina en todas partes utilizando el túnel (incluso si está en una LAN en un hotel donde no podrá usar SSH de otra manera, generalmente porque no controla el enrutador al que está conectada, solo VNC o visor de equipo y esto significa que el servidor VNC siempre está en línea ...). Permita la conexión SSH y VNC (o similares) solo en la subred openvpn (y solo usted podrá conectarse a ellas).
No olvide configurar iptables para bloquear todo desde el exterior, incluidas todas las subredes de las redes locales (para LAN de hotel inseguras), excepto la subred openvpn (y no utilice la predeterminada :)).
Utilice VNC o cualquier escritorio remoto que desee sobre el túnel también y debería estar seguro.
ACTUALIZAR después de ver su comentario sobre la configuración de una VPN cada vez: puede iniciar la VPN en el arranque y dejarlo así. Cuando su máquina no está en línea o su madre no está conectada a Internet, la conexión no tendrá éxito y vuelva a intentarlo cada x minutos (lo configura). Cuando ambas máquinas están bien, la conexión tendrá éxito, por lo que tendrá una conexión permanente sin hacer nada (como 2 sucursales, por ejemplo). Otra forma podría ser crear un pequeño script que inicie openvpn y colocar un ícono en su escritorio, pero necesitará estar en sudoers para ejecutar el script, creo, y deberá recordar hacer clic en el ícono. Por esta razón, preferiría la primera vía con conexión permanente. Solo necesita prestar atención para no redirigir todo su tráfico a través de la VPN en la configuración.
El riesgo de seguridad más importante para los guerreros de la carretera es una conexión de red no segura (WiFi pública) que permite que el tráfico no cifrado sea leído por terceros o ataques de intermediarios sobre el tráfico cifrado.
La única forma de evitar esto es usar una VPN. Si posee un servidor, simplemente configure una VPN en él. PPTP u OpenVPN se configuran fácilmente y al menos el primero es compatible de forma inmediata con casi todo (Linux, Mac, Win, iPhone, Android, lo que sea).
Para soporte remoto, recomendaría Teamviewer. Funciona desde todas partes y detrás de cada firewall.
fuente
¿Qué pasa con el acceso UMTS / LTE? Protegería de oler y permitiría SSH. Se ha vuelto realmente fácil de configurar. Tendría que enseñarle a su madre cómo obtener su IP u obtener una solución similar a los Dyndns. Es una cuestión de precios y cobertura, por supuesto.
fuente
Debe ejecutar el firewall (ufw) y permitir que solo estén abiertos los puertos necesarios (22 SSH). https://help.ubuntu.com/community/UFW Si necesita una GUI con ufw, hay GUFW. https://help.ubuntu.com/community/Gufw
También debe usar algo como sshguard para asegurarse de que los bots automáticos, etc., no puedan iniciar sesión. http://www.sshguard.net/ SSHGuard prohibirá un intento fallido de inicio de sesión a 5 o 15 minutos (no recuerdo cuáles) al principio y aumentará exponencialmente después de más intentos fallidos de inicio de sesión. Tengo alias para ayudar en este caso.
(Por lo tanto, ssh-agent no contendrá demasiadas claves y fallará debido a eso)
(Para ver las prohibiciones que sshguard ha agregado)
(Para deshacer fácilmente la dirección IP. Utilice sshguard-unban number_from_sshguard_show_bans)
También debe decirle a SSHd que no permita el inicio de sesión con contraseña (opcional, pero recomendado. Si no hace esto, use al menos sshguard o una alternativa) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html
VNC podría ser tunelizado con SSH. En ~ / .ssh / config es algo como esto:
La última línea reenvía el puerto 5900 (VNC) al puerto localhost 8090 para conectarse al servidor remoto, dígale al cliente VNC que se conecte al localhost 8090. (Hay 4 espacios antes de "Puerto", "Usuario", "nombre de host" y "LocalForward"
fuente
Manténgalo actualizado (automático).
Si necesita usar ssh (creo que necesita arreglar las cosas ... :)) instale el servidor openVPN en su máquina y el cliente en ella (y conexión automática / permanente). Si su IP es dinámica, necesitará un DNS dinámico (como dnsexit.com, por ejemplo). De esta manera, podrá llegar a su máquina en todas partes utilizando el túnel (incluso si está en una LAN en un hotel donde no podrá usar SSH de otra manera, generalmente porque no controla el enrutador al que está conectada, solo VNC o visor de equipo y esto significa que el servidor VNC siempre está en línea ...). Permita la conexión SSH y VNC (o similares) solo en la subred openvpn (y solo usted podrá conectarse a ellas).
No olvide configurar iptables para bloquear todo desde el exterior, incluidas todas las subredes de las redes locales (para LAN de hotel inseguras), excepto la subred openvpn (y no utilice la predeterminada :)).
Utilice VNC o cualquier escritorio remoto que desee sobre el túnel también y debería estar seguro.
ACTUALIZAR después de ver su comentario sobre la configuración de una VPN cada vez: puede iniciar la VPN en el arranque y dejarlo así. Cuando su máquina no está en línea o su madre no está conectada a Internet, la conexión no tendrá éxito y vuelva a intentarlo cada x minutos (lo configura). Cuando ambas máquinas están bien, la conexión tendrá éxito, por lo que tendrá una conexión permanente sin hacer nada (como 2 sucursales, por ejemplo). Otra forma podría ser crear un pequeño script que inicie openvpn y colocar un ícono en su escritorio, pero necesitará estar en sudoers para ejecutar el script, creo, y deberá recordar hacer clic en el ícono. Por esta razón, preferiría la primera vía con conexión permanente. Solo necesita prestar atención para no redirigir todo su tráfico a través de la VPN en la configuración.
fuente