어머니는 잠시 여행을 할 것이며, 일할 수 있도록 안전한 노트북을 제공해야합니다. Windows 랩톱은 다음과 같은 이유로 의심의 여지가 없습니다.
그녀는 dodgy 호텔 무선 네트워크 및 회의 네트워크에 로그인합니다
넷북에 설치할 Windows 라이센스 가격
libreoffice, 미디어 플레이어 및 스카이프를 설치했습니다. 또한 SSH를 활성화하여 개입 할 수는 있지만 그렇게 할 수있는 위치에 있지 않을까 걱정됩니다.
가능한 위협 :
웹 브라우징
USB 스틱
침입하기 쉬운 안전하지 않은 네트워크
악성 코드
SSH / VNC 취약점
Skype 취약점
모든 " Ubuntu 보안"가이드 는 사용자에게 특정 수준의 기술 지식이 있다고 가정하지만 일반적으로 엄마에게는 해당되지 않습니다. 맬웨어가 사용자 수준의 액세스 권한을 얻을 수있는 경우 파일을 손상시킬 수 있습니다.
답변:
컴퓨터를 안전하게 유지하기 위해 할 수있는 가장 중요한 일은 패키지가 정기적으로 업데이트되도록하는 것입니다. dodgy 호텔 WiFi에 연결되어있는 동안 네트워크 사용이 급격히 증가 할 가능성이 크지 않다면 완전 자동 업데이트 (https://help.ubuntu.com/community/AutomaticSecurityUpdates)를 사용하려고합니다.
그 후, 유일한 큰 문제는 VNC라고 생각합니다. VNC 서버가 지속적으로 실행되는 경우 시스템에서 가장 큰 잠재적 보안 문제 일 수 있습니다 (SSH는 범위가 비슷하지만 기본적으로 더 안전한 것으로 간주됩니다). VNC가 설치되어 있고 항상 실행 중이어야하는 경우에는 수행 할 수있는 작업이 없을 수 있습니다. 실행 중이거나 실행 중이 아니거나 입력을 제어하는 프로세스를 보호하기 위해 할 수있는 일은 많지 않습니다. VNC와 같은 / output. 그러나 항상 필요하지 않으면 비활성화하십시오. 필요한 경우 SSH를 통해 수동으로 시작할 수 있습니다.
패키지가 최신 상태 인 한 웹 탐색, USB 스틱, 맬웨어 또는 SSH 취약성에 대해 걱정하지 않아도됩니다. 리눅스 데스크탑 / 노트북은 일반적인 목표가 아니며 우분투는 설계 상 상당히 강화되었습니다. 이러한 취약점으로부터 보호하기 위해 특별한 조치를 취하지 않더라도 상당히 우수한 보안 소프트웨어를 실행하는 Windows 시스템보다 Ubuntu 시스템이 손상 될 가능성이 적습니다.
Skype는 반드시 안전 할 필요는 없지만 높은 권한으로 실행되는 것은 아니며 Skype Linux 버전의 상태에서 보안을 유지하기 위해 할 수있는 일은 많지 않습니다. Linux 용 Skype는 그다지 안정적이지 않으며 오랫동안 작동하지 않았습니다. 그것은 항상 비즈니스 목적으로 사용하고 그 단점에 익숙해지면 충분했습니다.
로드 워리어 의 가장 중요한 보안 위험 은 암호화되지 않은 트래픽을 타사에서 읽거나 암호화 된 트래픽에 대한 중간자 공격을 허용하는 안전하지 않은 네트워크 연결 (공개 WiFi)입니다.
이를 해결하는 유일한 방법은 VPN을 사용하는 것입니다. 서버를 소유하고 있다면 VPN을 설정하십시오. PPTP 또는 OpenVPN은 쉽게 설정 될 수 있으며 적어도 전자는 거의 모든 것 (Linux, Mac, Win, iPhone, Android, 이름 지정)으로 기본적으로 지원됩니다.
원격 지원을 위해서는 Teamviewer를 권장합니다. 모든 방화벽과 모든 방화벽에서 작동합니다.
방화벽 (ufw)을 실행하고 열려야하는 포트만 허용해야합니다 (22 SSH). https://help.ubuntu.com/community/UFW ufw가 포함 된 GUI가 필요한 경우 GUFW가 있습니다. https://help.ubuntu.com/community/Gufw
또한 자동 봇 등이 로그인 할 수 없도록 sshguard와 같은 것을 사용해야합니다. http://www.sshguard.net/ SSHGuard는 처음 한 번의 로그인 시도에서 5 분 또는 15 분 (어떤 것을 기억하지 못하는지)까지 금지하며 더 많은 로그인 시도가 실패하면 기하 급수적으로 증가합니다. 이 경우 도움이되는 별칭이 있습니다.
alias ssh-add='\ssh-add -D && \ssh-add '
(따라서 ssh-agent는 너무 많은 키를 포함하지 않으므로 실패합니다)
alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'
(sshguard가 추가 한 금지를 보려면)
alias sshguard-unban='sudo iptables -D sshguard '
(IP 주소를 쉽게 금지 해제합니다. 사용법 sshguard-unban number_from_sshguard_show_bans)
또한 비밀번호로 로그인 할 수 없도록 SSHd에 지시해야합니다 (선택 사항이지만 권장됩니다.이를 수행하지 않는 경우 적어도 sshguard 또는 다른 비밀번호를 사용하십시오) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html
VNC는 SSH로 터널링 될 수 있습니다. ~ / .ssh / config에서는 다음과 같습니다.
Host lan-weibef
Port 8090
User mkaysi
hostname compaq-mini.local
LocalForward 127.0.0.1:8090 127.0.0.1:5900
마지막 행은 포트 5900 (VNC)을 로컬 호스트 포트 8090으로 전달하여 원격 서버에 연결하고 VNC 클라이언트에 로컬 호스트 8090에 연결하도록 지시합니다. ( "Port" "User" "hostname"및 "LocalForward"앞에 4 개의 공백이 있습니다.
업데이트 상태를 유지하십시오 (자동).
ssh를 사용해야하는 경우 (문제를 해결해야한다고 생각합니다 ... :)) 컴퓨터와 클라이언트에 openVPN 서버를 설치하십시오 (및 자동 / 영구 연결). IP가 동적이면 동적 DNS (예 : dnsexit.com)가 필요합니다. 이렇게하면 터널을 사용하여 어느 곳에서나 기계에 접근 할 수 있습니다 (단, 다른 방법으로 SSH를 사용할 수없는 호텔의 LAN에서는 연결되어있는 라우터를 제어하지 않기 때문에 일반적으로 SSH를 사용할 수없는 경우에도) VNC 또는 팀 뷰어는 VNC 서버가 항상 온라인 상태임을 의미합니다 ...). openvpn 서브넷에서만 SSH 및 VNC (또는 이와 유사한) 연결을 허용하십시오 (그리고 사용자 만 연결할 수 있습니다).
openvpn 서브넷을 제외한 모든 로컬 네트워크 서브넷 (안전하지 않은 호텔 LAN의 경우)을 포함하여 외부에서 모든 것을 차단하도록 iptables를 구성해야합니다 (기본 서브넷은 사용하지 마십시오).
VNC 또는 터널을 통해 원하는 원격 데스크톱도 사용하십시오. 안전해야합니다.
매번 VPN 설정에 대한 귀하의 의견을 본 후 업데이트 : 부팅시 VPN을 시작하고 그렇게 할 수 있습니다. 컴퓨터가 온라인 상태가 아니거나 어머니가 인터넷에 연결되어 있지 않으면 연결이되지 않고 x 분마다 다시 시도하십시오 (설정 한 경우). 두 시스템이 모두 정상이면 연결에 성공하므로 아무 것도하지 않고 영구적으로 연결됩니다 (예 : 2 개 지사). 또 다른 방법은 openvpn을 시작하는 작은 스크립트를 만들고 바탕 화면에 아이콘을 배치하는 것이지만, 내가 생각하는 스크립트를 실행하려면 sudoers에 있어야하며 아이콘을 클릭해야합니다. 이러한 이유로 나는 영구적 인 연결을 통한 첫 번째 방법을 선호합니다. 구성의 VPN을 통해 트래픽을 모두 리디렉션하지 않도록주의해야합니다.