गैर-तकनीकी उपयोगकर्ता के लिए उबंटू कैसे सुरक्षित करें? (तुम्हारी माँ)

मेरी माँ थोड़ी देर के लिए यात्रा कर रही होगी और मुझे उसे एक सुरक्षित लैपटॉप प्रदान करने की आवश्यकता है ताकि वह काम कर सके। एक विंडोज़ लैपटॉप प्रश्न से बाहर है क्योंकि:

• वह डोडी होटल वायरलेस नेटवर्क और कॉन्फ्रेंस नेटवर्क में प्रवेश करेगी

• नेटबुक पर स्थापित करने के लिए विंडोज़ लाइसेंस की कीमत

मैंने कामचलाऊ व्यवस्था स्थापित की है, मीडिया खिलाड़ियों और उस पर स्काइप। एसएसएच को भी सक्षम किया ताकि मैं हस्तक्षेप कर सकूं लेकिन मुझे चिंता है कि मैं ऐसा करने की स्थिति में नहीं हूं।

संभावित खतरे:

• वेब ब्राउज़िंग

• USB चिपक जाती है

• असुरक्षित नेटवर्क घुसपैठ की संभावना है

• मैलवेयर

• एसएसएच / वीएनसी भेद्यता

• स्काइप भेद्यता

सभी " सिक्योरिंग उबंटू" गाइडों को लगता है कि उपयोगकर्ता के पास तकनीकी ज्ञान का एक निश्चित स्तर है, लेकिन सामान्य रूप से माताओं के साथ ऐसा नहीं है। यदि कोई मैलवेयर उपयोगकर्ता स्तर तक भी पहुँच प्राप्त कर सकता है तो वह उसकी फ़ाइलों से समझौता कर सकता है।

वह संख्या जो आप कंप्यूटर को सुरक्षित रखने के लिए कर सकते हैं, वह यह सुनिश्चित करना है कि पैकेज नियमित रूप से अपडेट किए जाते हैं। मैं पूरी तरह से स्वचालित अपडेट (https://help.ubuntu.com/community/AutomaticSecurityUpdates) सक्षम करूंगा, जब तक कि डोडी होटल के वाईफाई से कनेक्ट होने के दौरान नेटवर्क उपयोग के फटने की संभावना एक गंभीर समस्या नहीं है।

उसके बाद, मुझे लगता है कि एकमात्र बड़ी समस्या वीएनसी है। यदि वीएनसी सर्वर लगातार चल रहा है, तो यह संभवतः सिस्टम पर सबसे बड़ा संभावित सुरक्षा मुद्दा है (एसएसएच गुंजाइश के समान है लेकिन डिफ़ॉल्ट रूप से अधिक सुरक्षित माना जाता है)। यदि आपको वीएनसी स्थापित करने की आवश्यकता है और इसे हर समय चलाने की आवश्यकता है, तो शायद इसके बारे में आप कुछ भी नहीं कर सकते हैं - यह या तो चल रहा है या यह नहीं है, और इनपुट पर नियंत्रण रखने वाली प्रक्रिया को सुरक्षित करने के लिए बहुत कुछ नहीं है। / आउटपुट जैसे VNC करता है। लेकिन अगर आपको हर समय रहने की आवश्यकता नहीं है, तो इसे अक्षम करें। यदि आप की जरूरत है तो आप इसे SSH के माध्यम से मैन्युअल रूप से शुरू कर सकते हैं।

जब तक आपके पैकेज अद्यतित हैं, मुझे वेब ब्राउज़िंग, USB स्टिक्स, मैलवेयर या SSH भेद्यता के बारे में चिंता नहीं होगी। लिनक्स डेस्कटॉप / नोटबुक उनके लिए एक सामान्य लक्ष्य नहीं हैं और उबंटू डिजाइन द्वारा काफी अच्छी तरह से कठोर है। यहां तक ​​कि अगर आप उन कमजोरियों के खिलाफ सुरक्षित करने के लिए कुछ भी विशेष नहीं करते हैं, तो एक उबंटू प्रणाली को काफी अच्छी सुरक्षा सॉफ्टवेयर चलाने वाली विंडोज मशीन की तुलना में कम समझौता होने की संभावना होगी।

स्काइप आवश्यक रूप से सुरक्षित नहीं है, लेकिन यह ऊंचे विशेषाधिकारों के साथ नहीं चलता है और स्काइप के लिनक्स संस्करण की स्थिति को देखते हुए आप इसे सुरक्षित करने के लिए बहुत कुछ नहीं कर सकते हैं। बस इस बात से अवगत रहें कि लिनक्स के लिए स्काइप बहुत स्थिर या विशेषता नहीं है और लंबे समय तक इस पर काम नहीं किया गया है। यह कहा गया है, मैं इसे हर समय व्यावसायिक उद्देश्यों के लिए उपयोग करता हूं और इसके क्वार्क्स के लिए उपयोग करने के बाद यह पर्याप्त था।

सड़क योद्धाओं के लिए सबसे महत्वपूर्ण सुरक्षा-जोखिम एक असुरक्षित नेटवर्क कनेक्शन (पब्लिक वाईफाई) है जो अनएन्क्रिप्टेड ट्रैफ़िक को थर्ड पार्टी या मैन-इन-बीच के हमलों को एन्क्रिप्टेड ट्रैफ़िक द्वारा पढ़ने की अनुमति देता है।

इसका एकमात्र तरीका वीपीएन का उपयोग करना है। यदि आप एक सर्वर के मालिक हैं, तो उस पर एक वीपीएन सेट करें। PPTP या OpenVPN आसानी से सेट हो जाता है और कम से कम पूर्व में आउट-ऑफ-द-बॉक्स का समर्थन किया जाता है, जो कि बहुत अधिक (लिनक्स, मैक, विन, आईफोन, एंड्रॉइड, आप इसे नाम देते हैं)।

रिमोट सपोर्ट के लिए मैं टीमव्यूअर की सिफारिश करूंगा। हर जगह और हर फ़ायरवॉल के पीछे से काम करता है।

UMTS / LTE के बारे में क्या जानकारी है? यह सूँघने से बचाएगा और एसएसएच की अनुमति देगा। यह कॉन्फ़िगर करना वास्तव में आसान है। आपको अपनी माँ को सिखाना होगा कि कैसे अपने आईपी को प्राप्त करें या एक रंजक जैसा समाधान प्राप्त करें। यह मूल्य निर्धारण और निश्चित रूप से कवरेज की बात है।

आपको फ़ायरवॉल (ufw) चलाना चाहिए और केवल उन पोर्ट्स को खोलने की आवश्यकता होती है जिन्हें खोलने की आवश्यकता होती है (२२ SSH)। https://help.ubuntu.com/community/UFW यदि आपको ufw के साथ GUI की आवश्यकता है, तो GUFW है। https://help.ubuntu.com/community/Gufw

आपको यह सुनिश्चित करने के लिए कि आप स्वचालित बॉट इत्यादि भी लॉगिन नहीं कर पाएंगे, का उपयोग करना चाहिए। http://www.sshguard.net/ SSHGuard पहली बार में एक असफल लॉगिन प्रयास से 5 या 15 (मुझे याद नहीं है) मिनटों पर प्रतिबंध लगाएगा और यह अधिक विफल लॉगिन प्रयासों के बाद तेजी से बढ़ेगा। मेरे पास इस मामले में मदद करने के लिए उपनाम है।

alias ssh-add='\ssh-add -D && \ssh-add '

(इसलिए ssh- एजेंट में बहुत अधिक कुंजियाँ नहीं होंगी और इसके कारण विफल होंगे)

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

(बैन को देखने के लिए जिसे शशगार्ड ने जोड़ा है)

alias sshguard-unban='sudo iptables -D sshguard '

(आईपी पते को आसानी से अनबन करने के लिए। sshguard-unban number_from_sshguard_show_bans) का उपयोग करें

आपको SSHd को पासवर्ड के साथ लॉगिन की अनुमति नहीं देने के लिए भी बताना चाहिए (वैकल्पिक, लेकिन अनुशंसित। यदि आप ऐसा नहीं करते हैं, तो कम से कम sshguard या इसके विकल्प का उपयोग करें ) https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC को SSH के साथ सुरंग में रखा जा सकता है। ~ / .Ssh / config में यह कुछ इस तरह है:

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

आखिरी लाइन फॉर्वर्ड पोर्ट 5900 (VNC) लोकलहोस्ट पोर्ट 8090 पर इसलिए रिमोट सर्वर से कनेक्ट करने के लिए, VNC क्लाइंट को लोकलहोस्ट 8090 से कनेक्ट करने के लिए कहें। (पोर्ट "यूजर" "होस्टनाम" और "लोकलवर्डवर्ड" से पहले 4 स्पेस हैं)

इसे अपडेट (स्वचालित) रखें।

यदि आपको ssh का उपयोग करने की आवश्यकता है (मुझे लगता है कि आपको चीजों को ठीक करने की आवश्यकता है ... :)) अपने मशीन पर क्लाइंट और उसके (और स्वचालित / स्थायी कनेक्शन) पर ओपन वीपीएन सर्वर स्थापित करें। यदि आपका आईपी गतिशील है, तो आपको एक गतिशील DNS (उदाहरण के लिए dnsexit.com की तरह) की आवश्यकता होगी। इस तरह आप हर जगह सुरंग का उपयोग करके उसकी मशीन तक पहुँच सकेंगे (भले ही एक होटल के एक लैन में जहां आप SSH का उपयोग करने में सक्षम नहीं होंगे, आमतौर पर क्योंकि आप उस राउटर को नियंत्रित नहीं करते हैं, जो केवल जुड़ा हुआ है, केवल VNC या टीम दर्शक और इसका अर्थ है VNC सर्वर हमेशा ऑनलाइन ...)। SSH और VNC (या सिमिलर्स) को केवल ओपनवीपीएन सबनेट पर कनेक्शन की अनुमति दें (और केवल आप उन्हें कनेक्ट करने में सक्षम होंगे)।

Openvpn सबनेट को छोड़कर (और डिफ़ॉल्ट एक का उपयोग न करें :)) को छोड़कर सभी स्थानीय नेटवर्क सबनेट (असुरक्षित होटल LANs) सहित बाहर से सब कुछ ब्लॉक करने के लिए iptables को कॉन्फ़िगर करना न भूलें।

सुरंग के ऊपर भी VNC या किसी भी दूरस्थ डेस्कटॉप का उपयोग करें और आप सुरक्षित रहें।

हर बार वीपीएन सेट करने के बारे में आपकी टिप्पणी देखने के बाद अद्यतन करें: आप वीपीएन को बूट पर शुरू कर सकते हैं और इसे इस तरह से कर सकते हैं। जब आपकी मशीन ऑनलाइन नहीं है या आपकी मां इंटरनेट से नहीं जुड़ी है, तो कनेक्शन सफल नहीं होगा और हर एक्स मिनट (आप इसे सेट करें) को पुन: प्रयास करें। जब दोनों मशीनें ठीक होंगी तो कनेक्शन सफल हो जाएगा, इसलिए उसके पास कुछ भी किए बिना एक स्थायी कनेक्शन होगा (उदाहरण के लिए 2 शाखा कार्यालय)। दूसरा तरीका यह हो सकता है कि ओपन स्क्रिप्ट को शुरू करने और उसके डेस्कटॉप पर एक आइकन बनाने के लिए एक छोटी सी स्क्रिप्ट बनाई जाए, लेकिन मुझे जो स्क्रिप्ट पर विश्वास है उसे निष्पादित करने के लिए उसे सूडो में होना होगा और उसे आइकन पर क्लिक करने के लिए याद रखना होगा। इस कारण से मैं स्थायी कनेक्शन के साथ पहला तरीका पसंद करूंगा। आपको केवल अपने सभी ट्रैफ़िक को अनुप्रेषित नहीं करने पर ध्यान देने की आवश्यकता है, हालांकि वीपीएन कॉन्फिगरेशन में।