我妈妈要出去旅行一段时间,我需要给她提供一台安全的笔记本电脑,以便她可以工作。Windows 笔记本电脑是不可能的,因为:
她将登录不可靠的酒店无线网络和会议网络
在上网本上安装 Windows 许可证的价格
我已经在上面安装了 libreoffice、媒体播放器和 skype。还启用了 SSH,以便我可以进行干预,但我担心我可能无法这样做。
可能的威胁:
网页浏览
USB 记忆棒
不安全的网络容易受到入侵
恶意软件
SSH/VNC 漏洞
Skype 漏洞
一切 ”确保 Ubuntu 安全”指南那些认为用户具有一定技术知识水平的人认为,但妈妈们通常不具备这种能力。如果恶意软件能够获得用户级别的访问权限,它可能会危害她的文件。
答案1
为确保计算机安全,您可以做的首要事情就是确保软件包定期更新。我会启用全自动更新 (https://help.ubuntu.com/community/AutomaticSecurityUpdates),只要连接到不稳定的酒店 WiFi 时网络使用量激增的可能性不大,就不会造成严重问题。
除此之外,我认为唯一的大问题就是 VNC。如果 VNC 服务器一直在运行,那么它可能是系统上最大的潜在安全问题(SSH 的范围类似,但默认情况下被认为更安全)。如果您需要安装 VNC 并需要它一直运行,那么您可能对此无能为力——它要么在运行,要么不在运行,而且您无法采取太多措施来保护像 VNC 那样控制输入/输出的进程。但如果您不需要它一直运行,那么只需禁用它即可。如果需要,您可以通过 SSH 手动启动它。
只要您的软件包是最新的,我就不用担心网页浏览、USB 记忆棒、恶意软件或 SSH 漏洞。Linux 台式机/笔记本电脑不是它们的常见目标,Ubuntu 在设计上相当坚固。即使您不采取任何特殊措施来防范这些漏洞,Ubuntu 系统受到攻击的可能性也比运行相当好的安全软件的 Windows 机器要小。
Skype 不一定安全,但它不能以提升的权限运行,而且考虑到 Skype Linux 版本的状态,你无法采取太多措施来确保其安全。请注意,Linux 版 Skype 不太稳定或功能不全,而且很长时间没有开发。话虽如此,我一直将它用于商业目的,在我习惯了它的怪癖之后,它就足够了。
答案2
最重要的安全风险公路勇士是一种不安全的网络连接(公共 WiFi),允许第三方读取未加密的流量或对加密流量进行中间人攻击。
解决这个问题的唯一方法是使用 VPN。如果您拥有服务器,只需在其上设置 VPN。PPTP 或 OpenVPN 很容易设置,至少前者几乎在所有设备上都得到开箱即用的支持(Linux、Mac、Win、iPhone、Android,等等)。
对于远程支持,我推荐 Teamviewer。它可以在任何地方工作,并且不受任何防火墙的限制。
答案3
那么 UMTS/LTE 接入呢?它可以防止嗅探并允许 SSH。配置起来真的很容易。你必须教你妈妈如何获取她的 IP 或获得类似 dyndns 的解决方案。当然,这是一个定价和覆盖范围的问题。
答案4
保持更新(自动)。
如果您需要使用 ssh(我认为您需要修复一些东西... :)),请在您的机器上安装 openVPN 服务器,并在她机器上安装客户端(以及自动/永久连接)。如果您的 IP 是动态的,您将需要一个动态 DNS(例如 dnsexit.com)。这样,您就可以使用隧道在任何地方访问她的机器(即使在酒店的局域网中,您通常无法以其他方式使用 SSH,因为您无法控制她所连接的路由器,只有 VNC 或团队查看器,这意味着 VNC 服务器始终在线...)。仅在 openvpn 子网上允许 SSH 和 VNC(或类似)连接(并且只有您才能连接到它们)。
不要忘记配置 iptables 来阻止来自外部的所有内容,包括所有本地网络子网(用于不安全的酒店 LAN),但 openvpn 子网除外(不要使用默认子网:))。
通过隧道使用 VNC 或任何您想要的远程桌面,您应该是安全的。
看到您关于每次设置 VPN 的评论后,我进行了更新:您可以在启动时启动 VPN 并让它保持这种状态。当您的机器不在线或您的母亲未连接到互联网时,连接将不会成功,并且每 x 分钟重试一次(您设置)。当两台机器都正常时,连接将成功,因此她将拥有永久连接而无需执行任何操作(例如 2 个分支机构)。另一种方法可能是制作一个启动 openvpn 的小脚本并在她的桌面上放置一个图标,但我相信她需要使用 sudoers 来执行脚本,并且她需要记住单击图标。出于这个原因,我更喜欢第一种永久连接的方式。您只需要注意不要在配置中通过 VPN 重定向她的所有流量。