如何为非技术用户保护Ubuntu？（你妈妈）

我的母亲将出差一段时间，我需要为她提供安全的笔记本电脑，以便她可以工作。Windows笔记本电脑是不可能的，因为：

• 她将登录狡猾的酒店无线网络和会议网络

• Windows许可证在上网本上安装的价格

我已经在上面安装了libreoffice，媒体播放器和skype。还启用了SSH，以便我可以进行干预，但是我担心自己可能无法这样做。

可能的威胁：

• 网页浏览

• USB记忆棒

• 不安全的网络容易受到入侵

• 恶意软件

• SSH / VNC漏洞

• Skype漏洞

所有的“ 保护Ubuntu”指南都假定用户具有一定程度的技术知识，但妈妈通常情况并非如此。如果恶意软件甚至可以获得用户级别的访问权限，则可能会破坏其文件。

确保计算机安全的第一件事就是确保软件包得到定期更新。我将启用全自动更新（https://help.ubuntu.com/community/AutomaticSecurityUpdates），只要在连接狡猾的酒店WiFi时网络爆发的可能性不是一个严重问题。

在那之后，我认为唯一的大问题是VNC。如果VNC服务器持续运行，则可能是系统上最大的潜在安全问题（SSH的作用范围类似，但默认情况下被认为更安全）。如果您需要安装VNC并希望它一直运行，那么您可能无能为力–它正在运行或没有运行，并且您无能为力，无法保护可控制输入的进程/ output就像VNC一样。但是，如果您不需要一直打开它，则只需禁用它即可。您可以根据需要通过SSH手动启动它。

只要您的软件包是最新的，我就不必担心Web浏览，USB记忆棒，恶意软件或SSH漏洞。Linux台式机/笔记本电脑并不是它们的共同目标，Ubuntu在设计上已经相当坚固。即使您没有采取任何特殊措施来保护这些漏洞，与运行甚至是相当不错的安全软件的Windows计算机相比，Ubuntu系统也不太可能受到威胁。

Skype不一定是安全的，但是它不能以提升的特权运行，并且鉴于Skype linux版本的状态，您可以采取很多措施来保护它。请注意，用于Linux的Skype并不是非常稳定或功能强大，并且已经很长时间没有开发。话虽如此，我一直将它用于商业目的，并且在习惯了它的怪癖之后就足够了。

道路战士最重要的安全风险是不安全的网络连接（公共WiFi），该网络连接允许第三方读取未加密的流量或对加密流量的中间人攻击。

解决此问题的唯一方法是使用VPN。如果您拥有服务器，则只需在其上设置VPN。PPTP或OpenVPN易于设置，并且几乎所有功能（Linux，Mac，Win，iPhone，Android，随便命名）都至少支持前者。

对于远程支持，我建议使用Teamviewer。可在任何地方以及每个防火墙后面运行。

UMTS / LTE访问情况如何？它将防止嗅探并允许SSH。它真的很容易配置。您将必须教妈妈如何获得她的IP或获得类似dyndns的解决方案。当然，这是定价和覆盖范围的问题。

您应该运行防火墙（ufw），并且只允许需要打开的端口（22 SSH）。 https://help.ubuntu.com/community/UFW 如果您需要带有ufw的GUI，则可以使用GUFW。 https://help.ubuntu.com/community/Gufw

您还应该使用诸如sshguard之类的方法来确保自动bot等无法登录。 http://www.sshguard.net/ SSHGuard首先将禁止一次失败的登录尝试限制为5或15分钟（我不记得是哪分钟），并且在尝试多次失败的登录之后，它将以指数级增长。在这种情况下，我有别名可以提供帮助。

alias ssh-add='\ssh-add -D && \ssh-add '

（因此，ssh-agent不会包含太多密钥，因此会失败）

alias sshguard-show-bans='sudo iptables -L sshguard --line-numbers'

（要查看sshguard已添加的禁令）

alias sshguard-unban='sudo iptables -D sshguard '

（轻松取消IP地址限制。用法sshguard-unban number_from_sshguard_show_bans）

您还应该告诉SSHd不允许使用密码登录（可选，但建议使用。如果不这样做，请至少使用sshguard或其他替代方法） https://help.ubuntu.com/11.10/serverguide/C/ openssh-server.html

VNC可以通过SSH建立隧道。在〜/ .ssh / config中，它是这样的：

Host lan-weibef   
    Port 8090                                                                                                                                                     
    User mkaysi                                                                                                                                      
    hostname compaq-mini.local                                                                                                                      
    LocalForward 127.0.0.1:8090 127.0.0.1:5900

最后一行将端口5900（VNC）转发到本地主机端口8090，以便连接到远程服务器，告诉VNC客户端连接到本地主机8090。（“端口”，“用户”，“主机名”和“ LocalForward”之前有4个空格。

保持更新（自动）。

如果您需要使用ssh（我认为您需要修复问题... :)，请在计算机上安装openVPN服务器，并在其上安装客户端（以及自动/永久连接）。如果您的IP是动态的，则需要一个动态DNS（例如dnsexit.com）。这样，您将可以使用隧道在任何地方访问她的计算机（即使在旅馆的局域网中，您通常也不能使用SSH来使用SSH，通常是因为您无法控制她所连接的路由器，仅VNC或团队查看器，这意味着VNC服务器始终在线...）。仅在openvpn子网中允许SSH和VNC（或类似名称）连接（只有您才能连接到它们）。

不要忘记配置iptables以阻止来自外部的一切，包括所有本地网络子网（对于不安全的酒店局域网）（openvpn子网除外）（不要使用默认的:)）。

也可以通过隧道使用VNC或任何您想要的远程桌面，您应该很安全。

每次看到您对设置VPN的评论后的UPDATE：您可以在引导时启动VPN，然后以这种方式启动。如果您的计算机不在线或母亲没有连接到互联网，则连接将不会成功，并且每隔x分钟重试一次（您已设置）。当两台机器都正常时，连接将成功，因此她将保持永久连接，而无需执行任何操作（例如，两个分支机构）。另一种方法是制作一个启动openvpn的小脚本，并在她的桌面上放置一个图标，但是她将必须处于紧急状态才能执行我认为的脚本，并且她将需要记住要单击该图标。因此，我更喜欢永久连接的第一种方法。您只需要注意不要通过配置中的VPN重定向她的所有流量。