<div dir="ltr">Bernie-<div><br></div><div>Thanks for your thoughts! I'm doing all those things right now. </div><div><br></div><div>Unfortunately, I'll miss this month's meeting since I'm in Tokyo getting ready for bed right now. My current worldwide travel was one of my reasons for asking - especially since I'll be in Hong Kong in January and I know that US government employees are no longer allowed to travel there. AAMOF, I was asking one of them about securing my laptop for the trip and he said, "Throw it away after you come back home!" 😲</div><div><br></div><div>-David</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Tue, Dec 3, 2024 at 1:05 AM Bernie Hoefer <<a href="mailto:LUG-Member@themoreiknow.info">LUG-Member@themoreiknow.info</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
On 2024-10-05 15:56 UTC-05:00, David Spoelstra wrote:<br>
===<br>
> I've been seeing more and more warnings about linux desktop <br>
> vulnerabilities. I've turned on my firewall (ufw) and any other<br>
> suggestions I've read.<br>
===<br>
<br>
David, I deeply apologize for not chiming in sooner.  I saw your message come into the list but was still catching up from a business trip and then preparing for my next one!  After that, your message just got lost in the shuffle.  :-(<br>
<br>
Making sure that you keep up-to-date on any errata published for your desktop GNU/Linux distribution is my 1st suggestion.  Although a firewall will protect from outsiders accessing network ports, that doesn't protect you if you want a port to be accessible but the daemon is vulnerable.  (For example, my laptop has SSH open, even when I'm not on my home network.  I feel safe doing that because I've configured it to disallow logins via password; I have to be using my SSH key if I am to get in.)<br>
<br>
In additional to configuring your firewall, I'd suggest also enabling SELinux.  Unless you are using 3rd-party applications from 20 years ago, SELinux configurations are no longer an after-thought and it (mostly) "just works" on my personal machines.  (Yes, every once-in-awhile I'll get a denial after updating a package because the developer made a mistake -- but those are easily overcome.)<br>
<br>
Erik Montemer's suggestion for using OpenSCAP to evaluate your desktop according to the DISA STIG is a good one, though I more generally think of it for servers... But upon reflection, I don't see why it couldn't be used on a desktop or laptop.<br>
<br>
<br>
===<br>
> Is there anyone that can give a comprehensive presentation on linux<br>
> desktop security?<br>
===<br>
<br>
You may want to ask both this month's (i.e. December's) and January's presenters about that at those respective meetings.  While the December topic focuses on RHEL, I'm sure speaker Joshua Loscar has opinions on desktop security.  And January's Greg Scott will be speaking on security, in general, and I *know* he has opinions there!  :-)<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
<br>
iF0EARECAB0WIQQepgJdnfsiTmnUzg5yQaapRGpvkwUCZ03apwAKCRByQaapRGpv<br>
kyE1AJwN4shrPUVuJ6lkpdF4Om2YcXNW5gCgmrnoeWwTN/OiY4WcRJVCN3VVtOQ=<br>
=f/ts<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div>