ich möchte mich ein bisschen darüber informieren, wie ein Linux Desktop sicher bleibt.
Gibt es einen aufklärenden Link, was man beachten soll und wie man Sicherheitslücken vermeiden kann. Ich bin noch relativ neu unter den Suse Anwendern und möchte vermeiden, dass mein System durch Fehlgriffe unsicher wird.
In diesem Zusammenhang möchte zwei Fragen stellen:
Alle WIN OS benutzen einen Virenscanner mit Firewall; eine Suse Distribution hat zwar eine Firewall, aber keinen Virenscanner. Falls nun es ein Virus, Spyware, Wurm, Trojaner usw. schafft durch die Firewall zu kommen, kann er unendlich lang unbemerkt sein Unwesen treiben; würde aber ab und zu ein Virenscanner über das System laufen, würde er aufgespürt werden und kann dann auch eliminiert werden.
wie risikoreich ist der automatische Aktualisierungsvorgang mit Repositories; oder wie kann man sich vor unkontrollierbare Eingriffe schützen?
Diese kleine Anleitung funktionniert nur unter der bedingung das alle offiziellen opensuse 11.2 oder 11.3 repositories auf deinem rechner geladen sind…
…falls du den einen oder anderen Paket nicht auf anhieb findest kuemmere dich nicht drumm, folgende Pakete habe ich aus der clamav Anleitung vor ein paar Jahren auf ein Notizblatt aufgeschrieben, das eine oder andere Paket existiert seitdem nicht mehr… …schau doch mal die neue Anleitung zur Sicherheit
Da selber noch relativ neu in Linux stand ich vor selbiger Frage.
Ich denke, die Benutzerkontensteuerung rsp Rechtevewaltung ist ein erster Weg um das System sicher zu halten.
Nebst dem gelten allgemeine Vorgehensweisen die ja auf allen OS (ob Windows, Mac oder Linux) Gültigkeit haben.
So sollte man zB nur zwecks Systemverwaltung im Administratoren-Benutzerkonto (bei Linux “root”) angemeldet sein.
Nebst dem Haupt-User-Konto könnte man zB ein User-Konto einrichten welches dann unter noch eingeschränkteren Zugriffsrechten für’s Internet verwendet wird.
Die Installation schlägt ja vor, selbiges Passwort wie für “root” auch für das erste User-Konto (welches dann nach obigem Beispiel als HauptUserKonto dienen würde) zu werwenden. Kann man zwar zwecks einfacherer Installation machen, würde jedoch dies kurz darauf ändern (seperates Passwort).
Im für Internet “reservierten” User-Konto das Häckchen “Systemmail empfangen” deaktivieren. Die runlevel beachten, jedoch eher nach dem Prinzip “Erlauben was benötigt wird” vorgehen.
Yast2 finde ich ein sehr nützliches Werkzeug. Man kann darin auch allgemeine Einstellungen der Benutzerrechte vornehmen wie etwa auf “paranoid” setzen.
Antivirenscanner rsp Programme für Linux finde ich dann vor Allem nützlich, wenn aus dem Internet heruntergeladene Dateien direkt an andere Systeme weitergegeben werden (zB eben von Linux auf Windows oder von Mac nach Windows). Aber auch sie stellen keine absoluten Sicherheitsmassnahmen dar. Denn sie müssen Schädlinge ja erst auch noch aufspüren (Erkennungsrate) und unschädlich machen.
Gegen Passwortklau helfen auch allgemeine und simple Vorgehnsweisen wie Passwortmanager oder halt Passworteingabe per Virtueler Tastatur (Virtual Keyboard).
einen Virenscanner halte ich für verzichtbar, es sei denn, Du stellst auf der Kiste Dateidienste (Samba) für Windows-Clients bereit.
Ja, es gibt Viren etc. für Linux, die aber in der Wildnis praktisch nicht auftauchen.
Bzgl. der Repositories: Die Pakete auf den offiziellen Repos sind normalerweise signiert, denen kannst Du vertrauen.
Zusammenfassend: Beschäftige Dich lieber mit anderen Linuxthemen
Um das mal konkreter darzustellen: ich nutze Linux seit Ende 2005, und mir ist noch nie Malware untergekommen. Wenn z.B. innerhalb dieses Forums sich herausstellen würde, dass irgendein Problem sich tatsächlich auf einen Virus zurückführen ließe, dann wäre das schon eine kleine Sensation. In den knapp 5 Jahren, in denen ich in diversen Foren herumgondele, habe ich dies noch kein einzige Mal erlebt. Virenscanner sind unter Linux wirklich Ressourcen- und Zeitverschwendung, mit der von buckesfeld erwähnten Ausnahme. Linux selbst ist aber nicht gefährdet.
Wie oben schon geschrieben: beherzigen sollte man, dass man als root nur dann arbeitet, wenn administrative Aufgaben dies erfordern. Zudem sollte Software wirklich nur aus vertrauenswürdigen Quellen bezogen werden (sprich: den offiziellen openSUSE-Quellen bzw. etablierten 3rd-party-Repositories wie Packman).
Den ersten Schritt zu einem sicheren System hast Du getan. Du hast den Schrott aus Redmond von Deiner Platte verbannt und benutzt ein sicheres System. Allerdings ist auch dieses System nur so sicher wie der User, der davor sitzt. Auch unter Linux gibt es Sicherheitsprobleme. (BTW: Ich brauche auch unter Windows keinen Virenscanner. Auch das System bekommt man so sicher, dass die überflüssig werden.)
Auch wenn M$ das in seiner Hilfe behauptet: Eine Firewall (auch eine externe) ist kein adäquates Mittel gegen den Befall mit Schadsoftware. Firewalling ist ein Regelwerk, das den Verkehr zwischen zwei Netzen regelt. Dazu gehört Hard-, Soft- und Wetware. Vor allem letztere muss man gut schulen. Eine Firewall ist nicht in der Lage, das Eindringen von Schadsoftware zu unterbinden, es sei denn die unterbindet jede Form von Verkehr mit dem Internet. Sobald sie aber irgend einen eingehenden Verkehr (http, pop3, ftp …) zulässt, kann sich in diesem Verkehr ein Eindringling ohne Probleme verstecken.
Das ist auch der Grund, warum Firewalls auch den dann erfolgenden Verkehr des Schädlings mit der Außenwelt nicht unterbinden können. Auch dieser wird heute in der Regel als normaler Verkehr getarnt, indem ein “harmloses” Protokoll wie http benutzt wird, in dem man den bösen Verkehr versteckt. Weiter Infos: Lutz Donnerhacke, Firewall-FAQ (einfach danach googeln).
Ein Virenscanner ist unter Linux unnötig. Die von Uwe erwähnten “Linuxviren” sind durch die Bank nicht für Angriffe einsetzbar. In der Regel müssen sie von root installiert werden. Wer tut das schon freiwillig. Das ist auch der erste Grund, warum wir unter Linux keine Viren haben. Wir arbeiten nie als root. Da aber nur root das Recht hat, Programme zu installieren, kann der User keinen Schaden anrichten. Noch sicherer wird das, wenn Du /home mit dem flag noexec mountest. Dann kann von dieser Partition nicht einmal mehr root etwas ausführen.
Der zweite Grund liegt in der Systemarchitektur. Es ist ein dummes Gerücht, dass es an der “geringen” Verbreitung des Systems liegt. Wenn man sich nämlich mal die Serverlandschaft im Internet anschaut, so ist dort UNIX/Linux das führende System. Und welche Server leiden immer mal wieder unter Befall von Schadsoftware? Die aus dem Hause M$.
Der dritte Grund ist die wesentlich übersichtlichere Diensteverwaltung und das sparsamere installieren derselben. Für meinen Geschmack ist Suse an der Stelle zu windowsig. Aber andere Distros wie z. B. Ubuntu sind da noch schlimmer. Mal ein Beispiel: Windows kann ich nicht installieren, ohne das die Datei- und Druckerfreigabe aktiv ist. Der Dienst wird nicht nur installiert, sondern auch gleich gestartet und für jeden User aktiviert. Unter Linux heißen die entsprechenden Dienste samba bzw. nfs. Beide sind zwar häufig installiert. Aber meistens laufen sie nicht einfach so und die Benutzer müssen erst noch eingerichtet und freigeschaltet werden. Das ist ein ganz wesentlicher Unterschied.
Ein vierter Grund liegt in der Masse der Distros und in der Individualisierbarkeit des Systems. Windosen gleichen sich wie ein Ei dem anderen. Allenfalls auf der Schale sind Unterschiede zu erkennen. Drinnen ist immer das Gleiche. Bei Linux ist das ganz anders. Zum einen gibt es viele verschiedene Distros. Zum anderen kann man bei Linux alles, aber auch wirklich alles einstellen. Dadurch werden die einzelnen Installationen so individuell, dass das Programmieren von Schadsoftware fast unmöglich ist.
Sofern Du nur bekannte Repos einbindest, die vertrauenswürdig sind, erhöht es Dein Risiko, Opfer eines Angriffs zu werden, nicht, sondern senkt es. Auch Linux ist nicht 100% sicher, wie ich gerade leider am eigenen Server erfahren muss. Die Unsicherheit liegt aber nicht in der Schadsoftware, sondern in der System- und Anwendungssoftware selbst. Finden sich hier Lücken, dann können die von Angreifern ausgenutzt werden.
Aber auch hier sind wir einfach besser als M$. Tritt eine solche Lücke auf, dann reagieren die Experten der Community in der Regel sofort und schreiben Patches. (Bei M$ kann das dauern oder erfolgt überhaupt nicht.) Diese Patches werden ebenso recht schnell von den Distros in die Repos übernommen, so dass Du bei automatischem Update immer die sichersten Versionen der von Dir eingesetzten Software auf dem Rechner hast.
Vielen Dank für die vielen Tips!
Ich habe vor kurzem den VLC Media-Player zusätzlich installiert, weil sich Kaffeine bei mir nicht öffnen lässt. Wie ich gelesen hab, liegt das an den schon veralteten IDE Laufwerken die sich noch in meinem Rechner drehen. Ich hoffe, dass VLC zu den vertrauenswürdigen rps gehört, da ich den Schlüssel angenommen habe.
Meine Erfahrung mit SUSE 11.3 ist bis jetzt nur erfreulich, da mein Rechner noch nie so stabil gelaufen ist - kein einziger Systemabsturtz!
Weil Du ein IDE-Laufwerk hast, soll Kaffeine nicht laufen? Also auch auf die Gefahr hin, mich jetzt zu blamieren, verweise ich das ins Reich der Mythen und Märchen. Warum sollte ein Media-Player nicht laufen, weil im Rechner ein IDE-Laufwerk rattert? Also bei mir lief das jahrelang mit verschiedenen Versionen problemlos. Wo hast Du das gelesen?
Ich vermute, dass es sich um ein albernes Rechteproblem handelt. Öffne bitte eine Konsole und tippe als normaler user und nicht als root
kaffeine
Eigentlich sollte Kaffeine jetzt starten und die Konsole so lange die Meldungen ausgeben. Startet Kaffeine nicht, dann kannst Du hier lesen, warum nicht. Auf der Konsole kannst Du dann nämlich die Fehlermeldungen des Programms sehen. Poste diese Meldungen hier. Dann wollen wir doch mal sehen, ob wir Kaffeine nicht trotz der IDE-Laufwerke zum Laufen kriegen.
Was ist ein Systemabsturz? Kennt das hier jemand? Allerdings kenne ich das auch seit 2000 bei Windows nicht mehr. Da ist M$ deutlich besser geworden. Und Windows7 würde ich sogar als richtiges Betriebssystem bezeichnen.
Kaffeine
Version 1.0-svn3
Unter KDE 4.4.4 (KDE 4.4.4) “release 3”
danke für den Tip.
Starten lässt sich Kaffeine; beim Start einer DVD kommt dann folgende Fehlermeldung:
Ausführbare Datei: kaffeine-xbu PID: 7131 Signal: 11 (Segmentation fault)
Egal wie ich Kaffeine starte; ob mit Konsole oder unter Startmenü -> Programme.
Deine Ursprungsfrage bezog sich auf die Sicherheit bei Linux. Jetzt fragst Du was zu VLC. Erstelle bitte immer einen neuen Thread zu einem neuen Thema. Wenn jemand
Internet Sicherheit von Linux bzw. Suse 11.3?
liest kannst Du kaum Antworten zu Deinem VLC Problem erwarten
Anyhow: Wie gropiuskalle und auch weitere Poster schon schrieben: Wenn Du mit openSuSE zu Hause arbeitest sind nur 3 Dinge wichtig:
Arbeite IMMER mit einem User Account - also nicht als root! Benutze den nur wenn Du irgendwelche SW Updates installierst.
Wähle ein sicheres Password - für root ist das extrem wichtig !!! - für einen normalen Benutzer sollte ein PWD auch gut sein
Je nach Deiner Netzwerkverbindung ins Internet solltest Du einen Rounter habe, der alle externen Angriffe blocked - oder - wenn Du solch einen nicht hast - musst Du Deine Kiste mit einer Firewall vor den Angriffen schützen. Ist kein Problem unter openSuSE - nur muss man das sauber konfigurieren.
zu 3) Wie bist Du an das Internet verbunden? Wenn Du keinen Router mit FW hast solltest Du noch verschiedene Dinge kontrollieren
Diese Diskussion bzgl Virenscannern ist bzgl Linux - als alleiniges OS - ein Thema - aber meiner Meinung und Erfahrung nach bei Linux vernachlässigbar. Wenn Du aber - wie ich es auch mal hatte - in Deinem lokalen LAN diverse Windows System hast (Die Kiddies kommen leider immer erst mit Windows in Kontakt und benutzen es dann leider auch) und Du ein Proxy für das Lan bei Dir hast - dann solltest Du schon über Virenscanner nachdenken.
Hast Du ein lokales LAN mit Windows Systemen? (… Dann solltest Du einen neuen Thread diesbezüglich aufmachen )
->Wenn Du aber - wie ich es auch mal hatte - in Deinem lokalen LAN diverse Windows System hast
->mit einer Firewall vor den Angriffen schützen. Ist kein Problem unter openSuSE - nur muss man das sauber konfigurieren.
Hallo framp,
danke für den Hinweis … war nicht mehr beim Thema!
Mein “alter” PC läuft gerade in Testphase als dualboot mit suse 11.3/win2k. Wenn sich Suse 11.3 bewährt, dann soll ein neuer PC die Aufgaben des “alten” übernehmen. Im Internet bin ich mit einer schnellen Kabelverbindung. Die Windowsseite ist mit einem Virusscanner und Firewall abgesichert.
Wie konfiguriert man am besten die Firewall, dass man sich nicht selbst abriegelt aber trotzdem lästiges Ungeziefer abhält? Gibt es dazu eine eindeutige Anleitung? Bisher habe ich nichts an der Firewall gemacht, ausser den “Internetport” geöffnet.
Und nun stellst Du schon wieder eine neue Frage die nichts mit dem initialen Thema zu tun hat …
Mach doch einen neuen Thread mit einem sinnvollen Tilte auf. Das erhöht die Trefferwahrscheinlichkeit für eine positive Antwort beträchtlich
Wieso hat die Frage nach der sinnvollen Konfiguration der Firewall nichts mit dem Thema “Internet Sicherheit …” zu tun? Ich denke, dass das schon was damit zu tun hat.
Wenn Du hinter einem Router mit Firewall sitzt, dann ist die sinnvollste Konfiguration jedweder Firewall auf dem Arbeitsplatzrechner, sie auszuschalten. Sie ist überflüssig und hilft nichts. Schon gar nicht gegen Schadsoftwarebefall. Warum?
Im Grunde gibt es drei Szenarien:
Auf dem Rechner läuft kein Netzwerkdienst.
Dann ist die Firewall unnötig. Wenn kein Netzwerkdienst läuft, dann ist auf dem Rechner auch kein Port offen, den es zu schützen gilt. Also brauche ich keine Firewall. Das Abschalten der unnötigen Dienste ist wesentlich effektiver (auch unter Windows).
Auf dem Rechner läuft ein Netzwerkdienst.
Das hat dann ja seinen Grund. Der Rechner soll ja einen Dienst im Netz anbieten. Also muss ich den Port in der Firewall notwendigerweise öffnen. Damit brauche ich für diesen Port aber auch keine Firewall mehr. Um den Zugriff von außen (z. B. aus dem Internet) zu unterbinden, muss ich den Rechner mit einer Firewall am Übergang zwischen den Netzen, also im oder hinter dem Router schützen.
Auf dem Rechner läuft eine Schadsoftware.
Das ist das meist genannte und doch falscheste Argument für eine Desktop-Firewall. Angeblich könne man so selbst bei einem Befall mit einem Trojaner oder beim Ausnutzen eines Exploits eines Dienstes den Zugriff von außen unterbinden. Leider sind gegen die meisten solcher Angriffe selbst externe Firewalls machtlos. Eine Desktop-Firewall ist völlig sinnfrei.
Wenn ein Rechner mit einer Schadsoftware befallen ist oder eine Sicherheitslücke ausgenutzt und der Rechner so manipuliert wurde, muss jede Software auf diesem Rechner als korrupt gelten, auch die Firewall. Es ist ein Leichtes, die Firewall umzukonfigurieren oder zu tunneln, wenn ich erst einmal die notwendigen Rechte habe. Bei Schadsoftwarebefall muss davon ausgegangen werden, dass ein Dritter die notwendigen Rechte hatte.
Erschwerend kommt hinzu, dass moderne Angriffe meist über Ports laufen, die sowieso offen sind, weil sie für den Netzverkehr notwendig sind. Wenn z. B. ein Trojaner nach Hause telefonieren will, dann tut er das heutzutage gerne über Port 80. Für die Firewall sieht das aus wie der Aufruf einer Webseite. Also lässt sie das durch, egal ob sie eine Desktop oder eine richtige Firewall ist. Würde sie das nicht tun, dann wäre auch das Surfen nicht mehr möglich.
Desktop-Firewalls haben nur dann einen beschränkten Sinn, wenn man sich direkt mit öffentlichen Netzen z. B. mit dem Access-Point am Flughafen verbindet. Dann bieten sie einen eingeschränkten Schutz davor, dass der Nachbar versehentlich z. B. meine Freigaben sieht.
Das alles gilt für alle Betriebssysteme. Die Desktop-Firewall ist sinnfrei. Wie immer bei dem Thema der Link auf das m. E. beste Dokument im Netz zum besseren Verständnis, was Firewalls eigentlich sind:
