Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

Linux & Sicherheit im Internet

heriL / 22 Antworten / Baumansicht Nickles

Hallo,
In "Die Zeit" der letzten Woche (8. Sept. / Ausg.37 / Wirtschaftsteil / http://www.zeit.de/2011/37/Zerschlagt-das-Internet/seite-1) steht in interessanter Artikel unter der Überschrift "Baut ein neues Internet". Darin sehen offenbar Internet Koryphäen die Sicherheit im Internet als kritisch an.

Ich muß gestehen, daß ich das Thema etwas vernachläßigt habe. Aber ich gehe auch davon aus, das für Hacker Windows-PC's und Smartphones wesentlich interessantere Ziele sind als Linux-PC's.

Trotzdem will ich mal fragen: reicht eine Firewall bzw. ein Programm, mit dem ich die ip-tables einstelle, ohne tieferes Hintergrundwissen zu haben aus ? Gibt es für Linux Programme, mit denen ich den PC auf Trojaner, Rootkits oder sonstiges Ungeziefer untersuchen kann ?

Wie seht ihr das?
oder: welche Maßnahmen trefft ihr, um ein sinnvolles Maß an Sicherheit beim Surfen zu gewährleisten ?

Gruß, heril

bei Antwort benachrichtigen
bthgv heriL „Linux & Sicherheit im Internet“
Optionen

Hallo,
brain.exe einsetzen, Download hier:
http://brain.yubb.de/

Gruss

bei Antwort benachrichtigen
heriL bthgv „Hallo, brain.exe einsetzen, Download hier: http://brain.yubb.de/ Gruss“
Optionen

sieht aus wie ein Wundermittel vom Wunderheiler.
ich glaub leider nicht an Märchen
und, kann es sein, daß das Märchen nur unter Windows läuft ?

bei Antwort benachrichtigen
bthgv heriL „sieht aus wie ein Wundermittel vom Wunderheiler. ich glaub leider nicht an...“
Optionen

Hallo heril,
funktioniert unter DOS, Windows, iOS, Linux, Solaris einfach überall.

Gruss

bei Antwort benachrichtigen
schoppes heriL „Linux & Sicherheit im Internet“
Optionen

Hallo heriL,

sieht aus wie ein Wundermittel vom Wunderheiler.
ich glaub leider nicht an Märchen

Dann hast du die "zarten Hinweise" von bthgv noch nicht richtig verstanden!

engl. brain = Gehirn

Benutze mal selbiges, dann merkst du vielleicht, was die verlinkte Webseite andeuten will.

;-)
Erwin

"Früher war alles besser. Sogar die Zukunft." (Karl Valentin)
bei Antwort benachrichtigen
Kabelschrat schoppes „Hallo heriL, Dann hast du die zarten Hinweise von bthgv noch nicht richtig...“
Optionen

Hallo schoppes,

ich hab mal eine TV Sendung " abspecken" gesehen. Is Sportprogramm für Kinder und Jugendliche 95 - 135 Kg. hat der Professor auch Joggen und vom Podestspringen eingebaut.Dabei werden die Gelenke mit dem mehrfachen des Körpergewichts belastet.

Fahrradfahren und Schwimmen verbrauchen Kalorien, aber nicht die Gelenke.

engl. brain = Gehirn Funktioniert manchmal nicht.

Soßbelastungen und Schwingungen können alles zerstören.

Besser mehrfach nachfragen und nachdenken.

Gruß

Kabelschrat

Manchmal frag ich mich, ob die Welt von klugen Köpfen regiert wird, die uns zum Narren halten oder von Schwachköpfen die es ernst meinen. M. Twain
bei Antwort benachrichtigen
Kabelschrat heriL „Linux & Sicherheit im Internet“
Optionen

Hallo heriL


Die starten von der CD, ohne das Win läuft.

http://www.avira.com/de/support-download-avira-antivir-rescue-system

http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
http://www.avg.com/de-de/avg-rescue-cd-download
http://support.kaspersky.com/de/viruses/rescuedisk

Gruß

Kabelschrat

Manchmal frag ich mich, ob die Welt von klugen Köpfen regiert wird, die uns zum Narren halten oder von Schwachköpfen die es ernst meinen. M. Twain
bei Antwort benachrichtigen
the_mic heriL „Linux & Sicherheit im Internet“
Optionen

Es gibt de facto keine aktuellen Viren für Linux in freier Wildbahn. Daher existieren keine "Echtzeit"-Virenscanner für Linux. Alle regulären Antivirusprogramme für Linux prüfen nur auf Viren für Windows.
Es gibt ein paar Rootkits, diese kann man mit rkhunter aufspüren. Dann gibt es natürlich auch weitere verhaltensbasierte Prüfwerkzeuge der Kategorie Intrusion Detection. Mit einem Audit-Tool wie lynis kann ein System auf potentielle Schwächen in der Konfiguration untersucht werden.

Eine Firewall ist praktisch sinnlos. Viel besser ist der Ansatz, alle Dienste, die nach aussen horchen und nicht aktiv vom Benutzer verwendet werden zu beenden oder so konfigurieren, dass sie nicht von extern erreichbar sind. Die Firewall wird hier wenn überhaupt erst als zweite Verteidigungslinie eingesetzt.

Wesentlich sinnvoller wäre bei akuter Paranoia das korrekte Abriegeln und härten des Systems mit ACL-basierten Kernelerweiterungen wie selinux, apparmor etc pp. Diese führen jedoch zu signifikanten Komforteinbussen und sind auch nicht mit allen Desktop-Programmen kompatibel (bzw passende Regelsätze sind hier nicht zwingend verfügbar).

In deine Liste besonders interessanter Ziele würde ich noch um Serversysteme jeglicher Plattform sowie eingebettete Systeme wie insb. ADSL-Router erweitern.

Das Hauptproblem sind fehlerhaft programmierte Anwendungen, insbesondere Fehler im Kernel eines Betriebssystems wirken sich absolut kritisch aus (Stichwort zero day root exploit), wie wohl neulich beim Einbruch auf kernel.org eingesetzt.

Zur konkreten Frage nach der Sicherheit beim Surfen: Mittels Flashblock wird das Laden von Flash-Animationen bei mir unterbunden. Flash-Animationen werden nur bei Bedarf geladen und angezeigt. Dies unterbindet nicht nur nervige Werbung sondern schützt auch vor Exploits gegenüber dem löchrigen Flashplayer.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
robinx99 the_mic „Es gibt de facto keine aktuellen Viren für Linux in freier Wildbahn. Daher...“
Optionen
Eine Firewall ist praktisch sinnlos. Viel besser ist der Ansatz, alle Dienste, die nach aussen horchen und nicht aktiv vom Benutzer verwendet werden zu beenden oder so konfigurieren, dass sie nicht von extern erreichbar sind. Die Firewall wird hier wenn überhaupt erst als zweite Verteidigungslinie eingesetzt.
Eine Iptable firewall eignet sich eigentlich recht gut dafür einen ssh zugang gegen brute force atacken zu schützen.
Sowas kann da schon sehr gut helfen:

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --second 300 --hitcount 20 -j DROP

Innerhalb von 300 Sekunden kann man pro IP nur 20 mal eine Verbindung aufbauen, das macht einen Bruteforce angriff praktisch unmöglich und der ssh dienst wird dann auch nicht ausgelastet, wenn da permanent wer anklopft (selbst wenn ssh nicht richtung internet lauscht, mag es doch auch in einem public Wlan die sache doch etwas sicherer)

Man könnte auch als zusätzliche sicherheitsmaßnahme soweit gehen und /tmp /home auf extra Partitionen mit Parameter 'noexec' mounten, so dass selbst wenn irgendeine Software eine sicherheitslücke hat, keine Binary auf das System kommen kann (die dann ja evtl. für weitere Root escalation genutzt wird)
bei Antwort benachrichtigen
the_mic robinx99 „ Eine Iptable firewall eignet sich eigentlich recht gut dafür einen ssh zugang...“
Optionen

Für Bruteforce-Schutz würde ich fail2ban installieren :-)

Von einem mount von /tmp mit noexec ist unter Debian-basierten Distributionen strikte abzuraten. Viele .deb führen bei der Installation Skripte in /tmp aus. nodev (keine Gerätedateien) ist hingegen ein sinnvoller Mountparameter.

Grundsätzlich ist aber /tmp und /home auf einer eigenen Partition auch aus Datensicherheitsgründen empfehlenswert. Mein /tmp lege ich aus Performancegründen jeweils in eine RAM-Disk, bei heutigen RAM-Preisen ist das keine grosse Sache mehr. /tmp auf eigener Partition verhindert, dass temporäre Dateien ein kritisches Dateisystem komplett füllen kann. /home auf eigener Partition trennt Programme und Daten, so dass gefahrlos die /-Partition neu formatiert werden kann (z.B. für Neuinstallationen) und die persönlichen Arbeitsdaten weiterhin erhalten bleiben.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
robinx99 the_mic „Für Bruteforce-Schutz würde ich fail2ban installieren :- Von einem mount von...“
Optionen
Für Bruteforce-Schutz würde ich fail2ban installieren :-)
Ist ja im Prinzip auch eine Firewall lösung, steht ja auch direkt auf deren Seite "It updates firewall rules to reject the IP address.", da reicht mir auch mein 2 Zeiler für IP Tables, auch wenn der den nachteil hat dass die verbindungen einfach auf 20 pro 5 Minuten beschränkt werden und so auch eine 21 erfolgreiche verbindung geblockt wird, aber ehrlich gesagt muss ich keine 20 ssh verbindungen in 5 Minuten herstellen.

Davon abgesehn habe ich keine Ahnung wie die Skripte in .deb dateien genau aussehen, man kann aber auch troz noexec, immernoch skripte mit "sh skriptname" ausführen. Nur Binarys wird halt nicht klappen und naja viele root eskalationen geschehen ja über binarys und zumindest bei meinem Gentoo system habe ich noch keine nachteile durch "noexec" erlebt. Naja ist sicherlich auch kein Ultimativer schutz, aber eine kleine weitere Hürde stellt soetwas doch dar
bei Antwort benachrichtigen
the_mic robinx99 „ Ist ja im Prinzip auch eine Firewall lösung, steht ja auch direkt auf deren...“
Optionen

Gentoo ist halt nicht Debian :-) Bei Gentoo kannst du das in der Tat bedenkenlos praktizieren.
Die Debian-Skripte werden wohl nicht per sh-Aufruf sondern direkt aufgerufen, daher enden viele Installationsversuche bei noexec-/tmp mit Fehlermeldungen.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
robinx99 the_mic „Gentoo ist halt nicht Debian :- Bei Gentoo kannst du das in der Tat bedenkenlos...“
Optionen

Sicherlich, wobei im Ursprungspost ja auch nur von Linux die rede war und es wird bei vielen Distributionen sicherlich gehen.
Übrigens zeigt mir eine Kurze suche im Internet das es bei Debian bassierten Distros auch geht. Ein Post von 2004 http://www.debian-administration.org/articles/57 "/tmp" mit noexec in /etc/fstab eintragen und das in /etc/apt/apt.conf eintragen
----
DPkg::Pre-Invoke{"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};
----

Damit kann man auch unter Debian ein noexec /tmp haben und so etwas mehr sicherheit haben. Sicherlich ist es nicht die Ultimative sicherheit, aber ein bischen extra sicherheit bringt es schon

bei Antwort benachrichtigen
the_mic robinx99 „Sicherlich, wobei im Ursprungspost ja auch nur von Linux die rede war und es...“
Optionen

Der Tipp ist cool, danke!

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Kabelschrat heriL „Linux & Sicherheit im Internet“
Optionen

Hallo heriL,

es gibt auch einiges für Linux Betriebssysteme!

http://www.chip.de/downloads/AntiVir-Personal-Free-Antivirus-fuer-Linux_23188958.html

Gruß

Kabelschrat

Manchmal frag ich mich, ob die Welt von klugen Köpfen regiert wird, die uns zum Narren halten oder von Schwachköpfen die es ernst meinen. M. Twain
bei Antwort benachrichtigen
the_mic Kabelschrat „Hallo heriL, es gibt auch einiges für Linux Betriebssysteme!...“
Optionen

Was - wie von mir schon geschrieben - nach Viren für Windows sucht. Praktisch auf einem File- oder Mailserver, aber nutzlos auf einem Linux-Desktop.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
heriL Nachtrag zu: „Linux & Sicherheit im Internet“
Optionen

Hallo Leute,
erstmal danke für die Rückmeldungen und Diskussionen - habe ich mit Interesse gelesen.
@ the mic: was du ADSL-Routern schreibst gilt dann wohl besonders (wg ihrer hohen Verbreitung) für die AVM DSL-Router oder ?

Ich habe übrigens Debian Squeeze, teste momentan aber auch schlankere Distris auf USB-Sticks, weil mein Notebook immer langsamer wird. z.B. Puppy Linux, das ist sehr schnell, aber sicher kein Debian-Ersatz, gerade was Sicherheit angeht. Puppy bietet out of the box alle Partitions zum Mounten durch den User an und kennt meines Wissens keine Rootrechte.

Mein Problem ist, daß das Thema Sicherheit nicht mein Hauptthema ist, sondern nur ab und an mal hochpoppt. Dann muß ich tief graben und frage mich dann immer noch, ob ich noch Up to date bin, oder ob neuen Risiken hinzugekommen sind.

Was The Mic in seinen Ausführungen geschrieben hat kommt mir sehr bekannt vor und das bestärkt ich in meiner Entscheidung für Linux. Ich muß mir "nur" mal ne kleine Doku aufbauen, die meinem Gedächtnis bei Bedarf wieder auf die Sprünge hilft - naja, und mich weiter in die Grundlagen einarbeiten.

Außerdem müßte es weiterhelfen, wenn ich mir für Sicherheitsrelevante Aufgaben (Online Banking,..) ein minimalistisches sicherheitsbewußtes Debian auf eine verschlüsselte Partition installiere, für das ich gewisse Einschränkungen in Kauf nehme. Wenn Ihr dazu Anregungen habt - immer her damit. :-)

danke & Gruß, heril

bei Antwort benachrichtigen
Maybe heriL „Hallo Leute, erstmal danke für die Rückmeldungen und Diskussionen - habe ich...“
Optionen

Moin,

die Linuxer werden mich evtl. zerfleischen, aber wenn es "nur" um online Banking geht und Du auf die Sicherheit von Linux setzen willst, schau Dir evtl. mal BitBox an.

http://www.sirrix.de/content/pages/BitBox

Das wird in einer virtuellen, Virtual Box, Maschine unter Windows installiert und basiert auf einem angepassten Debian mit Firefox, alles out of the Box.

Unter Linux gibt es sicherlich noch unzählige, bessere Möglichkeiten, daher der Tipp nur am Rande. Ich selber benutze hauptsächlich Windows 7, für online Banking allerdings Xubuntu. Und wenn ich mal mit Windows 7, unterwegs, online Banking machen muss, nutze ich halt BitBox.

Gruß
Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
schoppes Maybe „Moin, die Linuxer werden mich evtl. zerfleischen, aber wenn es nur um online...“
Optionen

Hi,

für sicheres Banking kann man auch "Bankix" nehmen, eine Live-CD speziell für diese Aufgabe:

http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

Grüße
Erwin

"Früher war alles besser. Sogar die Zukunft." (Karl Valentin)
bei Antwort benachrichtigen
Maybe schoppes „Hi, für sicheres Banking kann man auch Bankix nehmen, eine Live-CD speziell...“
Optionen

Moin,

danke für den Hinweis. Es gibt ja zahlreiche Möglichkeiten. Eine Live-CD nutzt mir aber insofern nichts, da mein Subnotebook kein CD/DVD-Laufwerk hat. Klar, könnte man auf USB-Stick ziehen, womit aber evtl. wieder Treiberprobleme auftreten.

Mir reicht meine Lösung für Windows, meist, wie gesagt, stationär unter Xubuntu.

Gruß
Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
schoppes Maybe „Moin, danke für den Hinweis. Es gibt ja zahlreiche Möglichkeiten. Eine Live-CD...“
Optionen

Sorry Maybe,

der Hinweis war eigentlich für den Threadstarter bestimmt, um ihm eine weitere Möglichkeit des sicheren Bankings zu zeigen.

Ich persönlich halte solche Vorgehensweisen für übertrieben. Ich mache alle meine Internet- und Bankinggeschäfte unter Ubuntu, und mache mir über Firewalls und Viren seit Jahren überhaupt keine Gedanken und Sorgen.

Aber jeder nach seiner Facon!

Grüße
Erwin

"Früher war alles besser. Sogar die Zukunft." (Karl Valentin)
bei Antwort benachrichtigen
Maybe schoppes „Sorry Maybe, der Hinweis war eigentlich für den Threadstarter bestimmt, um ihm...“
Optionen

Naja, ich halte es so, dass der sicherste Weg gegen "Phishing" etc. immer noch ist, Anfang vom Monat das Konto leer zu räumen ;-)!

Na gut, nicht immer freiwillig!

Gruß
Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
the_mic heriL „Hallo Leute, erstmal danke für die Rückmeldungen und Diskussionen - habe ich...“
Optionen

Die AVM-Geräte dürften nur in Deutschland eine signifikante Verbreitung haben. International werden eher Billiggeräte von Netgear, Linksys, Zyxel und Huawei (letztere sind afaik Weltmarktführer in diesem Bereich) verbreitet sein.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen