Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

Sicherheit unter Ubuntu

schoppes / 30 Antworten / Baumansicht Nickles

Hallo Linuxfreunde,

das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einigen Tagen einige Tipps  zur Cyber-Sicherheit herausgebracht:
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Home/home_node.html

Eine Version speziell für Ubuntu (neben Windows und Mac OS X) findet man hier:
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Home/Wegweiser/buerger_node.html

Die Tipps sind allerdings größtenteils auch auf andere Linux-Distributionen übertragbar.

Für einen Überblick über das Thema "Sicherheit" sicherlich brauchbar!

Grüße
Erwin

"Früher war alles besser. Sogar die Zukunft." (Karl Valentin)
bei Antwort benachrichtigen
Acader schoppes „Sicherheit unter Ubuntu“
Optionen

Zum Thema Sicherheit gibt es im Web genügend Beiträge.

Mein Tipp für Linuxer:

Punkt 1:
 Das System richtig konfigurieren ----------> Richtige Anleitungen dazu in den jeweiigen Fachforen bzw. auch hier unter Nickles.de

Punkt 2:
Nur solche Ports öffnen welche unbedingt erforderlich sind

Punkt 3:
Den jeweiligen Browser richtig einstellen.
Ich surfe im Internet z.b. nur mit JonDonym was allerdings kostenpflichtig ist.


MfG Acader

bei Antwort benachrichtigen
Borlander Acader „Zum Thema Sicherheit gibt es im Web genügend Beiträge.Mein...“
Optionen
Das System richtig konfigurieren

Hältst Du bei einer Standard-Installation von Ubuntu einen manuellen Eingriff in die Systemkonfiguration für zwingend erforderlich?

bei Antwort benachrichtigen
Acader Borlander „Hältst Du bei einer Standard-Installation von Ubuntu einen...“
Optionen

Hallo Borlander,

ich denke es kommt immer darauf an für was man Ubuntu installiert.
Auch ob es sich um einen Rechner am Arbeitsplatz oder privat oder auch einem Notebook handelt.
Nach einer Standard-Installation sind manuelle Eingriffe in die Systemkonfiguration nicht nötig.


MfG Acader

bei Antwort benachrichtigen
Borlander schoppes „Sicherheit unter Ubuntu“
Optionen

Was ich zu diesem Dokument ergänzen/ändern würde:

Verschlüsselung der Festplatte

TrueCrypt als Empfehlung für Festplattenverschlüsselung halte ich für keinen guten Ratschlag. Eine Verschlüsselung mit der im Kernel LUKS/dm-crypt halte ich auf Linux-Systemen für deutlich sinnvoller da im Gegensatz zu TrueCrypt direkt in den Kernel integriert…

Java-Laufzeitumgebung

Da fehlt leider einer Erklärung wie man das Java-Plugin im Browser deaktivieren kann :-|

Notfallmaßnahmen

Da fehlt mir ein Hinweis auf die Nutzung als Live-CD zum Testen und zur Problembehebung. Vor allem für den Punkt "Der Rechner startet nicht mehr"…

Das erfolgt dann zwar unter Entsorgung, aber dort frage ich mich warum nicht shred genutzt wird und ob der User der sich Hilfe holen soll beim Einloggen ins E-Mail fach es alleine schafft den richtigen Gerätenamen (hda dürfte inzwischen wirklich selten sein) zu ermitteln…

bei Antwort benachrichtigen
violetta7388 schoppes „Sicherheit unter Ubuntu“
Optionen

Hallo Schoppes,
hallo Forum,

die BSI-Sicherheitshinweise sind für Linuxer geradezu oberflächlich und sollten Selbstverständlichkeiten sein. Sie sind nur bedingt auf andere Distributionen zu übertragen. Verschlüsselung, Firewall, Passwörter sind nur einige Beispiele, bei denen das Wie und warum offenbleibt.

Der letzte Tipp zur Festplattenentsorgung ist der einzig brauchbare.

MfG.
violetta

bei Antwort benachrichtigen
Xdata violetta7388 „Hallo Schoppes, hallo Forum, die BSI-Sicherheitshinweise sind...“
Optionen

Offene Ports sind nicht dasProblem, werden aber gerne als Werbe Argument der Personal Firerewall macher genommen.

Ubuntu hat Default keine Dienste laufen die einen Port brauchen und nur dann ist ein Port aktiv wenn
eine "innere!" Anwendung diesen abhört.
Ein Filter gibt nur einen Timeout, was nicht immer gut ist, da ein Angreifer vermuten kann so vielleicht doch 
ein vergessener Dienst hinter dem gfilterten Port läuft....

Sind  alle nicht benutzten  Dienste aus, was bei einem nicht Server normal ist muß man die 
Ports nicht filtern.
Und nur das geht. Ein Schließen ist garnicht möglich, ein Port ist keine Tür, nur eine Adresse.
Sind alle Ports offen, ohne so ein Dienst aktiv daran läuft oder wartet.. und ..
bekommt einer - dann doch - eine Anfrage, gibt es eine eindeutige Antwort*
und der Anfrager weiß sofort was los ist
-- * unzustellbar!
Bei gefilterten Ports geht auch nichts durch, aber auch nicht die Nachricht "fehlsamer Weise" nicht die richtige Adresse angefragt zu haben.
Erzeugt Netzwerk Overhead.  Die Ports sind aber hinter dem Filter eigentlich dennoch offen.
Wenn man es unbedingt so nennen will.

"Keine Offenen Ports" wird zwar immer gesagt ist aber etwas mißverständlich formuliert.
Ports alleine machen nichts - ohne 
internes (Dienst Anwendung)
was daran aktiv lauscht. 

Auch Ubuntu sagt etwa: "Ubuntu öffnet keinen einzigen Port bei der Default Installation"
Gemeint ist aber, keine Anwendung oder Dienst ist aktiv der auf Anfragen wartet.

PS:

Ein Dienst ist bei Internet natürlich aktiv, sonst kommt man nicht rein :)

Dateisystemverschlüsselungen oder so, kommen für mich nicht in Frage.
Hab auch noch nie eine Festplatte verkauft.

Und wenn ich es für jemand anderes tun müßte.
Einmal mit einem BeFile System Formatiert und dann 
-- ganz kurz, ein paar Minuten DBAN und gut ist..

Wer Angst hat kann ja noch ein Betriebsystem mit unwichtigen Daten drauftun.
-- Dann sieht es so aus als sei nur dieses drauf gewesen.

Eine gebrauchte Festplatte wo ich wüßte die ist vorher x mal mit Löschaktionen gequält  worden
-- würde ich nicht kaufen.

bei Antwort benachrichtigen
Acader Xdata „Offene Ports sind nicht dasProblem, werden aber gerne als...“
Optionen
Xdata schrieb:
Offene Ports sind nicht das Problem

Wir wissen doch aber was gemeint ist ? (Ports alleine machen nichts)
Ist der jeweilige Dienst nicht aktiviert passiert natürlich nichts.

Und was ist falsch an: werden aber gerne als Werbe Argument der Personal Firerewall macher genommen.

Ich zitiere mal einen Auszug aus der Wikipedia:

Ports können auch mit einer Firewall gesperrt werden. Bei einer lokalen Firewall wird normalerweise andersherum vorgegangen: Nur die tatsächlich benötigten Ports werden freigegeben und alle anderen Ports bleiben gesperrt. Somit werden die Angriffspunkte auf das geschützte Netz bzw. den PC reduziert.


Das kann man doch so stehen lassen oder etwa nicht ?


MfG Acader




bei Antwort benachrichtigen
Xdata Acader „Xdata schrieb: Offene Ports sind nicht das Problem Wir...“
Optionen

Hier ein paar Infos, und Quellen mit bestechender Klarheit die einiges belegen.

Sogar Linux "Fachzeitsschriften" liegen manchmal daneben und lösen Probleme
die nicht wirklich existieren..     (6te Zeile des zweiten Links)

http://wiki.ubuntuusers.de/Offene_Ports

http://wiki.ubuntuusers.de/Personal_Firewalls


Anstatt überzureagieren wie ein "Experte" der im Internet sein Unwesen treibt
und "Ubuntu" als 6fachen Lügner zu beeichnen..,

wissen die auf ubuntuusers anscheinend worüber sie reden
und ob was sie sagen wahr ist.

Die Ausführungen sind so formuliert um die schwierige Materie, frei von werbe und kaufmännischen
Betrachtungen, wenigstens teilweise zu verstehen.

Eine Zeit lang habe ich auch mit einer Personal Firewall in Windows meine Ports in Windows
vermeintlich geschlossen.
Dieses Erlebnis war lehrreich und hat eine hohe Nerfenfeuerungsrate erzeugt, da die
zugegeben Laienhaft eingesetzte DTW
-- bei fast jeder Aktion angeschlagen hat. (alles noch in der  56KModemzeit)

Später hat dann hat die robuste interne icf von Xp dies besser ruhiger und sicherer erledigt.
Noch sicherer war Xp dann Jahrelang
-- ganz ohne Firewall aber mit allen Diesten aus - ganz wie in Ubuntu.

Diese Xp haben Zum Beispiel den Blaster nie kennengelernt obwohl
garkeine Firewall dran war. Auch keine echte externe, da ja noch mit Modem.

Seit DSL ist die im Router Default aktiv.

Eine Userin hat einen Vista Laptop aber
-- nur ein Modem!
Die interne Vista Firewall ist an und auf Default.

Meßbare Viren hatte dieses Vista bisher noch nicht.
Ist aber natürlich -- immer aktuell.


Ein kleines Text Xp sp3 auf einer alten 4GB Platte geht immer noch
-- und da schalte ich "alle" Firewalls ab
-- jedoch sind per win32sec alle nicht eingesetzten Dienste off.

Auch da konnte noch kein Virus gescannt werden
was nicht bedeutet es könnte keiner drauf sein.

Dieses Versuchs-Xp soll die Wirksamkeit des Schutzes keine nicht bebutzten Dienste an
zu haben belegen.

bei Antwort benachrichtigen
Acader violetta7388 „Hallo Schoppes, hallo Forum, die BSI-Sicherheitshinweise sind...“
Optionen
violetta7388 schrieb:
Der letzte Tipp zur Festplattenentsorgung ist der einzig brauchbare.

Hallo violetta,

verschließt du deine Festplatten nach Gebrauch auch immer im Panzerschrank ? Lachend
Genau dazu gibt es ja eben diese Wechselrahmen.
Nun, bei den Notebooks mußt du dann eben halt das ganze Gerät da verstauen.
Eine Festplattenverschlüsselung halte ich aber schon für angebracht.


MfG Acader



bei Antwort benachrichtigen
violetta7388 Acader „violetta7388 schrieb: Der letzte Tipp zur...“
Optionen

Hallo Acader,

ich verschlüssele meine Daten überhaupt nicht, auch wenn ich die Rechner rein geschäftlich nutze. Aber ich passe immer gut auf, lasse mein Notebook nicht auf dem Autodach liegen und einen offenen Zugriff gibt es bei mir schon gar nicht. Auch nicht im Büro! Gegen Diebstahl und Überfall kann ich natürlich auch nicht viel machen, irgendwann muss ich auch einmal schlafen.

Meine Datensicherungen liegen in der Tat im Datenpanzerschrank.

MfG.
violetta

bei Antwort benachrichtigen
Borlander violetta7388 „Hallo Acader,ich verschlüssele meine Daten überhaupt nicht,...“
Optionen
ich passe immer gut auf […] Gegen Diebstahl und Überfall kann ich natürlich auch nicht viel machen, irgendwann muss ich auch einmal schlafen.

Das ist für mich nun aber gerade ein ganz klares Argument für Verschlüsselung auf Notebooks!

irgendwann muss ich auch einmal schlafen.

Mit verschlüsselter Platte im Notebook schläft es sich sehr viel besser :-)

Gruß
Borlander

bei Antwort benachrichtigen
violetta7388 Borlander „Das ist für mich nun aber gerade ein ganz klares Argument...“
Optionen

Hallo Borlander,

Ihr müsst ja alle die tollsten Geschäftsgeheimnisse auf Euren Rechnern herumtragen!

Wirklich wichtige Dinge gehören in den Tresor und nicht aufs Notebook, ins Internet oder gar in die nächste E-Mail. Meine Gewichtungen liegen völlig anders!

"Verschlüsselung in der täglichen Praxis" wäre übrigens mal ein eigenständiges Thema für's Forum.

MfG.
violetta

bei Antwort benachrichtigen
robinx99 violetta7388 „Hallo Schoppes, hallo Forum, die BSI-Sicherheitshinweise sind...“
Optionen

Vorallem warum wird da Truecrypt für die Festplattenverschlüsselung genannt und nicht einfach auf die Alternate CD verwiesen http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Alternate_Installation#Datentraeger-verschluesseln

bei Antwort benachrichtigen
violetta7388 robinx99 „Vorallem warum wird da Truecrypt für die...“
Optionen

Hallo robinx99,

es ist einfach nicht zu verstehen.

MfG.
violetta

bei Antwort benachrichtigen
schoppes Nachtrag zu: „Sicherheit unter Ubuntu“
Optionen

Worüber ich mich gewundert habe, ist diese Aussage:

"Verwenden Sie daher möglichst einen
Browser mit fortgeschrittenen Sicherheitsfunktionen, der regelmäßig über Sicherheitsaktualisierungen auf
den neuesten Stand gebracht wird. Unter Ubuntu sind dies:
• Chromium (über das Ubuntu Software-Center nachinstallierbar)
• Google Chrome "

Sind nicht genannte Browser (Firefox, Opera usw.) unsicherer?
Das kann ich mir eigentlich nicht vorstellen, aber vllt. habe ich auch irgendwas verpasst oder übersehen.

Firefox oder Opera haben doch auch "fortgeschrittene Sicherheitsfunktionen", oder sehe ich das falsch?

Grüße
Erwin

"Früher war alles besser. Sogar die Zukunft." (Karl Valentin)
bei Antwort benachrichtigen
Xdata schoppes „Worüber ich mich gewundert habe, ist diese...“
Optionen

Also, Opera wird ja nicht selten als der sicherste Browser betrachtet,
ist im Alltag aber - gewöhnungsbedürftig.

Firefox macht in den Windows Versionen immerhin ein automatisches Update,
falls man es nicht explitzit abgeschaltet hat.
Da gibt es bei Chrome in Windows mehr Probleme als bei Chromium in Linux.

Chrome oder das autonome iron Derivat daten sich nicht selber up.
Selbst beim originalen Chrome ist es oft nicht möglich upzudaten.
Gibt es bei Firefox oder Opera nicht, da geht es wenigstens von Hand.

Der Chromium wird in Linux zumindest turnusmäßig mit den automatischen Updates mit versorgt.
Firefox hinkt im vergleich zu Windows aber vielleicht hinterher den der interne Firefox läßt sic nicht autonom updaten sondern "muß" auf die sicherheitsaktualiesierungen der Paketverwaltung warten....

bei Antwort benachrichtigen
violetta7388 Xdata „Also, Opera wird ja nicht selten als der sicherste Browser...“
Optionen

Hallo Xdata,
hallo Forum,

arbeite seit vielen Jahren mit Opera. Es gibt m. E. nichts Besseres. 
Alternativ stehen Chromium und Mozilla-FF zur Verfügung.
Habe allerdings alle nachkonfiguriert und insbes. die Automatiken abgeschaltet und auf "Meldung und Handinstallation" umgestellt. 

Sicher ist im Leben nur der Tod.

MfG.

violetta

bei Antwort benachrichtigen
Xdata violetta7388 „Hallo Xdata, hallo Forum,arbeite seit vielen Jahren mit...“
Optionen

Das  ansich gute Softwarecenter wollte mir den Opera  mal ausreden,
hab ihn aber dennoch installiert.

Opera macht einiges anders, klasse ist aber so ein einfacher Torrent Loader gleich mit dabei ist.

User älterer Windows wissen zu schätzen, von Opera nicht im Stich gelassen zu werden.
Soll heißen Opera hat anscheinend  keine Bibliotheks Abhängikkeiten,
läuft autonom aus eigener Kraft.

Auf meinen Rechnern ist Opera  fast immer dabei.

In einem Video hat ein User nen Namen Opera reichlich mißverstanden.
Opeera, das tat weh.

Obwohl,

Paraameter anstatt neutral  Parameter kann ich auch nicht leiden.
Selbst wenn die Betonung richtig sein sollte.
Man sagt ja auch Parapsychologie und nicht Paraapsychologie..


bei Antwort benachrichtigen
violetta7388 Xdata „Das ansich gute Softwarecenter wollte mir den Opera mal...“
Optionen

Hallo Xdata,

besonders hervorzuheben ist der standardgemäß integrierte E-Mail-Client. Alles aus einer Hand sozusagen.

Torrent Loader benötige ich nicht. Es gibt aber m.E. eine App.

MfG.
violetta

bei Antwort benachrichtigen
Acader violetta7388 „Hallo Xdata, hallo Forum,arbeite seit vielen Jahren mit...“
Optionen
violetta7388 schrieb:
arbeite seit vielen Jahren mit Opera. Es gibt m. E. nichts Besseres

Opera hat sich sehr gut gemacht auch vor allem mit den vielen Erweiterungen.
Die  Version 12.02 läuft ganz toll. Leider funzt Opera nicht mit JondoFox.
Auch das Opera Mail finde ich nicht schlecht.
Allerdings gefallen mir da nicht die Import/Export Möglichkeiten für Adressbücher.
Da hätte man sich etwas einfallen lassen sollen.
Für den Import aus Thunderbird z.B. muß man da die Address-Book-Conversion nehmen, was auch nicht gerade das Bequemste ist.
Aber ansonsten finde ich Opera auch toll. 
Früher nutze ich den fast ausschließlich.



MfG Acader

bei Antwort benachrichtigen
violetta7388 Acader „violetta7388 schrieb: arbeite seit vielen Jahren mit Opera....“
Optionen

Hallo Acader,

Adressen, Lesezeichen etc. werden über Datei --> Import/Export usw. mit nur einem Klick im.- oder exportiert. Einfacher geht es nicht.

Mit Jondo habe ich noch nicht gearbeitet. Läuft es wie "Tor"?

MfG.
violetta

bei Antwort benachrichtigen
Acader violetta7388 „Hallo Acader, Adressen, Lesezeichen etc. werden über Datei...“
Optionen
violetta7388 schrieb:
Adressen, Lesezeichen etc. werden über Datei --> Import/Export usw. mit nur einem Klick im.- oder exportiert.

Dachte ich auch. Es wird ja damit auch alles importiert, außer dem Adressbuch.
Opera kann nämlich nur mit adr und nicht mit ldif Formaten umgehen.

violetta7388 schrieb:
Läuft es wie "Tor"?

JondoFox läuft von der Geschwindigkeit her ausreichend und stabil.
Leider eben nur in der Kaufversion. Mehr dazu ---> klick


MfG Acader

bei Antwort benachrichtigen
violetta7388 Acader „violetta7388 schrieb: Adressen, Lesezeichen etc. werden...“
Optionen

Hallo Acader,

merci für Info. und Link zu Jondo.

Ldif wird hier nicht genutzt. 
Hast Du bei Opera die Extensions und Widgets durchgesehen? Vielleicht gibt es etwas Brauchbares?
Anbei noch 2 Links, die mir zum Thema in die Hände gefallen sind:
http://my.cn.opera.com/community/forums/topic.dml?id=535591
http://excel.beel-spelle.de/  (sh. Script)

MfG.

violetta

bei Antwort benachrichtigen
Acader violetta7388 „Hallo Acader, merci für Info. und Link zu Jondo. Ldif wird...“
Optionen

Hallo violetta,

danke für die Links.
Auch da wird auf Address-Book-Conversion hingewiesen womit man
adr in ldif konvertiert. Was Besseres scheint es wohl gar nicht zu geben.

MfG Acader

bei Antwort benachrichtigen
gelöscht_305164 Acader „violetta7388 schrieb: Adressen, Lesezeichen etc. werden...“
Optionen
Jondo
Das war früher JAP?
Auf deutschem Boden?
Da nehm ich einen Schweizer für.
z.B.:
http://www.secureswiss.ch/index.php?id=190
Wenn mir das zu blöd wird, buche ich mich bei einem Russen ein.
bei Antwort benachrichtigen
Acader gelöscht_305164 „Das war früher JAP? Auf deutschem Boden? Da nehm ich einen...“
Optionen

Was heißt früher ?
Was hast du an JonDoFox mit dem Proxy Tool JonDo auszusetzen ?
Was kann SecureSwiss denn besser ?
Wie hoch liegt die denn die Geschwindigkeit bei 96 € pro Jahr ?
Viele Fragen auf deren Beantwortung ich gespannt bin.

MfG Acader

bei Antwort benachrichtigen
gelöscht_305164 Acader „Was heißt früher ? Was hast du an JonDoFox mit dem Proxy...“
Optionen
Was kann SecureSwiss denn besser
Die sind nicht in Deutschland und das ist schon mal gut.
http://anon.inf.tu-dresden.de/strafverfolgung/anon-bka.html
http://www.heise.de/newsticker/meldung/BKA-Vorgehen-gegen-Anonymisierdienst-JAP-rechtswidrig-87965.html
bei Antwort benachrichtigen
gelöscht_305164 Nachtrag zu: „Die sind nicht in Deutschland und das ist schon mal...“
Optionen

Da habe ich noch etwas gefunden:
http://blog.cyberghostvpn.de/cyberghost-verlegt-sich-nach-rumanien/
http://www.itseccity.de/content/markt/unternehmen/110607_mar_unt_sad.html
An der Qualität von JonDo habe ich keine Zweifel, das KO-Argument ist die Rechtslage in der BRD.
Man kann nicht wissen, wie in der Zukunft mit derartigen Dienstleistern umgesprungen wird.
https://www.anonym-surfen.de/impressum.html

bei Antwort benachrichtigen
Acader gelöscht_305164 „Da habe ich noch etwas...“
Optionen

Wichtig wäre zu Wissen, wie bei SecureSwiss der Speed ist.
Damit haben viele Dienstleister so ihre Probleme.
Ein jeweiliger Dienstleister versteckt im Ausland ist da unbestritten
angebrachter, das gebe ich zu.

MfG Acader

bei Antwort benachrichtigen
gelöscht_305164 Acader „Wichtig wäre zu Wissen, wie bei SecureSwiss der Speed ist....“
Optionen
Wichtig wäre zu Wissen, wie bei SecureSwiss der Speed ist.
Da kann ich mich nicht zu äußern.
Diverse Versuche mit z.B. http://www.swissvpn.net/ waren ernüchternd.
Sicher ist jedoch, daß die Verwendung eines solchen Dienstes eine mächtige Bremse ist.
Damit wird allerdings nicht geworben.

bei Antwort benachrichtigen