Jetzt will ich einmal so richtig Kluges von mir geben…..
Darum sei auch gleich einmal vorgewarnt. Das ist kein „so muss du es tun, dann bin du sicher…“ sondern ein Denkanstoß, den bösen Jungs und Mädl das Leben etwas schwerer zu machen. Jeder muss für sich selbst seine Strategie und Kompromisse finden, um noch vernünftig zu arbeiten.
Wir haben mit Linux ein relatives sicheres System. Natürlich gibt es Programmfehler und damit mögliche Einbruchszenarien. Wir wollen es nicht verschweigen, sondern damit umgehen lernen.
Bleiben wir bei Debian als Distribution. Debian pflegt und verwaltet eine Softwarebasis die sie möglichst stabil halten. Alle Veränderungen werden sehr konservativ vorgenommen. Nun das erschwert es Angreifer Schadcode in die Repositories einzubringen. Es wird schwer das zu tun und Angreifer schätzen den schnellen Erfolg.
Merken wir einmal vor Software mittel „apt“ dürfte eine gut gepflegte Software sein. Natürlich gibt es Software von Sourceforge, Github u.v.m. Bei den beiden genannten muss man sich fragen, ob man einer Firma aus Redmond vertraut oder ob man, von eine Firma die in den letzten Jahren einige negative Schlagzeilen produziert, von dort die Software nimmt. Wie auch immer, keiner ist vollkommen, aber man kann mit der notwendigen Vorsicht zu Werke gehen.
Da wären wir bei den Installationsverfahren und Formaten. Flatpak und Co, Container und Sandbox. All das soll Schadsoftware im Zaum halten und eine wohl geformte Umgebung bereit halten. Aber wenn ich schon neue Software ausprobiere, warum verwende ich nicht gleich ein Testsystem bzw eine virtuelle Maschine? Und nach dem Ausprobieren wird auf den letzten Sicherungsstand zurückgesetzt und alles ist wieder gut. Wenn ich jetzt eine böse Software habe die aus einer Sandbox ausbricht und in einer virtuellen Maschine landet. Und dann noch einen Virenscanner überlebt, die muss sie schon verdammt gut geschrieben sein.
Ach ja Virenscanner auch die gibt es auch unter Linux. ClamAV und Sophos um nur 2 zu nennen.
Wenn wir das alles für gut befunden haben, sollten wir uns überlegen, ob unser System sicher ist oder ob wir es nicht etwas sicherer machen können. Wir wissen, die größte Gefahrenquelle ist zwischen Tastatur und Sessel. Eine E-Mail mit dem Tittel „I love You“ wurde von vielen Usern aufgemacht. Und somit hätten wir die E-Mail als Einfallsort Nr. 1, gefolgt vom Browser und Messenger.
Wie schön ist es für das System, wenn der User überhaupt nichts an den Einstellungen verändern darf. Z.B. man legt einen weiteren User an, der halt nur in seinem home-Verzeichnis schreiben darf und auf Urlaubsfotos hat er nur lesenden Zugriff, sudo und su stehen auf der Verbotsliste. Aber damit ist ein Schädling in einen relativ kleinen Bereich eingesperrt und kann sich nicht weiter ausbreiten. Wer dann noch einen Schritt weiter gegen will, dem sei SELinux an das Herz gelegt. SELinux wird bei jeder modernen Installation mitgeliefert und schlummert im Hintergrund.
Mit SELinux kann man dem User (auch root) noch weiter ergrenzen. z.B. funktioniert der rm-Befehl nur auf *bmp Dateien im Home-Verzeichnis nicht aber auf *.jpg-Files im gleichen Verzeichnis. Gleichzeitig warne ich aber auch davor, es ist nicht so einfach, dass vernünftig anzuwenden. Und wenn man das Kommando rm im Griff hat gibt es noch das Kommando unlink, und Scripte 😘
OK unser System ist jetzt sicher, ist es das Netzwerk auch? Auch hier habe wir Einfallstore. Einen Webserver, eine Datenbank, SSH und FTP’s in allen möglichen Formen oder nur ein paar SUN-RPC’s
Also muss eine Firewall die Bösen aussperren. Eine einfache Regel wäre, nur das unbedingt notwendigste im Router zu definieren. Und alles andere wäre gesperrt.
Es geht hier um die Incoming-Ports. Meiner Meinung reicht hier ein Port für ein VPN. Nehmen wir jetzt noch einen Port der außerhalb der normalen Range ist, dann tut sich ein Angreifer schwer diesen zu finden. Wenn ich mein Incoming-VPN auf Port 19432 lege dann muss ein Angreifer alle 65000 Ports durchscannen um den einen zu finden. Das ist mühselig, dauert und er könnte vom Provider entdeckt werden. SSH könnte im Router von Port xy auf den Port 22 gemappt werden. Ausgehende Ports werden davon nicht betroffen, die funktionieren wie gehabt. Und damit habe ich wieder ein paar Angriffspunkte weniger.
Ist das alles? Sicherlich nicht, aber diese Punkte sind leicht umzusetzen.
Und wir sollten uns darüber klar sein, sobald Linux aus der Nische in den Massenmarkt tritt, werden sich die bösen Jungs und Mädl darauf stürzen. Und der Zeitpunkt ist meiner Meinung nach, mit Windows 11 gekommen.
Also werden wir „I love you“-Mail bekommen. Im Messenger, Links die etwas böses wollen oder nur „harmlose“ Links zu einem „harmlosen“ Artikel laden.
In diesem Zusammenhang: stellt den Mauszeiger auf den Link und schaut euch den Link links unten an. Dann könnt ihr immer noch drücken oder auch nicht 😘
Ein letzter Tip noch: Log-File regelmäßig zu überprüfen schadet nicht.
Gutes und sicheres Arbeiten wünsche ich Euch.
3
Noch keine Reaktion