Sicherheit — Was kann ich heute tun….

by Juhu
on November 6, 2025

Jetzt will ich einmal so richtig Kluges von mir geben…..

Darum sei auch gleich einmal vorgewarnt. Das ist kein „so muss du es tun, dann bin du sicher…“ sondern ein Denkanstoß, den bösen Jungs und Mädl das Leben etwas schwerer zu machen. Jeder muss für sich selbst seine Strategie und Kompromisse finden, um noch vernünftig zu arbeiten.

Wir haben mit Linux ein relatives sicheres System. Natürlich gibt es Programmfehler und damit mögliche Einbruchszenarien. Wir wollen es nicht verschweigen, sondern damit umgehen lernen.

Bleiben wir bei Debian als Distribution. Debian pflegt und verwaltet eine Softwarebasis die sie möglichst stabil halten. Alle Veränderungen werden sehr konservativ vorgenommen. Nun das erschwert es Angreifer Schadcode in die Repositories einzubringen. Es wird schwer das zu tun und Angreifer schätzen den schnellen Erfolg.

Merken wir einmal vor Software mittel „apt“ dürfte eine gut gepflegte Software sein. Natürlich gibt es Software von Sourceforge, Github u.v.m. Bei den beiden genannten muss man sich fragen, ob man einer Firma aus Redmond vertraut oder ob man, von eine Firma die in den letzten Jahren einige negative Schlagzeilen produziert, von dort die Software nimmt. Wie auch immer, keiner ist vollkommen, aber man kann mit der notwendigen Vorsicht zu Werke gehen.

Da wären wir bei den Installationsverfahren und Formaten. Flatpak und Co, Container und Sandbox. All das soll Schadsoftware im Zaum halten und eine wohl geformte Umgebung bereit halten. Aber wenn ich schon neue Software ausprobiere, warum verwende ich nicht gleich ein Testsystem bzw eine virtuelle Maschine? Und nach dem Ausprobieren wird auf den letzten Sicherungsstand zurückgesetzt und alles ist wieder gut. Wenn ich jetzt eine böse Software habe die aus einer Sandbox ausbricht und in einer virtuellen Maschine landet. Und dann noch einen Virenscanner überlebt, die muss sie schon verdammt gut geschrieben sein.

Ach ja Virenscanner auch die gibt es auch unter Linux. ClamAV  und Sophos um nur 2 zu nennen. Für ClamAV gibt es einen Artikel in der Bibel https://linux-bibel.at/index.php/2023/09/06/clamtk-antivirus-fuer-linux/

Wenn wir das alles für gut befunden haben, sollten wir uns überlegen, ob unser System sicher ist oder ob wir es nicht etwas sicherer machen können. Wir wissen, die größte Gefahrenquelle ist zwischen Tastatur und Sessel. Eine E-Mail mit dem Tittel „I love You“ wurde von vielen Usern aufgemacht. Und somit hätten wir die E-Mail als Einfallsort Nr. 1, gefolgt vom Browser und Messenger.

Wie schön ist es für das System, wenn der User überhaupt nichts an den Einstellungen verändern darf. Z.B. man legt einen weiteren User an, der halt nur in seinem home-Verzeichnis schreiben darf und auf Urlaubsfotos hat er nur lesenden Zugriff, sudo und su stehen auf der Verbotsliste. Aber damit ist ein Schädling in einen relativ kleinen Bereich eingesperrt und kann sich nicht weiter ausbreiten. Wer dann noch einen Schritt weiter gegen will, dem sei SELinux an das Herz gelegt. SELinux wird bei jeder modernen Installation mitgeliefert und schlummert im Hintergrund.

Mit SELinux kann man dem User (auch root) noch weiter ergrenzen. z.B. funktioniert der rm-Befehl nur auf *bmp Dateien im Home-Verzeichnis nicht aber auf *.jpg-Files im gleichen Verzeichnis. Gleichzeitig warne ich aber auch davor, es ist nicht so einfach, dass vernünftig anzuwenden. Und wenn man das Kommando rm im Griff hat gibt es noch das Kommando unlink, und Scripte 😘

OK unser System ist jetzt sicher, ist es das Netzwerk auch? Auch hier habe wir Einfallstore. Einen Webserver, eine Datenbank, SSH und FTP’s in allen möglichen Formen oder nur ein paar SUN-RPC’s
Also muss eine Firewall die Bösen aussperren. Eine einfache Regel wäre, nur das unbedingt notwendigste im Router zu definieren. Und alles andere wäre gesperrt.

Es geht hier um die Incoming-Ports. Meiner Meinung reicht hier ein Port für ein VPN. Nehmen wir jetzt noch einen Port der außerhalb der normalen Range ist, dann tut sich ein Angreifer schwer diesen zu finden. Wenn ich mein Incoming-VPN auf Port 19432 lege dann muss ein Angreifer alle 65000 Ports durchscannen um den einen zu finden. Das ist mühselig, dauert und er könnte vom Provider entdeckt werden. SSH könnte im Router von Port xy auf den Port 22 gemappt werden. Ausgehende Ports werden davon nicht betroffen, die funktionieren wie gehabt. Und damit habe ich wieder ein paar Angriffspunkte weniger.

Ist das alles? Sicherlich nicht, aber diese Punkte sind leicht umzusetzen.
Und wir sollten uns darüber klar sein, sobald Linux aus der Nische in den Massenmarkt tritt, werden sich die bösen Jungs und Mädl darauf stürzen. Und der Zeitpunkt ist meiner Meinung nach, mit Windows 11 gekommen.
Also werden wir „I love you“-Mail bekommen. Im Messenger, Links die etwas böses wollen oder nur „harmlose“ Links zu einem „harmlosen“ Artikel laden.

In diesem Zusammenhang: stellt den Mauszeiger auf den Link und schaut euch den Link links unten an. Dann könnt ihr immer noch drücken oder auch nicht 😘

Ein letzter Tip noch: Log-File regelmäßig zu überprüfen schadet nicht.

Gutes und sicheres Arbeiten wünsche ich Euch.

Post Views: 589
Gefällt mir 10
Gefällt mir nicht 0

Categories:

Allgemein

Tags:

No Tag

Schreibe einen Kommentar

4 Reaktionen

  2. Bitte nicht falsch verstehen: Ich finde es gut, wenn in der Linux-Bibel Tipps stehen, wie man sein Linux sicherer macht. Allerdings dürften sich gerade Umsteiger von Windows (= Linux-Anfänger) überfordert fühlen.

    Beispiele:

    Wie legt man „einen weiteren User an, der halt nur in seinem home-Verzeichnis schreiben darf“? Und wie mache ich das genau, dass er auf Urlaubsfotos er nur lesenden Zugriff hat? Wie entziehe ich ihm obendrein sudo und su?

    SELinux? Wie rufe ich das auf (im Terminal?) und was mache ich damit konkret?

    Log-Files regelmäßig überprüfen? Wo finde ich die und auf was muss ich dabei achten bzw. wonach in den Log-Files suchen?

    Für fortgeschrittene Linux-User sicherlich kein Problem, aber für Windows-Umsteiger ohne nähere Erläuterung ein Buch mit sieben Siegeln. Vielleicht als Anregung für einen detaillierteren Folge-Artikel.

    1

    • Hallo @Calabi-Yau,

      da hast du sicherlich Recht – für einen Laien etwas schwierig.
      Soweit ich es verstehe, soll der Beitrag „nur“ die Möglichkeiten aufzeigen und ist keine direkte Anleitung.

      Im großen und ganzen versuchen wir auf der Linux-Bibel unsere Beiträge leicht verständlich auch für den Linux-Einsteiger zugänglich zu machen. Zumindest möchte ich das von mir behaupten. Gibt es Unklarheiten oder Kritik zu einzelnen Punkten, kann der jeweilige Autor jederzeit gerne direkt darauf angesprochen werden. Feedback und/oder berechtigte Kritik immer gerne.

      Grüße
      zebolon

    • Hallo
      Ja das ist das Problem………

      Was kann man voraussetzen? Welches KnowHow hat der Leser? überfordere ich oder langweile ich ihm?

      Ich will/wollte mit diesem Artikel einen Denkanstoß geben, sein System noch ein bisschen sicherer zu machen. Und nicht in die Windows/DOS-Denkweise zurück zu fallen. Auch Windows hat am NTFS-Filesystem eine gute Berechtigungsstruktur. Nur Keiner nutzt sie. Jeder darf dort alles. Der eine User darf update, ändern etc. und auch Viren ausführen.

      Einen „User anlegen“ gibt es jeder Distro einen eigenes/n „Programm/Menüpunkt“ und das schaut unter Ubuntu anders aus als unter Debian. Also müsste man es für jede Distribution beschreiben. Auf der Shell-Ebene gibt es ein Kommando (useradd) und Unix-Leute nehmen den vi-Editor und ändern die /etc/passwd direkt.

      Die meisten Linux-Distro sind von Haus aus, so klug designed, dass sie ab den 2. User keine Verwaltungsaufgaben mehr zulassen. d.h. ein Update mit sudo kann nur mit dem 1.User erfolgen. Der Zweite muss beim sudo ein Passwort eingeben. Vielleicht sind wir mit Linux da etwas konservativer und eingeschränkter als mit Windows.

      Jede Datei und Verzeichnis hat die Merkmale read-write-execute (rwx). Ein Bild könnte jetzt die Rechte rw-rw-rw- haben. Dann darf der Eigentümer, die Gruppe und alle anderen diese Datei ändern. Diese Rechte kann ich über die Kommandoebene ändern oder über die grafische Oberfläche egal welche ich verwende. Wenn ich sie auf rw-r–r– ändere kann nur mehr der Eigentümer diese Datei ändern.

      Du siehst, ich kann dich auf Sachen aufmerksam machen, die leicht umsetzbar sind. Ich kann die Hintergründe und Vor-/Nachteile aufzählen. Aber es sind deine Daten und dein System. Und du musst entscheiden, ob und wie du es umsetzt.

      SELinux : Vielleicht mache ich irgendwann einen Artikel über SELinux, Der wird sicher sehr lang werden. Aber vorher sollten wir noch ein paar Voraussetzungen kennen. SELinux greift über den Kern auf die Rechte des Users ein. d.h. Auch für root musst/kannst du expliziert erlauben, was root tun darf und wo er es tun darf. Damit kann ich root nur auf /home-Verzeichnis erlauben und auf sonst nichts. einen 2. root erlaube ich die Updates zu machen und sonst nichts. Der 3. root darf user anlegen, nicht aber löschen, oder ändern. d.h. ich brauche auch ein Konzept wie sicher ich mein System machen will. Und das ist Arbeit.

      Wenn du etwas brauchst/wissen willst, dann, stelle einfach eine Frage im Forum. Je genauer die Frage ist desto leichter tut man sich mit antworten.

      1
Neue Themen im Forum
Collabora Office für den Desktopvon baumi05Ein Artikel über Collabora Office auf  https://gnulinux.ch/collabo … Weiterlesenvor 1 Tag
Anfrage von @DieterRoth: Probleme …von zebolonHallo @DieterRoth, der Druckertreiber kann grundsätzlich von je … Weiterlesenvor 2 Wochen, 1 Antwort
Anfrage von @cb: Druckertreiber f …von NyxxosZitat von Feifel am 17. November 2025, 11:12 Uhr Unter diesem LIN … Weiterlesenvor 1 Woche, 3 Antworten
Kategorien im Wiki
WIKI-Beiträge des Monates

Die Beiträge des Monates finden Sie im Kalender unter den blau markierten Tageszahlen.

November 2025
M D M D F S S
 12
3456789
10111213141516
17181920212223
24252627282930
Archiv