{"id":21105,"date":"2025-11-06T21:53:08","date_gmt":"2025-11-06T20:53:08","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=21105"},"modified":"2025-12-10T13:55:17","modified_gmt":"2025-12-10T12:55:17","slug":"sicherheit-was-kann-ich-heute-tun","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2025\/11\/06\/sicherheit-was-kann-ich-heute-tun\/","title":{"rendered":"Sicherheit &#8211; Was kann ich heute tun?"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Jetzt will ich einmal so richtig Kluges von mir geben.<br><br>Darum sei auch gleich einmal vorgewarnt. Das ist kein <strong>&#8222;So musst du es tun, dann bist du sicher &#8230;&#8220;<\/strong>, sondern ein Denkansto\u00df, den b\u00f6sen Jungs und M\u00e4dls das Leben etwas schwerer zu machen. Jeder muss f\u00fcr sich selbst seine Strategie und Kompromisse finden, um noch vern\u00fcnftig zu arbeiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben mit Linux ein relativ sicheres System. Nat\u00fcrlich gibt es Programmfehler und damit m\u00f6gliche Einbruchszenarien. Wir wollen es nicht verschweigen, sondern damit umgehen lernen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bleiben wir bei Debian als Distribution. Debian pflegt und verwaltet eine Softwarebasis die sie m\u00f6glichst stabil halten. Alle Ver\u00e4nderungen werden sehr konservativ vorgenommen. Nun, das erschwert es Angreifern, Schadcode in die Repositories einzubringen. Es wird schwer, das zu tun, und Angreifer sch\u00e4tzen den schnellen Erfolg. <br><br>Merken wir einmal vor: Software mittels &#8222;apt&#8220; d\u00fcrfte eine gut gepflegte Software sein. Nat\u00fcrlich gibt es Software von Sourceforge, Github u.v.m. Bei den beiden Genannten muss man sich fragen, ob man einer Firma aus Redmond vertraut oder ob man von eine Firma, die in den letzten Jahren einige negative Schlagzeilen produziert,  die Software nimmt. Wie auch immer &#8211; keiner ist vollkommen, aber man kann mit der notwendigen Vorsicht zu Werke gehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Da w\u00e4ren wir bei den Installationsverfahren und Formaten. Flatpak und Co., Container und Sandbox. All das soll Schadsoftware im Zaum halten und eine wohlgeformte Umgebung bereithalten. Aber wenn ich schon neue Software ausprobiere, warum verwende ich nicht gleich ein Testsystem bzw. eine virtuelle Maschine? Und nach dem Ausprobieren wird auf den letzten Sicherungsstand zur\u00fcckgesetzt, und alles ist wieder gut. Wenn ich jetzt eine b\u00f6se Software habe, die aus einer Sandbox ausbricht und in einer virtuellen Maschine landet und dann noch einen Virenscanner \u00fcberlebt, die muss schon verdammt gut geschrieben sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ach ja, Virenscanner, auch die gibt es auch unter Linux. ClamAV\u00a0 und Sophos,\u00a0um nur zwei zu nennen. F\u00fcr ClamAV gibt es einen Artikel in der Bibel <a href=\"https:\/\/linux-bibel.at\/index.php\/2023\/09\/06\/clamtk-antivirus-fuer-linux\/\">https:\/\/linux-bibel.at\/index.php\/2023\/09\/06\/clamtk-antivirus-fuer-linux\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn wir das alles f\u00fcr gut befunden haben, sollten wir uns \u00fcberlegen, ob unser System sicher ist oder ob wir es nicht etwas sicherer machen k\u00f6nnen. Wir wissen, die gr\u00f6\u00dfte Gefahrenquelle ist diejenige zwischen Tastatur und Sessel. Eine E-Mail mit dem Tittel &#8222;I love you&#8220; wurde von vielen Usern aufgemacht. Und somit h\u00e4tten wir die E-Mail als Einfallsort Nr. 1, gefolgt vom Browser und vom Messenger.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wie sch\u00f6n ist es f\u00fcr das System, wenn der User \u00fcberhaupt nichts an den Einstellungen ver\u00e4ndern darf. Z.B. man legt einen weiteren User an, der halt nur in seinem home-Verzeichnis schreiben darf und auf Urlaubsfotos nur lesenden Zugriff hat &#8211; sudo und su stehen auf der Verbotsliste. Aber damit ist ein Sch\u00e4dling in einen relativ kleinen Bereich eingesperrt und kann sich nicht weiter ausbreiten. Wer dann noch einen Schritt weiter gehen will, dem sei SELinux ans Herz gelegt. SELinux wird bei jeder modernen Installation mitgeliefert und schlummert im Hintergrund.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit SELinux kann man den User (auch root) noch weiter eingrenzen. Beispielsweise funktioniert der rm-Befehl nur auf .bmp-Dateien im Home-Verzeichnis, nicht aber auf .jpg-Files im gleichen Verzeichnis. Gleichzeitig warne ich aber auch davor, es ist nicht so einfach, dass vern\u00fcnftig anzuwenden. Und wenn man das Kommando rm im Griff hat, gibt es noch das Kommando unlink, und Scripte. \ud83d\ude18<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O.k., unser System ist jetzt sicher, ist es das Netzwerk auch? Auch hier haben wir Einfallstore. Einen Webserver, eine Datenbank, SSH und FTPs in allen m\u00f6glichen Formen oder nur ein paar SUN-RPCs.<br>Also muss eine Firewall die B\u00f6sen aussperren. Eine einfache Regel w\u00e4re, nur das unbedingt Notwendigste im Router zu definieren. Und alles andere w\u00e4re gesperrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es geht hier um die Incoming-Ports. Meiner Meinung reicht hier ein Port f\u00fcr ein VPN. Nehmen wir jetzt noch einen Port, der au\u00dferhalb der normalen Range ist, dann tut sich ein Angreifer schwer, diesen zu finden. Wenn ich mein Incoming-VPN auf Port 19432 lege, dann muss ein Angreifer alle 65&#8217;000 Ports durchscannen, um den einen zu finden. Das ist m\u00fchselig, dauert, und er k\u00f6nnte vom Provider entdeckt werden. SSH k\u00f6nnte im Router von Port xy auf den Port 22 gemappt werden. Ausgehende Ports werden davon nicht betroffen, die funktionieren wie gehabt. Und damit habe ich wieder ein paar Angriffspunkte weniger.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ist das alles? Sicherlich nicht, aber diese Punkte sind leicht umzusetzen. <br>Und wir sollten uns dar\u00fcber klar sein, sobald Linux aus der Nische in den Massenmarkt tritt, werden sich die b\u00f6sen Jungs und M\u00e4dl darauf st\u00fcrzen. Und der Zeitpunkt ist meiner Meinung nach mit Windows 11 gekommen. <br>Also werden wir &#8222;I love you&#8220;-Mails bekommen. Im Messenger, Links die etwas B\u00f6ses wollen, oder nur &#8222;harmlose&#8220; Links zu einem &#8222;harmlosen&#8220; Artikel laden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Zusammenhang: Stellt den Mauszeiger auf den Link und schaut euch den Link links unten an. So k\u00f6nnt ihr immer noch dr\u00fccken oder auch nicht. \ud83d\ude18<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein letzter Tip noch: Log-File regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen, schadet nicht. <br><br>Gutes und sicheres Arbeiten w\u00fcnsche ich Euch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n<div class=\"pld-like-dislike-wrap pld-custom\">\r\n    <div class=\"pld-like-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-like-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir\" data-post-id=\"21105\" data-trigger-type=\"like\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Hoch.png\" alt=\"Gef\u00e4llt mir\" \/>\r\n            <\/a>\r\n    <span class=\"pld-like-count-wrap pld-count-wrap\">12    <\/span>\r\n<\/div><div class=\"pld-dislike-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-dislike-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir nicht\" data-post-id=\"21105\" data-trigger-type=\"dislike\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Runter.png\" alt=\"Gef\u00e4llt mir nicht\" \/>\r\n            <\/a>\r\n    <span class=\"pld-dislike-count-wrap pld-count-wrap\">0<\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Jetzt will ich einmal so richtig Kluges von mir geben. Darum sei auch gleich einmal vorgewarnt. Das ist kein &#8222;So musst du es tun, dann bist du sicher &#8230;&#8220;, sondern ein Denkansto\u00df, den b\u00f6sen Jungs und M\u00e4dls das Leben etwas schwerer zu machen. Jeder muss f\u00fcr sich selbst seine Strategie und Kompromisse finden, um noch [&hellip;]<\/p>\n","protected":false},"author":52,"featured_media":21122,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-21105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/52"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=21105"}],"version-history":[{"count":10,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21105\/revisions"}],"predecessor-version":[{"id":21784,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21105\/revisions\/21784"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/21122"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=21105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=21105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=21105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}