{"id":21105,"date":"2025-11-06T21:53:08","date_gmt":"2025-11-06T20:53:08","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=21105"},"modified":"2025-12-10T13:55:17","modified_gmt":"2025-12-10T12:55:17","slug":"sicherheit-was-kann-ich-heute-tun","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2025\/11\/06\/sicherheit-was-kann-ich-heute-tun\/","title":{"rendered":"Sicherheit – Was kann ich heute tun?"},"content":{"rendered":"\n

Jetzt will ich einmal so richtig Kluges von mir geben.

Darum sei auch gleich einmal vorgewarnt. Das ist kein „So musst du es tun, dann bist du sicher …“<\/strong>, sondern ein Denkanstoß, den bösen Jungs und Mädls das Leben etwas schwerer zu machen. Jeder muss für sich selbst seine Strategie und Kompromisse finden, um noch vernünftig zu arbeiten.<\/p>\n\n\n\n

Wir haben mit Linux<\/a> ein relativ sicheres System. Natürlich gibt es Program<\/a>mfehler und damit mögliche Einbruchszenarien. Wir wollen es nicht verschweigen, sondern damit umgehen lernen.<\/p>\n\n\n\n

Bleiben wir bei Debian<\/a> als Distribution<\/a>. Debian<\/a> pflegt und verwaltet eine Softwarebasis die sie möglichst stabil halten. Alle Veränderungen werden sehr konservativ vorgenommen. Nun, das erschwert es Angreifern, Schadcode in die Repositor<\/a>ies einzubringen. Es wird schwer, das zu tun, und Angreifer schätzen den schnellen Erfolg.

Merken wir einmal vor: Software mittels „apt“ dürfte eine gut gepflegte Software sein. Natürlich gibt es Software von Sourceforge, Git<\/a>hub u.v.m. Bei den beiden Genannten muss man sich fragen, ob man einer Firma aus Redmond vertraut oder ob man von eine Firma, die in den letzten Jahren einige negative Schlagzeilen produziert, die Software nimmt. Wie auch immer – keiner ist vollkommen, aber man kann mit der notwendigen Vorsicht zu Werke gehen.<\/p>\n\n\n\n

Da wären wir bei den Installationsverfahren und Formaten. Flatpak<\/a> und Co., Container und Sandbox. All das soll Schadsoftware im Zaum halten und eine wohlgeformte Umgebung bereithalten. Aber wenn ich schon neue Software ausprobiere, warum verwende ich nicht gleich ein Testsystem bzw. eine virtuelle Maschine? Und nach dem Ausprobieren wird auf den letzten Sicherungsstand zurückgesetzt, und alles ist wieder gut. Wenn ich jetzt eine böse Software habe, die aus einer Sandbox ausb<\/a>richt und in einer virtuellen Maschine lan<\/a>det und dann noch einen Virenscanner überlebt, die muss schon verdammt gut geschrieben sein.<\/p>\n\n\n\n

Ach ja, Virenscanner, auch die gibt es auch unter Linux<\/a>. ClamAV  und Sophos, um nur zwei zu nennen. Für ClamAV gibt es einen Artikel in der Bibel https:\/\/linux-bibel.at\/index.php\/2023\/09\/06\/clamtk-antivirus-fuer-linux\/<\/a><\/p>\n\n\n\n

Wenn wir das alles für gut befunden haben, sollten wir uns überlegen, ob unser System sicher ist oder ob wir es nicht etwas sicherer machen können. Wir wissen, die größte Gefahrenquelle ist diejenige zwischen Tastatur und Sessel. Eine E-Mail mit dem Tittel „I love you“ wurde von vielen Usern aufgemacht. Und somit hätten wir die E-Mail als Einfallsort Nr. 1, gefolgt vom Browser und vom Messenger.<\/p>\n\n\n\n

Wie schön ist es für das System, wenn der User überhaupt nichts an den Einstellungen verändern darf. Z.B. man legt einen weiteren User an, der halt nur in seinem home<\/a>-Verzeichnis<\/a> schreiben darf und auf Urlaubsfotos nur lesenden Zugriff hat – sudo<\/a> und su stehen auf der Verbotsliste. Aber damit ist ein Schädling in einen relativ kleinen Bereich eingesperrt und kann sich nicht weiter ausb<\/a>reiten. Wer dann noch einen Schritt weiter gehen will, dem sei SELinux<\/a> ans Herz gelegt. SELinux<\/a> wird bei jeder modernen Installation mitgeliefert und schlummert im Hintergrund.<\/p>\n\n\n\n

Mit SELinux<\/a> kann man den User (auch root<\/a>) noch weiter eingrenzen. Beispielsweise funktioniert der rm-Befehl<\/a> nur auf .bmp-Datei<\/a>en im Home<\/a>-Verzeichnis<\/a>, nicht aber auf .jpg-Files im gleichen Verzeichnis<\/a>. Gleichzeitig warne ich aber auch davor, es ist nicht so einfach, dass vernünftig anzuwenden. Und wenn man das Kommando rm im Griff hat, gibt es noch das Kommando unlink, und Script<\/a>e. 😘<\/p>\n\n\n\n

O.k., unser System ist jetzt sicher, ist es das Netzwerk<\/a> auch? Auch hier haben wir Einfallstor<\/a>e. Einen Webserver<\/a>, eine Datenbank<\/a>, SSH und FTPs in allen möglichen Formen oder nur ein paar SUN-RPCs.
Also muss eine Firewall die Bösen aussperren. Eine einfache Regel wäre, nur das unbedingt Notwendigste im Router<\/a> zu definieren. Und alles andere wäre gesperrt.<\/p>\n\n\n\n

Es geht hier um die Incoming-Ports<\/a>. Meiner Meinung reicht hier ein Port für ein VPN<\/a>. Nehmen wir jetzt noch einen Port, der außerhalb der normalen Range ist, dann tut sich ein Angreifer schwer, diesen zu finden. Wenn ich mein Incoming-VPN<\/a> auf Port 19432 lege, dann muss ein Angreifer alle 65’000 Ports<\/a> durchscannen, um den einen zu finden. Das ist mühselig, dauert, und er könnte vom Provider entdeckt werden. SSH könnte im Router<\/a> von Port xy auf den Port 22 gemappt werden. Ausgehende Ports<\/a> werden davon nicht betroffen, die funktionieren wie gehabt. Und damit habe ich wieder ein paar Angriffspunkte weniger.<\/p>\n\n\n\n

Ist das alles? Sicherlich nicht, aber diese Punkte sind leicht umzusetzen.
Und wir sollten uns darüber klar sein, sobald Linux<\/a> aus der Nische in den Massenmarkt tritt, werden sich die bösen Jungs und Mädl darauf stürzen. Und der Zeitpunkt ist meiner Meinung nach mit Windows 11 gekommen.
Also werden wir „I love you“-Mails bekommen. Im Messenger, Links die etwas Böses wollen, oder nur „harmlose“ Links zu einem „harmlosen“ Artikel laden.<\/p>\n\n\n\n

In diesem Zusammenhang: Stellt den Mauszeiger auf den Link und schaut euch den Link links unten an. So könnt ihr immer noch drücken oder auch nicht. 😘<\/p>\n\n\n\n

Ein letzter Tip noch: Log-File regelmäßig zu überprüfen, schadet nicht.

Gutes und sicheres Arbeiten wünsche ich Euch.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n

\r\n
\r\n \r\n \"Gef\u00e4llt\r\n <\/a>\r\n 11 <\/span>\r\n<\/div>
\r\n \r\n \"Gef\u00e4llt\r\n <\/a>\r\n 0<\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"

Jetzt will ich einmal so richtig Kluges von mir geben. Darum sei auch gleich einmal vorgewarnt. Das ist kein „So musst du es tun, dann bist du sicher …“, sondern ein Denkansto\u00df, den b\u00f6sen Jungs und M\u00e4dls das Leben etwas schwerer zu machen. Jeder muss f\u00fcr sich selbst seine Strategie und Kompromisse finden, um noch […]<\/p>\n","protected":false},"author":52,"featured_media":21122,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-21105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/52"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=21105"}],"version-history":[{"count":10,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21105\/revisions"}],"predecessor-version":[{"id":21784,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21105\/revisions\/21784"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/21122"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=21105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=21105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=21105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}