Sicherheit Debian vs Ubuntu

Alles rund um sicherheitsrelevante Fragen und Probleme.
TomL

Re: Sicherheit Debian vs Ubuntu

Beitrag von TomL » 19.06.2018 19:02:17

Ich bin mittlerweile soweit, dass ich derzeit keine technisch eindeutige und fundierte Stellung mehr einnehmen kann, weder dagegen, noch dafür. Ich kenne mittlerweile zuviele Argumente für beide Seiten.... und an dem Punkt angekommen muss man einfach eine eigene Entscheidung treffen. Ein großes Problem dabei ist die Terminologie... man sagt "Firewall" und die Leute verstehen "Endanwender-Programm Personal Firewall". Wenn ich jedoch Firewall sage, meine ich damit in Wahrheit "Firewall-Konzept". Damit meine ich beispielsweise auch NOEXEC,NOSUID,NODEV für /home, /tmp und /dev/shm. Damit meine ich Reduktion auf tatsächlich benötigte Dienste und keine offenen Dienste zum Internet. auf Wenn ich Firewall sage, meine ich konsequente Trennung von Verantwortlichkeiten, sowas wie Brandschutztüren zwischen den Abteilungen User + User oder User + root.... und einiges mehr.

Ja, es ist richtig, ein Paketfilter hat Einfluss auf die Performance
Ja, es ist richtig, dass ein bereits vorhandener Trojaner vielleicht HTTPS verwendet.

Aber beide Aussagen setzen bestimmte Annahmen voraus. Und damit habe ich dann ein Problem, wenn ich diese Annahmen als für mich nicht zutreffend einschätze.

Zu 1 (Performance), es wird unterstellt (im Posting durch weitere Argumente unterlegt (Scheinsicherheit)), dass der Schaden größer ist als der Nutzen. Dem stimme ich zu, wie ich dem Rat zum Verzicht zustimmen würde, wenn ein präventiv eingenommenes Medikament keine positiven Wirknutzen hat, dafür aber umso mehr Nebenwirkungen. Das sollte mans wirklich besser lassen.
Wenn ich allerdings eine Grippeschutzimpfung durchführe und keine Nebenwirkungen habe, tja... was ist dann? Tue ich das erst nach der Anküdigung der Grippewelle am Heimatort oder tu ichs jährlich wiederkehrend präventiv, weil ich als Berufspendler Bus- und Bahnfahrer bin? Die abschließende Frage ist aber in beiden Fällen eine, auf die man niemals eine Antwort bekommt: "Hätte ich die Grippe auch ohne Impfung nicht bekommen, oder habe ich sie nicht bekommen, weil ich geimpft war?" Bezogen auf die Firewall wäre im Fall der Fälle die Komplementär-Frage "Hätte ich mit besserer Traffic-Regulierung den Schaden vielleicht verhindern können?"

Ich sehe in meinem Modell zumindest keine Performance-Probleme und weil bei mir per Default-Policy grundsätzlich alles verboten ist, auch keine Scheinsicherheit.

Zu 2, es wird unterstellt, dass der Trojaner bereits installiert ist. Ich hingegen gehe davon aus, dass er derzeit nicht installiert ist. Und natürlich beabsichtige ich mit der Personal Firewall den Anwender dahingehend zu unterstützen, nicht unbeabsichtigt oder hinters Licht geführt etwas zu öffnen oder durchzuführen, woraus schließlich die Installation des Trojaners resultieren könnte.

Ich sortiere mein Modell "Paketfilter" als kleinen Baustein in einem gößeren Komplex von Sicherungsmaßnahmen ein, der in überschaubaren Umfang die Sicherheit meiner Meinung nach auch wirklich verbessert.

Aber wie gesagt, ich verstehe die Argumente dagegen... ich teile sie nur nicht. Ich hatte das früher schon mal verglichen, mit diesem kleinen LED-Blinker, der von außerhalb des Hauses gesehen wird und den man für einen laufenden Fernseher hält. Der kostet 4,99. Brechen die Einbrecher vielleicht nicht ein, weil draußen das Rottweiler-Schild "Hier wache ich!" hängt? Oder weil sie glauben, die Leute sind zu Hause und schauen TV? Beides sind Pfennig-Artikel, beide verbessern aber trotzdem ein klein wenig die Sicherheit. Ist dieser LED-Flackerer möglicherweise unnötig, weil man eine sowieso eine tolle Alarmanlage hat, selbstverriegelnde Türen und Cam-Überwachung? Tja, spätensten dann, wenn ich den Schaden durch erfolglose Einbruchsspuren habe, werde ich mich fragen "Hätte ich den Schaden an Tür und Fenster für 2000 € vielleicht verhindern können, wenn zwei Schaltuhren das Licht im Haus ein- und ausschalten und der LED-Flackerer den TV simuliert hätte...?... alles zusammen für nur 20 €?"

Mein Fazit ist: Man darf sich nicht auf den Paketfilter allein verlassen.... aber er verbessert die Sicherheit, wenn er Bestandteil eines Security-Konzeptes ist. Für mich ist das guter Grund.

DeletedUserReAsG

Re: Sicherheit Debian vs Ubuntu

Beitrag von DeletedUserReAsG » 19.06.2018 19:17:48

Jemand mit ’nem vernünftigen Security-Konzept wird auch gucken, was eine Installation mitbringt. Jemandem, der blind alles installiert, womöglich noch aus PPA und ähnlich dunklen Quellen, wird ein popeliger Paketfilter nur das Gefühl von Sicherheit geben, die gar nicht da ist. So ’ne Installation läuft mit UID0, und wenn ich z.B. jemandem böswillig ’n Paket unterschieben wollte, das etwa Daten ausleitet oder Malware nachholt, würde ich in den Install-Scripten dafür sorgen, dass ggf. laufende Paketfilter-Regeln subtil „angepasst“ werden. Und dann war da ja noch die buntuinduzierte sudo-Seuche, die auch dafür sorgt, dass ein Programm im Hintergrund ab und zu mal schauen kann, ob’s nicht Rootrechte hat und den Paketfilter manipulieren kann, um etwa Kram zu verbreiten. Dass Traffic von ordentlicher Malware ohne DPI eh nicht auffallen wird, wurde ja auch schon erwähnt.

Aber es hatte schon ‘nen Grund, warum ich „das ist nur meine persönliche Ansicht“ schrieb. Ich kenne nämlich sehr wohl auch Argumente für sowas. Und ich verstehe die Argumente dafür. Ich teile sie nur nicht. Wer sich ’n Schild „Vorsicht Hund“ anbaut, ohne einen Hund zu haben, oder sich so ’nen billigen TV-Simulator in die Hütte stellt und glaubt, ein ordentlicher Einbrecher würde davon mehr als die fünf Minuten, die er zum Überprüfen der Lage benötigt, von einem Einbruch abgehalten werden, wird sich spätestens dann, wenn die Hütte ausgeräumt ist, fragen, ob er nicht lieber etwas mehr in richtige Sicherheit investiert haben sollte, statt sich mit billigem Tand nur das Gefühl von Sicherheit zu verschaffen.

TomL

Re: Sicherheit Debian vs Ubuntu

Beitrag von TomL » 19.06.2018 19:54:01

niemand hat geschrieben: ↑ zum Beitrag ↑
19.06.2018 19:17:48
oder sich so ’nen billigen TV-Simulator in die Hütte stellt und glaubt, ein ordentlicher Einbrecher würde davon mehr als die fünf Minuten, die er zum Überprüfen der Lage benötigt, von einem Einbruch abgehalten werden, wird sich spätestens dann, wenn die Hütte ausgeräumt ist, fragen, ob er nicht lieber etwas mehr in richtige Sicherheit investiert haben sollte, statt sich mit billigem Tand nur das Gefühl von Sicherheit zu verschaffen.
Verstehe ich Dich richtig, dass Du jetzt meinst, Nur so ein LED-Fackerer als alleiniges Security-Feature...?... denn bezogen auf den von mir beschriebenen Zusammenhang wäre das ziemlich weit abseits. Und trotzdem, wenn es nicht die Profi-Gang abhält, so hält es vielleicht den Junkie ab, der sich einfach nur ein bisschen Kohle beschaffen will, oder kriminelle Kids am Anfang ihrer Karriere. Insofern hätte sich diese kleine Verbesserung der Sicherheit schon ausgezahlt. Man kann naürlich alles abwiegeln, in dem man immer Worst-Case unterstellt. Aber einen solchen Standpunkt würde ich als Weltfremd betrachten... denn es gibt immer Sachverhalte, die zwar mies sind, aber noch lange nicht worst-case.

DeletedUserReAsG

Re: Sicherheit Debian vs Ubuntu

Beitrag von DeletedUserReAsG » 19.06.2018 20:02:11

Vergleiche Ausgangslage: ich schrieb, dass ich nix davon halte, statt umsichtiger Konfiguration des Systems einfach alle Eventualitäten mit ’nem simplen Paketfilter abfangen zu wollen. Ich schrieb nicht, dass ich ’n integriertes Sicherheitskonzept, das u.A. iptables enthalten kann, doof finden würde. In dem gezeichneten Szenario verhält’s sich nämlich genau so: man schafft sich gefühlte Sicherheit, die letztlich das Gegenteil von dem bewirkt, was man sich erhofft hat (á la „Ach, ich hab doch iptables – da kann ich doch sudo vor alles stellen, ist ja so schön bequem, und diese tolle (möglicherweise normal kostenpflichtige) Software, die man so einfach von dem PPA (oder sonst irgend ’ner Quelle) installieren kann – meine tolle „Firewall“ wird schon alles abfangen, was böse ist …).

Die theoretische Angriffsfläche oder den Performanceverlust hingegen sehe ich nicht mal so dramatisch.

TomL

Re: Sicherheit Debian vs Ubuntu

Beitrag von TomL » 19.06.2018 20:17:46

niemand hat geschrieben: ↑ zum Beitrag ↑
19.06.2018 20:02:11
(á la „Ach, ich hab doch iptables – da kann ich doch sudo vor alles stellen, ist ja so schön bequem, und diese tolle (möglicherweise normal kostenpflichtige) Software, die man so einfach von dem PPA (oder sonst irgend ’ner Quelle) installieren kann – meine tolle „Firewall“ wird schon alles abfangen, was böse ist …).
Da bin ich doch vollständig Deiner Meinung. Deswegen hatte ich oben ja auch das Terminologie-Missverständnis erwähnt. Ein Paketfilter ist keine Firewall, sondern nur ein Trugschluss von Sicherheit... gerade auf so einem Sudo-System wie Buntu und dem grünen Derivat. Aber richtig angewandt halte ich ihn trotzdem für geeignet, die Sicherheit zu verbessern. Aber immer im Zusammenhang mit weiteren Maßnahmen, wie z.b. den Verzicht auf diesen sudo+PPA-Mist... andere Faktoren hatte ich weiter oben schon erwähnt.

Na ja... aber Paketfilter ja oder nein ist ja hier nicht das primäre Thema... für mich war's nur insofern relevant, dass er bei Ubuntu bestenfalls fragwürdig ist, unter Debian meiner Meinung nach die Security jedoch verbessern kann.... aber es gehört halt mehr dazu.... da sind wir wohl einer Meinung.

geier22

Re: Sicherheit Debian vs Ubuntu

Beitrag von geier22 » 20.06.2018 10:49:58

Ich will ja niemanden unterbrechen :wink:
Blackbox hat geschrieben: ↑ zum Beitrag ↑
12.06.2018 18:54:37
Es gibt Berichte, dass Canonical im aktuellen LTS Release 18.04 wieder ein Schnüffelprogramm via Out out installiert.
Das war ja über längere Zeit in diesem Thread ein Aufreger. Habe gerade einen Interessanten Beitrag gefunden [1], der auch meine Meinung widerspiegelt.
Leider ist es so (ich schließe mich da nicht aus), dass man erst einmal jeglicher Datenerhebung widerspricht. Ich mache das regelmäßig auch
bei Debian- Installationen, wo ja diese Frage auch gestellt wird.

Auf der anderen Seite:

Wenn sich Linux- Nutzer oft aus grundsätzlichen (vielleicht falschen?) Erwägungen jeglicher Datensammlung empört widersetzen,
setzt man moralisch Linux - Distributionen mit Datenkraken wie Microsoft und Google gleich. Und das möchte ich keiner Distro unterstellen.

[1] Datenerhebung durch Linux-Distributionen

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Sicherheit Debian vs Ubuntu

Beitrag von uname » 20.06.2018 12:42:59

geier22 hat geschrieben:... dass man erst einmal jeglicher Datenerhebung widerspricht. Ich mache das regelmäßig auch bei Debian- Installationen, wo ja diese Frage auch gestellt wird.
Nur zur Info dazu falls jemanden "die Frage" und damit Debianpopularity-contest bei der Installation nicht bekannt ist: https://popcon.debian.org

Übermittelte Daten laut https://popcon.debian.org/README:

Code: Alles auswählen

The popularity-contest output looks like this:

  POPULARITY-CONTEST-0 TIME:914183330 ID:b92a5fc1809d8a95a12eb3a3c84166dd
  914183333 909868335 grep /bin/fgrep
  914183333 909868280 findutils /usr/bin/find
  914183330 909885698 dpkg-awk /usr/bin/dpkg-awk
  914183330 909868577 gawk /usr/bin/gawk
  [...more lines...]
  END-POPULARITY-CONTEST-0 TIME:914183335

Code: Alles auswählen

<atime> <ctime> <package-name> <mru-program> <tag>

Antworten