Empfehlenswertes zur Härtung eines Desktop-Systems?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 22.10.2022 21:36:21

Hallo zusammen,

momentan versuche ich, meinen Debian-Desktop abzusichern habe mich bis jetzt vor allem an die Vorschläge von Lynis gehalten: So habe ich beispielsweise libpam-cracklib, debsecan, needrestart, apt-listbugs, debsums, rkhunter, fail2ban, sysstat und ufw installiert. Insgesamt komme ich jetzt auf einen Lynis-Sicherheitsindex von 73. Ist das für einen Desktop ausreichend? Zum Vergleich: openSUSE Tumbleweed hatte ohne (!) zusätzliche Konfigurationen einen Lynis-Index von 86. Ich überlege noch, aide zu installieren, da mangelt es aber an einer aide-db. Bei auditd bin ich mir auch nicht sicher, da ich da keine vernünftige Konfiguration habe..
Wie händelt ihr denn die Sicherheitsaspekte des Systems? Ist das bei einem Desktop übertrieben? Ich meine, unterm Strich kann es ja nicht schaden, außerdem habe ich einen Laptop, ggf. nimmt man den ja auch mal irgendwo mit hin.
Im Debian-Handbuch habe ich vom Paket harden gelesen, das ist aber schon 2015 aus Debian rausgeflogen. Gibt es da eine brauchbare Alternative?
Ich hätte auch noch eine Frage bezüglich KDE. Needrestart zeigt mir die plasma-shell und in manchen Fällen auch kwin als veraltete Prozesse an, nachdem ich Pakete installiere. Vermutlich ist das unbedenklich, trotzdem würde mich interessieren, woher das kommt (und wie es sich beheben lässt).

Beste Grüße,
Fabian

DeletedUserReAsG

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von DeletedUserReAsG » 22.10.2022 22:50:07

fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 21:36:21
So habe ich beispielsweise libpam-cracklib, debsecan, needrestart, apt-listbugs, debsums, rkhunter, fail2ban, sysstat und ufw installiert.
Hast du‘s denn auch alles ordentlich konfiguriert? Wobei „ordentlich“ hier für „nicht irgendwo irgendwelche Configs gecopypastet, sondern einzeln durchgegangen und für das eigene Szenario eine sinnvolle Konfiguration gewählt“ steht. Denn ohne das ist’s größtenteils auch nur Schlangenöl.

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von JTH » 22.10.2022 23:07:43

fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 21:36:21
Ich hätte auch noch eine Frage bezüglich KDE. Needrestart zeigt mir die plasma-shell und in manchen Fällen auch kwin als veraltete Prozesse an, nachdem ich Pakete installiere. Vermutlich ist das unbedenklich, trotzdem würde mich interessieren, woher das kommt (und wie es sich beheben lässt).
Ja, das ist in dem Sinne unbedenklich, denn das ist genau der Zweck von needrestart: Es zeigt dir an, für welche Anwendungen oder Dienste es ein Update gab, die aber noch in der alten Version laufen und im Arbeitsspeicher liegen. Das lässt sich also nur durch ein neu Ausführen der jeweiligen Anwendung „beheben“. Bei manchen Anwendungen ist ein Ab- und wieder Abmelden von Desktop der einfachste Weg.

Wenn dir diese Meldungen zu viel sind, musst du das Paket wieder deinstallieren. Dich, wie niemand schon schrieb, zu dem Zweck der einzelnen Werkzeuge zu belesen, hätte dir das aber auch verraten :wink:
Manchmal bekannt als Just (another) Terminal Hacker.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 22.10.2022 23:47:10

niemand hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 22:50:07
fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 21:36:21
So habe ich beispielsweise libpam-cracklib, debsecan, needrestart, apt-listbugs, debsums, rkhunter, fail2ban, sysstat und ufw installiert.
Hast du‘s denn auch alles ordentlich konfiguriert? Wobei „ordentlich“ hier für „nicht irgendwo irgendwelche Configs gecopypastet, sondern einzeln durchgegangen und für das eigene Szenario eine sinnvolle Konfiguration gewählt“ steht. Denn ohne das ist’s größtenteils auch nur Schlangenöl.
Danke für die Antwort. Bei einigen der aufgezählten Pakete liefert Debian schon brauchbare Konfigurationen mit. Bei fail2ban habe ich mich noch an die weiteren Informationen von Lynis gehalten, und sysstat habe ich über die config-Datei aktiviert. Was ich mir nochmal genauer anschauen möchte, ist rkhunter, allerdings scheint das auch fertig konfiguriert aus dem Debian-Paket zu fallen. :)
Ufw braucht ebenfalls keine weitere manuelle Konfiguration, abseits des aktivieren natürlich, denn bei einer Firewall möchte ich generell keinen Flickenteppich haben. Dementsprechend bleibt die Firewall zu Hause aus; unterwegs möchte ich sie lieber ohne Ausnahmen einschalten.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 22.10.2022 23:52:12

JTH hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 23:07:43
Ja, das ist in dem Sinne unbedenklich, denn das ist genau der Zweck von needrestart: Es zeigt dir an, für welche Anwendungen oder Dienste es ein Update gab, die aber noch in der alten Version laufen und im Arbeitsspeicher liegen.
Auch dir vielen Dank für die Antwort. Ob ihr das jetzt glaubt oder nicht, die Frage hat tatsächlich einen Sinn: Die Meldung kam nicht etwa, als ich ein Paket, was beispielsweise mit kwin/plasmashell zu tun hatte installiert/aktualisiert habe, sondern als ich Inkscape installiert habe. Das sollte doch eigentlich nicht direkt einen Neustart der entsprechend angegebenen Desktopkomponenten brauchen, oder? Ich könnte mir allerhöchsten vorstellen, dass das in irgendeiner Art und Weise mit dem KDEschen Menüsystem zusammenhängt -- das fände ich dann aber irgendwie schwer zu begründen, immerhin ist das ja bei anderen Anwendungen auch nicht so. Daher also die Frage, nicht, weil mir die Meldungen zu viel sind. :lol:
Update: Übrigens ist Plasma grade abgestürzt, dann hat es sich neu gestartet. Ich hab das mal als Gelegenheit gesehen, needrestart zu überprüfen: Das empfiehlt immer noch, die Plasma Shell neuzustarten. :mrgreen:
Zuletzt geändert von fab161 am 23.10.2022 17:15:55, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von DeletedUserReAsG » 23.10.2022 08:04:02

fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 23:47:10
Ufw braucht ebenfalls keine weitere manuelle Konfiguration, abseits des aktivieren natürlich, denn bei einer Firewall möchte ich generell keinen Flickenteppich haben. Dementsprechend bleibt die Firewall zu Hause aus; unterwegs möchte ich sie lieber ohne Ausnahmen einschalten.
Nimm’s mir nicht übel, aber mit dem Thema Paketfilter solltest du dich nochmal beschäftigen. Die anderen Pakete bringen zwar eine brauchbare Default-Konfiguration, drüberschauen und z.T. auch aktiv benutzen sollte man sie selbst allerdings schon, wenn sie ihren Job ordentlich tun sollen.

Du scheinst da so’n bisschen mit der Windowsuser-Mentalität ranzugehen: „einfach so viel wie möglich Sicherheit installieren, und wenn’s schiefgeht, hätte man eben noch mehr installiert haben sollen“. Hier wär’s aber wichtiger, sich mehr auf den Zweck, weniger auf die Software zu konzentrieren.

Ich stelle dann mal den Gegenpol:
fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 21:36:21
Wie händelt ihr denn die Sicherheitsaspekte des Systems?
Ausschließlich mit common sense und passender Konfiguration der verwendeten Software, kaum mit zusätzlicher Software.

OT: du könntest diese/diesen/dieses „Lynis“ mal verlinken, damit man sich mal ein Bild davon machen kann, mit welchem Niveau man es zu tun hat.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von uname » 23.10.2022 08:56:23

@fab161

Eine Härtung halte ich für praktisch unnötig.
Schau dir mal z. B. die wohl größte Schadcode-Familie Emotet an.

"Emotet ist eine Familie von Computer-Schadprogrammen für Windows-Systeme in Form von Makroviren, welche per E-Mail versendet werden."
https://de.wikipedia.org/wiki/Emotet

Vielleicht auch der Grund, warum es Internet-Banking-Betrug praktisch nur unter Windows gibt. ;-)

electri
Beiträge: 141
Registriert: 21.07.2017 22:30:50

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von electri » 23.10.2022 09:12:43

Ich bin Laien-Hobby-PC-Nutzer. Einiges an Wissen zu Debian/Linux habe ich von "Ubuntuusers". Da steht, dass ein Ubuntu keine Sicherheitshärtung, insbesondere keine Firewall benötigt, und als Desktopsystem ohne Änderungen sicher verwendet werden kann. Wo keine offenen Ports nach draußen sind, brauche ich überspitzt formuliert keine Security, außer den Firefox aktuell zu halten. Aus diesem Grund verwende ich Debian-Stable (Bullseye) so wie es ist. Gegen Angriffe von Außen schützt mich die Fritz-Box. Gegen Sicherheitslücken schützt mich das Security-Repo. Eher kosmetischer Natur sind noch zwei Dinge: Zum einen ist bei mir nur Software installiert, die ich benötige (Start mit Minimalinstallation, und dann hole ich mir die Desktopumgebung und die Software die ich brauche). Zum anderen habe ich direkt über nftables eine Firewall aktiviert, die alles blockt, was von außen kommt. So wähne ich mich sicherer, falls ich aus Versehen doch irgendwas nach draußen offen hätte, und gleichzeitig ein internes IOT-Gerät (z.B. Fernseher) durchdrehen sollte. Ach ja, und last but not least halte ich Firefox im Auge, da vereinzelt die Updates etwas brauchen. Sollte es länger brauchen (der Wechsel auf FF 91 war etwas verzögert) kann ich FF direkt von Mozilla holen, wie auf der Debian-Seite zu FF gut beschrieben ist.

Viel wichtiger als Software ist das eigene Verhalten. So habe ich keine Fremd-Repos aktiviert, mische die Zweige nicht (stable mit testing), klicke nicht unreflektiert auf Anhänge bzw. Links in Emails, habe MAkros in LibreOffice deaktiviert, und fahre gut mit den FF-Adons Noscript und Ublock (aber auch nur diesen).
niemand hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 08:04:02
fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 21:36:21
Wie händelt ihr denn die Sicherheitsaspekte des Systems?
Ausschließlich mit common sense und passender Konfiguration der verwendeten Software, kaum mit zusätzlicher Software.
Das würde mich etwas näher interessieren, was du mit "common sense" meinst. Vermutlich ist das ja kein Debian-Paket :mrgreen: Auch die "passende Konfiguration" ist ein weiter begriff. Grundsätzlich denke ich, dass ich wie oben geschrieben gut mit der Standardinstallation fahre, und damit sehr sehr sehr sicher bin. Aber meine Haare sind schon grau, vielleicht ist mein Wissensstand ja veraltet. :?: Was für Zusatzsoftware verwendest du?
niemand hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 08:04:02
Du scheinst da so’n bisschen mit der Windowsuser-Mentalität ranzugehen: „einfach so viel wie möglich Sicherheit installieren, und wenn’s schiefgeht, hätte man eben noch mehr installiert haben sollen“. Hier wär’s aber wichtiger, sich mehr auf den Zweck, weniger auf die Software zu konzentrieren.
Das sehe ich auch so. Der TE scheint ein Einzelplatz-Desktop-System ohne Serverdienste zu verwenden, welches vermutlich wie üblich hinter einem Router mit eingebauter Firewall hängen wird. Ich habe die Anwendungen mal gegoogelt. Als Einzelplatz-System benötige ich keinen Dienst, der mein Passwort prüft (cracklib). Das könnte sogar eher eine Sicherheitslücke sein. Auch das Programm rkhunter bringt meines Wissens nichts, wenn ich es von dem möglicher Weise gekaperten System aus ausführe. Und fail2ban brauche ich doch nur, wenn ich Dienst ins Internet anbiete und mich vor DDoS schützen will. Software, die die Aktualität des Systems und mögliche Sicherheitslücken prüft, würde mich nervös machen. Ich kann eh nicht mehr leisten, als regelmäßig Updates zu installieren. Einzige Ausnahme ist der Browser. Hier könnte Debian deutlicher darauf hinweisen, dass nur Firefox zuverlässig aktualisiert wird.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 12:22:13

niemand hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 08:04:02
Nimm’s mir nicht übel, aber mit dem Thema Paketfilter solltest du dich nochmal beschäftigen. Die anderen Pakete bringen zwar eine brauchbare Default-Konfiguration, drüberschauen und z.T. auch aktiv benutzen sollte man sie selbst allerdings schon, wenn sie ihren Job ordentlich tun sollen.

Du scheinst da so’n bisschen mit der Windowsuser-Mentalität ranzugehen: „einfach so viel wie möglich Sicherheit installieren, und wenn’s schiefgeht, hätte man eben noch mehr installiert haben sollen“. Hier wär’s aber wichtiger, sich mehr auf den Zweck, weniger auf die Software zu konzentrieren.
Ich nehme hier niemandem was übel! ;) Spaß bei Seite, ich habe die Tools ja nur Vorgeschlagen bekommen, von einem Sicherheitstool aus den offiziellen Debian-Repos (https://packages.debian.org/bullseye/lynis). Ich glaube nicht, dass das was mit einer angeblichen Windowsuser-Mentalität zu tun hat, sonst hätte ich hier wohl kaum nachgefragt. Sachen wie needrestart und apt-listbugs halte ich zum Beispiel für sehr praktisch, einfach um sich einen Überblick über das System zu verschaffen, dass man mit Common Sense installiert hat und pflegt -- so halte ich das nämlich auch: Bis auf die Druckertreiber kommen bei mir alle Pakete aus offiziellen Paketquellen. Natürlich kann und möchte ich in dem Themenbereich dazulernen, noch setze ich keine Distro im irgendeinem professionellen, sondern eigentlich immer im semi-professionellen privaten Heimanwenderbereich ein. Die Sachen, nach denen ich hier gefragt habe, sind auch keine dubiosen Schlangenöl-Pakete sondern ausschließlich solche, aus den offiziellen Repos, vielleicht ist dir auch aufgefallen, dass hier niemand von Virenscannern redet. Das also mit einer Windows-Doskussion zu vergleichen finde ich irgendwie merkwürdig.
Zuletzt geändert von fab161 am 23.10.2022 17:16:58, insgesamt 1-mal geändert.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 12:28:20

electri hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 09:12:43
Ich bin Laien-Hobby-PC-Nutzer. Einiges an Wissen zu Debian/Linux habe ich von "Ubuntuusers". Da steht, dass ein Ubuntu keine Sicherheitshärtung, insbesondere keine Firewall benötigt, und als Desktopsystem ohne Änderungen sicher verwendet werden kann. Wo keine offenen Ports nach draußen sind, brauche ich überspitzt formuliert keine Security, außer den Firefox aktuell zu halten. Aus diesem Grund verwende ich Debian-Stable (Bullseye) so wie es ist. Gegen Angriffe von Außen schützt mich die Fritz-Box. Gegen Sicherheitslücken schützt mich das Security-Repo. Eher kosmetischer Natur sind noch zwei Dinge: Zum einen ist bei mir nur Software installiert, die ich benötige (Start mit Minimalinstallation, und dann hole ich mir die Desktopumgebung und die Software die ich brauche). Zum anderen habe ich direkt über nftables eine Firewall aktiviert, die alles blockt, was von außen kommt. So wähne ich mich sicherer, falls ich aus Versehen doch irgendwas nach draußen offen hätte, und gleichzeitig ein internes IOT-Gerät (z.B. Fernseher) durchdrehen sollte. Ach ja, und last but not least halte ich Firefox im Auge, da vereinzelt die Updates etwas brauchen. Sollte es länger brauchen (der Wechsel auf FF 91 war etwas verzögert) kann ich FF direkt von Mozilla holen, wie auf der Debian-Seite zu FF gut beschrieben ist.
@electri: Danke für deine Antwort, um hier nochmal darauf hinzuweisen: Ich habe diesen Forenthread nicht gestartet, weil ich alle zu irgendwelchen Sicherheitspaketen bekehren, sondern für mich selbst den Nutzen abschätzen möchte. Bis jetzt habe ich das eigentlich immer so gehalten, wie viele Antworten es hier vorschlagen: Standardsystem mit offiziellen Paketen. Vermutlich werde ich das in der Zukunft auch weiter so machen. Nichtsdestotrotz kann man sich ja mal damit beschäftigen. Wenn du dich übrigens so sehr auf die Empfehlungen von Ubuntuusers.de stützt, solltest du dich vielleicht mal fragen, warum es dort Beiträge mit haarkleinen Anleitungen zu u.a. ufw, rkhunter oder auch chkrootkit gibt. ;) Danke auch für die Tipps bezüglich E-Mail und Firefox. Ublock läuft bei mir auch immer, noscript ist mir im Alltag etwas zu anstrengend. Was die E-Mails angeht, versuche ich auch, kein HTML zuzulassen, KMail macht das zum Beispiel schon standardmäßig.
Zuletzt geändert von fab161 am 23.10.2022 17:19:03, insgesamt 2-mal geändert.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 12:32:22

uname hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 08:56:23
@fab161

Eine Härtung halte ich für praktisch unnötig.
Schau dir mal z. B. die wohl größte Schadcode-Familie Emotet an.

"Emotet ist eine Familie von Computer-Schadprogrammen für Windows-Systeme in Form von Makroviren, welche per E-Mail versendet werden."
https://de.wikipedia.org/wiki/Emotet

Vielleicht auch der Grund, warum es Internet-Banking-Betrug praktisch nur unter Windows gibt. ;-)
Du bist in diesem Thread glaube ich der einzige, der von einem Virenscanner schreibt. So was möchte ich ja keinesfalls, nicht selten sind die Virenscanner die Wegbereiter für die Viren. Die Tools, die ich aufgezählt habe, möchte ich in ihrem Nutzen für mich als Desktopnutzer einschätzen, und dabei rede ich von einer Firewall und mehreren Paketen, die mir einfach nur zusätzliche Informationen zum System oder zu den Sachen, die Prozesse und apt betreffen liefert. Und zusätzliche Infos sind jetzt nicht schlecht, oder?

electri
Beiträge: 141
Registriert: 21.07.2017 22:30:50

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von electri » 23.10.2022 14:54:27

fab161 hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 12:28:20
Danke für deine Antwort, um hier nochmal darauf hinzuweisen: Ich habe diesen Forenthread nicht gestartet, weil ich alle zu irgendwelchen Sicherheitspaketen bekehren, sondern für mich selbst den Nutzen abschätzen möchte. [...] Wenn du dich übrigens so sehr auf die Empfehlungen von Ubuntuusers.de stützt, solltest du dich vielleicht mal fragen, warum es dort Beiträge mit haarkleinen Anleitungen zu u.a. ufw, rkhunter oder auch chkrootkit gibt. ;)
Hm... :roll: ich hatte doch schon recht spezifisch zu einigen der von dir vorgeschlagenen Programmen geantwortet. Wozu libpam-cracklib auf einem System mit ein oder zwei Benutzern? Fial2ban macht nur Sinn, wenn ein Port offen ist und der Rechner direkt (ohne Routerfirewall) mit dem Internet verbunden ist. Statt ufw könnte man sich in iptables etwas einlesen. Auf der gentoo-Webseite gibt es für Workstation Beispielkonfigurationen, ebenso finden sich in der Debian-Installation Beispiele. Ich gehe lieber direkt, als über Umwege. Und wenn auch du bei ubuntuussers gespickt hast :mrgreen: dann müsstest auch du gelesen haben, dass die Nutzung von rkhunter alleine nicht glücklich macht, und rkhunter darüber hinaus von einem unkompromittierten System ausgeführt werden sollte. Bevor ich Dinge nur halbe benutze, und auch nur halb verstehe, lasse ich es lieber. Debsecan und apt-listbugs listen Lücken. Sofern da Lücken drin stehen, was ist dein Ziel, wie willst du vorgehen? Leute ohne erweiterte (Programmier)-kenntnisse können eigentlich nur vertrauen, dass die Programmversion mehr oder weniger sicher ist. Debsums prüft md5-Summen, aber was bringt das? Bei der Installation (apt/apt-get/synaptic/etc.) werden meines Wissens Signaturen geprüft. Zu needrestart: Im Gegensatz zu Ubuntu, Fedora und vielen anderen Distributionen sind die Updates bei stable eher selten. Ich boote meinen Rechner aber täglich neue. Insofern würde ich mal die These wagen, dass diese ganzen Programme, und vermutlich auch Lynis, eher für Server gedacht sind, als für den heimischen Desktop. Folglich hilft das meines Erachtens nur für die gefühlte Sicherheit, und nicht für die tatsächliche Sicherheit.

Wenn ich mir den Thread so anschaue, dann wurde dir auch nicht unterstellt, dass du irgend jemand bekehren willst. Aber die allgemeine Tendenz geht wohl dahin, dass die Programme für das Thema Sicherheit nicht notwendig sind. Willst du das System, insbesondere unter dem Aspekt der Sicherheit tiefer verstehen, dann helfen die Programme sicherlich, sofern du hinterfragst, was die Programme genau machen.

Was ich nicht verstehe ist, dass du dich gegen den Virenscanner wehrst (den glaube ich niemand vorgeschlagen hat). Eine Installation von ClamAV, meines Wissens der einzige freie Virenscanner für Linux, der übrigens hauptsächlich nach Windows-Viren sucht, hat zumindest früher erst mal gar nichts gemacht. Für einen Scan musste der manuell angestoßen werden. Ob das heute noch so ist, weiß ich nicht. Daher finde ich unlogisch, dass du dich beim Virenscanner vor Sicherheitslücken fürchtest, aber die o.g. Programme alle installiert hast, und einige noch dazu nur unter root zu verwenden sind. Die Aussage, dass Virenscanner Einfallstore für Schadsoftware sind, gilt soweit ich weiß nur für Windows, und dort auch nur für Komplett-Sicherheits-Schlangenöl-Suiten von Fremdfirmen, mit denen du noch faxen, Geschirr spülen und Socken stopfen kannst, und die sich teilweise mit der Windows-Firewall bzw. dem Windows-Scanner hakeln. Unter Windows würde ich keines Falls den Windows-eigenen Virenscanner oder die Firewall deaktivieren, aber auch nix zusätzliches installieren.

DeletedUserReAsG

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von DeletedUserReAsG » 23.10.2022 15:16:07

fab161 hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 12:22:13
Die Sachen, nach denen ich hier gefragt habe, sind auch keine dubiosen Schlangenöl-Pakete sondern ausschließlich solche, aus den offiziellen Repos, vielleicht ist dir auch aufgefallen, dass hier niemand von Virenscannern redet. Das also mit einer Windows-Doskussion zu vergleichen finde ich irgendwie merkwürdig.
Zumindest ich habe nichts davon geschrieben, dass die Pakete per se Schlangenöl wären, und von Virenscannern schon gar nichts (siehe unten). Ich habe nur geschrieben, dass einige Sachen sich unkonfiguriert, lediglich installiert, weitgehend wie Schlangenöl verhalten: du erhoffst dir einen Nutzen von der Installation, den sie aber z.T. nur konfiguriert oder/und aktiv eingesetzt erbringen könnten – nicht von der bloßen Installation. Das ist halt, was Windowsuser gerne machen: alles, wo „Sicherheit“ dransteht, wird installiert und sich dann nicht weiter drum gekümmert – wird schon helfen. Den Eindruck hatte ich halt beim Lesen deines Beitrags: unreflektiert Software installiert, ob nun sinnvoll oder nicht, und kein Hinweis drauf, ob die Software tatsächlich eingerichtet wurde und überhaupt benutzt wird.
electri hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 14:54:27
Was ich nicht verstehe ist, dass du dich gegen den Virenscanner wehrst (den glaube ich niemand vorgeschlagen hat).
Bevor das falsch so verbreitet wird: ich würde ausdrücklich nie einen Virenscanner empfehlen: Ich halte solcherlei Software im günstigsten Fall für unnötig, in weniger günstigen Fällen für kontraproduktive Augenwischerei und in noch ungünstigeren Fällen für „mit Malware gleichzustellen“.

Wenn jemand Daten für ein Windowssystem bereitstellen will, etwa via Debiansamba, könnte solche Software einen Nutzen von leicht größer als Null haben – aber im Regelfall wird der Windows-Defender selbst, auf der Windowsmaschine, mehr bringen, als ein freier Scanner auf dem heimischen NAS-Device.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 15:34:44

electri hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 14:54:27
Wenn ich mir den Thread so anschaue, dann wurde dir auch nicht unterstellt, dass du irgend jemand bekehren willst. Aber die allgemeine Tendenz geht wohl dahin, dass die Programme für das Thema Sicherheit nicht notwendig sind. Willst du das System, insbesondere unter dem Aspekt der Sicherheit tiefer verstehen, dann helfen die Programme sicherlich, sofern du hinterfragst, was die Programme genau machen.

Was ich nicht verstehe ist, dass du dich gegen den Virenscanner wehrst (den glaube ich niemand vorgeschlagen hat). Eine Installation von ClamAV, meines Wissens der einzige freie Virenscanner für Linux, der übrigens hauptsächlich nach Windows-Viren sucht, hat zumindest früher erst mal gar nichts gemacht. Für einen Scan musste der manuell angestoßen werden. Ob das heute noch so ist, weiß ich nicht. Daher finde ich unlogisch, dass du dich beim Virenscanner vor Sicherheitslücken fürchtest, aber die o.g. Programme alle installiert hast, und einige noch dazu nur unter root zu verwenden sind. Die Aussage, dass Virenscanner Einfallstore für Schadsoftware sind, gilt soweit ich weiß nur für Windows, und dort auch nur für Komplett-Sicherheits-Schlangenöl-Suiten von Fremdfirmen [...].
Das mit der allgemeinen Tendenz stimmt schon. Leider (?) habe ich die Angewohnheit nur relativ kurz bei Stable zu bleiben und dann, wenn sich eine Gelegenheit ergibt, zu Sid zu wechseln. Wenn man Sid nutzt, und dann etwas kaputt geht, macht es meiner Ansicht nach schon Sinn, zu wissen, wo die Probleme, die ja durchaus mal auftreten können, begründet liegen könnten.
Ich wehre mich gegen Virenscanner, weil die meiner Ansicht nach nicht wirklich viel zur Sicherheit beitragen: Wie du schon gesagt hast, geht es da ja hauptsächlich um Windowsviren. Manche Leute hier im Forum verlinken ja auch einfach auf einen Wikipedia-Artikel und sagen dann: Guck mal, Windows-Viren. ;)
Die Firewall mag so eine Sache sein. Zu Hause brauche ich die nicht, deswegen bleibt die hier auch aus. Wenn man aber mit einem Laptop unterwegs ist, kann das nun wirklich nicht schaden, denke ich. Danke übrigens für die vielen Antworten, ich habe einige der Sachen jetzt auch nicht mehr auf der Platte, momentan möchte ich mich mal auf die Firewall, apt-listbugs und needrestart beschränken, schließt ja nicht aus, sich mit den anderen Sachen mal auseinanderzusetzen.
Zuletzt geändert von fab161 am 23.10.2022 17:25:09, insgesamt 2-mal geändert.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 15:39:10

niemand hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 15:16:07
Zumindest ich habe nichts davon geschrieben, dass die Pakete per se Schlangenöl wären, und von Virenscannern schon gar nichts (siehe unten). Ich habe nur geschrieben, dass einige Sachen sich unkonfiguriert, lediglich installiert, weitgehend wie Schlangenöl verhalten: du erhoffst dir einen Nutzen von der Installation, den sie aber z.T. nur konfiguriert oder/und aktiv eingesetzt erbringen könnten – nicht von der bloßen Installation. Das ist halt, was Windowsuser gerne machen: alles, wo „Sicherheit“ dransteht, wird installiert und sich dann nicht weiter drum gekümmert – wird schon helfen. Den Eindruck hatte ich halt beim Lesen deines Beitrags: unreflektiert Software installiert, ob nun sinnvoll oder nicht, und kein Hinweis drauf, ob die Software tatsächlich eingerichtet wurde und überhaupt benutzt wird.
Dann haben wir uns vielleicht gegenseitig falsch verstanden: Ich hab das "weitgehend wie Schlangenöl verhalten" mit einer direkten Gleichstellung verwechselt, und du evtl. meine Intentionen. Wenn ich einfach blind Sachen installieren würde, würde ich wohl kaum hier im Forum nachfragen. Unterm Strich geht's mir mehr darum, dazuzulernen. Sorry, falls ich die Teile bezüglich der Nutzung, Konfiguration und dem Zweck der Pakete im ersten Beitrag hier zu kurz kommen lassen habe.
Zuletzt geändert von fab161 am 23.10.2022 17:20:23, insgesamt 1-mal geändert.

electri
Beiträge: 141
Registriert: 21.07.2017 22:30:50

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von electri » 23.10.2022 15:40:19

niemand hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 15:16:07
electri hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 14:54:27
Was ich nicht verstehe ist, dass du dich gegen den Virenscanner wehrst (den glaube ich niemand vorgeschlagen hat).
Bevor das falsch so verbreitet wird: ich würde ausdrücklich nie einen Virenscanner empfehlen: Ich halte solcherlei Software im günstigsten Fall für unnötig, in weniger günstigen Fällen für kontraproduktive Augenwischerei und in noch ungünstigeren Fällen für „mit Malware gleichzustellen“.
Oh, das hatte ich glaube ich anders gemeint. Ich hatte ja extra geschrieben, dass hier niemand einen Virenscanner vorschlägt. Ich meinte folgendes: Die Aussage, dass Viren-Scanner eventuell Sicherheitslücken ins System reißen, gilt unter Windows für Fremdsoftware. Also eine Komplett-suite vom Hersteller XY ist meistens nicht besser als die Windows-Board-Mittel, schlimmsten Falls schlechter. Also gibt es für Windows keine Notwendigkeit für die Klassiker wie z.B. von Peter und Jewgeni und John. Unter Linux gibt es meines Wissens in den Debian Paket-Quellen nur ClamAv. Alles andere (Fremdsoftware) würde ich für ein Desktopsystem nie installieren, da es ja nicht aus den Debian-Paketquellen kommt, sondern von extern. Noch dazu ist der Nutzen unter Null. Also auch ich bin der Meinung, dass Virenscanner unter Linux keinen Sinn machen. Ich fand nur unlogisch, zum einen ClamAV abzulehnen, weil zusätzliche Software und damit riskant, und gleichzeitig aber andere Tools zu installieren und unter root auszuführen. Letztlich kann jedes zusätzliche Stück Software Probleme machen. Je weniger installiert, desto besser.

electri
Beiträge: 141
Registriert: 21.07.2017 22:30:50

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von electri » 23.10.2022 15:52:06

fab161 hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 15:34:44
Die Firewall mag so eine Sache sein. Zu Hause brauche ich die nicht, deswegen bleibt die hier auch aus. Wenn man aber mit einem Laptop unterwegs ist, kann das nun wirklich nicht schaden, denke ich. Danke übrigens für die vielen Antworten, ich habe einige der Sachen jetzt auch nicht mehr auf der Platte, momentan möchte ich mich mal auf die Firewall, apt-listbugs und needrestart beschränken, schließt ja nicht aus, sich mit den anderen Sachen mal auseinanderzusetzen.
Wenn dir Sicherheit am Herzen liegt, und du dich mit dem Laptop in ein fremdes Wlan einbindest, dann kann ein vertrauenswürdiger VPN-Anbieter durchaus einen echten Sicherheitsgewinn bringen. Zumindest gilt das für freie Wlans in Hotels, an Bahnhöfen und in Geschäften. Eine Firewall schützt dich ja nur davor, dass jemand offene Ports (hast du eigentlich welche?) angreift. Bei einem offenen Wlan ist aber wohl ein MITM-Angriff durchaus möglich.

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von JTH » 23.10.2022 15:55:49

fab161 hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 15:34:44
Das mit der allgemeinen Tendenz stimmt schon. […]
fab161 hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 15:39:10
Dann haben wir uns vielleicht gegenseitig falsch verstanden: […]
Zitier doch bitte nicht immer die kompletten, langen Beiträge, auf die du antwortest, Fabian. Das zwingt einen unnötig viel zu scrollen. Wenn du dich auf ausgesuchte, einzelne (Ab-) Sätze beziehen willst, kannst du die auch gezielt zitieren (das Zitat kann man ja einfach bearbeiten). Oder man kann, wie ich das hier gemacht hab, den zitierten Beitrag abkürzen :)
Manchmal bekannt als Just (another) Terminal Hacker.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 17:21:37

@JTH Haste Recht, ich habe das mal entsprechend editiert, hoffe, dass das jetzt angenehmer ist.

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 17:23:28

electri hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 15:52:06
Wenn dir Sicherheit am Herzen liegt, und du dich mit dem Laptop in ein fremdes Wlan einbindest, dann kann ein vertrauenswürdiger VPN-Anbieter durchaus einen echten Sicherheitsgewinn bringen. Zumindest gilt das für freie Wlans in Hotels, an Bahnhöfen und in Geschäften. Eine Firewall schützt dich ja nur davor, dass jemand offene Ports (hast du eigentlich welche?) angreift. Bei einem offenen Wlan ist aber wohl ein MITM-Angriff durchaus möglich.
Ich weiß nicht wirklich, was ich von VPNs halten soll, gerade, weil man dann den VPN-Anbietern (zusätzlich) vertrauen muss. Tut's Tor in der Hinsicht nicht auch, oder sogar besser? Habe mal gehört, dass man selbst da über gewisse Umwege den eigenen Standort dediziert ändern kann, was Anonymität angeht ist Tor vermutlich unschlagbar.

Firewall: Ich brauche im Alltag halt ein paar offene Ports für den Netzwerkdrucker, wie gesagt, wenn ich nicht zu Hause bin, kann eigentlich alles zu sein.

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von OrangeJuice » 23.10.2022 17:45:24

fab161 hat geschrieben: ↑ zum Beitrag ↑
22.10.2022 21:36:21
Wie händelt ihr denn die Sicherheitsaspekte des Systems? Ist das bei einem Desktop übertrieben?
Schaue dir mal folgendes an ;)

Code: Alles auswählen

systemd-analyze security
Du kannst Secure Boot aktivieren(mit aktuelle DBX) und den Kernel-Lockdown verwenden. Hier steht etwas zum Thema hardening.
Für Debian gibt es auch ein Paket, welches Vorschläge enthält, siehe hier im Thema: Hardening Runtime(Link)
Mit Luks verschlüsselte LVM verwende ich, /boot kann man mit sha256sum überprüfen(Link). Mit lsmod nachsehen, welche Module laufen. Nftables als Firewall(Bsp. Link).

Mit dmesg und journalctl nachsehen, was für Meldungen evtl. relevant sein könnten.

Code: Alles auswählen

dmesg -x -l  crit,warn,err
journalctl -p 3 -xb
Auch was so an Verbindungen herausgehen, kannst du dir ansehen.

Code: Alles auswählen

ss -tulpnat

fab161
Beiträge: 22
Registriert: 16.02.2022 20:59:25

Re: Empfehlenswertes zur Härtung eines Desktop-Systems?

Beitrag von fab161 » 23.10.2022 17:52:50

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
23.10.2022 17:45:24
Mit dmesg und journalctl nachsehen, was für Meldungen evtl. relevant sein könnten.

Code: Alles auswählen

dmesg -x -l  crit,warn,err
journalctl -p 3 -xb
Auch was so an Verbindungen herausgehen, kannst du dir ansehen.

Code: Alles auswählen

ss -tulpnat
Danke für die Vorschläge.
Die Ausgaben von 'dmesg -x -l crit,warn,err' und 'journalctl -p 3 -xb' sehen ganz passabel aus.
Bei 'systemd-analyze security' scheints nicht so prickelnd:

Code: Alles auswählen

UNIT                                  EXPOSURE PREDICATE HAPPY
ModemManager.service                       5.9 MEDIUM    😐
NetworkManager.service                     7.8 EXPOSED   🙁
alsa-state.service                         9.6 UNSAFE    😨
anacron.service                            9.6 UNSAFE    😨
avahi-daemon.service                       9.6 UNSAFE    😨
bluetooth.service                          6.9 MEDIUM    😐
colord.service                             8.8 EXPOSED   🙁
cron.service                               9.6 UNSAFE    😨
cups-browsed.service                       9.6 UNSAFE    😨
cups.service                               9.6 UNSAFE    😨
dbus.service                               9.6 UNSAFE    😨
emergency.service                          9.5 UNSAFE    😨
getty@tty1.service                         9.6 UNSAFE    😨
hddtemp.service                            9.6 UNSAFE    😨
iio-sensor-proxy.service                   7.6 EXPOSED   🙁
lightdm.service                            9.6 UNSAFE    😨
packagekit.service                         9.6 UNSAFE    😨
plymouth-start.service                     9.5 UNSAFE    😨
polkit.service                             9.6 UNSAFE    😨
rc-local.service                           9.6 UNSAFE    😨
rescue.service                             9.5 UNSAFE    😨
rsyslog.service                            9.6 UNSAFE    😨
rtkit-daemon.service                       7.2 MEDIUM    😐
systemd-ask-password-console.service       9.4 UNSAFE    😨
systemd-ask-password-plymouth.service      9.5 UNSAFE    😨
systemd-ask-password-wall.service          9.4 UNSAFE    😨
systemd-fsckd.service                      9.5 UNSAFE    😨
systemd-initctl.service                    9.4 UNSAFE    😨
systemd-journald.service                   4.3 OK        🙂
systemd-logind.service                     2.6 OK        🙂
systemd-networkd.service                   2.9 OK        🙂
systemd-rfkill.service                     9.4 UNSAFE    😨
systemd-timesyncd.service                  2.1 OK        🙂
systemd-udevd.service                      8.0 EXPOSED   🙁
udisks2.service                            9.6 UNSAFE    😨
upower.service                             2.4 OK        🙂
user@1000.service                          9.4 UNSAFE    😨
wpa_supplicant.service                     9.6 UNSAFE    😨

Antworten