Ich hoffe, ich poste meine Frage in die korrekte Rubrik:

Für einen Verein möchte ich die Finanzen per Onlinebanking erledigen. Um maximale Sicherheit zu bekommen, wollte ich einen Rechner mit einer Suse LiveCD starten.

Meine Frage wäre, wie sicher ist die LiveCD gegen Übergriffe gesichtert? Ist dort schon eine Firewall aktiviert, oder sind generell alle Ports offen?

Dank und Gruß

Markus

Ich hoffe, ich poste meine Frage in die korrekte Rubrik:

Für einen Verein möchte ich die Finanzen per Onlinebanking erledigen. Um maximale Sicherheit zu bekommen, wollte ich einen Rechner mit einer Suse LiveCD starten.

Meine Frage wäre, wie sicher ist die LiveCD gegen Übergriffe gesichtert? Ist dort schon eine Firewall aktiviert, oder sind generell alle Ports offen?

Dank und Gruß

Markus

Nein, Live CD´s sind nicht gegen Angriffe gesichert, da auch keine Sicherheitspatches installiert sind...

Wenn du die Finanzen per Onlinebanking über Internet Explorer erledigst, dann kann ein sehr gut konfigurierte Firewall auch nicht helfen. Ich würde dir raten zumindest den Firefox Browser zu verwenden, falls du die Gelgeschäfte über Browser erledigst!

gegen eine maninthemiddle atack bist du bei keinem browser sicher.
bei einem anderen zertifikat wirst du bei jedem browser gefragt ob du des wilslt.. wenn du da ja clickst, und nciht überprüfst ob des überhaupt stimmt, dann ists immer zu spät. da kann dir niemand helfen weder der browser noch die firewall

greetz

Internet Explorer unter Linux, gibts das jetzt auch? Gott, da hat sich ja viel getan, seitdem ich nicht mehr mit Linux zu tun habe.

Meine Frage bezog sich weniger auf Zertifikate und dergleichen. Den Vorteil den ich in der Live CD gesehen habe war der, dass es eigentlich keine Möglichkeit gibt für Trojaner oder Viren sich festzusetzen, da dass System von einem ROM bootet. Die einzige Gefahr darin besteht halt - wie schon erwähnt - das keine Patches installiert sind, und auf dauer das System inaktuell wird.

Ich brauche allerdings maximal 5 Minuten für die Bankingsache, und wollte daher einfach wissen, ob das System nach außen offen ist, oder ob ggf nur Port 80,53 etc... also die, die fürs Browsen benötigt werden, offen sind. Wären diese default mäßig durch iptables geschützt, wäre das System ja innerhalt dieser 5 Minuten dennoch gut geschützt. [Zumindest besser als mein Windowssystem, was zwar Firewall etc hat, aber 24h am laufen ist].

dass kannst du selbst recht schnell rausfinden, boote doch einfach die cd, und tippe in der konsole
netstat -an

dann auf den listen anteil achten, da siehst du welche dienste wo lauschen,
127.0.0.1:80 würde heißen, dass nur über lokalen zugriff auf port 80 etwas lauscht. sollte anstatt der ip-addressse ein * sein, ist dies auch von außen erreichbar, sofern keine iptables sachen vorhanden sind.
also ein eintrag wie
*:22 ist gefährlicheer, weil da der sshd überall verbindungen akzeptiert.

und ob diese auch von außen erreichbar sind, kannst du auch recht leicht im netz testen. einfach im lan versuchen auf den port zu kommen und ob eine verbindung akzeptiert wird zum beispiel mit
telnet IP PORT
wenn ein refused kommt ists nicht gefährlich..

greetz

Es gibt ja auch Devil Linux (http://www.devil-linux.org)! Das ist ebenfalls eine Live CD. Allerdings ohne X11 oder Weboberfläche. Und die vielen schönen Konfigurationsspielzeuge (Yast) gibts auch nicht. Da muss man an die /etc Dateien ran. Diese werden dann auf einem Wechselmedium (Diskette, USB-Stick oder auch Festplatte oder CD) gespeichert. Das Medium muss nur beim booten kurz angeschlossen werden und schon ist alles wieder so eingerichtet, wie man es haben will.

IPtables (Portfilter, Firewall) lässt sich sehr einfach über den Firewall Builder von einem anderen Rechner aus einrichten, der sogar direkt Export auf das Devil Linux Konfiguraitonsmedium unterstützt.

Von Devil Linux kommen regelmäßig Updates raus. Die Configs werde auf die neue Version transponiert (falls das notwendig ist) und schon hat man den neuesten 2.4 er Kernel etc.

Außerdem sind fast alle Pakete mit dem GCC Stack Smashing Protector (verhindert Buffer Overflows) kompiliert und der Kernel verwendet den GRSecurity Patch, der direkt im Kernel weitreichende Sicherheitsmaßnahmen verankert.

Was gibt es also besseres?