PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheit unter Lucid Puppy 5.2.8



check5
25.01.12, 19:22
Hallo liebe Forenmitglieder.

Ich bin neu hier, habe ehrlich gesagt noch nicht ganz soviel Ahnung von Linux und wäre auf der Suche nach einem möglichst "sicheren" OS.
Nun hätte ich eine Frage die mich brennend interessieren
würde, und zwar:

Wie funktioniert das eigentlich mit den Benutzerrechten unter Linux allgemein ?
(vorzugsweise natürlich Lucid Puppy)

Folgendes:
Ich arbeite nun schon eine weile mit Puppy und bin recht zufrieden damit, da alles im RAM läuft und nichts auf der Festplatte ausgelagert wird (Sicherheitsaspekt). Nun habe ich ein kleines Script geschrieben bei dem u.a nur "User" Lese-, Schreib- und Ausführrechte hat
( chmod -R go-rwx / ).

So und nun die Frage:
Funktioniert dieses Script um mich vor Angriffen aus dem Internet zu schützen nachdem
Puppy-Linux immer mit Root-Rechten ausgeführt wird (z.B von Hackern über Telnet o.ä)?

Ich wäre euch Dankbar für eure Hilfe !

DrunkenFreak
25.01.12, 20:53
Ich kenne Puppy nicht, kann dir aber sagen, dass das Skript Quatsch ist. Wenn tatsächlich alles als root ausgeführt wird, ist es die unsicherste Distribution, die es gibt. Der Normalzustand ist, dass alle systemrelevanten Dienste als root ausgeführt werden (vgl. Windows und Administrator). Das, was der Benutzer macht, darf und sollte nicht als root ausgeführt werden. Der Benutzer hat dementsprechen auch keinen schreibenden Zugriff auf die Dinge von root. Lesenden muss er unter Umständen haben. Daher würde ich nicht an den Rechten rumfummeln, wenn du nicht genau weißt, was du machst.

Solltest du in irgendwelchen Dateien Passwörter setzen, die nur ein Benutzer braucht, dann kannst du die Rechte natürlich entsprechend anpassen. Da es aber ein Livesystem ist, würde ich das lassen.

Newbie314
26.01.12, 11:13
Hi Check 5!

Willkommen im Forum. Ich glaube es wäre recht sinnvoll wenn du andeuten würdest was dein Live System tun soll.

Beispiel: Online Banking:
Im Heise Verlag gibt es z.B. eine Spezial Distri namens "Bankix" die genau für Windows Benutzer die zum Online Banking ein garantiert nicht infiziertes Betriebssystem verwenden wollen gedacht ist.

Das funktioniert per Live CD.. so ein System kann natürlich nicht dauerhaft kompromittiert werden... wenn du so etwas nur startest, deine Bankgeschäfte erledigst und dann wieder stoppst ist es schonmal sehr sicher, selbst wenn du nur begrenzte Kenntnisse hast.




Je nachdem was du tun willst gibt es evtl. diverse Tipps wie du mit weniger Aufwand deutlich sicherer fahren kannst.

Puppy halte ich übrigens auch für unsicher.... alles als Root auszuführen ist seit Windows 98 selbst bei Windows Systemen stark aus der Mode gekommen....

Mit anderen Worten: mit einem aktuellen Windows dürftest du zur Zeit sicherer unterwegs sein als mit Puppy....

check5
27.01.12, 20:35
Erstmal Danke für die Antworten.
Naja also es ist folgendermaßen:

Ich war ein Windows-User seit der Generation 98.
Eigentlich wollt ich gar kein anderes OS mehr benutzen aber nachdem der Support für
ME eingestellt wurde, bin ich praktisch dazu gezwungen worden auf XP umzusteigen.
Naja und nun dauert es wohl nicht mehr lange bis auch der Support für XP eingestellt wird
(Ich glaube irgendwas mit 2013)
Tja und nachdem Vista Mist, Win 7 auch nicht viel besser und Win 8 sowiso Dreck ist bin ich auf der Suche nach einem neuen OS (logischerweise Linux da BSD ja noch schwieriger zu erlernen ist).
Ausserdem hab ich mittlerweile schon fast Paranoia ständig beobachtet zu werden wenn ich mit Windows surf.
Nun hab ich mich in letzter Zeit mit dem Buch "Linux 2011" beschäftigt aber noch nicht alles so genau geblickt. Deswegen die Frage da ich bis "vorgestern" der Meinung war das der Benutzer "Root" auch unter den Lese- und Schreibrechten von "User" läuft...
Nun habe ich einen Test gemacht und auch "User"[B] alle Lese- Schreib- und Ausführrechte entzogen und siehe da: Ich konnte trotzdem noch auf alles zugreifen.
Also: "Falsch gedacht" !
Nun bin ich schlauer und hoffe dass mir so ein "Leichtsinnsfehler" nicht nocheinmal passiert... :D

Allerding hätte ich noch eine Frage die ihr mir vielleicht beantworten könntet und zwar:
Wie schaffe ich es ein Linux über [B]HDD in den RAM zu laden?
Gibt es da so eine Art "Script" das man schreiben könnte (z.B wie eine Ein- und Ausgabenumlenkung) oder setzt dass komplettes "Kernel KnowHow" vorraus?

DrunkenFreak
27.01.12, 20:46
Wozu willst du das? Installier Linux normal und nutz es dann.

check5
27.01.12, 20:56
Naja wär halt noch ein schöner Sicherheitsaspekt (keine Speicherung).
Ausserdem find ich es ganz angenehm im RAM zu arbeiten. Da braucht man keine SSD mehr... :D

DrunkenFreak
27.01.12, 21:01
Besorg dir ein embedded System. Das macht im Endeffekt das gleiche und du hast kein Gefriemel mehr.

Die Geschwindigkeit der SSD merkst du eh nur beim Starten einer Anwendung. Danach ist es genauso wie mit einer normales Festplatte. Gleiches wirst du auch im RAM haben, nur dass du vorher alles reinladen musst. Das lässt natürlich deutlich weniger Platz für den "richtigen" Arbeitsspeicher.

Du könntest aber z.B. ein minimales System aufsetzen und beim Start ein RAMfs anlegen, in das du dann alles reinkopierst.

check5
27.01.12, 21:09
Ja sowas in der Art hatte ich auch vor, allerding fehlt mir eben, wie im ersten Beitrag erwähnt, "noch" das nötige Wissen für ein eigenes OS.
Naja und im Moment auch die Zeit da ich Familie zuhause habe...

Wie funktioniert das mit dem "RAMfs"?

DrunkenFreak
27.01.12, 23:31
Grob: Beim Booten legst du eine Ramdisk mit einer definierten Größe an, dieser gibst du ein Dateisystem und kopierst danach alles von der Platte dort rein. Danach läuft das eigentliche Booten in deine Umgebung ab.

Busybox sollte eigentlich alles notwendige dafür mitliefern. Dafür wirst du aber wahrscheinlich noch längere Zeit üben müssen und daher installier dir Linux einfach und gut ist.

check5
28.01.12, 09:41
Ok dann weiß ich das jetzt auch.
Benutze nun erst einmal Ubuntu und teste nebenbei SliTaz.
Vielen Dank für die Hilfe.

Newbie314
31.01.12, 21:59
Zur Info: XP wird noch bis 2014 unterstützt, und Windows 7 finde ich persönlich gar nicht so schlecht.

Außer diversen "Obskuritäten" und dem Preis stört mich bei Windows hauptsächlich der relativ kurze Support für die "Home" Versionen. Das führt zwangsläufig dazu dass zig Leute mit mittelmäßigen Computerkenntnissen mit ungepatchten Kisten im Internet unterwegs sind.

Die Ergebnisse sieht man täglich im Spam Ordner... Windows 8 habe ich noch nicht angefasst, darüber kann ich nichts sagen.

Wenn du Angst vor geknacktern Rechnern hast kannst du mit SELinux Einstellungen und diversen "tripwire" Programmen experimentieren. Zuerst würde ich mich aber in einer normalen Installation in die Grundlagen "reinfuchsen".

DrunkenFreak
31.01.12, 22:07
Außer diversen "Obskuritäten" und dem Preis stört mich bei Windows hauptsächlich der relativ kurze Support für die "Home" Versionen. Das führt zwangsläufig dazu dass zig Leute mit mittelmäßigen Computerkenntnissen mit ungepatchten Kisten im Internet unterwegs sind.

Laut Wikipedia ist Windows 7 Home bis Anfang 2015 unterstützt. Es kam Ende 2009 auf den Markt. Macht also ein bisschen mehr als 5 Jahre. Wenn dir das nicht ausreicht, solltest du deinen Stecker ziehen. Wenige Distributionen geben dir längeren Support und wenn, dann nur gegen Geld.

Bei XP sieht es recht ähnlich aus. Das System hatte bis 2009 Support in vollem Umfang, was 8 Jahren entspricht. Mehr gibt es wirklich nur noch auf einem Stein für das Geld. Daher ist das Argument totaler Quark.

Der Spam kommt auch nicht durch fehlende Sicherheitspatche, sondern durch mangelde Bereitschaft diese einzuspielen. Das ist aber unabhängig vom gebotenen Support.

Newbie314
31.01.12, 22:16
XP ist wohl Rekordhalter im Support, das dürfte aber daran liegen dass MS zu der Zeit als Netbooks "in" waren außer XP kein Betriebssytem für diese Rechnerklasse hatte. Wenn sie den Support für XP nicht verlängert hätten hätten viele Netbook Hersteller auf ein anderes Betriebssytem wechseln müssen.

In meinem Umfeld halten Rechner typischerweise ca. 10 Jahre. Daher ist der Support für Windows Home (ab Vista) mit 5 Jahren für die Zwecke der Leute in meinem Umfeld etwas knapp. Ein Upgrade auf das aktuelle Windows lohnt allein schon wegen des Preises nicht- selbst wenn es auf der alten HW noch laufen würde.

(Bei mir persönlich geht das: per Dual Boot kommt nach Ablauf des Supports eben nur noch die Linux Seite des PCs ins Internet.. für einen reinen Windows Benutzer wird es dann kompliziert.. habe das Thema ab April mit meiner Freundin die ihren Laptop behalten will (kein Wunder, ist ein schönes Gerät und einwandfrei in Ordnung), nach meiner Ansicht aber nicht mehr mit ihrem Vista Home ins Internet gehen sollte.. da diskutieren wir noch... )

Angesichts von Energieverschwendung und der Tatsache dass PCs Sondermüll sind wäre es unter Umweltgesichtspunkten sinnvoll einen PC so lange zu nutzen wie er funktioniert und die Anforderungen erfüllt.

Für den TE mal die Verkaufs / Lifecycle Infos: http://windows.microsoft.com/de-DE/windows/products/lifecycle

Die Preise die für eine nicht OEM Version verlangt werden sind einfach nur frech: http://emea.microsoftstore.com/DE/de-DE/Microsoft/Windows-7-Professional-Upgrade?WT.mc_id=AustriaMSCOM_proUP .. bei OEM Versionen oder wenn man von Home auf Professional wechseln will muss man evtl. tricksen: http://www.heise.de/ct/artikel/Der-Upgrade-Trick-849648.html

Bei Linux muss ich zwar alle 2 oder 4 (Ubuntu LTS) Jahre aktualisieren, dafür kostet das aber kein Geld. Und keinen Nerv mit Lizenzen / Keys / Freischaltung von Komponenten .. außerdem passiert es selten dass Treiber für ältere Komponenten in neuen Versionen gar nicht mehr verfügbar sind.

Aber jetzt höre ich auf mit dem [OT] ...

ThorstenHirsch
31.01.12, 22:54
Hallo check5,

du bist ja nicht der erste, der ein sicheres OS will. Darüber machen sich sehr viele Leute Gedanken. Und wenige bis gar keine davon empfehlen Puppy zu nutzen - und ob es besonders sicher ist, weil es im RAM läuft, halte ich für eine gewagte Theorie. Ebenso ist auf der Website von Puppy keine Werbung, dass Puppy besonderen Wert auf Sicherheit legt. Also kurz: ich glaube, das ist keine so tolle Idee.

Nimm erst mal ein "normales" Linux, also openSuse oder Ubuntu. Die haben eine Ideal-Standardkonfiguration out-of-the-box für den durchschnittlichen User und bringen schnell Patches für Sicherheitslücken raus.

Das sollte deine Basis sein. Dann liest du dich in die Doku ein und schaust, wie du openSuse/Ubuntu weiter absichern kannst (z.B. mit dem bereits erwähnten SELinux).

Newbie314
31.01.12, 23:04
@TE: Die letzte Veröffentlichung auf der SliTaz Seite stammt von 2009. Wenn da wirklich noch Firefox 3.0.irgendwas drauf ist kannst du das in Bezug auf Sicherheit vergessen....

Da ist dein aktuelles Ubuntu erheblich sicherer.. dann noch NoScript drauf und Adblock Plus, dann wird dein Rechner schon mal mit wenig Aufwand ziemlich sicher im Netz unterwegs sein.

check5
02.02.12, 21:25
Nochmals Vielen Dank für die ganzen Antworten.

@Newbie314: Naja es stimmt schon dass das letzte News-Update von 2009 war, aber das
letzte Distro-Up war irgendwann von Mitte 2011. Da ist auch nicht Firefox drauf sondern
Midori. Allerdings hab ich es momentan eh erst mal wieder aufgegeben da meine
Hardware extrem schlecht unterstützt wird.

@ThorstenHirsch: Dass hab ich mir schon gedacht dass ich da nicht der erste bin, allerdings
hab ich schon recht genaue Vorstellungen wie es aussehen sollte und zwar:
1: Es sollte im RAM laufen dass nichts abgespeichert wird (z.B nach dem surfen)
2: Es sollte am besten durch zwei oder drei Firewalls vor Direktzugriff geschützt sein
( idealerweise 256bit )
3: Es sollte zwei Benutzerkonten haben. Root und User (allerdings nur mit Ausführrechten)
4: Es sollte so "klein wie möglich" sein.

Leider hab ich noch keine Distro in dieser Art gefunden.
SliTaz wäre schön klein und hätte nur das nötigste an Board, läuft allerdings nicht im RAM und hat wie oben erwähnt leider schlechte Hardware-Unterstützung (bei mir GraKa , Soundkarte, Monitor)
Lucid-Puppy hat gute Hardware-Unterstützung, wäre noch passabel klein und läuft im RAM,
wird allerdings nur mit Root-Rechten ausgeführt.
Wary-Puppy hätte eine "experimentelle" Benutzerkonten-Steuerung funktioniert allerdings nicht richtig.
Alle anderen Distro's sind leider viel zu groß oder habe ich eine übersehen?
Wie gesagt: Ich benutze nun zwar Ubuntu 11.04 und bin auch recht zufrieden damit, allerdings ist es ( für mich ) auf Dauer nichts...Dass heißt ich werde wohl nicht
"drumherumkommen" irgendwann ein eigenes Linux zu erstellen...

Welcher Browser ist denn relativ sicher (Firefox, Chrome, Midori,...) ?

Ist so ein Baukasten-Prinzip wie unter Arch-Linux sinnvoll, oder sollte ich es
(natürlich erst später) lieber gleich komplett aus dem Kernel erstellen?

Newbie314
02.02.12, 22:18
So lange du nicht definierst gegen wen oder was du dich eigentlich absichern kannst kann dir kein Mensch sagen ob das was du vorhast Sinn macht, dich überhaupt absichert oder evtl. auch einfacher geht.

Dass eine Distri nur im Ram läuft heißt lediglich dass Cookies und Flash Cookies nicht bleiben. Dafür dürfte es dann wieder schwieriger sein so etwas immer aktuell zu halten, und da dürfte das Hauptrisiko für "normale" Angriffe aus dem Web sein.

Was bitte sollen mehrere Firewalls hintereinander ?

Wenn deine Ram Distri geknackt wird hindert nichts den Knacker daran auch Schreibzugriffe auf deine Festplatte durchzuführen -außer du hast gar keine drin / hast sie nicht eingesteckt....

Für "normale" Szenarien sind die üblichen Distributionen von Haus aus sicher genug.

Unter "normal" verstehe ich : PC oder Laptop zuhause, kein Unbefugter hat längere Zeit physikalischen Zugriff auf den Rechner, Einwahl ins Internet per Modem oder DSL Router oder über einen Mobilfunkanbieter.

Angriffe durch Script Kiddies oder Schadsoftware über das Internet. Um das abzuwehren brauchst du nichts weiter zu tun als nur Software aus vertrauenswürdigen Quellen zu installieren, Javascript / Flash nur auf zuverlässigen Seiten zu aktivieren und Sicherheitsupdates zeitnah einzuspielen.


Wenn du aber ein "stärkeres" Bedrohungsszenario abwehren willst musst du dir darüber klar sein dass jede Sicherheitsmaßnahme einen Verlust an Bedienkomfort bedeutet. Ein "ganz sicherer" Rechner ist praktisch nicht mehr benutzbar.

check5
03.02.12, 06:00
Naja dass kann ich ja leider auch nicht genau definieren da ich selbst nicht weiß
was mich unter Linux im Netz erwarten kann.
Aber im groben hätte ich gerne während der täglichen Arbeit im Netz Sicherheit, sprich
Onlinebanking, surfen auf nicht ganz so sicheren Seiten (da es ja heute genug davon gibt), usw...
Während meiner täglichen Arbeit auf dem Desktop hab ich, denke ich mal genug Sicherheit,
da ich mir schon längst ein Script geschrieben habe, dass mein PC nur online ist wenn ich den Browser starte.
Ausserdem wird mir jeder Ordner, jedes Script und jede Datei in der zuletzt etwas geändert wurde in Fettschrift markiert. Dass ist eigentlich auch der Grund warum ich die Distro möglichst klein haben will, dass man auch wirklich weiß was draufgehört und was nicht...Naja und bei
Windows 7 wird dass z.B schwierig bei 18GB Installation und 1,2 GB RAM im
Normalbetrieb... :D
Es ist mir zwar klar dass wenn die Distro geknackt werden würde mir dass auch nicht mehr weiterhilft aber mal ganz ehrlich: Wie groß ist diese Chance in diesen 5 Min die ich zwischendurch online bin wenn es keiner auf mich abgesehen hat ?
Naja und es muss ja auch nicht unbedingt auf eine HDD installiert werden.
Geht ja auch wunderbar mit USB-Sticks...

Newbie314
03.02.12, 08:25
Doppelpost.

Newbie314
03.02.12, 08:29
Ich glaube du übertreibst da....

Ich hatte in den 10 Jahren in denen ich Linux nutze (zumindest soweit ich weiß) nie Probleme.

Du kannst einen Skriptblocker in den Browser einbauen so dass Skripte nur auf von dir freigeschalteten vertrauenswürdigen Seiten funktionieren. Dann das Betriebssystem und den Browser aktuell halten und du bist schon sehr sicher.

(Das ist das was ich mittlerweile tue.. von AppArmor und Snort sowie Tripwire - ähnlichen Dingen bin ich aufgrund des Aufwandes abgekommen)

Da nur ca. 1 % der Desktops unter Linux laufen lohnt sich ein Angriff auf Linuxgeräte für die kommerziellen Internetkriminellen nicht.. es sind so viele schlecht abgesicherten Windows Kisten unterwegs ....

Das reicht für die üblichen Angriffe durch Skripte und Würmer, sowie gegen die üblichen Schadprogramme dicke aus.

Du kannst evtl. eine normale Installation noch mit SELinux Methoden absichern (AppArmor scheint aus der Mode zu kommen) indem du Programme die gerne für Angriffe verwendet werden (Browser, Mailclient, PDF reader, Filmabspielsoftware, Bildbetrachter) direkt "einsperrst"... mir ist mittlerweile bereits das zu viel Aufwand, ich halte meine Kiste nur noch aktuell und verwende "brain.exe" bei meinen Aktivitäten.


Solltest du allerdings Angst vor dem "Bundestrojaner" haben: gegen den nützt das alles nichts, da hilft nur der Wahlzettel.... indem man Parteien wählt die das Grundgesetz ernst nehmen.

Iluminat23
05.02.12, 00:35
an den TE,

glaube nicht, dass du mit deinen ideen den rechner abzusichern mehr erfolg haben könntest als die gängigen sicherheitslösungen. Schau dir SElinux an, damit kannst du deinen rechner so konfigurieren, dass nicht mal mehr root was auf die platte schreiben kann.

Deine distri müsste jua nciht nur im RAM laufen, es dürfte auch __KEIN__ einziges meduim mehr im rechner sein auf der sich malware verewigen kann. Du müsstest als alle festplatten rausschmeißen, keine USB-sticks oder sd-karten, und du müstest das BISO rom entfernen oder vor jedem neustart löschen.

Gruß
iluminat23

check5
05.02.12, 15:24
Naja gut dann werde ich mich mal umschauen ob es auch einfachere Methoden gibt.
Hab dadurch wieder einiges dazugelernt und werde mich dann mal mit diesem SELinux befassen.

Dann schließe ich hier mal den Thread "offiziell" ab... :D

Falls noch Fragen auftauchen sollten, melde ich mich wieder.

Vielen Dank an alle für die Hilfe.

roadracer
05.02.12, 17:36
[...]indem man Parteien wählt die das Grundgesetz ernst nehmen.
Boa, was für steifärschige Looser sind das denn?

stefan.becker
05.02.12, 17:48
Solltest du allerdings Angst vor dem "Bundestrojaner" haben: gegen den nützt das alles nichts, da hilft nur der Wahlzettel.... indem man Parteien wählt die das Grundgesetz ernst nehmen.

Da fehlt der Nachsatz "solange sie nicht an der Macht sind" :)

kreol
05.02.12, 17:57
@ roadracer + stefan.becker: Könnt ihr das bitte in einem eigenen Thread in MuM weiter diskutieren? :mad:

Kreol