Hi! :)

Ich habe nun schon einiges über Jails, Kernelpatches, Openwall usw. gelesen die die Sicherheit eines Linuxsystems erhöhen sollen.

Nun kann man schon bei den vielen Linux-Distros die es heutzutage gibt etwas den Überblick verlieren.

Jede Distro hat ja eine bestimmte Philosophie die verfolgt wird.
Gibt es denn nicht schon eine Linux-Distro die besonders viel Wert auf die Sicherheit legt?

Wie sind denn Eure Erfahrungen?

Gruß,
Paddy.

Wenn du _denen_ traust
http://www.nsa.gov/selinux/index.html

Hmmm...

kennst Du Alternativen? ;)

http://www.adamantix.org/de

Mir fällt da nur spontan OpenBSD ein.

AD!

Moin,

ist OpenBSD nicht ziemlich sicher? Zumindestens wird's dahingehend optimiert.

Ja, ja, dafür ist es kein Linux, sondern ein Unix... Aber bestimmt einen Blick wert...

MfG

OpenBSD ist auch kein Unix sondern ein BSD ;)

'cuda

OpenBSD ist mir schon ein Begriff.
Aber der Thread war auf eine LINUX-Distro bezogen.

Ich arbeite selber unter FreeBSD+Crux privat (siehe Signatur) und in der Fa. mit SuSE.

hallo!

ich verwende bei servern, die mit linux laufen sollen den grsec-patch.
da kann man schon einiges an sicherheit rausholen.

//richard

Das denke ich auch. :)

Ich habe zwar schon einiges darüber gelesen,
jedoch habe ich es noch nie tatsächlich ausprobiert.

Einige behaupten, das es ja_so_extrem Ihr System ausbremsen würde.
Stimmt das denn tatsächlich?
Wir ja haben ja heute Prozessoren >2Ghz.
Fällt das denn wirklich so extrem auf?
Wie sind Deine Erfahrungen mit grsec?

Original geschrieben von paddyhm
Das denke ich auch. :)

Ich habe zwar schon einiges darüber gelesen,
jedoch habe ich es noch nie tatsächlich ausprobiert.

Einige behaupten, das es ja_so_extrem Ihr System ausbremsen würde.
Stimmt das denn tatsächlich?
Wir ja haben ja heute Prozessoren >2Ghz.
Fällt das denn wirklich so extrem auf?
Wie sind Deine Erfahrungen mit grsec?
hallo!

ja, das mit dem abbremsen stimmt schon, das ist aber nur der fall, wenn man pax aktiviert. (der schutz gegen bufferüberläufe)
aber mir ist da noch nichts aufgefallen.
ich finde grsec super, aber bevor man es auf wichtigen servern installiert, sollte man es testen...

//richard

Bei SuSE8.x gibt es eine 'Hardening-Option', die wird aber
nur sehr erfahrenen Benutzern empfohlen, weil das Zurück-
drehen schwierig und aufwendig sein soll. Vermutlich besitzen
auch andere Linuxdistributionen eine solche Funktion.

Debian hat sowas IIRC auch. Zu SuSE-Zeiten hab ich
mal versucht, mit dieser Hardening-Funktion zu arbeiten.
Das Resultat war, dass danach fast gar nichts mehr lief :rolleyes:
Da ich auch keinen Bock hatte, eine Rekonfigurationsorgie zu
starten und das System frisch aufgesetzt war und man nicht
viel kaputt machen konnte, habe ichs halt nochmal neu installiert.

'cuda

Bei SuSE8.x gibt es eine 'Hardening-Option', die wird aber

Ich glaube die gibt es seit 8.0 nicht mehr.
Vielleicht auch etwas out-to-date:
http://www.suse.de/~marc/SuSE.html
Im "yast" habe ich "harden" in der Paketauswahl auch nicht gefunden.

Abgesehen davon halte ich SuSE für unbedingt für das Aufsetzen eines "sicheren" Systems.
SuSE ist keine schlechte Distro, hat aber vielleicht eine andere Zielgruppe.

Vielleicht liegt das auch daran, das es soeine "sichere" Distro nicht gibt,
weil viele sich den Kernel selberbacken und die Patches einspielen,
anstatt soetwas zu automatisieren.

natürlich funzt harden suse noch unter 8.x (nur eine kleine anpassung notwendig)
man sollte schon wissen, was man damit macht

greez

Original geschrieben von emba
natürlich funzt harden suse noch unter 8.x (nur eine kleine anpassung notwendig)
man sollte schon wissen, was man damit macht

greez
Es geht ja nun um die Frage, ob jemand eine sichere Linuxdistro kennt.

@paddy

und in dem thread ging es darum, ob HS noch unter 8.x funzt, was ich bestätigte

wo ist das prob?

greez

Es gibt soweit ich weiß eine Debian Abart die auf Sicherheit optimiert ist.
War es Trustix?

Ja da gibts irgendwas mit "TrustedDebian"...
Ein Linuxsystem sicher zu machen ist nicht so das Problem. Die "Sicherheitslücke" sitzt meist davor :)

Jep, gibt es, aber das heißt jetzt nicht mehr TrustedDebian, sondern adamantix und wurde oben schon erwähnt. Ich habs auf nem Testrechner laufen, das einzig unschöne was mir daran bisher aufgefallen ist: apt-get upgrade scheint n Macken zu haben. wenn es keine Pakete upzudaten gibt, zeigt er die Pakete an die zuletzt upgedated wurden und will die dann quasi nochmal installieren.
Also kein tragisches Problem :)

Gruß
mcg.linux

Original geschrieben von Thomas Engelke
Mir fällt da nur spontan OpenBSD ein.


+++

Was anderes das halbwegs vertrauenswürdig ist wüsste ich da auch nicht...

Ok...OpenBSD ist kein Linux mehr aber in Sicherheit ist es unübertroffen.

Wenn's aber trotzdem Linux sein sollte, dann schau mal hier: http://www.tecchannel.de/betriebssysteme/768/37.html

ich empfehle trustix, die haben von haus aus ne recht sichere konfiguration, obwohl ich mir nich sicher bin ob die so dinge wie stack-protection und pax drinne haben, aber von der konfiguration sind sie besser als adamantix. bei adamantix is zwar pax mit drinnen dafür is die konfiguration ziemlich lax (debian-standard). mit n bisserl aufwand kann man Linux von der kernel-seite ähnlich sicher einstellen wie OpenBSD (rsbac, SELinux, Openwall, LIDS, grsecurity, PaX), man hat dann zwar möglicherweise immernoch fehler im code jedoch können diese nicht mehr so leicht und mit so weitreichenden folgen ausgenutzt werden. für openbsd hingegen gibt es meines wissens (korrigiert mich wenn ich irre) jedoch keine solchen acl-basierten patches wie beispielsweise rsbac oder SELinux. is natürlich alles mit aufwand verbunden aber wenn man das große software-angebot von linux nutzen möchte und daher OpenBSD nicht einsetzen kann/will, da die benötigten Programme nicht vorhanden sind, so kann man mit diesen patches sein system auch auf einen vergleichbare sicherheitsstufe bringen (dazu gehört natürlich auch die entsprechende konfiguration der installierten programme).

aber wenn man das große software-angebot von linux nutzen möchte und daher OpenBSD nicht einsetzen kann/will, da die benötigten Programme nicht vorhanden sind, so kann man mit diesen patches sein system auch auf einen vergleichbare sicherheitsstufe bringen (dazu gehört natürlich auch die entsprechende konfiguration der installierten programme).
Ja, das ist alles richtig. :)

OpenBSD ist mir sehrwohl ein Begriff, da ich ja auch unter FreeBSD (siehe Signatur) arbeite.
Jedoch suche ich halt ein Linux.

zur Info:
Man kann die BSDs mit einer Linuxkompatibilität installieren.
Jedoch hört das natürlich irgendwann einmal auf.

So, ist der Hauptgedanke Linux zuverwenden hauptsächlich bei mir wegen den HW-Treibern.
Dennoch muß ich dazu sagen, das BSD für Server gut geeignet ist und das auch sehrviel Hardware in dem Bereich unterstützt wird.

-> Es wird von BSD zwar in meinem Laptop das interne Modem nicht unterstützt,
jedoch will ich auch keinen Server mit meinem Laptop aufbauen und schon garnicht mit einem int. 56k-Modem. ;)

Ich finde es schön, das man hier in gemütlicher Runde über ein "sicheres" Linux plaudern kann.

Z.Zt. nehme ich Crux und patche den Kernel mit grsec und Openwall und teste hier und da einwenig.
Vielleicht ist es für mich auch einfach besser hier einfach seinen eigenen Kernel ala LFS/Crux aufzubauen und den Kernel nach seinen vorlieben zupatchen.

Hat noch jemand weitere Vorschläge? :)

Original geschrieben von mrsuicide
Ok...OpenBSD ist kein Linux mehr aber in Sicherheit ist es unübertroffen.

Wenn's aber trotzdem Linux sein sollte, dann schau mal hier: http://www.tecchannel.de/betriebssysteme/768/37.html
Ich denke, ich werde die Version nicht testen.
Da ich diese ja nur 30Tage testen darf und einen Preis habe ich da noch nicht gesehen. :(
Vielleicht ist die Distro auch etwas zusehr auf kommerz ausgelegt.

-> Da installiere ich lieber meinen eigenen Kernel ;)

ich hab mir astaro security linux auch bereits einmal angeschaut und fand das konzept eigentlich ganz gut, auch wenn für ne firewall nach m.E. etwas zu viele daemons laufen, und sich so leichter sicherheitslöcher bei fehlerhafter konfiguration oder code-unsicherheiten einschleichen können. das web-administrationsinterface hingegen ist nach meiner meinung grosse klasse und lässt eine sehr gute konfiguration der kernfunktionen zu. ausserdem stehen umfangreiche reporting funktionen zur verfügung (via snmp). man kann eigentlich den grossteil der konfiguration über das web-interface vornehmen nur bei sehr speziellen konfigurations-einstellungen ist manuelles eingreifen nötig. dafür muss man sich jedoch leider erst mit der sehr eigenen strukturierung von asl vertraut machen, ausserdem werden viele config-files von den kontroll-daemons (superdaemon) überschrieben. aber wenn man es mal durchblickt hat bietet astaro meiner meinung nach gute sicherheit für einsteiger. als nachteile hab ich jedoch v.a. empfunden, dass der lkm-support vorhanden war und dass viele netzwerk-sicherheits-optionen im proc-interface per default deakitviert waren (lässt sich nur über manuelle eingriffe ändern). z.b. source routing, syn-cookies, .... aber für leute die sich nich allzu viel aufwand machen möchten, ist dass sicher ne gute möglichkeit (hab selber eine im internal-network am laufen). größere sicherheit bieten bestimmt ein noch weiter gehärtetes linux (obwohl astaro da bereits gute vorarbeit geleistet hat) oder OpenBSD. das is mein eindruck von der distro. wenn du es für ne firewall benutzen möchtest würd ichs einfach mal testen.

BTW: wie siehts eigentlich mit proxy-servern unter OpenBSD aus ?? gibts da squid, squidguard, socks, pop3vscan ?? und snmp beziehungsweise die darauf aufsetzenden web-auswertungstools ?? hab bislang OpenBSD noch nich getestet und wollte mich im vorab mal über die fähigkeiten informieren. bin bislang zwar mit gehärteten linuxen zufrieden, aber man muss schließlich immer seinen horizont erweitern um die beste lösung zu finden.

Nun ja, FreeBSD ist auch nicht 100%ig sicher, keine Distribution ist sicher, ob nun Linux oder BSD.

In der aktuellen Hakin9 wird z.B. beschrieben, wie man Trojaner in die Kernelmodule von FreeBSD einschleust...
http://www.hakin9.org/de/index.php
Interessanter Artikel....

Original geschrieben von DarkSorcerer
Nun ja, FreeBSD ist auch nicht 100%ig sicher, keine Distribution ist sicher, ob nun Linux oder BSD.
Das ist richtig.
Die eine mehr, die andere weniger.


In der aktuellen Hakin9 wird z.B. beschrieben, wie man Trojaner in die Kernelmodule von FreeBSD einschleust...
http://www.hakin9.org/de/index.php
Interessanter Artikel....
Nunja, wenn ich Rechte auf einem System besitze um Kernelmodule in den Kernel zuladen, sollte das Nachladen eines Kernelmoduls sicherlich das kleinste Problemchen sein.
Aber wer brauch dazu dann noch wirklich eine Anleitung? ;)

[QUOTE]wie siehts eigentlich mit proxy-servern unter OpenBSD aus ?? gibts da squid, squidguard, socks, pop3vscan ?? und snmp beziehungsweise die darauf aufsetzenden web-auswertungstools ?? hab bislang OpenBSD noch nich getestet und wollte mich im vorab mal über die fähigkeiten informieren.[QUOTE]

Das würde mich auch interessieren...
Da ich grade dabei bin mein Home-Netzwerk neu zu planen wäre ein BSD als Firewall/Router interessant, da weniger ferige Exploits, DoS-Tools usw. existieren und ein Scriptkiddie zu 99,9 % no chace hat...

Gibt es eine Page in der die Gemeinsamkeiten bzw. Unterschiede zwischen den einzelnen BSds aufgezeigt werden - ich habe mich noch nicht mit BSD befasst...

mfg
cane

Original geschrieben von cane
[B][QUOTE]wie siehts eigentlich mit proxy-servern unter OpenBSD aus ?? gibts da squid, squidguard, socks, pop3vscan ??

Guckst Du hier:
http://www.openbsd.org/cgi-bin/cvsweb/ports/



und snmp beziehungsweise die darauf aufsetzenden web-auswertungstools ?? hab bislang OpenBSD noch nich getestet und wollte mich im vorab mal über die fähigkeiten informieren.
=>Das Handbuch zu FreeBSD ist sehr hilfreich!!! unbedingt lesen!!!:
http://www.de.freebsd.org/de/
Ports sind auch ne Tolle Sache!!!:
http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/ports-using.html

Empfehlung: http://bsdforen.de Hilft oft gerne weiter.
http://openbsd.org (klar)
Die BSDs kann man mit einer guten Linuxunterstützung installieren.
BSD ist dann fast wie Linux.
Aber eben bitte auch nur fast.
Ich nutze selber FreeBSD (siehe Signatur), bei Fragen kann ich Dir gerne helfen,
aber bitte lese vorher bitte die DOCS.



Das würde mich auch interessieren...
Da ich grade dabei bin mein Home-Netzwerk neu zu planen wäre ein BSD als Firewall/Router interessant, da weniger ferige Exploits, DoS-Tools usw. existieren und ein Scriptkiddie zu 99,9 % no chace hat...

Jo, aber immer daran denken, das oft das Exploit VOR dem Computer sitzt. ;)
Und das wenn OpenSSH oder Apache mit einem Exploit läuft, alle Systeme betroffen sind.
Okay, der Apache läuft standardmäßig bei OpenBSD glaube ich im CHROOT, aber dennoch....



Gibt es eine Page in der die Gemeinsamkeiten bzw. Unterschiede zwischen den einzelnen BSds aufgezeigt werden - ich habe mich noch nicht mit BSD befasst...

Kurz und knapp:
FreeBSD: Normales BSD unterstützt fast alles und rennt auf i386 Plattformen
NetBSD: Läuft auf über 40 Architekturen, wie z.B. alte ATARIs usw.
OpenBSD: Sicherheit pur und entwckelt oft innovative Sicherheitstechniken.