[blue32]

Hi zusammen,

mich interessiert (auch im Hinblick auf gewisse Leute in unserem Innenministerium) wie ich mein Linux System möglichst effektiv und mit wenig Nebeneffekten/Einschränkungen vor allgemeinen Angriffen von außen schützen kann.

Mir ist klar, dass der beste Schutz ist, das Kabel aus der Kiste zu ziehen oder 'ifconfig eth0 down' . . . Weiterhin ist mir auch klar, dass wenn ein Angriff, hinter dem fähige Leute stehen, auf einen bestimmten Rechner gezielt stattfindet, dieser kaum abzuwehren ist, außer mit den vorher genannten Methoden.

Es geht mir um eure Meinung zu Sicherheitskonzepten und was sie privat leisten und evtl. auch nicht leisten. Ich würde dabei von einem 'normalen' GNU Linux System mit relativ aktuellem Kernel (2.6.xx), X-Server und beliebiger DE ausgehen. Das System wird regelmäßig mit den verfügbaren Updates gefüttert und ist hinter einem Router mit dem ISP verbunden.

Gibt es vielleicht Software/Einstellungen, die man besser nicht laufen haben sollte (SSH Server, CUPS?) oder die man besser aktiviert hat (SELinux?).

Vielen Dank schonmal und dann
Vorhang auf,
blue32

[Gitarremann]

Ich hab Suse 10.2 laufen mit Standartkonfiguration und ansonsten veranstalte ich mit meinem Rechner keine Sachen die mich ins Schwitzen brächten, wenn sich mal ein "Kontrolleur" zu mir verirrte. Wenn der Herr Schäuble sich zum Beispiel die Videos angucken will, die auf meiner Festplatte liegen, dann kann der die bei Youtube oder myvideo viel einfacher haben, als sich die von meinem Rechner zusammenzustottern, der nur per ISDN am Netz hängt.

[ShadowHunter]

Schau dir mal die Hardened Gentoo oder SELinux Sachen an.
Ansonsten OpenBSD

[blue32]

Gitarremann sagte:

. . .und ansonsten veranstalte ich mit meinem Rechner keine Sachen die mich ins Schwitzen brächten, wenn sich mal ein "Kontrolleur" zu mir verirrte. Wenn der Herr Schäuble sich zum Beispiel die Videos angucken will. . .

Hmm, dieses "Ich hab nichts zu verbergen" läuft bei mir als Totschlagargument. Habe letztens wo gelesen (Quelle weiß ich nicht mehr, da ich recht viel lese), dass ein Grund für Onlinedurchsuchung schon das Nutzen von starker Verschlüsselung sein soll. Ich habe Verschlüsselung bei mir eingerichtet, da man ja ICQ (und Mail?) nicht ohne nutzen kann.

[ph030]

Hehe, vor zwei Tagen hab ich noch mit Witi diskutiert, ob wohl Bedarf besteht, dass ich bezüglich Sec auch noch ein "kleines" Tut schreibe...kann noch ein paar Tage dauern, sollte aber kommen...

[shiversc]

Man will ja auf eine Echtzeitinjektion setzen und somit den Code auf den PC bringen, d.h, dass man noch mehr wie sonst die Checksumen prüfen sollte. Eine Hardwarefirewall in vernünfitiger Konfig kann sicher auch nciht schaden.

Aber eigentlich sind wir nciht die Hauptzielgruppe der Ermittler. Das sind eher Terrorverdächtige und Kapitalverbrecher.

[ph030]

Zitat

Aber eigentlich sind wir nciht die Hauptzielgruppe der Ermittler. Das sind eher Terrorverdächtige und Kapitalverbrecher.

Zumindest nach aussen hin, wird das (noch) behauptet, aber sobald die Infrastruktur mal steht (wenn das nicht schon längst passiert ist), weckt das bekanntlich Begehrlichkeiten ala "Die Mautüberwachung wird nie für die Strafverfolgung genutzt werden..."

EDIT:
Ansonsten wäre Injection der einzig "sinnvolle" Weg, neben SE natürlich, doch selbst das greift nicht, wenn ein Netzrechner lediglich zum Versenden bereits auf netzloser Hardware verschlüsselter Daten dient. Es ist ja nicht so, dass die "Bösen" keine Spezialisten und Tageszeitungsleser haben, im Gegenteil, auf dieser Seite dürften sich weit mehr Spezialisten rumtreiben, ist da doch wesentlich mehr Geld zu machen.

Dieser Beitrag wurde von ph030 bearbeitet: 24. Juni 2007 - 08:32

[blue32]

@ph030:

Hmm, ein Tut in der Art wie 'Einstieg in die Shell' klingt gut. Allerdings könnten wir im Anschluss eine Diskussion starten, da es mir auf mehere Meinungen ankommt. Es muss auch nicht alles bis ins letzte Detail beschrieben sein, sondern mir persönlich reichen Stichpunkte mit Begründung, warum eine spezielle Methode angewendet wird oder warum man sie vermeiden sollte.

In der Zwischenzeit werde ich mich hier herumtreiben. Mal schauen, wie weit mich das bringt.

OT:
ph, Glückwunsch auch von mir noch. Ich bin dann nächstes Jahr an der Reihe

[ph030]

Zitat

Allerdings könnten wir im Anschluss eine Diskussion starten, da es mir auf mehere Meinungen ankommt

Das klingt ja so, als ob zu dem anderen Tut keine Diskussion erlaubt gewesen wäre? Dabei gibt's dafür doch nen eigenen Thread...

Zitat

Es muss auch nicht alles bis ins letzte Detail beschrieben sein,[...]

Hab ich auch nicht vor, das wäre viel zu viel und abgesehen davon, ich weis ja auch nicht alles bis ins letzte Detail.
Geplant ist: 1. Wieso, weshalb, warum. 2. mögliche Angriffsszenarien. 3. Umsetzung (sinnvoller) Optionen. [4. Pen-Testing] 5. Diskussion, wobei 1,2+5 recht ausführlich werden können und 3[+4] exemplarisch angesprochen und mit weiterführenden Links gehandhabt werden sollen.

Zitat

OT:
ph, Glückwunsch auch von mir noch. Ich bin dann nächstes Jahr an der Reihe

Thx. Dann wünsch ich viel Spaß beim Sparen, obwohl wir "nur" ~35 Leute haben werden(Fr. war erstmal nur SA), sind die 5k schon lang überschritten :/

[Mr_Maniac]

Das beste wird wohl sowieso sein, wenn man wachsam ist/bleibt.
Nicht erwartete Festplatten-Zugriffe, ungewöhnlicher Netzwerk-Traffic (Sofern man ein DSL-Modem/Router hat, das auch blinkt, wenn Datentransfer stattfindet - oder an einem Switch hängt), komische CPU-Auslastung etc... Eben etwas ungewöhnliches Verhalten des Rechners...

Ansonsten das übliche: Vorsichtig sein, nur benötigte Dienste laufen lassen, eventuell den Paketfilter/die Firewall des Routers nutzen, SELinux oder ähnliche Sicherheitsmaßnahmen sollten auch nicht schaden (nutze sowas aber - ehrlich gesagt - selber nicht) und Verschlüsselung kann auch helfen. Je nach dem, was man wie verschlüsselt, sollte es selbst mit Vollzugriff schwierig sein, die Daten zu entschlüsseln. Bei PGP braucht man ja z.B. bekanntlich Private-Key+Passwort. Wenn jetzt natürlich der Private-Key auf der Platte liegt und der Trojaner das Passwort mitloggt, hat man schlechte Karten (wie sieht das eigentlich bei SmartCards aus?).

[Q-Fireball]

Obwohl ich mich damit unter Gentoo auch schon beschäftigt habe wäre ich an so einem Tut auch interessiert Und mir gefällt dein neues Avatar-Bild ph030...

[greller]

ich wäre auch dafür.
über das thema sicherheit kann man eigentlich net genug lesen...
is ja schliesslich niemand allwissend ;-)

[Gitarremann]

Zitat (blue32: 24.06.2007, 00:36)

Hmm, dieses "Ich hab nichts zu verbergen" läuft bei mir als Totschlagargument. Habe letztens wo gelesen (Quelle weiß ich nicht mehr, da ich recht viel lese), dass ein Grund für Onlinedurchsuchung schon das Nutzen von starker Verschlüsselung sein soll. Ich habe Verschlüsselung bei mir eingerichtet, da man ja ICQ (und Mail?) nicht ohne nutzen kann.

Da verwechselst du aber etwas. "Ich habe nichts zu verbergen" heißt doch nicht "Prima, kommt ruhig alle und durchsucht meine Festplatte" sondern "Mist, aber kann man nicht ändern, lasst uns das Beste draus machen."
Vor allem find ich das immer albern, wenn schon über Details diskutiert wird, die noch gar nicht klar sind.

Dieser Beitrag wurde von Gitarremann bearbeitet: 25. Juni 2007 - 15:40

[blue32]

Gitarremann sagte:

Da verwechselst du aber etwas. "Ich habe nichts zu verbergen" heißt doch nicht "Prima, kommt ruhig alle und durchsucht meine Festplatte" sondern "Mist, aber kann man nicht ändern, lasst uns das Beste draus machen."
Vor allem find ich das immer albern, wenn schon über Details diskutiert wird, die noch gar nicht klar sind.

Ich bin nicht paranoid, noch will ich Panikmache betreiben. Es geht mir einfach darum, mein System so zu konfigurieren um ein gewisses Grundniveau an Sicherheit zu erhalten. Schließlich hat man das unter Windows auch getan (Dienste abgeschaltet, Virenscanner, Alt. Browser, . . .) Man muss mit seinem Rechner ja nicht unbedingt mehr Angriffsfläche bieten, als notwendig.

[blob]

Ich selbst kümmere mich fast überhaupt nicht um Sicherheit meines Rechners. Fast jede Woche 'installiere' ich für jemanden Linux, und kopiere dazu stets einfach mein gesamtes System auf eine andere HD die ich dann dorthin mitnehme, schlimmstenfalls kopiere ich diese in meinen Rechner zurück. Lange hatte ich nicht einmal ein root-password, incl. war mein webmin weltweit frei zugänglich (bis mir mal ein Teilnehmer eines anderen Forums gutgemeintermaßen einen Streich spielte, damit ich endlich ein password benutze).

Andererseits aber spreche ich anderen, einschließlich verschiedenen Gruppen die Staat spielen, ganz grundsätzlich jedwede Rechtfertigung für alles ab, egal ob gegenüber Bürgern die sie 'Terroristen' bezeichnen oder gegenüber anderen Bürgern - nachdem ich viel in der Welt herumgekommen bin, aber zZt wieder in der Europäischen Union lebe und erneut sehe, daß hier alles K**** und schlechtgläubig ist, einschließlich europäischen Regierungen; jede Gangsterbande realisiert bestimmte Grundrechte und Ordnung besser als diese (zBsp erhalten in Frz-Guyana über 30% der Bevölkerung nach ethnischen Kriterien und um ihnen das Leben so schwer wie möglich zu machen, damit sie weggehen, kein Trinkwasser; so etwas habe ich in Brasilien nicht einmal in den von bestimmten Gruppen kontrollierten Slams gesehen).
Gerade proportional zur fehlenden Rechtfertigung oder Feindschaft zur Bevölkerung stellt jede Regierung Gesetze aller Art zur Überwachung usw. auf. 'Plausible Gründe' findet man für alles, einschließlich für Völkermord. Dies geschieht in den verschiedenen Staaten zwar mehr oder weniger langsam oder intensiv, oder von unterschiedlich erscheinenden Interessengruppen (Staat, Industrie), ist aber ein grundsätzliches und daher auch in jedem Fall legitimes und diskusionswürdiges technisches Problem.
Ferner erhebt sich noch die Frage, ob Terrorismus mein oder denen ihr Problem ist. Bezüglich meinen Problemen kann ich nur sagen, daß ich viele andere Wichtigere habe, um deren Lösung sich der Staat nicht im Geringsten kümmert oder sie sogar hervorruft. Soweit denen ihr Problem, selbst einmal angenommen daß es nicht deren eigene Schuld ist, habe ich damit nichts zu tun und kann mir ohne einer angemessenen Entschädigung dafür keine Beschränkung auferlegt werden. Für mich selbst kann ich halt nur sagen, daß ich weder vom Terrorismus betroffen bin, noch für die Ursachen wie Einwandern in Irak oder Afghanistan gestimmt habe, und daß mir gegenüber der deutsche Staat keinerlei Pflichten erfüllt, sodaß ich auch mit denen ihren Problemen nichts zu tun habe. Und dagegen bin, daß sie wegen ihren eigenen Problemen meinen Rechner ausspionieren, die Lampe von meinem Modem abnutzen, usw Gerade an diesen Beispielen sieht man wieder, das Staaten, wegen Interessen und Nutzen weniger Privater, fast so wie Banden, Unternehmen starten, und dafür (Militär incl. zwangsweiser Wehrdienst) einschließlich wenns schiefgeht (Angst vor 'Terrorismus'), die Folgen einfach auf die Gemeinschaft und auf Andere abwälzen, die weder was damit zu tun haben, noch teilweise nicht einmal an Staat und Gesellschaft teilnehmen oder Rechte haben (Ausspionieren von Computern von Menschen die nicht einmal Fürsorge erhalten), also mit Alldem nichts zu tun haben. Die Ausspioniererei kann im Prinzip stns jedwedem 'auslänsischem' Staat/Regierung erfolgen

Ich halte es daher grundsätzlich für legitim, seinen Rechner abzusichern wer das will, völlig egal was man da speichert und ob es gegen den Staat ist oder nicht, was aus diesen und anderen Gründen als eine rein technische/faktische Frage betrachtet werden sollte, die rein willkürliche Rechts- und Interessenlage die irgendwelche Leute vorgeben ganz außer Acht gelassen. Etwas auf seinem Rechner abzuspeichern, oder zBsp in seinem Haus abzulegen, ist ohnehin faktisch und rechtlich völlig unter der eigenen Disposition; man kann es daher tun oder sein lassen, oder so tun daß es andere nicht sehen; es gibt keine Pflicht, alles offen hinzulegen oder zu sagen so daß der Staat mitsehen oder mithören kann; dies ist schon Teil des Grundrechtes, daß niemand gegen sich selbst aussagen oder Beweise erbringen muß.

Insgesamt ist meine Haltung also ungefähr so, daß ich meine Haustür zwar grundsätzlich offen lasse, da mich die Nachbarn usw. respektieren, aber trotzdem mir vorbehalte und praktiziere, Leute die ich nicht leiden kann oder wenn ich will, unabhängig von deren vermeintlichen Rechtfertigung, draußen zu halten.



Erstaunlich viele Programme teilen an obskure Internet-Adressen Details über deinen Computer mit. Für M$-Programme ist das notorisch, diese Organisation ist mE von vornherein ausgelegt, die Welt einschließlich Regierungen zu kontrollieren; für Google-Desktop zu erwarten; bei Opera passiert dies (u.a. nach jedem Aufruf) eher unerwartet. Mithin wird das schon durch bekannte, vermeintlich harmlose Programme möglich sein, und deine Aufmerksamkeit wird nur nutzlos abgelenkt wenn du das ignorierst und dich auf die Suche evtl. geheim ablaufender Programme konzentrierst.

M.E. nichts Relevantes in Rechnern abspeichern, die mit Internet verbunden sind. Denn aus vorgegebenem Grund könnte man die sonst nicht brauchbar benutzen, weil heutzutage fast alle Programme spionieren.
Stattdessen, nach der honeypot-Methode, Unmengen von chiffrierten Fehlinformationen täglich generieren/abspeichern, die die illegalen Intrusen (egal ob von Staat oder Wirtschaft) nutzlos in einen unbewältigbaren Mehraufwandt an Arbeitskraft und Kosten verwickeln. Dafür den Zugang via ADSL oder Breitband möglichst erleichtern. Stell dir mal vor, jeder generiert täglich 1 Tetrabyte solcher Daten, durch die zufällige Generierung auch mit Stichworten wie Terrorismus, Flugzeugbombe, ben Laden ... [dieses Post wird nun bestimmt auch 'abgehört'], was das den Staat kostet, das alles abzuspeichern, zu analysieren ...

Dieser Beitrag wurde von blob bearbeitet: 28. Juni 2007 - 22:33