# Allgemeine Fragen zur Sicherheit in Gentoo

## xtrace

Hallo,

ich würde gerne mein Gentoo weiter absichern.

Bisher nutze ich clamav als Virenscanner. Eine Firewall habe ich bisher keine.

Daher meine Fragen:

-> welcher Virenscanner ist zu empfehlen?

-> welche Firewall ist empfehlenswert und einfach zu konfigurieren? Gibt es evtl. ein iptables Frontend?

-> wie kann ich das System für den Desktop Einsatz weiter absichern (besonders vor dem unbefugten Zugriff aus dem Internet)? 

-> GLSA-Checks mache ich regelmäßig, meine Festplatten sind verschlüsselt.

-> rkhunter lasse ich regelmäßig über mein System laufen.

-> Backups werden regelmäßig per cronjob erstellt.

-> IM ist verschlüsselt

-> Mails sind verschlüsselt

-> das System ist größtenteils durch USE Flags eingegrenzt. Funktionen die ich nicht benötige, habe ich per USE Flag deaktiviert

Ich bedanke mich.

cu,

xtrace

----------

## Jean-Paul

 *xtrace wrote:*   

> 
> 
> -> GLSA-Checks mache ich regelmäßig, meine Festplatten sind verschlüsselt.
> 
> -> rkhunter lasse ich regelmäßig über mein System laufen.
> ...

  Dann tust du schon viel. Zu glauben eine Software könne vor igendetwas schützen, ist oft fatal.

Die Firewall sollte ein Sicherheitskonzept sein und auf keinen Fall eine Software die auf deinem PC liegt.

Der Scanner erkennt das "Virus", wenn es schon auf dem Rechner ist - also zu spät. Das Problem ist oft auch nicht das Virus ansich, sondern das was nachinstalliert wird. Viele Viren geben sich, nachdem sie die eigentliche Schadsoftware nachinstalliert haben, gerne zu erkennen und lassen sich von einem Virenscanner entfernen.

Die "Sicherheit" in der sich der User dann wiegt ist mehr als trügerisch.

Mein Rat: halte dein System auf dem neuesten Stand und klicke nicht auf alles was dir unter die Maus kommt. Das, zusammen mit deinen oben beschriebenen Maßnahmen, sollte unter Linux ausreichend sein.

Und ganz sicher bist du nie.

----------

## boospy

Leute, also wirklich, wir reden hier doch nicht von Windows. Virenscanner unter Linux ist Sinnlos, ausser man betreibt z.B. nen Mailserver und scannt damit nach Windowsviren, denn genau das tut das Programm. Rkhunter... nun gut wenn das was findest kannst den ganzen Systeminhalt wegwerfen, denn da hat die Systemkontrolle schon wer anders. IPtables auf dem lokalen PC, nun gut wer's möchte... hie wäre eine saubere Hardwarefirewall (z.B. Fortigate 60D) sehr zu empfehlen. Da kannste dann auch alles sehr einfach und ohne Aufwand filtern. Aber generell ist die Firewall nur ein Paketfilter. Also nach dem Motto wenn kein Programm mit nem offenen Port läuft, muss auch nix geschützt werden. Als Frontend gibt es da Firestarter.  Das andere wären dann die netten Sicherheitslücken in Bash oder Openssl, davon ist man ja wohl nie gefeit, und wenn du nicht wirklich ein wichtiges Angriffsziel bist, musst du dir nicht so große Sorgen machen. 

Wie Jean-Paul schon richtig sagt: System sauber halten. Java und Flash vom System verbannen, und die Welt ist heil. 

lg

boospy

----------

## kernelOfTruth

firestarter ist leider nicht mehr im offizielle Portage-Baum enthalten,

in dem Sinne ist ufw & ufw-frontends zu empfehlen

----------

## Schattenschlag

Naja soweit ich das mit bekommen habe war das mit der Bash (shellshock) eher ein Fehler von div. Admins die falsch das System Konfiguriert haben damit es zu diesen Hacks gekommen ist, was nicht heißt das es da nicht einen Fehler im Programm (Bash) gibt oder gab.(zb. Webserver: CGI-Skripte, die als Webserver Bash aufrufen, könnten beliebigen Code ausführen. wer so einen Server konfiguriert naja)

Es gab ja sogar glaub in Linux-Magazin oder so einen Bericht wo das auch so bestätigt wird.

An sonst ist dein System eh auf einen guten Weg sauber zu bleiben. Was ich noch anmerken würde wäre, allgemein Einstellungen immer gut Prüfen das man da selber keine Lücken aufmacht (unbeabsichtigt).

Jo und den normal User zb. aus der Wheel Gruppe werfen.

mfg

schatti

----------

## Klaus Meier

Warum sollte man denn Java verbannen? Ist damit eventuell Javascript gemeint? Das wird leider sehr oft durcheinander geworfen. Und dann sind wir beim Thema Browser, was jetzt aber ganz andere Dinge benötigt als das System.

Für den Browser würde ich AdBlock empfehlen, weil über die Werbeschleudern oftmals auch Malwre verbreitet wird. Bei Javascript und Flash ist man ja nicht so frei, ob man das nutzt oder nicht. Das kann man dann mit NoScript steuern.

----------

## schmidicom

 *boospy wrote:*   

> Java und Flash vom System verbannen, und die Welt ist heil.

 

Meiner Meinung nach ist Java selbst weniger das Problem sondern viel mehr der Umgang mit selbigem.

Und bezüglich "Personal Firewall" (denn genau das wäre das hier) wundert es mich das noch keiner "net-firewall/firewalld" angesprochen hat. Das soll ja angeblich auch recht einfach in der Bedienung sein, vor allem wenn man nebenbei auch noch den NetworkManager im Einsatz hat.

----------

## boospy

 *schmidicom wrote:*   

>  *boospy wrote:*   Java und Flash vom System verbannen, und die Welt ist heil. 
> 
> Meiner Meinung nach ist Java selbst weniger das Problem sondern viel mehr der Umgang mit selbigem.
> 
> 

 

Ja das meinte ich, für den sorgsamen User kein Problem, aber für User die nicht so firm mit EDV sind, würde ich Java nie installieren. Und ehrlich gesagt, ich brauch es privat auch nicht, in der Firma leider schon.

lg

----------

## musv

 *boospy wrote:*   

> Java […] vom System verbannen, und die Welt ist heil. 

 

 *schmidicom wrote:*   

> Meiner Meinung nach ist Java selbst weniger das Problem sondern viel mehr der Umgang mit selbigem.

 

Was ist das denn für ein Quatsch? 

Java ist erst mal nur eine Runtime, auf der halt Java-Programme laufen. Was soll daran unsicher sein?

Selbst die Java-Applets im Browser, so hab ich mir sagen lassen, laufen in einer Sandbox, die allerdings ziemlich schrottig programmiert war. Also unsicherer als Flash war Java im Browser auch nicht. Darüberhinaus hab ich jetzt schon seit Jahren kein Java-Applet mehr gesehen. Und zumindest Firefox deaktiviert das Java-Plugin sowieso erst mal per default.

Zur Firewall:

Ich hab keine laufen. Von der Suse-Installation weiß ich, dass die sowas installieren, was dann erst mal alle möglichen Ports blockt. Ist nicht schön, wenn man z.B. per RDP oder SSH Fernwartung betreiben will. Ein Aspekt der Firewall ist das Blocken von eingehenden Paketen. Da die meisten Privatanwender sowieso hinter einem Router hängen, wird das Blocken der eingehenden Pakete ja sowieso schon vom Router übernommen. 

Virenscanner:

Wozu?

----------

## xtrace

Hi,

wenn ich einen raspberry pi mit iptables einrichte, sollte das ausreichen.Oder nicht? Das Geräte besitze ich bereits.

Dann hätte ich mir zumindest eine Hardware Firewall gespart. Einen Router setze ich nicht ein. Lediglich ein DSL Modem.

Wozu gibt es dann clamav, wenn man eigentlich sowieso keinen Virenscanner benötigt?

Dann sollte man die Manpower in andere Projekte stecken..oder sehe ich das falsch ?

Danke.

cu,

xtrace

----------

## Klaus Meier

Tja, es gibt viele Software, die man nicht braucht. Es gibt sie, weil sie trotzdem genutzt wird.

Und clamav ist sinnvoll, wenn ich einen File/Mail-Server betreibe, der dann ja durchaus Windows-Malware ausliefern kann. Clamav scannt ausschließlich nach Windowsviren. Sein gesamtes System damit zu scannen ist sinnfrei. Aber es gibt Leute, die es tun. Und deshalb gibt es auch solche Anwendungen.

----------

## musv

 *xtrace wrote:*   

> Wozu gibt es dann clamav, wenn man eigentlich sowieso keinen Virenscanner benötigt?

 

Schon mal daran gedacht, dass viele Mailserver auf Linux laufen, die Hauptgruppe der Nutzer aber mit Windows arbeiten? Da ist es schon sinnvoll, wenn diverse "Rechnung.exe" aus den E-Mail-Anhängen entfernt werden.

Zu Deinem PI:

Neben iptables solltest du auch noch den Port für SSH und FTP (sofern installiert) auf irgendwas anderes ändern. Seitdem hörten bei mir die Script-Kiddie-Login-Versuche schlagartig auf.

----------

## ChrisJumper

Flash, deinstalliere ich oft. Installiere es dann wenn es wirklich nicht anders geht. Aber wenn es die meiste Zeit gar nicht erst installiert ist, ist das schon ein Sicherheitsgewinn ;D

Virenscanner.. ja also. Ich sag mir immer die Windows-Dinger haben selber einen. Das muss reichen. *g*

Nein meine Mails scanne ich auch nicht. Sollte ich mal Probleme damit haben würde ich eher allen meinen E-Mail Nutzern sagen, das sie keinen Anhang mehr verwenden dürfen, sonst wird die Mail verworfen.

Zum Thema iptables habe ich aber eine ganz andere Einstellung. Bei den meisten Systemen, vor allem Desktop-Systemen laufen nur wenige Dienste und Services die an offenen Ports lauschen. Somit ist eine Firewall auf einem Linux-Desktop bisher auch nicht so das Problem. Aktuell habe ich auch nur eine Firewall an der Internet-Verbindung und eine an der Schnittstelle zum Wlan.

Das ganze IPv6 hat mir jetzt aber schon zu denken gegeben, wenn sich die IPv6 Adressen per Privacy-Einstellung immer ändern ist es ja nicht so problematisch, da kennen ja nur aktuelle Verbindungspartner für eine kurze Weile die Adresse unter der das System aus dem Internet direkt zu erreichen ist.

Langfristig und besonders ohne Privacy-Einstellung, wenn die zugewiesene IPv6 Adresse noch die Mac-Adresse verrät und somit, in unterschiedlichen IPv6 Netzen den selben Host-Teil hat. Könnte es ohne IPv6-Tables. Zu einem Problem werden. Aktuell bin ich mir auch nicht sicher ob das Stimmt, zu lange ist es her das ich mich damit beschäftigt habe, und es kann sein das das Routing irgendwo doch unterbunden wird. Zudem sind wie geschrieben die Ports nicht von alleine auf, wenn da kein Service lauscht.

Update 30. März 2015

So ich habe es nachgeschlagen. Hosts im Netzwerk sind ohne eine Anpassung der Filter von draußen erreichbar wenn ifconfig dem Netzwerkinterface eine IPv6 Adresse ausweist und da der vermerk "global" dran steht.

 *Quote:*   

> inet6 $BELIEBIGE_IP_v6_ADRESSE  prefixlen $PREFIX_LÄNGE  scopeid 0x0<global>

 

Das ist eigentlich nur gegeben wenn das Netzwerk oder eure Provider euch IPv6 zur Verfügung stellt, ist eventuell bei Freunden, im Internet-Cafe oder bei der Nutzung eines Wlans der Fall.

Es stimmt zwar das man das Netzwerk-Interface über die Globale IPv6 erreichen kann, da die IPv6 kein NAT (Network Adress Translation) verwendet wie noch IPv4. Aber dadurch fällt die Filtermöglichkeit am Router nicht weg.

Wer also IPv6 bekommt sollte schauen das die IPv6-Firewallergeln mit in das Skript aufgenommen werden. Genau das hatte ich auch gemacht und wieder vergessen. Das andere ist das der Router/Firewall mit der FORWARD-Chain natürlich die Pakete filtert welche aus dem Internet, über den Router direkt an die LAN-Rechner mit globaler IPv6 Adresse weitergeleitet werden.

Update Ende

 *musv wrote:*   

> Java ist erst mal nur eine Runtime, auf der halt Java-Programme laufen. Was soll daran unsicher sein?

 

Bin mir nicht ganz sicher, aber hatten letztes Jahr nicht eben die Java-Runtimes, zumindest die von Oracle. Mehrere Speicher-Lücken? Daraufhin mussten auch die Quelloffenen Iced-Tea und so weiter gepatched werden weil die dafür auch anfällig waren. Das waren wenn ich mich recht erinnere remote code execution Lücken. Eben so etwas wie bei Shellshock.

Wenn es an euch vorbei gegangen ist Rowhammer, etwas das bisher theoretisch existiert, ein praktischer exploit ist für Linux da aber man braucht schon Zugriff zum System und einblick auf die Memory-Map um überhaupt ein User/Superuser Bit zu flippen. Mit Linux Kernel 4.0 werden diese Angriffe aber erschwert indem die Memory-Map nur bestimmten Nutzern zur Verfügung steht oder sogar standardmäßig deaktiviert wird. Ich habe das leider nicht so genau verfolgt. Eben weil ein direkter Angriff noch ziemlich unwahrscheinlich ist und die Erstellung eines Exploits von sehr vielen Parametern abhängt: Live-Speichernutzung, Speicher-Typ und so weiter.

----------

