ich habe mir jetzt Manjaro Gnome installiert und würde meine Manjaro Installation nun weitesgehend absichern wollen. Neben Wayland welches Gnome mitbringt habe ich die “dicke” Installation gewählt weil in dieser ISO AppArmor bereits installiert und vorkonfiguriert ist. Daneben habe ich mich um Firejail gekümmert.
Zudem bin ich auf den Testing Branch gewechselt, da ich hier erwarte etwas zügiger mit Sicherheitsupdates versorgt zu werden. Der unstable Branch ist mir aber dann doch noch etwas zu heikel.
Welche Sicherheitsmaßnahmen sind sonst noch relativ einfach und zügig konfigurierbar ? Mir ist klar das ich keine absolute Sicherheit erwarten kann. Möchte aber ein BS haben, das möglichst sicher unter Beibehaltung des Komforts konfiguriert ist. Wäre es an sich sinnvoll sich Lynis zu installieren und hier sich etwas reinzuarbeiten ? Bringt das sicherheitstechnisch viel, oder lohnt die investierte Zeit nicht, was den Nuten/Kosten"Zeit" Faktor angeht ?
Was habt ihr sonst noch für Ideen, mit welchen ich mich beschäftigen könnte ?
Klar ist, das all die Sicherheitsmaßnahmen nichts nützen wenn ich z.B das falsche aus dem Aur installiere oder mich zu sorgenfrei im Netz bewege. Sprich das größte Problem sitzt immer noch vor dem Monitor. Dessen bin ich mir bewusst.
Ich möchte die Maßnahmen aber eben auch dafür nutzen um mich näher mit Manjaro und auch Arch zu beschäftigen um ein möglichst gutes Grundverständnis über die Zeit zu entwickeln. Und wenn ich dann als Endprodukt ein sichereres System habe, nehme ich das gerne mit
wenn man beachtet, dass Lynis nur ein Baustein des Sicherheitskonzeptes sein kann (wie alle anderen Massnahmen) finde ich es sehr gut und empfehlenswert. Ich schätze daran, dass es dir Vorschläge macht - also nicht wirklich ins System eingreift - und Du dich dann mit diesen Vorschlägen auseinandersetzen musst. Anders gesagt, Du solltest notfalls nachsehen, warum diese Massnahme und was bewirkt sie für mich? Klingt umständlich und bringt anfangs Arbeit, aber man lernt eine Menge über sein System und das ist allemal besser als das stumpfe Installieren von Sicherheitssoftware und das darauffolgende Zurücklehnen “ich habe doch das Sicherheitspaket foo installiert, also kann mir nichts mehr passieren”.
Ich habe mir lynis angesehen. Die meisten “Warnungen” sind Werbung für ihr Enterprise-Produkt. Manche können vielleicht sinnvoll sein, aber die meisten Distributionen sind eigentlich von Hause aus “abgesichert”, da gibt’s nicht viel anzupassen.
Eine standardmäßig unsichere Installation wäre doch Quatsch.
Zur Firewall: Welche Dienste laufen bei dir denn, die du sperren möchtest? Warum laufen die denn dann überhaupt?
Da bist du auf dem Holzweg, die Sicherheitsupdates werden immer auf alle branches eingespielt. da gibt es keine unterschiede.
BACKUP und das regelmäßig und vor allem vor jedem größeren update.
dann zusätzlich virtuelle maschinen nutzen in denen du zum beispiel manjaro “zum spielen” nutzt. im schlimmsten fall musst du dann nur das image der vm löschen.
meine empfehlung : kvm/qemu oder qtemu als alternative zu virtualbox ist immer mal einen blick wert.
Es ist tatsächlich relevant zu beschreiben wofür wirst du dein PC nutzen. Und wo. Für homeuser brauchst du tatsächlich nix (es sei denn du bist paranoid, dann firewall). Evtl. Antivirus, wenn du standig Files mit Windows Machinen tauschst.
will ja Lynis nicht mit Gewalt durchdrücken, man kommt auch ohne aus Aber weil ich einen gänzlich anderen Eindruck habe, hier ein Ausschnitt aus einem Protokoll, das ich gerade testweise mit Lynis gemacht habe:
DEB-0880|Install fail2ban to automatically ban hosts that commit multiple authentication errors.|-|-|
BOOT-5122|Set a password on GRUB boot loader to prevent altering boot configuration (e.g. boot in single user mode without password)|-|-|
BOOT-5264|Consider hardening system services|Run '/usr/bin/systemd-analyze security SERVICE' for each service|-|
KRNL-5820|If not required, consider explicit disabling of core dump in /etc/security/limits.conf file|-|-|
AUTH-9286|Configure maximum password age in /etc/login.defs|-|-|
AUTH-9328|Default umask in /etc/login.defs could be more strict like 027|-|-|
AUTH-9328|Default umask in /etc/init.d/rc could be more strict like 027|-|-|
FILE-6310|To decrease the impact of a full /tmp file system, place /tmp on a separate partition|-|-|
FILE-6336|Check your /etc/fstab file for swap partition mount options|-|-|
FILE-6410|The database required for 'locate' could not be found. Run 'updatedb' or 'locate.updatedb' to create this file.|-|-|
USB-1000|Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft|-|-|
STRG-1846|Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft|-|-|
NAME-4028|Check DNS configuration for the dns domain name|-|-|
PKGS-7346|Purge old/removed packages (2 found) with aptitude purge or dpkg --purge command. This will cleanup old configuration files, cron jobs and startup scripts.|-|-|
PKGS-7370|Install debsums utility for the verification of packages with known good database.|-|-|
PKGS-7394|Install package apt-show-versions for patch management purposes|-|-|
PKGS-7398|Install a package audit tool to determine vulnerable packages|-|-|
NETW-2705|Check your resolv.conf file and fill in a backup nameserver if possible|-|-|
NETW-3200|Determine if protocol 'dccp' is really needed on this system|-|-|
NETW-3200|Determine if protocol 'sctp' is really needed on this system|-|-|
NETW-3200|Determine if protocol 'rds' is really needed on this system|-|-|
NETW-3200|Determine if protocol 'tipc' is really needed on this system|-|-|
HTTP-6640|Install Apache mod_evasive to guard webserver against DoS/brute force attempts|-|-|
von
kann ich da wenig bis nichts sehen…
Das sind doch durchaus Tipps, die man sich ansehen und dann entscheiden kann, welche man davon befolgt und welche nicht.
natürlich nicht. Das war ein Debian-System, das ich gerade zur Hand hatte. Die Warnungen waren auch nur als Anschaung gedacht, um zu zeigen, was so bei Lynis rauskommt. Dies extra noch zu erwähnen hielt ich für überflüssig.
Das ist im Grunde “SELinux”-Light. Weniger Möglichkeiten, geringere Komplexität, aber gleiches Konzept.
Mal kurz angeschnitten:
DAC → Identity-based access control (Identitätsbasierte Zugangskontrolle)
Das was man generell verwendet unter Linux.
Im Allgemeinen werden Rechte durch Eigentum- und Zugriffsrechte geregelt.
MAC → Mandatory Access Control (“Erzwungene” Zugangskontrolle)
Rechte werden per Richtlinien und Hierarchien vergeben.
Man muss jedem Programm Richtlinien geben, bedeutet: worauf es zugreifen darf.
Ohne Richtlinie kann das Programm auf nichts zugreifen.
MAC könnte man quasi als “Sandbox per App” bezeichnen. Ähnliches verwendet auch Flatpak, nur viel simpler über Portal.
Solange du es nicht aktivierst und forcierst, hat es auch keinen Effekt und ist dann nutzlos.
So einfach ist das nicht. SELinux und AppArmor sind beides Sicherheitsmodule im Kernel, die auf die selbe API zugreifen. Der große Unterschied ist einfach:
Ich sag mal so, Manjaro hatte ja eine Zeitlang AppArmor standardmäßig aktiviert. Wurde irgendwann entfernt.
Welche vordefinierten Richtlinien bringt AppArmor mt ? Firefox, Thunderbird, mpv dann wird es schon speziell. Also einfach aktivieren hätte ich jetzt Schutz für 3 Programme: Firefox und Thunderbird und mpv.
Da finde ich das Lynis interessanter (aber noch nie probiert ) Könnte man damit Fehlkonfigurationen aufdecken ? Das wäre mal was, den so was gefährdet das System am meisten.
