Standardeinstellung sicher oder nicht sicher

[thoys]

Hallo zusammen,

ich habe kurz nachgedacht über einen besseren Titel, aber irgendwie will er mir nicht einfallen.

Die Sache ist, dass ich "damals" Debian den Rücken gekehrt habe, als mir gesagt wurde "Du musst das und das konfigurieren, ansonsten ist es unsicher".
Wie ist denn die Philosophie bei Debian. Wenn ich es installiere und nichts weiter mache. Habe ich dann ein System, bei dem eventuell etwas nicht funktioniert, da der Port nicht offen ist (bsp.) oder habe ich eines, bei dem die Tore weit offen sind, da ich mich um vieles Kümmern muss.

Also die Frage ist einfach, kann ich Debian installieren und habe dann ein System, mit dem ich mich im Netz bewegen kann? Oder MUSS ich mich nach der Installation erst um ein paar Sachen kümmern?

Danke euch

[CH777]

Nun, das kommt ganz darauf an wie sicherheitsbedürftig du bist. Gegen neugierige Geheimdienste z.B. wird dir eine Debian-Installation auch nicht helfen.

[thoys]

Das ist natürlich was anderes

Meine letzte Info darüber ist eben schon lange her. Aber kann ich davon ausgehen, dass man als normaler User (was auch immer das ist) der ein wenig apt kennt und schon länger mit Linux zu tun hat, ohne aber tief ins System einzugreifen, es möglich ist Debian zu nutzen?

Ich erzähl mal kurz meine Sorge. Ich installier das, ich beschäftige mich mit irgendwelchen Treibern - falls nötig - und Plugins usw. Aber vergesse irgend einen Diens zu konfigurieren. Kann ich dann gefahr laufen, dass irgendwelche Sicherheitssorgen entstehen können?

Grüße

[KP97]

Aber kann ich davon ausgehen, dass man als normaler User (was auch immer das ist) der ein wenig apt kennt und schon länger mit Linux zu tun hat, ohne aber tief ins System einzugreifen, es möglich ist Debian zu nutzen?

Ja selbstverständlich, Debian hat als Defaulteinstellungen schon sehr sinnvolle Konfigurationen. Das war aber schon immer so.

Welcher selbsternannte "Experte" hat Dir eigentlich solchen Schwachsinn erzählt, den Du dann auch noch geglaubt hast?
Man ist doch immer wieder erstaunt....

[Apfelmann]

Die Grundeinstellungen bei Debian sind stark auf Sicherheit fokussiert, (fast paranoid)

jedes System muß gewartet oder geschützt werden, unter Debian - stable gibt es immer die Sicherheitsaktualisierungen und mit der Installation kann das System schon verschlüsselt werden, ordentliche Paßwörter ...

die Sicherheit ist kein fester Zustand, ein bischen sollte man sich drum kümmern, oder dafür interessieren,
da ist ja auch die Frage, wovor oder gegen was das System sicher sein soll

LG

[NAB]

Debian hat als Defaulteinstellungen schon sehr sinnvolle Konfigurationen.

Sinnvoll ist aber nicht immer "sicher". Gerade auf einem frischen Jessie ausprobiert ... openssh-server installiert, der Dienst läuft sofort, Port ist offen für alles, und der sshd_conf nach sind Remote Logins mit Passwort möglich, außer für root.

Das ist zwar unheimlich sinnvoll, wenn man per ssh auf den Server zugreifen will, aber ohne fail2ban würd ich das so nicht betreiben wollen.

thoys, ganz so einfach ist es nicht, da eine pauschale Aussage zu treffen. Es kommt darauf an, was du installierst und wie du es konfigurierst. Solange du aber Heimanwender bist und dein Debian-Rechner hinter einem Router steckt, bist du mit Debian sowohl komfortabel als auch sicher unterwegs. Und überhaupt ... das beste Einfallstor daheim dürfte das Flash-Plugin sein, da braucht's gar keine zusätzlichen Lücken mehr

[Patsche]

Es ist auch immer eine Frage, ob da noch ein Router vor sitzt. Per default sind alle Ports offen von Debian, wenn ich mich richtig erinnere. Ist aber egal so lange im Router kein Portforwarding eingestellt ist. Der sollte dann alles von außerhalb des Netzwerkes blocken.

[DeletedUserReAsG]

Ergänzung: die Ports sind genau dann offen, wenn ein entsprechender Dienst installiert und gestartet ist. Möchte man das nicht, ist es das Einfachste, das Dings einfach zu deinstallieren. Möchte man das nicht, ist es das Einfachste, den Dienst so zu konfigurieren, dass es nur an localhost hängt. Die Sache mit der Firewall als Portfilter wäre die letzte Wahl. Meine Meinung.

[uname]

Fast noch wichtiger als technische Maßnahmen ist das eigene IT-Wissen. Wer z.B. eine Firewall einsetzt um sich zu schützen sollte erst mal überlegen. wovor. Auch sind supersichere Passwörter bei Malwarebefall mit. z.B. Keylogger recht unnötig. Und SSL schützt den Weg nur leider nicht den Anfang und das Ende des Tunnels.

[BerndHohmann]

Debian hat als Defaulteinstellungen schon sehr sinnvolle Konfigurationen.

Sinnvoll ist aber nicht immer "sicher". Gerade auf einem frischen Jessie ausprobiert ... openssh-server installiert, der Dienst läuft sofort, Port ist offen für alles, und der sshd_conf nach sind Remote Logins mit Passwort möglich, außer für root.

Das ist zwar unheimlich sinnvoll, wenn man per ssh auf den Server zugreifen will, aber ohne fail2ban würd ich das so nicht betreiben wollen.

Wenn Du den ssh-server installierst, willst Du auch per ssh auf den Server zugreifen. Der danach "halboffene" Zugang hat seine Berechtigung: darüber spielt man via Script seinen Schlüssel ein und lässt danach keine Passwörter mehr zu - ohne diesen SSH-Zugang in der Grundkonfiguration ist das bei manchen Rechnern recht schwierig

fail2ban hat in der Aufstellung nichts zu suchen - das Tool ist dafür da um lästige Last vom Server fernzuhalten, aber kein "Sicherheitstool".

Bernd

[catdog2]

fail2ban hat in der Aufstellung nichts zu suchen - das Tool ist dafür da um lästige Last vom Server fernzuhalten, aber kein "Sicherheitstool".

Erhöht im Zweifel sogar die Angriffsfläche. Das Tool wertet logs aus und hatte beim parsen eben dieser auch schon seine seine Lücken.

[BerndHohmann]

Fast noch wichtiger als technische Maßnahmen ist das eigene IT-Wissen. Wer z.B. eine Firewall einsetzt um sich zu schützen sollte erst mal überlegen. wovor.

Da war doch vorletzte Woche die Diskussion wegen der MongoDB (welche sich mit Vorliebe an jede IP gebunden hat die greifbar war) - was da selbsternannte Experten im Heise-Forum geschrieben hatten... "Wer einen Server ohne Firewall ans Netz lässt, hat Security eh nicht verstanden" War teilweise nicht spassig.

Was ich mit Debian in den letzten Jahren gemacht habe war immer so, dass nach der Installation nur die Dienste an != localhost gebunden wurden welche auch "von aussen" erreichbar sein sollen. Und die meissten Programme welche öffentliche Dienste zur Verfügung stellen lassen sich erst starten, wenn man die Konfiguration überarbeitet hat.

Und soweit wie ich es in den Rechenzentren gesehen habe, sind "Firewalls" (also diese 19" Schachteln mit 'in den letzten 10 sekunden 8.643.260 bedrohungen abgewehrt'-Laufschrift im Display) wirklich sehr sehr dünn gesäht.

Bei meinen eigenen Schachteln hab ich mit sowas gar nichts am Hut, die laufen "out of the box". Ein Host hat was mit iptables am Hut (nameserver der leider noch rekursiv auflösen muss sperrt die schlimmsten Buben aus weil mir sonst die Logfiles zu schnell unübersichtlich werden )

Bernd

[BerndHohmann]

fail2ban hat in der Aufstellung nichts zu suchen - das Tool ist dafür da um lästige Last vom Server fernzuhalten, aber kein "Sicherheitstool".

Erhöht im Zweifel sogar die Angriffsfläche. Das Tool wertet logs aus und hatte beim parsen eben dieser auch schon seine seine Lücken.

Ja natürlich - das ist ja das, was die meissten Leute nicht verstehen: eine kaputte Rohrleitung flickt man am Rohr und baut nicht eine Mauer drumherum. Und ein Tool welches ein anderes Tool abdichten soll, ist nur ein weiterer Angriffsvektor.

Ok - Ausnahmen gibt es, ich hab immer noch Altlasten die nur per plain Telnet Administrierbar sind. Aber die hängen mittlerweile in einer Virtuellen Zwangsjacke mit Debian untendrunter.

Bernd

[thoys]

Hallo,

o.k. das hört sich ein einer klar unklaren Aussage an.

Wenn ich jetzt die Vergleichsfrage stellen darf: Ist man in diesem Punkt bei ubuntu "einfacher" aufgehoben. Also ist dort die Standardkonfiguration irgendwie anders DAU-Mäßiger gesetzt, oder schenken sich in diesem Punkt die beiden Systeme nicht viel?

Ich selber bin eigentlich meistens hinter einem Router und bin eigentlich auch bereit mich um mein System zu kümmern, nur ist bisher halt dieses "was ist, wenn ich irgend einen Dienst, der im Hintergrund läuft, vergesse und der Haus und Tor öffnet".

Aber die Lösung ist ja auch schon da, einfach Flash installieren, dann spielt alles andere keine Rolle mehr

[uname]

Bei einem Desktop-System hinter einer Router (also in einem privaten Netzwerk) geht sowohl bei Windows als auch bei Linux die Gefahr vom Client selbst aus. Von außen sind Zugriffe nur gegen die weltweite IP-Adresse des Routers möglich. Dieser sollte erst mal sicher sein.
Die Dienste in deinem internen Netz auf 127.0.0.1 oder 0.0.0.0 sind von außen auch nicht erreichbar. Natürlich sollte man sie trotzdem wo möglich für 127.0.0.1 konfigurieren, falls jemand mal dein Netz erreicht.
Die eigentlichen Probleme gehen von deinen Clientanwendungen wie Browser aus, die mit dem Internet kommunzieren und eine Rückantwort erwarten.

Ob Ubuntu besser oder schlechter als Debian ist weiß ich nicht. Entscheidend ist eher die Minimierung von Software als aufwendige Konfigurationen oder zusätzliche Sicherheitsprodukte. Daher würde ich erst mal eher zu Debian raten (Ubunutu stellt oder stellte wohl Suchanfragen an Amazon). Und wo du Debian nutzt kannst du noch überlegen ob du wirklich Gnome oder doch kleinere Desktop-Environments oder sogar Window-Manager nutzen kannst. Denn jede zusätzliche Software kann ein Sicherheitsrisiko sein. Schau dir z.B. die Kommunikationen im laufenden Betrieb an mit top, htop, iotop, lsof, iptraf, netstat, .... Vergleiche Ubuntu vs. Debian und auch z.B. Gnome vs. openbox.

[DeletedUserReAsG]

"was ist, wenn ich irgend einen Dienst, der im Hintergrund läuft, vergesse und der Haus und Tor öffnet".

Wie, vergessen? mit z.B. netstat -pltun kann man sich alle offenen Ports (und ggf. die IP, an die’s gebunden ist) samt zugehörigen Prozessen anschauen. Sind in der Regel nicht soviele, dass man in seiner Verwirrung welche übersehen/vergessen sollte.

Die Defaults sind relativ sicher, absolute Sicherheit gibt es nicht. Was Buntu angeht: ich kenne mich nicht wirklich damit aus, aber alleine die Story, wie sie sudo verbogen haben um dem Anwender das Behalten eines Passworts zu ersparen, lässt mich sehr dran zweifeln, dass es ootb sicherer als plain Debian wäre.

[catdog2]

Wie, vergessen? mit z.B. netstat -pltun kann man sich alle offenen Ports (und ggf. die IP, an die’s gebunden ist) samt zugehörigen Prozessen anschauen. Sind in der Regel nicht soviele, dass man in seiner Verwirrung welche übersehen/vergessen sollte.

Ich empfehle zwecks Merkbarkeit

Code: Alles auswählen

netstat -tulpen

[Lord_Carlos]

Bei debian ist weder SSH noch ein webserver installiert wenn man als "normaler" Benutzter einfach nur die Desktop umgebung bei der Installation auswaehlt. Deswegen sind auch keine ports "offen" weil da einfach kein service laeuft mit dem ein anderer Rechner von ausen Kommunizieren kann.

Erst wenn du du solche Programme wie SSH server, webserver, FTP etc. installiert koennte dein Rechner nach ausen hin offen sein. Da musst du dann drauf achten.

Die andere Gefahr ist das du selber unbewust schadcode runderlaedst, von dubiosen Webseiten etc.

[KP97]

So ist es.
@Thoys ist ein ganz normaler Desktopanwender, der zudem auch noch hinter einem Router sitzt.
Da sind die Defaulteinstellungen schon gut gewählt, es sei denn, man leidet an mittlerer Paranoia, dann kann man das Thema natürlich ausweiten.
Die anderen Szenarien der Vorredner sind zwar sehr interessant, treffen in seinem/ihrem Fall aber nicht zu.

Thoys schrieb:
...Aber die Lösung ist ja auch schon da, einfach Flash installieren, dann spielt alles andere keine Rolle mehr ...

Nein, das hast Du falsch verstanden.
Umgekehrt wird ein Schuh draus, also Flash deinstallieren.

[thoys]

Hei,

das hört sich doch alles recht vernünftig an.
Danke euch.

Und ich schreib den Post hier, damit ihr wisst, dass ich noch mitlese und nicht das Geschriebene verpufft. (Gibt ja manchmal Fragestelle, die nie mehr vorbeischauen.)

Grüße

Thoys

ps. Ich habe jetzt tatsächlich mal Jessie installiert. Und es fühlt sich wirklich recht gut an.

[TomL]

o.k. das hört sich ein einer klar unklaren Aussage an.

Das geht mir leider ganz genauso ... die Antworten lassen zum Teil einen technischen Wissensstand erahnen, wo ich dann die Antwort selber nicht mehr für meine laienhaften Kenntnisse übersetzen kann. Am Ende bleibt dann nur Ratlosigkeit über.

Auf dem Server (hinter dem Router) in meinem Heimnetz laufen 3 "Kommunikation-Dienste". Einmal OPENVPN als VPN-Gateway zum surfen und als Gateway zuhause ins Netz. Und zweitens nginx und baikal als Cloud für unsere Smartphones. Und natürlich SSH, weil nicht mal Tastatur und Monitor angeschlossen ist.

Vor dem Hintergrund würde ich auch gerne wissen, ob ich zur Verbesserung der Sicherheit was zusätzliches unternehmen oder zumindest kontrollieren muss.

Wenn ich jetzt die Vergleichsfrage stellen darf: Ist man in diesem Punkt bei ubuntu "einfacher" aufgehoben.

Ich glaube das nicht. Kontinuität und Stabilität hat bei Debian imho einen höheren Stellenwert. Aber das ist nur meine Meinung .... für mich ist (K)Ubuntu keine Alternative mehr.

Ich selber bin eigentlich meistens hinter einem Router und bin eigentlich auch bereit mich um mein System zu kümmern, nur ist bisher halt dieses "was ist, wenn ich irgend einen Dienst, der im Hintergrund läuft, vergesse und der Haus und Tor öffnet".

Ist bei mir ebenso. Ich kümmere mich sofort drum, wenn mir ein Problem bewusst wird ... und genau das ist das Problem ... wie erfährt man von Problemquellen?

Aber die Lösung ist ja auch schon da, einfach Flash installieren, dann spielt alles andere keine Rolle mehr

Genau so ist es *lol* was scheren mich noch die vielen kleinen Fenster, wenn ich doch einfach die Haustür offen lassen kann?

[uname]

Ich mag auf Flash nicht verzichten, nutze aber in Iceweasel folgende Einstellungen in about:config:

Code: Alles auswählen

plugin.state.flash 1
plugins.click_to_play true

Ubuntu kann man zudem wahrscheinlich ähnlich absichern wie Debian. Aber es gibt aktuell für mich zum Glück keinen Grund, um vom Community gesteuerten Debian GNU/Linux auf eine "kommerzielle" Linux-Version umzusteigen.

[KP97]

Ich mag auf Flash nicht verzichten....

Halte noch etwas durch, mit der Version 37 kommt auch ein funktionierendes Shumway, danach ist Adobe Flashplayer nur noch
eine ungute Erinnerung.

[wanne]

Die Grundeinstellungen bei Debian sind stark auf Sicherheit fokussiert, (fast paranoid)

Ich sehe das auch anders.
Vergleiche einfach mal mit Fedora oder OpenBSD.

Es gibt eine ganze Riehe von Sachen, wo Debian Bequemlichkeit/Produktivität derSoicherheit Vorgezogen hat.

• Debian nutzt weder SELinux noch AppArmour. Secureboot wird nicht ausgelifert.
• Fast alle Anwendungen sind mit mehr oder wenigen allen Zusatzoptionen Compiliert. (Was potentiell mehr Angriffspunkte bietet.)
• Debian hat per default kein Autoupdate oder ähnliches. (Was natürlich fördert, dass man sowas mal vergisst.)
• Fast alle Dienste sind (wie ssh, boinc...) ab Installation auf laufend und bei Netzwerkdiensten auf's Internet Hörend gesetzt. (Was natürlich fördert. Dass man gerne mal versehentlich nen SSH- oder Webserver betreibt.)
• Bei den Diensten sind zwar bekanntermaßen anfällige Funktionen per default aus, aber mehr oder weniger alles andere ist an: Netzwerkforwarding in X, Steinaltciphers in Browsern Passwortlogin in sshd... Alles sachen die sogar anrüchig sind, aber trotzdem laufen, weil man weiß, das es noch einige Leute gibt die sie nutzen und man denen die Einrichtung möglichst einfach machen will. Das führt halt zwangsläufig dazu dass man sachen aktiviert hat, die man eigentlich nicht braucht. – Und so potentielle Angriffspunkte schafft. Sicherer währe ohne Zweifel zuerstmal alles abzuschalten und dann den User jedes Feature dass er benutzt einzeln anschalten zu lassen. Auf der anderen Seite für den Nutzer auch mega unbequem...
• Debian wart praktisch nicht. Wenn du unter Windows eine Dummheit machen willst, bekommst du garantiert mindestens 10 Warnhinweise. Debian schluckts halt stumm. – Warnt vielleicht allenfalls in der man-page.

Also solche Sachen mit: Dann musst du erstmal das machen damit es sicher ist, gibt es nicht. Aber zum einen Geht Debian davon aus, dass der Nutzer weiß, was er tut. (Und das es z.B. gefärlich ist sshd zu betreiben (d.h installeiren und rebooten ohne die Konfiguration zu ändern), wenn man schwache passwörter hat...)
Zum anderen ist fast überall Potential da Sachen abzuschalten, gegen die zwar keine Angriffe bekannt sind aber, die möglicherweise mal angegriffen werden können. (z.B. SSLv3 bei Chromium man hat das zwar mit viel mühe so modifiziert, dass ich glaube, dass die ganzen aktuellen Angriffe nicht mehr funktionieren aber nach POODLE und FREAK will man das IMHO einfach nicht mehr in seinem Browser haben. Es gibt keinen, der das ehrlicherweise noch benutzt. Deswegen habe ich das manuell abgestellt. Aber kein normaler Mensch schraubt irgend was an der /etc/chromium/default rum. Uns so ist SSLv3.0 erstmal an. Genauso wie es Leute gibt, die sagen man will RC4-MD5 nicht mehr ins seinem Browser haben.)