Ich verstehe wirklich nicht, warum hier soviele Leute bei jeder Gelegenheit immer und immer wieder darauf rumhacken das jemand von Windows kommen könnte(!) und dieser jemand sich doch bitte eintrichtern soll, dass Firewalls unnötig sind. Und leider wird dabei überhaupt nicht bedacht, dass TO von einer Quell-/Source-/Protokollfirewall spricht. Im Gegenteil, es wird immer auf die ach so tolle anwendungsbasierte FW eingegangen.
Mit solchen Gehabe verliert das debianforum an Qualität, und das leider Tag für Tag ein bischen mehr.
Das Ursprungspost hier nochmal zur Verdeutlichung:
Misterzde hat geschrieben:Hallo zusammen,
ich beschäftige mich gerade ein wenig mit der Sicherheit von Debian (in diesem Fall Version 6).
Leider muss ich feststellen, dass Debian "ab Werk" relativ unsicher ist.
- Keine "Firewall" aktiv - bzw. keine Absicherung des Computers per iptables (habe ich dann selbst getan)
- Der Default-Kernel scheint sehr viele aktive Netzwerkprotokolle zu enthalten, die im Normalfall vom Benutzer nicht benötigt werden (DEC-NET, IPV6, IPX). Dies stellt meiner Meinung nach ein unnötiges Sicherheitsrisiko dar. Ich habe diese Protokolle in einem selbst erstellten Kernel entfernt.
Wäre es nicht interessant für das Debian-Projekt, neben dem Standard-Kernel mit sehr vielen Funktionen auch einen "Secure-Kernel" mit möglichst wenigen aktiven Netzwerk-Protokollen auszuliefern? 99% der Anwender dürften ausschliesslich IPV4 benötigen.
Danke für Euer Feedback.
VG
Felix
Ja, es wäre sicher interessant, verschiedene Grundkonfigurationen auszuliefern. Andere Distris bieten sowas schon lange an.
- Software, die eine Serverfunktion anbietet, lauscht standardmäßig nur auf localhost.
- Firewall wird installiert und erstmal alles verboten. Benötigte ports/Protokolle müssen explizit freigegeben werden.
- Passwörter müssen einem bestimmten Mindeststandard genügen.
- Sicherheitschecks werden durchgeführt
- die Zuweisung von usern zu bestimmten Gruppen sowie der Zugriff auf Verzeichnisse wird eingeschränkt.
- Verzeichnisse werden ro eingehängt
-u.s.w
- Ob der angebotene Serverkernel nur im Bezug auf Scheduler und RAM angepasst ist oder ob auch etliche Module entfernt (bzw. aktiviert) wurden, entzieht sich momentan meiner Kenntnis.
Und das alles mit einem Klick bei der Installation auf "paranoid".
Und für die bereits formulierte Standardantwort: "Der user muss sein Gehirn einschalten". Ja, das muss er. Es wurde auch niemals was anderes behauptet. Aber da nicht alle user
Zimmermann oder
Rusty Russell heissen, wäre es sinnvoll Erleichterungen "ab Werk" anzubieten.
In diesem Sinne wünsche ich noch eine fruchtbare, unterstellungs- und windowsfreie Diskussion.
Michael