Also habe mal debian base installiert mit wenig zusatztsachen
mich würde mal interessieren wie man wirklich sein Linux sicher macht
und welche Programm lebenswichtig sind für ein sicheres Linux.
Was ist das wichtigste um ein sicheres Linux zu betreiben?
-
peschmae
- Beiträge: 4844
- Registriert: 07.01.2003 12:50:33
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: nirgendwo im irgendwo
Die Frage ist erst mal sicher vor was oder wem? Und wie sicher soll es genau sein?
Da gibts erst mal das Securing Debian Manual
Jetzt ganz allgemein auch so Sachen wie SELinux oder GRSecurity
Aber eben die Frage ist vor was du das genau absichern willst. Wenn du z.B. einen Apache mit PHP installierst kümmerst du dich viel besser darum dass der wirklich richtig konfiguriert ist und php nicht zu viel Schaden anrichten kann bevor du dich an so komplizierten Sachen wie SELinux versuchst. Auch wenn man damit natürlich irgendwie auch einen Apachen sicherer machen könnte.
Wichtig sind natürlich auch Dinge wie regelmässig logs lesen (mache ich *nie*
) oder sich über Sicherheitslücken auf dem laufenden halten (mach ich auch *nie* - ok, ich hab auch keinen Server im Internet... )
MfG Peschmä
Da gibts erst mal das Securing Debian Manual
Jetzt ganz allgemein auch so Sachen wie SELinux oder GRSecurity
Aber eben die Frage ist vor was du das genau absichern willst. Wenn du z.B. einen Apache mit PHP installierst kümmerst du dich viel besser darum dass der wirklich richtig konfiguriert ist und php nicht zu viel Schaden anrichten kann bevor du dich an so komplizierten Sachen wie SELinux versuchst. Auch wenn man damit natürlich irgendwie auch einen Apachen sicherer machen könnte.
Wichtig sind natürlich auch Dinge wie regelmässig logs lesen (mache ich *nie*
) oder sich über Sicherheitslücken auf dem laufenden halten (mach ich auch *nie* - ok, ich hab auch keinen Server im Internet... )MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
-
DeletedUserReAsG
Und dann ist man sicher vor eventuellen angriffen aus dem netz
und zu fähiger admin
na was machen die zbs bei ihrem pc um sicher zu sein ohne jetzt einen server zu betreiben habe was von RSBAC gehört was ist damit und ist ein Kernel update wichtig
da es ständig neue gibt 2.6 warum ist dann das debian system auf 2.4 ist das dann sicherer.
und zu fähiger admin
na was machen die zbs bei ihrem pc um sicher zu sein ohne jetzt einen server zu betreiben habe was von RSBAC gehört was ist damit und ist ein Kernel update wichtig
da es ständig neue gibt 2.6 warum ist dann das debian system auf 2.4 ist das dann sicherer.
Es gibt zwei Wege, einen Rechner sicher zu bekommen:
(a) ausschalten
(b) immer wissen, was man tut, warum man das tut, welch Gefahren möglich sind, indem man es tut und welche Alternativen es gibt.
Angenommen, Du willst den Rechner also betreiben: lerne, wie er furktioniert und wende dieses Wissen an. Wende aber kein Halbwissen an, denn das führt zu noch mehr Unsicherheit.
(a) ausschalten
(b) immer wissen, was man tut, warum man das tut, welch Gefahren möglich sind, indem man es tut und welche Alternativen es gibt.
Angenommen, Du willst den Rechner also betreiben: lerne, wie er furktioniert und wende dieses Wissen an. Wende aber kein Halbwissen an, denn das führt zu noch mehr Unsicherheit.
Das Problem ist der Parser. Der ist nicht fuzzy genug.
--Klaus Knopper
--Klaus Knopper
"Sicher" ist ein relativer Begriff. Es macht keinen Sinn, von Sicherheit zu sprechen, nur von "sicherer als".Xfan hat geschrieben:Und dann ist man sicher vor eventuellen angriffen aus dem netz
Wie heißt es so schön: "Ein nahezu sicheres System ist ein ausgeschalteter Rechner ohne Netzzugang in einem Safe, der mit einem Zahlenschloss und einem Schlüssel gesichert ist und der sich im Weltall befindet (wo genau, weiss keiner). Der Schlüssel wurde vernichtet, und die Person, die die Zahlenkombination kennt, ist tot. "
SCNR
-
Teddybear
- Beiträge: 3163
- Registriert: 07.05.2005 13:52:55
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Altomünster
-
Kontaktdaten:
Moin
Also wenn du deinen Rechner SICHER betreiben willst, Zieh das Cat5 Kabel aus deiner LAN Karte!! (Funktioniert sogar mit Windows)
Ansonsten wenn du noch das Inet nutzen möchtest , mach alles dicht, was du nicht brauchst, aber denke drann JEDER offene Port kann ein türchen darstellen!
greetz Sascha
Also wenn du deinen Rechner SICHER betreiben willst, Zieh das Cat5 Kabel aus deiner LAN Karte!! (Funktioniert sogar mit Windows)
Ansonsten wenn du noch das Inet nutzen möchtest , mach alles dicht, was du nicht brauchst, aber denke drann JEDER offene Port kann ein türchen darstellen!
greetz Sascha
Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen!
Oscar Wilde
Mod-Voice / My Voice
Oscar Wilde
Mod-Voice / My Voice
Ok ist mir schon klar wenn ich denn pc auschalte oder ihn verkaufe und keinen mehr habe das ich dann am sichersten bin aber wie und was macht ihr dicht (nicht euren kopf auf der party )sondern wie ihr euren rechner schützt mit praxis beispielen.Teddybear hat geschrieben:Moin
Ansonsten wenn du noch das Inet nutzen möchtest , mach alles dicht, was du nicht brauchst, aber denke drann JEDER offene Port kann ein türchen darstellen!
greetz Sascha
Oder geht Ihr nur ins Internetcafe und postet ab und zu im Forum und seit ganz sicher
-
Teddybear
- Beiträge: 3163
- Registriert: 07.05.2005 13:52:55
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Altomünster
-
Kontaktdaten:
Nunja...
Man kann nicht immer alles im Kopf haben...
Aber es gibt z.B. solche netten Seiten und Hilfen wie diese hier:
http://www.selflinux.org/selflinux/html ... rheit.html
Andererseits, für faule und uninteressierte gibts auch noch so packete wie lokkit und dazu die gnome-gui gnome-lokkit wo du in ein paar klicks so einigermassen dicht machst...
Naja, aber ob es immer sinn und zweck ist unbewusst zu klicken oder Stundenlang zu lesen um dann genauestens zu wissen wie ich Fort Nox aus meinem Rechner mach, bleibt natürlich jedem selbst überlassen....
greetz Sascha
Man kann nicht immer alles im Kopf haben...
Aber es gibt z.B. solche netten Seiten und Hilfen wie diese hier:
http://www.selflinux.org/selflinux/html ... rheit.html
Andererseits, für faule und uninteressierte gibts auch noch so packete wie lokkit und dazu die gnome-gui gnome-lokkit wo du in ein paar klicks so einigermassen dicht machst...
Naja, aber ob es immer sinn und zweck ist unbewusst zu klicken oder Stundenlang zu lesen um dann genauestens zu wissen wie ich Fort Nox aus meinem Rechner mach, bleibt natürlich jedem selbst überlassen....
greetz Sascha
Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen!
Oscar Wilde
Mod-Voice / My Voice
Oscar Wilde
Mod-Voice / My Voice
Wobei es mit ein paar Stunden nicht getan ist...
Allerdings lässt sich die Korrektheit der eingesetzten Software ja durchaus begründen... (z.B. vom Fiasko-L4-µKernel, Projekt VFiasko, weshalb er ja vor Cojotos mal für Hurd on L4 im Gespräch war)
Allerdings lässt sich die Korrektheit der eingesetzten Software ja durchaus begründen... (z.B. vom Fiasko-L4-µKernel, Projekt VFiasko, weshalb er ja vor Cojotos mal für Hurd on L4 im Gespräch war)
Das Problem ist der Parser. Der ist nicht fuzzy genug.
--Klaus Knopper
--Klaus Knopper
Kann mich dem der vorhergehenden Leute eigentlich nur anschliessen... und 'ein sicheres system gibt es nicht'.
Potentiell wuerde ich an deiner Stelle erst mal die ganzen links befolgen die du hier schon bekommen hast. Danach wuerde ich mir mal an deiner Stelle ueberlegen was du auf deiner Kiste brauchst und was nicht. Wenn du dann das weisst kannst du dir ueberlegen / bzw recherchieren wie man das uebrigbleibende absichert. Das Netz bietet Doku im Ueberfluss dazu. Wenn du dir dann sicher bist dass die Dienste die nach aussen offen sein muessen und die prozesse die laufen muessen laufen, wuerde ich mich daran machen mit iptables auf den Netzwerkverkehr loszugehen. Schliesslich kannst du dir noch ueberlegen ob du mit dem oben erwaehnten Grsecurity oder SELinux deine kiste komplett dichtmachen willst. Das alles kann mehrere Jahre in Anspruch nehmen, doch lass dich davon nicht demotivieren sondern eher motivieren. Es ist eine Herausforderung. Wenn du gut formulierte Fragen stellst habe ich so das Gefuehl dass niemand hier in diesem Forum was dagegen hat dir zu helfen. Doch wirkliches wissen ist nur das was du dir selbst erarbeitet hast, wir koennen dich nicht an der Hand nehmen und dir das alles beibringen. Wir helfen da wo's knifflig wird und wo's sonst aussetzt mim verstehen.
Viel Erfolg
Martin
/edit meandtheshell
Bitte verwende Absätze in deinen Texten -- keine durchgehenden Fließtextblöcke.
Potentiell wuerde ich an deiner Stelle erst mal die ganzen links befolgen die du hier schon bekommen hast. Danach wuerde ich mir mal an deiner Stelle ueberlegen was du auf deiner Kiste brauchst und was nicht. Wenn du dann das weisst kannst du dir ueberlegen / bzw recherchieren wie man das uebrigbleibende absichert. Das Netz bietet Doku im Ueberfluss dazu. Wenn du dir dann sicher bist dass die Dienste die nach aussen offen sein muessen und die prozesse die laufen muessen laufen, wuerde ich mich daran machen mit iptables auf den Netzwerkverkehr loszugehen. Schliesslich kannst du dir noch ueberlegen ob du mit dem oben erwaehnten Grsecurity oder SELinux deine kiste komplett dichtmachen willst. Das alles kann mehrere Jahre in Anspruch nehmen, doch lass dich davon nicht demotivieren sondern eher motivieren. Es ist eine Herausforderung. Wenn du gut formulierte Fragen stellst habe ich so das Gefuehl dass niemand hier in diesem Forum was dagegen hat dir zu helfen. Doch wirkliches wissen ist nur das was du dir selbst erarbeitet hast, wir koennen dich nicht an der Hand nehmen und dir das alles beibringen. Wir helfen da wo's knifflig wird und wo's sonst aussetzt mim verstehen.
Viel Erfolg
Martin
/edit meandtheshell
Bitte verwende Absätze in deinen Texten -- keine durchgehenden Fließtextblöcke.
-
peschmae
- Beiträge: 4844
- Registriert: 07.01.2003 12:50:33
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: nirgendwo im irgendwo
Meinen Desktoprechner? Gar nicht.Xfan hat geschrieben: Ok ist mir schon klar wenn ich denn pc auschalte oder ihn verkaufe und keinen mehr habe das ich dann am sichersten bin aber wie und was macht ihr dicht (nicht euren kopf auf der party )sondern wie ihr euren rechner schützt mit praxis beispielen.
Also natürlich habe ich keine unnötigen Dienste installiert, möglichst wenig proprietäre Software (Adobe Reader und Java im Moment) etc - aber das ist ja nicht aktiver Schutz sondern passiver nichtschutzzerstör
Sonst: Ich wüsste nicht was ich sinnvollerweise für einen Desktoprechner tun könnte oder sollte.
Klar kann man jetzt Dinge wie grsecurity oder selinux auffahren - aber da stehen dann Aufwand und Ertrag in keinem Verhältnis.
MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
-
Teddybear
- Beiträge: 3163
- Registriert: 07.05.2005 13:52:55
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Altomünster
-
Kontaktdaten:
Im Grunde genommen hat peschmae schon recht....
Wofür einen Dummen Desktop absichern, der
1. eh meist hinter einem Router hängt
2. die default rechte meisst böses nicht von Usern ausführen lassen
3. Solang Linux nicht Mainstream ist und Windows weiterhin auf Desktops das System No1 bleibt, ist die Gefahr von Viren, Würmern und Trojanern zu Gering um sich darüber gedanken zu machen...
greetz Sascha
Wofür einen Dummen Desktop absichern, der
1. eh meist hinter einem Router hängt
2. die default rechte meisst böses nicht von Usern ausführen lassen
3. Solang Linux nicht Mainstream ist und Windows weiterhin auf Desktops das System No1 bleibt, ist die Gefahr von Viren, Würmern und Trojanern zu Gering um sich darüber gedanken zu machen...
greetz Sascha
Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen!
Oscar Wilde
Mod-Voice / My Voice
Oscar Wilde
Mod-Voice / My Voice
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
@Xfan
- Du musst Dir zuerst klar werden was der Terminus "Sicherheit" ist
- Was _genau_ willst Du erreichen
* Sicherheit vor Datenverlust
* Sicherheit gegen ein Eindringen in dein LAN
* Vermeiden von Hardwareschäden
* etc.
- Peschmae hat dir schon einige URL's gegeben -- Lies diese!
- Für allgem. Fragen bez. um Klarheit über Fachtermini und deren Bedeutung zu erlangen konsultiere die Wikipedia
FAZIT:
- verwende ein paar Tage für die Wikipedia und Literatur im allgem.
- anschließend kommst du mit konkreten Fragen zurück denn eine Frage wie $Threadtitel ist für die Mietze Katze -- darauf kann niemals eine sinnvolle verwertbare Antwort erfolgen.
markus
- Du musst Dir zuerst klar werden was der Terminus "Sicherheit" ist
- Was _genau_ willst Du erreichen
* Sicherheit vor Datenverlust
* Sicherheit gegen ein Eindringen in dein LAN
* Vermeiden von Hardwareschäden
* etc.
- Peschmae hat dir schon einige URL's gegeben -- Lies diese!
- Für allgem. Fragen bez. um Klarheit über Fachtermini und deren Bedeutung zu erlangen konsultiere die Wikipedia
FAZIT:
- verwende ein paar Tage für die Wikipedia und Literatur im allgem.
- anschließend kommst du mit konkreten Fragen zurück denn eine Frage wie $Threadtitel ist für die Mietze Katze -- darauf kann niemals eine sinnvolle verwertbare Antwort erfolgen.
markus
-
C_A
- Beiträge: 1082
- Registriert: 22.04.2004 14:51:01
- Lizenz eigener Beiträge: GNU General Public License
Da mir beim Lesen dieses Satzes der Thread hier eingefallen ist werf ich mal den Link hier rein. Es handelt sich um eine Liste von Security Tools die aus einer Umfrage auf der nmap-hackers ML entstanden ist.Fyodor hat geschrieben:I also will be pointing newbies to this site whenever they write me saying “I don't know where to start”.
http://sectools.org/index.html