Debian unsecure by Default?

[Radfahrer]

Ja, die sind ja auch super gefährlich. Muss man unbedingt blocken.

[uname]

Wer meinen Debian-Laptop per ICMP-Ping oder auch mit dem DHCP-Zeug (aus dem LAN) übernimmt hat es verdient. Entscheidener ist und das wiederhole ich nun zum letzten Mal, dass die Software auf dem Client (dpkg -l) insgesamt sicher ist. Und da habe ich weit mehr Vertrauen in meine Debian-Maintainer und somit in die signierten Paketquellen von Debian als irgendwelchen EXE-Dateien, unsigniert von irgendwelchen Software-Anbietern auf gehackten Joomla-CMS-Systemen oder als Phishing-Mail in ZIP-Dateien verpackt und als EXE schnell mal ausgeführt. Könnte ja wichtig gewesen sein.
<keine Ironie>
Windows ist somit das IT-System für echte Experten und Linux mehr für dumme Anwender, da man kaum was kaputt bekommt.
</keine Ironie>
Von keinem Bekannten dem ich Linux installiert habe hat auch nur einer mal von Adware, Malware oder sonst welchen Sicherheits-Problemen gesprochen. Bei Windows ist das Standard. Wobei von Windows höre ich immer nur, da ich es nicht administriere Bin eben kein echter IT-Experte.

[NAB]

Die andere Frage ist ja, wie man "Malware" unter Linux überhaupt bemerkt.

Unter Windows schlägt der Virenscanner sofort an, wenn der Webbrowser eine verdächtige Datei auch nur auf der Festplatte cached, ohne dass die jemals ausgeführt wird. Das ist für den betroffenen Anwender natürlich mächtig aufregend.

[schwedenmann]

Hallo
Hier auf vielfachen Wunsch der gewünschte Ausdruck, Debian-Sid, wmaker und jede Mange Pakete

netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:6566 0.0.0.0:* LISTEN 0 17331 1026/saned
tcp 0 0 0.0.0.0:8200 0.0.0.0:* LISTEN 127 17352 1040/minidlnad
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 111 22558 1478/mysqld
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 22821 1667/smbd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 51619 9524/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 26896 2997/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 109 14691 1106/postgres
tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 0 18871 1111/ntop
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 21828 1981/master
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 0 22820 1667/smbd
tcp6 0 0 :::6566 :::* LISTEN 0 17330 1026/saned
tcp6 0 0 :::139 :::* LISTEN 0 22819 1667/smbd
tcp6 0 0 :::80 :::* LISTEN 0 19784 1119/apache2
tcp6 0 0 :::22 :::* LISTEN 0 51621 9524/sshd
tcp6 0 0 ::1:631 :::* LISTEN 0 26895 2997/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 0 21829 1981/master
tcp6 0 0 :::445 :::* LISTEN 0 22818 1667/smbd

mfg
schwedenmann

[paniccinap]

heisst es nicht "insecure"? http://itknowledgeexchange.techtarget.c ... -unsecure/

[sys_op]

Ich kann immer nur einen Teilaspekt beleuchten. Übrigens lauscht Windows 7 nicht dauerhaft auf Port 68 bei aktiviertem DHCP,...

Quelle: http://wiki.ubuntuusers.de/Offene_Ports

Netzwerkgeräte beziehen heutzutage üblicherweise über DHCP von einem DHCP-Server ihre Konfiguration, also IP-Adresse, Gateway usw. So braucht man diese Konfiguration nicht von Hand einzutragen und kann das Gerät auch in verschiedenen Netzwerken (also zuhause, im Büro usw.) nutzen, ohne dass man die Netzwerkeinstellungen ändern muss. Solch ein DHCP-Server ist mittlerweile auch in allen gängigen DSL-Hardware-Routern eingebaut, so dass man auch zuhause in den Genuss dieser bequemen Art der Netzwerkkonfiguration kommt.

DHCP funktioniert jedoch nur, wenn der Rechner in der Lage ist, die für ihn bestimmten Informationen zu empfangen. Dafür öffnet die DHCP-Client-Anwendung "dhclient" einen Port

udp 0 0 0.0.0.0:68 0.0.0.0:* 100 20370 6086/dhclient

Alle Pakete, die nicht von einem DHCP-Server des lokalen Netzwerks stammen bzw. nicht vom dhclient erwartet werden, werden von diesem aber ebenfalls verworfen, so dass dieser Port zwar offen ist, aber real nicht für Angriffe genutzt werden kann.

Das kann man nun glauben oder auch nicht, ich glaube es. Ein nmap -O auf meinen Rechner zeigte keinen offenen Port 68, obwohl dhclient läuft.
netstat halte ich für das falsche Tool um offene Ports deines Rechners zu überprüfen.

Code: Alles auswählen

netstat -tulpen|grep 68
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          1874        3431/dhclient 

nmap -O localhost

Not shown: 989 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
631/tcp  open  ipp
993/tcp  open  imaps
995/tcp  open  pop3s
3306/tcp open  mysql
5432/tcp open  postgresql


nmap -O öffentliche IP

Not shown: 993 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
110/tcp open  pop3
111/tcp open  rpcbind
143/tcp open  imap
993/tcp open  imaps
995/tcp open  pop3s

Siehst du einen offenen Port 68? ich nicht.

Bezüglich Firewall stellt sich doch wirklich die Frage, warum es das für Debian und Ubuntu nicht gibt. Bei Suse Linux gibt es das.....

Es gibt ja Firewalls, deine Frage ist wohl eher, warum ist keine vorinstalliert? Die Antwort:
Weil es im Normalfall nicht notwendig ist. Eine der häufigsten Fragen hier im Forum ist die Installation eines Systems ohne überflüssigen Ballast. Warum also eine Firewall installieren (die im Übrigen ja auch wieder ein Sicherheitsrisiko darstellen kann, wenn sie fehlerhaft ist), wenn sie nicht notwendig ist.

[TRex]

heisst es nicht "insecure"? http://itknowledgeexchange.techtarget.c ... -unsecure/

Doch, schon.

[novalix]

Und das DHCP auf Port 68 bzw. 67 (und damit unter <1024) lauscht ist auch im Protocol seit gefühlten 20 Jahren so festgelegt ...

Stevens beschreibt in seinem "TCP/IP Illustrated Vol. 1 The Protocols" von 1994 noch den Vorläufer BOOTP verweist aber schon auf DHCP als Nachfolger-Protokoll RFC 1541 [Droms 1993].
Nach wie vor ein sehr gutes Buch; gerade auch für solche, die ein ernsthaftes Interesse an Netzwerksicherheit hegen.

PS: überflüssiges "l" wegeditiert.

[whiizy]

Siehst du einen offenen Port 68? ich nicht.

Wenn man auch UDP berücksichtigt, schon:

# nmap -sU -O localhost

Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-20 16:11 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000022s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 997 closed ports
PORT STATE SERVICE
68/udp open|filtered dhcpc
111/udp open rpcbind
683/udp open|filtered corba-iiop
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.65 seconds

[sys_op]

Mein Fehler...

[Misterzde]

Wer meinen Debian-Laptop per ICMP-Ping oder auch mit dem DHCP-Zeug (aus dem LAN) übernimmt hat es verdient. Entscheidener ist und das wiederhole ich nun zum letzten Mal, dass die Software auf dem Client (dpkg -l) insgesamt sicher ist. Und da habe ich weit mehr Vertrauen in meine Debian-Maintainer und somit in die signierten Paketquellen von Debian als irgendwelchen EXE-Dateien, unsigniert von irgendwelchen Software-Anbietern auf gehackten Joomla-CMS-Systemen oder als Phishing-Mail in ZIP-Dateien verpackt und als EXE schnell mal ausgeführt. Könnte ja wichtig gewesen sein.
<keine Ironie>
Windows ist somit das IT-System für echte Experten und Linux mehr für dumme Anwender, da man kaum was kaputt bekommt.
</keine Ironie>
Von keinem Bekannten dem ich Linux installiert habe hat auch nur einer mal von Adware, Malware oder sonst welchen Sicherheits-Problemen gesprochen. Bei Windows ist das Standard. Wobei von Windows höre ich immer nur, da ich es nicht administriere Bin eben kein echter IT-Experte.

Das ist Schwarz-Weiss-Malerei und verhindert eine sachliche Diskussion über mögliche Probleme und behindert damit auch Verbesserungen an der Architektur bzw. der Sicherheit von Linux.

Ich muss allerdings auch zugeben, dass das Thema zu ungenau benannt wurde. Richtiger wäre gewesen "Debian Network-Stack in/un-secure by default?" Vielleicht kann das ja noch ein Admin ändern.

[Dimejo]

Ich kann offengestanden auch nicht verstehen, dass bei Debian keine Firewall vorkonfiguriert ist. Selbst wenn es im Normalfall nicht notwendig ist, so kann es doch nicht schaden, oder?

[DeletedUserReAsG]

Jaja, ich versteh’ auch nicht, warum Gnome, KDE, Xfce und alle anderen, allerhand Office-Suiten, diverse Grafiksachen, der ganze Musikkram und überhaupt alles was so da ist und nicht kollidiert nach der Defaultinstallation nicht vorhanden ist. Ist zwar im Normalfall nicht notwendig, schadet aber auch nicht ….

[uname]

Ich finde eher, dass bei Gnome, KDE, Xfce und allen anderen also dem ganzen task-desktop-Kram ein Haufen Zeug installiert wird, den sowieso keiner braucht. Ich installiere Openbox und meine vielleicht 20 bis 50 Pakete aus meiner eigenen Liste natürlich dann inkl. Abhängigkeiten.

[NAB]

Das ist Schwarz-Weiss-Malerei und verhindert eine sachliche Diskussion über mögliche Probleme und behindert damit auch Verbesserungen an der Architektur bzw. der Sicherheit von Linux.

Ich muss allerdings auch zugeben, dass das Thema zu ungenau benannt wurde. Richtiger wäre gewesen "Debian Network-Stack in/un-secure by default?"

Und eine Aufteilung in "in/un-secure" und "secure" ist eine sorgfältig priorisierte und abgestufte Sicherheitsanalyse, oder was?

Du hast ja durchaus Recht mit deiner Kritik, nur bietest du auch gleich die vermeintlich allheilsbringende Lösung mit an, und was anderes als "Personal Firewall" scheint in deinem Repetoire nicht vorzukommen.

[Evox]

Unsichere Default Einstellungen ? OMG, die Mehrheit könnten nicht einmal das System Online bringen geschweige eine "Wartung" durchführen bei strengen Einstellungen.

Ernsthafte Frage an die VScanner Junkies:
Was bringt ein Programm mit einer nicht weiter einsehbaren versteckten "White Liste" an Prozessen/Programme ? Na... kommt man selber drauf ?
Stichwort: "Security by Obscurity". Bloatware / SnakeOIL Systeme gibt viel zu viele auch unter den Alternativen.
Wenn jemand unbedingt Kohle loswerden will nicht nur die Entwickler von Debian freuen sich darüber!

Ich kann offengestanden auch nicht verstehen, dass bei Debian keine Firewall vorkonfiguriert ist. Selbst wenn es im Normalfall nicht notwendig ist, so kann es doch nicht schaden, oder?

Das ist ganz Einfach! Panik- Angst Verbreiten ist seit Jahren Standard und das SW Firewalls nur Ressourcenverschwender sind dürfte schon klar sein.

Hauptsache alles "Blinkt und Singt" und ein Button ist vorhanden, der Rest ist völlig egal das werden die Anderen irgendwie richten.

[uname]

Wie mit Virenscanner: Wäre interessant in Erfahrung zu bringen ob mehr Geld mit Virenscanner verdient wurde oder Schaden verhindert wurde. Könnte auch sein, dass Windows extra unsicher programmiert wurde, um diese Industrie am Leben zu halten. Oder wie mit Versicherungen: Einen Schaden den ich selbst im Notfall noch zahlen kann ohne wirklich arm zu werden brauche ich nicht versichern. Daran würde vor allem der Versicherer verdienen. Wichtig ist es den Schaden abzusichern, den ich nicht selbst tragen kann wie z.B. durch Haftplichtversicherungen.

[Lord_Carlos]

ist CUPS per default vom netzwerk aus erreichbar?
Wenn ja, warum?

[Misterzde]

ist CUPS per default vom netzwerk aus erreichbar?
Wenn ja, warum?

Bei mir lauscht CUPS auf localhost (127.0.0.1), Port 631. Ist das technisch erforderlich oder kann CUPS lokal auch per "Pipe", File oder ähnliches arbeiten?

P.S.

Und muss der CUPS-Service eigentlich als "root" laufen?

[debianoli]

Bei mir lauscht CUPS auf localhost (127.0.0.1), Port 631. Ist das technisch erforderlich oder kann CUPS lokal auch per "Pipe", File oder ähnliches arbeiten?

Was soll daran bitte gefährlich sein?

[Misterzde]

Bei mir lauscht CUPS auf localhost (127.0.0.1), Port 631. Ist das technisch erforderlich oder kann CUPS lokal auch per "Pipe", File oder ähnliches arbeiten?

Was soll daran bitte gefährlich sein?

An MEINER Konfiguration ist nichts gefährlich, per DEFAULT wird aber auch per UDP im gesamten Netz "gelauscht". Ich habe das Browsing bereits abgeschaltet.

[Milbret]

Was ich nicht verstehe, warum man 2015 noch Debian 6 verwendet.
Das hat zwar LTS Support, sehr eingegrenzte Paketauswahl, aber der Debian Support ist schon vor ca. 1 Jahr ausgelaufen.
Du solltest lieber auf Debian 7 umsteigen.

Ansonsten kann ich deiner Kritik an Debian nur bedingt folgen.
Debian versucht keinen 100% Secure Kernel oder ein 100% Secure System zu sein.
Debian versucht universell zu sein.

Entsprechend muss man zwangsweise im Kernel möglichste alle Funktionen einschalten um eben universell zu sein.
Wenn du ein abgesichertes System willst, musst du überlegen mit einem anderen System zu arbeiten oder eben dich selbst um die Absicherung zu kümmern.
Ich kann dir nur empfehlen auf eine Distribution zu setzen, die sich eben in deine Richtung entwickelt.
Security Distributionen gibt es eigentlich genügend.

Nachtrag:
Man kann Debian aber auch selbst absichern mit vorhanden Tools aus dem Repository.
Wie die anderen aber schon schreiben, muss man sich um Firewall o.ä. eigentlich nicht kümmern.
Wenn du einen Router hast und dein System sichere Passwörter und keine unnötigen offenen Ports haben, dann braucht man keine Firewall.
Die hilft nur im Router nicht aber bei deinem Desktop PC.

Martin

[Misterzde]

Was ich nicht verstehe, warum man 2015 noch Debian 6 verwendet.
Das hat zwar LTS Support, sehr eingegrenzte Paketauswahl, aber der Debian Support ist schon vor ca. 1 Jahr ausgelaufen.
Du solltest lieber auf Debian 7 umsteigen.

Ansonsten kann ich deiner Kritik an Debian nur bedingt folgen.
Debian versucht keinen 100% Secure Kernel oder ein 100% Secure System zu sein.
Debian versucht universell zu sein.

Entsprechend muss man zwangsweise im Kernel möglichste alle Funktionen einschalten um eben universell zu sein.
Wenn du ein abgesichertes System willst, musst du überlegen mit einem anderen System zu arbeiten oder eben dich selbst um die Absicherung zu kümmern.
Ich kann dir nur empfehlen auf eine Distribution zu setzen, die sich eben in deine Richtung entwickelt.
Security Distributionen gibt es eigentlich genügend.

Nachtrag:
Man kann Debian aber auch selbst absichern mit vorhanden Tools aus dem Repository.
Wie die anderen aber schon schreiben, muss man sich um Firewall o.ä. eigentlich nicht kümmern.
Wenn du einen Router hast und dein System sichere Passwörter und keine unnötigen offenen Ports haben, dann braucht man keine Firewall.
Die hilft nur im Router nicht aber bei deinem Desktop PC.

Martin

Das ist ja alles schön und gut. Wenn man wollte, könnte Debian aber auch sicherer sein, z.B. ist der Kernel wirklich extrem "fett", es gibt aber keinerlei Optionen dafür bei der Installation. Debian könnte z.B. per Default 3 Kernel erstellen (Fett, Medium, Slim) und den Benutzern die Wahl lassen - den meisten Benutzern wird es zu kompliziert sein, einen Kernel selbst zu kompilieren. Sich um die Firewall nicht zu kümmern ist naiv, genauso wie anzunehmen, dass der Router sicher ist. Debian 6 ist gut für mich, hat alle Funktionen, die ich normalerweise benötige. Debian 7 läuft parallel

[uname]

Der dumme Anwender bekommt eben ein 08/15-Kernel, der mit etwas Glück das Nachladen von Modulen vorsieht und somit nicht jeden Schrott enthält. Noch dummere Anwender bekommen gleich Windows, welches bereits als Malware-Schleuder konfiguriert wurde. Die Debian-Firewall braucht du nur wenn du dich gegen Windows- und Android-Malwareschleudern im LAN absichern willst und selbst zu dumm bist die Dienste wie SSH korrekt zu konfigurieren. Nutzt du Putty.exe unter Windows hilft dir dein Iptables auf Debian rein gar nichts, da die Malware selbst per Passwort oder Key von Windows zugreift. Und dein Router braucht nicht wirklich sicher sein, da er ein öffentliches Netz vom internen Netz versucht zu trennen. Das ist jedoch nicht schwer, da ein direktes Routing zwischen Internet und LAN gar nicht möglich ist. Beim Router ist eigentlich auch nur wichtig, dass er minimal ist und routet und nicht neben noch VoIP, NAS, Mediacenter oder sonstwas für das LAN sein möchte.
Und Debian 6 Squeeze LTS kann man solange gefahrlos einsetzen wie alle zugehörigen bzw. relevanten Pakete noch per LTS supportet werden. CentOS ist teilweise noch viel älter und auch Windows XP war 10 Jahre alt und erst mit dem Support-Ende wurde es wirklich unsicher ... von den Standard-Problemen mal abgesehen.

[schwedenmann]

Hallo


@uname

Beim Router ist eigentlich auch nur wichtig, dass er minimal ist und routet und nicht neben noch VoIP, NAS, Mediacenter oder sonstwas für das LAN sein möchte.

Endlich mal einer der meine minimalistische Routersicht teilt.

Nur heutezutage mußt du dir das wohl selbst zusammenstricken. Egal welche Router du nimmst (SoHo von der Stange, incl. Fritte, oder router gebrandet mit openwrt, oder Ipcop, was da alles an Diensten läuft, selbst ein proxy, da frage ich mcih wirklich, was die Entwickler dieser SW geraucht haben.
Selbst auf billigen Homeroutern für 20-25€ sind ja heute smb, ftp,Druckserver, mediaserver (dnla) und noch mehr vorhanden, sodaß man quasi nciht darum herum kommt, oder eben diese
Dienste nciht aktivieren darf, was nat. reizt, da der Router sowieos 24/7 läuft, man spart so quasi einen Server im LAN, aber eben um welchen Preis.

mfg
schwedenman