Das System mit debsecan härten.

[debiator]

Hallölchen!

Ich habe gerade mit einem ganz informativen Programm mein System etwas gehärtet, heisst von möglichen problematischen Angriffspunkten befreit.
Da gibt es natürlich viele Möglichkeiten.
Hier ist eine mit debsecan.

Dazu installiert man das Programm

Code: Alles auswählen

sudo apt-get install debsecan

Und lässt es einen Durchlauf starten und das Ergebnis in eine Textdatei im Homeverzeichnis speichern.

Code: Alles auswählen

debsecan --suite=jessie > /home/xxx/debsecan.txt

suite ist dabei der Name des verwendeten Debians und xxx ersetzt man durch den richtigen Homeordner.

Dann fängt der kompliziertere Teil an

Man macht die Datei auf. Ich verwende dazu gerne den KDE Texteditor Kate, obwohl ich ansonsten kein KDE nutze. Das Geschickte an Kate ist die dynamische Markierung. Wenn ich also ein Wort markiere, wird es in der ganzen Datei markiert. Also mach ich die Datei auf und staune erstmal über die Tonnen an Meldungen, die mir sagen, dass mein System ganz schön unsicher ist. Im Grunde ist es normal, da man mehr oder weniger jede Software durch einen "Fehler" im Programmcode missbrauchen kann. Man kann aber dennoch schauen, dass man so weit es geht, das System aufräumt.

Um manche Programme (mit Vorsicht!) aus der unstable Quelle (momentan sid) zu aktualisieren. Fügen wir für diese Aktion die Quellen von sid hinzu:

Code: Alles auswählen

sudo nano /etc/apt/sources.list

und ganz unten folgende Zeilen einfügen:

Code: Alles auswählen

# unstable sid-release for fixes
deb http://ftp.de.debian.org/debian/ sid main
deb-src http://ftp.de.debian.org/debian/ sid main 

Wenn man mit der ganzen Aktion hier fertig ist, dann sollte man NICHT VERGESSEN, diese Quellen mit # auszukommentieren, damit man nicht alle Pakete auf "unstabile" Version aktualisiert.

danach führt man

Code: Alles auswählen

sudo apt-get update

damit die Quellen aktualisiert werden.

Jetzt kehren wir zu unserer Log-Datei zurück und achten vorerst auf die high urgency Meldungen.
Wir kopieren den Namen des jeweiligen Programm und geben ihn z.B. in synaptic (Paketverwaltung) ein (ansonsten installiert man synaptic oder wählt den direkten Weg über das Terminal).
Falls eine aktuellere Version vorhanden ist - Rechtsklick und aktualisieren. Jetzt ist es SEHR WICHTIG, dass man NUR DANN aktualisiert, wenn keine Abhängigkeit mit 1000 anderen Paketen kommt. Das wird das System zu einer unstable-Version machen. Wir wollen ja NUR das eine Paket aktualisieren (wenn es möglich ist). Wenn nicht, dann lassen wir es so wie es ist und gehen zum nächsten Paket über. Das ist die ganz sichere Variante. Danach kann man das Gleiche mit medium urgency machen. Das wird nicht bei allen Paketen etwas bringen, aber manch einer wird am Ende von der Liste verschwinden.

Als nächsten Schritt bzw. auch während des vorigen schauen wir, ob es Pakete gibt, die eine Meldung ausgeben, die wir aber nicht nutzen (dabei sollte man sich natürlich sicher sein). Das können entweder Programme sein, die man zusätzlich mal installiert hat und die keine Abhängigkeiten mit dem System haben UND das können grafische Oberflächen wie KDE, GNOME etc. sein. Beim Zweiteren sollte man sich überlegen, ob man wirklich mehrere Oberflächen braucht. Wenn nicht, haut man z.B. KDE raus und macht danach

Code: Alles auswählen

sudo apt-get autoremove

, damit man die unnötigen Pakete, die mit dem KDE zusammenhängen entfernt. Ich stellte z.B. fest, dass gerade KDE einige Meldungen brachte.

Nachdem man das alles gemacht hat, löscht man die Log-Datei und führt einen erneuten Scan durch. Falls man jetzt noch z.B. etwas von KDE findet, entfernt man es durch synaptic manuell.

Um manche Programme (auch mit high urgency) wird man nicht drum herum kommen, wenn man bestimmte Dinge nutzen will. Java und Videocodecs sind z.B. immer kritisch. Aber immerhin kann man so manche Löcher vermeiden und das System etwas aufgeräumter gestalten.

Bei dieser Aktion sollte man natürlich besonders aufpassen, da man bei der Entfernung "falscher Pakete" das System zerschießen kann.
Man sollte also halbwegs wissen, was man da entfernt und inwieweit es Systemrelevanz hat.
Nicht vergessen die sid-Quellen auszukommentieren.

Viel Spaß!

[eggy]

Dein "ein- und auskommentieren" ist in diesem Anwendungskontext kein guter Ratschlag. Beschäftige Dich mal mit apt-pinning. Desweiteren wär ich mir nicht so sicher, ob "Paket aus sid installieren" Dein System so pauschal sicherer macht.

[Paddie]

Der Meinung bin ich auch, wahrscheinlich Tausch ich damit nur die Lücken durch neue aus...Die sonstigen "Probleme", die ich mir vielleicht durch einen Mischmasch aus stable und unstable einfange lass ich jetzt mal weg..

Bei einem produktiven System wäre es IMHO am Besten, die gefährlichen Pakete zu deinstallieren und Alternativen zu suchen.

[debiator]

hmmm... ja... daran dachte ich auch
Als aber libidn11 komplett von der Liste verschwunden ist, welches vorhin mit high urgency angezeigt worde ist und realmd, welches bei medium war, dachte ich... naja...
vielleicht ist es doch nicht so verkehrt. Die hypotetisch vorhandene neue Lücken sind zu vermuten, doch die altbekannten werden wohl gestopft.

Beim Rest muss man sich natürlich überlegen, ob man das Zeug (nach Möglichkeit, wenn keine schwerwiegenden Abhängigkeiten bestehen) entfernt.

Und dieses Auswechseln ist selbstverständlich mit Vorsicht zu genießen.
Ich habe lediglich die Pakete aktualisiert, die absolut KEINE direkten Abhängigkeiten hatten.
Es waren natürlich nicht wirklich viele.

Dein "ein- und auskommentieren" ist in diesem Anwendungskontext kein guter Ratschlag. Beschäftige Dich mal mit apt-pinning.

Was ist mit Pinning? Wie soll die Auskommentierung mit # umgegangen werden?

[4A4B]

Es gibt einen Wiki-Eintrag zu Apt-Pinning:

https://wiki.debianforum.de/AptPinning

Im vorliegenden Fall könntest du unstable auf einen negativen Wert pinnen:

/etc/apt/preferences oder /etc/apt/preferences.d/local

Code: Alles auswählen

Package: *
Pin: release a=unstable
Pin-Priority: -10

... und dann einzelne Pakete mit der Option '-t unstable' installieren:

Code: Alles auswählen

aptitude -t unstable install <paketname>

aptitude zeigt an, welche Abhängigkeiten mitinstalliert werden, so dass du noch abbrechen kannst

Ich mach sowas aber auch nur punktuell bei besonders sicherheitsrelevanten Paketen wie Iceweasel, wenn dort ein Sicherheitsupdate erschienen ist. Bei anderen Paketen kann ich warten, bis, diese nach 10 bis 14 Tagen nach Testing gerutscht sind


Edit:

Dieses Vorgehen kann ich allenfalls für Debian Testing empfehlen! Von der Installation von Paketen aus Unstable nach Debian Stable würde ich abraten, siehe hierzu auch folgende Beiträge in diesem Thread

[debiator]

welche sources hast Du dann von unstable? Die normalen sid main?

[4A4B]

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ unstable main

Du solltest nach dem nächsten update natürlich noch testen, ob du alles korrekt konfiguriert hast, d.h. nicht einfach ein upgrade unbesehen durchführen

[debiator]

ah ok, also Du nimmst nicht von sid.
Danke, werde mal ein paar Sachen testen.
icedove ist richtig krass verbuggd.

[eggy]

Sid ist unstable.

Vielleicht solltest Du erstmal die Basics lernen, eh Du großartig Ratschläge an andere verteilst?

Sorry für die harschen Worte, ich finde super, dass Du dir die Mühe gemacht hast das alles aufzuschreiben. Aber vielleicht beim nächsten mal lieber in Form einer Frage ("seht mal her, ich hab das so gemacht: ausführliche Beschreibung ... kann man das vielleicht noch besser machen?") als im Tutorialstil formulieren?

[Radfahrer]

Um manche Programme (mit Vorsicht!) aus der unstable Quelle (momentan sid) zu aktualisieren.

Unstable heißt immer sid.

... und warum benutzt du sudo?
Nicht unbedingt ein guter Ratschlag, für Einsteiger, die deinen "Tipp" lesen. Der übrigens sowieso mit Vorsicht zu genießen ist.

Benutzung von sudo, sid in die sources.list eintragen und das System durch Pakete daraus inkonsistent machen. Keine Ahnung von apt-pinning, totale Fixierung auf ein einzelnes Programm glauben, dass man damit sein "System härten" kann ...

Ich schließe mich eggy an:
Lerne erst einmal selber die Grundlagen, bevor du solche "Anleitungen" schreibst.

icedove ist richtig krass verbuggd.

Ja, genau. Deswegen benutzt es ja auch kaum jemand.

[debiator]

ich sehe das relativ locker.
Es sind hier keine mords Ratschläge.
Ich probiere dies und das bei halbwegs gesundem Menschenverstand aus und bei Erfolg will ich Dinge teilen.
Die Profis hier, sind ja auch dazu da, um auf Fehler etc. hinzuweisen.
Ja, die Formulierung ist vielleicht etwas unglücklich gewählt.

Ob sid DER Begriff für unstable ist, ist jetzt inhaltlich füßr das Thema nicht so entscheidend.
Aber danke für die Info, allgemein ist es natürlich gut zu wissen.

Nur mal kurz zum Thema Grundlagen, da das Thema auf allen Gebieten sehr brizantes und fragiles Thema ist.
Ich habe da eine andere Herangehensweise an Lernprozesse. So zwecks "erstmal Grundlagen lernen".
Wenn ich bei allem die bis in die Unendlichkeit sich ausdehenden Grundlagen lernen würde, bevor ich manche Dinge als ein "Zwischenbericht" zur Kommunikation stelle. Wäre ich vielleicht ein unglaublich guter Profi in einem Bereich. Das ist aber nicht mein Ziel. Mein Ziel ist Allgemeinbildung. Da kann man vor allem durch Erklärungen am meisten lernen (das kennt man ja bereits aus Präsentationen, an denen man selbst sehr viel lernen kann).

Ich sehe bis jetzt weniger Probleme in sudo, als im icedove. Totale Fixierung ist nicht vorhanden.
Auch habe ich nirgendwo geschrieben, dass DAS die Härtung schlechthin ist. Systemhärtung betrifft sehr viele Bereiche.... und so weiter.
Dieses Thema endet mehr im Egogetue und Unterstellungen als in Sachlichkeit.

Sachlich gehts darum, dass man aus den unstable-Quellen per Hand ausgewählte Pakete aktualisieren kann, die bei unstable bereits gefixed sind.
Danach nimmt man die Quellen wieder raus. Oder, ja, das wusste ich nicht (wie schrecklich), man kann es viel geschickter mit apt-pinning machen und die unstable Quellen belassen.
Wenn ihr das nicht machen wollt. Ja bitte, ist doch kein Problem.

Diejenigen, die auf irgendeinem Gebiet halbwegs Profis sind, nehmen die Dinge viel zu ernst
Alles paletti!

[KBDCALLS]

ich sehe das relativ locker.
Es sind hier keine mords Ratschläge.

Jessie/Stable und Unstable/Sid das grenzt schon an Harakiri. Ader anders ausgedrückt das ist der beste Weg um sein System zu schrotten. Momentan verwenden alle noch die glibc6 2.19 . Das dürfte sich aber bald ändern . Und wenn dann noch die gcc Transition betrachtet ist die auch nicht ganz ohne. viewtopic.php?f=27&t=156655. Die Warnung war nicht ganz unbegründet , und sorgt immer noch für Überraschungen. viewtopic.php?f=29&t=157620#p1060502

[Radfahrer]

@debiato
Das Problem ist, dass du eine "Anleitung" ins Netz stellst, die Anfänger, die noch weniger Ahnung haben als du, nicht als "zur Diskussion gestellt" betrachten, sondern als das, als was du sie deklarierst, nämlich als "Anleitung".

Und die machen das dann nach, benutzen Programme für einen Zweck, für den sie gar nicht gedacht sind (ja, ich meine sudo), installieren Pakete aus sid auf einem stable-System und wundern sich dann, wenn sie sich ihr System zerschießen. Denn schließlich haben sie ja im Debianforum gelesen, dass das geht.

Also,
wenn du etwas, was du ausprobierst zur Diskussion stellen willst, dann mach das. Das ist ja absolut OK.

Aber mach bitte keine "Anleitung" daraus!

[debiator]

Es ist doch absoluter Quatsch, dass man ein System schrottet, indem man ausgewählt (wie ich schon mehrmals beschrieben habe) einzelne Pakete, die eben im unstable FIXED sind, nachinstalliert.
Wenn man natürlich wie ein Irrer übertreibt und einfach nur alles durcheinander aktualisiert... ja, das hat dann auch nichts mit meiner Anleitung zu tun.

Ich persönlich, weiss nicht, warum ich die wenigen gefixten Teile (in meinem Fall höchstens 5) ohne direkter Abhängigkeiten, nicht aktualisieren soll.
Wer das nicht will, solls lassen.

Wer ohne jeglicher Ahnung von Paketen das hier macht, der ist auch wirklich selbst schuld.

Ich meine immernoch, dass das, was ich da geschrieben habe, auch so vorsichtig formuliert ist... und nicht nach einem wilden aktualisieren klingt.

In diesem Sinne
Guten Abend.

[DeletedUserReAsG]

Welches Paket hat keine direkten Abhängigkeiten?

[Radfahrer]

...einzelne Pakete, die eben im unstable FIXED sind...

Was heißt das? Was ist ein "FIXED" Paket?

[debiator]

z. B. realmd hat in der neuen Version gar keine Meldung gebracht.
libsnmp-base, libsnmp30 hab ich komplett rausgeschmissen, da nicht nötig.

"keine direkten Abhängigkeiten" war etwas unglücklich ausgedrückt, ich meinte damit, dass man keine systemrelevanten Abhängigkeiten berührt und somit das System nicht gefährdet.
Viel wichtiger aber war, dass ich durch den Scan festgestellt habe, dass KDE sehr viele Meldungen hervorruft. Also habe ich mit Freude KDE rausgeschmissen (mag ich eh nicht, war zu Testzwecken da).


@Radfahrer:
was das heißt? Ganz einfach: ein Paket, indem eine zuvor entdeckte problematische code-Stelle gefixed also verbessert, geschlossen etc. worden ist.

[Radfahrer]

Aha.
Na, dann brauchen wir ja nur warten, bis alle Meldungen von diesem debscan weg sind und dann haben wir endlich ein fehlerfreies OS.
Das sollten wir dann aber auch gebührend feiern.

Sag mal Bescheid, wenn es soweit ist.

[DeletedUserReAsG]

z. B. realmd hat in der neuen Version gar keine Meldung gebracht. […] ich meinte damit, dass man keine systemrelevanten Abhängigkeiten berührt und somit das System nicht gefährdet.

Code: Alles auswählen

$ apt-cache depends realmd
realmd
  Hängt ab von: libc6
  Hängt ab von: libcomerr2
  Hängt ab von: libglib2.0-0
  Hängt ab von: libk5crypto3
  Hängt ab von: libkrb5-3
  Hängt ab von: libldap-2.4-2
  Hängt ab von: libpackagekit-glib2-18
  Hängt ab von: libpolkit-gobject-1-0
  Hängt ab von: libsqlite3-0
  Hängt ab von: libsystemd0

… du hast ’ne komische Ansicht, was Systemrelevanz von Paketen angeht.

[debiator]

mannmannmann! Warum seid ihr nur so.. wie nennt man das... absolutistisch? penibel?

Ich hab doch selber oben geschrieben, dass man bestimmte Problemstellen gar nicht wegbekommt und dazu, dass es nicht einfach nur die absolute Sicherheit durch ein Programm wie debsecan gibt.
Das ist aus meiner Sicht eine Selbstverständlichkeit.

Aber es ist sehr nützlich, wenn man zumindest grob, das System nach solchen Stellen durchsuchen kann und nach möglichkeit diese auch illiminiert.
Ist doch wunderbarrrr


@niemand: ja, die hab ich.
Diese Abhängigkeit hab ich auch gefunden, aber es ist, wie ich meine, keine, die aufgrund von Aktualisierung von realmd auch all diese Pakete aktualisieren muss.
Und mein System läuft bis jetzt wunderbar stabil, wie es auch davor gelaufen ist.

[DeletedUserReAsG]

Diese Abhängigkeit hab ich auch gefunden, aber es ist, wie ich meine, keine, die aufgrund von Aktualisierung von realmd auch all diese Pakete aktualisieren muss.

Die Zeit wird kommen, in der zumindest einige davon in der in Stable vorliegenden Version nicht mehr ausreichen. Und dann hast du die Wahl: z.B. libc6 updaten und System zerschießen oder dein Paket nicht updaten und am Ende unsicherer dastehen, als am Anfang.

Aber mach’ nur, scheinst ja unheimlich Ahnung zu haben⸮

[Radfahrer]

Warum seid ihr nur so.. wie nennt man das... absolutistisch? penibel?

Weil du eine Menge Blödsinn schreibst.
Absolutistisch ist übrigens auch etwas ganz anderes, als du meinst.

[debiator]

Dann ist doch wunderbar, dass Dein Deutsch und Deine geilen Crack-Kenntnisse besser sind als meine.
Diese Wichserei im IT-Bereich ist echt seltsam.
Anstatt einfach nur entspannt etwas zu korrigieren, zu verbessern, auf etwas hinzuweisen wird ein Kleinkrieg der Kindergartensorte veranstaltet.

Seltsamerweise bewegen sich die Vollprofis in irgendwelchen Wolken herum und schauen von oben herab.
Mit dieser Einstellung wird Linux keine Massentauglichkeit erreichen.
Wenn man es nicht will, ist ja ok.

[DeletedUserReAsG]

Ah, die Argumente gehen aus, und du musst dich langsam an den Umgangsformen schadlos halten? Nun ja – jeder, wie er kann.

[debiator]

Die Sachlichkeit wurde hier schon lange verlassen.
In diesem Sinne.
Auch hier einen guten Abend.

Richtig, jeder, wie er kann.