Suse richtig absichern

[g0t0]

Beschäftige Dich mit SELinux und AppArmor.

Du wiederholst dich.
Also AppArmor kenne ich bereits, und verwende ich auch.
Ich habe nur lokale mysql / apache Dienste Laufen, auch nur wenn ich am Arbeiten bin, ftp garnicht.
Einzige dauerhaft laufende "Server" Dienste ist mein Java Application Server, der ist aber genügend abgesichet und ftp Zugang gibt es auf den ganzen Rechner nicht.

mfG g0t0.

 

[theton]

Ich denke, dass jeder mittlerweile wissen sollte, dass man nicht sicher sein kann, wenn irgendein Port nach aussen freigegeben ist. Wenn aber nach aussen kein Service freigegeben ist, ist dort nichts, was man exploiten, bruteforcen o.ä. kann. Klar besteht dann noch die Möglichkeit, dass man selbst eine Verbindung irgendwohin aufbaut, die von einem Angreifer genutzt wird (TCP-Hijacking, Besuch einer Website, die einen Bug im Browser ausnutzt u.ä.), aber das lässt sich durch Snort in grossen Teilen unterbinden. 100%ige Sicherheit gibt es nunmal nicht. Man kann es dem Angreifer lediglich möglichst schwer machen. Und wer z.B. einen FTP-Server auf seinem heimischen Rechner nach aussen frei gibt oder fleissig für Filesharing irgendwelche Ports öffnet, der ist selbst schuld, wenn er Besuch bekommt, finde ich.

@HelloWorld: SELinux und AppArmor halte ich auf einem Desktop-System für absolut übertrieben. Der Verwaltungsaufwand ist enorm. Allein schon, wenn man eine neue Software installiert, heisst das erstmal, dass man die Rollen und Rechte für diese Software erstmal einstellen muss, bevor sie überhaupt für einen Nicht-root-User nutzbar ist. Hast du schon jemals einen Rechner aufgesetzt, der SE-Linux in seiner vollen Funktionalität einsetzt und diesen dann als Desktop-Rechner verwendet? Hab selbst 2 Server am Netz, die SELinux nutzen und allein mit Updates bin ich jedesmal 1-2 Stunden beschäftigt bis die Rollenzuordnungen wieder stimmen, die Datei-Integritätsdatenbanken wieder stimmen und vom Update angelegte Backup-Dateien entfernt wurden.

Nachtrag: Um Services wie Apache lokal nutzen zu können, reicht es, wenn man das Loopback auf ACCEPT stellt.

iptables -A INPUT -i lo -j ACCEPT

Schon ist der Zugriff über localhost bzw. 127.0.0.1 immernoch möglich und nach aussen ist die Kiste trotzdem dicht.

 

[Jabo]

oder fleissig für Filesharing irgendwelche Ports öffnet, der ist selbst schuld, wenn er Besuch bekommt, finde ich.

Punkt.

 

[Hello World]

@HelloWorld: SELinux und AppArmor halte ich auf einem Desktop-System für absolut übertrieben.

Ich auch. Die Frage war aber, wie man maximale Sicherheit erreicht, und dazu gehört nunmal auch SELinux.

 

[LinUser]

Hallo,
mal ne Frage zu AppArmor bei Suse10.2,

Mir ist das bis jetzt evtl. nicht aufgefallen, aber heute habe ich ein Onlineupdate gemacht und beim Runterfahren des Rechners erschien die Meldung
apparmor .... failed.
Bisher hatte ich noch keine entsprechenden (roten) Meldungen beim Starten und Runterfahren des Systems.

Da ich die Standartinstallation von Suse10.2 habe, glaube ich auch nicht, dass AppArmor überhaupt installiert ist.

Ich denke mal, wenn das Prog drauf wäre, müsste es doch in der Prozesstabelle von KDE-Systemüberwachung aktiv sein - ist es aber nicht.

Komisch das.

Gruß,
Th.

 

[Always-Godlike]

@g0t0:
Darf man fragen warum du diese Paranoide Sicherung haben willst?
Für einen normalen Desktop ist die standard-einstellung von Linux sicher genug

 

[LinUser]

Hi always-godlike,

Bis zu der genannten apparmor-failed-Meldung wußte ich gar nicht, daß es dieses Teil gibt.

Die Such-Funktion von Kmenü findet auch nichts bei mir.

Gruß,
Th.

 

[/\5P/\5|/\]

Die sicherste Methode ist sich von jeglicher Internetkommunikation zu trennen
Ansonsten gibt es kein absolut sicheres System.

 

[gropiuskalle]

Beitrag #1000

@g0t0:
Darf man fragen warum du diese Paranoide Sicherung haben willst?
Für einen normalen Desktop ist die standard-einstellung von Linux sicher genug

Überlegungen dazu sollten schon zunächst mal kategorisch ausfallen, also: will ich ein System nach Kräften (d.h. mit allen vorhandenen Mitteln) absichern oder nicht? Erst dann sollte man eine Kosten-Nutzen-Rechnung erstellen und prüfen, ob der ergangene Aufwand in einem gesunden Verhältnis zum erreichten Ergebnis steht, denn grundsätzlich kann ein System niemals sicher genug konfiguriert werden.

Im Falle von AppArmor handelt es sich um eine sehr einleuchtende Fortsetzung der Rechteverwaltung unter Linux, welche selbige mittels sehr eng gefasster Profile auf einzelne Anwendungen ausweitet. Erfolgt ein Angriff auf ein System über eine Anwendung, so hat der Angreifer somit sämtliche Rechte des users, welcher diese Anwendung gestartet hat - auch wenn die jeweilige Anwendung gar nicht den vollen Umfang dieser Rechte benötigt. AppArmor schränkt die Rechte auf die von dieser Anwendung benötigten Bereiche ein; so benötigt z.B. ein Bildbearbeitungsprogramm i.d.R. keinen Zugang ins Internet oder dergleichen - es soll lediglich das tun, wofür es gedacht ist und sonst nix. Da AppArmor diese äußerst komplexe Aufgabe praktisch unmerklich verrichtet und nicht z.B. große cpu-Ressourcen dafür beansprucht, halte ich diese zusätzlich Sicherheitsschicht für sehr sinnvoll - wenn man auch zugeben muss, dass man schon ziemlich viel Erfahrung haben muss, um es zu konfigurieren; in der Regel wird man daher die default-Konfiguration fahren, die sich bislang jedoch als sehr praktikabel erwiesen hat.

Da ich die Standartinstallation von Suse10.2 habe, glaube ich auch nicht, dass AppArmor überhaupt installiert ist.

Ich denke mal, wenn das Prog drauf wäre, müsste es doch in der Prozesstabelle von KDE-Systemüberwachung aktiv sein - ist es aber nicht.

Die Such-Funktion von Kmenü findet auch nichts bei mir.

AppArmor ist Teil der Standardinstallation von SuSE (seit der 10.1, wenn ich mich nicht täusche), da es jedoch ein administratives tool ist, findest Du die Konfigurationsoptionen unter YaST » 'Novell AppArmor'; abgesehen von bestimmten Bereichen wie die Einrichtung der Benachrichtigungsarten würde ich von den configs aber die Finger lassen - denn das Ding ist wirklich ziemlich komplex und eher was für Überadmins (wenn ich das richtig einschätze).

 

[LinUser]

Danke gropiuskalle,

Ich habs gefunden, ist genau so wie von dir beschrieben. Es sind bei mir mehrere Profile vorhanden u.a. Ksysguard etc.. Anscheinend alles automatisch von Suse eingerichtet - Profile könnte ich ändern, lass es aber so wie es ist.

Die failed-Meldung bei AppArmor ist mittlerweile auch verschwunden - alles i.O..

Gruß,
Th.

 

[Mitzekotze]

Mal ne Frage @ gOTO wie hast du den dem Browser seine "Geschwätzigkeit abgewöhnen" können?

das mein Browser so wenig Informationen wie möglich senden (schon erledigt)

 

[g0t0]

Also, erstmal zu einer Frage von der letzten Seite ("Warum...?").
Klingt vieleicht nen bischen blöd, aber ich war sehr lange Windows Nutzer, von den zeiten weiß ich zumindest wie ich Windows wirklich "sicher" machem und nicht nur mit einem Antiviren und Firewall Programm.

Letztens war nen großer Artikel über Trojaner und Viren auf irgendeiner Seite im Netz, wo unter anderem auch Linux erwähnt wurde, allerdings nur beiläufig, und da jetzt in der Presse auch so viel über Polizeitrojaner usw. kommt hab ich mal gegoogelt wie ich Linux sicher bekomme, habe aber nix gefunden.

Zum zweiten:
Also ich hab Firefox als Browser und erstmal folgende (sicherheitsbezogene) Addons:
-NoScript (Javascript Kontrolle)
-TrustMeNot (Suchmaschienen "Verarsche")
-Controll de Scripts (Erweiterte Javascript Kontrolle)
-CookieSafe (Cookie Kontrolle)
-CustomizeGoogle (div. Google Einstellungen)
-RefControll (Referrer Senden Unterdrücken)
-SpoofStick (gefälschte Websiten erkennen)

So werden erstmal die wenigsten Infos an Websiten gesendet, zusätzlich hab ich noch zwei Proxy Programme laufen und Jap teilweise an.
So ist man relativ anonym und durch die verschiedenen Umleitungen auch relativ Sicher vor direkten angriffen.

mfg g0t0.

 

[Mitzekotze]

Ah okay danke.

 

[g0t0]

Vieleicht noch ganz Interessant:
Gib in FF als Link about:config ein, dort kannst du (Suche: useragent) deinem Browser verbieten zu Senden das er Firefox ist und das du Linux benutzt.

 

[gropiuskalle]

@g0t0: Wenn Du Dich in Sachen Absicherung mal so richtig austoben willst, empfehle ich Dir, irgendwoher 'ne alte Rappelkiste (ab 486er aufwärts) zu besorgen, darauf den IPCop zu installieren und diese Maschine als Router vor Deinen Rechner zu schalten. Dann hast Du eine Firewall und einen Proxy unter einem Hut und kannst diese Grundkonstellation auf verschiedenste Weise auf Deine Bedürfnisse einstellen (Port-Kontrolle, Content-Filter, Intrusion Detection, VPN...).

 

[Jabo]

hab ich mal gegoogelt wie ich Linux sicher bekomme, habe aber nix gefunden.

Hallo,

• allerdings gibt es beispielsweise zu AppArmour bei Novell in der offiziellen SuSE-Doku sowohl einen
  • Quickstart-Guide als auch einen
  • Admin-Guide.
  • Für Grundlagen bei SuSE ebenfalls ein Kapitel über Sicherheit allgemein, worin auch noch mal AppArmour erwähnt ist.
• Etwas debian-lastig ist -oh, Wunder! - das Securing Debian Manual - nicht mehr ganz neu, enthält also neueste Techniken und Konzepte nicht, aber einiges an Grundsätzlichem, das sich auch auf andere Distis übertragen läßt.
• Sicherheitsrelevante Kapitel in OpenBooks, z.B. bei Oreilly, sind auch gute Anlaufstellen.

Das wäre schon mal ein bißchen was. Allerdings alles größtenteils Themen, die Server und deren Dienste betreffen, nicht so sehr Browsersicherheit etc. ...

So werden erstmal die wenigsten Infos an Websiten gesendet, zusätzlich hab ich noch zwei Proxy Programme laufen und Jap teilweise an.
So ist man relativ anonym und durch die verschiedenen Umleitungen auch relativ Sicher vor direkten angriffen.

Aber wirklich nur "relativ"... Wenn man über einen HTTP-Request sich einen Browser-Exploit einfängt, wird der fein säuberlich bis zum Browser durchgereicht - und funktioniert auf dem selben Wege auch prima zurück ins Netz.

JAP verschlüsselt und kaskadiert Datenverkehr, jedoch greift die Kaskade ja erst *nach* der Strecke zwischen deinem ISP und dem Anon-Server. Und die Betreiber von JAP aben eine Vereinbahrung mit den Behörden, auf Anfrage bestimmte Anfragen zu isolieren. In Kombination mit der Vorratsdatenspeicherung ist eine auch "anlaßunabhängige" Ermittlung z.B. bei Beobachtung eines Servers ganz schnell an deiner Telefondose angelangt, wenn du über JAP im Beobachtungszeitraum auf dem Server warst. Und der ISP ist verpflichtet bzw. soll es werden, dann deine Verbndungsdaten herauszurücken.

JAP bringt nur Webseitenbetreibern gegenüber was, die nicht mehr verstehen können, woher die Anfragen auf ihr Angebot kommen.

Über Tor war übrigens gerade gestern ein interessanter Artikel auf Heise mit dem Titel "Anonymisierungsnetze über gefälschte Routing-Daten angreifbar".

Fakt ist: Die Installation und Nutzung von Security- und Anon-Tools ist tatsächlich nur sehr relativ wirksam, ich denke das ist den meisten hier bewußt, wollte ich aber doch noch mal sagen. Z.B. über den Browserstring die Browserversion und das OS zu verschweigen, ändert nichts an der Möglichkeit des OS-Fingerprintings - wobei dann doch ein Anon-Server gute Dienste leistet, aber eben nur wieder dem Seitenbetreiber gegenüber, der ja nur diesen sieht bzw. irgend welchen Salat aus der Kaskade.

Wie du schon zu Windows sagst: Den Rechner / das Netz vom Angebot an Dienste her nach außen so zuzuschrauben, daß er keine Angriffsfläche bietet, ist wichtiger als die Dienste laufen zu haben und sie dann zu firewallen.

 

[nille]

OpenBSD...
Zumindest werben die damit:

Only one remote hole in the default install, in more than 10 years!

Um einem Flamewar um das "bessere" Betriebssystem vorzubeugen: Der Slogan ist mir nur beim Durchlesen des Threads eingefallen...

Edit
Oha, sorry, hatte nicht gesehen, dass es im SuSE Forum gepostet wurde.

 

[Mitzekotze]

Vieleicht noch ganz Interessant:
Gib in FF als Link about:config ein, dort kannst du (Suche: useragent) deinem Browser verbieten zu Senden das er Firefox ist und das du Linux benutzt.

Ah genau das wars was ich gesucht hab nochmals danke ^^. Bloß eine frage hätte ich: obwohl ich alle Werte auf False gestellt hab erscheint z.B. bei www.wieistmeineip.de noch immer als Betriebssystem Linux und als Browser Mozilla 1.8. Das sind zwar schon weniger genauere Angaben wie vorher aber gibt es auch eine Möglichkeit diese beiden Angaben vollkommen zu verschleiern?

 

[gropiuskalle]

Mal so nebenbei gefragt: wo liegt eigentlich das Risiko, diese Informationen preiszugeben? Ich erkenne nicht so recht, inwiefern dadurch die Privatsphäre verletzt wird - im Gegenteil finde ich den Browserstring ziemlich nützlich, enthält er unter anderem doch auch Informationen über die bevorzugte Sprache. Ich finde, man sollte auch immer bedenken, wo es sinnvoll ist, bestimmte default-settings zu konfigurieren und wo es in Prinzipienreiterei ausartet.

 

[hex]

if(firefoxversion == 1.5.0.0) {
  exploit();
}

Sowas könnte passieren
Zwar relativ unwahrscheinlich, dass eine "normale" Seite sowas hat, aber gibt immer schwarze Schafe. Mit der Sprache hast aber recht. Manche Seiten lesen das ja automatisch aus. Das ist relativ praktisch!

mfg hex