Difference between revisions of "De:Sicherheit"

From Sabayon Wiki
Jump to: navigation, search
m (Andere Überlegungen: Leerzeichen entfernt)
 
(No difference)

Latest revision as of 10:39, 11 January 2012

i18n: ca de en es fr id
<-- Hauptseite

Festplattenverschlüsselung, LUKS & Boot-Optionen

Verschlüsseln einer Festplatte mag mehr Relevanz für Besitzer mobiler Endgeräte oder die eher paranoiden unter uns haben, aber du kannst sicher sein, dass deine verrückten Ex-LiebhaberIn(nen) oder ein außer Kontrolle geratenes Unternehmen nicht zu dir nach Hause kommt und deinen Computer nutzt? Du hast private Informationen auf deinem Computer, die privat bleiben sollen? Ohne Festplattenverschlüsselung kann jeder, der physischen Zugriff auf deinen Computer hat, einfach deine Daten betrachten. Während der Installation von Sabayon Linux kannst du dich entscheiden, bestimmte Partitionen verschlüsseln zu lassen, oder gleich das ganze System (bis auf eine /boot-Partition) verschlüsseln zu lassen.

Stop.png
Bei Verwendung einer Swap-Partitionen muß diese ebenfalls verschlüsselt werden, ansonsten stellt sie ein hohes Sicherheitsrisiko für das System dar, da in ihr unverschlüsselte Speicherbereiche liegen könnten, unter anderem auch das Systempasswort für die Entschlüsselung von LUKS in Klarschrift!

Selbstverständlich kannst du sie auch unverschlüsselt lassen. Der Preis für eine Festplattenverschlüsselung liegt je nach verwendeter CPU in einer 0.1 bis 4% Anstieg der CPU-Belastung (auf einem AMD Sempron V140 mit 2.3 GHz ist es gerade einmal 0.5%), als Dateisystem empfielt sich in diesem falls das experimentelle btrfs (das vom Übersetzer samt LUKS seit weit mehr als einem Jahr benutzt wird, ohne das er auf einem seiner Systeme auch nur ein einziges mal FSCK zu Gesicht bekommen hat), da es über die Möglichkeit der Selbstreparatur verfügt. Der Nachteil bei btrfs liegt darin, das man btrfs-Partitionen bisher nicht in der Größe verändern kann (was bei einer Komplett-Installation jedoch zu vernachlässigen ist).

Stop.png
Nachdem du deine Festplatte verschlüsselt und dir somit ein Passwort (oder besser noch ein zweites in einem zweiten Slot - das aber noch schwerer sein sollte) zugelegt hast, solltest du wirklich gut darauf achten - denn verlierst du es, besteht keine Möglichkeit, dein System zu entschlüsseln. (Mathematisch schon, wieviele Millionen/Milliarden Jahre hast du denn Zeit?)

Ein Artikel auf Linuxbsdos behandelt die Verschlüsselung mit Sabayon Linux 5.3 und aufwärts: Basic Sabayon disk encryption from LinuxBSDos.com

BIOS

Setze ein Passwort für dein BIOS und lege die zuerst zu bootende Festplatte fest. Du solltest gut auf dieses Passwort aufpassen. Verlierst du es, wirst du im Regelfall den kostenpflichtigen Service deines Geräteherstellers kontaktieren dürfen.

Stop.png
Ein BIOS-Passwort gilt nur als mäßig sicher, denn im Regelfall hat jedes BIOS-Passwort eine Hintertür des Herstellers. Diese zu nutzen kann allerdings in deinem Land eine Straftat darstellen.

Sichere BIOS-Versionen erhält man nur durch die Verwendung eines offenen BIOS, dessen Quellcode man vor dem Kompilieren und Brennen gegenlesen kann. Ein offenes BIOS ist allerdings heutzutage oftmals noch nicht für Geräte/Platinen verfügbar.

Stop.png
Ein BIOS zu verändern kann unter ungünstigen Umständen zu einem Hardwaredefekt und Totalausfall der Hardware führen.

GRUB

Lege ein Passwort für Grub fest. Du solltest dieses Verschlüsseln lassen und nicht im Klartext in der menu.lst hinterlegen. Melde dich als root an:

    $ su

Dann führe folgenden Befehl aus:

    # grub-md5-crypt

Jetzt kann man in die menu.lst das Passwort einfügen.

    # password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/

Mehr zu dem Thema findest du hier: Das GRUB Benutzerhandbuch.

Andere Überlegungen

Jeder, der zugriff auf deinen Computer hat, kann auf deine Festplatte zugreifen und Änderungen an deiner /boot Partition vornehmen oder deine Passwörter beim nächsten Hochfahren sniffen. Man könnte /boot auf einem USB-Stick installieren, wenn man so geneigt ist.

Software

Firewall Software

Liste der derzeitigen Firewalls in Portage

Iptables

kmyfirewall

kmyfirewall ist weit verbreitet.

Guarddog Firewall

Shorewall Firewall

Anti-Virus

GNU / Linux ist sicherer als MS Windows durch sein Design und die Philosophie. MS Windows soll für das Netz offen sein und ausführbare Dateien sollen möglichst auf einfache Weise ausgeführt werden können. GNU/Linux Schutzebenen bereits standardmäßig.

Die Anmeldung bei Linux als normaler Benutzer, nicht root-Benutzer, ist eine wichtige Schutzmaßnahme, weil Sie die root-Rechte benötigen um die schädlichen Viren / Malware zu installieren. Diese können dies nicht allein tun.

Die Software, Updates, Treiber, etc. stammt aus sicheren Spiegelservern. Die Kommunikation zwischen dem Paketmanager und dem Server ist ebenfalls verschlüsselt. Darum, zusammen mit anderen Gründen, verwenden die meisten Linux-Benutzer keine Anti-Virus-Software um ihre Linux-Systeme zu schützen.

Der Einsatz von Linux-Nutzern für Anti-Viren Software macht nur in zwei Szenarien Sinn:

1. Szenario - in einer gemischten Umgebung aus Windows und Linux Wenn dein Rechner auf Windows umbooten kann, kann auf diese Weise eine Verletzung des Systems durch einen Virus auf der Windows-Seite erfolgen.

2. Szenario - du verwendet den Windows-Emulator WINE Leider ist das kein Scherz, die Emulation ist derart gut - und Exploits kommen immer wieder vor, das beim Einsatz von WINE eine möglichkeit der Infektion oder sogar teilweisen Zerstörung des Systems besteht, im Regelfall nur in der Datenstruktur des Benutzers (sofern WINE nicht als root laufen gelassen wird).

Sollte eines deiner beiden Szenarien für deinen PC zutreffen, so überdenke bitte den Einsatz des Paketes ClamAV. Du kannst es installieren mit dem Befehl:

    # equo install clamav

Hier sind noch zwei nützlicke Links die Anti-Viren Software genauer beleuchten:

GLSA

Gentoo Linux Security Announcements (GLSAs)

Wenn in einem Paket in Portage eine Sicherheitslücke gefunden wird, wird Gentoo seine Nutzer durch GLSA darüber informieren.

Gentoo Handbuch Howto

Kurz und knapp

    $ su
    # emerge --sync && layman -S
    # glsa-check -t all
    # glsa-check -f $(glsa-check -t all)

Beachte dabei das dies nur für Portage gilt. Wenn du Entropy nutzt wird dieser Paketverwalter die GLSA für dich bereits erledigen.

Hier findet ihr noch die momentanen Gentoo Linux Sicherheitsratschläge

Hardened Gentoo

Bei einem Projekt (Hardened Gentoo = gehärtetes Gentoo) mit so einem Namen, lohnt sich das Lesen. Für diejenigen unter euch, die nervös durchs Internet Surfen, stets angespannt aus Angst vor Angriffen sind, oder denen, die ein pro-aktives Sicherheitssystem haben wollen, sollten einige dieser Technologien einsetzen. Hardened Gentoo kommt vor allem bei Internetprovidern zum Einsatz.

<-- Hauptseite