Linux Mint 19 Cinnamon...

[HTL]

Moin,

ich habe mir vor einer Woche Linux Mint als Betriebssystem installiert und bin soweit wirklich begeistert und zufrieden. Hatte Windows 10 und die Jahre vorab Win 7, XP, Win98, Win95, Win3.1

Jetzt nach so vielen Jahren konnte ich, nachdem ich die Datenschutz Erklärung von Win 10 dass erste mal genau und vollständig erlesen habe, dies System für mich persönlich nicht weiter tragen, die Telemetrie/Biometrie und dass nicht vollständige Abschalten können verliehen ein immer sehr ungutes Gefühl. Also weg damit und bislang bereue ich nichts.

Was mich ein klein wenig irritiert ist die Tatsache das überall geschrieben wird man benötigt keinen Virenschutz, dennoch habe ich mir aus der Anwendungsverwaltung heraus den ClamTK geladen und installiert ebenso habe ich die Firewall konfiguriert. Im Netz nutze ich Chromium als Browser mit ScriptSafe und einen Antivirus Online Scanner. Sweeper habe ich mir auch noch installiert um Daten im Browser zu löschen.

Nun Frage ich mich ob dies alles so richtig und ausreichend ist, oder ob ich besser etwas anderes machen sollte/könnte? Vielleicht hat ja der/die eine/andere hier ein paar gute Ratschläge parat über die ich mich sehr freuen würde. Vorab schon mal besten Dank...

 

[Steev]

Nein du brauchst keinen Virenschutz, aber wenn du dich dadurch sicher fühlst ist ja clam keine schlechte Wahl. Du hast aber nicht wie bei Windows:"Piep Piep Trojaner Gefahr" Clam kann letztlich nur vorhandene Dateien durchleuchten. Geh Mal auf ubuntuusers.de und les dort im Wiki was über "Sicherheit und Linux", das sollte ausreichen damit du dich sicher fühlst und wie du dich sicher fühlst und das du es auch bist. Befürchte zwar wieder jetzt kommen hier Bla Bla Gegenargumente zu diesem Thema, dann zeigt mir bitte 1 Seite im WWW wo mein PC kompromittiert wird. Gibt's nicht

 

[Metal_Warrior]

Ich kann Laui an der Stelle nur beipflichten (Überraschung!) - Virenscanner für Linux ist meistens "Finde Windows-Viren auf deinem System, die dort als Müll rumliegen könnten". Wirklich Viren gibt es für Linux nur wenige, und die musst du nahezu alle manuell installieren (klingt genauso ineffizient wie es ist). Firewall ist nett, aber eigentlich nicht nötig - Linux macht nen guten Job, die meisten Dienste gar nicht erst von außen erreichbar zu machen, von vornherein. Bei Mint weiß ich nicht, was so rumläuft, aber ich glaub bei Debian sind es ne Handvoll Dienste, die normalerweise von außen erreichbar sind (und die sind meist Netzwerkverwaltung, also normal).

Wichtig ist hauptsächlich, dass du keine Pakete aus Fremdquellen installierst, also nicht einfach ins Internet und von irgendwo irgendwelche Pakete runterladen und mit dpkg installieren. Nutz deine Softwareverwaltung (Synaptic o. ä.) und zieh dir Software, die du nutzen willst, aus den Repositories.

 

[Steev]

ja aber auch da muss man mal die Angst nehmen das es verseuchte .DEBs gibt. Das ubuntuusers.de Wiki ist nicht nur für Ubuntu gut. Dort ist fast alle Software hinterlegt die es für Linux gibt. Die Repositories sind ja für Mint gleich und DEBs lassen sich ja auch problemlos installieren. Dort findest du nichts was iwie nicht vertrauenswürdig ist. Und da du fürs Arbeiten keine andere Software brauchst erübrigt sich das auch

Und selbst wenn ich eine verseuchte DEB installieren möchte kommt immer die (sudo) Passwortabfrage

 

[Metal_Warrior]

@Laui: Ich widerspreche dir da nur ungern - die sudo-Abfrage ist nämlich auch nur ein Feigenblatt, wenn man es mal gewohnt ist, immer und überall sudo zu verwenden (nicht falsch verstehen, ich bin ein großer Befürworter von sudo, es hilft aber auch nur bedingt). Sudo ist nur dann eine Hilfe, wenn man sich bewusst macht, dass die Kennwortabfrage eine explizite Frage an den User ist, ob er

a) verstanden hat, was er da tut
b) die möglichen Konsequenzen bedacht hat und
c) sich sicher ist, dass er es DENNOCH tun möchte

Abgesehen davon sollte man auch aus dem Ubuntuusers-Wiki, so gut es auch ist, nicht einfach Pakete installieren. Sie können die falsche Version sein, für den falschen Kernel kompilliert worden sein etc. Daher der Hinweis: Auch wenn es im Wiki steht, installier den Scheiß über
[src=bash]sudo apt-get install *wunschpaket*[/src]
Nur so kann man sich sicher sein, dass es verseuchungsfrei ist, zur Architektur passt und auch zur aktuellen Distro-Version.

 

[Steev]

Ich bin ein Freund von Synaptic Paketverwaltung: Man hat den Paketnamen (der einem bei sudo apt-get install vllt nicht ganz geläufig ist) und eine Beschreibung. Auch da ist gewährt dass es (sollte nicht eine neue ppa hinzugefügt worden sein) es aus den offiziellen Quellen installiert wird

 

[Metal_Warrior]

@Laui: Synaptic ist auch nur ein nettes Frontend zu apt, aber ja, solange man nicht einfach irgendwelche Fremdquellen hinzugefügt hat, kann man sich sehr sicher sein.

 

[ElPolloDelDiablo]

Wobei man bei der Panikmache über Fremdpakete auch noch einmal darauf hinweisen muss, dass man sich gerade einmal auf das Niveau eines üblichen Windows oder macOS begibt: Man vertraut einer Drittanbieter-Quelle. Die allermeisten sind vertrauenswürdig (und darum war ja der Schock so groß mit der Malware im AUR vor kurzem). Um die zu benutzen muss man nicht mehr tun als für jedes Programm oder Plugin unter diesen Systemen (und abgefuckt wirklich jedes kleine Progrämmchen und Plugin aus Mangel einer guten und großen Paketquelle), sprich URL verifizieren, gucken, was man da macht, überlegen, ob man das jetzt wirklich braucht, gucken, ob es Alternativen gibt, ... das übliche Prozedere.

Von daher braucht man auch bei Fremdpaketen keine Angst zu haben.

 

[Shodan]

Es gibt durchaus Trojaner für linuxoide Systeme, aber die "Masse" (sofern man davon überhaupt reden kann) zielt auf Router und IoT (Internet of shiT) Geräte mit known vulnerabilities wie z.B. im Trivialfall öffentlich bekannten Standardpasswörtern.

Aber vielleicht wird 2018 ja doch noch das Jahr der Linux-Desktop-Viren

Viele Windows-Umsteiger/innen wundern sich über das Fehlen der so beliebten "Security Suits". Lass uns mal ansehen, was die so machen:
- Processe scannen
Weil ich einem kompromitiertem System ja auch vertrauen kann korrekte Scanergebnisse zu produzieren

- Dateien scannen
Wird auf Mailservern gerne eingesetzt, um die Anhänge zu prüfen.

- heuristische, cloud gestützte Verhatensmusteranalyse von Prozessen
Warum bist du umgestiegen? "Telemetrie"?

- TLS aufbrechen und Traffic scannen
Bonusfunktion: gib all deine Geheimnisse der Suit und sie warnt dich, wenn sie diese im Datenverkehr sieht

- Werbung anzeigen um das Premium-Paket zu verkaufen
Jetzt auch als Open Source!


--> Die unteren Punkte wollen die meisten Linux-User gar nicht haben. Über den ersten kann man diskutieren, immerhin ist die meiste Malware wahrscheinlich nicht in der Lage sich unsichtbar zu machen.
Aber: halbe Sachen sind nicht! "Host intrusion detection systems" laufen daher auf deinem lokalen high-security Server und sammeln Daten von den Hosts ein um Anomalien zu finden, wie zum Beispiel Veränderungen an den Systemdateien, die Installation von unbekannten, nicht gewhitelisteten Programmen oder Auffälligkeiten in den Logfiles. Ein "Network intrusion detection system" beobachtet den Datenverkehr an den Knotenpunkten auf Anomalien. Die Idee dahinter: wenn eine Maschine z.B. anfängt tausende fehlschlagende SSH-Logins zu versuchen, dann ist es wahrscheinlich sinnvoll, sie in Quarantäne zu stecken.

Die Größenordnungen und der Use-Case sind halt ein anderer: wenn man dutzende, oder gar hunderte von Systemen hat, die z.T. von DAUs genutzt werden, wird irgendjemand eines davon schon kaputt bekommen.

Eigentlich müssten N-IDS Systeme aktuell eine gute Marktposition haben, da mit IoT schwer überschaubare Systeme in Privatwohnungen entstehen, aber die meisten User haben halt nur einen zentralen Knotenpunkt (Home-Router) und der ist nicht stark genug um Snort oder Suricata laufen zu lassen. Und wer kauft sich schon teure Hardware, nur um zu prüfen, ob die 10-Euro-WLAN-Lampe versucht die Hintervorderländischen Wahlen zu manipulieren.

Für einzelne Maschinen unter voller eigener Kontrolle stellt man sich sowas normalerweise nicht hin: man geht stattdessen davon aus, dass man sich keinen Crap installiert und betreibt keine Services, die von außen erreichbar sind.

 

[Steev]

Was auch immer du da redest, Anno muss sich ein Linux Desktop User keine Gedanken über Viren machen. Nein.

 

[musv]

Auch wenn ich jetzt in Teilen die anderen wiederhole:

Jetzt nach so vielen Jahren konnte ich, nachdem ich die Datenschutz Erklärung von Win 10 dass erste mal genau und vollständig erlesen habe, dies System für mich persönlich nicht weiter tragen, die Telemetrie/Biometrie und dass nicht vollständige Abschalten können verliehen ein immer sehr ungutes Gefühl.

Jetzt echt? Das ist doch vollkommen irrelevant, was in den Datenschutzerklärungen drinsteht. Microsoft ist ein US-Unternehmen und

You do not have permission to view link please Anmelden or Registrieren

, die Daten der NSA auszuliefern. Dass sich da alle Welt außerhalb der USA empört, ist nicht neu. Dass aber deswegen tatsächlich eine Privatperson ihr Verhalten ändert, schon.

dennoch habe ich mir aus der Anwendungsverwaltung heraus den ClamTK geladen

Schmeiß das wieder runter. ClamAV verwenden wir auf Arbeit auf unserem Mailserver. ClamAV ist nicht schlecht, dient aber in erster Linie dazu, Mailanhänge und Dateien nach Windows-Viren zu scannen. Wenn du unbedingt eine Leistungssenkung auf Deinem Rechner haben willst, dann installier Dir

You do not have permission to view link please Anmelden or Registrieren

oder eins der anderen

You do not have permission to view link please Anmelden or Registrieren

.

und installiert ebenso habe ich die Firewall konfiguriert.

Das würde mich jetzt genauer interessieren, was du da konfiguriert hast. Die Firewalls unter Linux sind grundsätzlich nicht mit denen unter Windows zu vergleichen. Unter Windows erlaubst du Anwendungen Zugriff ins Netz. Unter Linux blockst du diverse Ports, damit von außen niemand auf die geöffneten Ports z.B. eines Mail-Servers drauf kann. Eine Firewall kann durchaus sinnvoll sein. Es gibt aber bessere Sicherheitsmaßnahmen, z.B. nicht benötigte Dienste deinstallieren. Aber auch das ist wiederum im Heimbereich nur bedingt sinnvoll, da die Ports der Dienste sowieso über die Fritzbox von außen zugänglich sind.

Im Netz nutze ich Chromium als Browser mit ScriptSafe und einen Antivirus Online Scanner. Sweeper habe ich mir auch noch installiert um Daten im Browser zu löschen.

Öhm naja. Script Safe ist sicherlich nicht verkehrt. Der Rest dürfte eher keine Verbesserung bringen. Die Daten kannst du auch direkt vom Browser löschen lassen. Bei Firefox gibt's eine Option, dass alle Cookies, Passwörter und die Historie beim Schließen des Browsers gelöscht werden. Außerdem kann man die Annahme von Cookies von Drittanbietern usw. verweigern lassen. Dazu braucht man kein Addon.

Nun Frage ich mich ob dies alles so richtig und ausreichend ist, oder ob ich besser etwas anderes machen sollte/könnte?

Als erstes solltest du aufhören, "in Windows" zu denken.

 

[HTL]

@musv
Danke dir, ja ich denke sehr in Windows, werde ich mir abgewöhnen! Firewall nicht konfiguriert nur aktiviert, weil sie aus war. Es macht aber Spaß mit Linux muss ich zugeben und es ist interessant zu sehen und zu lernen wie Linux arbeitet.

 

[Metal_Warrior]

@HTL: Die Firewall, so wie sie in Linux implementiert ist, kann nicht "aus" sein, nur unkonfiguriert. Um sie "an" zu schalten, muss man sie mit Regeln füttern, d. h. konfigurieren. Wenn du dir mal hier im Subforum die Suchergebnisse zu iptables anschaust, findest du Beispiele und Erklärungen.

 

[Rakorium-M]

Ich nehme an er hat ufw eingeschaltet. In der Standardeinstellung werden damit von außen eingehenden Verbindungen geblockt.

 

[HTL]

Eine kleine Sache hätte ich noch.

Wenn ich meinen Laptop starte dann dauert es zirka 90 Sekunden beim Booten bis Linux Mint endlich da ist. Habe nur 1 System (Linux) und 1T Festplatte (kein HDD) 8GB Arbeitsspeicher. Kann man den Systemstart beschleunigen?

 

[Steev]

poste mal die Ausgabe von

sudo lshw -short

(Terminal maximieren vorher)
im Codeblock

Deine PC-Daten

 

[HTL]

Ok ...

 

[theSplit]

Ich will nichts zu den Sysstats sagen, aber eventuell hilft es dir, einen Bootchart/Trace anzulegen @ HTL.

Da Mint ja auf Debian/Ubuntu basiert(?), schau mal ob du das Paket [kw]bootchart2[/kw] und [kw]pybootchartgui[/kw] installieren kannst bzw. [kw]bootchart[/kw] .

Damit kannst du deinen Startvorgang profilieren lassen und am Ende sehen welcher Prozess wie viel Zeit in Anspruch nimmt und gegebenenfalls entdecken was ausbremst.

Ein Guide findet sich hier (ArchWiki):

You do not have permission to view link please Anmelden or Registrieren

(Bootchart2)
oder hier (UbuntuWiki):

You do not have permission to view link please Anmelden or Registrieren

(Bootchart)

 

[Metal_Warrior]

@HTL: Geh mal in /etc/initramfs-tools/conf.d/resume und stell den Wert der Variable auf "none". Danach noch ein

[src=bash]sudo update-initramfs[/src]

und danach ein Reboot. Wenn du nämlich ein verschlüsseltes SWAP-Device hast (was durchaus Sinn macht), dann wartet er darauf, dass es entschlüsselt wird (was nicht geht, weil der Key zufällig beim Start generiert wird und nie irgendwo gespeichert), um den letzten Zustand des Systems wieder zu bekommen (d. h. den RAM). Da nicht entschlüsselt werden kann, wartet er sich zu Tode und bricht das Warten nach ziemlich genau 90 Sekunden ab.

Obige Einstellung sagt dem Kernel, dass es kein Resume-Device existiert, er damit auch nicht auf die Entschlüsselung warten muss und gleich hochfahren kann.

 

[HTL]

@HTL: Geh mal in /etc/initramfs-tools/conf.d/resume und stell den Wert der Variable auf "none". Danach noch ein

[src=bash]sudo update-initramfs[/src] und danach ein Reboot.

"Geh mal in /etc/initramfs-tools/conf.d/resume" das verstehe ich nicht? Wie und wo, ich weiß - Anfänger!