• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Sicherheit von Linux

ChubbyD

Neu angemeldet

Registriert
3 Dez. 2017
Beiträge
37
Hallo zusammen,

ich bin vor kurzem auf Linux (Xubuntu 17.10) umgestiegen und bin sehr zufrieden damit.
Bisher bereue ich den Umstieg nicht.

Jedoch hätte ich gerne gewusst, wie sicher Linux gegenüber Viren,Torjaner etc. ist.

Bei Windows ist ein Virenschutz ja zwingen notwendig. Wie sieht es mit Linux aus?

Greats ChubbyD
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@ChubbyD: Linux hat ein einfacheres, dafür effektiveres Rechtesystem. Viren und Trojaner existieren zwar, sind aber auf direkte Mithilfe vom User angewiesen (d. h. der User muss sie manuell herunterladen und installieren, was man in einem Linux normalerweise mit keiner Software tut) In der freien Wildbahn hast du damit de facto keine Gefahr. Außerdem werden die meisten Linux-Distributionen sehr schnell gepatcht, sollten Lücken auftreten.

Alles in Allem: Nein, einen Virenscanner brauchst du nicht. Du bist auch so sicher.
 

Asseon

Draic Kin

Registriert
14 Juli 2013
Beiträge
10.353
Ort
Arcadia
@ChubbyD:Viren und Trojaner existieren zwar, sind aber auf direkte Mithilfe vom User angewiesen (d. h. der User muss sie manuell herunterladen und installieren, was man in einem Linux normalerweise mit keiner Software tut) In der freien Wildbahn hast du damit de facto keine Gefahr.

Davon auszugehen das remote code execution unter Linux nicht möglich ist halte ich für außerordentlich gefährlich. Software die unter Linux läuft ist nicht weniger anfällig als Software die unter Windows läuft. Wenn z.B. der Browser eine ausnutzbare Lücke im png parser hat dann ist definitiv keine User Interaktion, vom betreten einer infizierten Website abgesehen, notwendig um die Lücke auszunutzen, zumal die Sandboxen der Browser nicht unfehlbar sind. Selbiges gilt potentiell für Infizierte E-Mails und Mailprogramme, vor allem wenn diese versuchen anhänge inline anzuzeigen. Auch Lücken in (Netzwerk)Treibern oder Hardware, die sich ohne direkten zugriff zur Hardware ausnutzen lassen, sind denkbar und hat es schon gegeben.
Von diesen Infizierungswegen sind prinzipiell alle Betriebssysteme betroffen. Von solchen auf denen weder Browser noch Mailprogramme laufen bzw. die keinen Netzwerkzugang haben mal abgesehen, aber die dürften in dieser Diskussion irrelevant sein.

Nach der Panikmache nun die Relativierung: Remote execution Lücken sind selten geworden in den letzten Jahren, Schutzmechanismen wie ASLR und DEP/W^X haben das ausnutzen von Sicherheitslücken deutlich erschwert. In der tat ist heute oft User Interaktion die über das betreten einer Seite hinausgeht notwendig, aber das ist nicht Linux spezifisch.

Den großen Vorteil den Linux hat sind die normalerweise schnelle Updates und die zentrale Softwareverwaltung, die rein gar nichts bringen wenn die Updates nicht eingespielt werden oder (viel) Software an der Softwareverwaltung vorbei installiert wird.


So oder so würde ich von Antivirensoftware abraten, da jedes Stück Software, besonders wenn diese mit erhöhten rechten ausgeführt wird, die Angriffsfläche vergrößert.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Davon auszugehen das remote code execution unter Linux nicht möglich ist halte ich für außerordentlich gefährlich.
Das hab ich so nicht gesagt. RCE ist durchaus möglich, nur müsste für eine Infektion des Systems zusätzlich ein Privilege Escalation Pathway existieren, der bislang ungepatcht ist (was angesichts der geringen Latenzzeit für Sicherheitsupdates sehr geringe Zeitfenster bedeutet). Daher Userinteraktion: Der User muss sein Sudoer-Kennwort eingeben, um einer Schadsoftware Zugang zum System zu ermöglichen (es sei denn, sie ist mit Laufen im Userkontext zufrieden).

Tatsächlich ist Linux allein schon aus den Gründen sicherer, dass es kleiner (geht man von konstanter Fehlerrate in Software aus), klarer strukturiert, weniger komplex und geringer verbreitet ist. Die exklusive zentrale Softwareverwaltung tut ihr übriges.

Ich wüsste übrigens auch keine Linux-Antivirensoftware, die sich explizit um die Entseuchung des eigenen Systems kümmert. Alle mir bekannten Lösungen sind hauptsächlich dafür gedacht, (auf Linux unwirksame) Windows-Viren zu erkennen und aus Samba-Shares und Mailqueues zu entfernen.
 

kafuka

-

Registriert
20 Okt. 2017
Beiträge
124
Übliche Sicherheitsvorkehrungen unter Linux sind z.b: s.u. , als AV Software.

- eine gutes pw benutzen
- integrierten Software und Update Manager benutzen
- Firewall aktivieren, (g)ufw ist standardmäßig aus
- zuverlässigen Browser + Addons (z.b ublock origin, noscript, ...)
 

ChubbyD

Neu angemeldet

Registriert
3 Dez. 2017
Beiträge
37
  • Thread Starter Thread Starter
  • #6
Vielen Dank für eure Antworten.

Da ich bisher alle von euch genannten Methoden anwenden (z.b. Software vom Store/Synaptic etc. beziehe)
kann ich von ausgehen, dass ich auch in Zukunft ein sauberes und sicheres System betrieben.

Gibt es jedoch trotzdem die Möglichkeit sein System oder USB-Sticks zu testen?
 
Zuletzt bearbeitet:

Asseon

Draic Kin

Registriert
14 Juli 2013
Beiträge
10.353
Ort
Arcadia
Das hab ich so nicht gesagt.
Stimmt du hast es "nur" Impliziert.

RCE ist durchaus möglich, nur müsste für eine Infektion des Systems zusätzlich ein Privilege Escalation Pathway existieren, der bislang ungepatcht ist (was angesichts der geringen Latenzzeit für Sicherheitsupdates sehr geringe Zeitfenster bedeutet). Daher Userinteraktion: Der User muss sein Sudoer-Kennwort eingeben, um einer Schadsoftware Zugang zum System zu ermöglichen (es sei denn, sie ist mit Laufen im Userkontext zufrieden).
Normale user rechte sind für viele Zwecke vollkommen ausreichend, z.B. um sämtliche Tastatur eingaben abzuschnorcheln sich dann nach dem nächsten sudo das pw zu greifen. user -> root escalation wird in den meisten Szenarien als gegeben angesehen.

Tatsächlich ist Linux allein schon aus den Gründen sicherer, dass es kleiner (geht man von konstanter Fehlerrate in Software aus), klarer strukturiert, weniger komplex
Wann hast du zuletzt in den source code geschaut und verglichen?

und geringer verbreitet ist.
Das gilt nicht für mobile und Server.
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Das noch keiner die Paketverwaltung erwähnt hast schockiert mich etwas.

Vernünftige Systeme haben verwalten vernünftige offizielle Softwarequellen. Nicht jeder User geht sich executables übers web zusammensuchen und wer am Ende die meisten Toolbars hat hat gewonnen.

Das ist aber kein Linuxspezifischer Vorteil sondern nur einer entsprechender Distributionen, Microsoft hätte dieses Problem auch leicht lösen können, aber offenbar ist sowas für internationale Unternehmen ab einem gewissen Jahresumsatz unmöglich. Siehe Valve, Google, Microsoft (und Apple*).


*Bei denen Weiss ich nicht wie schlimm es ist, ich nutze keine Apple Geräte, man stolpert nur immer mal wieder ma Rande über seltsame Einschränkungen.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Stimmt du hast es "nur" Impliziert.
Ich gehe nicht immer sofort auf alle Angriffsszenarien ein, das ist korrekt. Aber eben auch kein Fehler.

Normale user rechte sind für viele Zwecke vollkommen ausreichend.
Erstmal einen Schädling finden, der verbreitet ist und Linux-Systeme zum Ziel hat. Ne BAT wird an der Shell ziemlich flott scheitern. Das mag sich mit PowerShell grad ändern, aber bisher ist es so.

Wann hast du zuletzt in den source code geschaut und verglichen?
Windows 10: 15 GB (ca.) nach Installation. Debian: ca. 4 GB nach Installation. Laut Statistik (!) etwa 1/4 der Fehler.
Um Komplexität abzuschätzen brauch ich keine Sauce, da reicht mir der Blick in die Windows User- und Rechteverwaltung (Administratoren, Domänenadministratoren, Sicherheitsoperateure, Hauptbenutzer, Benutzer, Gäste, ..., für jede Gruppe und jeden einzelnen User einzelne Zugriffsrechte auf einzelne Dateien). Linux: 3 Usergruppen (root, nobody und der Rest), genau 3 Rechtesets pro Datei (Besitzer, Besitzergruppe, Rest).

Das gilt nicht für mobile und Server.
Android ist nicht wirklich Linux, sondern eher ein Unixoid auf Linux-Basis. Und was Server angeht, kannst du durchaus recht haben, die sind aber gegen das Haupteinfallstor von Schadcode erstmal immun (weil kein vernünftiger Admin mit seinem Mailserver auf Pornhub rumgammelt).

Wollen wir das jetzt eigentlich auf die Spitze treiben, oder reicht eine dem Fragesteller und dessen angenommener Fähigkeiten angemessene Antwort, um von "hilfreichem Beitrag" sprechen zu können? Wenn ersteres, hätte ich von dir jetzt gern eine detaillierte, 200seitige Abhandlung nach ISO 27k mit Fokus auf Drive-By-Verseuchung und APTs.
 

Asseon

Draic Kin

Registriert
14 Juli 2013
Beiträge
10.353
Ort
Arcadia
Windows 10: 15 GB (ca.) nach Installation. Debian: ca. 4 GB nach Installation. Laut Statistik (!) etwa 1/4 der Fehler.
Das ist so nicht vergleichbar weil die Standard Installation von Windows Features beinhaltet die der Normalsterblicher Nutzer nicht nutzt und die nicht zwingend aktiv sind, außerdem bringt windows weitaus mehr assets mit als linux.

Um Komplexität abzuschätzen brauch ich keine Sauce, da reicht mir der Blick in die Windows User- und Rechteverwaltung (Administratoren, Domänenadministratoren, Sicherheitsoperateure, Hauptbenutzer, Benutzer, Gäste, ..., für jede Gruppe und jeden einzelnen User einzelne Zugriffsrechte auf einzelne Dateien).
Zum einen ist die windows user Verwaltung viel mächtiger als das was das handelsübliche linux bietet, wenn da ldap Einbindung dazu kommt reden wir auch hier von ganz anderen Dimensionen.
Zum anderen schau dir mal polkit an.

Linux: 3 Usergruppen (root, nobody und der Rest), genau 3 Rechtesets pro Datei (Besitzer, Besitzergruppe, Rest).
Stimmt so schon lange nicht mehr.
  1. Gibt es neben den drei hauptklassen noch setuid, setgid und sticky (Wo oft der Hund begraben liegt)
  2. Wird die sache mit extended file Attributes und security subsystems wie selinux oder apparmor deutlich komplizierter
  3. siehe polkit


Android ist nicht wirklich Linux, sondern eher ein Unixoid auf Linux-Basis.
Was wir linux nennen ist der Linux kernel + gnu userspace. Android hat halt einen anderen userspace ist aber im wesentlichen der selbe kernel und einige userspace tools werden von beiden Geschmacksrichtungen genutzt, muss also somit zur Verbreitung von linux hinzugezählt werden.

Und was Server angeht, kannst du durchaus recht haben, die sind aber gegen das Haupteinfallstor von Schadcode erstmal immun (weil kein vernünftiger Admin mit seinem Mailserver auf Pornhub rumgammelt).
Ein vernünftiger nicht, nein, aber gibt es auch noch Dinge wie drupal und wordpress.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
Gibt es jedoch trotzdem die Möglichkeit sein System oder USB-Sticks zu testen?

In Falle von USB Sticks brauchst du dir weniger sorgen machen, das dabei etwas einfallen könnte - zumindest auf dein System wenn du nicht gerade "Autoplay", hat Ubuntu aber glaube ich, aktiviert hast.
Als Virenscanner, vielleicht so etwas wie "ClamAV" - wobei die Meinungen dazu ja auseinander gehen ob das Teil wirklich taugt oder nicht. Zumindest ein Programm das mir spontan einfällt.

Normalerweise ist es aber so, das ein Linux einen Datenträger (habe ich hier mal gelesen ;) ) - nicht anrührt, das heißt nicht beschreibt oder etwas ausführt, was du nicht explizit selbst vorgibst/ausführst.
Daher gibt es auch nicht die direkte Gefahr das du dir über Speichermedien etwas einfängst was "automatisch" gestartet wird, einzige Einschränkung ist aber so etwas wie Autoplay.

Nun gut, ich weiß nicht in wie weit man USB Sticks zum Beispiel manipulieren kann, hier im Forum war mal von einer Art "Rootkit"-Stick die Rede der irgendwie manipuliert war. Wenn ich das Thema finde, ergänze ich den Link hier - aber ich weiß gerade leider auch nicht mehr, ob sich das speziell auf Windows und oder auch Linux bezogen hat, so ein Selbstbastler "Ding".

Aber grundsätzlich solltest du bei einem Großteil sicher sein können, das dir nichts passiert.
Erst wenn du Skripte oder ähnliches explizit ausführst, könnte etwas passieren.

Daher der gut gemeinte Tip/Hinweis: "Nicht einfach Shell Befehle kopieren und oder Skripte downloaden und ausführen die man nicht indirekt mehr oder minder versteht was sie machen"
Bzw. nicht ohne etwas nach zu forschen was ein Befehl kann oder tut. ;)
 

nik

肉まん

Registriert
19 Feb. 2017
Beiträge
962
Ort
deine Mülltonne
Bei Windows ist ein Virenschutz ja zwingen notwendig. Wie sieht es mit Linux aus?

Der Hund ist hier begraben. Auch unter Windows ist ein "Virenschutz" nicht notwendig.
"Notwendig" sind gewisse Grundregeln, an die man sich hält, wie Updates Zeitnah einspielen, nur installieren, was man braucht und das aus vertrauenswürdigen Quellen, etc.

Da ist das Betriebssystem erst einmal egal.
Der Vorteil von $Linux gegenüber Windows ist hier die zentrale Paketverwaltung und dass Updates ein zeitnah angeboten werden und nicht nur einmal im Monat.

Tatsächlich ist Linux allein schon aus den Gründen sicherer, dass es [...] geringer verbreitet ist.

kleiner Aprilscherz, hm? ;)
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Bildschirmsperre ist auch unter Linux sinnvoll, es gibt viele böse USB-Sticks.

Alles in Allem: Nein, einen Virenscanner brauchst du nicht. Du bist auch so sicher.

… solange du nicht irgendwelche Scripte aus dem Internet ausführst, nicht curl | bash in die Konsole tippst, keine PPAs und andere User-Repos einbindest, keine anderen Paketmanager als die deiner Distribution (pip, npm, …) benutzt, nicht dauerhaft als root arbeitest, deinem Benutzer die sudo-Rechte entziehst, …

- Firewall aktivieren, (g)ufw ist standardmäßig aus

Weiß nicht, ob das so sinnvoll ist… Vielleicht wenigstens mit einem Skript, was fragt, ob das Programm raustelefonieren darf? Ich hatte da mal eines, aber habe vergessen wie es heißt, da bei mir auch kein Bedarf besteht.
 
Zuletzt bearbeitet:

Jan_de_Marten

Aktiver NGBler

Registriert
14 Juli 2013
Beiträge
1.106
Windows 10: 15 GB (ca.) nach Installation. Debian: ca. 4 GB nach Installation. Laut Statistik (!) etwa 1/4 der Fehler.
Selbst mit einem 35MB Windowsinstallation (Win95A/NT4.0) war nicht es weniger fehlerbehaftet. Wenn man sich jetzt den Blödsinn unter Win10 ansieht ....... dreimal die selbe Datei (1x Installationsdatei, 1x Backupdatei und 1x Arbeitsdatei). Es ist schlichtweg falsch von der Größe eine OS-Installation auf die Anzahl der Fehler bzw fehlerbehaften OSen zuschließen.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@Jan_de_Marten: Ich glaube was Metal_Warrior damit meint, ist die Codebasis - je mehr Code, desto Fehleranfälliger kann etwas sein oder desto mehr Sicherheitslücken könnten auftreten und um so schwerer ist es, etwas zu warten oder "richtig" zu betreuen.
Quasi ein "Code-Monster" :D
 
Oben