Gooken - ssl-Verschlüsselung Ihrer Verbindung zur Suchmaschine
Gooken - addurl: füge eine URL einer Webseite hinzu, auch ohne ihren Bezug auf unser Hauptthema
Gooken- Code-Integration des Gooken-Eingabefeldes für Textsuche in Ihre Menüs und Webseiten
Gooken - download der Größe nur eines MB (some thought it were 100)
Gooken - Top-Platzierung Ihrer Webseiten


1000%


intro


c-s-19-1986





Null Problemo: "If you do not know, how to go on, you have two possibilities: either you explode, or you cry for help. / Wenn man nicht mehr weiter weiß, hat man zwei Möglichkeiten: entweder man explodiert oder schreit nach Hilfe" (Magnum, TV-Serie, Januar 2016).

Gooken-The_Green_LED


Schritt 1 - IT-Sicherheit / Informatik und Gesellschaft - Mehrfachvorsorge - das Basisniveau - Report von Gooken, der Internet-Suchmachine mit dem Online-Exkurs "Sicherheit in der Informationstechik"

Computern - der Heidenspaß am Sonnenfressen | Ausgangssitutation | Theoretische Grundlagen - die Sicherheitsfunktionen | Entscheidende Idee | ISO-LSB-OpenSource mit Changelogs | Suchmaschine/Gooken | Datenbanken | Datensicherung | anonymer Proxy | Grundsätzliches | KDE (4.4.5, mdv, 4.3.4 el6 | Hardware: Treiber, Support, Datenbanken | SSD optimieren | (Null) Updaten (ab Jahr 2026, "UNIX", Miros Suneater hat bis dahin gesprochen, hugh.) | Sicheres und stabiles "UNIVERSAL-UNIX/LINUX" on the DAILY UPDATE-PATCH-CHANNEL: Updates und Aktualisierungen mit Enterprise Linux bzw. Fedora Project resp. CentOS 6 (el6), CentOS 7 (el7), EPEL (el6, el7), Fedora (fc) und Rosa2014.1 | WLAN | Emulation von MS Windows | News&Links: Sicherheit für MS Windows | News&Links: Sicherheit für Smartphones | Update Firefox | Ad- bzw. Scriptblocker: alles blocken | Sicherheitskonzept | msec-Sicherheitsebenen ( level.secure: no-remote-root-login, no-root-login, ... und perm.secure ) | msec -MAC Tomoyo-Linux (mdv2010/el6) - Zugriffsrechtsregelungen für die Prozess-Interaktion | Zugriffskontrolle und msec-Zugriffskontrolle | ACL - Advanced Access Rights - Setzen weiterer Zugriffsrechte auf Verzeichnisse und Dateien für Benutzer und Gruppen mit setfacl und getfacl u.a. zur Entfernung von Bremsen | /etc/passwd - allen entkommen: no login-shell accessible | Sandboxen, Container: Programme mit docker oder firejail starten | Root-Partition: Ausreichend freier Speicherplatz | Root-Partition read-only | Neuer Kernel - Kernel-Source-Quellpakete installieren oder patchen | System-Vollverschlüsselung (FSE) mit LUKS/dm-crypt | Verschlüsselende Methoden, Netzwerksicherheit (PC-WELT) | Vernetzung Linux- mit Windows-Rechnern, Freigaben im LAN | Anti-Hacker und Anti-Trojaner iptables/Linfw3 | zusätzliche Filterkonzepte | Konqueror: integrierter Skript- und Werbeblocker, importierbare Filterliste von unserer Updateseite | Anonymisierte (und verschlüsselte) Namensauflösung ohne Zensur und Überwachung: Lokaler DNS-Proxy pdnsd mit dnscrypt-proxy und /etc/hosts | Tor oder Eigentor? TOR, the onion-router: Anonymisierungs-Netzwerk | Installation mit Rootkit-Scan | IDS: System Integrity Check: incron, iptables mit psd (linfw3), aide, ...| Sitzung | Programm-Troubleshooting | Netzwerk, Netzwerk-Troubleshooting | News&Links: Netzwerk-Sicherheit | X-Troubleshooting (X11-Server) | Drucker-Troubleshooting (CUPS), Clever und Smart: Alles für den kleinen Elefanten | News&Links: Alles ( und mehr ) über den Computer, Reparatur, Netzwerk, Drucker, Tipps und More Troubleshooting | Einzelmaßnahmen und Reparatur | WLAN | Erweiterter IT-Sicherheitscheck mit allem Drum und Dran | WLAN | CIAO Hardware-Probleme! "Einfach nur geil" und funktioniert noch heute: Datenblatt "zertifizierte Lifetime-Hardware" (Energiesparen mausklick-schnell und preiswert, dafür einfach nicht kaputt zu kriegen): Betriebssystem mdv2010.2 (geupdatet mit CentOS/EPEL (el6, el7) und Rosa auf dem Update-Channel pro-linux.de), All-in-one-Mainboard Mini-ITX-220/Express 945GC/ICH7 ( aus dem Jahr 2009/2010, mit klassischer 1,2 GHz-64-Bit-Celeron-CPU und bis zu 8 GB DDR-2 und Intel-GPU INTEL GMA 950, 82945G/GZ Integrated Graphics Controller, max. 224MB mit Auflösung: 4800×1200 max., bVIA VT 1705 High Definition Audio-6-Kanal-HD-Azalia-Audio CODEC Soundsystem und Atheros Gigbit-Ethernet-LAN-Chip onboard, gesockeltes crashfree EZ-BIOS AMI, ×USB 2.0, 19W, MS Windows 7 and Linux-tested, 29,95€), 18,5 Zoll (48 cm) Ultraslim WLED-TFT-Monitor Brilliant Display (18W, 95€), SSD (1W, 128GB, 30€, -Stahl-Computer-Gehäuse mit Gehäusekühler und Ampel-LEDs, 4,95€, Netzteil SL-A 500 W (19,95€...) | More than 1000 Linux-Top-Games (mdv2010 resp. rosa2014): OpenGL, SDL, PyGames und mehr | mdv2010-final: Software (65 GB + 50 GB ( 26 DVD ) | CIAO Hardware-Probleme! mdv2010-final: energiesparende Hardware | Hardware (fast) umsonst | Hardware umsonst | Strom umsonst ( körperliche Ertüchtigung inkl.) | Weltkulturschande: Abreagieren umsonst | Sex umsonst | Geld umsonst, Land umsonst ("Eine Revolution hat nie stattgefunden", Niko.L.), System umsonst (FED, EZB, Draghi & Co.) | Alles umsonst | Anzeigen umsonst | mdv2010-final: Drucker, Drucker-Troubleshooting | MS Windows: Tipps und Tricks für mehr Sicherheit | News&Links#Computer | Computer | Immerwährender Browser-Top Konqueror: Download finales Konqueror Update ( für alle rpm-basierte Distributionen? ) | Monitor | Drucker | SSD | Netzwerk | Smartphone | MS Windows | Advertisement | Alternatives | Downloads | Encryption (HDD/SSD) | Finance | Glossary | Gooken | Gooken-integration | Link-exchange | Unmanned Flying Objects (Drohnen) | Kein Horror in Sodom und Gomorrha: Weak Point Human ( technisches und menschliches Versagen: Schwachstelle Mensch, Interessensgruppen und Interessenskonflikte, EU-Lobbyismus, Schwachstelle Westen, Schwachstelle "Deutschland" u.a. ) - Society Report, Part 1-6 | Society - Niue-Muenzen - Pay with Mickey Maus! | Der Kriminalstaat (Udo Pohlmann, Fortsetzg.) - More Reports | Society, Part1 (Tagesschau.de u.a.) - Märsche in den Tod | Society, Part 2 - Das Jahrhundert der Ar...kriecher (Buch) | Society, Part 3 - Ausländer in Deutschland: Wassertragen in den Tod? | Society, Part 4 - Absolutismus - Ludwig XXII., descendent of the most imitated person of the world | Society, Part 5 - child murder & Co., Kindermörder & Co. | Society, Part 6 - Bankenskandal - bank skandal - org. Kriminalität in den Tod | Society, Part 7 - Affenkopf für den Zoo ( Facebook ) | Society, Part 8 - Zerschlagungsfälle: MS, Google, ...: Processes by law, Prozesse in den Tod | Society, Part 9 - Eva Herman: Ukraine-conflict, Ukraine-Konflikt: kriegslüstern in den Tod | Society, Part 10 - Beauty on Gooken.de: 1000× (noch) schöner als Sie! Selbstfanantiker, Selbstliebe (Narzissmus) in den Tod (Liierungen) | Society, Part 11 - NSA, GHCQ, BND & Co.: Spionage in den Tod | Society Part 12 - Superrich.de (Forbes) - She got eyes of the bluest sky - and when there comes the rain ... ( über die Kunst mit offenen Augen zu schlafen ) - wet, wet, wet! | Society Part 13 - Suneaten in den Tod | Society, Part 5 - Kinder vergessen, Honig im Kopf: FSK ab 6 Jahren! | Society, Part 14 - tödlicher Appetit | Spenden, Danksagung mit Quiz | Werbefläche | ...unverbesserlich? News&Links | BACK


Gewinnen Sie Ihr Vertrauen zurück !


supportGooken - das (zeitweise) brechend volle große "China-Restaurant"... Möchten auch Sie den ersehnten Frieden mit dem Computer schließen, das System finden, das mausklick-schnell läuft, alles umfasst und außerdem die unglaublich hohe Sicherheit bietet? Wenn Ihnen unsere Projekte gefallen, dann freuen wir uns über Ihren Support! Um die zugehörige Bankverbindung von Gooken zu erfahren, klicken Sie bitte hier! Spenden sie an Gooken mit PayPal.me durch Klicken auf

PayPal: Spend or pay Gooken by PayPal.me / Spende oder Zahlung an Gooken über PayPal.me :

Pay by Paypal.me: Bitte hier klicken!

oder kontaktieren Sie uns: Die Projekte von Gooken stehen zum Sonderpreis für ein paar Septrillionen nach Vereinbarung zum Verkauf an (Stand: 2010), Einzelheiten siehe im Menü links unter

Aus unserer Reihe

Die Zeit vor Gooken, Zeit vor "Universal Linux"
Computer Es geht (ging) kaum noch kaputter


"News&Links".

Zunächst aber die...

Übersicht - Kurzbeschreibungen (Inhalt)


Blick in eine durchsichtige Spendenbox | Bildquelle: dpa
Betrüger kaum zu belangen
Hunderte Spendenmillionen versickern
, tagesschau.de, 09.07.2019
Nach Recherchen von Report Mainz werden jedes Jahr Hunderte Millionen Euro an Spendengeldern nicht ordnungsgemäß verwendet. Die Rechtslage macht es Betrügern dabei leicht.
https://www.tagesschau.de/investigativ/report-mainz/spendenbetrug-101.html

News&Links#Part1-6


"Ich bin noch nie so belogen worden!"
#34c3: Die Lauschprogramme der Geheimdienste
, netzpolitik.org, 29.01.2018
"Ich bin noch nie so belogen worden", sagte Hans-Christian Ströbele über seine Arbeit im NSA-BND-Untersuchungsausschuss. In einem Gespräch mit Constanze Kurz resümiert der grüne Politiker die Ergebnisse der parlamentarischen Untersuchung.
https://netzpolitik.org/2018/34c3-die-lauschprogramme-der-geheimdienste/

Betrüger kaum zu belangen
Hunderte Spendenmillionen versickern
, tagesschau.de, 09.07.2019
Nach Recherchen von Report Mainz werden jedes Jahr Hunderte Millionen Euro an Spendengeldern nicht ordnungsgemäß verwendet. Die Rechtslage macht es Betrügern dabei leicht.
https://www.tagesschau.de/investigativ/report-mainz/spendenbetrug-101.html

Spendengelder versenkt?: Warum Klaas Heufer-Umlauf mit seinem Projekt zur Seenotrettung scheiterte, STERN.de, 25.09.2019
Im Juli 2018 sammelte Klaas Heufer-Umlauf fast 300.000 Euro Spenden für eine private Rettungsaktion im Mittelmeer. Doch das Projekt scheiterte und macht deutlich, mit welchen Problemen die Seenotrettung zu kämpfen hat.
Ein Jahr später ist die Bilanz ernüchternd. Die geplante Mission ist nie gestartet, ein Teil des Geldes scheint verloren zu sein, wie die österreichische Rechercheplattform "addendum" berichtet. Zwar habe die Organisation "Civilfleet", die Klaas zur Umsetzung des Vorhabens gegründet hatte, ein Schiff gechartert und dieses auch ausgerüstet. Doch ...
https://www.stern.de/neon/wilde-welt/gesellschaft/klaas-heufer-umlauf--darum-scheiterte-sein-projekt-zur-seenotrettung-8920848.html

Experte über Privatsphäre: "Ich frage mich ständig, warum die Leute das alles noch mitmachen", STERN.de, 09.06.2019
Marc Al-Hames kennt alle Tricks der Werbe-Industrie. Im Gespräch mit dem stern erklärt er, warum die plötzlichen Datenschutz-Bekenntnisse einiger Konzerne nicht ernstzunehmen sind und was der größte Unterschied zwischen Apple und Google in puncto Datenschutz ist.
[...] "Google sammelt Daten nicht nur mit Hilfe von Diensten wie Gmail, Youtube oder dem Play Store, sondern auch im Netz.
Google sieht 80 Prozent von allem, was Sie im Netz machen. Auch wenn Sie sich bewusst gegen Dienste des Konzerns entscheiden, also keinen Chrome-Browser nutzen, nie eine Google-Suche machen, kein Youtube-Video anschauen und keine Gmail-Adresse besitzen. Der Konzern ist der größte Werbe-Tracker im Internet!"

"Was wird erfasst, wenn ich mich durch verschiedene Webseiten klicke?"

Euro-Blüten: Mehr Falschgeld in Deutschland, SPIEGEL ONLINE, 26.07.2019
Die Bundesbank hat in der ersten Jahreshälfte mehr Falschgeld aus dem Verkehr gezogen. Das lag auch am Wettlauf zwischen Fälschern und Behörden. mehr...
https://www.spiegel.de/wirtschaft/soziales/mehr-falschgeld-in-deutschland-weniger-euro-blueten-in-europa-a-1279162.html

Geldwäschebekämpfung
Beim Zoll stauen sich Verdachtsmeldungen
, tagesschau.de, 09.07.2019
Nach massiver Kritik ist die Geldwäsche-Bekämpfung des Zolls verstärkt worden. Doch es half wenig: Die Zahl der nicht abgeschlossenen Verdachtsmeldungen erreichte ein Rekordhoch.
https://www.tagesschau.de/investigativ/ndr/geldwaesche-verdachtsmeldungen-101.html

"Das Internet muss weg!"
Schlecky Silberstein surft in unserer Filterbubble

Christian Brandes aka Schlecky Silberstein würde gern das Medium abschaffen, das ihn ernährt. In "Das Internet muss weg" beschreibt der Blogger, wie wir von Algorithmen, Trollen und Tech-Firmen gebrainwasht werden. Aber ist er nicht selbst ein Teil davon? Eine Rezension.
https://netzpolitik.org/2018/schlecky-silberstein-surft-in-unserer-filterbubble/

US-Regierung verzichtet auf Microsoft Zerschlagung
6. Sept. 2001 überraschende Wendung im Monopol-Verfahren gegen Microsoft: Die US- Regierung hat sich heute gegen eine Zerschlagung des ...
https://www.heise.de/newsticker/meldung/US-Re...32.html Zerschlagung&tbo=1

EU-Kommissarin droht Zerschlagung von Microsoft an, winfuture.de
Linux fördert also auch die weitere Entwicklung von Windows. shiversc: Er kann Linux mit Sicherheit gut bedienen. Somit schließt er nicht von sich…
https://winfuture.de/news-kommentare,31357.html

Droht Microsoft die Zerschlagung?, Golem.de
Drohne Open Source Linux Foto Android Galaxy S8Droht Microsoft die ZerschlagungVC5 Neuer Linux-Grafiktreiber für Broadcom-SoC in Arbeit
https://www.golem.de/9804/494.html

Bist du für die Zerschlagung von Microsoft?, PC-WELT
"Linux Hacker's Guide" und "Hacker´s Guide" sind jedem Computerfreak ein Begriff. Der Verfasser dieser beiden Bestseller… https://www.pcwelt.de/ratgeber/Bist-du-fuer-die-Zerschlagung-von-Microsoft-54581.html

2000: Gates übergibt im Januar die Microsoft-Führung an Ballmer und schafft für sich den Posten eines Chef-Software-Architekten. Im April entscheidet ein Gericht, Microsoft missbrauche eine Monopol-Position. Eine Zerschlagung Microsofts steht im Raum.

Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich
Plattform-Regulierung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich.

Darauf gibt eine einfache Antwort: Zerschlagen.
Und genau das müssen wir mit Google tun.


Härterer Datenschutz, Zerschlagung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich.
https://netzpolitik.org/2018/den-datenfischern-die-netze-kappen-ideen-gegen-die-marktmacht-der-plattformen/

Abstimmung im EU-Parlament: Droht Google die Zerschlagung?, Tagesschau, 27.11.2014
Heute stimmt das EU-Parlament über einen Antrag zur Marktmacht von Suchmaschinen ab. Für den Internet-Giganten Google könnte das weitreichende Folgen haben: Die Rede ist von einer Aufspaltung des Konzerns.Wer bei Google das Wort "Karten" eingibt, bekommt als ersten Treffer Google Maps angezeigt - den Kartendienst, den Google selbst betreibt. Erst danach werden andere Dienste von Michelin oder Falk aufgelistet. Und wer Nachrichten-Artikel lesen oder online shoppen will, findet gleich unter dem Google-Suchfeld Links zu den Google-eigenen Portalen. Irgendwie praktisch, denn es muss ja schnell gehen. Aber auch sehr unfair, beklagen die anderen Anbieter: Google missbrauche seine Marktmacht, indem es seine eigenen Produkte im Ranking bevorzuge, sagen sie.

Facebook fdp Zerschlagung Facebook vorstellen
31. März 2018 Die FDP unterstützt kartellrechtliche Überlegungen der Grünen, für große Internetkonzerne wie Facebook notfalls auch eine Zerschlagung in ...
https://www.wallstreet-online.de/nachricht/10413761-facebook-fdp-Zerschlagung-facebook-vorstellen

Facebook Gruenen Chef Robert Habeck fordert Zerschlagung
31. März 2018 Als Konsequenz aus dem millionenfachen Datenmissbrauch bei Facebook verlangen die Grünen eine Zerschlagung des US-Internetkonzerns.
https://www.welt.de/politik/deutschland/artic...beck-fordert-.htmlZerschlagung

Deutsche Bank in rund 1200 Verfahren verwickelt, tagesschau.de, 22.05.2014
Der Bankenskandal u.a. der Deutschen Bank, hier klicken

Zerschlagung von Amazon, Google und Facebook gefordert, golem.de
Elizabeth Warren: Zerschlagung von Amazon, Google und Facebook gefordert. Eine der einflussreichsten Politikerinnen der USA will Amazon, Google und…
https://www.golem.de/news/elizabeth-warren-zerschlagung-von-amazon-google-und-facebook-gefordert-1903-139893.html

Härterer Datenschutz, Zerschlagung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich.
https://netzpolitik.org/2018/den-datenfischern-die-netze-kappen-ideen-gegen-die-marktmacht-der-plattformen/

Facebook-Zerschlagung: Zuckerberg antwortet auf Hughes, PC-WELT.de, 13.05.2019
Zuckerberg habe unkontrollierte Macht. Es sei Zeit, Facebook zu zerschlagen. Zuckerberg antwortet auf die Vorwürfe.
https://www.pcwelt.de/news/Facebook-Mitbegruender-fordert-Zerschlagung-von-Facebook-10589651.html

Macht des sozialen Netzwerks
Mitgründer will Facebook zerschlagen
, tagesschau.de, 11.05.2019
Innerhalb von zwei Monaten geht ein weiterer Facebook-Insider an die Öffentlichkeit und fordert die Zerschlagung des Konzerns. Diesmal ist es der Mitgründer, der vor Marktmacht und Einflussnahme des Giganten warnt.
https://www.tagesschau.de/wirtschaft/facebook-zerschlagung-101.html Mehr zu diesem Thema:
F8 Konferenz: Facebook reloaded, https://www.tagesschau.de/ausland/facebook-entwickler-konferenz-101.html
McNamee rechnet mit Facebook ab, 11.03.2019, https://www.tagesschau.de/ausland/facebook-kritik-mcnamee-101.html



"Letzte Möglichkeit der Zerschlagung", netzpolitik.org, 28.04.2018
Das Bundeskartellamt sah Facebooks Datensammelei aus Drittquellen zuletzt als missbräuchlich an, während Google gegen eine von der EU-Komission wegen Missbrauch der Marktmacht verhängte Strafe in Milliardenhöhe klagt. Nach Ende der Verfahren, so Knoerig, "kommen wir über die Bundesregierung womöglich zu dem Ergebnis, dass wir Kommissionen bilden, und dann können wir, wenn es denn nötig sein wird, entflechten".
Reinhard Houben (FDP) sprach sich dafür aus, die Verfahren abzuwarten und bezeichnete die Möglichkeit der Zerschlagung als "letzten Schritt". Die digitale Wirtschaft brauche "Freiraum, damit sie sich entfalten kann."
https://netzpolitik.org/2018/bundestag-ueberlegt-digitale-plattformen-zur-oeffnung-zu-verpflichten/

Facebook: FDP kann sich Zerschlagung Facebooks vorstellen
31. März 2018 Die FDP unterstützt kartellrechtliche Überlegungen der Grünen, für große Internetkonzerne wie Facebook notfalls auch eine Zerschlagung in ...
https://www.wallstreet-online.de/nachricht/10413761-facebook-fdp-zerschlagung-facebook-vorstellen

Facebook: Grünen Chef Robert Habeck fordert Zerschlagung
31. März 2018 Als Konsequenz aus dem millionenfachen Datenmissbrauch bei Facebook verlangen die Grünen eine Zerschlagung des US-Internetkonzerns.
https://www.welt.de/politik/deutschland/artic...beck-fordert-Zerschlagung.html

Hamburger Datenschuetzer fuer Facebook-Zerschlagung
5. Apr. 2018 Der Hamburger Datenschutzbeauftragte Johannes Caspar unterstützt politische überlegungen zu einer möglichen Zerschlagung des ..
. https://www.abendblatt.de/article213932855/Hamburger-Datenschuetzer-fuer-Facebook-Zerschlagung.html

US-Regierung verzichtet auf Microsoft Zerschlagung
6. Sept. 2001 überraschende Wendung im Monopol-Verfahren gegen Microsoft: Die US- Regierung hat sich heute gegen eine Zerschlagung des ...
https://www.heise.de/newsticker/meldung/US-Re...32.html Zerschlagung&tbo=1

US-Wissenschafter fordert Zerschlagung von Google Facebook und Co.
[Eingetragen am 2018-05-14] ... 23. März 2018 US-Marketingprofessor Scott Galloway hat vor einer übermacht der vier Tech- Giganten Google, Amazon, Facebook und Apple gewarnt und ... https://www.derstandard.de/story/200007671614...ung-von-google-facebook-und-co

Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich
Plattform-Regulierung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich. Ingo Dachwitz, Simon Rebiger, Alexander Fanta (EU-Korrespondent)

Zerschlagung von Amazon, Google und Facebook gefordert, golem.de
Elizabeth Warren: Zerschlagung von Amazon, Google und Facebook gefordert. Eine der einflussreichsten Politikerinnen der USA will Amazon, Google und…
https://www.golem.de/news/elizabeth-warren-zerschlagung-von-amazon-google-und-facebook-gefordert-1903-139893.html

Härterer Datenschutz, Zerschlagung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich.
https://netzpolitik.org/2018/den-datenfischern-die-netze-kappen-ideen-gegen-die-marktmacht-der-plattformen/

Hamburger Datenschuetzer für Facebook-Zerschlagung, abendblatt.de, 05.04.2018
Der Hamburger Datenschutzbeauftragte Johannes Caspar unterstützt politische Überlegungen zu einer möglichen Zerschlagung des Facebook ..
. https://www.abendblatt.de/article213932855/Hamburger-Datenschuetzer-fuer-Facebook-Zerschlagung.html

Tim Wu: Warum Facebook zerschlagen werden sollte, netzpolitik.org, 11.07.2019
Ein ehemaliger Obama-Berater fordert die Wiederbelebung eines amerikanischen Anti-Kartell-Geistes. Facebook würde durch seine Größe angreifbar, Standard Oil und AT&T wären Beispiele für gelungene Entflechtungen. Er beschuldigt Mark Zuckerberg, Instagram illegal übernommen zu haben.
https://netzpolitik.org/2019/tim-wu-warum-facebook-zerschlagen-werden-sollte/

Huawei-Handy mit Hongmeng OS noch in diesem Jahr, PC-WELT.de, 05.08.2019
Es gibt neue Gerüchte zu Huaweis Android-Alternative Hongmeng OS. Sie basiere auch nicht auf Android, sondern Fuchsia OS.
https://www.pcwelt.de/news/Huawei-Handy-mit-Hongmeng-OS-noch-in-diesem-Jahr-10641247.html

US-Regierung nervös wegen angeblicher Google-Zerschlagung, tagesschau.de, November 2014
[...] Das EU-Parlament plane die Zerschlagung von Google, war dazu in verschiedenen Medien zu lesen. Die Schlagzeile verfehlte ihre Wirkung nicht: Sogar die US-Regierung zeigt sich nervös. "Wir haben den Resolutionsentwurf des Europaparlaments mit Besorgnis zur Kenntnis genommen", erklärte die US-Vertretung bei der Europäischen Union. Zuvor hatten laut einem Bericht der "Financial Times" führende US-Politiker vor einer zu starken Einmischung der EU in "offene Märkte" und vor negativen Konsequenzen für die Handelsbeziehungen zwischen EU und USA gewarnt.
Fortsetzung des Berichts: weiter unten

Kapitalismuskritik und Internet: Wie böse ist Amazon?, SPIEGEL ONLINE, 05.08.2014
Der Buch-Versender Amazon will sich dem Markt unterwerfen. Widerspenstigen Verlagen und Autoren drohen Handelsboykotte. Wie konnte es passieren, dass der Handelsriese als eine Greenpeace im Internet gilt? Eine Kolumne von Jan Fleischhauer mehr... [ Forum ]

Vom Online-Buchladen zum Billionen-Konzern
25 Jahre Amazon: Zerstörer des Einzelhandels und Liebling der Börse
, 05.07.2019
Die Geschichte des größten Online-Händlers begann vor 25 Jahren in einer Garage in Seattle. Heute ist Amazon einer der wertvollsten Konzerne der Börse und Gründer Jeff Bezos der reichste Mensch der Welt. Doch das Unternehmen hat viele Kritiker.
https://www.stern.de/digital/online/25-jahre-amazon--vom-online-buchladen-zum-billionen-konzern-8785610.html

Zerschlagung von Amazon, Google und Facebook gefordert, golem.de
Elizabeth Warren: Zerschlagung von Amazon, Google und Facebook gefordert. Eine der einflussreichsten Politikerinnen der USA will Amazon, Google und…
https://www.golem.de/news/elizabeth-warren-zerschlagung-von-amazon-google-und-facebook-gefordert-1903-139893.html

Härterer Datenschutz, Zerschlagung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich.
https://netzpolitik.org/2018/den-datenfischern-die-netze-kappen-ideen-gegen-die-marktmacht-der-plattformen/

User als Laborratten
Wie Mark Zuckerberg den US-Kongress in die Irre führte
, netzpolitik.org, 17.04.2018
Der Facebook-Chef warf bei der Anhörung vorige Woche geschickt Nebelgranaten. Heikle Fragen zur Verwendung von Nutzerdaten blieben unbeantwortet. Der Datenschutzbeauftragte der EU wirft dem Internetkonzern indes vor, seine User in "Laborratten" zu verwandeln. Die Antwort der europäischen Politik auf den Skandal kommt aber nur langsam ins Rollen.
https://netzpolitik.org/2018/wie-mark-zuckerberg-den-us-kongress-in-die-irre-fuehrte/

Jeder Dritte wollte Windows 10 nicht mal geschenkt, (indirekter Ubuntu-Empfehler) PC-WELT.de, 01.08.2016
Haben Sie das Windows-10-Upgrade gemacht? Oder verweigerten Sie es? So haben sich unsere Leser entschieden!
https://www.pcwelt.de/news/Machen-Sie-das-Gratis-Upgrade-auf-Windows-10-10007169.html

Edge Computing: Microsoft-Chef schwärmt von der nächsten Computerrevolution - und sie wird uns alle treffen, STERN.de, 10.10.2019
Bei den Präsentationen von Microsoft-Chef Satya Nadella geht es längst nicht mehr um Windows.
Die Zukunft des Computers ist die "Intelligent Edge", da ist sich Microsoft-Chef Satya Nadella sicher. Auf einer Konferenz in Washington erklärte er Regierungsmitarbeitern, was dahinter steckt - und warum Politik und Militär Microsoft-Technik kaufen sollten.
Schon seit mehreren Jahren spielt Microsofts einstiges Kern-Geschäft Windows in den Reden des Microsoft-Chefs Satya Nadella kaum noch eine Rolle. Sein Herzensthema ist längst der Cloud-Dienst Azure, wie er gerade auf einer Rede in Washington erneut bekräftigte. Er will ihn zum "Welt-Computer" ausbauen. Die Technologie dahinter nennt sich "Intelligent Edge" - und sie hat tatsächlich das Potenzial, die Technik-Welt zu verändern.
Denn die Zukunft gehört nicht den Geräten in unserer Tasche sondern ihrem Zusammenspiel mit der intelligenten Cloud, so Nadella. Lange Zeit mussten unsere Rechner ihre Berechnungen entweder selbst erledigen, oder sie waren auf die Leistung der Cloud angewiesen. Die Intelligent Edge bricht diesen Gegensatz auf - und öffnet so unzählige neue Möglichkeiten.
Ständiges Zusammenspiel
Aus Cloud und Gerät wird ein Zusammenspiel. Die smarten Geräte - Edge genannt - arbeiten im Alltag vor sich hin und sammeln dabei Daten. Die werden dann an die Cloud geschickt und dort von künstlicher Intelligenz weiterverarbeitet. Die dabei entstandenen Verbesserungen der KI werden dann wieder auf die Edge übertragen, die dadurch noch smarter vor Ort agieren kann. So verbessert sich das System ständig selbst.
[...] Die Geräte selbst treten dabei in den Hintergrund. Während Microsoft früher auf allen Windows laufen lassen wollte, spielt das Betriebssystem heute kaum noch eine Rolle. Wie sehr das zutrifft, zeigte der Konzern letzte Woche, als er sein erstes Smartphone mit Android präsentierte.
Der Höhepunkt kommt erst noch
[...] Das Militär als Kunde
Nadella präsentierte seine Vision natürlich nicht zufällig in Washington. Er bewarb dort auf dem Microsoft Government Leaders Summit die Dienste seines Konzerns für Politik und Militär. "Wir wollen Partner der Regierungen werden. Nicht, um sie von unserer Technologie abhängig zu machen. Sondern um aus ihnen unabhängige Nutzer und Ersteller von Technologien zu machen, die mit uns zusammenarbeiten."
Bereits letztes Jahr hatte sich Microsoft klar dazu bekannt, trotz Protesten der eigenen Mitarbeiter das US-Militär weiter mit seinen Technologien ausrüsten zu wollen. So bewarb sich der Konzern - genauso wie Amazon - um einen Großauftrag, der die Software des US-Militärs komplett überholen und auf Cloud-Basis bringen soll. Welcher Konzern den Auftrag erhält, ist noch offen. Im Sommer schloss Microsoft einen weiteren Milliarden-Deal ab, um die Büros des Pentagon mit seinen Office-Programmen auszustatten.
[...] Kritiker sehen die Kombination aus Edge-Computing und Militär als durchaus gefährlich an. So könnten Drohnen in Zukunft auf Basis ihrer KI-Algorithmen selbst die Entscheidung zum Angriff treffen. Google hatte sich wegen solcher Befürchtungen in seiner Belegschaft entschieden, die Zielerkennung von Drohnen nicht weiter zu unterstützen.
Nadella scheint diese Gefahr durchaus bewusst zu sein. In seiner Rede sprach er auch von der Verantwortung, die KI mit sich bringt. "Wir glauben an verantwortliche KI. Man muss auch die schweren Fragen stellen, nicht nur was ein Computer tun kann - sondern auch, was er tun sollte." Die Antwort nannte er nicht.
https://www.stern.de/digital/computer/microsoft-chef-erklaert--warum-windows-und-co--kuenftig-kaum-eine-rolle-spielen-8945156.html

Entspannt in der Cloud unter Linux, PC-WELT.de, 12.10.2019
Komfort versus Datenschutz: Manche Cloudfunktion ist unverzichtbar.
https://www.pcwelt.de/ratgeber/Software-fuer-die-Zusammenarbeit-im-Web-9903500.html

Jeder Dritte wollte Windows 10 nicht mal geschenkt, (indirekter Ubuntu-Empfehler) PC-WELT.de, 01.08.2016
Haben Sie das Windows-10-Upgrade gemacht? Oder verweigerten Sie es? So haben sich unsere Leser entschieden!
https://www.pcwelt.de/news/Machen-Sie-das-Gratis-Upgrade-auf-Windows-10-10007169.html

Symbolbild Serverfarm
"Europa-Cloud": Bundesregierung sorgt sich um deutsche Daten im Ausland
, 23.07.2019
Weil immer mehr Daten in ausländischen Clouds lagern, sorgen sich Innen- und Wirtschaftsministerium um die Datensouveränität. Zumindest aus Bürgersicht löst eine "Europa-Cloud" aber keine Probleme. https://netzpolitik.org/2019/europa-cloud-bundesregierung-sorgt-sich-um-deutsche-daten-im-ausland/

Bill Gates will Milliarden in Kernkraft investieren, PC-WELT.de, 28.01.2019
Bill Gates will Milliarden US-Dollar investieren, um den US-Kongress von sauberer Kernkraft zu überzeugen.
https://www.pcwelt.de/a/bill-gates-will-milliarden-in-kernkraft-investieren,3463817

Von News&Links#MS-Windows

Microsoft-Zwangsregistrierung: Ihr Recht auf Daten, PC-WELT
Wir haben zur Rechtslage einen Experten befragt: Ein Anbieter muss vorher sagen, welche Informationen er über Sie speichert. Außerdem hat die…
https://pcwelt.de/news/Microsoft-Zwangsregistrierung-Ihr-Recht-auf-Daten-138641.html

Windows 10 und Microsoft Office 2016 und die Sache mit der Zwangsregistrierung, merkst.de
Mit dem Aktivierungszwang der Office-Pakete und auch Windows 10, die im Laden mit einem Aktivierungs-Code verkauft werden, verstößt Microsoft meiner Meinung nach gegen …
https://merkst.de/microsoft-office2016-sache

Nun, wenn ich sowas wie Windows oder Office kaufe, besitze ich über Registrierung bei Herstellerfirma Microsoft die Berechtigung (Lizenz) zur Nutzung durch Installation. Was aber passiert, wenn ich Windows nicht erwerbe? Dann kommt es einmal mehr zur Registrierung all der Versionen von MS Windows und Office, die eben nicht erworben wurden. All diese Registrierungen (samt Nicht-Registrierungen) lassen sich evaluieren und das Ergebenis der Evaluierung an Staat und andere Firmen usw. weiterleiten, mit jeder Menge Kundenservice im Fall der Gunst (Erwerb) oder eben jeder Menge Repressalien (bei Nichterwerb), angefangen mit schweren, rechnen zu müssen. Auf der Flucht vor Repressalien kann dann umgekehrt hersteller- und firmenseits mit immer größerem Absatz (Marktanteil) und Umsätzen gerechnet werden...
Eine Evaluierung kann oder genauer könnte hier nur wie folgt lauten: "keinerlei Windows (so dass auch kein Office)" -> "schwer zu bekriegender firmen- und staatsfeindlicher Terrorist bzw. Gefährder", "die eine oder andere alte Windows-Version" -> "fahnenflüchtig", ..., "neueste oder alle Windows- und Office-Versionen" -> großer Freund&quor;, d.h. "mit jeder Menge Anspruch auf Support und Kundenservice". Das Ganze kommt auch f¨r registrierungspflichtige Waren anderer, insbesonders einflussreicher Hersteller wie Apple, Amazon, Google, Zalando und ( für alle unmittelbar einsichtig bei) Facebook (&uum;ber ausgebliebene Anmeldung bzw. Anmeldung, Grad der Aktivität und etwaige Abmeldung) in Betracht...
Mit anderen Worten besteht dann Kaufzwang (bei Facebook Meldepflicht ( Anmeldepflicht ) und Pflicht zur Aktivität).

Patch-Day: Microsoft stopft 88 Schwachstellen, PC-WELT.de, 17.06.2019
Beim Update-Dienstag im Juni hat Microsoft 88 Schwachstellen beseitigt. Kritische Lücken stecken in Windows, Edge und IE.
https://www.pcwelt.de/news/Patch-Day-Microsoft-stopft-88-Schwachstellen-10608550.html

Windows braucht Linux: Sonst hat Microsoft keine Zukunft, CHIP, 17.04.2016
VON CLAUDIO MÜLLER
Microsoft hat Linux in Windows 10 integriert. Aber nicht nur, um Entwicklern eine Freude zu machen. Für den Konzern geht es um die Zukunft - und die ist ohne Linux undenkbar
http://www.chip.de/news/Windows-10-braucht-Linux-Denn-Microsoft-hat-sonst-keine-Zukunft_92315506.html

Viren, Trojaner, Würmer, Bots: 40 Prozent aller deutschen Computer sind "Zombies", FOCUS Online, 02.03.2014
Die Zahlen sind alarmierend: 40 Prozent aller PCs in Deutschland sind infiziert und können von Cyber-Gangstern ferngesteuert werden. Einmal freigesetzt, öffnet Malware oft die Hintertür für neue Schädlinge. Wie Sie sich schützen können. Die Zahl infizierter Computer ist in Deutschland im vergangenen Jahr wieder auf 40 Prozent gestiegen. Das stellte das Anti-Botnet-Beratungszentrum des Internetverbandes Eco fest. 2014 habe man mehr als 220.000 Computer gescannt, auf denen zu etwa 80 Prozent ein veralteter Browser installiert war. Diese ermöglichen häufig die Übernahme durch Trojaner und Viren. Ein erster Schädling öffne häufig die Tür für weitere Infektionen, erklärt der Verband. "Zombie-Rechner" können ferngesteuert werden. Infizierte sogenannte "Zombie-Rechner" können von Cyberkriminellen ferngesteuert werden. "Ihre Systeme agieren als Teil eines Netzwerkes, das Kriminelle für Verbrechen wie den Spam-Versand oder Denial-of-Service-Angriffe nutzen, die erhebliche finanzielle Schäden anrichten", erklärt Markus Schaffrin, Sicherheitsexperte im Eco. Das Ergebnis sei alarmierend, sagt Eco. Für nachhaltige Sicherheit, sei eine korrekt eingestellte Firewall und ein Antivirenprogramm notwendig, heißt es vom Verband. Wie Sie den besten Virenscanner finden, erklärt FOCUS Online hier (wir, Gooken, empfehlen den auf allen verbreiteten Betriebssystemen installierbaren und somit unter umfassender Begutachtung stehenden Opensource-Scanner Clamav).

Windows 10 - Ein einziger Datenschutz-Unfall
Politik zur Datenschleuder Windows 10: Aufsichtsbehörden müssen handeln
, netzpolitik.org, 29.11.2018
Das Bundesamt für Sicherheit in der Informationstechnik bestätigte kürzlich offiziell, dass Windows 10 umfangreiche Nutzungsdaten an den Hersteller Microsoft sendet. NutzerInnen könnten sich davor nicht effektiv schützen. Wir haben Politik und Verwaltung gefragt, was sie mit den Ergebnissen anfangen.
Das Betriebssystem Windows 10 wirkt wie ein einziger Datenschutz-Unfall. Seitdem der Nachfolger von Windows 8 den Usern vor zweieinhalb Jahren als vorgetäuschtes Update mehr oder weniger aufgezwungen wurde, haben DatenschützerInnen das System kritisiert. Die Datenschutz-Einstellungen sind versteckt, kompliziert und kaum bedienbar. Gleiches gilt für die Telemetrie-Einstellungen, über die sich die Übertragung der System- und Nutzungsdaten an den Hersteller Microsoft regeln lassen. Komplett ausschalten lässt sich die Datenübertragung selbst für versierte NutzerInnen nur schwer. In der vergangenen Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Erkenntnisse nun auch offiziell bestätigt.
Die Untersuchung der Telemetrie-Einstellungen ist ein Teil der groß angelegten Studie des BSI zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10, kurz: "SiSyPHuS Win10". Im Rahmen der Studie sollen schrittweise alle sicherheitskritischen Funktionen des Betriebssystems analysiert und die Ergebnisse nach und nach veröffentlicht werden. Die Teilergebnisse der Untersuchung stellen jetzt offiziell fest, dass zwar die Möglichkeit besteht, die Datenerfassung und -übermittlung vollständig zu deaktivieren. Das ist laut BSI aber nur unter hohem Aufwand möglich und zwingt Nutzer dazu, bestimmte Dienste abzuschalten.
Windows 10 ist das am weitesten verbreitete Betriebssystem und wird in Deutschland auch im öffentlichen Bereich eingesetzt, also von Behörden und Verwaltungen. Damit hat es einen erheblichen Einfluss auf die hiesige IT-Infrastruktur. Wir haben deshalb bei den zuständigen Ministerien und Behörden sowie den FachpolitikerInnen im Bundestag nachgehakt, welche Konsequenzen sie aus dem Bericht ziehen.
Das Ergebnis unserer Befragung: Erstmal tut sich weiter nichts. Bundestagsabgeordnete und Ministerien erwarten, dass Datenschutzbehörden Prüfungen vornehmen - wie es etwa in den Niederlanden längst der Fall ist. Das Innenministerium will über mögliche Folgen für die öffentliche IT-Ausstattung entscheiden, wenn der Test abgeschlossen ist. Auch die Bundesdatenschutzbeauftragte kündigt an, reagieren zu wollen, wenn weitere Erkenntnisse vorliegen. Da darf man schon mal fragen: Wie lange soll hier eigentlich noch geprüft werden, bevor etwas passiert?
auf welcher Rechtsgrundlage es die Daten erhebt. Stattdessen verweist die Pressestelle auf das Nutzerhandbuch. Die Daten würden erhoben, um den KundInnen ein sicheres Produkt anzubieten. Die Telemetrie-Einstellungen ließen sich einfach heruntersetzen (wenn auch nicht abschalten, wie das BSI feststellt). Außerdem verweist Microsoft auf ein Untersuchungsergebnis des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), das die Professional-Version von Windows 10 2017 zwar als ein "kommunikationsfreudiges", aber dennoch taugliches Arbeitswerkzeug zumindest für Unternehmen einstufte.
Dieses Bayerische Landesamt für Datenschutzaufsicht ist unter anderem für Datenschutzverstöße der dort ansässigen Unternehmen zuständig. Da Microsoft Deutschland seinen Sitz in München hat, haben wir dort nachgefragt, welche Schlüsse das Amt aus dem jüngsten Test des BSI ziehen wird. Dazu wollte man sich beim BayLDA allerdings nicht äußern. Als die Behörde die Business-Version von Windows 10 prüfte, versprach der Leiter der Behörde, Thomas Kranig, "weiter den Dialog mit Microsoft" zu suchen, um offene Fragen zu klären. Auf diesem Stand scheint die Behörde stehen geblieben zu sein.
Fortsetzung des Berichs auf siehe News&Links#Zerschlagungsfall_MSWindows_Google_&Co. und
https://netzpolitik.org/2018/politik-zur-datenschleuder-windows-10-aufsichtsbehoerden-muessen-handeln/
News&,Links#MS Windows

Tester im Jahr 2016: Rund 5500 Verbindungsversuche pro Tag von MS Windows 10 ins Internet
In wenigen Stunden schnell mehrere hundert Kontakte zu Internetservern
Windows-Datenschutz auf BSI-Level - so gehts
, PC-WELT.de, 17.04.2019
Seit der Einführung von Windows 10 wird das Betriebssystem für seinen mangelnden Datenschutz kritisiert: Es werden zu viele Daten ins Internet gesendet. Nun hat das BSI nachgemessen und aufgedeckt, wie Sie den Datenversand komplett abstellen können.
Kritik am Datenschutz von Windows 10 hagelt es von Sicherheitsexperten, Bloggern und Firmen. Ein PC mit Windows 10, der aktuell keine Aufgabe zu erledigen hat, nimmt dennoch laufend Verbindungen zu Servern im Internet auf. Die Kritik ist nicht neu. Schon Windows XP wurde für seine sogenannte "Call-Home"-Funktionen kritisiert. Damals im Jahr 2001 waren einige Programme, etwa der Windows Media Player, für den unangemeldeten Kontakt ins Internet verantwortlich.
Forstetzung des Berichts mit zugehörigen Sicherheits-Einstellungen: News&Links#MSWindows und
https://www.pcwelt.de/a/bundesamt-fuer-it-sicherheit-bsi-untersucht-sicherheit-von-windows-10,3463082

Malware Rekord 2019: Trojaner Emotet hat bereits über 30.000 Varianten, trojaner-info.de, 16.07.2019
Im ersten Halbjahr 2019 hat G DATA bereits mehr Versionen des Trojaners Emotet entdeckt, als im gesamten Jahr 2018.
Der Trojaner Emotet ist eine der häufigsten und gefährlichsten Bedrohungen für Unternehmen. Die Allzweckwaffe des Cybercrime wird von Kriminellen meist zur gezielten Spionage in Unternehmen genutzt. Nach der initialen Infektion kommt dann weitere Malware wie Trickbot oder die Ransomware Ryuk zum Einsatz. Im ersten Halbjahr 2019 registrierten die Sicherheitsexperten von G DATA bereits mehr als 33.000 Varianten der Schadsoftware - mehr als im gesamten Jahr 2018.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/malware-rekord-2019-trojaner-emotet-hat-bereits-ueber-30-000-varianten.html

Malware-Kampagne: Microsoft warnt vor Astaroth, trojaner-info.de, 16.07.2019
Die Astaroth-Kampagne nutzt eine dateilosen Ausführungs- und Live-Off-the-Land-Technik. Dadurch sind Angriffe nur sehr schwer zu entdecken.
Das Microsoft-Sicherheitsteam hat aktuell eine Warnung vor laufenden Malware-Kampagnen herausgegeben, die die Astaroth-Malware mit Hilfe von Fileless und Living-Off-the-Land-Techniken verbreiten, die es für traditionelle Antivirenlösungen schwieriger machen, die laufenden Angriffe zu erkennen.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/malware-kampagne-microsoft-warnt-vor-astaroth.html

Mozilla blockt Staats-Hacker, trojaner-info.de, 15.07.2019
Mozilla konstatierte: DarkMatter stelle "eine signifikante Bedrohung" für die Sicherheit der User dar.
Das laut Firmenangaben in der IT-Security tätige Unternehmen DarkMatter aus den Vereinigten Arabischen Emiraten hat zwei Gesichter. Jenes des rasant wachsenden IT-Sicherheitsanbieters, der etwa als Zertifikatdienstleister für ein sicheres Internet sorgen will. Und jenes des Arbeitgebers ehemaliger NSA-Agenten, der Regierungen Spionagedienste anbietet und Dissidenten ausspäht.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/mozilla-blockt-staats-hacker.html

MacOS: 10-fach von Malware bedroht, trojaner-info.de, 16.07.2019
SentinelOne erkannte, dass Cyberkriminelle die Mac-Plattform von Apple vermehrt fokussieren und auch immer häufiger Erfolg haben.
Trotz aller gegenteiligen Behauptungen, auch Mac-User sind nicht immun gegen Kompromittierungen oder gefährliche Infektionen: Allein in den ersten sechs Monaten des Jahres 2019 identifizierten die Security-Forscher von SentinelOne mindestens zehn verschiedene Arten von Malware, die speziell auf MacOS abzielen, wie infopoint-security.de dazu ausführte.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/macos-10-fach-von-malware-bedroht.html

Nvidia bestätigt: Treiber zeichnet Nutzer-Daten auf, PCWELT, 09.11.2016
Durch das Programm Geforce Experience kann Nvidia viele Informationen zum PC auslesen. Update: Stellungnahme von Nvidia.

Vorwurf: nvidia-Treiber zeichnet Telemetrie-Nutzerdaten auf, PCWELT, 07.11.2016
Durch den Grafikkartentreiber sowie das Programm Geforce Experience kann Nvidia viele Informationen zum PC auslesen.
Nutzer von Nvidia-Grafikkarten verwenden meist offizielle Treiber oder das Programm Geforce Experience . Beide Software-Bestandteile sollen unzählige Daten über den Rechner des Nutzers an Nvidia senden. Auf das Abgreifen derartiger Telemetrie-Daten wies das französische Magazin CanardPC Hardware schon vor einigen Monaten hin. Aufregung entstand jedoch erst nach der übersetzung des Artikels auf Reddit.
Demnach soll Nvidia die ID und Größe des Monitors an Tracker von Adobe und Google senden. Informationen zur verbauten CPU und installierten Laufwerken wandern hingegen an die Server des Grafikkartenherstellers. Nach der Installation von Geforce Experience wird der PC sogar komplett analysiert, inklusive Details zu Mainboard, Seriennummer, BIOS-Version, USB-Laufwerken oder RAM-Größe. Konkurrent AMD geht bei seinen Grafikkartentreibern sparsamer mit erfassten Daten um. Laut CanardPC Hardware werden nur bei der Installation wenige Informationen zum Rechner erfasst.
https://www.pcwelt.de/news/Vorwurf-Nvidia-zeichnet-Telemetrie-Daten-per-Treiber-auf-10070735.html

Übertragung von Drucker-Nutzungsdaten verhindern, PC-WELT.de, 28.01.2017
Auch Multifunktionsdrucker sammeln eine große Menge an Nutzerdaten und geben diese an den Hersteller weiter.
https://www.pcwelt.de/tipps/Uebertragung-von-Drucker-Nutzungsdaten-verhindern-10110184.html

Sicherheit
Spionage: Was der Drucker über Sie verrät, PC-Magazin.de, 31.08.2017
Wussten Sie, dass Drucker die eindeutige Geräteseriennummer und den Druckzeitpunkt hinterlassen? Nein? Auch einer Whistleblowerin wurde das zum Verhängnis.
Spion im Drucker: Entschlüsselungshilfe im Internet
​ Spion im Drucker: Das Geheimnis der gelben Punkte
http://www.pc-magazin.de/ratgeber/drucker-spionage-tracking-dots-mic-machine-identification-code-3198297.html

USA
Gemeinschaft::Organisationen
Linus Tovalds: "Grsecurity-Patches sind Müll"
59.900,50 US-Dollar für Arbeitsstunden und 2.403,12 US-Dollar für Auslagen
Grsecurity soll Anwaltsgebühren zahlen

Nach einer Niederlage gegen Bruce Perens vor Gericht im Dezember kündigte Open Source Security Inc., die Firma hinter den Grsecurity-Kernel-Patches, die nächste Instanz an. Nun wurde das Unternehmen - noch vor der Entscheidung der nächsten Instanz - zur Zahlung Perens' Anwaltsgebühren verurteilt.
Bereits seit geraumer Zeit warnen Entwickler und OpenSource-Advokaten vor Teilen der von Grsecurity vertriebenen Patches. So äußerte sich unter anderem Linus Torvalds abfällig über die Patches des Projektes und bezeichnete Grsecuritys Patches als "Müll" und deren Entwickler als "Clowns". Ebenfalls keine gute Meinung über die Sicherheitserweiterung des Kernels vertritt Bruce Perens, der die Kunden des Unternehmens warnte, dass sie sich mit der Verwendung von Grsecurity unter Umständen der mittelbaren Urheberrechtsverletzung sowie des Vertragsbruchs schuldig machen. Perens Motivation zu dieser Aussage lag darin begründet, dass Grsecurity-Gründer Brad Spengler seinen Kunden untersagt hatte, die mittlerweile kostenpflichtigen Patches weiterzugeben, und sie bei Zuwiderhandlung mit Vertragskündigung bedrohte. Im August 2017 hatte die "Open Source Security Inc.", die Grsecurity vertreibt, Perens wegen Verleumdung und Geschäftsschädigung verklagt.
Am 22. Dezember gab das Gericht dem Gesuch von Perens auf Niederschlagung der Anklage recht und verwarf den Vorwurf der Verleumdung, ließ aber den Weg für die nächste Instanz offen, was auch passierte. Im Januar legte Open Source Security Berufung gegen die Entscheidung beim US-amerikanischen Berufungsgericht ein und einem Monat später folgte Perens und sein Anwaltsteam mit einem Antrag, die Kosten für den Rechtsstreit - insgesamt mehr eine halbe Million US-Dollar - nach dem kalifornischen Anti-SLAPP-Gesetz ersetzt zu bekommen. Open Source Security wies den Betrag als überhöht zurück. Am Wochenende stimmte jedoch Richterin Laurel Beeler dem Antrag zu.
Die von Perens' Anwälten angebrachten Gebühren halte Beeler zwar laut einem Bericht von The Register für überhöht, eine Zahlung von 259.900,50 US-Dollar für Arbeitsstunden und 2.403,12 US-Dollar für Auslagen für durchaus angebracht. Ferner verwarf Beeler den Antrag der Anwälte, die Zahlung der Gebühren zu verschieben, bis die Beschwerde bearbeitet wurde. Die Kostennote seit demnach rechtskräftig und müsse beglichen werden.
"Leider ist dies ein Rückschlag für uns", sagte Rohit Chhabra, Gründer der Anwaltskanzlei Chhabra und Anwalt von Open Source Security, in einer E-Mail an "The Register". Das Unternehmen sei aber zuversichtlich, den Streit letztlich gewinnen zu können.
https://www.pro-linux.de/news/1/25985/grsecurity-soll-anwaltsgeb%C3%BChren-zahlen.html


"I too trust grsecurity/pax, my Debian wouldn"t be in harmony with me and my world without them... Anyone else to pitch in and help/lobby/solve our queries?"
http://forums.debian.net/viewtopic.php?t=103302

Wir halten die grsecurity-Linux-Kernel-Patches und paxctld für unverzichtbar, wie allein aus der ausführlichen Konfiguration der zahlreichen Einzelpunkte nach dem Einspielen der Patches hervorgehend, Anm., Gooken:
grsecurity-patch - Components, en.wikipedia.org
PaX
A major component bundled with grsecurity is PaX. Among other features, the patch flags data memory, the stack, for example, as non-executable and program memory as non-writable. The aim is to prevent memory from being overwritten, which can help to prevent many types of security vulnerabilities, such as buffer overflows. PaX also provides address space layout randomization (ASLR), which randomizes important memory addresses to reduce the probability of attacks that rely on easily predicted memory addresses.
Role-based access control
Another notable component of grsecurity is that it provides a full role-based access control (RBAC) system. RBAC is intended to restrict access to the system further than what is normally provided by Unix access control lists, with the aim of creating a fully least-privilege system, where users and processes have the absolute minimum privileges to work correctly and nothing more. This way, if the system is compromised, the ability of the attacker to damage or gain sensitive information on the system can be drastically reduced. RBAC works through a collection of roles. Each role can have individual restrictions on what it can or cannot do, and these roles and restrictions form an access policy which can be amended as needed.
A list of RBAC features
: Domain support for users and groups
Role transition tables
IP-based roles
Non-root access to special roles
Special roles that require no authentication
Nested subjects
Support for variables in the configuration
And, or, and difference set operations on variables in configuration
Object mode that controls the creation of setuid and setgid files
Create and delete object modes
Kernel interpretation of inheritance
Real-time regular expression resolution
Ability to deny ptraces to specific processes
User and group transition checking and enforcement on an inclusive or exclusive basis
/dev/grsec entry for kernel authentication and learning logs
Next-generation code that produces least-privilege policies for the entire system with no configuration
Policy statistics for gradm
Inheritance-based learning
Learning configuration file that allows the administrator to enable inheritance-based learning or disable learning on specific paths
Full path names for offending process and parent process
RBAC status function for gradm
/proc//ipaddr gives the remote address of the person who started a given process
Secure policy enforcement
Supports read, write, append, execute, view, and read-only ptrace object permissions
Supports hide, protect, and override subject flags
Supports the PaX flags
Shared memory protection feature
Integrated local attack response on all alerts
Subject flag that ensures a process can never execute trojaned code
Full-featured, fine-grained auditing
Resource, socket, and capability support
Protection against exploit bruteforcing
/proc/pid filedescriptor/memory protection
Rules can be placed on non-existent files/processes
Policy regeneration on subjects and objects
Configurable log suppression
Configurable process accounting
Human-readable configuration
Not filesystem or architecture dependent
Scales well: supports as many policies as memory can handle with the same performance hit
No run-time memory allocation
SMP safe
O(1) time efficiency for most operations
Include directive for specifying additional policies
Enable, disable, reload capabilities
Option to hide kernel processes

Chroot restrictions
grsecurity restricts chroot in a variety of ways to prevent various vulnerabilities and privilege escalation attacks, as well as to add additional checks:
No attaching shared memory outside chroot
No kill, ptrace (architecture-independent), capget, setpgid, getpgid and getsid outside chroot
No sending of signals by fcntl outside chroot
No viewing of any process outside chroot, even if /proc is mounted
No mounting or remounting
No pivot_root
No double chroot
No fchdir out of chroot
Enforced chdir("/") upon chroot
No (f)chmod +s
No mknod
No sysctl writes
No raising of scheduler priority
No connecting to abstract unix domain sockets outside chroot
Removal of harmful privileges via cap

Miscellaneous features
Among other things, it can be configured to audit a specific group of users, mounting/unmounting of devices, changes to the system time and date, and chdir logging. Some of the other audit types allow the administrator to also log denied resource attempts, failed fork attempts, IPC creation and removal, and exec logging together with its arguments.
Trusted path execution is another optional feature that can be used to prevent users from executing binaries not owned by the root user, or world-writable binaries. This is useful to prevent users from executing their own malicious
binaries or accidentally executing world-writable system binaries that could have been modified by a malicious user. grsecurity also hardens the way chroot "jails" work. A chroot jail can be used to isolate a particular process from the rest of the system, which can be used to minimise the potential for damage should the service be compromised. There are ways to "break out" of a chroot jail, which grsecurity attempts to prevent.
There are also other features that increase security and prevent users from gaining unnecessary knowledge about the system, such as restricting the dmesg and netstat commands to the root user.[13]
List of additional features and security improvements:
/proc restrictions that do not leak information about process owners
Symlink/hardlink restrictions to prevent /tmp races
FIFO restrictions
dmesg restriction
Enhanced implementation of trusted path execution
GID-based socket restrictions
Nearly all options are sysctl-tunable, with a locking mechanism
All alerts and audits support a feature that logs the IP address of the attacker with the log
Stream connections across Unix domain sockets carry the attacker´s IP address with them (on 2.4 only)
Detection of local connections: copies attacker's IP address to the other task
Automatic deterrence of exploit brute-forcing
Low, medium, high, and custom security levels
Tunable flood-time and burst for logging

https://en.wikipedia.org/wiki/Grsecurity

Software::Kernel
Grsecurity (RSBAC, RSBAC-Kernel) schützt Linux-Kernel vor Return Oriented Programming-Angriffen
, Pro-Linux.de, 09.02.2017
Das Grsecurity-Projekt hat einen Patch für Linux 4.9 vorgestellt, der erstmals Angriffe, die auf Sprüngen in bereits vorhandenen regulären Code beruhen, verhindert.
http://www.pro-linux.de/news/1/24438/grsecurity-schützt-linux-kernel-vor-return-oriented-programming-angriffen.html

Subgraph OS: ist ein besonders gehärtetes Linux mit Grsecurity/PaX Kernel Patches. Alle Anwendungen sind per Sandbox voneinander isoliert. Tor Onion Router wird standardmäßig als Anonymisierungsdienst genutzt. Derzeit steht eine Alpha Version zum Download bereit. Das ISO-Image kann auch als Live-DVD als Alternative zu TAILS genutzt werden.
https://www.privacy-handbuch.de/handbuch_24o.htm

Automatically responds to exploit bruteforcing, grsecurity.org, 23.09.2019
Even if all system-level infoleak sources and methods of entropy reduction are closed down, there remains the fact that a Linux system is generally unable to prevent bruteforcing of arbitrary network services and suid/sgid binaries. Grsecurity solves this issue by forcing a delay between forks of network services being bruteforced and bans users from executing suid/sgid apps for a period of time if they cause one to crash. Grsecurity takes a similar approach to preventing repeated attempts at exploiting kernel vulnerabilities. After the first detected attempt causing an OOPS message, grsecurity bans that unprivileged user from the system until restart.
https://grsecurity.org/features

Hardened BPF JIT against spray attacks, grsecurity.org, 23.09.2019
The Linux kernel contains functionality that allows it to generate machine code at runtime to speed up packet filtering and SECCOMP rules. This functionality can be abused by attackers as they are able to both pre-determine the contents of the generated machine code and also fully control certain arbitrary values within that content that permit them to execute arbitrary code through an unintended instruction sequence. Grsecurity uses a technique called "constant blinding" to prevent an attacker from having enough control over the generated machine code to launch a successful attack. Unlike upstream's attempts at resolving this problem, our solution is resistent to leaks of the location and contents of the JIT-generated code.
In the default, JIT-disabled mode, grsecurity also protects the execution environment against a corrupted interpreter buffer.
Finally, the use of RAP will prevent JIT spray attacks in general by ensuring that no functions can call, jump, or return to anywhere in the middle of a JIT-compiled BPF filter.
https://grsecurity.org/features

Random padding between thread stacks, grsecurity.org, 23.09.2019
Linux distros generally do not compile code with the -fstack-check flag to GCC, making it possible to exploit incorrectly-sized calls to alloca(). By taking advantage of pthread´s behavior of allocating quickly-created thread stacks adjacent to each other, the stack of another thread can be reliably modified to achieve exploitation. Randomizing the offset between thread stacks removes the reliability of this technique, generally reducing the exploit to a crash.
https://grsecurity.org/features

Prevents kernel stack overflows on x64, grsecurity.org, 23.09.2019
While vulnerabilities arising through the improper use of variable-length-arrays (VLAs) and runtime stack allocation are handled automatically with a GCC plugin, grsecurity also provides a feature to prevent exploitation arising from other sources of kernel stack overflows: deep nesting and recursion. On a mainline Linux kernel, a kernel task is free to overflow its stack into adjacent heap objects in order to escalate privilege. Grsecurity places kernel stacks non-contiguously in a separate memory region on 64-bit architectures to avoid any such abuse.
https://grsecurity.org/features

Prevents userland code execution by kernel, grsecurity.org, 23.09.2019
PaX´s KERNEXEC feature effectively prevents the kernel from executing code in userland through memory corruption. This feature is provided for x86, x64, and ARM, even on processors that don't support SMEP or PXN."
https://grsecurity.org/features

Prevents direct userland access by kernel, grsecurity.org, 23.09.2019
Through PaX´s UDEREF feature, grsecurity forces any userland data access to go through an approved accessor. This prevents exploitation of an entire class of vulnerabilities that includes null pointer dereferences and dereferences of magic values that point into userland (e.g. 0xAAAAAAAA on 32-bit systems). This feature is provided for x86, x64, and ARM, even on systems without SMAP or PAN support.
https://grsecurity.org/features

Bounds checks on kernel copies to/from userland, grsecurity.org, 23.09.2019
This feature hardens the functions the Linux kernel uses to copy data to and from user applications. It ensures copies to/from a heap object don't exceed the object's size and that stack copies don't exceed the size of the stack frame. It further prevents modifying or leaking sensitive kernel objects via these functions.
https://grsecurity.org/features

Industry-leading ASLR, grsecurity.org, 23.09.2019
Grsecurity has led the way over the years in providing a proper ASLR implementation that deals with the many ways in which an attacker can influence ASLR or defeat it through system-provided information leaks and entropy reduction. In addition, the number of bits of entropy applied to randomization of each memory region is significantly higher in grsecurity compared to upstream's weaker ASLR implementation.
https://grsecurity.org/features

Grsecurity leads in Spectre Defense, grsecurity.org, 23.09.2019
Unlike the manual, ad-hoc approach to finding and fixing Spectre v1 vulnerabilities employed elsewhere, our much higher coverage Respectre™ compiler plugin discovers and automatically instruments the code with high-performance fixes.
https://grsecurity.org/

Grsecurity Adds Confidence to Containers
No security strategy for today´s container-based deployments is complete without grsecurity®. Our unmatched defenses add critical hardening to the Linux kernel, a ripe source of vulnerabilities and involved in most container escapes.
https://grsecurity.org/

Grsecurity Ends Code Reuse Attacks, grsecurity.org, 23.09.2019
RAP® is our patented and best-of-breed Control Flow Integrity (CFI) defense against code reuse attacks like ROP. Its performance, security guarantees, and ability to scale to complex C/C++ codebases of arbitrary size are unmatched.
https://grsecurity.org/

Grsecurity® is an extensive security enhancement to the Linux kernel, that defends against a wide range of security threats through intelligent access control, memory corruption-based exploit prevention, and a host of other system hardening that generally require no configuration.
It has been actively developed and maintained for the past 18 years. Commercial support for grsecurity is available through Open Source Security, Inc.
https://grsecurity.org/

Grsecurity Leads in Spectre Defense, grsecurity.org, 23.09.2019
Unlike the manual, ad-hoc approach to finding and fixing Spectre v1 vulnerabilities employed elsewhere, our much higher coverage Respectre™ compiler plugin discovers and automatically instruments the code with high-performance fixes.
https://grsecurity.org/

Grsecurity Adds Confidence to Containers
No security strategy for today´s container-based deployments is complete without grsecurity®. Our unmatched defenses add critical hardening to the Linux kernel, a ripe source of vulnerabilities and involved in most container escapes.
https://grsecurity.org/

Grsecurity Ends Code Reuse Attacks, grsecurity.org, 23.09.2019
RAP® is our patented and best-of-breed Control Flow Integrity (CFI) defense against code reuse attacks like ROP. Its performance, security guarantees, and ability to scale to complex C/C++ codebases of arbitrary size are unmatched.
https://grsecurity.org/

Grsecurity® is an extensive security enhancement to the Linux kernel, that defends against a wide range of security threats through intelligent access control, memory corruption-based exploit prevention, and a host of other system hardening that generally require no configuration.
It has been actively developed and maintained for the past 18 years. Commercial support for grsecurity is available through Open Source Security, Inc.
https://grsecurity.org/

Gentoo stoppt Hardened Kernel, PRO LINUX.de
Das Gentoo-Projekt hat den auf Grsecurity aufbauenden "Hardened-Kernel" eingestellt. Wie die Verantwortlichen auf der Seite des Projektes bekannt gaben, kann durch die nicht mehr öffentlich verfügbaren Quellen nicht mehr gewährleistet werden, dass Korrekturen zeitnah für die Kernelreihe ausgeliefert werden können.
Das seit 16 Jahren bestehende Grsecurity-Projekt bezeichnet sich selbst als "Pionier von Lösungen", die den Linux-Kernel gegen Sicherheitslücken weniger anfällig machen sollen. Nicht nur Linux profitierte davon, sondern alle modernen Betriebssysteme übernahmen einige der Maßnahmen. Grsecurity selbst ist allerdings nicht unumstritten. Zum einen bemängeln Entwickler wie beispielsweise Linus Torvalds dass Grsecurity alles dem Aspekt der Sicherheit unterwirft. Zum anderen machte sich das Projekt in der Vergangenheit unbeliebt, als es ankündigte, künftig Patches nur noch zahlenden Kunden zur Verfügung zu stellen. Hintergrund der Entscheidung war, dass das Projekt zu wenig Einkünfte aus seiner Arbeit beziehe, da zu viele Anwender die Patches einfach kostenlos nutzen.
Ein solcher Nutzer ist die freie Distribution "Gentoo", die sich an fortgeschrittene Linux-Anwender richtet, die ihr System individuell einrichten möchten. Gentoo bietet seinen Benutzern seit geraumer Zeit einen speziellen Kernel an, der Patches von Grsecurity umfasst. Der als "Hardened Kernel" bekannte Zweig wird durch die Entwickler in Eigenregie gepflegt und mit Aktualisierungen versehen, was unter anderem für erhöhte Sicherheit sorgen soll. Doch damit ist nun Schluss.
Laut einer Ankündigung auf der Projektseite wird Gentoo bereits Ende dieser Woche die Unterstützung der Hardened-Kernelquellen einstellen. Wie Francisco Blas Izquierdo Riera schreibt, ist es den Entwicklern durch die Grsecurity-Einschränkungen nicht mehr möglich, die Sicherheit des Systems zu garantieren. Ab 27. August werden die Kernel-Quellen deshalb nicht mehr angeboten werden. Ende September sollen sie schlussendlich komplett aus den Repositorien entfernt werden. Anwender, die von der änderung betroffen sind, sind deshalb aufgefordert, sys-kernel/gentoo-sources zu verwenden.
Wie die Entwickler weiter schreiben, ist die Entfernung der Quellen allerdings nicht endgültig. Sollten sich die Entwickler von Grsecurity dazu entschließen, die Patches wieder öffentlich zugänglich zu machen, würde auch Gentoo wieder einen entsprechenden Kernel anbieten. Die "Härtung" des Systems mittels SELinux und Userspace-Tools ist von der Änderung nicht betroffen.
https://www.pro-linux.de/news/1/24817/gentoo-stoppt-sicherheitsunterstützung-für-sparc.html

Stack-Clash-Sicherheitslücke im Kernel und glibc
Torvalds: "Grsecurity-Patches sind Müll"
, pro-linux.de, 27.06.2017
In einer Diskussion um die Stack-Clash-Sicherheitslücke hat sich auch der Linux-Schöpfer Linus Torvalds zu Wort gemeldet. Darin stellte er unter anderem seine Meinung über Grsecurity vor und ließ an dem Projekt wenig Gutes. Grsecurity selbst bemängelt dagegen den amateurhaften Umgang mit der Lücke.
Bereits seit Ende der vergangenen Woche macht eine neue Sicherheitslücke die Runde, die - wie mittlerweile üblich - unter einem eigenen Namen geführt wird. Die als "Stack Clash" geführte Schwachstelle hat eine Rechteausweitung zur Folge und kann von Angreifern lokal für Angriffe auf Linux und Unix-Systeme genutzt werden. Wie Forscher von Qualys herausgefunden haben, lässt sich dabei die Sicherheitsvorkehrung der Speicherverwaltung des Kernels umgehen und benachbarte Speicherstellen überschreiben. Die eigentlich für den Schutz vorgesehene "Stack Guard Page", die im Kernel die Rechteausweitungen durch Speichermanipulationen verhindern soll, ist dabei kein Schutz, denn Lücken im Linux-Kernel (CVE-2017-1000364) und in der glibc (CVE-2017-1000366) können diesen umgehen.
Im Zuge der Diskussion um "Stack Clash", die auch unter den Kernel-Entwicklern geführt wurde, kamen deshalb diverse Vorschlage auf, wie der Schutz des Kernels erhöht werden kann. Einer der Fragenden stelle die These auf, ob es nicht dienlich sein würde, sich die Lösungen von Grsecurity anzuschauen und diverse Ansätze zu prüfen. Grsecurity, das unter anderem erhebliche Einschränkungen von Benutzern und deren Prozessen ermöglicht und das Prinzip des geringsten Privilegs verfolgt, kann laut eigenen Aussagen zahlreiche Angriffe verhindern und versteht sich selbst als eine sichere Erweiterung des Standardkernels.
Weniger begeistert von dem Projekt scheint allerdings der Vater des Kernels, Linus Torvalds, zu sein. In einer Antwort wetterte er gegen das Projekt und riet von seiner Nutzung ab. Laut Aussage des Entwicklers verfolge Grsecurity einen Ansatz, wonach es nur um Sicherheit um der Sicherheit Willen gehe. Ob dabei Sachen nicht mehr funktionieren, kümmere das Projekt nicht. "Das Ding ist ein Witz und sie sind Clowns", schreibt Torvalds. "Ihre Patches sind reiner Müll".
Torvalds´ harsche Reaktion dürfte nicht von ungefähr kommen. Zuvor hatte Initiator von Grsecurity, Brad Spengler, den Entwicklern des Kernels Ignoranz vorgeworfen und den Umgang der Gemeinschaft mit dem Stack-Problem kritisiert. So sei laut Spengler das Problem durch eine verfrühte Aktion von Torvalds entstanden und gänzlich unüberlegt gewesen - was man auch der Historie der änderung entnehmen kann. Die von Grsecurity in der Vergangenheit geäußerte Kritik an der Lösung blieb unbeantwortet und Verbesserungsvorschläge wurden ignoriert. Nun sei das Kind aber in den Brunnen gefallen, so Spengler.
https://www.pro-linux.de/news/1/24879/torvalds-grsecurity-patches-sind-müll.html

Linux-Nutzer von Crypto-Miner bedroht, www.trojaner-info.de, 08.01.2018
Laut F5 Networks soll das Botnetz derzeit nicht aktiv sein.
Es ist ein Python-basierter Crypto-Miner, der sich über das SSH-Protokoll verbreitet. Die Linux-Systeme werden von der Malware mittels Brute-Force-Attacke infiziert. Die kriminellen Autoren der Malware sollen bis Ende des vergangenen Jahres Bitcoins im Wert von 46.000 US-Dollar abgezapft haben, wie die Forscher von F5 Networks festgestellt haben. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/linux-nutzer-von-crypto-miner-bedroht.html

Dr. Web warnt vor altem IoT-Linux-Trojaner, PCWELT.de, 05.10.2017
Der Antiviren-Softwarehersteller Dr. Web warnt vor einem Trojaner, der Linux-Systeme befällt und für den Versand von Spam eingesetzt werden soll. Der als "Linux.ProxyM" bekannte Schädling nutzt zwar keine bekannte Linux-Lücke, dafür aber schlecht abgesicherte IoT-Geräte.
https://www.pro-linux.de/news/1/25210/dr-web-warnt-vor-altem-iot-linux-trojaner.html

Software::Kernel
Streit um Kernel-Lockdown, PRO LINUX, 06.04.2018
In den letzten Tagen wurde aus dem Lager der Kernel-Entwickler Kritik an einer Patch-Serie laut, die unter den Begriff "Kernel Lockdown" bekannt wurde.
Red-Hat-Entwickler David Howells Patch-Serie für den sogenannten Kernel Lockdown erregt derzeit die Gemüter einiger Kernel-Entwickler mit Linus Torvalds an der Spitze. Mit Kernel Lockdown soll verhindert werden, dass Root den Kernel zur Laufzeit verändert. Bereits seit über einem Jahr befanden sich die zwischenzeitlich überarbeiteten Patches in Linux-Next, wo Patches getestet werden, bevor sie für den Mainline-Kernel vorgeschlagen werden.
https://www.pro-linux.de/news/1/25770/streit-um-kernel-lockdown.html

Neue Linux-Malware unterwegs, trojaner-info.de, 21.07.2019
Linux gilt gemeinhin als äußerst sicheres Betriebssystem.
Es ist eine neue Linux-Spyware namens EvilGnome, die speziell für den Angriff auf Desktop-Nutzer ausgelegt ist. Einmal infiziert, überträgt der Schädling Dateien von betroffenen Systemen auf die Server der Kriminellen, wie pctipp.ch warnt.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/neue-linux-malware-unterwegs.html

OpenSource-Linux-Kernel bis Kernel-4.15 - Nicht alle Bestandteile sind opensource, PRO LINUX, 2018
sondern kleinere Sub-Kernel immer noch closed-source-US-Firmware
Bericht von pro-linux.de, Fortsetzung des diesen Sachverhalt beschreibenden Berichts siehe unter "Universal Linux" #Updaten

PRO LINUX.de: Listing von Linux-Updates, -Patches, -Bugfixes 2010 bis heute
Nachstehend finden Sie alle aktuellen Sicherheitsmeldungen der wichtigsten Distributionen mit Angabe der Distribution, des Veröffentlichungsdatums und der behandelten Sicherheitslücke.
Nur ein kleiner Auszug und fast täglich Neueinträge...
https://www.pro-linux.de/sicherheit/1/1/1.html

Software::Kernel
Sicherheitslücken im TCP-Code im Kernel
, PRO LINUX, 21.06.2019
Ein Team bei Netflix hat drei Sicherheitslücken im TCP-Code im Kernel entdeckt. Durch speziell präparierte SACK-Pakete lässt sich im schlimmsten Fall ein Kernel-Stillstand erzielen. Alle Linux- und FreeBSD-Anwender sollten ihren Kernel aktualisieren oder temporäre Gegenmaßnahmen ergreifen.
https://www.pro-linux.de/news/1/27174/sicherheitsl%C3%BCcken-im-tcp-code-im-kernel.html

Sicherheitslücken von 40 Kernel-Treibern veröffentlicht, PC-WELT.de, 12.08.2019
Sicherheitsforscher haben eine Liste mit 40 Kernel-Treibern von 20 Anbietern veröffentlicht, die Sicherheitslücken enthalten.
https://www.pcwelt.de/news/Sicherheitsluecken-in-40-Kernel-Treibern-von-20-Anbietern-veroeffentlicht-10645653.html

Studie belegt intensive Social-Media-Nutzung durch Cyberkriminelle, trojaner-info.de, 14.06.2019
Die Studie zeigt, dass Social-Media-Plattformen inzwischen eine reale Gefahr darstellen.
Eine neue Studie hat ergeben, dass Social-Media-Plattformen in der Cyberkriminalität eine wichtige Rolle spielen und eine große Gefahr für Unternehmen darstellen. Da Social-Media-Blockaden kein realistisches Abwehrszenario sind, sollten Unternehmen Lösungen implementieren, die eine sichere Nutzung der sozialen Netze unterstützen, empfiehlt Bromium.
https://www.trojaner-info.de/business-security/aktuell/studie-belegt-intensive-social-media-nutzung-durch-cyberkriminelle.html

Wegen Strahlung: Sammelklage gegen Apple und Samsung eingereicht, PC-WELT.de, 26.08.2019
Smartphones geben mehr Strahlung ab, als eigentlich erlaubt. Das berichtete in der vergangenen Woche eine amerikanische Zeitung. Diesem Bericht folgt bereits die erste Sammelklage einer kleinen Kanzlei aus Atlanta.
Die Chicago Tribune hat mehrere Smartphones auf die abgegebene Strahlung hin getestet. Dabei kam die Zeitung zu dem Schluss, dass einige Geräte die festgeschriebenen Grenzwerte nicht einhielten. Wir berichteten. Über einen Facebook-Post ließ die Anwaltskanzlei Fegan Scott LLC gestern verlauten, eine Sammelklage gegen Apple und Samsung eingereicht zu haben. Sie werfen den Konzernen vor, durch die vermeintlich (die Ergebnisse einer neuen Untersuchung durch die amerikanische Behörde FCC stehen noch aus) erhöhten Strahlenwerte die Gesundheit der Gerätenutzer zu gefährden. Außerdem sei die Werbung zu den Produkten irreführend und spiele die Gefahren von Strahlung, die durch Smartphones abgegeben wird, herunter, ignoriere sie sogar komplett. So wird Apple und Samsung vorgeworfen, mit Slogans wie "Studio in your pocket" zu sugerrieren, dass Smartphones risikofrei in der Hosentasche transportiert werden können.
Die 44-seitige Anklageschrift bezieht sich zu großen Teilen auf den Artikel der Chicago Tribune, aber auch auf verschiedene Studien, welche die Schädlichkeit von Smartphone-Strahlung belegen sollen. Dabei ist diese wissenschaftlich durchaus umstritten. Für mehr Informationen zu diesem Thema empfehlen wir den Gast-Beitrag unseres Experten Dennis Bederov. In diesem Beitrag haben wir die Problematik der SAR-Messungen zusammengefasst und erklärt, warum diese nicht immer aussagekräftig sind.
Sammelklagen gegen große Konzerne und Behörden sind keine Seltenheit. Erst vor wenigen Monaten startete in den USA eine Sammelklage gegen die US-Behörde FCC wegen der Zulassung von 5G-Mobilfunk. Auch in diesem Fall gehört die Gefährdung der Allgemeinheit zu den Vorwürfen, ohne dass diese wissenschaftlich einwandfrei erwiesen ist.
https://www.pcwelt.de/news/Wegen-Strahlung-Sammelklage-gegen-Apple-und-Samsung-eingereicht-10654270.html

Mord auf Raten - Stoppt 5G und die BRD !, brd-schwindel.ru, 19.04.2019
Folgende Zitatesammlung zeigt, dass man schon lange über die Gefahren der Mobilfunktelefonie Bescheid weiß und welche Schäden diese im menschlichen Organismus anrichtet, vor allem im Gehirn. Und dabei geht es nicht einmal um 5G. Man kann sich ausrechnen, dass sich die Belastung um einiges potenziert. Wir sind ohne 5G schon enormen Strahlungen ausgesetzt. 5G NEIN DANKE
Die Zitatensammlung stammt aus wissenschaftlichen Arbeiten, Fachveröffentlichungen, Presseagenturmeldungen, Büchern, Vorträgen, Zeitungen, von Ärzten, Ämtern, Experten, dem Internet, den Nachrichten, wurden im Radio gehört, im Fernsehen gesehen…


Demonstranten protestieren auf dem Berner Bundesplatz mit Plakaten "Stop 5 G" gegen die Einführung von 5 G, die fünfte Generation drahtloser Breitbandtechnologie. | Bildquelle: dpa
5G-Streit in der Schweiz
Gewinn oder Gefahr?
, tagesschau.de, 03.12.2019
Die Schweiz ist Vorreiter beim Mobilfunkstandard 5G. Während Mobilfunkanbieter einen schnellen Netzausbau forcieren, warnen Gegner vor ungeklärten Gesundheitsgefahren - etwa Hirnstromveränderungen.
https://www.tagesschau.de/ausland/5g-schweiz-streit-101.html

  • "Die Handymasten werden stillgelegt. Es ist größtmögliche Vorsicht geboten."
    Aus dem Urteil des Gerichtes von Valladolid/Spanien (Dezember 2001) In Valladolid legte das Gericht sechs Mobilfunkmasten mit 36 Einzelantennen diverser Betreiber in der Nähe einer Schule still. Drei Kinder erkrankten in dieser Schule innerhalb weniger Monate an Leukämie und eines an Lymphdrüsenkrebs. Es wurden außer den Funkwellen keine anderen Risikofaktoren wie z.B. Schadstoffe gefunden. Das erhärte den Verdacht, dass der Funk die Ursache für die Krebsfälle ist. Darauf deute zudem hin, dass es nach der Installation der Funkmasten auch in den umliegenden Wohnhäusern 18 Krebsfälle bei Kindern gibt. Die Funkantennen bleiben trotz aller Proteste der Industrie abgeschaltet und müssen demontiert werden.
  • "Die aufgeregte Diskussion in der Bevölkerung über die Kernenergie dürfte in Relation zu dem, was uns die Mobilfunknetze noch bescheren werden, nur ein laues Lüftchen gewesen sein."
    Bundespostminister Wolfgang Boetsch vor Journalisten in Bonn (5. Februar 1993)
  • "Angesichts der Vielzahl wissenschaftlicher Befunde kann man weder das Krebsrisiko noch verschiedene andere biologische Effekte einfach abtun."
    Umweltausschuss des EU-Parlamentes (2000)
  • "Die kritische Sichtung der wissenschaftlichen Literatur lässt keinen Zweifel mehr offen, dass die gepulste Strahlung von Basisstationen, Handys und schnurlosen Haustelefonen wesentlich gesundheitsbeeinflussend und schädlich ist."
    Prof. Dr.-Ing. Alexander H. Volger, Honorarprofessor der Rheinisch-Westfälischen Technischen Hochschule RWTH Aachen (14. September 2002)
  • • "Jeder Vierte hat ein geschädigtes Immun-, Nerven- oder Hormonsystem, jeder Dritte ist Allergiker. Wir haben den Punkt erreicht, der keine zusätzlichen Belastungen mehr verträgt."
    DGUHT, Deutsche Gesellschaft für Umwelt und Humantoxikologie (1994)
  • "Wir wissen sehr gut, dass gepulste Signale auf den Menschen stärker einwirken als ungepulste. Gepulste Mikrowellen greifen tief in biologische Prozesse ein."
    Prof. Dr. Ross Adey, Loma-Linda-Universität, Kalifornien (1970)
  • "Gepulste Mikrowellen schädigen das Immunsystem und beeinflussen Neurotransmitterabläufe."
    Prof. Dr. Dan Lyle, Loma-Linda-Universität, Kalifornien (1985)
  • "Gepulste Mikrowellen verändern die menschlichen Gehirnströme. Das ist im EEG bei Strahlungsstärken von 1000 μW/m² nach wenigen Minuten nachweisbar."
    Dr. Lebrecht von Klitzing, Medizin-Physiker, Medizinische Universität Lübeck (1994) 1000 μW/m² Feldstärke finden wir von der Baubiologie Maes in einer Entfernung von, je nach Situation, etwa 50 bis über 200 Metern zu Mobilfunkstationen auf Masten, Türmen, Dächern, Kaminen, Kirchen, Silos, Hochspannungsleitungen…, 5 bis über 10 Metern zu Handys, wenn mit ihnen telefoniert wird, 3 bis 5 Metern zu den immerzu funkenden Basisstationen der DECT-Schnurlostelefone und 2 bis 3 Metern zu WLAN.
  • "Bei 36 Probanden führte die gepulste Strahlung im Versuchslabor unmittelbar nach dem Einschalten zu Veränderungen im EEG."
    Dr. H.P. Reiser, Dr. W. Dimpfel und Dr. F. Schober, Wissenschaftler des Pro-Science-Forschungsinstitutes im Auftrag der Telekom (1995)
  • "Veränderungen im EEG traten nach etwa 15 Minuten Einschaltzeit auf. Im Schlaf-EEG gab es Verkürzungen der REM-Phase."
    Prof. Dr. Alexander Borbély, Institut für Toxikologie, Universität Zürich (1999)
  • "Die Frequenz, mit der Zellen kommunizieren, liegt zwischen 10 und 1000 Hertz."
    Mannheimer Elektrizitätswerk MVV in ‚Mensch und Elektrizität‘ (1997) Die Pulsfrequenz eines Handys ist 217 Hz, einer Mobilfunk-Basisstation (D-/E-Netz) 217 bis 1733 Hz, die von DECT-Schnurlosen 100 Hz und die der WLAN-Technik 10 Hz, sie liegen damit alle in diesem biologisch relevanten Bereich der Zellkommunikation.
  • In der Sprache der Nachrichtentechnik darf man Nervenleitbahnen als digitale Übertragungskanäle ansehen. Sie sind die Fernmeldestromkreise des Organismus. Dabei vollzieht sich die Informationsübermittlung durch Impulse. Meist wird eine Pulsfrequenz von 1000 Hz nicht überschritten."
    RWE-Arbeitsinformation, Dr.-Ing. Rolf Hotopp (1984) Anmerkung wie oben: Die modernen Mobilfunk-, DECT- und WLAN-Techniken pulsen in diesem sensiblen Bereich der biologischen Informationsübermittlung. "Neben den abgesicherten thermischen Wirkungen, welche die Grundlage der Grenzwerte sind, gibt es eine große Zahl von Hinweisen auf Langzeitwirkungen, z.B. Kinderleukämie, Hirntumore und Brustkrebs, weit unterhalb der Grenzwerte."
    Das NRW-Umweltministerium in einem Antwortbrief auf die Anfrage eines besorgten Düsseldorfer Bürgers zur Elektrosmogverordnung (1998)
  • • "Aus der Sicht des Umweltministeriums bestehen erhebliche Fragen insbesondere bei der wissenschaftlichen Bewertung nichtthermischer Effekte bei Feldstärken unterhalb der Grenzwerte… Es sollten dringend Vorsorgewerte eingeführt werden, um die Einwirkungen elektromagnetischer Felder auf den Menschen und die daraus folgenden potenziellen Gesundheitsrisiken möglichst gering zu halten."
    Das NRW-Umweltministerium in einem Antwortbrief auf die Anfrage eines besorgten Kölner Bürgers zum Thema Mobilfunksender (11. März 2002)
  • • "Aus der Sicht des Umweltministeriums bestehen erhebliche Fragen insbesondere bei der wissenschaftlichen Bewertung nichtthermischer Effekte bei Feldstärken unterhalb der Grenzwerte… Es sollten dringend Vorsorgewerte eingeführt werden, um die Einwirkungen elektromagnetischer Felder auf den Menschen und die daraus folgenden potenziellen Gesundheitsrisiken möglichst gering zu halten."
    Das NRW-Umweltministerium in einem Antwortbrief auf die Anfrage eines besorgten Kölner Bürgers zum Thema Mobilfunksender (11. März 2002)
  • "Die Freiheit der ständigen Erreichbarkeit wird teuer erkauft… Nach vorliegenden wissenschaftlichen Ergebnissen ist auch bei Einhaltung der Grenzwerte davon auszugehen, dass begründete Zweifel an der Unschädlichkeit der Grenzwerthöhe bestehen und eine Gesundheitsschädigung nicht auszuschließen ist."
    Prof. Dr.jur. Klaus Kniep, Rechtsanwalt aus Heilbronn (1. März 2002)
  • "Die Grenzwerte in Deutschland sind reichlich hoch. In Russland werden in der Medizin gepulste Mikrowellen zu Therapiezwecken eingesetzt, die nachweislich wirken; diese liegen beim 10000stel der deutschen Grenzwerte."
    Prof. Dr.Ing. Günter Käs, Bundeswehr-Universität Neubiberg (1997)
  • "Zweifelsfrei verstanden haben wir beim Funk nur die thermische Wirkung, nur auf dieser Basis können wir derzeit Grenzwerte festlegen. Es gibt darüber hinaus Hinweise auf krebsfördernde Wirkungen und Störungen an der Zellmembran."
    ICNIRP-Vorsitzender Prof. Dr. Jürgen Bernhardt zur Elektrosmogverordnung (1998)
  • "Die Grenzwerte müssen um das 10.000-Fache gesenkt werden."
    BUND, Bund für Umwelt und Naturschutz (August 2001)
  • ...

https://brd-schwindel.ru/mord-auf-raten-stoppt-5g-und-die-brd/

News&Links#MSWindows


Angriff auf Baltimore: Hacker hält eine Stadt als Geisel - das Lösegeld ist für ihn nur der Anfang, STERN.de, 05.06.2019
Seit vier Wochen legt ein Hacker die US-Großstadt Baltimore komplett lahm. Von der Wasserrechnung bis zum Hauskauf - nichts geht mehr. Das verlangte Lösegeld wäre eigentlich kein Problem. Doch für den Angreifer könnte es noch um viel mehr gehen.
Immer wieder legen Hacker-Angriffe die Rechner von Privatleuten oder Firmen lahm. So schlimm wie im Falle von Baltimore ist es aber selten: Seit Anfang Mai liegen nahezu alle Computer-Systeme der Stadt still, selbst E-Mails und Telefon sind tot. Die Verwaltung muss sich mit Notlösungen und Papier behelfen. Jetzt hat der Hacker eine letzte Frist gesetzt. Vermutlich geht es ihm aber ohnehin um etwas anderes als das Lösegeld.
Zu Anfang war das irre Ausmaß des Falls noch nicht abzusehen. "Wir ignorieren Sie nicht. Unser E-Mail-Dienst funktioniert nicht. Wir arbeiten daran" - so erfuhr die Öffentlichkeit am 7. Mai bei Twitter erstmals von den Folgen des Angriffs. Mitarbeitern der Stadt im US-Bundesstaat Maryland war aufgefallen, dass sich einige Systeme merkwürdig verhielten. Die IT-Sicherheitsleute entdeckten schnell, dass Dutzende Server der Stadt von einem Trojaner verschlüsselt worden waren - und nahmen das System vom Netz. Seitdem geht in der Verwaltung der Stadt fast nichts mehr.
Stattdessen alarmierte Young mit dem NSA und dem FBI zwei Bundesbehörden, holte zur Lösung der Probleme externe Berater ins Boot. Schnell war klar: Die Hacker benutzten das Angriffs-Werkzeug "Robbinhood", das auch schon bei anderen hochkarätigen Fällen zum Einsatz kam. Der Verdacht, dass auch eine gestohlene NSA-Cyberwaffe verwendet worden sei, konnte von den Experten Eric Sifford und Joe Stewart nicht bestätigt werden. Es hätten sich keine Hinweise darauf in den untersuchten Programmteilen finden lassen, erklärten sie in einem Blogpost.
Der Hacker wütet bei Twitter
Und noch jemand leugnet die Nutzung der NSA-Werkzeuge: der Hacker selbst. Anscheinend frustriert von der Nichtzahlung, forderte er vor wenigen Tagen bei Twitter Young und mehrere Stadträte auf, die Summe endlich zu bezahlen. "Hey, hört mal zu. Die erste Regel von Erpressungstrojanern ist, den Opfern eine gute Grundlage zur Rettung anzubieten. Leute sind nicht dumm. Sie hätten sehr einfach Dateien und Server mit einer geringen Zahlung retten können. Sie haben NICHTS getan", wetterte der Hacker bei Twitter.
Er würde sogar kostenlos einige der Server freischalten, bot der Hacker an. So wolle er zeigen, dass die Rettung der Daten wirklich möglich sei. Dass es sich tatsächlich um den Täter handelt, konnte er mit internen Dokumenten der Stadtverwaltung belegen, die von den Experten für echt gehalten werden. Mittlerweile wurde der Account aber gesperrt: Der vermeintliche Hacker hatte am Ende Young mit wüsten, teil rassistischen Beschimpfungen attackiert, Twitter hat den Account deshalb gelöscht.
https://www.stern.de/digital/online/baltimore--hacker-halten-eine-stadt-als-geisel--es-geht-um-viel-geld--8741104.html

Ein Mann schaut entsetzt seinen Computer an und schlägt die Hände über dem Kopf zusammen

Ups
Hacker suchte nur Computer-Fehler - und vernichtete aus Versehen 140 Millionen Euro
, STERN.de, 07.06.2019
https://www.stern.de/digital/online/baltimore--hacker-halten-eine-stadt-als-geisel--es-geht-um-viel-geld--8741104.html

OKAppArmor - Kernel-Sicherheitsmodul oder Anzapferei?, Gooken, 07.06.2019
Mit AppArmor lassen sich durch Nutzung von Einzelprofilen viele wichtige Kommunikationsschnittstellen gezielt anzapfen. Dazu zählen passwd, Browser, D-Bus, Netzwerk, Task-Manager (cron), dhclient, dhcp, DAPRA-portmap, tmpwatch, procmail, skype, wireshark, ftpd, mysqld, postfix, sendmail, squid, sshd, useradd, vsftpd, xinetd, fingerd, ntalkd, cupsd, xfs, ping, nvidia_modprobe, dovecot, apache2, dnsmasq, ntpd, identd, smbd, traceroute, winbindd, lessopen, klogd, avahi-daemon, ...
AppArmor läuft bereits voreingestellt mit dem Booten für Linux wie aktuelles Linux Tails. Die Bootzeit verlängert sich dadurch um mehr als das Doppelte.
Das Modul selbst lässt sich per Boot-Paramter einbinden. Die vorkonfigurierten Profile gilt es noch einmal in Dateien wie /etc/rc.local aufzurufen.
Vor Jahren erfuhren wir, dass der Entwickler seit geraumer Zeit einen Vertrag mit Microsoft hat. Linus Tovalds empfiehlt vor allem dieses Sicherheitsmodul, noch vor den von der NSA entwickelten und in einem weiteren Bericht stark hinterfragten Modul SELinux und Tomoyo Linux (rosa, mdv).
AppArmor ist unserer Meinung nach wie alle Mandatory Access Controll Programme (MAC) sicherheitstechnisch überflüssig; wir wählen daher den Kernel-Bootparamter "secure=none".
Original-Programmbeschreibung von rpmfind.net: "AppArmor is a security framework that proactively protects the operating system and applications. This package provides the libapparmor library, which contains the change_hat(2) symbol, used for sub-process confinement by AppArmor, as well as functions to parse AppArmor log messages.
Base profiles. AppArmor is a file and network mandatory access control mechanism. AppArmor confines processes to the resources allowed by the systems administrator and can constrain the scope of potential security vulnerabilities. This package is part of a suite of tools that used to be named SubDomain."
"AppArmor is security Linux kernel module similar to the SELinux but it´s supposed to be easier to setup and maintain. There are many reasons for you to disable it, primary one is that its security features can get in the way of legitimate applications operation", https://www.techytalk.info/disable-and-remove-apparmor-on-ubuntu-based-linux-distributions/
Folgebericht: News-Group-Diskussion über SELinux.

AppArmor ist ein Sicherheitsframework für Linux. Als Mandatory Access Control (MAC) System kontrolliert es Anwendungen einzeln. Für diese können in Profilen Zugriffsrechte festgelegt werden, die feiner als die allgemeinen Dateirechte sind. Neben den vordefinierten können eigene Profile aufgestellt werden. Für jedes Profil kann einer von drei Eingriffs-Modi gesetzt werden.

Zweck von AppArmor ist der Schutz von sicherheitskritischen Anwendungen, in erster Linie also Anwendungen/Prozesse mit Netzwerkzugriff, aber auch von z.B. Büroanwendungen, die durch das Laden verseuchter Dokumente u.U. das System kompromittieren könnten.
AppArmor ist seit Kernel 2.6.36 offiziell integriert. Ab Ubuntu 11.04 braucht es nicht mehr als Kernelmodul nachgeladen werden. Seit Ubuntu 7.10 wird es beim Systemstart geladen. Das gilt auch für die zugehörigen Profile (Regelsätze).
Von 2005 bis 2007 wurde AppArmor maßgeblich von Novell entwickelt. Seit 2009 engagiert sich Canonical verstärkt für das Sicherheitsframework, wodurch dann auch die bereits erwähnte Aufnahme in den Linux-Kernel erreicht wurde.
AppArmor wurde als Alternative zum als schwer konfigurierbar geltenden SELinux konzipiert. Von den "großen" Linux-Distributionen verwendet neben Ubuntu noch openSUSE das Framework.
https://wiki.ubuntuusers.de/AppArmor/

Ransomware befällt 11 deutsche Krankenhäuser, trojaner-info.de, 21.08.2019
Unternehmen sollten in den Aufbau einer "menschlichen Firewall" investieren.
Erneut scheint eine Phishing-E-Mail mit Ransomware-Anhang erfolgreich gewesen zu sein. Wieder einmal hat ein Mitarbeiter eines Trägers einer Krankenhauskette auf einen Link geklickt. Wieder war ein Social Engineering-Angriff erfolgreich. Ein Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/ransomware-befaellt-11-deutsche-krankenhaeuser.html

Rheinland-Pfalz und Saarland
Hackerangriff auf Krankenhäuser
, tagesschau.de, 17.07.2019
In Rheinland-Pfalz und dem Saarland sind mehrere Krankenhäuser des Roten Kreuzes Ziel eines Cyberangriffs geworden, zur Zeit würden Befunde wieder mit Stift und Papier vorgenommen. Seit Sonntag sind Daten nur eingeschränkt verfügbar.
https://www.swr.de/swraktuell/rheinland-pfalz/mainz/Krankenhaeuser-und-Tageskliniken-betroffen-Hackerangriff-aufs-Rote-Kreuz-in-Rheinland-Pfalz,hackerangriff-aufs-rote-kreuz-100.html

Virenschutz-Vergleich: Antiviren-Software im Test: Ein kostenloses Programm hängt (fast) alle ab, STERN.de, 31.05.2019
Trojaner, Viren und Co. machen PC-Nutzern nach wie vor das Leben schwer. Doch welche Viren-Schutzprogramme schützen Windows am besten - und muss man wirklich Geld ausgeben? Eine neue Studie von AV-Test verrät es. Windows Antivirus
Welcher Virenschutz für Windows ist der Beste?
Ob zum Schutz vor Erpressungs-Trojanern oder gestohlenen Bank-Daten: Ein Virenschutz ist auf jedem Rechner Pflicht. Die Frage ist bloß: Reicht die kostenlose, vorinstallierte Software oder sollte es besser ein Kauf-Programm sein? Die Experten von AV-Test haben jüngst 19 Sicherheitslösungen für Privatanwender und 19 Schutzprogramme für Unternehmen unter Windows 10 getestet.
Windows Defender so gut wie Mitbewerber
Das überraschende Ergebnis: Der bordeigene Windows Defender wurde über die vergangenen Jahre konsequent ausgebaut und schlägt sich mittlerweile sehr gut. Insgesamt holte Microsofts Türsteher 17,5 von 18 möglichen Punkten. Den halben Punkt Abzug kassierte die Software, weil sie die Installation von zwölf häufig genutzten Programmen stärker verzögerte. Im Alltag ist das aber nicht weiter tragisch.
Viel wichtiger sind die Testergebnisse bei der Schutzwirkung - und hier konnte der Windows Defender glänzen: Er bekam volle Punktzahl. Innerhalb von zwei Monaten gab es nur zwei Fehlalarme, das ist akzeptabel.
Die Testergebnisse im Überblick
©AV-Test
Mit dieser Bewertung liegt der Windows Defender auf Augenhöhe mit der populären Schutz-Software Avira Antivirus. Testsieger mit jeweils 18 Punkten sind Bitdefender Internet Security, Kaspersky Internet Security, McAfee Internet Security und Norton Security (kein Ranking, Auflistung nach alphabetischer Reihenfolge).
Auch Stiftung Warentest ist überzeugt
Auch bei der Stiftung Warentest konnte der Windows Defender zuletzt gut abschneiden. Bemängelt wurde der fehlende Phishing-Schutz, doch der ist bei den meisten Browsern ohnehin an Bord. Insgesamt zeigen beide Tests: Man muss für einen guten Virenschutz nicht zwangsläufig Geld ausgeben. Ein weiterer Vorteil: Programme eines Drittanbieters benötigen viele Berechtigungen, um vernünftig arbeiten zu können.
https://www.stern.de/digital/computer/antivirus-programme-im-test--windows-defender-so-gut-wie-avira-8734286.html

Die besten Tools für mehr Datenkontrolle bei Apps, trojaner-info.de, 17.07.2019
Apps bieten tolle Funktionen und machen Spaß. Damit eine App aber wegen späterem Datenmissbrauch oder Schadsoftware nicht zum Alptraum wird, sollten Nutzer einige Tipps beherzigen.
Es klingt zwar wie eine Binsenweisheit, wird aber von Nutzern von Smartphones und Tablets kaum beherzigt: "Laden Sie nicht gedankenlos Apps herunter". Wer es dennoch macht, öffnet den Datenkraken freiwillig das Tor zu den eigenen Daten. Mit den richtigen Tools können App-Nutzer wieder die Kontrolle über das Verhalten und den Berechtigungs-Dschungel von Apps zurückgewinnen.
[...] Falls Zweifel an der Vertrauenswürdigkeit der App aufkommen, zunächst im Internet weiterrecherchieren. Auf der offiziellen Webseite des App-Entwicklers sollte ein Impressum vorhanden sein. Die Seriosität der inhaltlichen Bewertungen im Play Store ist wegen des Verdachts von Fake-Postings umstritten. Eine geringe Zahl von Bewertungen und App Downloads könnte jedoch ein deutliches Warnsignal sein.
Ein verlässlicher Indikator für Integrität des Angebots ist dagegen das von Google vergebene Prädikat "Top-Entwickler". Darüber hinaus finden sich im Web Hinweise auf unsichere oder gefährliche Apps, die aktuell im Umlauf sind. Ein regelmäßiger Blick in unsere Rubrik "Aktuelle Bedrohungen" hilft hier zum Beispiel weiter.
Vorsicht bei "App Schnäppchen". Beliebte Apps und Spiele werden nicht selten imitiert und kopiert. Die Nachahmungen werden günstig oder sogar kostenlos angeboten. Gefahr droht von den Imitationen, da hier Schadsoftware bzw. Malwarefunktionen eingebaut sein könnte.
Apps erst nach kritischer Prüfung der App Einstellungen und Berechtigungen installieren. Klicken Sie nicht unbedenklich weiter, wenn die App Einstellungen Zugriff auf Funktionen Ihres Geräts und Ihre persönlichen Daten verlangen — Sie könnten sich damit schutzlos ausliefern. Vor jeder Installation sollten sich App-Anwender fragen, ob eine App tatsächlich die angeforderte Berechtigung für ihren spezifische Nutzen benötigt. Schad-Apps könnten Ihre Berechtigung dazu missbrauchen, kostenpflichtige Nummern anzurufen oder Abos via SMS abzuschließen. Wenn eine Anwendung, die eigentlich nichts mit Telefonieren verbindet, die Erlaubnis zum Telefonieren einfordert, ist Vorsicht geboten. Seriöse App-Anbieter bieten dem Nutzer nicht selten die Möglichkeit an, die App Berechtigungen und App Einstellungen diverser Funktion selbst mitzubestimmen. Fehlen AGBs oder sind diese sehr knapp verfasst, ist nicht zuletzt Skepsis geboten.
[...] Hilfreich sind"Prozessmonitor" Apps. Diese überprüfen, welche Anwendungen aktuell auf Ihrem Smartphone aktiv sind. Falls Akku- und Datenverbrauch einer App den Akkuverbrauch in die Höhe treiben, sollten Sie aufmerksam werden. Die Ursache könnte in einem andauernden Datentransfer liegen — eventuell erfolgt ein Datenaustausch, für den ursprünglich keine Berechtigung erteilt wurde. Alternativ könnte eine bösartige App im Hintergrund einen kostenintensiven Dialer installieren, der Premium-SMS selbstständig versendet und so hohe Kosten wie auch erheblichen finanziellen Schaden verursacht.
[...] Der Netzwerkausrüster Alcatel-Lucent hat in einer 2015 veröffentlichten Malware-Studie festgestellt, dass die Zahl der mobilen Schädlinge deutlich zugenommen hat. So wurden demnach 2014 weltweit 16 Mio. Geräte mit mobiler Malware infiziert, dies entspricht einem Plus von 25 Prozent gegenüber dem Vorjahr. Der Studie zufolge ist Spyware auf mobiler Hardware immer verbreiteter. Damit werden Telefonate abgehört, SMS und E-Mails abgefischt, oder der Standort eines Nutzers und von ihm aufgesuchten Websites festgestellt.
https://www.trojaner-info.de/apps-security/articles/apps-kontrolle-und-schutz-pers%C3%B6nliche-daten.html

OK Smartphone: Alternativ zum Provider lässt sich mit dem Smartphone bekanntlich auch WLAN von einem beliebigen Hotspot oder Router als Zugangspunkt nutzen,
Vorteil: umsonst. Damit entfallen auch die Gebühren für Downloads. Lediglich das Zugangs-Passwort sollte beim Router (z.B. mit der Eingabe von fritz.box bzw. der Router-(Gateway-) IP 192.168.178.X in die Browser-Adresszeile vorher abgefragt werden. Im Smartphone unter Einstellungen -> Wifi kann man den ( hoffentlich WPA2-gesicherten ) Zugang nach Eingabe des Passworts dann sofort nutzen. Damit wird auch der Telefontarif für Internet-Telefonie geändert. Sogar kostenfreies Telefonieren mit mobilen SMS/MMS oder Facebook-Kontakten ist mit (dem bislang als nicht besonders sicher geltenden) Messenger WhatsApp ohne Weiteres möglich.

Und, wo wir gerade beim Android-Smartphone sind, zählen zu den Sicherheitsmaßnahmen die Einschränkung der Standortabfrage, eine sorgsame Auswertung der Vorab-Information über jedes in PlayStores herunterladbare App, die Installation von Sicherheits-Apps wie No-Root-Firewall, Sicherung/Backup, Anti-Virus (vor allem Kaspersky Security Suite) und Anti-Malware-Scanner (Incognito, ...), der Tor-Browser (The Onion Router mit Browser Firefox mit Erweiterung Noscript), ein Passwort-Manager (Passwort-Tresor), ein Prozessmanager-App (Droid) und der Anti-Task-Manager zur Erfassung und Deaktivierung unliebsamer Prozesse, der als sicher geltende (SMS/MMS-) Messenger Signal, ein Dateimanager und ein Datenmüll-Bereiniger (wir möchten im letzten Fall von CCleaner abraten). Aus dem Anti-Task-Manager hervorgehende Prozesse sollten dann deaktiviert bzw. zugehörige Apps wieder deinstalliert werden.
Jedes App sollte vor Anwendung unbedingt sorgsam konfiguiert werden: Möglich ist das unter "Einstellungen -> ALLE -> Apps". Wird eine SD-Karte verwendet, empfiehlt sich das Verschieben der Apps vom internen Speicher auf eben diese Karte. Apps sollten möglichst wenig Strom verbrauchen. Der Smartphone-Akku sollte gegen ein möglichst wenig Strom verbrauchendes Modell ausgetauscht werden, Einzelheiten siehe bei uns unter -> Datenblatt.
Mit dem Android-Smartphone kann trotzdem, also immer noch, viel Schlimmes passieren...: ->, Folgeberichte; das iPhone von Apple gilt aufgrund Zugriffs-Kontrolle als ein wenig sichererer...

Wichtig erscheint vor allem, dass die eingesteckte SIM-Karte betraglich geladen ist. Andernfalls zahlt man an einen anderen (Default-) Provider in kurzer Zeit horrende Summen. Ein Entsperren der SIM-Karte und Zurücksetzen auf Werk auf Apps nach Werk / per default ist per Hardware-Reset dabei i.a. möglich: -> von uns empfohlenes Android-Smartphone (das zu vielen Huawei-Modellen kompatible Huawei Y360 von Exxpert aus dem Jahr 2014 mit allem Drum und Dran für 79 Euro) unter Datenblatt.

Privatsphäre-Untersuchung
Mehr als 1300 Android-Apps sammeln heimlich private Daten - sogar dann, wenn man es verbietet
, STERN.de, 11.07.2019
Sicherheitsforscher demonstrierten, dass mehr als 1000 Android-Apps unerlaubt personenbezogene Daten speichern. Die App-Anbieter hebelten die Sicherheitsmaßnahmen mit kreativen Methoden aus.
https://www.stern.de/digital/smartphones/mehr-als-1300-android-apps-sammeln-private-daten---sogar-dann--wenn-man-es-verbietet-8793248.html

1325 Android-Apps umgehen Zugriffs-Berechtigungen, PC-WELT.de, 09.07.2019
Über 1000 Android-Apps umgehen die persönlichen Zugriffsberechtigungen der Nutzer und sammeln weiterhin fleißig Daten.
https://www.pcwelt.de/news/Ueber-1000-Android-Apps-umgehen-Zugriffs-Berechtigungen-sammeln-Daten-10625000.html

Android-Apps haben die Tracker-Seuche, PC-WELT.de, 27.03.2019
Die Mehrzahl der untersuchten Android-Apps enthält Tracker, die Nutzungsdaten an Google und auch an Drittfirmen senden.
https://www.pcwelt.de/news/Android-Apps-haben-die-Tracker-Seuche-10562857.html

China: Spionage-App späht heimlich Einreisende aus, netzpolitik.org, 03.07.2019
An den Grenzen der chinesischen Region Xinjiang werden die Handys von Einreisenden von einer App ausspioniert. Die sucht nach IS-Propagandavideos, aber genauso nach Fotos des Dalai Lama. Auch Kontakte, Anruflisten und Kalender werden ausgelesen. Erste Hersteller von Antiviren-Software haben reagiert.
https://netzpolitik.org/2019/china-spionage-app-spaeht-heimlich-einreisende-aus/

Warum es so schwer ist, rechtlich gegen Spionage-Apps vorzugehen, netzpolitik.org, 26.06.2019
Wer das Handy einer Partnerin oder Ex-Partnerin mit Spionage-Apps überwacht, macht sich in Deutschland strafbar. Zu Anklagen kommt es trotzdem so gut wie nie und auch die Hersteller solcher Apps müssen sich nicht fürchten. Dazu gibt es zu viele Schlupflöcher im Gesetz und zu wenige Möglichkeiten, das Stalking zu beweisen.
https://netzpolitik.org/2019/warum-es-so-schwer-ist-rechtlich-gegen-spionage-apps-vorzugehen/

Uli Herrmann
Wie lange wollen wir uns eigentlich noch von einem Folterstaat übewachen lassen wie Ratten in einem Labor?
Liegt doch auf der Hand, wer da wieder die Finger im Spiel hat.
Kotzt mich einfach an, was sich "Behörden" da rausnehmen wie selbstverständlich. Haben wir sie jemals dazu legitimiert?
25. Dezember 2014 (18:39)

mario
Antworten
verdammt gute frage!
was noch viel schlimmer ist: ...
https://tarnkappe.info/tor-wurden-20-exit-nodes-beschlagnahmt/

News&Links#Facebook


User als Laborratten
...
, netzpolitik.org, 17.04.2018
[...] Heikle Fragen zur Verwendung von Nutzerdaten blieben unbeantwortet. Der Datenschutzbeauftragte der EU wirft dem Internetkonzern indes vor, seine User in "Laborratten" zu verwandeln. Die Antwort der europäischen Politik auf den Skandal kommt aber nur langsam ins Rollen.

News&Links#Facebook

User als Laborratten
Wie Mark Zuckerberg den US-Kongress in die Irre führte
, netzpolitik.org, 17.04.2018
Der Facebook-Chef warf bei der Anhörung vorige Woche geschickt Nebelgranaten. Heikle Fragen zur Verwendung von Nutzerdaten blieben unbeantwortet. Der Datenschutzbeauftragte der EU wirft dem Internetkonzern indes vor, seine User in "Laborratten" zu verwandeln. Die Antwort der europäischen Politik auf den Skandal kommt aber nur langsam ins Rollen.
https://netzpolitik.org/2018/wie-mark-zuckerberg-den-us-kongress-in-die-irre-fuehrte/

Ermüdung 2.0: Deutsche sind oft mit dem Schutz ihrer Privatsphäre im Internet überfordert, trojaner-info.de, 28.05.2019
39 Prozent der Deutschen wissen nicht, wie sie ihre Daten absichern können.
Viele Nutzer füttern das Internet leichtfertig mit persönlichen Daten, oftmals nur für einen kleinen Vorteil oder aus Resignation und der Überzeugung, dass es sowieso unmöglich sei, die eigene Privatsphäre online zu schützen. Gleichzeitig kommen ständig neue Datenlecks ans Licht - trotz der EU-Datenschutzgrundverordnung (DSGVO), die nun seit fast einem Jahr in Kraft gesetzt ist.
https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/ermuedung-2-0-deutsche-sind-oft-mit-dem-schutz-ihrer-privatsphaere-im-internet-ueberfordert.html

"Letzte Möglichkeit der Zerschlagung", netzpolitik.org, 28.04.2018
Das Bundeskartellamt sah Facebooks Datensammelei aus Drittquellen zuletzt als missbräuchlich an, während Google gegen eine von der EU-Komission wegen Missbrauch der Marktmacht verhängte Strafe in Milliardenhöhe klagt. Nach Ende der Verfahren, so Knoerig, "kommen wir über die Bundesregierung womöglich zu dem Ergebnis, dass wir Kommissionen bilden, und dann können wir, wenn es denn nötig sein wird, entflechten".
Reinhard Houben (FDP) sprach sich dafür aus, die Verfahren abzuwarten und bezeichnete die Möglichkeit der Zerschlagung als "letzten Schritt". Die digitale Wirtschaft brauche "Freiraum, damit sie sich entfalten kann."
https://netzpolitik.org/2018/bundestag-ueberlegt-digitale-plattformen-zur-oeffnung-zu-verpflichten/

Trojaner "FinSpy" knackt WhatsApp, Signal, Threema und Telegram, trojaner-info.de, 16.07.2019
Der Trojaner "FinSpy", kann in einer neuen Version nahezu sämtliche Messenger knacken und noch viel mehr!
Sicherheitsexperten von Kaspersky sind auf eine neue Version gestoßen, welche nicht nur die Nachrichten auf diversen Messengern protokolliert, sondern auch Kamera und Mikrofon aktivieren kann, auch die Kontake, SMS-Nachrichten, E-Mails, Kalender, GPS-Standort, Fotos, Dateien im Speicher und Sprachnachrichten können überwacht werden, warnt Mimikama.
https://www.trojaner-info.de/mobile-security/aktuell/trojaner-finspy-knackt-whatsapp-signal-threema-und-telegram.html

WhatsApp Sicherheit und Datenschutz — zwei unterschiedliche Universen?, trojaner-info.de, gelesen am 17.07.2019
Zum Start des Messengers wäre die Antwort ein erschreckend klares "Ja!" gewesen. Die gesamte Kommunikation und alle Daten wurden komplett unverschlüsselt übertragen. Mit einem sogenannten Netzwerksniffer oder einer entsprechenden App konnten findige Datenschnüffler und Hacker den gesamten Datenverkehr abfangen und jegliche Kommunikation mitlesen. Das war so, als würden Sie im Café das Gespräch am Nachbartisch ungehindert mithören. 2013 wurde zum Beispiel bekannt, dass Hacker via WhatsApp auf PayPal-Konten zugreifen konnten und es Lücken im Anmeldeprozess gab, die den Raub der WhatsApp-Identität möglich machen. Ein neuer WhatsApp-Trick betrifft Emoji-Abofallen: Nutzer bekommen Nachrichten, die versprechen, animierte Emojis nutzen zu können und müssen fortan 12 Euro pro Monat zahlen.
Die zehn größten WhatsApp Risiken
1. WhatsApp bzw. Facebook unterliegen US-Gesetzen — Zugriff auf verschlüsselte Daten möglich. Natürlich alles Vertrauenssache: Sämtliche Daten liegen auf Servern in den USA. US-Behörden können das Unternehmen nach dort geltendem Recht, dem sogenannten Patriot Act, ohne richterliche Genehmigung auffordern, persönliche Daten von Nutzern freizugeben. Das hieße demzufolge, dass bis dato verschlüsselte Nachrichten entschlüsselt werden könnten und die persönlichen Nutzerdaten der NSA, Geheimdiensten usw. frei zur Verfügung stehen würden.
2. Probleme mit dem Datenschutz: Übermittlung persönlicher Daten. Wenn Nutzer dies nicht per Voreinstellung unterbinden — das ist nur bei einigen iOS-Versionen möglich und schränkt die Funktionalität ein — werden sämtliche persönlichen WhatsApp Kontaktdaten zum Datenabgleich an die WhatsApp-Server in den Staaten übermittelt. Darunter auch Daten von Personen, die WhatsApp eventuell gar nicht verwenden und nach deutschem Recht um Erlaubnis gefragt werden müssten. WhatsApp behauptet, nur die Telefondaten zu übermitteln.
Das, was WhatsApp als Datenschutz bezeichnet (Pfad: Einstellungen > Account > Datenschutz) ist nicht konform mit den deutschen Datenschutzbestimmungen. Die Richtlinien von WhatsApp definieren die Sichtbarkeit von Daten für andere Nutzer, legen jedoch nicht dar, wie mit den erhobenen Daten umgegangen wird. Die AGB sind ausschließlich in englischer Sprache verfügbar. WhatsApp garantiert in den AGB Rechte an den eigenen Profilbildern und Statusmeldungen, hingegen nicht an sämtlichen eigenen Chats. Alles Vertrauenssache …
3. Facebook und Schlapphüte lesen mit? Facebook hat sich 2014 die Übernahme von WhatsApp 19 Milliarden US-Dollar kosten lassen und stand im Fadenkreuz derSnowden-Prism-Enthüllungen. Dies könnte im Zweifel bedeuten, dass evtl. auch Geheimdienste, Ermittlungsbehörden und Hacker heute schon WhatsApp-Inhalte mitlesen können. Es bleibt jedem Anwender überlassen, Vertrauen zu haben, dass die Dienste unabhängig voneinander betrieben werden.
4. Trotz Verschlüsselung nach wie vor Sicherheitslücken. Der Messenger hat die End-zu-End-Verschlüsselung der Datenübertragung eingeführt. iOS und Windows Phone sind noch außen vor. Bisher beschränkt sich die Verschlüsselung noch auf persönliche Messages. Gruppen-Chats oder Bilder sind noch nicht verschlüsselungsfähig. Sicherheitslücken bleiben: Die E2E-Verschlüsselung wird nicht permanent ausgeführt. So werden Nachrichten und Daten teilweise in Klartext an WhatsApp-Server übermittelt. Zu den Informationen zählen Standorte, Telefonnummern bzw. Kontaktdaten, Zugriffe auf Kamera und Mikrofon uvm. Übrigens: Deutsche Datenschutzexperten sind nicht zu 100 Prozent von der Verschlüsselung überzeugt. (mehr)
5. Browser-Version mit Sicherheitslücken. Seit Anfang 2015 bietet WhatsApp eine Version für den Desktop an, die kompatibel mit den Browsern Chrome, Firefox und Opera ist. Alle Smartphones, auf denen WhatsApp installiert ist, können genutzt werden. Ein Sicherheitsspezialist in den USA hat Anfang 2015 herausgefunden, dass hier weitere Gefahren lauern und Sicherheitslücken bestehen: So waren auf dem Desktop noch Bilder sichtbar, die auf dem Telefon bereits entfernt wurden. Geänderte Sichtbarkeitseinstellungen der Nutzer wurden auf dem Desktop anscheinend nicht bzw. erst später nachvollzogen.
6. Abzocke durch WhatsApp-Klone, Kettenbriefe und ähnliche Cyberkriminalität. Wie auch bei anderen beliebten Apps werden bereits im Netz kostenfreie oder günstige WhatsApp-Klone angeboten. So manch ein Opfer soll reingefallen sein auf die Nachricht "Ihr WhatsApp Abo läuft ab — jetzt hier klicken (…)". Die Folge: Für solche Abzocke-Dienste werden fortan Gebühren von 5 Euro und mehr pro Woche fällig. Nachrichten verbreiten sich auf WhatsApp blitzschnell. Häufig wird dies von Cyberkriminellen genutzt, um über Spam-Nachrichten oder Kettenbriefe Links zu Abo-Fallen zu verbreiten.
7. Gefahr von Malware-Angriffen. Die große Beliebtheit von WhatsApp ist ein gefundenes Fressen für Malware-Verbreiter. Zuletzt hatte das US-Sicherheitsunternehmen Check Point herausgefunden, dass weltweit rund 200 Mio. WhatsApp-Web-Nutzer gefährdet waren, sich einen Virus zu fangen. Dieser Schädling hatte sich über den Versand von VCF-Kontaktdateien verbreitet.
8. Vorsicht bei Telefonaten über WhatsApp. Forscher fanden heraus, dass bei der WhatsApp-Telefonie keine Inhalte getrackt werden, wohl aber Metadaten.
9. Risiken bei Rufnummernwechsel. Wie der Stern 2014 recherchierte, kann es nach Rufnummernwechseln passieren, dass die persönlichen Daten bei WhatsApp noch mit dem Vorbesitzer der Nummer verknüpft sind. Konsequenz: Der neue Besitzer des Geräts, der die alte frei gewordene Nummer übernommen hat, kann alte Chats sowie Kontakte des vorherigen Rufnummernbesitzers lesen.
10. Cybermobbing. Risiken für die WhatsApp Sicherheit bergen nicht nur die Nutzung der App, sondern auch die Art der Nutzung von WhatsApp. Beleidigende Kommentare oder Bilder, die für Dritte nicht gedacht waren, werden mit dem Messenger kinderleicht, schnell und gedankenlos in großen Gruppen verschickt. Insbesondere Kinder und Jugendliche sind stark gefährdet, in WhatsApp-Cybermobbing-Fallen zu treten und sollten davor geschützt werden — lesen Sie mehr in unserem Trojaner-info-Special "Kindersicherheit Internet".
https://www.trojaner-info.de/mobile-security/whats-app-sicherheit/articles/Sicherheitsrisiko-WhatsApp-die-zehn-groessten-Risiken.html
Vorsicht WhatsApp! Hacker können Sicherheitslücke trotz End-zu-End-Verschlüsselung nutzen, https://www.trojaner-info.de/mobile-security/whats-app-sicherheit/articles/10-Tipps-zur-sicheren-Nutzung-von-WhatsApp.html
Datenschutz Ade! WhatsApp teilt Facebook Telefonnummern mit, https://www.trojaner-info.de/mobile-security/aktuell/datenschutz-ade-whatsapp-teilt-facebook-telefonnummern-mit.html
Vorsicht bei WhatsApp: Aktivierung von Videoachats ist eine Trojaner-Falle, https://www.trojaner-info.de/mobile-security/aktuell/vorsicht-bei-whatsapp-aktivierung-von-videoachats-ist-eine-trojaner-falle.html

Putin warnt vor dem Deep State Deutschland in den USA: "Diese Leute sind mächtig und stark"
https://brd-schwindel.ru/putin-warnt-vor-dem-deep-state-in-den-usa-diese-leute-sind-maechtig-und-stark/

News&Links#Bankenskandal#Allesklar

Seit Jahrzehnten massive Beschwerdestellen: Deutsche Bahn, Deutsche Telekom, Deutsche Bank, Deutsche Behörden, Deutsche Polizei, ... Bei jeder Schweinerei ist die Deutsche Bank dabei, tagesschau.de, 2016
Landeskonstellation aus Bismark und Wilhelm II., 50% Katholiken und 50 % Protestanten, 7 Millionen Handlanger, zwei verlorene Weltkriege, vier Alliiertensektoren, fehlende Landes-Souverenität, Bund aus 16 Fürstentümern und Freistaaten, Mischung aus Banken, Monarchie und Demokratie, EU-Vorherrschaft, ...

Deutsche Bank in rund 1200 Verfahren verwickelt, tagesschau.de, 22.05.2014
Der Bankenskandal u.a. der Deutschen Bank, hier klicken

Visualisiert: Mit diesen 600 Firmen teilt Paypal deine Daten, netzpolitik.org, 23.01.2018
Seit dem 1. Januar 2018 gewährt der Online-Zahlungsdienst PayPal Einblick in die Liste der Firmen, mit denen er "möglicherweise" persönliche Informationen seiner Nutzer teilt. Rebecca Ricks hat die sage und schreibe 600 Firmen visualisiert.
https://netzpolitik.org/2018/visualisiert-mit-diesen-600-firmen-teilt-paypal-deine-daten/

Euro-Blüten: Mehr Falschgeld in Deutschland, SPIEGEL ONLINE, 26.07.2019
Die Bundesbank hat in der ersten Jahreshälfte mehr Falschgeld aus dem Verkehr gezogen. Das lag auch am Wettlauf zwischen Fälschern und Behörden. mehr...
https://www.spiegel.de/wirtschaft/soziales/mehr-falschgeld-in-deutschland-weniger-euro-blueten-in-europa-a-1279162.html

Geldwäschebekämpfung
Beim Zoll stauen sich Verdachtsmeldungen
, tagesschau.de, 09.07.2019
Nach massiver Kritik ist die Geldwäsche-Bekämpfung des Zolls verstärkt worden. Doch es half wenig: Die Zahl der nicht abgeschlossenen Verdachtsmeldungen erreichte ein Rekordhoch.
https://www.tagesschau.de/investigativ/ndr/geldwaesche-verdachtsmeldungen-101.html

"Carbanak"-Gang erbeutete weltweit Milliarden
Interpol, Europol, Kaspersky Lab und andere Institutionen den bisher größten Cyber-Raubzug aufgedeckt
, trojaner-info.de, 04.04.2018
Eine skrupellose Bande von Hackern hat jahrelang Server von Banken abgezapft und auf diese Weise in über 100 Geldinstitute in mehr als 20 Ländern über eine Milliarde Euro erbeutet. Nach dem Ermittler die Gruppe weltweit verfolgten, gelang es der Polizei in Spanien Ende März, den Kopf der Gruppe festzunehmen.
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/carbanak-gang-erbeutete-weltweit-milliarden.html

News&Links#BuenoAppetito

Bis Ende Jahr 2017, jeden Montag: Massenauflauf in Deutschland zu Patrick Bachmanns Pegida, die 30., 31., 32., ... "gegen die Islamisierung des christlichen Abendlandes" mit zeitweise sage und schreibe über 25.000 Teilnehmern.
Drei Jahre "Pegida": Immer wieder montags, tagesschau.de, 28.10.2017
Fortsetzung des Berichts in Kürze!

Auch das eigene Aussehen wurde nachgereicht
"1000 Mal berührt, 1000 Mal ist nix passiert.", Klaus Lage, 80er Jahre
BR> "Wir sind die Sadisten, ihr die Masochisten!", meinte Vierteljahrhundert-Prostituierte und Pornomodell Maja Schmidt aus Voerde am Niederrhein bereits vor mehreren Jahrzehnten.
Sie sind "die Guten", "die Wertvollen", "die Schönen", die Menschen im Recht. Und die anderen...

Joghurt aus Deutschland, Wein aus Italien: Putin verbrennt Tonnen Lebensmittel, FOCUS Online, 06.08.2015
Bereits der Apfel aus dem Westen sei vergiftet. [...]

Verteidigung Russlands gegen missliche Einflüsse der Lebensmittel aus dem Westen
Selbsternannte Eingreiftruppe setzt Embargo durch
Der Kosak im Supermarkt
, Tagesschau.de, 22.08.2015
Die Kosaken, einst stolze und streitbare Krieger, fühlen sich heute als Bewahrer nationaler Werte und wollen Russland gegen missliche Einflüsse von Außen verteidigen. Zum Beispiel Lebensmittel aus dem Westen, die trotz des Einfuhrverbots den Weg nach Russland finden. Von Stefan Stuchlik.

Abschaffung der Sozialhilfe, Wohngeld und Krankenhilfe nach altem SGB II
Der SPD-Mann von der Volkswagen AG (VW) machte es möglich - Aber nicht für alle!


Knast noch besser (cheaper somehow! And even more secure!)!
Traditioneller Gang durch alle Instanzen: Das von jeher am meisten verklagte Geld der Welt



News&Links

"Sie sehen wie Freunde aus, aber sie wollen uns tot sehen", FOCUS ONLINE, 28.11.2014
Sultan Erdogan hält Hasstirade gegen den Westen

Der türkische Präsident Recep Tayyip Erdogan sorgt für den nächsten Eklat. Kurz vor dem Besuch von Papst Franziskus griff er den Westen mit einer Hassrede in Istanbul an. Er spricht darin von "westlichen Medien und Fremden unter uns, die an einem Ego-Komplex leiden". "Jene, die von außen in die islamische Welt kommen, mögen Öl, Gold und Diamanten, sie mögen billige Arbeitskräfte, und sie mögen Zwist und Streit. Sie mögen es, unsere Kinder sterben zu sehen. Sie wollen nicht, dass wir Dinge hinterfragen", fuhr Erdogan fort. "Glaubt mir, sie mögen uns nicht", zitiert ihn die "H&u

BRD-Tribunale - Humane Alternative zur Todesstrafe?, brd-schwindel.ru, 13.04.2019
Die Macht der BRD bröckelt tagtäglich. Wenn wir am Ende Tribunale bekommen sollten, was wäre die gerechte Strafe für die größten Verbrecher?
https://brd-schwindel.ru/brd-tribunale-humane-alternative-zur-todesstrafe/

News&Links#Computer

Seit 1981/82: Schwarze Bildschirme, Tonnen voll Updates (Terrabytes), Cyberwar, Suneater, fehlende Treiber, Treiber- und Hardware-Ausfälle, glibc-patch, openssl-patch, Systemabstürze (u.a. python), kaputte Kernel und glibc, Dirty Cow, Sambacry, Meltdown und Spectre, Sicherheitsschwächen im Browser, Hacker, Trojaner, Viren, ungelöste Paket-Abhängigkeiten usw. usw.
Die regelrechte (Kunst-) Bombe in wohl jedem Computer, weil allen Betriebssystemen und jeder Menge Software, konnte über Updates mit Gookens "Universal Linux" erstmals nach über 25 Jahren ( zumindest weitgehend ) entschärft werden.

Die ganze Welt ist inzwischen verrraten und verkauft!
Was kommt nur nach all seinen B-Film-Nebenrollen und all seinen kaputten Computersystemen?


"Gläserner Mensch ist längst Realität", WELT.de
https://www.welt.de/print-welt/article210413/Glae

Ist eine Privatsphäre im heutigen Zeitalter überhaupt möglich?
Der gläserne Mensch. Über totale Transparenz im Zeitalter der NSA-Überwachung
, Prof. Hasan Elahi
Ist eine Privatsphäre im heutigen Zeitalter überhaupt möglich? Der Medienkünstler Prof. Hasan Elahi, erörtert die neue Normalität der Transparenz nach dem 11. September. Er berichtet von seinem Projekt "Tracking Transience", mit dem...
https://doi.org/10.5445/DIVA/2014-235

Sind wir bald alle gläsern?
Der Gläserne Mensch
, UNI.DE
Der gläserne Mensch ist ein oft genannter Begriff im Bereich des Datenschutzes. Sind wir bald alle gläsern?
https://uni.de/redaktion/glaeserner-mensch

Von News&Links#Computer

User als Laborratten
...
, netzpolitik.org, 17.04.2018
[...] Heikle Fragen zur Verwendung von Nutzerdaten blieben unbeantwortet. Der Datenschutzbeauftragte der EU wirft dem Internetkonzern indes vor, seine User in "Laborratten" zu verwandeln. Die Antwort der europäischen Politik auf den Skandal kommt aber nur langsam ins Rollen.

Das Internet muss weg!
Internet: Brainwashing durch Algorithmen, Trolle und Tech-Firmen
Schlecky Silberstein surft in unserer Filterbubble
, netzpolitik.org, 17.04.2018
Christian Brandes aka Schlecky Silberstein würde gern das Medium abschaffen, das ihn ernährt. In "Das Internet muss weg" beschreibt der Blogger, wie wir von Algorithmen, Trollen und Tech-Firmen gebrainwasht werden. Aber ist er nicht selbst ein Teil davon? Eine Rezension.
https://netzpolitik.org/2018/schlecky-silberstein-surft-in-unserer-filterbubble/

"Ich bin noch nie so belogen worden!"
#34c3: Die Lauschprogramme der Geheimdienste
, netzpolitik.org, 29.01.2018
"Ich bin noch nie so belogen worden", sagte Hans-Christian Ströbele über seine Arbeit im NSA-BND-Untersuchungsausschuss. In einem Gespräch mit Constanze Kurz resümiert der grüne Politiker die Ergebnisse der parlamentarischen Untersuchung.
https://netzpolitik.org/2018/34c3-die-lauschprogramme-der-geheimdienste/

Redakteurin macht Selbsttest
Habe meine Daten runtergeladen: Was Facebook alles über mich weiß, hat mich schockiert
, FOCUS Online, 26.06.2018
Dass Facebook Daten über seine Nutzer speichert, ist bekannt. Doch wie umfangreich die Datensammlung ist, realisiert man erst, wenn man sie sich herunterlädt: Freunde, Orte, Posts - alles wird über Jahre hinweg gesammelt.
https://www.focus.de/digital/experten/facebook-ich-wusste-dass-facebook-daten-speichert-doch-das-ausmass-hat-mich-erschreckt_id_9145326.html
Forsetzung Facebook: News&Links#facebook
Aus der Öffentlichkeit entfernt
https://www.welt.de/kultur/kino/article168457149/Wenn-ein-Tech-Gigant-nach-totaler-Kontrolle-strebt.html

Aus unserem Exkurs von dieser Webseite:

Linux-Zweitsysteme für Spezial-Einsatzzwecke
Linux-Zweitsysteme erledigen auch jenseits von Reparaturen produktive Aufgaben. Wir stellen hilfreiche Distributionen vor.
https://www.pcwelt.de/ratgeber/Linux-Zweitsysteme-fuer-Spezial-Einsatzzwecke-8750992.html

Build 2019
Windows 10 erhält Linux-Kernel und neues Kommandozeilen-Tool
, PC-Magazin.de, 08.05.2019
Auf der Build 2019 hat Microsoft Ausblicke auf künftige Neuheiten für Windows 10 gegeben - unter anderem ein voller Linux-Kernel und Windows Terminal.
https://www.pc-magazin.de/news/windows-10-linux-kernel-command-line-app-3200644.html

Linux-Bash
Windows 10 für Nerds: Diese Text-Kommandos sollte jeder Nutzer kennen
, CHIP, 25.09.2016
CMD, PowerShell und jetzt auch noch Linux-Bash, Windows 10 ist vollgepumpt mit Kommandozeilen. Dabei werden meist nicht mal die Basics genutzt. Wir zeigen wichtige CMD-Befehle, die jeder Windows 10-Nutzer beherrschen sollte, http://www.chip.de/news/Windows-10-fuer-Nerds-Kommandozeilen-Befehle-die-Windows-10-User-kennen-sollten_100359811.html

Microsoft Edge mit Chromium Unterbau: Das sind die neuen Funktionen
Microsoft Edge setzt auf Chromium: So sieht der neue Browser aus
, PC-Magazin.de, 07.05.2019
Bereits seit Längerem ist bekannt, dass Microsoft einen neuen Edge-Browser auf Chromium-Basis entwickelt. Die offizielle Vorab-Version lässt sich auch schon auf Windows 10 downloaden. Nun sind Details zu spannenden neuen Features bekannt geworden - und erstmals in der Geschichte des Browsers ist jetzt auch eine Version für den Mac aufgetaucht.
https://www.chip.de/news/Neue-Version-ueberraschend-aufgetaucht-Was-kann-der-neue-Microsoft-Browser-wirklich_164896960.html

Windows braucht Linux: Sonst hat Microsoft keine Zukunft, CHIP, 17.04.2016
Microsoft hat Linux in Windows 10 integriert. Aber nicht nur, um Entwicklern eine Freude zu machen. Für den Konzern geht es um die Zukunft - und die ist ohne Linux undenkbar
http://www.chip.de/news/Windows-10-braucht-Linux-Denn-Microsoft-hat-sonst-keine-Zukunft_92315506.html

Jeder Dritte wollte Windows 10 nicht mal geschenkt, (indirekter Ubuntu-Empfehler) PC-WELT.de, 01.08.2016
Haben Sie das Windows-10-Upgrade gemacht? Oder verweigerten Sie es? So haben sich unsere Leser entschieden! https://www.pcwelt.de/news/Machen-Sie-das-Gratis-Upgrade-auf-Windows-10-10007169.html

Windows mit Virtualbox in Linux nutzen - so gehts, PC-WELT.de, 08.05.2019
Per Virtualisierung lassen sich Windows-Anwendungen auch unter Linux nutzen. Wir zeigen Ihnen, wie das geht.
https://www.pcwelt.de/ratgeber/Windows-als-virtuellen-PC-in-Linux-weiternutzen-9790033.html
Virtualbox (el6, all Linux): VirtualBox-6.0-6.0.6_130049_el6-1.x86_64.rpm from 16-Apr-2019 118M ( oder VirtualBox-5.2-5.2.28_130011_Linux_x86.run ) und UserManual.pdf von
https://download.virtualbox.org/virtualbox/6.0.6
Alternativ: qemu (el6, all Linux), virt-manager (el6) and libvirt (el6), wine64 (el6, all Linux, 64-Bit-MS-Windows-Emulator) and wine (el6, all Linux, 32-Bit-MS-Windows-Emulator)

Wonderful Unix, wonderful OpenSource ("tick-tick-tick-..."), we are right (addition from 07.09.2013): Tagesschau reports about weak-points in many security software. The industry for software would have been built-in backdoors in their programs. It were possible to get information right before a user encrypts them and to send them over the internet. Super-computer were constructed to crack encrypted codes. NSA-program "Bullrun" belonged to the most kept secrets. The british agency GCHQ were very successfull in cracking code. Such analyses would have belonged to Google, Yahoo, Facebook und Microsoft.

disclaimer Prozession 2010 bis 2026+ u.a. durch el6 (bzw. el7)
Der Computer - 1000% sicher, mausklick-schnell, alles lifetime für (fast) umsonst)

Er ließ sich auf mal nicht mehr helfen (alles intakt!)
2009/2010: Jahr des Computers, Jahr der Hard- und Software (CentOS el6 (Start 2010), Mandriva 2010.2) - ALLES RUND UM DEN COMPUTER IST GELAUFEN! (!!!)
... weitgehend flächendeckend und auch sicherheitstechnisch: nur noch Verfollständigen und Updaten (siehe Update-Listing von unserer Webseite "Universal Linux"! CentOS- bzw. SL-Updates (el6) werden dabei von 2010 bis 2026 und (mit el7) länger angeboten. Entsprechende unverwüstliche und obendrein Strom sparende und mausklick-schnelle Linux-kompatible Lifetime-Hardware (*) für (fast) umsonst wird bei uns im -> Datenblatt Gerät für Gerät aufgelistet: All-in-one-Mainboard, zugehöriges Netzteil, alles strahlungsarm und supersilent, Ultraslim-WLED-TFT, SSD, Rom-Laufwerk (DVD-Brenner), Multifunktionsdrucker (Drucken-Scannen-Faxen-Kopieren), Maus/Tastatur, Gehäuse, ...
Dabei gings (und gehts) mit dem Computer an für sich bekanntlich kaum noch kaputter... (siehe Exkurs und unter News&Links). (*) Lifetime-Hardware: Über etwaige Reparaturfälle und Defekte werden wir auf der von uns empfohlenen Hardware im Datenblatt unter Mainboard künftig berichten, bislang (04.03.2019) Fehlanzeige, keine.

Von News&Links#MSWindows

Trotz Microsoft Defender
5 Tipps, die Sie vor Vireninfektionen schützen
, PC-WELT.de, 06.04.2019
Viren, Würmer und Trojaner bedrohen immer noch die Windows-PCs. Mit diesen fünf einfachen Tipps schützen Sie sich.
https://www.pcwelt.de/ratgeber/6-Tipps-die-Sie-vor-Vireninfektionen-schuetzen-8317198.html

Microsoft Defender nun auch für den Mac, trojaner-info.de, 01.04.2019
Ob Microsoft eine Mac-Version des Defender für Privatnutzer plant, ist derzeit unbekannt.
Es wird zukünftig auch einen Windows "Defender" für Macs geben. Der neue Malwareschutz wird auf der Apple-Plattform Microsoft Defender Advanced Threat Protection (ATP) statt Windows Defender ATP heißen. Vorerst steht diese Version für Unternehmen zur Verfügung.
https://www.trojaner-info.de/business-security/aktuell/microsoft-defender-nun-auch-fuer-den-mac.html

Systemeigenschaften
Anleitung
Windows 10/8.1/7: Systemwiederherstellungspunkt erstellen, PC-Magazin.de, 18.02.2018
Wer in Windows 10, 8.1 oder 7 einen Systemwiederherstellungspunkt erstellt, kann diesen bei Problemen als Backup einspielen. Hier die Anleitung.
http://www.pc-magazin.de/ratgeber/windows-10-windows-7-systemwiederherstellung-wiederherstellungspunkt-erstellen-backup-3195647.html

Sicherheit für MS Windows: Arbeiten wie die Profis
Trojaner-Board.de: Professionelle Analyse- und Malware-/Fehlerbehebungs-Werkzeuge für MS Windows
nach trojaner-board.de
- FRST.txt log, Farbar Recovery Scan Tool (FRST): dokumentierte Systembeschreibung: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
- msconfig, ipconfig /aLL und Taskmanager - Boardinstrument und Kommadozeilentool von MS Windows, um zu sehen, wieviel und welche Programme gestartet werden.
- chkdisk, CrystalDiskinfo zum Erstellen von Logfiles zu Laufwerken und Auslesen der S.M.A.R.T.-Werte der Festplatte
- Bluescreenview zum dokumentierten Posten der Bluescreens und deren (etwaiger) Fehlermeldungen
- Malwarebytes: kostenlose Software für Internetsicherheit und Schutz ..., Malwarebytes Anti-Rootkit (MBAR), http://filepony.de/download-malwarebytes_anti_rootkit/, de.malwarebytes.com, Malwarebytes schützt Sie vor Schadsoftware, Ransomware und anderen erweiterten Online-Bedrohungen, die dazu geführt haben, dass Antivirenprogramme hinfällig und ...
Malwarebytes - Malware Scanner - Download - CHIP
Malwarebytes - Malware Scanner 3.3.1.2183 Deutsch: Die Freeware "Malwarebytes Anti-Malware" ist ein Malware-Scanner und entfernt dank ausgeklügelter Technik
http://www.chip.de/downloads/Malwarebytes-Malware-Scanner_27322637.html
- hwinfo Hardware-Gerätetreiber-Information
- clamav: Virenscanner, Rkhunter, chkrootkit: Rootkit-Scanner
- AdwCleaner: Das kostenlose Tool AdwCleaner verspricht unerwünschte Adware, Junkware, Toolbars und Hijacker vom PC zu entfernen.
- Revo Uninstaller: Deinstallation von Programmen
- TDSS-Killer: Schädlinge suchen mit Kaspersky TDSS-Killer
- memtest86: Test des Arbeitsspeichers (RAM)
- S.M.A.R.T: Festplatten-Check
-
System-Logdatei und Error-Logdateien
-
gparted: Partitionsmanager mit Checks

OKTails und Subgraph OS
Es gibt einige Projekte, die eine Live-DVD bereitstellen. Bei der Nutzung eines Live-Systems erhält man ein sinnvoll vorkonfiguriertes und garantiert sauberes System ohne Trojaner. Da man keine Updates einspielen kann, sollte man regelmäßig eine aktuelle Version des ISO-Images von der Webseite herunter laden.
Fast alle Linux-Distributionen und einige BSD-Derivate stellen Live-DVDs bereit, The LiveCD List bietet eine Übersicht. Man kann diese Live-DVDs zum Kennenlernen nutzen oder für viele kleine Aufgaben, die ein sauberes System erfordern.
TAILS: The Amnesic Incognito Live System ist die Live-DVD von Torproject.org. Der gesamte Datenverkehr ins Internet wird standardmäßig durch Tor geschickt.
Subgraph OS: ist ein besonders gehärtetes Linux mit Grsecurity/PaX Kernel Patches. Alle Anwendungen sind per Sandbox voneinander isoliert. Tor Onion Router wird standardmäßig als Anonymisierungsdienst genutzt. Derzeit steht eine Alpha Version zum Download bereit. Das ISO-Image kann auch als Live-DVD als Alternative zu TAILS genutzt werden.
https://www.privacy-handbuch.de/handbuch_24o.htm
https://tails.boum.org/
https://subgraph.com/sgos/index.en.html
https://subgraph.com/sgos/download/index.en.html
https://livecdlist.com/

Die Installation von Tails (Debian Stretch 9.8, u.v.a. mit LibreOffice) ist einfach:
1. Image-Datei
Herunterladen der Image-ISO-Datei von Tails für den USB-Speicherstift oder DVD von https://tails.boum.org/. Beachte, dass es sich dabei nicht um die gleiche Image-Datei handelt.
2.a) DVD
Brennen der Image-ISO-Datei mit einem Brennprogramm auf einen DVD-Rohling
2.b) USB-Speicherstift / SSD (Solid State Laufwerk) / HDD (Festplatte) / bootfähige Partition
Gerätedatei ist die Datei für den mindestens 8 GB großen USB-Speicherstift, z.B. /dev/sdd
Alle Partitionen von diesem Stift löschen. Es darf sich keine Partition auf dem Stift befinden und keine neue erzeugt werden!
Die Image-ISO-Datei entpackt auf den USB-Speichersstift kopieren:
dd if=Pfad-zur-Image--ISO-Datei/image-iso-tails.img of=Gerätedatei bs=16M && sync
3. Neustarten von DVD oder Neustarten des Systems und dabei Funktionstaste (ASUS-Hauptplatine/Mainboard: Taste F8 oder ESC) zum Booten von USB drücken (ASUS: BIOS-Setup muss dafür auf Sicherheit->Full Access stehen) und Tails vom USB-Speicherstift mit Tails booten. Gegebenenfalls den persistenten Speicher z.B. für den Drucker nach dem Starten mit entsprechender Utility auf USB einrichten.
Fertig! Alternativ kann Tails mit der Anwendung Tails-Installation auch von Tails auf beliebige Speichermedien geklont werden.
4. Installation weiterer Pakete: persistenten Speicher aktivieren, Administrator-Password setzen, Paketmanager anwenden: synaptics, aptitude, apt oder Terminal-Kommando dpkg für Pakete von Debian Stretch von debian.org oder anderen Quellen
Quelle: https://tails.boum.org/

OKSo machen Sie den Raspberry Pi sicherer, PC-WELT.de, 09.06.2019
Der Platinenrechner kommt viel zum Einsatz, wird zwangsläufig zum Angriffsziel und sollte deswegen besser abgesichert sein.
https://www.pcwelt.de/a/so-machen-sie-den-raspberry-pi-sicherer,3449552

Torbenutzer in Extremistendatenbank der NSA?, wikipedia.de
Im Nachgang zur Snowden-Affäre berichteten der Norddeutsche Rundfunk und der Westdeutsche Rundfunk im Sommer 2014, die Benutzer des Tor-Netzwerkes und der Linux-Distribution Tails würden von dem Ausspäh-Programm XKeyscore automatisch in eine Datenbank der NSA eingetragen, in der Daten über Extremisten gesammelt werden. Das hätten die Journalisten Lena Kampf, Jacob Appelbaum und John Goetz nach Prüfung des Quellcodes von XKeyscore herausgefunden. Die Sammlung erfolge über die IP-Adressen derjenigen, die auf die Directory Authorities, über die der Zugang zu dem Tor-Netzwerk erfolgt, zugreifen.
https://de.wikipedia.org/wiki/Tor_%28Netzwerk%29

Software::Distributionen::Debian
Debian stellt auf RPM um
, PRO-LINUX, 02.04.2019
Das RPM-Paketformat gilt schon lange als das führende Paketformat für Linux, an zweiter Stelle steht DEB, da sich Debian bisher gegen eine Umstellung auf RPM stemmte. Doch in zwei Jahren soll in Debian 11 eine komplette Umstellung erfolgen, DEB wird nur noch für die jetzt noch unterstützten Debian-Versionen gepflegt.
Dass Linux kein einheitliches Paketformat besitzt, ist für viele Software-Anbieter eine große Erschwernis. Doch auch innerhalb der Gemeinschaften wird die damit verbundene Duplikation der Arbeit als unnötig kritisiert. Nach über 25 Jahren, in denen sich das Debian-Paketformat DEB und das Red Hat-Paketformat RPM als dominierend erwiesen haben, soll das Schisma in absehbarer Zeit überwunden werden. https://www.pro-linux.de/news/1/26921/debian-stellt-auf-rpm-um.html

Von News&Links#IdentityTheft

Mitarbeiter machen Marketing
Twittern als "Amazon FC"
, tagesschau.de, 25.01.2019
Um das Image aufzupolieren, setzt Amazon derzeit auf eine ungewöhnliche PR-Maßnahme: Mitarbeiter klinken sich auf Twitter in kritische Diskussionen ein - und loben ihren Arbeitgeber in höchsten Tönen.
https://www.tagesschau.de/inland/amazon-twitter-101.html

Von News&Links#Facebook

Influencerin vor Gericht
Ist das nun Werbung oder nicht?
, tagesschau.de, 25.01.2019
Pamela Reif versorgt ihre Millionen Follower bei Instagram mit Mode- oder Fitness-Tipps. Nun steht sie wegen des Vorwurfs der Schleichwerbung vor Gericht. Frank Bräutigam über einen ungewöhnlichen Dialog im Gerichtssaal.
https://www.tagesschau.de/inland/pamelareif-101.html

Von News&Links#NSA&Co.t

Deutschland ist nur eine Informationsquelle für USA, von Rolf Büllmann, BR-Hörfunkstudio Washington, Tagesschau, 07.07.2014
Wer sich in den USA in den vergangenen Tagen über den neuesten deutsch-amerikanischen Spionagefall im NSA-Ausschuss des Bundestages informieren wollte, der musste schon sehr genau suchen. USA sah Deutschland nie als so engen Freund - und schon gar nicht als gleichberechtigten Partner. Wie praktisch jedes andere Land der Welt - mit Ausnahme Großbritanniens, Kanadas, Australiens und Neuseelands - ist Deutschland für die USA eine Quelle an Informationen, die es abzuschöpfen gilt. Sollte es dabei jemals Zurückhaltung gegeben haben, so ist die spätestens seit den Terroranschlägen vom 11. September passé. Seit damals ist für die USA praktisch alles erlaubt, was das Land sicherer macht im Kampf gegen den internationalen Terrorismus. Das ist das wohl entscheidende Problem in der ganzen Affäre: die Unfähigkeit der Politik in den USA, die Empörung in Deutschland anzuerkennen und zu verstehen. Dass die Deutschen sagen: "Das tut man aber nicht unter Freunden", können - oder wollen - die Amerikaner nicht nachvollziehen. Für sie ist völlig selbstverständlich, dass man so etwas tut, auch bei Freunden. Wie sonst soll man denn wissen, dass es noch Freunde sind?

Von News&Links#Teil3

Wie antisemitisch ist Deutschland?, tagesschau.de, 21.12.2017
Nicht nur im Internet verbreiten sich Hetze und Hassbotschaften gegen Juden - das zeigen israelfeindliche Proteste mit brennenden Flaggen oder wüste Beschimpfungen gegen den Gastwirt eines israelischen Lokals in Berlin. Wie antisemitisch ist Deutschland heute?, https://www.tagesschau.de/multimedia/kurzerklaert/antisemitismus-ke-101.html

Von News&Links

Bezeichnung seit 1982:
Die Bezeichnung "Gläserner Mensch" wird vor allem als Metapher des Datenschutzes verwendet, die für die als negativ empfundene vollständige "Durchleuchtung" der Menschen und ihres Verhaltens durch einen überwachenden Staat steht. Der Begriff wurde zunächst in der Diskussion zum Volkszählungsgesetz von 1982 in Deutschland gebraucht und steht seitdem als ein Sinnbild für die ausufernde und übergriffige Sammlung personenbezogener Daten von öffentlichen und privaten Stellen, insbesondere auf Vorrat.[1] Aufmerksamkeit erlangte das Konzept in jüngerer Zeit vor allem durch die NSA-Überwachungsaffäre, die im Jahr 2013 von Edward Snowden aufgedeckt worden war,
http://www.wikiwand.com/de/Gläserner_Mensch_(Datenschutz)

NSA´s MORECOWBELL: Even the most basic internet architecture is compromised, awp.is, 24.01.2015
DNS has always been an open book and MORECOWBELL is the program the NSA has developed exclusively to read it. As the leaked slides show, the system allows the agency to monitor the availability of sites and web services, changes in content and a wide array of metadata, that can help it build complete profiles for targeted users. If necessary, it can even be used to find weak points for launching direct attacks. Given the widespread use of DNS in the public internet, the implications of this program are huge, as it affects users on a global level.
https://data.awp.is/international/2015/01/24/20.html

"All people confident with the 80th know, that USA is a criminal state, who takes his superiority ... / Allen mit der Geschichte der vergangenen 80er Jahre vertrauten denkenden Menschen ist doch bekannt, dass die USA ein verbrecherischer Staat ist, der seine Übermacht mit ..."
www.compact-online.de/us-strategie-weltpolizei-oder-beobachtender-raushalter

niue-muenzenAlle Intel- und viele AMD-CPU-Generationen seit Celeron
"Wir können alles mitlesen", tagesschau.de, 04.01.2017
An der Aufdeckung der jüngst bekannt gewordenen Schwachstellen in zahlreichen Computerchips waren einem Zeitungsbericht zufolge auch Forscher der Technischen Universität Graz in Österreich beteiligt. "Wir waren selbst schockiert, dass das funktioniert", sagte Michael Schwarz von der TU Graz dem "Tagesspiegel".
Durch die Schwachstelle könnten alle Daten ausgelesen werden, die gerade im Computer verbreitet werden. "Wir können im Prinzip alles mitlesen, was sie gerade eintippen." Angreifer könnten so auch an Daten vom Onlinebanking oder gespeicherte Passwörter kommen. "Dazu müssen sie allerdings erst auf ihren Computer gelangen", schränkte Schwarz ein. Wer die normalen Sicherheitshinweise befolge und keine unbekannten Anhänge öffne oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr.
https://www.tagesschau.de/ausland/intel-sicherheitsluecke-103.html
Abhilfe: microcode_ctl (lassen Sie sich nicht von anderen Versionen beirren: schnelles (fc29: ver. 2.1-33, rosa2016.1) über el6 mit rpm -i --force) oder ucode_intel (OpenSuSE) und kernel > 4.13

OKFSB-Takt einstellen
Er kann im BIOS-Setup mausklick-schnell eingestellt werden, bei ITX-220 (AMI-BIOS) in der Sektion "Free Jumper Configuration (manuell)" skaliert zwischen 133 und 140 Mhz. Soll die Hardware besonders geschont werden, ITX-220 auf 133 stellen, ansonsten ist ein Experimentieren beginnend mit 140 stufenweise abwärts nach beiliegendem BIOS-Handbuch durchaus zulässig. Herabstufen bleibt nach ersten Hardware-Ausfällen zwingend. Wir haben den Wert 138 ertüftelt. "133" erweist sich aber immer noch als durchaus akzeptabel. Schon jetzt sei an weitere BIOS-Einstellungen nach Handbuch gedacht!

OKTransportverschlüsselung Teil 3, HTTPS mit TLS 1.3 in der Praxis, 11.06.18 | Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Peter Schmitz
TLS 1.3 verspricht mehr Sicherheit von verschlüsselten HTTPS-Verbiundungen. Leider ist die Implementierung voller Tücken und Überraschungen.
Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen.
Da die Verwundbarkeiten des TLS-Protokolls bis einschließlich Version 1.2 allgemein bekannt sind (siehe dazu den Bericht "TLS 1.3 - Viel heiße Luft oder ein großer Wurf?") ist davon auszugehen, dass das Herumschnüffeln an vermeintlich "verschlüsselten" HTTPS-Verbindungen öfter vorkommen dürfte als einem lieb sein mag. TLS 1.3 verspricht Abhilfe.
Leider ist die Implementierung voller Tücken und Überraschungen.
Es beginnt schon damit, dass ein völliger Verzicht auf TLS 1.2 als einen Fallback für Clients mit fehlender Unterstützung für TLS 1.3 vorerst nicht in Frage kommt.
Server-Unterstützung für TLS 1.3 mit einem TLS 1.2-Fallback einrichten
Die Umsetzung von TLS 1.3 setzt so Einiges an Handarbeit voraus.

Schritt 1: Ein Kernel-Upgrade installieren:

Der Einsatz von TLS 1.3 steht und fällt mit einem Linux-Kernel ab der Version 4.13 ("1600 LoC-Patch"). Linux-Kernel bis einschließlich Version 4.12 unterstützten nur maximal AES-128-GCM (gemäß RFC 5288) und scheiden damit aus. Die AEAD-Verschlüsselung, die TLS 1.3 automatisch erwartet, ist erst mit dem sogenannten 1600 LoC-Patch möglich. Mit diesem Patch kann Linux erstmals die Verschlüsselung für eine bereits bestehende Verbindung intern im Kernel (ab Version 4.13) handhaben. Der User-Space übergibt dem Kernel die Kryptoschlüssel für eine bereits aufgebaute Verbindung, sodass die Verschlüsselung transparent innerhalb des Kernels stattfindet. CentOS/RHEL in der Version 6 bleiben mit ihrem 2.6.x-er Kernel außen vor.

Schritt 2. Ein OpenSSL-Upgrade einspielen:

Linux-Distributionen richten standardmäßig "stabile" (sprich: veraltete) Versionen der OpenSSL-Bibliothek ein, die mit TLS 1.3 bisher nicht zu Recht kommen. OpenSSL muss in der Version 1.1.1 Beta 4 oder neuer vorliegen.

Schritt 3. Zertifikate von einer Zertifizierungsstelle (CA) beschaffen und einrichten:

Zertifizierungsstellen (CAs) gibt es wie Sand am Meer. Doch in der Vergangenheit waren SSL-Zertifikate ein schmerzhafter Kostenpunkt. Dank der kostenfreien SSL-Zertifikate von Let´s Encrypt hat sich endlich dieses Problem größtenteils erledigt. Die leistungsstarke API sorgt für eine schmerzlose Automatisierbarkeit auf allen Unix/Linux-Derivaten.

Schritt 4. Den Webserver konfigurieren:

Wer die benötigten SSL-Zertifikate installiert hat, kann sich im nächsten Schritt der Server-Konfiguration widmen. Die Details der Implementierung hängen von der Art und Versionsnummer des Webservers ab. Grundlegende Parameter zum Aktivieren der SSL-Verschlüsselung in Apache, Nginx, Lighttpd, HAProxy und AWS ELB lassen sich einem Online-Assistenten wie dem SSL Configuration Generator von Mozilla entnehmen. Leider halten sich die Fähigkeiten dieses Werkzeugs in argen Grenzen. Es fehlt hier u.a. die Unterstützung für TLS 1.3 und auch TLS 1.2 leidet unter mangelnder Beachtung (Diffie-Hellman gefälligst? Fehlanzeige). Die Übernahme von Konfigurationsparametern für die TLS-Verschlüsselung nach dem Fertiggericht-Prinzip gehen nach hinten los.

Sicherheitsbewussten Administratoren bleibt nichts anderes übrig als die fehlenden Parameter für den eigenen Webserver samt der passenden Syntax selbst zu eruieren. Zu den wichtigsten Ergänzungen bzw. Korrekturen zählen:

Aktivieren der Unterstützung für HTTP/2
Umlenkung von HTTP-Anfragen auf HTTPS
Unterbinden von Protokoll-Downgrades auf HTTP unter Verwendung von HSTS
Einrichtung von Browser-Anweisungen mit Hilfe von Sicherheits-Headern (HTTP Security Headers, verfügbar nur mit HTTPS): HTTPS-Sicherheitsheader sorgen für die Übergabe von Anweisungen durch den Webserver an einen (kompatiblen) Webbrowser, um sein Verhalten zu beeinflussen. Zum Schutz gegen Downgrade-Attacken und Cookie-Hijacking lässt sich unverschlüsselte Kommunikation mit dem so genannten HSTS-Header deaktivieren (HSTS steht für HTTP Strict Transport Security). Gegen Clickjacking-Attacken hilft ein X-Frame-Options-Header. Um das Aushebeln von deklarierten Mime-Typen zu verhindern, kommen X-Content-Type-Optionen zum Einsatz. Für den Schutz gegen Cross-Site-Request Forgeries (kurz: X-XSS) zeichnet der X-XSS-Protection-Header verantwortlich. Diese Einstellungen können die verfügbare Angriffsfläche stark reduzieren.
Deaktivieren verwundbarer Protokollversionen: Als sicher gelten derzeit nur TLS 1.2 und TLS 1.3
Optimieren der TLS 1.2-Konfiguration zur Härtung durch den Verzicht auf verwundbare Cipher-Suites: Als verwundbar gelten alle Cipher-Suites außer ECDHE- und DHE-basierter Varianten

Eine nicht zu unterschätzende Verwundbarkeit, die sich durch die Umstellung auf HTTPS nicht von selbst erledigt, stellt JavaScript-Code von externen Domains dar. Ein klassisches Beispiel sind Werbeeinblendungen. Mit einer aktivierten CSP-Richtlinie (kurz für Content Security Policy) können Website-Betreiber für eine erhöhte Sicherheit sorgen. Bei CSPs handelt es sich um Sicherheitsrichtlinien, welche unsichere Web-Inhalte aus externen Quellen und Verbindungen über HTTP unterdrücken können. So lassen sich nicht zuletzt auch Clickjacking- und andere Code-Injection-Attacken unterbinden.

Schritt 5. Konfiguration testen:

Zu guter Letzt gilt es, die Konfiguration mit einem Dienst wie der SSL Server Test von Qualys SSL Labs auf ihre Vollständigkeit hin zu überprüfen.
Encrypted Traffic Analytics

Eine robuste Transportverschlüsselung hat jedoch auch ihre Schattenseiten: Malware kann jetzt einfach unbemerkt durchsegeln.
Beim Einsatz von TLS bis einschließlich der Version 1.2 (insbesondere mit RSA-Ciphern) konnten IT-Fachkräfte den Datentransfer z.B. vor dem Eingang ins firmeneigene Datencenter auf bösartige Payloads hin überprüfen. Die Kommunikation wurde in diesem Fall durch sogenannte Middleboxes eingelesen, dechiffriert, analysiert und weitergeleitet. Mit TLS 1.3 gehört diese Art von Monitoring der Vergangenheit an. Denn beim Verbindungsaufbau über TLS 1.3 mit ephemeralen Diffie-Hellman-Schlüsseln schlägt die sogenannte "Deep-Packet Inspection" fehl, weil sich die Kommunikation in Echtzeit nicht ohne Weiteres dechiffrieren lässt — und schon erst recht nicht in Echtzeit. Das Bedürfnis an adäquaten Sicherheitsmaßnahmen für die Unternehmens-IT besteht jedoch weiter. So mussten sich die Anbieter von Sicherheitslösungen für Traffic-Analytics bei TLS 1.3 nach alternativen Wegen zur Gewährleistung der Integrität der internen Systeme umschauen. Die ersten konkreten Produkte sind bereits auf dem Markt. Alleine Cisco hat vier interessante Lösungen im Köcher:...
https://www.security-insider.de/https-mit-tls-13-in-der-praxis-a-714096/

Mausklick-schnell: Sicherheit beim Surfen mit TLS 1.3
Firefox-ESR >= 52.9 : Inhalte von lib64nss3 (mga7, pclos, fc, ...) oder nss (fc, ...) und >= libssl3.so.1.1.1a (certified openssl-1.1.1a, fc27, updated: openssl-1.1.1d (fc29)) nach /usr/lib64/firefox/libssl3.so ( Installationsverzeichnis )
Tor-Browser (Firefox-ESR >= 52.9: Inhalte von lib64nss3 (mga7, pclos oder nss (fc, ...) und >= nss-3.41.0 (fc30) mit libssl.so.3 nach /home/toruser/tor*/Browser*/
Pale Moon >=: Inhalte von lib64nss3 (mga7, pclos oder nss (fc, ...) und libssl3.so.1.1.1d (fc29, openssl-1.1.1d)) bzw. libssl3.so.1.1.1a (von openssl-1.1.1a (fc27) nach /usr/lib64/palemoon/libssl3.so
Dabei zeigt /usr/lib64/libcrypto.so.1.1 auf /usr/lib64/libcrypto.so.1.1.1a und /usr/lib64/libssl.so.1.1 auf libssl.so.1.1.1a.

News&Links#NSA, GHCQ & Co.


Überwachung
36 Millionen Euro: ZITiS baut Supercomputer zur Entschlüsselung
, netzpolitik.org, 16.10.2018
Die Hacker-Behörde ZITiS will einen Hochleistungsrechner bauen, um verschlüsselte Daten zu entziffern. Das geht aus dem 36 Millionen Euro teuren Haushaltsentwurf der Behörde hervor, den wir veröffentlichen. Nach wie vor sucht ZITiS Staats-Hacker, aktuell ist nur die Hälfte der Stellen belegt.
Die IT-Behörde ZITiS soll nächstes Jahr 36,7 Millionen Euro bekommen, 20 Prozent mehr als dieses Jahr. Die vor anderthalb Jahren gegründete "Zentrale Stelle für IT im Sicherheitsbereich" hilft Polizei und Geheimdiensten bei der technischen Überwachung. Wir veröffentlichen an dieser Stelle das bisher unveröffentlichte ZITiS-Kapitel aus dem Bundeshaushalt sowie eingestufte Informationen aus dem Bundesinnenministerium.
Von diesem Geld wollen die staatlichen Hacker "hochmoderne technische Ausstattung" kaufen. Ganz oben auf der Wunschliste steht ein Hochleistungsrechner, "der vorrangig im Bereich der Kryptoanalyse genutzt wird" - also zur Entschlüsselung. Dieser Supercomputer hat "höchste Priorität" für die ZITiS-Abnehmer Verfassungsschutz, Bundeskriminalamt und Bundespolizei.
Vor zwei Wochen wurde bekannt, dass ZITiS auch einen Quantencomputer einsetzen will. Ob Supercomputer und Quantencomputer verschiedene Projekte sind, will ZITiS auf Anfrage nicht verraten: "Zu unseren Projekten und verwendeten Technologien können wir keine Auskunft geben." Da die Entwicklung nutzbarer Quantencomputer jedoch noch in den Kinderschuhen steckt, dürfte der Hochleistungsrechner ein eigenes Projekt sein, der zeitnah in Betrieb gehen soll.
Staatstrojaner für mobile Endgeräte
In den anderen Arbeitsfeldern rüstet ZITiS ebenfalls auf, wobei zwei besonderes Gewicht erhalten. Im Bereich der Digitalen Forensik forscht und entwickelt ZITiS unter anderem an "Passwortsuche" und der "Auswertung von Smartphones". Bisher haben Polizeibehörden sieben verschiedene Software-Tools gekauft, um beschlagnahmte Mobilgeräte auszulesen. Dieser Wildwuchs soll bei ZITiS vereinheitlicht werden.
Im Bereich Telekommunikationsüberwachung (TKÜ) arbeitet ZITiS an zwei Projekten, die bisher beim BKA angesiedelt waren. ZITiS setzt das "Projekt INTLI" (Internationale Zusammenarbeit in der TKÜ) fort, "das sich mit der Standardisierung des Austauschs von TKÜ-Daten auf Grundlage der Rahmenrichtlinie Europäische Ermittlungsanordnung beschäftigt". Die EU-Richtlinie ermöglicht grenzüberschreitende Überwachung von Telekommunikation.
ZITiS will auch die Entwicklung von Staatstrojanern vorantreiben. Mit dem "Projekt SMART" soll ZITiS das BKA unterstützen "bei der Entwicklung einer Quellen-TKÜ-Lösung für mobile Endgeräte", also einem Trojaner zum Abhören von Kommunikation. Das BKA hatte für sechs Millionen Euro den Staatstrojaner "RCIS" programmiert, der seit diesem Jahr auch Smartphones infizieren und abhören kann. Jetzt wollen ZITiS und BKA die Software gemeinsam weiterentwickeln.
Hacker gegen IT-Unsicherheitsbehörde
Insgesamt will ZITiS nächstes Jahr mehr als zehn Millionen Euro für Investitionen ausgeben, über elf Millionen sind für Personal geplant. Das Innenministerium bezeichnet die Personalgewinnung als "anspruchsvoll" und "eine zentrale Herausforderung". Vom Behördensprech übersetzt: Nur wenige IT-Experten wollen für den Staat hacken. Der BND nannte das mal "knappe Ressource brillantes Personal".
Derzeit hat ZITiS erst "74 der im Kalenderjahr 2018 zur Verfügung stehenden 150 Planstellen belegt". Fast die Hälfte der bisher eingestellten Mitarbeiter*innen ist in Verwaltung und Leitung tätig. Das existierende "MINT-Fachpersonal" arbeitet nicht nur in der Umsetzung der Aufgaben, sondern auch bei internen IT-Diensten und Beratung. Zwei Drittel der Angestellten kommen aus anderen Behörden, nur ein Drittel sind "Externe".
Falk Garbsch, Sprecher des Chaos Computer Clubs, kommentiert gegenüber netzpolitik.org:

Es ist gut zu sehen, dass Hacker offenbar keinerlei Interesse haben, für eine IT-Unsicherheitsbehörde zu arbeiten. Die Community hat schon vor vielen Jahren verstanden, was verbohrte Politiker nicht akzeptieren wollen: Das Ausnutzen und Offenhalten von Sicherheitslücken ist ein nachhaltiges Risiko für Unternehmen, kritische Infrastrukturen und Zivilgesellschaft. Statt Steuergelder in absurde Angriffsphantasien zu verschwenden, wird es Zeit für Investitionen in das konsequente Schließen von Sicherheitslücken.

Der Regierungsentwurf zum Bundeshaushalt 2019 wird derzeit im Bundestag verhandelt. Bisher hat die Große Koalition keine Änderungen bezüglich ZITiS beantragt oder beschlossen. Anträge der Opposition werden üblicherweise abgelehnt. Ende November soll der Haushalt im Bundestag verabschiedet werden.
Hier die Dokumente in Volltext:
Ministerium: Bundesministerium des Innern, für Bau und Heimat
Stand: 17. August 2018
...
https://netzpolitik.org/2018/36-millionen-euro-zitis-baut-supercomputer-zur-entschluesselung/

Internetknotenpunkt De-Cix Gericht billigt BND-Abhörpraxis, 31.05.2018
Der Internetknotenpunkt De-Cix in Frankfurt ist der größte der Welt. Das macht sich auch der BND zunutze und greift Daten ab. Dagegen hatte der Betreiber geklagt. Nun hat das Bundesverwaltungsgericht geurteilt.
Der Bundesnachrichtendienst (BND) darf weiterhin in großem Umfang Daten beim Internet-Knoten De-Cix aus Frankfurt am Main abzapfen. Das entschied nach dpa-Informationen das Bundesverwaltungsgericht.
De-Cix (Deutsche Commercial Internet Exchange) hatte gegen den Eingriff des BND geklagt. Dieser überwache ohne konkreten Verdacht. Dabei würde auch rein inländische Telekommunikation beobachtet. Dies lasse das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses jedoch nicht zu. Es ermächtige lediglich zur überwachung von internationaler Telekommunikation.
Richter: BND darf überwachen
Dieser Argumentation folgten die Richter nicht und stärkten dem BND mit ihrem Urteil den Rücken. Der Geheimdienst sei berechtigt, auf Anordnung des Bundesinnenministeriums internationale Telekommunikation zu überwachen und aufzuzeichnen.
Für den Schutz der Bürger sorgt laut Bundesregierung die G-10-Kommission des Bundestages. Sie muss die Eingriffe in das Fernmeldegeheimnis erlauben.
Wie wichtig die Datenüberwachung für den Geheimdienst ist, zeigt eine Äußerung von Ex-Chef Gerhard Schindler: In vertraulicher Runde hatte er gesagt, ohne Fernmeldeaufklärung "kann ich den Laden dichtmachen". Inländische Kommunikation ausgeschlossen
Um inländische Kommunikation aus der Überwachung auszuschließen, verwendet der BND laut eigener Auskunft ein mehrdimensionales Filtersystem. Man nehme auch Browser- und Programmeinstellungen mit in den Blick, Geodaten und mehr, um ein Gesamtbild zu bekommen und deutsche Nutzer auszusortieren.
Die Filter sollen zu mehr als 99 Prozent wirksam sein. Wenn am Ende immer noch irrtümlich eine E-Mail eines Deutschen durch den Filter rutsche, dann werde sie per Hand entfernt, das komme aber nur selten vor. Anders als von De-Cix behauptet, gebe es deshalb keinen Rechtsbruch.

Mehr als sechs Terabyte pro Sekunde
Der Frankfurter Knotenpunkt besteht seit 1995. Mit zeitweise mehr als sechs Terabyte pro Sekunde weist er den höchsten Datendurchsatz weltweit auf. Auch ein Großteil des deutschen Internetverkehrs läuft dort hindurch.
Aktenzeichen: BVerwG 6 A 3.16
https://www.tagesschau.de/inland/de-cix-bnd-klage-101.html

Kooperation von BND und NSA: Heimliche Amtshilfe unter Freunden, Tagesschau, 25.06.2014
Der BND hat jahrelang Daten eines Frankfurter Internetknotenpunkts an die NSA weitergegeben. Nach Recherchen von NDR, WDR und "SZ" leitete er mindestens von 2004 bis 2007 abgefangene Rohdaten direkt an den US-Dienst. von Georg Mascolo, NDR
In Frankfurt laufen die Fäden zusammen. Hier verbindet die weltweit größte Internet-Schnittstelle die Netze von mehr als 50 Ländern. Daten aus Russland fließen über Frankfurt beispielsweise in den Nahen Osten. Schon immer hatten die Amerikaner ein Auge auf Frankfurt geworfen und drängten auf einen direkten Zugriff auf die Glasfasernetze. Bereinigt um die Daten deutscher Bürger soll der BND drei Jahre lang der NSA Datenmaterial zur Verfügung gestellt haben. Vor allem Telefonate sollen so direkt in die Computer der NSA geleitet worden sein. Über den Umfang der Datenweitergabe gibt es widersprüchliche Angaben. Während einige Quellen sie als "sehr umfassend" beschreiben, heißt es in BND-Kreisen, es habe sich zwar um große Mengen gehandelt, aber nur eine von mehreren Leitungen sei betroffen gewesen. Erst 2007 soll die Operation vom damaligen BND-Chef Uhrlau gestoppt worden sein. Auch im Kanzleramt war man zu dem Schluss gekommen, dass die Aktion "viel zu heikel ist", so ein damals Beteiligter. Gegen den Protest der NSA wurde das Projekt eingestellt. Die gemeinsame Operation soll den Recherchen zufolge 2004 begonnen haben und war auch im Kanzleramt bekannt. Offenbar sind aber weder das Parlamentarische Kontrollgremium noch die Bundestagskommission, die für die Abhörmaßnahmen der Geheimdienste zuständig ist, jemals über die damalige Operation informiert worden.

"Ich bin noch nie so belogen worden!"
#34c3: Die Lauschprogramme der Geheimdienste
, netzpolitik.org, 29.01.2018
"Ich bin noch nie so belogen worden", sagte Hans-Christian Ströbele über seine Arbeit im NSA-BND-Untersuchungsausschuss. In einem Gespräch mit Constanze Kurz resümiert der grüne Politiker die Ergebnisse der parlamentarischen Untersuchung.
https://netzpolitik.org/2018/34c3-die-lauschprogramme-der-geheimdienste/

Von News&Links

12.000 Satelliten
SpaceX startet erste Satelliten für Überall-Internet
, PC-WELT.de, 23.02.2018
SpaceX hat zwei eigene Satelliten ins Weltall geschossen. Rund 12.000 weitere Satelliten sollen folgen. Für Überall-Internet!
[...] Elon Musks (Tesla, siehe unter News&Links#Alternativen) Raumfahrt-Unternehmen SpaceX transportiert mit seinen Falcon-9-Raketen schon länger Satelliten ins Weltall. Dabei handelte es sich bisher aber immer um Kundenaufträge, die Satelliten stammten also nicht von SpaceX selbst. An diesem Wochenende soll laut The Verge eine Falcon-9-Rakete aber neben einem solchen Kundenauftrag - dem Erdbeobachtungssatelliten Paz for Spain - auch noch zwei weitere Satelliten ins All bringen, die den Anfang legen für das neue Satellitennetz von SpaceX. Es soll in der finalen Ausbaustufe aus 12.000 Satelliten bestehen.


US-Verteidigungshaushalt 2018: 716 Milliarden Dollar
Trump unterzeichnet Gesetz
Rekordausgaben für das US-Militär
, tagesschau.de, 14.08.2018
Der neue US-Verteidigungshaushalt hat einen Umfang von 716 Milliarden Dollar. Präsident Trump unterzeichnete das Gesetz zu dem Rekordetat - und verteidigte erneut seine Pläne für eine Weltraumarmee.
https://www.tagesschau.de/ausland/trump-verteidigungshaushalt-103.html

Von News&Links#Identitätsdiebstahl, Amazon & Co.

Härterer Datenschutz, Zerschlagung
Den Datenfischern die Netze kappen: Ideen gegen die Marktmacht der Plattformen
, netzpolitik.org, 04.09.2018
Während die Datenkonzerne Google und Facebook weiter auf dem Weg zu digitaler Dominanz sind, nimmt die politische Diskussion um die Begrenzung ihrer Macht an Fahrt auf. Wir haben an dieser Stelle wichtige Ideen zur Regulierung der Plattformmonopole zusammengetragen. Vom härteren Datenschutz bis zur Zerschlagung - ein anderer Umgang mit dem Datenkapitalismus ist möglich.
https://netzpolitik.org/2018/den-datenfischern-die-netze-kappen-ideen-gegen-die-marktmacht-der-plattformen/

Sachverständigenrat fordert mehr Transparenz für Verbraucher-Scores, netzpolitik.org, 05.11.2018
Wie kommt eigentlich der SCHUFA-Score zustande und was sagt er über uns aus? Auf Basis intransparenter Verbraucher-Scores werden wir in immer mehr Lebensbereichen bemessen und beurteilt - mit und ohne unser Wissen. Das muss sich ändern, fordert ein Beratungsgremium für Verbraucherfragen in seinem Gutachten für das Justizministerium.
https://netzpolitik.org/2018/sachverstaendigenrat-fordert-mehr-transparenz-fuer-verbraucher-scores/

Immer mehr Unternehmen schnüffeln uns aus, digitalcourage.de, gesehen am 09.09.2018
Suchmaschinen, soziale Netzwerke und andere "Gratis"-Dienste sammeln rund um die Uhr persönliche Daten. Daraus erstellen sie Verhaltensprofile, mit denen sie Profit machen: Die Daten werden verkauft an Versicherungen oder Werbeunternehmen. Auf diese Weise verletzten Datenkraken an vielen Stellen unsere Persönlichkeitsrechte, in dem sie ohne Zustimmung Daten auswerten, weiterverkaufen oder auch an Geheimdienste weiterleiten. Sie rauben uns die Kontrolle über unsere Daten und schränken die freie Kommunikation im Internet ein. Sie gehen sogar soweit, dass sie behaupten zu wissen, was wir brauchen, fühlen und denken. Einige Datenkraken verdienen ihr Geld mit der Bewertung von Menschen. Dieses Vorgehen wird "Scoring" genannt. Wer zum Beispiel im "richtigen" Stadtteil lebt, bekommt eine Ware auf Rechnung. Eine andere Person nicht. Auch Google ist nicht neutral und zeigt personalisierte Suchergebnisse an. Datenkraken behandeln Menschen nicht gleichwertig und diskriminieren sie. Darum klärt Digitalcourage über Datenkraken auf. An besonders bissige Exemplare verleihen wir jährlich die Big-Brother-Awards, .http://bigbrotherawards.de/
Hintergrund zu kommerziellen Datenkraken
Fortsetzung in Kürze weiter unten

Amazon-Experiment: Was der Konzern mit jedem Klick erfährt, SPIEGEL ONLINE, 29.04.2018
Wissen Sie noch, wonach Sie heute vor einem Jahr bei Amazon gesucht haben? Die Netzaktivistin Katharina Nocun hat ihre Nutzerdaten angefordert - und erfuhr, wie viel der Konzern über seine Kunden weiß.
Nirgendwo wird unser Kaufverhalten derart akribisch aufgezeichnet und ausgewertet wie im Internet. Der größte Onlineshop der Welt ging vor 20 Jahren mit einer mächtigen Idee an den Start: Da der Kauf eines Buchs oft auf einer Empfehlung basiert, entwickelte Amazon ein System, das Kunden per Algorithmus Kaufvorschläge unterbreitet. Mittlerweile funktioniert das System sehr präzise - und zwar längst nicht mehr nur für Bücher. Wer nach einer schwarzen Ski-Maske sucht, bekommt anschließend nicht selten Einbruchswerkzeug vorgeschlagen. Für so ein System brauchte es vor allem eines: Daten.
Bei der Recherche für mein neues Buch "Die Daten, die ich rief" wollte ich wissen, welche Nutzerdaten sich bei mir als Amazon-Kunde angesammelt haben. Also habe ich eine Anfrage an das Unternehmen gestellt, schließlich steht mir nach dem Bundesdatenschutzgesetz eine kostenlose Auskunft über meine personenbezogenen Daten zu. Ein paar Wochen später schickte Amazon mir einen Datensatz auf CD...

Google is evil
DuckDuckGo und Startpage sind proprietäre Software. Nutzer*innen haben keine Möglichkeit zu verifizieren, ob sie wirklich nicht tracken. Man muss ihnen blind vertrauen.
DuckDuckGo und Startpage sind beide zentralisiert und werden von kommerziellen Unternehmen betrieben.
netzpolitik.org: Und MetaGer, eine weitere Meta-Suchmaschine mit Fokus auf Datenschutz und Privatsphäre, die von einem gemeinnützigen Verein in Deutschland betrieben wird?
MetaGer hat eine Datenbank, die Suchergebnisse speichert.
Google ist ein riesiges internationales Unternehmen, das Geld verdienen will, wo immer es kann, auch mit ihren privaten Daten. Es gibt viele Artikel, die erklären, was mit Google falsch läuft..
https://fuckoffgoogle.de/#google-is-evil
http://listverse.com/2017/09/24/top-10-ways-google-does-evil/
https://www.infoworld.com/article/2610434/cringely/google--evil--you-have-no-idea.html
https://thebosh.com/10-reasons-why-google-is-evil/
https://netzpolitik.org/2018/interview-searx-eine-suchmaschine-mit-datenschutz/

US-Regierung nervös wegen angeblicher Google-Zerschlagung
Weil diese Wettbewerbsverzerrung auch zahlreiche EU-Parlamentarier verärgert, diskutieren sie über eine Resolution, die Suchmaschinen wie Google zu mehr Neutralität verpflichten soll. Das EU-Parlament plane die Zerschlagung von Google, war dazu in verschiedenen Medien zu lesen. Die Schlagzeile verfehlte ihre Wirkung nicht: Sogar die US-Regierung zeigt sich nervös. "Wir haben den Resolutionsentwurf des Europaparlaments mit Besorgnis zur Kenntnis genommen", erklärte die US-Vertretung bei der Europäischen Union. Zuvor hatten laut einem Bericht der "Financial Times" führende US-Politiker vor einer zu starken Einmischung der EU in "offene Märkte" und vor negativen Konsequenzen für die Handelsbeziehungen zwischen EU und USA gewarnt.
"Google könne alle Dienste weiter betreiben": In der Tat könnten die im Parlament diskutierten Vorschläge weitreichende Konsequenzen für Google haben. Der Resolutionsentwurf der konservativen EVP-Fraktion, an der der CDU-Abgeordnete Andreas Schwab maßgeblich beteiligt war, könnte eine Aufspaltung des Konzerns nach sich ziehen. Google wird in dem Entwurf zwar nicht namentlich erwähnt, doch es liegt auf der Hand, dass es um Google geht. "Unbundling" lautet das Schlagwort in dem Text, der Tagesschau.de vorliegt, zu Deutsch "Entflechtung". Von "Zerschlagung" will der EU-Abgeordnete Schwab allerdings nicht reden. Das höre sich so an, als ob es Google dann nicht mehr gäbe, sagt er gegenüber Tagesschau.de. Google könne aber seine Suchmaschine und auch die anderen Dienste weiter betreiben. "Nur rechtlich muss eine Entflechtung her, damit die Suchergebnisse künftig neutral sind", sagt Schwab. Für Google würde das bedeuten, dass die Suchmaschine von den anderen Diensten insofern getrennt werden müsste, dass es keine Absprachen oder Bevorzugung bei den Suchergebnissen gäbe.

Zunahme von Cyberattacken: Keine Online-Dienste - aus Angst um die Daten, tagesschau.de, 27.08.2014 12:44 Uhr
Die Zahl der Deutschen, die sich Sorgen um die Sicherheit ihrer Daten im Internet machen, hat laut einer Umfrage des Branchenverbands Bitkom deutlich zugenommen. Besonders weit verbreitet ist die Angst davor, dass persönliche Daten ausgespäht werden könnten - durch staatliche Stellen, Kriminelle oder auch Unternehmen: Mehr als 80 Prozent der Befragten befürchten dies. Ebenfalls sehr groß ist die Angst vor Betrug beim Online-Banking oder davor, dass der Computer mit schädlicher Software wie Viren oder Trojanern infiziert werden könnte.
https://www.tagesschau.de/wirtschaft/cyberkriminalitaet-101.html

Jeder Dritte wollte Windows 10 nicht mal geschenkt, (indirekter Ubuntu-Empfehler) PC-WELT.de, 01.08.2016
Haben Sie das Windows-10-Upgrade gemacht? Oder verweigerten Sie es? So haben sich unsere Leser entschieden!
https://www.pcwelt.de/news/Machen-Sie-das-Gratis-Upgrade-auf-Windows-10-10007169.html

Cyberkriminalität: Die digitale Front: So wappnet sich die Bundeswehr gegen Hacker-Angriffe
Die Schlachten der Zukunft werden im Internet geführt: Wahlmanipulationen, Datenklau, Attacken auf die Infrastruktur. Alles ist verwundbar. So schützen sich Bundeswehr, Unternehmen und Versorger
6 Billionen Dollar Schaden durch Cyberkriminalität
, STERN.de, 03.08.2019
Bei dem Wort Krieg denkt man an Panzer, Luftangriffe, Artillerie und den Lärm von Gewehrsalven. Der Krieg, den Kammermeier und seine Kameraden führen, ist anders. Es ist ein alltäglicher Krieg, der, unabhängig von Locked Shields, jeden Tag stattfindet, im Digitalen, und dort an mehreren Fronten gleichzeitig, rund um die Uhr. Permanent wird die Bundesrepublik Deutschland angegriffen - und nicht nur die Bundeswehr, auch Unternehmen führen diesen Krieg gegen Angriffe aus dem Internet, die Versorger, die Politik, irgendwie ist jeder Bürger betroffen, auch wenn er davon gar nicht viel mitbekommt.
[...] Sicher ist: Der Tag wird kommen, an dem es uns erwischt. Was dann passiert? Der Fantasie sind praktisch keine Grenzen gesetzt. Stromausfälle, riesige Datenleaks, Blackouts, manipulierte Wahlen. Man kann den Teufel an die Wand malen, und man kann sich sicher sein: Theoretisch ist das Szenario möglich.
Wie steht es also um unsere Sicherheit im Internet? Ist die Bundesrepublik digital abwehrbereit?
Kammermeier lächelt müde, als wollte er fragen: Wo soll ich anfangen?
[...] Während er das sagt, wird die berylische Wasserversorgung angegriffen, bestimmte chemische Parameter übersteigen auf einmal die Grenzwerte, die Regierung empfiehlt ihrer Bevölkerung: Kauft nur noch verpacktes Wasser. Ein Horrorszenario. Und eines, das Michael Böttcher in Berlin-Friedrichshagen tagtäglich und ganz real zu verhindern versucht.
[...] Die Berliner Wasserbetriebe sind der größte Wasserversorger Deutschlands und gehören damit zu den sogenannten Kritischen Infrastrukturen, im Behördensprech Kritis genannt, also jenen Anlagen, die für das Funktionieren einer Gesellschaft fundamental sind: Strom, Wasser, Internet, Notrufe etwa. Böttcher geht zu einem Computer, loggt sich ein und zeigt die Software, mit der die IT der Wasserbetriebe permanent überwacht wird. 18 aktuelle Vorfälle zeigt das System, zwei davon kritisch. Böttchers Job ist es, die digitale Infrastruktur der Wasserbetriebe so zu gestalten, dass die Standardangriffe automatisch abgewehrt werden und die wenigen wirklich gefährlichen Angriffe erkannt und herausgefiltert werden, um sie bekämpfen zu können. Seine Strategie: das Zwiebelprinzip. "Je wichtiger das System, je relevanter die Information, desto tiefer steckt das in der Sicherheitsstruktur. Wer da ranwill, muss viele Verteidigungswälle überwinden."
[...] das Pumpwerk, die Frischwasservorräte, die Aufbereitungsanlagen. Alles ist mit allem vernetzt, Hunderte Stellen, an denen man angreifen und die Wasserversorgung der Hauptstadt lahmlegen könnte.
[...] Die IT-Systeme, erzählt er, würden zunehmend so komplex, dass die Risiken von einem Einzelnen kaum noch zu überblicken seien. "Eine einzige Schwachstelle in einer von Tausenden von Komponenten reicht Cyberkriminellen aus, um in ein Gesamtsystem einzudringen", sagt Böttcher. Und es gebe immer irgendwo eine Schwachstelle. "Das Problem ist also: Wenn jemand nur genug Zeit und Geld hat, kommt er überall rein." Und könnte dann die Wasserversorgung der Hauptstadt lahmlegen.
[...] Alle Systeme haben Lücken
Wenn Cyl ein Unternehmen testet, schaut er, wie weit er kommt - und gibt dem Auftraggeber dann Empfehlungen. "Irgendeine Lücke finde ich immer", sagt Cyl.
[...] Kein Unternehmen wolle in der Zeitung stehen, weil es seine IT-Sicherheit nicht im Griff hat. Und kein einziger Bericht über ein Unternehmen nenne keine Mängel. Ein kleinerer Versorger etwa, der vom IT-Sicherheitsgesetz nicht erfasst wird, übertrug bis vor Kurzem alle Daten unverschlüsselt - bekommt ein Hacker da Zugriff, kann er alle Informationen absaugen, inklusive Zugangsdaten. Die Türen stehen ihm dann offen.
"Das sind schlimme Anfängerfehler", sagt Cyl. "Gerade bei den ersten Tests finden wir so etwas praktisch immer." Dabei sei es heute gar nicht mehr so schwierig, sich zu schützen. Es koste halt Geld. "Wenn man in die entsprechende Hard- und Software investiert, ein paar Regeln befolgt und nichts am Code der Produkte ändert, ist man gut geschützt."
Inzwischen ist eine Erweiterung des IT-Sicherheitsgesetzes in der Ressortabstimmung, die Vorgaben auch für kleinere Kritis sollen härter werden, die Behörden weitreichende Befugnisse bekommen, nicht mehr nur abzuwehren, sondern selbst in Systeme einzudringen. Die Kritik an dem Gesetz ist groß, das BSI würde zu einer "Hackerbehörde", sagen Datenschützer.
[...] Dabei bräuchte Deutschland, sagt Eckert, eine Art Internetpolizei. Wirklich große Unternehmen hätten das Geld, und wirklich wichtige Kritis würden vom IT-Sicherheitsgesetz gezwungen, sich um ihre Cybersicherheit zu kümmern. Wenn aber ein Mittelständler irgendwo im Schwabenland am Samstag um 11.30 Uhr feststellt, dass jemand in sein System eingedrungen ist und Patente liest - dann hat er niemanden, den er anrufen könnte und der dann kommt, um ihm zu helfen. Außer privaten Dienstleistern. Das sei aber teuer und deswegen unbeliebt.
[...] "Das Thema der nächsten Jahre wird künstliche Intelligenz sein", sagt sie. Die Idee von KI sei, dass der Algorithmus dauernd dazulernt und selbst Entscheidungen trifft. Wer KI angreifen wolle, der müsse gar nicht das System selbst angreifen. "Wenn ich die Daten manipuliere, auf deren Grundlage die KI ihre Entscheidungen trifft, funktioniert das System ja trotzdem noch korrekt. Es trifft nur die falsche Entscheidung."
Schon bald wird KI ganz wesentliche Bereiche unseres Lebens bestimmen - von der Industrie 4.0 bis zu Computern, die Menschen operieren. "Diese Systeme abwehrfähig zu machen - das ist die Aufgabe der nächsten Jahre", sagt Eckert. Eine Aufgabe, die ihr "etwas Sorge" bereite.
https://www.stern.de/digital/cyber-crime--bundeswehr--unternehmen-und-versorger-wappnen-sich-8830388.html

Von News&Links#Kinder

Experten machen sich große Sorgen: Google hat Roboter-Babys gezüchtet, CHIP, 18.12.2017
Es klingt wie aus dem Drehbuch eines schlimmen Science-Fiction-Films. Google baut Roboter, die in der Lage sind, kleinere Ableger zu züchten. Diese Baby-Roboter sind deutlich schlauer, arbeiten effizienter und können das Leben der Menschen radikal verändern.
http://www.chip.de/news/Google-hat-Roboter-Babys-gezuechtet-Experten-machen-sich-Sorgen_128860357.html

Amazon gratuliert Nutzern zu nicht existenten Babys, PC-WELT.de, 21.09.2017
Zahlreiche Amazon-Nutzer erhielten Benachrichtigungen von ihrer nicht existenten Baby-Wunschliste.
https://www.pcwelt.de/a/amazon-beglueckwuenscht-nutzer-zu-nicht-existenten-babys,3448175

Augenzeugin vor Rossmann MG: "Dicke Autos überfahren kleine Kinder!"
Unbekannte Passantin in der Fußgängerzone Innenstadt MG-Rheydt vor Rossmann, 30.05.2015 gegen 13.00 Uhr, um die 35 Jahre, hat vor Zeugen angeblich ganz Unglaubliches gesehen: "Dicke Autos überfahren kleine Kinder, kleine Kinder!". Sie geben Gas, sie wollen Spaß und überblicken mit ihren dicken Autos die Straße nicht recht. Die großen Hubraum und mehrere 100 PS aufweisenden historisch-manischen Fehlkonstruktionen versperren in nächsten Nähen im Vor- wie Rückwärtsgang die Sicht auf die kleinen Verkehrsteilnehmer. Mehrfach ist man selber Zeuge geworden, wer weiß wieviel dran. Solche Typen sind in diesem Land meist rechtsschutzversichert, aber "überfahren"? Erschwert als Unfallopfer im Zusammenhang mit Fahrerflucht erlebt haben sowas wohl so einige Kinder, ob mit den Erwachsenen im Auto, auf dem Fahrrad oder zu Fuß unterwegs. Bestimmt meint sie das neben Kinder-Vermisstenanzeigen usw. überwiegend sinnbildlich.

Unfallbilanz veröffentlicht
Erschreckende Zahlen: Alle 81 Minuten verunglückt in NRW ein Kind
, FOCUS Online, 20.01.2017
Einmal pro Minute kommt es auf den Straßen in Nordrhein-Westfalen zu einem Unfall - oft enden sie tödlich. Innenminister Ralf Jäger hat nun die Zahlen der Verkehrsunfallbilanz für 2016 vorgestellt,
http://www.focus.de/regional/videos/unfallbilanz-veroeffentlicht-erschreckende-zahlen-alle-81-minuten-verunglueckt-in-nrw-ein-kind_id_6676021.html

Unvorstellbar schon die elterliche Vorstellung, ihr kleiner Spröszlig;ling plappert bereits in der Schule und anderswo ausgiebig ihre Ansichten, Meinungen und Gesinnungen aus...

Kinder-Tracking, digitalcourage.de, gesehen am 09.09.2018
Der BigBrotherAward 2012 in der Kategorie "Kommunikation" ging an die Cloud als Trend, den Nutzerinnen und Nutzern die Kontrolle über ihre Daten zu entziehen. Laudatio von Rena Tangens.
PM: "Schutzranzen": Neue Version ist keine Lösung, sondern ein Problem
Der Datenschutz- und Grundrechteverein Digitalcourage warnt vor der neuen Version der "Schutzranzen"-Apps. Laut Medienberichten plant die Stadt Ludwigsburg Kinder-Tracking flächendeckend einzuführen, trotz Kritik von vielen Seiten. Digitalcourage fordert, dass nach Wolfsburg auch die Stadt Ludwigsburg den Kinder-Tracking-Test an Grundschulen abbricht.
https://www.digitalcourage.de
https://digitalcourage.de/kinder-und-jugendliche

Von News&Links#Alternativen

Solarautos, Erdgas-Autos, E-Autos, neue Benziner, fliegende Autos, 3D-Druck-Autos und 3D-Druck-Motorräder usw.
3D-Drucker, 3D-Druck: unbegrenzte, preiswerte Alternative in vielen Produktionsbereichen unter Verwendung verschiedensten Materials: Beton, Metall, Kunststoff, Plastik, Wasser, ...; 3D-Druck nach 3D-Druckvorlagen, ...


Gutachten der Grünen
Abbiegeassistent - rechtlich kein Problem
, tagesschau.de, 23.01.2019
Mit Lkw-Assistenzsystemen lassen sich tödliche Unfälle beim Abbiegen verhindern. Die Grünen wollen sie deshalb zur Pflicht machen. Rechtlich sei das möglich, das zeige ein neues Gutachten.
https://www.tagesschau.de/inland/abbiegeassistent-101.html

Tragbares Exoskelett hilft Schlaganfallpatienten, PC-WELT.de, 07.12.2018
Nach einem Schlaganfall müssen Menschen Bewegungsabläufe oft neu erlernen. Immer öfter helfen Roboter dabei.
https://www.pcwelt.de/ratgeber/Robotik-Tragbares-Exoskelett-hilft-Schlaganfallpatienten-zurueck-in-den-Alltag-10448754.html

Udo Lindenberg 1986: "Der Westen: Alles wahnsinn und schidzo!":

Ehemaliger Oberarzt und Medizin-Professor der UK Köln mit Forschungsergebnissen auf der Flucht vor Psycho-Kartellen nach Sydney oder Singapur? Bericht von welt.de und der Apothekenzeitschrift unter "Rat und Tat, medizin-news":

Neue neurologische Diagnosemethode verbessert Behandlung psychischer Schizophrenie
Revolutionärer Durchbruch in der Psychiatrie dank Neurologie
Neues Schnell-Testverfahren von der medizinischen Forschungsabteilung Universität Köln
, Apothekenzeitschrift und welt.de, 28.08.2006
Labortest "Glukosewerte im Nervenwasser" zur 100%-trifftigen Diagnose der weit verbreiteten psychischen Krankheit "Schidzphenia (simplex) einschließlich Psychosen" mit Möglichkeiten zur gezielten und hochwirksamen medikamentengestützten Therapie.
Apothekenzeitschrift, Rubrik "Rat und Tat", medizin-news, 2018; ( Suchmaschinen werden hier bislang nicht pfündig! )

Bericht von welt.de:
Neue (neurologische) Diagnosemethode verbessert Behandlung von Schizophrenie, Veröffentlicht von welt.de/dpa am 28.08.2006 | Lesedauer: 2 Minuten
Bislang unbekannte Biomarker ermöglichen eine bessere Diagnose der Krankheit und neue Therapien. Forscher nennen die Entdeckung "revolutionär".
Die Diagnose von Schizophrenie soll mithilfe neu entdeckter Biomarker nach Expertenangaben schneller und sicherer werden und künftig neue Behandlungswege eröffnen. "Zum ersten Mal haben wir eine Signatur, die den Schizophrenie-Patienten sehr klar von dem Gesunden unterscheidet", erklärte der Leiter der Kölner Forschungsgruppe, (Oberarzt Prof. Dr. med.) Markus Leweke. Bisher gebe es keinen eindeutigen Test für Schizophrenie, von der ein Prozent der Bevölkerung betroffen sei. Die Biomarker seien nun in einer fast sechsjährigen Untersuchung von Wissenschaftlern der Universitäten Köln, Cambridge und London identifiziert worden. "Der Biomarker ist eine Art Unterschrift oder Fingerabdruck der Patienten", erklärte der Oberarzt der Kölner Klinik für Psychiatrie und Psychotherapie.
"Er hilft uns auf dem Weg zu einer schnellen, klaren Diagnostik und gibt uns eine höhere diagnostische Sicherheit." Es werde erstmals klar bewiesen, dass bei Schizophrenie der Energiestoffwechsel des Gehirns gestört sei und die Glukose-Werte im Nervenwasser höher seien als bei gesunden Menschen. "Und wir konnten zeigen, dass bei Verabreichung von modernen Medikamenten nach neun Tagen diese Auffälligkeit nicht mehr nachweisbar ist." Die neuen Ergebnisse nannte er "revolutionär", da sie mit früher Diagnose-Stellung auch stark verbesserte Heilungschancen bringen könnten. Zugleich dämpfte Leweke aber allzu große Erwartungen seitens der Patienten. "Wir werden in der Diagnostik jetzt eine ganz andere Richtung einschlagen, aber wir stehen am Anfang einer neuen Entwicklung, nicht am Ende." Derzeit seien die Untersuchungen und Verfahren sehr aufwendig und teuer. "Die Kollegen arbeiten daran, dies sozusagen von der Laborbank in praxisfähige Tests zu gießen", sagte Leweke. Für die Studie waren in Köln erstmals an Schizophrenie erkrankte Patienten und gesunde Kontrollpatienten untersucht worden. "Nach den Nervenwasser-Untersuchungen hoffen wir, das bald auch im Bluttest nachweisen zu können."
An der psychischen Erkrankung leiden ein Prozent der Bevölkerung, wobei es aber häufig bei einer Episode bleibe. "Bei 70 bis 80 Prozent der Patienten kommt es bei Medikamentengabe zu einem positiven Verlauf, die Störung verschwindet wieder." Bei den anderen seien die Symptome nicht in den Griff zu bekommen, depressive Verstimmungen, Angstzustände oder krankhaftes Eigen-Erleben bis hin zur Aufhebung der Grenze zwischen Ich und Umwelt treten wiederholt auf. "Grundpfeiler der Behandlung" sind laut Leweke antipsychotische Medikamente und Psychotherapien.
https://www.welt.de/print-welt/article148369/Neue-Diagnosemethode-verbessert-Behandlung-von-Schizophrenie.html
Prof. Dr. med. Markus Leweke, Universitäten Köln - Mannheim - Cambridge - London, heute: Universität Singapur
zentralambulanz@zi-mannheim.de
dusan.hirjak@zi-mannheim.de
Neurologie Uk Köln: neurologie-sekretariat@uk-koeln.de, martina.schuetteler@uk-koeln.de, ioana.catea@uk-koeln.de
Kliniken Köln: https://www.kliniken-koeln.de/Merheim_Neurologie_Startseite.htm?ActiveID=1534 , LachenmeyerK@kliniken-koeln.de, ambulanz-neurologie@kliniken-koeln.de
In Anlehnung an die vorgestellte Diagnose wurden von vermutlich derselben Forschungsgruppe u.a. die Medikamente Cannabinozil und Cannabidiol entwickelt: schnell, hochgradig wirksam und frei von Nebenwirkungen.

"Sehr geehrter Herr,
bzgl. Ihrer Anfrage an das Dekanat der Uniklinik Köln wegen eines Labortestes zur Diagnose von Schizophrenie möchte ich Ihnen im Namen des Direktors der Psychiatrie, Prof. Jessen mitteilen, dass ein solcher Test hier nicht vorliegt.
Wahrscheinlich handelt es sich hierbei um ein Mißverständnis.

Mit freundlichen Grüßen"


Bettina Falkenstein

Direktionssekretariat
Prof. Dr. F. Jessen
Klinik und Poliklinik für Psychiatrie und Psychotherapie
Uniklinik Köln, Haus 31
Kerpener Str. 62
50924 Köln
Tel.: 0221-478-4010
Fax: 0221-478-5593
E-Mail: bettina.falkenstein@uk-koeln.de mailto:bettina.falkenstein@uk-koeln.de, 18.12.2018
Dekanat der Medizinischen Fakultät im Gebäude 42 in der Joseph-Stelzmann-Str. 20, 50931 Köln

OK (gegebenfalls erst in Zukunft) Kommunikation im Netz: Abhörsicher mithilfe der Quantenphysik?, tagesschau.de, 16.12.2018
Wer im Internet miteinander kommuniziert, hinterlässt unweigerlich Spuren. Wiener Forscher wollen jetzt ein Verfahren entwickelt haben, das die Kommunikation auch in einem größeren Netzwerk abhörsicher macht.
Die Quantenkryptografie will in Zukunft eine abhörsichere Kommunikation im Internet ermöglichen. Österreichische Forscher haben nun - nach eigenen Angaben - eine wichtige Hürde auf diesem Weg genommen. Ihnen gelang, dass vier Teilnehmer eines Netzwerkes abhörsicher kommuniziert haben. Die Wissenschaftler um Rupert Ursin vom Wiener Institut für Quantenoptik und Quanteninformation der Österreichischen Akademie der Wissenschaften haben ihre Forschung im britischen Fachblatt "Nature" vorgestellt. Nach Angaben der Wissenschaftler lässt sich das Netzwerk einfach erweitern - und könnte so für eine breite Anwendung infrage kommen.
Herkömmliche Verschlüsselungstechnologien bieten nur relativen Schutz, sagt Rupert Ursin von der Akademie der Wissenschaften im Gespräch mit dem ORF. "Wenn ich meine E-Mails lese, könnte ein Dritter im Prinzip beliebig viele Kopien davon anfertigen - und es würde niemand bemerken. Bei der Quantenkryptografie ist das unmöglich. Wenn Hacker versuchen, eine Quantenbotschaft zu belauschen, hinterlassen sie unweigerlich eine Spur. Das ist ein Naturgesetz."
Die Quantenkryptographie nutzt dabei ein Phänomen der Quantenphysik. Nach deren Regeln können zwei Teilchen einen gemeinsamen Zustand bilden, auch wenn sie anschließend über weite Entfernungen getrennt werden. In diesem Zustand der Verschränkung sind die Eigenschaften der beiden individuellen Teilchen unbestimmt. Wird dann bei einem der beiden Teilchen eine Eigenschaft wie beispielsweise die Schwingungsrichtung gemessen, nimmt das andere Teilchen augenblicklich eine korrespondierende Eigenschaft an. Die Verschränkung endet. Auf diese Weise ist es möglich, abhörsicherer Schlüssel bei Sender und Empfänger zu erzeugen.
Lauscher können Anwesenheit nicht verschleiern
Entscheidend ist: Der Schlüssel kann von Hackern nicht abgefangen werden. Denn es werden nur einzelne Lichtteilchen (Photonen) ausgetauscht. Und nach den Gesetzen der Quantenphysik ist es unmöglich, den Quantenzustand eines einzelnen Lichtteilchens ohne Fehler zu kopieren. Ein Lauscher kann seine Anwesenheit daher nicht verschleiern und würde sich sofort verraten. Die verschlüsselte Nachricht wird dann auf klassischem Weg ausgetauscht.
Bisher nur bei zwei Teilnehmern nachgewiesen
Bisher ließen sich auf diese Weise meist jedoch nur zwei Teilnehmer mit einer garantiert abhörsicheren Leitung verbinden. Weitere Verbindungen seien kompliziert, fehleranfällig und mit Kommunikationseinschränkungen behaftet.
Das Team versorgte nun vier Teilnehmer aus einer zentralen Quelle mit verschränkten Photonen, sodass alle vier miteinander kryptographische Schlüssel erzeugen und für eine abhörsichere Kommunikation verwenden konnten. "Ein entscheidender Vorteil dieser Architektur ist ihre Flexibilität", betont Ursin in einer Mitteilung der Akademie. "Wir sind damit in der Lage, neue Kommunikationspartner in das Quantennetzwerk zu integrieren - und zwar mit lediglich minimalen Eingriffen. Damit ist gezeigt, dass Quantennetzwerke Realität werden können - für Jedermann."
https://www.tagesschau.de/ausland/quanten-101.html

Krebsforschung: Weltsensation wird zur Luftblase: Krebstest der Uniklinik Heidelberg existiert nicht, STERN.de, 30.05.2019
Von wegen marktreif. Der im Februar präsentierte Brustkrebstest des Uniklinikums Heidelberg existiert so gar nicht. Das ergab eine interne Untersuchung, deren Ergebnisse der "Süddeutschen Zeitung" vorliegen. Die Umstände der missglückten PR-Kampagne sind dubios.
https://www.stern.de/gesundheit/uniklinik-heidelberg-blamiert-sich--brustkrebstest-existiert-nicht-8730684.html

Staatstrojaner stoppen!
Verfassungsbeschwerde gegen den Staatstrojaner - für sichere und vertrauenswürdige IT
, digitalcourage.de, gesehen am 09.09.2018
"Der Staatstrojaner ist ein Schlag ins Gesicht all derer, die an unsere parlamentarische Demokratie glauben", sagte Digitalcourage-Vorstand padeluun im ZDF-Morgenmagazin.

Die Große Koalition schlägt mit den Staatstrojanern gefährliche Sicherheitslücken in all unsere Smartphones und Computer. Der Plan: Jedes Gerät bekommt eine Hintertür, durch die staatliche Hacker und Kriminelle nach Lust und Laune einsteigen können. Kommunikation wird mitgehört, Verschlüsselung wird gebrochen, Daten werden gesammelt und Geräte, Netzwerke und ganze Clouds werden manipuliert. Das ist katastrophal für Zivilgesellschaft, Behörden und Unternehmen. Der Staat missachtet seine Pflicht, Bürgerinnen und Bürger zu schützen, wenn er Sicherheitslücken gezielt offen hält, anstatt sie zu schließen.
Mit einer Verfahrenslist wurde das Gesetz ohne große öffentliche Diskussion durch den Bundestag gedrückt, doch es kollidiert klar mit Urteilen des Bundesverfassungsgerichts. Darum gibt es gute Chancen, das Gesetz zu kippen - wir müssen es nur tun!
Helfen Sie uns, die Staatstrojaner mit einer Verfassungsbeschwerde vor dem Bundesverfassungsgericht zu stoppen!

Wichtig: Geben Sie diese Info auch an Freunde, Nachbarinnen und Kollegen weiter! Denn der Staatstrojaner schlägt eine Sicherheitslücke in jedes Kommunikationsgerät!
https://aktion.digitalcourage.de/kein-staatstrojaner

Von News&Links#Computer_und_Smartphones

Alle Intel-CPU-Generationen seit Celeron
"Wir können alles mitlesen", tagesschau.de, 04.01.2017
An der Aufdeckung der jüngst bekannt gewordenen Schwachstellen in zahlreichen Computerchips waren einem Zeitungsbericht zufolge auch Forscher der Technischen Universität Graz in Österreich beteiligt. "Wir waren selbst schockiert, dass das funktioniert", sagte Michael Schwarz von der TU Graz dem "Tagesspiegel".
Durch die Schwachstelle könnten alle Daten ausgelesen werden, die gerade im Computer verbreitet werden. "Wir können im Prinzip alles mitlesen, was sie gerade eintippen." Angreifer könnten so auch an Daten vom Onlinebanking oder gespeicherte Passwörter kommen. "Dazu müssen sie allerdings erst auf ihren Computer gelangen", schränkte Schwarz ein.
https://www.tagesschau.de/ausland/intel-sicherheitsluecke-103.html

Schwere Lücke in allen Intel-CPUs entdeckt, PC-WELT, 03.01.2018
Eine schwere Sicherheitslücke steckt in Intel-Prozessoren der letzten 10 Jahre (die von uns vorgestellte ist nicht dabei, Anm., Gooken). Die Schließung kostet Performance.
https://www.pcwelt.de/a/schwere-luecke-in-allen-intel-cpus-entdeckt,3449263

Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: Smartphones sind die perfekten Überwachungsgeräte
Sicherheitsforscher packt aus: So kann Ihr Smartphone Sie ausspionieren - obwohl Sie alles abgeschaltet haben
, STERN.de, 08.02.2018
Über GPS und Co. können uns Smartphones permanent überwachen. Zum Glück kann man die Funktionen aber abschalten. Ein Forscher erklärt nun, wie man diese Sicherheitsmaßnahmen trotzdem aushebelt - und warum das kaum zu verhindern ist.
Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: Smartphones sind die perfekten Überwachungsgeräte.
https://www.stern.de/digital/smartphones/so-kann-ihr-smartphone-sie-ausspionieren---obwohl-sie-alles-abgeschaltet-haben-7855612.html
https://www.stern.de/digital/computer/erpressungs-trojanern--so-schuetzen-sie-sich-vor-ransomware-6725356.html
https://www.stern.de/digital/online/datenraub--mit-diesen-7-tipps-schuetzen-sie-sich-davor-8521708.html
https://www.stern.de/tv/datenhack--warum-wurde-es-dem-taeter-so-leicht-gemacht-und-wie-kann-man-sich-schuetzen--8521650.html
https://www.stern.de/digital/smartphones/so-kann-ihr-smartphone-sie-ausspionieren---obwohl-sie-alles-abgeschaltet-haben-7855612.html
https://www.stern.de/digital/online/der-mann--der-uns-schwierige-passwoerter-einbrockte--bereut-seine-entscheidung-7577534.html
https://www.stern.de/digital/computer/erpressungs-trojanern--so-schuetzen-sie-sich-vor-ransomware-6725356.html
https://www.stern.de/digital/online/iphone-privatsphaere--mit-diesen-einstellungen-schuetzen-sie-ihre-daten-8522116.html
https://www.stern.de/tv/datenhack--warum-wurde-es-dem-taeter-so-leicht-gemacht-und-wie-kann-man-sich-schuetzen--8521650.html
https://www.stern.de/tv/gute-passwoerter-und-co---so-schuetzen-sie-sich-bestmoeglich-vor-hackerangriffen-8524324.html

Die mit solchen Geräten verpassten Ohrfeigen sind schallend! Gooken rät ab unter Berufung auf SAR-Werte, den italienischen Gerichtsfall Macolini und Erfahrungsberichte mit Fällen, bei denen möglicherweise Metastasen nach dem Telefonieren mehrere Minuten wie eine schallende Ohrfeige auf der Hörerseite des Handies aufs Ohr und den umgrenzenden Kopfbereich drückten sowie Fällen, bei denen beim Telefonieren selbst im Umkreis eines Handytelefonats von drei Metern magnetische Felder spürbar wahrgenommen wurden und Explosionsgefahr bestimmter Akkus, Einzelheiten zu allen Fällen siehe unter News&Links! Soweit Smartphones generell.

Auf dieser Webseite ganz unten und abermals unter News&Links#computer#smartphones können Sie mehr ü,ber Linux-Smartphones erfahren! Fast alle der hier aufgeführten und mit Häkchen markierten Maßnahmen sind auch für Smartphones relevant. Allerdings muss man dabei wohl in Apps denken...


Darknet-Browser Tor für Android fertig: Am Handy komplett anonym surfen, CHIP, 27.05.2019
Der Tor-Browser gilt als Symbol für anonymes Surfen im Internet und einfachster Weg ins Darknet. Nun wurde die fertige Version des Browsers im Google Play Store veröffentlicht. Wir zeigen Ihnen, wie Sie damit auf Ihrem Android-Smartphone über das Tor-Netzwerk surfen.
https://www.chip.de/news/Darknet-Browser-Tor-fuer-Android-fertig-Am-Handy-komplett-anonym-surfen_148414180.html

Von News&Links#Next_Generation

Komm rein, es ist noch Platz im Ar...! - Das Jahrhundert der ...
http://www.amazon.de/Komm-rein-Platz-Arsch-gesellschaftlichen/dp/3941758187
Komm rein, es ist noch Platz im Arsch! Das Jahrhundert der Arschkriecher ( Nigg ..., Bügelfalten, Handlanger, Wasserträger, Schwämme, Radfahrer, Schleimer, Karusselstopper, Fische, Deutschland-Ratten, Frauenflüsterer (Literaturkritik für ...), ....), ...

... nimmt seinen freien Lauf: Eine satirische Betrachtung der gesellschaftlichen...


Computerliebe adieu, Ein paar sind schon ganz grün! Bosse, Aktionäre: Aufgepasst!
Mysteriöses Sperrgebiet "Area 51": US-Raumfahrt-Ingenieur: 18 Außerirdische arbeiten für die USA
,FOCUS Online, 04.11.2014
Sie haben graue Haut, große Augen und telepathische Fähigkeiten: Ein angeblicher Raumfahrt-Ingenieur behauptet, dass in dem sagenumwobenen Sperrgebiet "Area 51" Aliens für die USA arbeiten. Auch will er mit diesen zusammengearbeitet haben. Es ist das unglaubliche Geheimnis seines Lebens, das ein mittlerweile verstorbener Raumfahrt-Ingenieur vor seinem Tod in einem "YouTube"-Video preisgegeben hat: Freundlich gesinnte Aliens sollen in der "Area 51", dem sagenumwobenen Sperrgebiet der in der Wüste von Nevada, für die USA arbeiten. Das erzählt zumindest Boyd Bushman in dem 32 Minuten langen Film. Dass es die Militärbasis "Area 51" tatsächlich gibt, hat die CIA bestätigt. Nach eigenen Angaben habe er als Wissenschaftler für die US-Rüstungsfirma Lockheed Martin gearbeitet, 26 Patente im Bereich Luft- und Raumfahrt habe er angemeldet. Kurz vor seinem Tod im vergangenen August hat der 78 Jahre alte Amerikaner über seine Arbeit in der Wüste von Nevada gesprochen: Er habe ein Ufo repariert und zwar gemeinsam mit Außerirdischen. Aliens haben telepathische Kräfte. Die Wesen mit sehr langen Fingern und Füßen, bei denen die Zehen wie bei Fröschen zusammen gewachsen sind, seien von dem Planeten Quintumnia gekommen. Die Distanz zur Erde, die 68 Lichtjahren betrage, könnten die freundlichen Aliens in 45 Minuten zurücklegen, berichtet der Amerikaner im Video weiter. Auch hätten sie ihm erklärt, dass sie sich wortlos unterhielten. Wenn jemand eine Frage habe, dann denke er an sie und hört dann die Antwort in seinem Kopf, hätten die Aliens gesagt. Area 51, NASA, Alien. Rund 18 außerirdische Lebewesen sollen im Sperrgebiet in Nevada für Amerika gearbeitet haben. Ein oder zwei seien sogar etwa 230 Jahre alt gewesen, so Bushman weiter. Außerdem verriet er, dass er nicht als einziger Mensch an den Ufo-Bauarbeiten beteiligt war: 39 US-Staatsbürger seien bei der Arbeit an den Ufos sogar ums Leben gekommen, behauptet Bushman. Informationen zu solchen Vorfällen wären ihm von Mitarbeitern der "Area 51" zugetragen worden. Sie dürften über so etwas nicht sprechen, er aber schon. Seine Geschichte untermauert der mittlerweile verstorbene Boyd Bushman mit vielen Bildern von Ufos über Amerika und seinen angeblichen außerirdischen Kollegen. Doch die Geschichte bleibt zweifelhaft. Bei "reddit.com" hat ein User bereits nachgewiesen: Einer der gezeigten Außerirdischen ist nur eine große Spielzeug-Puppe.

Von News&Links#Trump

Aggressives America-First-Prinzip
Der Rückzug vom UN-Gremium ist damit ein weiterer Baustein für zwei prägende Linien der Trump-Regierung. Zum einen führt er das aggressive America-First-Prinzip fort, das mit bestehenden Bündnisse bricht, um Kompromisse zu vermeiden.
Und zum zweiten setzt der Rückzug die massiven Bemühungen der USA fort, die Position Israels zu stärken. Das alles während Trumps Schwiegersohn Kushner in dieser Woche noch im Nahen Osten einen Friedensplan für den Konflikt zwischen Israel und Palästinensern vorbereiten soll.
UN-Botschafterin Haley erwähnte übrigens ein Land nun nicht mehr, dem sie vor einem Jahr ebenfalls massive Menschenrechtsverletzungen vorgeworfen hatte: Saudi Arabien. Dieses Land ist der zweite große Verbündete der Trump-Regierung im Nahen Osten und im Schlagabtausch mit dem Iran.
https://www.tagesschau.de/ausland/usa-menschenrechtsrat-107.html

"America First"
Neue US-Sicherheitsstrategie: Trump geht China und Russland an
, tagesschau.de, 19.12.2017
"America First" - diesem Versprechen ist US-Präsident Trump auch in seiner ersten Nationalen Sicherheitsstrategie treu geblieben. In der Doktrin werden China und Russland als Rivalen bezeichnet. Trotzdem sei man an guten Beziehungen interessiert.
https://www.tagesschau.de/ausland/sicherheitsstrategie-trump-103.html

Von News&Links#Der_Bankenskandal

"Bei jeder Schweinerei ist die Deutsche Bank dabei.", Tagesschau.de, Juli 2014 Deutsche Bank in rund 1200 Verfahren verwickelt, tagesschau.de, 22.05.2014
Der Bankenskandal u.a. der Deutschen Bank, hier klicken

mdvmdv


intro

disclaimer 1000%Rundum-sorglos mit dem Computer: (Paranoid-) sicheres Computersystem frei von Wartung mit allem Drum und Dran ohne große Einschränkungen, komfortabel, stets (gleichbleibend) mausklickschnell, abgestimmt, endlos-langlebig (Lifetime-Soft- und Hardware), flächendeckende Software, mit Emulatoren und Virtuelle Maschinen vieler Betriebssysteme, absolut wartungsfrei, stromsparend, total sicher, frei von Lizenzgebühren und alles in allem für (fast) umsonst; präsentiert von Gooken

Derartige in unserem Datenblatt aufgelistete "Lifetime-Hardware" (u.a. das mit nur 19 Volt betriebene Mainboard ASUS ITX-220, vorgestellter TFT von AOC und der DVD-Brenner) weist innerhalb der üblichen Au&szig;entemperatur-Toleranz keinerlei Symptome mehr auf, selbst nicht nach dem schier unendlichen Ein- und Ausschalten und Resetten (Neustarten des Systems) und somit auch nicht diese (wenn wir dafür auch nicht garantieren möchten.

So kontrollieren Sie Ihre Hardware mit Sensoren unter Linux, PC-WELT.de, 24.06.2019
Wie heiß der Prozessor wird oder ob sich der CPU-Lüfter noch dreht, lässt sich per Software herausfinden. Um alle verfügbaren Sensoren abzufragen, ist jedoch etwas Konfigurationsarbeit nötig.
[...] Ein defekter oder verschmutzter Lüfter kann die Temperatur von Prozessor oder Grafikkarte so weit in die Höhe treiben, dass das System instabil wird. Die CPU taktetet dann herunter, der Rechner reagiert nur noch zögerlich oder stürzt häufig ab. Dauerhaft zu hohe Temperaturen schaden außerdem den elektronischen Bauteilen, was nach einiger Zeit zu einem Komplettausfall führen kann. In PCs ist das Netzteil eine weitere Fehlerquelle. Defekte Kondensatoren beispielsweise halten die Spannungen nicht mehr stabil, was zu zahlreichen Fehlfunktionen führen kann.
Ob sich alle Werte im Normbereich befinden oder ob es Auffälligkeiten gibt, erfahren Sie unter Linux mit Tools, die die Sensordaten auslesen. Weitere Tools informieren Sie über Gesundheit und Temperatur der Festplatten.
Wie das funktioniert, zeigen wir am Beispiel Ubuntu , bei anderen Systemen kann das Vorgehen teilweise abweichen.
https://www.pcwelt.de/ratgeber/Linux-Hardware-mit-Sensoren-kontrollieren-10612225.html

Jahr 2009/2010: Alles für den Computer ist gelaufen (nur noch Updaten)!
Das gibts wirklich! Computern ohne Risiken:

Energiesparende, mausklick-schnelle Lifetime-Hardware (einschl. Software) für
  • (fast) umsonst
  • atemberaubend mausklick-schnell bereits auf der Hardware siehe unter "Datenblatt" (Leichtlauf-System - per Klick optisch erkennbare Graphiken, schnelle Graphik (* einige wenige speicherintensive Programme wie Browser und Dolphin brauchen je nach Kernel-Version und Arbeitsspeicher (RAM) beim Start weiterhin ein paar Sekunden ))
  • "Universal-Linux" ab 8 MB RAM beispielsweise mit Kernel: kernel-4.20 (pclos, 4.20.13, February 2019, TLS3.0 erfordert Kernel >= 4.13, kernel-4.20 (pclos) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), glibc (pclos, mga6) und dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!), mdv2011: 008-2 (almost functioning)), siehe https://www.security-insider.de/https-mit-tls-13-in-der-praxis-a-714096/ ), glibc (mga6, pclos oder höher, fc), qt4 (el6) und KDE (el7, el6 oder im Mix aus kde (mdv2010.2, 4.4.5/4.4.9, November/2011), kde (el6, 4.3.5, aktuell, 2018) und kde (4.4.4, OpenSuSE, Ende 2013)
    kernel-firmware (around 250 MB, OpenSuSE, slack14.2, el6), kernel-firmware-extra
    glibc (mga6, 2.22) erfüllt nicht immer die Anforderungen (Paket-Abhänigkeiten) für fc >=29 außer den unter "Update Universal Linux" aufgelisteten Paketen (rpm) IN diesem Fall empfiehlt sich eine höer vesionierte glibc wie glibc (pclos,fc) !
    Wird glibc (pclos: 2.26, mga6: 2.22) hingegen beibehalten, verschaffen pclos, el7, el6 und ROSA (wie unter "Update Universal Linux" aufgelistet) eine ziemlich gute Alternative gegenüber hoch-versionierten Fedora Core (fc >= 29).
  • ohne Ausfälle (Hard- und Software)
  • stoßfest, erosionsgeschützt ( SSD )
  • standardisierter, vewissenschaftlicher Open Source (offengelege Quellen, offengelegter Programmcode, Vorlesungen begleitender Code aus Hochschul-Projektgruppen und Software-Praktika)
  • selbstreparierend
  • absturzsicher (engl. stable)
  • Einbrecherschutz (chassis intrusion detection, baby phone etc.)
  • flächendeckend (Programme, Client-, Serversoftware, alle Rubriken einschließlich 3D- und 2D-Games, ...)
  • frei von Lizenzgebühren
  • frei von Wartung
  • frei von Viren, Würmern, Hackern, Trojanern, Malware, Adware, Spyware, Meltdown und Spectre, Pharming, Spam, Phishing, Bots, Tracking-Skripte, Cryptominern, Treiber-Problemen
  • ohne Doktorspiele (ganz ohne erforderliche Festplatten-Scans/Scan-Programme und Selbstchecks)
  • frei von jeglichen Möglichkeiten zum Paßwort-Hack- und -Crack durch Vorab-Sperre von System- und Benutzerkonten, durch Regelung der Login-Shell auf /sbin/nologin auf Benutzerkonten, durch Verwendung von (zugriffsgeschützten) Key-Files für
  • LUKS-verschlüsselte Partitionen direkt von Platte (außer die LUKS-verschlüsselte Root-Partition) und mittels herkölichen Read/Write/Executable/SUID/SGID/Sticky- und ACL-Zugriffsrechten und -Eigentumsrechten auf Ordner und Dateien (u.a. /usr/bin/su und /bin/su)
  • durch spezielle Kernel-, Boot- und Mountoptionen und pamd-Login-Regelungen und
  • Start von X (X11, X-Windows) mit Optionen wie -nolisten tcp und -xauth sowie spezielle "xhost-"-Sperrungen für Benutzer
  • Alle unter root laufende Prozesse außer X und, falls überhaupt installiert, mingetty oder mgetty, werden von kthreadd aufgerufen und entstammen nur noch dem Kernel
  • Kernel-Sicherheitsmodule (grub-Bootoption secure): MAC (diese erweist sich als nicht mehr erforderlich, um versprochene totale Sicherheit zu erlangen): Mandatory Access Control (für die zugriffsgeregelte Prozess-Interaktion): AppArmor, Tomoyo (graphical support), SELinux, ...
  • Hardened Kernel (nicht mehr zwingend erforderlich, einst Sicherheitsmodul secumod): grsecurity-patches, paxctld
  • Kommunikation und Surfen ohne Spuren im Internet (über user.js vorkonfigurierter, über firejail innerhalb einer
  • Sandbox laufender Firefox-ESR (bzw. Pale Moon) mit speziellen Erweiterungen im Privaten Modus), mit
  • Tor (Tor-Browser) auch anonymisiert innerhalb einer eigenen Sandbox ohne erkenntliche IP (anonymisierte Rechner-Identifikationsnummer) und auch
  • der DNS-Traffic verbleibt mit TorDNS als remote-host-DNS anonym und der wichtigste Teil der DNS-Abfragen bereits lokal in /etc/hosts und per pdnsd dauerhaft im Festplatten-Cache (/var/lib/cache/pdnsd/pdnsd.cache).
  • Mit Firejail laufen sämtliche Browser unter Benutzer "surfuser" der Gruppe "surfgruppe" bzw. "toruser" und "torgruppe" ;innerhalb einer SUID-Sandbox bei
  • https/SSL/TLS (TLS2.0, TLS3.0) unknackbaren Ende-zu-Ende gesicherten Netz-Verbindungen
  • frei von Man-In-The-Middle-Angriffen etc. und somit (mit Firewall Linfw3) obendrein ohne Aufkommen von ICMP-, UDP- und IGMP-Traffic und sonstigen Kommunikationsformen (Protokollen): bspws. bei iptraf ergibt sich das nun leere untere, zweite Feld) usw. usw. und
  • ab Jahr 2026 ( nahezu ) ohne Bedarf an Upgrades und Updates
  • verschiedenste Software (auch Top-Games) flächendeckend alles auf einmal bereits vollständig auf Platte (bzw. SSD) installiert
  • alle Partitionen samt Root-Partition des Systems und USB-Speicherstiften, temporärer Verzeichnisse und SWAP-Auslagerungsdatei verschlüsselt (FSE: Full System Encryption mit LUKS, OpenPGP für E-Mail und einzelne Verzeichnisse und Dateien)
  • Ordner und Verzeichnisse bleiben dank herkömmlichen und ACL-Zugriffsrechten im Netz schreib- und ausführgeschützt und für andere Benutzer wie insbesonders den gemeinsamen surfuser unlesbar wie unausführbar und mit write-Operationen unbeschreibbar:

Paranoide Rundum-Sicherheit total ohne besondere Einschränkungen für den Benutzer !

Seien Sie mit diesem System von Jahr 2010 bis 2026 (RHEL 6/CentOS 6 bzw. SL6) bzw. 2027 (RHEL 7/CentOS 7) und länger (manch andere rpm-basierte Distributionen) live dabei auf den Daily-Update-Channels wie PRO LINUX, https://www.pro-linux.de/sicherheit/1/1/1.html !

Beschrieben wird hier das allumfassende "Universal-Linux" (rpm und deb) und, wem es immer noch nicht genügt, mit (einschließlich) Emulierbarkeit von Programmen ( neben Bootmanager grub zum Multiboot ) für

  • MS Windows 3.1, 95, 98, SE, ME, NT 4.0, NT 3.5, XP, 2003, Vista, Windows 2008, Windows 7, alles sowohl i686 (32 Bit) als auch x86_64 (64 Bit): Emulator wine (hauptsächlich), qemu oder xen), Virtualisierung: KVM (Kernel-Modul kvm-amd, kvm-intel mit libvirt, qemu-kvm, libvirt-client, libvirt-daemonsystem, bridge-utils, Virt-Manager, von Red Hat entwickelten und von Microsoft signierten Gerätetreiber ( Virt-IO-Driver )), Virtualbox, Vmware ( Einzelheiten zur Virtualisierung siehe z.B. https://www.pcwelt.de/ratgeber/Virtualisierung_unter_Linux-9988750.html )
  • MS DOS (dosemu)
  • Apple Macintosh (basiliskII), PowerMAC (SheepShaver)
  • Cisco 7200 and 3600 and Freescale Coldfire 5206 Emulator​ (dynamips)
  • Amiga (uae, fs-uae, e-uae, uade)
  • Atari ST, Atari 8 Bit Computer (hatari)
  • Commodore VC 64 (vice, micro64), Amstrad CPC (caprice32),
  • ZX Spectrum (fbzx), MSX (fmsx, openmsx), NeoGeo (gngeo), Dragon32, Dragon64 und Tandy CoCo (xroar), Minitel (xtel), Nintendo Gameboy (zboy), TI89(Ti)/92(+)/V200 emulator (tiemu3)​ 
  • Multi-System-Emulator (simh) u.a.

Umsonst oder fast umsonst und alles weg: Alle Probleme mit dem Computer los, noch nicht mal Lizenzgebühren, Reparatur und Wartung!

Die Beschreibung eignet sich fuuml;r alle UNIX-/Linux-Systeme. Gooken Internet-Suchmaschine zeigt Ihnen auf dieser Webseite Schritt für Schritt (Häkchen für Häkchen), was hierfür zu tun ist!

supportMöchten auch Sie den ersehnten Frieden mit dem Computer schließen, das System finden, das mausklick-schnell läuft, alles umfasst und außerdem die unglaublich hohe Sicherheit bietet? Wenn Ihnen unsere Projekte gefallen, dann freuen wir uns über Ihren Support! Um die zugehörige Bankverbindung von Gooken zu erfahren, klicken Sie bitte hier! Kontaktieren Sie uns: Die Projekte von Gooken stehen zum Sonderpreis für ein paar Septrillionen nach Vereinbarung zum Verkauf an (Stand: 2010), Einzelheiten siehe im Menü links unter "News&Links".


quot;Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden."
https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html

OK Linux schussfest von DVD booten, alternativ von USB-Speicherstift:
"Tails Linux installieren: Der Anti-NSA-PC, 23.04.2014
Kann die NSA also wirklich alles knacken, auch jede noch so ausgefeilte Verschlüsselung? Edward Snowden weiß darüber wohl mehr als die meisten anderen Menschen. Um seine Kommunikation zu schützen, beschloss er, die Linux-Distribution Tails zu installieren. CHIP zeigt den kostenlosen Anti-NSA-PC [...]. Schlicht und schnell: Unter Tails steckt ein gehärtetes Debian Linux",
http://www.chip.de/artikel/Tails-Linux-installieren-Der-Anti-NSA-PC_63845971.html

An­ony­mi­sie­rungs­-Dis­tri­bu­ti­on Tails 2.6 mit Tor-Brow­ser 6.0.5 frei­ge­ge­ben
http://www.pro-linux.de/news/1/23990/anonymisierungs-distribution-tails-26-mit-tor-browser-605-freigegeben.html

"Nur mit einem UNIX/Linux-System lässt sich Sicherheit erzielen", meint einer der kommenden Autoren. Mehr über ein von Edward Snowden empfohlenes Computersystem, ein Linux/UNIX-Derivat und Apps, erfahren Sie in unserer Sektion News&Links#Computer und unter News&Links#Alternativen .

Zugegeben: Linux ( außer Distributionen wie möglicherweise Debian ) hätte früher gar nicht in den Verkauf gelangen dürfen, Jahr 2010:
Riesige Müllberge voller Hardware und Pakete sicherheitstechnisch überholter Linux-Distributionen stehen auf der Halde bei Paket-Anbietern wie rpmfind.net bzw. Mirror fr2.rpmfind.net und pbone.net zum Download zur Verfügung. Die meisten Ausgaben werden seit langem nicht mehr up-to-date gehalten, während die Update-Liste von bspws. pro-linux.de täglich neue Pakete auflistet.
Die Installation von Linux bleibt äußerst riskant. Unmengen von recht eigenwillig benannten Paketen knallen einem an den Kopf.
In wer wei&szig; wievielen Fällen sind nicht alle der tausende und abertausende Paketabhängigkeiten angegeben und erfüllt.
Bei Fehlern mangelt es immer noch an vielen ( verständlichen ) Fehlerbeschreibungen geschweige für alle auffindbare und nachvollziebhare Anleitungen zur Fehlerbehebung. Suchmaschinen helfen da nur in der Regel weiter.
Aus irgendwelchen, "unbekannten" Gründen versagt bereits das Einloggen, sei es per Terminal als root oder in den Desktopmanager als herkömmlicher Benutzer.
Der Umfang einer konkreten Distribution zur Version darf und kann ohne weitere Ma&szilg;nahmen nicht so einfach gesprengt werden. Somit verliert man die Spitze der Aktualisierungen immer mehr aus den Augen.
Dann die Probleme mit der Grafikkarte, insbes. von Games mit OpenGL und direct rendering.
Bis Linux installiert, konfiguriert und einigermaßen sicher läuft und umsagte Sicherheit bietet, haben Hacker und Trojaner schon lange den Benutzer ausspioniert, das System zubombardiert und/oder auf den Kopf gestellt.
Und ohne vollständige Sicherung auf einem externen Medium geht hier in jedem Fall nichts.

Dennoch: Einmal richtig installiert möchte man nicht auf Linux verzichten! Dann klappt alles bestens!

Linux, Kommentar Newsgruppe alt.linux.suse, 2003:

"I am so happy, that my linux run stable for the last 12 hours!"


More today:

Red Hat Enterprise Linux 7.1 erhält erweiterte Sicherheitszertifikation, Pro-Linux, 14.12.2017
Red Hat Enterprise Linux wurde jetzt in Version 7.1 ohne Modifikationen für das "General-Purpose Operating System Protection Profile" (OSPP) 3.9 zertifiziert. Damit kann Red Hat Enterprise Linux jetzt auch in sicherheitskritischen Bereichen eingesetzt werden.
https://www.pro-linux.de/news/1/25437/red-hat-enterprise-linux-71-erhält-erweiterte-sicherheitszertifikation.html

OK 30.03.2011, [espeak -v de "] sicherer, unter MS Windows 7 und Linux aller Art, auch Games, mausklick-schneller ("leichtläufiger"), nur 19 Watt verbrauchender Computer ASUS Mini-ITX220 64 Bit Intel Celeron CPU mit OpenGL- und SDL-Games abspielender onboard IGP Intel 4800×1200 (automatisch: 1366×768 Pixel, support of OpenGL, direct rendering, SDL), Onboard Intel-Soundchip, Onboard Atheros-Fast-Ethernet-LAN-Chip with an optional LAN-BIOS, gesockeltes, Crashfree Bios mit Bios EZ Flash Utility von Hersteller-DVD und/oder USB-Stift, Ersatzbios von biosflash.com für um die 10 Euro, 120 GB SSD mit nur 2 Watt Leistungsaufnahme unter über einer Millionen Betriebsstunden Funktionstüchtigkeit, 2 Speicherbänke mit bis zu 4 GB DDR-2-RAM, 18 Watt AOC 1943W ultraslim WLED-TFT, mit stabligem Stahlgehäuse und DVD-Brenner, stabiles (strahlungsarmes) Netzteil unter 20 Euro, stabiles Gehäuse 4,95 Euro, für insgesamt um die 200 € und über Changelog aktuell gehaltene Software-Pakete eines stets nach aktuellem Stand 100% sicheren, fehler- und wartungsfreien Computer-Referenzsystem alias "Universal-UNIX/Linux"-Betriebssystems (backported System) frei von Viren, Hackern, Trojanern, Spyware, Adware, einfach allen Bedrohungen, mit entpackt über 70 GB Software (einschl. Games) und jeder Menge Gabe zur Emulation und Virtualisierung aller anderen Betriebssysteme - "the world gave its best" - so gehts:

SL-Banner Scientificlinux 6 resp. CentOS 6: 2010 - (fast) alles ist gelaufen - 2010 (backported (Fedora (fc) - Backport): Updates für Jahr 2010-2026 bzw. lifetime) - Jahr preiswerter, schneller und energiesparender Lifetime-Hardware, Jahr der Mandriva, Jahr des CentOS 6 ( DVD CentOS 6 ( in der aktuellen nten-Revision 6.n, derzeit 6.9) für 4,95 € oder umsonst aus dem Internet ) und der für die nächsten 10 Jahre (bis Jahr 2026) hindurch über 50.000 durchgepatchten Paketversionen - und über hier präsentierte Einstellungen und Updates an Sicherheit allmählich kaum noch zu übertreffen Er weist die Eigenschaft der Zeitlosigkeit im Computerzeitalter auf, fehlerfrei und frei von Sicherheitsmanken und Störungen (* ab siehe python-stability-patch aus dem Jahr 2016), flächendeckend und ohne Bedarf an neuer Hardware und Updates für immer und ewig zu laufen. Nur die eine oder andere Spezialsoftware mag noch fehlen, und hier und da stehen noch Software und Updates mit dem sich hinzugesellenden Fedora Project bzw. dem daraus sorgsam hervorgehenden und (Fedora-) backported Enterprise Linux (el) bzw. CentOS el7, CentOS 6 (el6), fc -> EPEL (el6, el7) und alle zwei Jahre erscheinenden Rosa von Rosalabs an. Bis dahin konnte sich der Computer und Linux preislich ganz schön läppern (SuSE Home und Personal Edition, Ubuntu, Knoppix, USB-Speicherstife, Provider-Download-Limits, ...).
CentOS ist eine Linux-Distribution von Red Hat, die auf demselben Quellcode beruht wie Red Hat Enterprise Linux. Red Hat hatte das zuvor eigenständige Projekt im Januar 2014 übernommen, um es als freie und kostenlose Alternative zu Red Hat Enterprise Linux für alle anzubieten, die keinen kommerziellen Support von Red Hat benötigen. Auch wenn es dafür keine Garantie gibt, ist CentOS faktisch weitestgehend kompatibel mit Red Hat Enterprise Linux.
https://www.pro-linux.de/news/1/27054/centos-8-benötigt-noch-etwas-zeit.html
Neue Versionen von CentOS folgen in der Regel mit einem Monat Verzögerung nach einer neuen Version von Red Hat Enterprise Linux (RHEL) - wie zum Beispiel bei der Version 7.6.
Der einen Distribution mangelt es an Vollständigkeit von Software bzw. Paketen s für vieler Games wie in unserem Fall CentOS 6 und 7, SuSE und MS Windows und der anderen wie die hingegen weitgehend flächendeckende Mandriva 2010 erwies sich als mehr oder weniger überholt und somit updatebedürftig, eine wiederum andere Distribution scheint an einzelnen Stellen überhaupt nicht zu funktionieren, eine weitere wirkt unnötig aufgepumpt (Rosa, Mageia), eine andere lässt zum Teil aufgrund zeitlicher Befristung des Update-Supports das Enthalten eines Großteils der Updates des Listings von pro-linux.de missen (Debian, SuSE, Mandriva, Mageia), wiederum eine weitere bedarf des mühsamen Einkompilierens des Quellcodes aus den Quellpaketen (Gentoo) usw..

Was wir im folgenden ausführlich beschreiben:

Keine Hacker, keine Viren, keine Trojaner, keine Malware, keine Ransomware, keine Ad- und Spyware, keine gefärhrlichen Skripte, keine Spuren im Netz, ..., nichts, und selbst der Kernel (falls stable, stabil) und unter root laufende Programme (Prozesse) können einem mehr was anhaben:
  • Befehl dd für terminierende partitionsweise Wiederherstellungen und Backups von einer
  • verschlüsselten Rettungspartition oder -DVD wie Knoppix zusammen mit dort installierem cryptsetup (LUKS),
  • iptables-Firewall linfw3,
  • Port-Scan-Detektoren (psad, psd),
  • IDS (Intrusion Detection Systeme),
  • der lokale DNS-Cache dnsmasq
  • und Browser-Erweiterungen (Extensions) wie u.a. Adblocker bzw. der unser Listing importierende Konqueror-Werbefilter und freie Useragent-Setzungen
  • machen Sicherheit für den Computer zusammen mit Sandbox firejail (pclos),
  • Deklaration der Partitionen und Dateisysteme wie ext4 und reiserfs unter sicherheitstechnischen Aspekten in /etc/fstab,
  • Setzungen in /etc/passwd zum Blocken der Shells diverser Konten,
  • Eigentums- und Zugriffsrechten,
  • chattr, , msec (rosa, mdv) und ACL (setfacl/getfacl) und
  • MAC (apparmor, tomoyo) und den
  • hier aufgeführten Einstellungen und Maßnahmen möglich! Dabei kommen frei Wahl vorwiegend
  • Ende-zu-Ende TLS/SSL-verschlüsselnde Protokolle in aktuellen Browsern wie Konqueror, Pale Moon, Firefox, Firefox ESR (mit aktualisiertem nss aus libnspr4.so, libns*.so und libssl3.so) bzw. Jondofox (Firefox) und Chrome und die pgp/gpg- und TLS-gest&uum;tzten E-Mail-Clienten Thunderbird und Kmail zum Einsatz,
  • das alles auf einem Luks/dm-crypt unter dracut für die obendrein ggfls.
  • read-only gesetzte Root-Partition
  • vollverschlüsselten System (FSE)!


OKWie soll das gehen? Im Grunde ganz einfach: Man besorgt sich im Prinzip "irgendeine" Linux-Distribution von DVD/CD, von USB-Stift oder als Download aus dem Internet etc., am besten eine nach PRO-Linux (http://www.pro-linux.de/1/1/sicherheit.html) aus dem Update-Listing der letzten zehn bis zwanzig Jahre hervorgehende Distribution und installiert sie nach sich von DVD/CD selbst aktivierender, automatischer Anleitung auf ein Installationsmedium (am besten eine mindestens 120 GB (wir empfehlen 240 GB) große Solid State Disk (SSD) mit einer mindestens 65 GB (100 GB) gro&szlgi;en Haupt- bzw. Wurzel- bzw. Root-Partition und mindestens 2 GB SWAP-Partition, siehe bei uns unter /etc/fstab ) und die Installation einzelner Programm-Pakete mithilfe eines möglichst aussagekräftigen Paketmanagers, fundamental lediglich der Befehl rpm. Diese Linux-Distribution, wir empfehlen neben Debian Linux das (Fedora Core - ) backported und langzeit-supported RedHat bzw. CentOS bzw. Scientific Linux el6 und el7, gilt trotz mitunter großem Umfang natürlich nur als Einfallstor zur großen, weiten UNIX/Linux- und Emulations-Welt anderer und vor allem aktueller Linux-Distributionen, ihren aktuellen Updates und weiterer Software und Games. Emulieren bedeutet dabei, dass mithilfe von Emulatoren (wie Wine für Windows) und sogenannten Virtuellen Machinen wie Virtualbox, virt-manager, Xen und Qemu auch Software anderer Betriebssysteme unter dem Basis-Betriebsystem (aufgespieltes Linux) lauffähig gemacht werden kann. Bei UNIX/Linux kann entgegen Empfehlungen des BSI ruhig mehr oder weniger alles auf einmal auf dem Installationsmedium installiert werden. Wichtig ist hier nur, dass die Installation begleitend Sicherungen (auf einem externen Medium) vorgenommen werden und sich die Standard-GNU-C-Bibliothek (glibc) der Distribution upgraden lässt, so dass der Kernel auf zumindest LONGTERM-Kernel der Reihe 3 und 4 gleich mit.

Scientific Linux im Großen und Ganzen gleichkommendes "CentOS" steht für "Community Enterprise Operating System". Es basiert zu 100% auf dem Quellcode von Red Hat Enterprise Linux. Während Red Hat Enterprise Linux nur in Verbindung mit kommerziellem Support zu haben ist, kommt CentOS ohne kommerziellen Support. Typische CentOS-Anwender sind Organisationen und Privatleute, die ein stabiles Enterprise-Betriebssystem, aber keinen kommerziellen Support benötigen. Die stabilen Versionen von CentOS werden 10 Jahre lang mit Aktualisierungen versorgt, Scientifclinux um die 20 Jahre.

Sicherheitstechnische Maßnahmen, auf die wir im Einzelnen Punkt für Punkt (bzw. grünem Häkchen für Häkchen) gleich zu sprechen kommen, sind bereits während der Installation so früh wie möglich vorzunehmen, da bereits mit dem ersten Gang ins Netz immense Gefahren und enorme Bedohungen aufwarten! Bereits mit der allerersten Verbindung ins Netz ist mit massivem "Beschuss" durch Hacker und dergleichen zu rechnen!

Neben dem Installationsmedium sollte jetzt unbedingt an ein Sicherungsmedium gedacht sein. Wir empfehlen zwei SSD gleicher Größe bzw. 1:1-gleicher Partitionierung.

Kleine Installationsanleitung gefällig? Linux-Tuning zur Absicherung, https://wiki.kairaven.de/open/os/linux/tuxsectune, https://wiki.centos.org/HowTos/OS_Protection ( in unserem Bsp. im Bezug auf mdv2010.2 oder CentOS 6 ). U.a. die Passwortumstellung von md5 auf sha256sum und die /etc/pam.d/system-auth ist mit Vorsicht zu genießen, indem man system-auth mit Kommando cp sichert und notfalls wiederherstellt.

Ü,ber about:config und die Abfrage von "http" lassen sich im Anschluss fast sämtliche dort abgespeicherte URL aus Firefox austragen.

OKHardening-Optionen zur Compilezeit
Mehrere Optionen zur Compilezeit stehen der folgenden Liste nach zur Verfügung. Sie verhelfen, die erzeugte Binärdateien gegen Speicher-Korruption (memory corruption attacks) abzusichern oder sorgen für zusätzliche Warnungen während des Compilierens. In Debian ist der Einsatz von "dpkg-buildflags" der empfohlene Weg. Zum Setzen der Buld-Flags,
siehe ReleaseGoals/SecurityHardeningBuildFlags fü,r weitere Informationen, https://wiki.debian.org/ReleaseGoals/SecurityHardeningBuildFlags.
Eine Schritt-für-Schritt-Anleitung findet sich auf HardeningWalkthrough, https://wiki.debian.org/HardeningWalkthrough.
Quelle: https://wiki.debian.org/Hardening
Fedora/CentOS etc: https://fedoraproject.org/wiki/Changes/Harden_All_Packages

OKErstmaliges Aufsetzen (Installation) von Betriebssystemen wie UNIX/Linux, generelles Vorgehen, vieles bereits mit dem Installationsmedium:

Formatieren -> Partitionieren -> Verschlüsseln (FSE) > Formatieren -> Installieren -> Sichern (mit dd) und Aktualisieren -> Vollverschlüsseln (FSE) -> Sichern (mit dd) und Konfigurieren -> Defragmentieren (entfällt bei vielen UNIX/Linux Dateisystemen) -> Sichern (mit dd) und Aktualisieren (... insgesamter Zeitbedarf: ?)

Dabei gehen wir auf dieser Webseite als Erstes bereits auf das Konfigurieren ein, gefolgt vom Aktualisieren, Partitionieren und Vollverschlüsseln usw..

Alternativ: Jemand ist so freundlich und spielt mittels Befehl dd bereits alles vorinstalliert (und möglichst aktualisiert) aufs Medium (SSD (sdx), Festplatte (S-ATA: sdx oder IDE: hdx), USB-Speicherstift, CD/DVD, ...) auf: jede Menge Zeit gespart (Prozessor-Architektur (x86_64, i686, ...) beachten und /etc/X11/xorg.conf zunächst auf vesa bzw. fb setzen)! Der geniale Allround-Befehl zum Spiegeln (Mirror) lautet (bzw. ä,hnlich): "dd if=/dev/sda of=/dev/sdb".

Editor im folgenden: nano

OKPartitionen auf die richtige Art einhängen
Wenn Sie ein Ext-Dateisystem (ext2, ext3 oder ext4) einhängen, können Sie verschiedene Optionen mit dem mount-Befehl oder in /etc/fstab verwenden. Dies ist zum Beispiel mein fstab-Eintrag für meine /tmp-Partition:

/dev/hda7 /tmp ext2 defaults,nosuid,noexec,nodev 0 2

Achten Sie auf den Abschnitt mit den Optionen. Die Option nosuid ignoriert komplett alle setuid- und setgid-Bits, während noexec das Ausführen von Programmen unterhalb des Einhängepunkts verbietet und nodev Gerätedateien ignoriert. Das hört sich toll an, aber:

ist nur auf ext2 oder ext3-Dateisysteme anwendbar,

kann leicht umgangen werden.

Die Option noexec, die verhindert, dass Programme ausgeführt werden können, ließ sich in früheren Kernelversionen leicht umgehen:

alex@joker:/tmp# mount | grep tmp
/dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev)
alex@joker:/tmp# ./date
bash: ./date: Keine Berechtigung
alex@joker:/tmp# /lib/ld-linux.so.2 ./date
So 3. Dec 17:49:23 CET 2000

Neuere Versionen des Kernels verarbeiten aber die Option noexec richtig:

angrist:/tmp# mount | grep /tmp
/dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev)
angrist:/tmp# ./date
bash: ./tmp: Keine Berechtigung
angrist:/tmp# /lib/ld-linux.so.2 ./date
./date: error while loading shared libraries: ./date: failed to map segment
from shared object: Operation not permitted

However, many script kiddies have exploits which try to create and execute files in /tmp. If they do not have a clue, they will fall into this pit. In other words, a user cannot be tricked into executing a trojanized binary in /tmp e.g. when /tmp is accidentally added into the local PATH.

Seien Sie sich auch bewusst, dass manche Skripte darauf aufbauen, dass /tmp ausführbare Rechte hat. Bemerkenswerterweise hatte (oder hat?) Debconf Probleme bei dieser Sache, weitere Informationen enthält Fehler 116448.

Nachfolgend ein gründlicheres Beispiel. Eine Anmerkung dazu: /var könnte auch noexec enthalten, aber manche Software [26] verwahrt ihre Programme unterhalb von /var. Dasselbe gilt für die Option nosuid.

/dev/sda6 /usr ext3 defaults,ro,nodev 0 2
/dev/sda12 /usr/share ext3 defaults,ro,nodev,nosuid 0 2
/dev/sda7 /var ext3 defaults,nodev,usrquota,grpquota 0 2
/dev/sda8 /tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2
/dev/sda9 /var/tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2
/dev/sda10 /var/log ext3 defaults,nodev,nosuid,noexec 0 2
/dev/sda11 /var/account ext3 defaults,nodev,nosuid,noexec 0 2
/dev/sda13 /home ext3 rw,nosuid,nodev,exec,auto,nouser,async,usrquota,grpquota 0 2
/dev/fd0 /mnt/fd0 ext3 defaults,users,nodev,nosuid,noexec 0 0
/dev/fd0 /mnt/floppy vfat defaults,users,nodev,nosuid,noexec 0 0
/dev/hda /mnt/cdrom iso9660 ro,users,nodev,nosuid,noexec 0 0

https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

Unser konkreter Vorschlag für die Geräte-Konfigurationsdatei /etc/fstab und das Aktualisieren: noch weiter unten im Folgenden!

OKListing: Linux-Sicherheitsmeldungen ab Jahr 2000 auf PRO-LINUX.de
Nachstehend finden Sie alle aktuellen Sicherheitsmeldungen der wichtigsten Distributionen mit Angabe der Distribution, des Veröffentlichungsdatums und der behandelten Sicherheitslücke
https://www.pro-linux.de/sicherheit/1/1/1.html

OKAktuelle LWN.net-Webseiten für Sicherheit
Here are the most recent LWN.net security pages, with a comprehensive roundup of a week´s worth security-related information.


Date Contents
Apr 12, 2017 Network security in the microservice environment; Two Project Zero reports; ..
. Apr 05, 2017 ARM pointer authentication; Quotes; Exploiting Broadcom WiFi; ...
Mar 29, 2017 refcount_t meets the network stack; Quotes; ...
Mar 22, 2017 Inline encryption support for block devices; Shim review; ..
. Mar 15, 2017 A kernel TEE party; Quotes; Struts 2 vulnerability; ...
Mar 08, 2017 A new process for CVE assignment; Smart TV bugging quotes; Threat modeling ...
Mar 01, 2017 The case of the prematurely freed SKB; SHA-1 collision and fallout; ...
Feb 22, 2017 The case against password hashers; New vulnerabilities in dropbear, kernel, nagios-core, qemu, ...
Feb 15, 2017 A look at password managers; New vulnerabilities in kernel, libevent, mysql, php, ...
Feb 08, 2017 Reliably generating good passwords; New vulnerabilities in epiphany, graphicsmagick, gstreamer (and plugins), spice, ...
Feb 01, 2017 The Internet of scary things; New vulnerabilities in ansible, chromium, kernel, mozilla, ...
Jan 25, 2017 Security training for everyone; New vulnerabilities in fedmsg, firejail, java, systemd, ...
Jan 18, 2017 Ansible and CVE-2016-9587; New vulnerabilities in bind, docker, qemu, webkit2gtk, ...
Jan 11, 2017 SipHash in the kernel; New vulnerabilities in kernel, kopete, syncthing, webkit2gtk, ...
Jan 04, 2017 Fuzzing open source; New vulnerabilities in bash, httpd, kernel, openssh, ...
Dec 22, 2016 OWASP ModSecurity Core Rule Set 3.0; New vulnerabilities in apport, kernel, libupnp, samba, ...
Dec 14, 2016 ModSecurity for web-application firewalls; New vulnerabilities in jasper, kernel, mozilla, roundcube, ...
Dec 07, 2016 Locking down module parameters; New vulnerabilities in chromium, firefox, kernel, xen, ...
Nov 30, 2016 Django debates user tracking; New vulnerabilities in drupal, firefox, kernel, ntp, ...
Nov 16, 2016 Reference-count protection in the kernel; New vulnerabilities in chromium, firefox, kernel, sudo, ...
https://lwn.net/Security/

OKSeparate usr-Partition: /usr auf nur-lesend setzen
Wenn Sie (über /etc/fstab) auf /usr nur lesenden Zugriff erlauben, werden Sie nicht in der Lage sein, neue Pakete auf Ihrem Debian-GNU/Linux-System zu installieren. Sie werden es erst mit Schreibzugriff erneut einhängen müssen, die Pakete installieren und dann wieder nur mit lesendem Zugriff einhängen. Apt kann so konfiguriert werden, dass Befehle vor und nach dem Installieren von Paketen ausgeführt werden. Daher müssen Sie es passend konfigurieren.
Dafür müssen Sie /etc/apt/apt.conf bearbeiten und Folgendes einfügen:

DPkg
{
Pre-Invoke { "mount /usr -o remount,rw" };
Post-Invoke { "mount /usr -o remount,ro" };
};
( Das Anlegen einer separaten usr-Partition z.B. nach Einrichtung einer verschlüsselten Root-Partition wird hingegen nicht empfohlen, Anm., Gooken. )

Beachten Sie, dass das Post-Invoke mit der Fehlermeldung "/usr ist belegt" scheitern kann. Dies passiert vorwiegend, wenn Sie eine Datei benutzen, die aktualisiert wurde. Sie können diese Programme finden, indem Sie Folgendes ausführen:

# lsof +L1

Halten Sie diese Programme an oder starten Sie sie erneut und rufen dann Post-Invoke manuell auf. Achtung! Das bedeutet, dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X (falls Sie eine laufen haben) neu starten müssen, wenn Sie ein größeres Upgrade Ihres Systems durchführen. Sie müssen entscheiden, ob ein nur lesbares /usr zu Ihrem System passt. Vergleichen Sie auch diese discussion on debian-devel about read-only /usr.
Wir beabsichtigen im Kommenden, das System einschließlich Root-Partition (und USB-Speicherstifte und SD-Karten) hochwirksam mit LUKS vollzuverschlüsseln (FSE) und im Gegensatz zu /usr die gesamte Root-Partition wie die Home-Partition anschließend unbeschreibbar auf "read-only" (ro) zu setzen. Die Möglichkeit über /usr bzw. die separate usr-Partition sei dabei natürlich vorbehalten.

OKUpdate mit dem Kernel-Binary (rpm) oder Konfiguration, Patchen, Kompiliieren des Kernel-Source (rpm.src)
Wir gehen von der Installation einer rpm-basierten Linux-Distribution auf einem Laufwerk/Speichermedium aus, mit Blick auf unsere Sektion für Updates vorzugsweise RedHat, CentOS oder Scientific Linux, Fedora Core, PCLinuxOS, ROSA, Mageia oder Mandriva.
Nun gibt es zwei Möglichkeiten: Entweder man installiert einen vorkonfigurierten Kernel ("rpm -i --force kernel-....rpm") oder schneidert ihn selbst maß (Kernel-Konfiguration und Compilierung). Im zweiten Fall ist Folgendes zu tun (die Anleitung stammt aus unserer Update-Sektion und erfolgt daher in englischer Sprache):
Konfiguration, Patch, Kompilieren: Download und install vom Kernel angeforderte Pakete rpm, danach die Kernel-Quellen. Installiere oder entpacke nach /usr/src manuell mit dem Befehl "tar -xvjf kernel-source-package", rpm oder graphisch mit File-Roller. Ein neues Verzeichnis namens "linux-kernelversion-xxx" oder "kernel-source-xxx" wird innerhalb /usr/src erzeugt.
Linke dieses Verzeichnis mit einem Link (Link-Datei) namens linux: "ln -sf linux-xxx linux" resp. "ln -sf kernel-source-xxx linux".
Wechsle in dieses Verzeichnis linux linux resp. linux-xxx bzw. kernel-source-xxxx and führe den Befehl "menu oldconfig". aus. Damit wird die Datei .config zum Konfigurierren des Kernels erzeugt.
Führe nun "menu xconfig" ooder "menu gconfig" oder "make menuconfig" aus und konfiguriere die benötigten Kernel-Treiber usw. duch Setzen auf (CC) für die benötigten, (CC MM) für als Module vom Kernel und per Befehl wie modprobe einbindbaren und das leere Feld für solche mit Verzicht.
Für mit dracut ermöglichtes FSE (Full System Encryption einschließlich verschlüsselter Root-Partition) sind zwei Optionen zu ermöglichen, was in kernel-desktop (mdv2011), aber nicht kernel (el6):der Fall ist.


Kernel: Empfohlen sei kernel 4 (in unserem Beispiel kernel 4.20.13 (pclos) mit glibc (pclos) oder kernel (rosa2016.1, el8, el7, el6: mit upstart (el6)), mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2) und dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) bzw. noch der Kernel 2.6.39.4).

Alle Patches für 2.6.39.4-5.1 bis heute sind im Internet von http://repository.timesys.com/buildsources/k/kernel/kernel-2.6.39/ verfügbar, i.a. aber von kernel.org:
compiler-gcc5, add-timesys-bootlogo, dirty-cow, lantronix-ts1, no-setlocalversion, no-unused-but-set-variable, revert-nfsroot, timeconst.pl-eliminate-perl-warning, ltrx-image-rom und yaffs2.

Patch: patch (el6, fc27, mdv2010.1) muss installiert sein. Gebe danach folgenden Befehl ein: "patch -p1 < ../patchname.patch "

Zwei Möglichkeiten:
1) Bau des kernel-Paket-rpm aus den Quellen nach Anwendung der Patches: Konfiguriere die aus den Quellen stammende spec-Datei (Datei vom Typ spec), indem angewandte Patches eingetragen bzw. auskommentiert werden: https://www.howtoforge.de/anleitung/wie-man-einen-kernel-kompiliert-auf-fedora/. Führe dann den Befehl "rpm -ba" anstelle "rpmbuild -ba" kernel-xxx.spec aus, um das Kernel-Binärpaket zu erzeugen.
2) Konfiguration der Quellen und Kompilieren:
Kopiere die Date .config ausgehend von /usr/src nach include/config/auto.conf


Rufe den Befehl "menu xconfig" or "menu gconfig" oder "make menuconfig" auf und konfiguriere die Treiber und alles Benötigte (CC), als Module Benötigtes (CC MM) und solches mit Verzicht auf Einbindung, oder konfiguriere anhand einer mit "make oldconfig" vorgegebenen Konfiguration.

Für FSE (full system encryption) mit dracut sollten zwei Optionen ermöglicht (aktiviert) werden:
innerhalb des ersten Eintrags"General Setup"enable "Initial-RAM-filesystem and RAM-disk-support" und in "general drivers" "Maintain a devtmpfs at /dev/ with subitem" zum Automount von devtmpfs in /dev nach dem Mount (Einbinden) der Root-(Wurzel-)Partition".
Im Zweifelsfall setze man den Wert MM
(x), (*), (M) oder (CC), um ein Modul immerzu, auch unnachgefragt, zu laden
(A) oder (CC MM), (MM), um es auf Anfrage hin automatisch oder manuell nachzuladen oder
(-) oder ( ): zum Verzicht auf das Modul.

kernel-2.6.39-40.src.rpm, Beispiel:

Um den Betrieb einer iptables-basierten Firewall zu ermöglichen, sollten bestimmte Module eingebunden werden.
Öffne ein Terminal und gebe eines der folgenden Kommandos ein:
make menuconfig für die graphische Konfiguration mit Dialog-GUI,
male xconfig für tk-GUI oder
make gconfig für GTK oder
make config


Wähle nun Folgendes aus:

Networking options --->
[*] Network packet filtering (replaces ipchains)
IP: Netfilter Configuration --->
.
(M) Userspace queueing via NETLINK (EXPERIMENTAL)
(M) IP tables support (required for filtering/masq/NAT)
(M) limit match support
(M) MAC address match support
(M) netfilter MARK match support
(M) Multiple port match support

(M) TOS match support
(M) Connection state match support
(M) Unclean match support (EXPERIMENTAL)
(M) Owner match support (EXPERIMENTAL)
(M) Packet filtering
(M) REJECT target support
(M) MIRROR target support (EXPERIMENTAL)
.
(M) Packet mangling
(M) TOS target support
(M) MARK target support
(M) LOG target support
(M) ipchains (2.2-style) support
(M) ipfwadm (2.0-style) support

denke auch an viele weitere Optionen (Module) und speichere die Konfiguration schließlich ab.

kernel-firmware (binary blobs within /lib/firmware, rpm kernel-firmware (around 250 MB) and/or kernel-firmware-extra ):

For kernels before 4.18:
KERNEL Enable support for Linux firmware

Device Drivers --->
Generic Driver Options --->
-*- Userspace firmware loading support
[*] Include in-kernel firmware blobs in kernel binary
(/lib/firmware) Firmware blobs root directory

For kernels beginning with 4.18:
KERNEL Enable support for Linux firmware

Device Drivers --->
Generic Driver Options --->
Firmware loader --->
-*- Firmware loading facility
() Build named firmware blobs into the kernel binary
(/lib/firmware) Firmware blobs root directory

Führe nun die Komplierung vorbereitenden Befehle aus: "make dep && make clean && make mrproper" .
Gebe die Kernel-Version gleich am Anfang innerhalb makefile an vorgesehener Stelle an.
Patchen: patch -p1 < ../any_patch.patch
make -i rpm (Erzeuge eines binären (kompilierten) Kernel-Pakets (rpm), benötige Zeit: ca. vier Stunden), alternativ
make all # oder
make dep (Berücksichtigung der Abhängigkeiten)
make clean (Löschen nicht mehr benötigter, alter Daten)
make bzImage (Erzeugung des Kernel-Kerns vmlinuz, welcher sich später im Boot-Verzeichnis /boot finden sollte. Hierfür ist das Erzeugnis namens Datei bzImage-Versionsnummer in vmlinuz-Versionsnummer umzubennenen, benötigte Zeit: um die 30 Minuten) oder
make bzImage &,& make modules && make modules_install für alles in einem, einschlie&zlig;lich der Erzeugung und Installation der Kernel-Module /in /lib/modules/kernel-versionsnummer.
Kopiere das erzeugte bzImage (Datei) namens bzImage-Kernelversion aus einem der Unterverzeichnisse von /usr/src ( notfalls mit Befehl find suchen: "find /usr/src -maxdepth 6 -name bzImage*" ) in das Boot-Verzeichnis /boot, nachdem die Datei bzImage* in vmlinuz-Kernelversion umbenannt worden ist.
Starte den Befel mkinitrd, besser dracut, um das Initial-Ram-Disk-Archive initrd (initrd-Kernel-Versionsnummer), bei dracut initramfs (initramfs-Kernel-Versionsnummer), innerhalb des Boot-Verzeichnis /boot zu erzeugen ("dracut -f /boot/initramfs-Kernel-Vesionsnummer Kernel-Versionsnummer". Die Versionsnummern verhindern Überschreiben. dracut sollte dafür in /etc/dracut.conf vorher bestens konfiguiert sein, um bestimmte Module einzubinden, eine Konfigurationsdatei dracut.conf von dracut geben wir weiter unten an. Beachte, dass sehr viele, auch neuere Versionen von dracut überhaupt nicht funktionieren (wir wählten dracut (008, mdv2011))! ). Beim Kopieren bzw. Erzeugen in /boot sollte man etwaige alte Kernel-, initrd- bzw. initramfs-Versionen aus dem Verzeichnis /boot keinesfalls überschreiben!
Konfiguriere abschließend den Boot-Manager, bei uns namens Grub (grub oder grub2), in /boot/grub/menu.lst (grub1) entsprechend, editiere Zeilenumbrüche verhindernd /boot/grub/menu.lst (am besten mit dem Editor nano) und tausche die vmlinuz-kernel-versionen namentlich aus, bzw. trage sie in einem eigenen neuen Abschnitt für den neuen Kernel neu ein, und trage dort auch die neue (Datei) initramfs bzw. initrd (einschl. zugehöriger Kernel-Versionsnummer) namentlich an der Stelle für initrd ein.
done. Starte (boote) das System neu (System-Neustart). Klappt alles, kann man alte Kernel-Versionen austragen (löschen), falls nicht, boote eine alte Kernel-Version und lösche die neu erzeugte.

OKAbmelden von untätigen Benutzern
Untätige (idle) Benutzer stellen für gewöhnlich ein Sicherheitsproblem dar. Ein Benutzer kann untätig sein, da er Mittagessen ist, oder weil eine Verbindung aus der Ferne hängen blieb und nicht wieder hergestellt wurde. Unabhängig von den Gründen können untätige Benutzer zu einer Kompromittierung führen:

weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann.
because an attacker might be able to re-attach to a closed network connection and send commands to the remote shell (this is fairly easy if the remote shell is not encrypted as in the case of telnet).

In einige Systeme in der Ferne wurde sogar schon durch ein untätiges (und abgelöstes) Screen eingedrungen.

Die automatische Trennung von untätigen Benutzern ist gewöhnlich ein Teil der lokalen Sicherheitsrichtlinie, die durchgesetzt werden muss. Es gibt mehrere Arten, dies zu erreichen:

If bash is the user shell, a system administrator can set a default TMOUT value (see bash(1)) which will make the shell automatically log off remote idle users. Note that it must be set with the -o option or users will be able to change (or unset) it.

Installieren Sie Timeoutd und konfigurieren Sie /etc/timeouts passend zu Ihren lokalen Sicherheitsrichtlinien. Der Daemon achtet auf untätige Benutzer und beendet entsprechend ihre Shells.

Installieren Sie Autolog und richten Sie es so ein, dass es untätige Benutzer entfernt.

Vorzugswürdige Methoden sind die Daemonen Timeoutd oder Autolog, da letzten Endes die Benutzer ihre Standardshell ändern können oder zu einer anderen (unbeschränkten) Shell wechseln können, nachdem sie ihre Standardshell gestartet haben.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

Linux: TMOUT To Automatically Log Users Out
last updated May 18, 2011 in Categories BASH Shell, Linux

How do I auto Logout my shell user in Linux after certain minutes of inactivity?
Linux bash shell allows you to define the TMOUT environment variable. Set TMOUT to automatically log users out after a period of inactivity. The value is defined in seconds. For example,

export TMOUT=120

The above command will implement a 2 minute idle time-out for the default /bin/bash shell. You can edit your ~/.bash_profile, ~/.bashrc or /etc/profile file as follows to define a 5 minute idle time out:

# set a 5 min timeout policy for bash shell
TMOUT=300
readonly TMOUT
export TMOUT

Save and close the file. The readonly command is used to make variables and functions readonly i.e. you user cannot change the value of variable called TMOUT.
How Do I Disable TMOUT?

To disable auto-logout, just set the TMOUT to zero or unset it as follows:
DOLLARSIGN export TMOUT=0

or

DOLLARSIGN unset TMOUT

Please note that readonly variable can only be disabled by root in /etc/profile or ~/.bash_profile. https://www.cyberciti.biz/faq/linux-tmout-shell-autologout-variable/

Ooder weise SHELL_TIMEOUT (TMOUT) einen Wert in /etc/security/msec/level.secure zu:
SHELL_TIMEOUT=300

OK/etc/pam.d/system-auth ( in auf unserer Plattform getesteter Form ):
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth
auth required pam_deny.so
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_tally2.so deny=3 onerr=fail unlock_time=60
account sufficient pam_tcb.so shadow
account required pam_deny.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_tally2.so per_user
password required pam_cracklib.so try_first_pass retry=3 minlen=6 dcredit=1 ucredit=0
password sufficient pam_unix.so try_first_pass use_authtok sha512 shadow remember=2
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so

Mehr über pam-Module:
http://www.linuxdevcenter.com/pub/a/linux/2001/09/27/pamintro.html?page=2
https://linux.die.net/man/5/pam.d
...

Wenn Sie PAM benutzen, können Sie auch andere Änderungen am Login-Prozess, die auch Einschränkungen für einzelne Benutzer oder Gruppen zu bestimmten Zeiten enthalten können, durch Konfiguration der Datei /etc/pam.d/login vornehmen. Eine interessante Eigenschaft, die man auch abschalten kann, ist die Möglichkeit, sich mit einem leeren Passwort (Null-Passwort) anzumelden. Diese Eigenschaft kann eingeschränkt werden, indem Sie nullok aus folgender Zeile entfernen:

auth required pam_unix.so nullok

Unsere /etc/pam.d/login:
%PAM-1.0
auth required pam-securetty.so
auth required pam_tally2.so deny=3 even_deny_root unlock_time=2400
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include system-auth
-session optional pam_ck_connector.so

OKIn securetty
entfernen Sie oder fügen Sie Terminals hinzu, auf denen sich Root anmelden darf. Falls Sie nur lokalen Zugang zur Konsole erlauben wollen, benötigen Sie console, ttyX und vc/X (falls Sie die devfs-Schnittstelle verwenden). Sie sollten auch ttySX hinzufügen, wenn Sie eine serielle Konsole für den lokalen Zugang verwenden (wobei X eine ganze Zahl ist; es kann wünschenswert sein, mehrere Instanzen zu verwenden). Die Standardeinstellung in Wheezy beinhaltet viele tty-Konsolen, serielle Schnittstellen und virtuelle Konsolen sowie den X-Server und das console-Gerät. Sie können das ohne Probleme anpassen, wenn Sie nicht derartige viele Konsolen benutzen. Sie können die Anzahl der Konsolen und Schnittstellen in /etc/inittab überprüfen. Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im Text-Terminal-HOWTO.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

The primary entry types and their affects are as follows:
If /etc/securetty doesn´t exist, root is allowed to login from any tty
If /etc/securetty exist and is empty, root access will be restricted to single user mode or programs that are not restricted by pam_securetty (i.e. su, sudo, ssh, scp, sftp)
if you are using devfs (a deprecated filesystem for handling /dev), adding entries of the form vc/[0-9]* will permit root login from the given virtual console number
if you are using udev (for dynamic device management and replacement for devfs), adding entries of the form tty[0-9]* will permit root login from the given virtual console number
listing console in securetty, normally has no effect since /dev/console points to the current console and is normally only used as the tty filename in single user mode, which is unaffected by /etc/securetty
adding entries like pts/[0-9]* will allow programs that use pseudo-terminals (pty) and pam_securetty to login into root assuming the allocated pty is one of the ones listed; it´s normally a good idea not to include these entries because it's a security risk; it would allow, for instance, someone to login into root via telenet, which sends passwords in plaintext (note that pts/[0-9]* is the format for udev which is used in RHEL 5.5; it will be different if using devfs or some other form of device management)
For single user mode, /etc/securetty is not consulted because the sulogin is used instead of login. See the sulogin man page for more info. Also you can change the login program used in /etc/inittab for each runlevel.
https://unix.stackexchange.com/questions/41840/effect-of-entries-in-etc-securetty

OKEin paar weitere Möglichkeiten mit PAM:
Verschlüssele Passwörter nicht mit DES (anfällig für brute-force-Dekodierungen).
Setze Limits für alle Benutzer, so dass sie keine Denial-of-Service-Angriffe starten (Anzahl der Prozesse, Speichergröße, etc).
Ermögliche stets Shadow-Passwörter (aus /etc/shadow)
Erlaube Benutzern nur den Login zu bestimmten Zeiten von bestimmten Orten.
In kurzer Zeit lassen sich viele Angriffe abwehren, ehe sie auftauchen. Benutze z.B. PAM, um den systemweien Zugriff auf .rhosts-files im Home-Verzeichnis auf folgende Art in /etc/pam.d/rlogin zu verhindern:

#
# Verbiete Benutzern (veraltertes) rsh, rlogin und rexec
#
login auth required pam_rhosts_auth.so no_rhosts

Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKpam_tcb.so: Wechsel von shadow-Passwörtern nach tcb in Linux
Für ein noch sicheres Linux-Passwort-System, die Migration von shadow-Passwörtern nach tcb ist die wenig Mühe wert. Vincent Danen erklärt, was zu tun ist.
"Shadow passwords have been a de facto standard with Linux distributions for years and as well as the use of md5 passwords. However, there are drawbacks to using the traditional shadow password method, and even md5 is not as secure as it used to be. One drawback to the shadow password file is that any application that requires looking up a single shadow password (i.e., your password) also can look at everyone else´s shadow passwords, which means that any compromised tool that can read the shadow file will be able to obtain everyone´s shadow password."

Installiere zuerst pam (bei uns (pclos)), u.a. mit pam-tcb (pclos) und imfalle einer Verschlüsselung mit Blowfish das Paket bcrypt.
Nun folge der Anleitung und Quelle: https://www.techrepublic.com/article/migrating-from-shadow-passwords-to-tcb-in-linux/
alternativ: Migrating to tcb, http://www.opennet.ru/man.shtml?topic=tcb_convert&category=8&russian=2

Von der Verschlüsselung mit Blowfish und dem Entfernen der shadow-Dateien haben wir im Folgenden noch abgesehen. Unsere geänderte Datei /etc/pam.d/system-auth lautet nach Durchführung der Schritte:
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_tcb.so
auth required pam_deny.so
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_tally2.so deny=3 onerr=fail unlock_time=1200
account sufficient pam_tcb.so shadow
account required pam_deny.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_tally2.so per_user
password required pam_cracklib.so try_first_pass retry=3 minlen=6 dcredit=1 ucredit=1
password sufficient pam_tcb.so use_authtok tcb write_to=tcb
password required pam_deny.so
session optional pam_mount.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_tcb.so

und /etc/pam.d/password-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.

auth required pam_env.so
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
auth sufficient pam_tcb.so
auth required pam_deny.so
account required pam_tcb.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_tcb.so try_first_pass use_authtok sha512 shadow
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_tcb.so

mit /etc/nsswitch.conf:
shadow: compat +user +root +surfuser +toruser -anonymous -bin -daemon -uuidd -rtkit -sync -mail -news -avahi -haldaemon -ALL tcb

Probiere auch eigenlich für tcb Vorgesehenes "shadow: tcb nisplus nis" und setze "nebenbei" außerdem die Reihenfolge für hosts: "hosts: files mdns4_minimal dns nis mdns4 wins"

Ersetze auch in allen anderen /etc/pam.d/* pam_unix.so mit pam_tcb.so. Der Rechner läuft einmal mehr mausklick-schnell und sicher..

OKBenutzerkonto-Sperre
While having strong passwords in place for user accounts can help thwart brute force attacks as mentioned previously in point 18 - Enforce strong passwords, this is only one way of slowing down this type of attack. A good indication of brute force attack is a user account that has failed to log in successfully multiple times within a short period of time, these sorts of actions should be blocked and reported. We can block these attacks by automatically locking out the account, either at the directory if in use or locally.

The pam_tally2.so PAM module can be used to lock out local accounts after a set number of failures. To get this working I have added the below line to the /etc/pam.d/password-auth file.

auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

This will log all failures to the /var/log/tallylog file and lock out an account after 3 consecutive failures. By default it will not deny the root account however we can also lock out root by specifying even_deny_root (though this may not be required if you have disabled root access as per point 3 - Disable remote root access and point 4 - Disable root console access). The unlock time is the amount of seconds after a failed login attempt that an account will automatically unlock and become available again.

Failed logins can be viewed as below, to view all failures simply remove the --user flag.

[[email protected] ~]# pam_tally2 --user=bob Login Failures Latest failure From bob 4 08/21/15 19:38:23 localhost

The failure count can be manually reset by appending -reset onto this command.

pam_tally2 --user=bob --reset

If a login is successful before the limit has been reached the failure count will reset to 0. For more details see the pam_tally2 manual page by typing ´man pam_tally2´.

It´s worth noting that the manual page advises to configure this with the /etc/pam.d/login file, however I found that under CentOS 7 this did not work and needed to use the /etc/pam.d/password-auth file instead. I also tried using /etc/pam.d/system-auth which I found documented elsewhere but this also failed, so this may differ based on your operating system.

You can also manually lock and unlock local user accounts rather than waiting for the failure limit to be reached.
Lock the user account ‘bob’.https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/#4
Quelle: https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/

OKDisable Root Console Access
The previous step disables remote access for the root account, however it will still be possible for root to log in through any console device. Depending on the security of your console access you may wish to leave root access in place, otherwise it can be removed by clearing the /etc/securetty file as shown below.

echo > /etc/securetty

This file lists all devices that root is allowed to login to, the file must exist otherwise root will be allowed access through any communication device available whether that be console or other.

With no devices listed in this file root access has been disabled. It is important to note that this does not prevent root from logging in remotely with SSH for instance, that must be disabled as outlined in point 3 - Disable remote root access above.

Access to the console itself should also be secured, a physical console can be protected by the information covered in point 13 - Physical security.

https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/

OKAdministrativen Fernzugriff verweigern
/etc/security/access.conf sollte ebenfalls so verändert werden, dass ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird. Auf diese Weise müssen Benutzer das Programm Su (oder Sudo) aufrufen, um Administratorenrechte zu bekommen, so dass es immer eine nachprüfbare Spur gibt.
Folgende Zeile ist zur /etc/security/access.conf hinzufügen, in Debians Standardkonfigurationsdatei ist ein Beispiel auskommentiert:

-:wheel:ALL EXCEPT LOCAL

Vergessen Sie nicht, in /etc/pam.d/ das pam_access-Module für jeden Dienst (oder die Standardkonfiguration) anzuschalten, wenn Sie wollen, dass Ihre Änderungen in /etc/security/access.conf berücksichtigt werden.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKAblauf der Passwort-Gültigkeit überüfen
In Linux werden die Passwörter zu den Benutzerkonten in der Datei ´/etc/shadow´ in verschlüsselter Form abgespeichert. Um den Ablauf der Gültigkeit zu überprüfen, verwende man das Kommando ´chage´.

#chage -l username
Um die Dauer der Gültigkeit eines Passwortes zu verändern, setze
#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName
Parameters
-M Set maximum number of days
-m Set minimum number of days

Quelle: https://www.tecmint.com/linux-server-hardening-security-tips/

OKCheck auf System- und Benutzerkonten mit leeren Passwörtern
Leere Passwörter haben unauthorisierten Zugriff zur Folge. Deshalb sollten alle Konten mit starken Passwörtern geschützt sein. Um auf leere Passwörter zu überprüfen, verwende das folgende Kommando:

cat /etc/shadow | awk -F: ´(DOLLARSIGN2==""){print DOLLARSIGN1}´

https://www.tecmint.com/linux-server-hardening-security-tips/

OKLimitierte Anzahl aktiver Prozesse (Quelle: Arch Linux, https://wiki.archlinux.org/index.php/security)
Die Anzahl lässt sich in /etc/security/limits.conf sowohl für alle Benutzer und Gruppen als auch bestimmte Benutzer und Gruppen limitieren, um Angriffe wie "Fork Bombs" und Denial-Of-Service-Attacks vorzubeugen. Im Beispiel wird für alle Benutzer die maximale Anzahl auf 100 gesetzt und nach Gebrauch des prlimit auf maximal 200 angehoben. Zu beachten ist, dass sich bei zu niedrig angesetzten Limits Funktionsstörungen einstellen können. Sichern Sie vor einer Änderung /etc/security/limits.conf !

* soft nproc 300
* hard nporc 320
# user soft nproc 200
# user hard nproc 250
# surfuser soft nproc 160
# surfuser hard nporc 180
toruser soft nproc 100
toruser hard nporc 120

OKlibrepository (el6), libsafec-check (fc30, fc29): Finds unsafe APIs
Computer - mausklick-schnell !

OKBastille, msec, rkhunter, chkrootkit, clamav (clamscan, klamav), maldetect, checksec, seccheck, xsysinfo, smartd, nessus, tkcvs and cervisia, ...
Bevor Sicherheit weiterhin Haken für Haken manuell konfiguriert (eingestellt) wird, überlege man sich an dieser Stelle, ob Konfigurations-Programme wie bastille und die Sicherheits-Checks von msec (rosa2016.1, rosa2014.1) erforderliche Sicherheits-Einstellungen protokollieren, falls nicht bereits selbsttätig (automatisch) einen Teil der Arbeit abnehmen sollen.

OKZwei-Faktor-Authentifizierung
Two factor authentication can be implemented for SSH access or other application login, it will improve login security by adding a second factor of authentication, that is the password is typically known as something you know, while the second factor may be a physical security token or mobile device which acts as something you have. The combination of something you know and something you have ensures that you are more likely who you say you are.

There are custom applications available for this such as Duo Securityand Google Authenticator as well as many others. These typically involve installing an application on a smart phone and then entering the generated code alongside your username and password when you authenticate.
Google Authenticator can be used for many other applications than just SSH, such as for WordPress login with third party plugin support.
https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/

OKRestriktrierter Zugriff auf Zeiger auf den Kernel innerhalb des proc-Dateisystems (Quelle: Arch Linux, https://wiki.archlinux.org/index.php/security)
Beachte: Hardened Linux setzt kptr_restrict meist auf 2 oder 1:
. "Enabling kernel.kptr_restrict will hide kernel symbol addresses in /proc/kallsyms from regular users without CAP_SYSLOG, making it more difficult for kernel exploits to resolve addresses/symbols dynamically. This will not help that much on a pre-compiled Arch Linux kernel, since a determined attacker could just download the kernel package and get the symbols manually from there, but if you´re compiling your own kernel, this can help mitigating local root exploits. This will break some perf commands when used by non-root users (but many perf features require root access anyway)."
/etc/sysctl.d/50-kptr-restrict.conf
kernel.kptr_restrict = 2

OKDer nächste Punkt fstab-Option hidepid für proc von Quelle Arch Linux, https://wiki.archlinux.org/index.php/security, erfolgt umso mehr auf eigene Gefahr:
hidepid
"Warnung: Für bestimmte Anwendungen wie Sandbox und auf Xorg können Probleme enstehen. Für unbound empfehlen wir bei daher unbound (rosa2014.1, rosa2016.1) und nicht el6.
. Der Kernel ermöglicht das Verstecken von Benutzer-Prozessen, auf die normalerweise Zugriff via /proc besteht, von unpriviligierten Benutzern, indem das (lokale) proc-Dateisystem mit hidepid und gid eingebunden (gemountet) wird.
Dadurch wird die Informationsammlung über laufende Prozesse für Eindringlinge, ob einige Daemonen mit besonderen Privilegien laufen, ob für Benutzer oder andere Benutzer sensitive Programme laufen und ob sie überhaupt Programme laufen lassen, verhindert. Weiterer Bonus: Programme sind nun geschützt vor sogenannten "lokalen Eavesdroppers."
Die vom Paket fürs Dateisystem beinhaltete proc-Gruppe verhält sich wie eine Whitelist mit authorisierten Benutzern, mit der Fähigkeit, aus anderen Benutzerprofzessen Informationen zu beziehen und zu lernen. . Sollten Benutzer oder Dienste Zugriff auf /proc/>pid<-Verzeichnisse benötigen, füge sie zur Gruppe gid hinzu:
Bespiel: Verberge Prozess-Information für alle Benutzer außer Benutzer der Gruppe proc:

/etc/fstab (denken Sie vor einer Änderung immer an die Sicherung!):
proc /proc proc nosuid,nodev,noexec,hidepid=2,gid=proc 0 0 "

OKEine weitere Vorbereitung unserer Sicherheitsmaßnahmen erfolgt nun anhand debian.org, https://www.debian.org/doc/manuals/securing-debian-howto/ch1.de.html bis https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html. Uns erscheint im Kommenden davon nur ein Gro&szlgi;teil sinnvoll.

OKVerwaltung der Dienste: systemd ab Jahr 2013 oder chkconfig (bzw. ntsysv)
Insbesonders die mit jedem Bootvorgang zu startende /etc/rc.local muss noch hinzugefügt werden, gleiches gilt für ip6tables neben iptables. Zu diesem Zweck ist in /etc/init.d rc.local zu erstellen (ggfls. irgendeinen vorgebenen Daemon wie beispielsweise linfw3 aus /etc/init.d kopieren und entsprechend abändern). Unter start() ist lediglich "sh /etc/init.d/rc.local" einzutragen, unbenötigte Variablen und stop() und restart() für rc.local auszutragen und ggfls. die chkconfig-Konfiurationsnummer oben im einkommentierten Kommentar auf eine beliebige andere hin zu ändern.
Nun wird der Dienst vorsichtshalber registriert: "chkconfig --add rc.local".
Generell werden u.v.a. bei mdv und el6 so alle (zu aktivierenden) Dienste in MMC ->, Systemdienste sichtbar aufgelistet.
Nun kann man entweder die Haken in Systemdienste von MMC zur Aktivierung setzen oder die Runlevel für den jeweiligen Dienst von 0 bis 6 mittels chkconfig manuell setzen, i.a. 0-AUS 1-AUS 2-AUS 3-EIN 4-EIN 5-EIN 6-AUS.
Dienste kann man auch manuell starten: start (start), neustart (restart) und stop (stop), bei mdv und el6 und vielen anderen Distributionen mittels Kommando wie folgendem:
"sh /etc/init.d/linfw3 start".

Datenbankserver Dämon (Runlevel-Init-Script) mysqld (el6.remi): wie rc.local oben, aber vor dem Start in /etc/my.cnf die Bind-Addresse einkommentieren.
Reverse-Proxy nginx (el6): wie rc.local oben, vorher "cp -axf /usr/lib/perl5/strict.pm /usr/local/share/perl5" und "cp -axf /usr/lib/perl5/warnings* /usr/local/share/perl5/" kopieren.
Apache-Webservers httpd (el6): wie oben aber ggfls. Module konfiguriren, alte Apache-Module entfernen.
Druckerservers: cups (pclos)
LAN-Servers bzw. - Clients: samba-... (el6) nicht erforderlich für herkömmliche Einzelplatzrechner am DSL-Router
...
Vorher gilt es natürlich, die Konfigurationen der jeweiligen Server unter /etc in den zugehörigen Konfigurationsdateien vorzunehmen.

Auf den genauen Inhalt von /etc/rc.local (und eines weiteren Skripts in /usr/sbin/ voller ACL-Zugriffsrechte mit jedem Booten) kommen wir bald noch zu sprechen.

OKdbus (messagebus): Sicherung der service-Dateien
Der dbus vieler Versionen treibt ab und zu sein Unwesen, indem er gelegentlich einzelne service-Dateien aus /usr/share/dbus-1/services und /usr/share/dbus-1/system-services einfach löscht.
Daher sollten alle service-Dateien in einem Sicherungs-Verzeichnis gesichert werden.

Tausche aus: "Exec=kded" mit "Exec=kded4"
nano /usr/share/dbus-1/services/org.kde.kded.service
[D-BUS Service]
Name=org.kde.kded
Exec=/usr/bin/kded4

OKSetzen Sie ein Passwort im BIOS und Passwö,rter im Bootmanager (grub: Datei /boot/grub/menu.lst)
Bevor Sie irgendein Betriebssystem auf Ihrem Computer installieren, setzen Sie ein Passwort im BIOS. Nach der Installation (sobald Sie von der Festplatte booten können) sollten Sie zurück ins BIOS gehen und die Boot-Reihenfolge ändern, so dass Sie nicht von Diskette, CD-ROM oder sonstigen Geräten booten können, von denen dies nicht gehen sollte. Andernfalls benötigt ein Cracker nur physischen Zugang und eine Bootdiskette, um Zugriff auf Ihr ganzes System zu bekommen.
Es ist noch besser, wenn das System beim Booten immer ein Passwort verlangt. Dies kann sehr effektiv sein, wenn Sie einen Server laufen lassen, der selten neu gestartet wird. Der Nachteil dieser Vorgehensweise ist, dass das Neustarten einen menschlichen Eingriff benötigt, was zu Problemen führen kann, wenn das System nicht leicht zugänglich ist.
Hinweis: Viele BIOS-Varianten haben bekannte Master-Passwörter und es gibt sogar Programme, um Passwörter aus dem BIOS wieder auszulesen. Folglich können Sie sich nicht auf diese Maßnahme verlassen, um den Zugriff auf das System zu beschränken. Setze

- Supervisor Password
- User Access Level von Full Access, View Only oder Limited auf No Access - verhindert den Benutzerzugriff auf die BIOS-Setup-Utility, so dass keine Änderungen mehr an den Einstellungen vorgenommen werden können. Das BIOS ist nun geschützt.
- User Password
- Password Check von (BIOS-)Setup auf Always (immer)

Boot-process: If the message "Can not stat ( a named ) initscript" occurs during system boot, delete this initscript through all six runlevel and in directory init.d by
rm -df /etc/rc0.d/initscript-name
rm -df /etc/rc1.d/initscript-name
...
rm -df /etc/rc6.d/initscript-name
rm -df /etc/init.d/initscript-name

OKKernel-Module ein- bzw. ausbinden
Eine Auflistung aller Module unter Angabe ihrer Beziehungen erhält man mit dem Terminal-Befehl lsmod.
Um den Rechner einmal mehr mausklick-schnell zu halten, sind alle nicht benötigten Module aus /etc/rc.modules auszutragen, während ihre Einbindung am Schluss der Datei mit &quto;modprobe Modulname" erfolgt.
Unserer Beispiel-Hardware siehe unter Datenblatt nach sind also die Kontroll-Module it87 und i2c-dev auszutragen und der im Schlussteil des Exkurses angesprochene Dienst lm_sensors zu deaktivieren.

OKGehen Sie nicht ins Internet, bevor Sie nicht bereit sind
Während der Installation sollten Sie das System nicht sofort mit dem Internet verbinden. Dies hört sich vielleicht komisch an, aber die Installation über das Netzwerk ist eine gängige Methode. Da das System einige Dienste installiert und diese sofort aktiviert werden, könnten Sie Ihr System für Angriffe öffnen, wenn das System mit dem Internet verbunden ist und die Dienste nicht geeignet konfiguriert sind.

OKLassen Sie so wenige Dienste wie möglich laufen
Dienste sind Programme wie FTP- und Web-Server. Da sie auf eingehende Verbindungsanfragen, die den Dienst anfordern, warten müssen, können sich externe Computer mit Ihrem Computer verbinden. Dienste sind manchmal verwundbar (das heißt, durch einen bestimmten Angriff kompromittierbar) und stellen dadurch ein Sicherheitsrisiko dar.

OKEin Passwort für LILO oder GRUB einstellen
Jeder kann sehr einfach eine Root-Shell auf Ihrem System bekommen, indem er einfach <Name-Ihres-Bootimages> init=/bin/sh am Bootprompt eingibt. Nachdem die Passwörter geändert und das System neu gestartet wurde, hat die Person uneingeschränkten Root-Zugang und kann nach Belieben alles auf Ihrem System machen. Nach dieser Prozedur haben Sie keinen Root-Zugang mehr zu Ihrem System, weil Sie das Root-Passwort nicht kennen.

OKumask (siehe man umask): Empfohlene Werte:
/etc/fstab: Option umask 077 u.a. für root- und home-Partition
~/.bashrc: umask 077 # für alle Benutzer
~/.bashrc-profile: umask 077 # für alle Benutzer
/etc/profile: umask 022 # um den Benutzern Lese- und Schreibzugriff zu gewähren

OKEntfernen des Root-Prompts aus dem Kernel
Hinweis: Dies trifft nicht auf Kernel zu, die in Debian 3.1 enthalten sind, da die Wartezeit auf Null verändert wurde.
Linux 2.4-Kernel bieten kurz nach dem Laden des Cramfs einen Weg, Zugriff auf eine Root-Shell zu bekommen, also während das System bootet. Es erscheint eine Meldung, die dem Administrator erlaubt, eine ausführbare Shell mit Root-Privilegien zu öffnen. Diese Shell kann dazu benutzt werden, manuell Module zu laden, falls die automatische Erkennung fehlschlägt. Dies ist das Standard-Verhalten bei initrds linuxrc. Die folgende Meldung wird erscheinen. Da wir FSE einsetzen, empfiehlt sich die Entfernung von rd.shell aus den Bootoptionen von grub /boot/menu/grub, analog grub2.

OKEinschränkung des System-Neustarts von der Konsole aus
Wenn eine Tastatur an Ihr System angeschlossen ist, kann es jeder (ja, wirklich jeder) mit physischem Zugang zu Ihrem System neu starten, ohne sich an Ihrem System anmelden zu müssen, einfach indem er die Tastenkombination Strg+Alt+Entf drückt (auch als Affengriff bekannt). Dies könnte gegen Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht).
Dies ist schwerwiegender, wenn das Betriebssystem in einer virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch auf Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch über das Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer solchen Umgebung diese Tastenkombination ständig verwendet wird (um in einigen grafischen Benutzeroberflächen eine Login-Shell zu öffnen), so dass ein Systemadministrator sie virtuell auslösen kann und das System neu startet.
Es gibt zwei Möglichkeiten, dies einzuschränken:
mit einer Konfiguration, mit der nur bestimmte Benutzer das System neu starten dürfen,
diese Eigenschaft vollständig zu deaktivieren.
Wenn Sie dies einschränken wollen, müssen Sie in /etc/inittab sicherstellen, dass die Zeile, die ctrlaltdel enthält, shutdown mit der Option -a aufruft.
Standardmäßig enthält Debian diese Optionen:

ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

OKFertigen Sie vor Änderungen in Konfigurationsdateien immer eine Sicherung an!
The -a switch, as the shutdown(8) manpage describes, makes it possible to allow some users to shutdown the system. For this the file /etc/shutdown.allow must be created and the administrator has to include there the name of users which can boot the system. When the three finger salute combination is pressed in a console the program will check if any of the users listed in the file are logged in. If none of them is, shutdown will not reboot the system.
OKWenn Sie die Tastenkombination Strg+Alt+Entf deaktivieren möchten, müssen Sie nur die Zeile mit ctrlaltdel in /etc/inittab auskommentieren.
Vergessen Sie nicht, init q auszuführen, nachdem Sie diese Datei bearbeitet haben, damit die änderungen wirksam werden.

OKEinschränkung der Tastenkombination "Magische S-Abf"
Die Tastenkombination Magische S-Abf (Magic SysRq) erlaubt es Benutzern einer Konsole eines Linux-Systems, bestimmte systemnahe Befehle auszuführen, indem gleichzeitig Alt+S-Abf und eine bestimmte Taste gedrückt wird. Die Taste S-Abf wird auf vielen Tastaturen mit Druck bezeichnet.
Seit der Veröffentlichung von Etch ist die Tastenkombination Magische S-Abf im Linux-Kernel aktiviert, damit die Benutzer einer Konsole bestimmte Privilegien erhalten können. Ob dies auf Ihr System zutrifft, erkennen Sie daran, ob /proc/sys/kernel/sysrq existiert, und an dessen Wert.
Sie sollten diese Fähigkeit deaktivieren, wenn der Zugang zur Konsole nicht auf angemeldete Benutzer beschränkt ist, nämlich wenn die Konsole an ein Modem angebunden ist, es leichten physischen Zugang zum System gibt oder es in einer virtuellen Umgebung läuft und andere Benutzer auf die Konsole zugreifen können. Dafür müssen Sie /etc/sysctl.conf bearbeiten und folgende Zeile einfügen:

# Schaltet die Magische S-Abf-Taste ab
kernel.sysrq = 0

OKWeitere Einstellungsmöglichkeiten mit PAM: Den Benutzerzugang absichern: Benutzerauthentifizierung: PAM
PAM (Pluggable Authentication Modules) erlaubt Systemadministratoren, auszuwählen, wie Anwendungen Benutzer authentifizieren. Beachten Sie, dass PAM nichts machen kann, solange die Anwendung nicht mit Unterstützung für PAM kompiliert wurde. Die meisten Anwendungen, die mit Debian geliefert werden, haben diese Unterstützung eingebaut. Vor Version 2.2 hatte Debian keine Unterstützung für PAM. Die derzeitige Standardkonfiguration für jeden Dienst, der PAM benutzt, ist es, UNIX-Authentifizierung zu emulieren (lesen Sie /usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz, um mehr darüber zu erfahren, wie PAM-Dienste unter Debian arbeiten sollten).
Jede Anwendung mit PAM-Unterstützung stellt eine Konfigurationsdatei unter /etc/pam.d/ zur Verfügung, in welcher Sie ihr Verhalten einstellen können:
- welches Verfahren zur Authentifizierung benutzt wird
- welches Verfahren innerhalb einer Sitzung benutzt wird
- wie Passwörter überprüft werden
Die folgende Beschreibung ist weit davon entfernt, vollständig zu sein. Für weitere Informationen können Sie die Linux-PAM Guides lesen. Diese Dokumentation ist auf Ihrem System unter /usr/share/doc/libpam-doc/html/ verfügbar, wenn Sie libpam-doc installieren.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html, Kapitel 4.11

OKAktionen bei der Benutzeranmeldung: Bearbeiten von /etc/login.defs (vorher sichern!)
Der nächste Schritt ist es, die grundlegende Konfiguration und die Aktionen bei der Benutzeranmeldung zu bearbeiten. Beachten Sie, dass diese Datei kein Bestandteil der PAM-Konfiguration ist. Sie ist eine Konfigurationsdatei, die von den Programmen Login und Su berücksichtigt wird. Es ist also wenig sinnvoll, sie auf Fälle abzustimmen, in denen keines der beiden Programme wenigstens indirekt aufgerufen wird (Das Programm Getty, welches auf der Konsole läuft und die anfängliche Anmeldeaufforderung zu Verfügung stellt, ruft Login auf).

FAILLOG_ENAB yes

Wenn Sie diese Variable einschalten, werden fehlgeschlagene Anmeldeversuche protokolliert. Es ist wichtig, hier auf dem Laufendem zu bleiben, um jemanden zu ermitteln, der einen Brute-Force-Angriff versucht.

LOG_UNKFAIL_ENAB no

Wenn Sie diese Variable auf "yes"; setzen, werden unbekannte Benutzernamen protokolliert, wenn eine Anmeldung scheitert. Es ist zu empfehlen, sie auf "no" (den Standard) zu belassen, da anderenfalls das Passwort eines Benutzers aufgezeichnet werden könnte (falls er nämlich versehentlich anstatt seines Benutzernames sein Passwort eingibt). Falls Sie sie dennoch auf "yes" setzen, müssen Sie sicherstellen, dass die Protokolldateien angemessene Zugriffsrechte haben (zum Beispiel 640, mit einer passenden Gruppenzugehörigkeit wie adm).

SYSLOG_SU_ENAB yes

Dies schaltet das Mitprotokollieren von su-Versuchen im Syslog ein. Sehr wichtig auf ernsthaft betriebenen Maschinen, aber beachten Sie, dass dies auch die Privatsphäre verletzen kann.

SYSLOG_SG_ENAB yes

Das gleiche wie bei SYSLOG_SU_ENAB, aber für das Programm Sg.

ENCRYPT_METHOD SHA512

Wie bereits erklärt, reduziert eine Verschlüsselung von Passwörtern die Gefahr von Wörterbuchangriffen erheblich, da Sie längere Passwörter benutzen können. Diese Definition muss mit dem Wert in /etc/pam.d/common-password übereinstimmen.

OKAktionen bei der Benutzeranmeldung: /etc/pam.d/login bearbeiten (vorher sichern!)
Sie können die Datei zur Konfiguration des Anmeldevorgangs anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich zur Standardkonfiguration erhöhen. Diese Standardvorgabe setzt eine Wartezeit von drei Sekunden:

auth optional pam_faildelay.so delay=3000000

Wenn Sie den Wert von delay erhöhen, wird es schwieriger, sich durch bloßes Ausprobieren von Passwörtern (brute force) erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort eingegeben wird, muss ein möglicher Angreifer (oder ein normaler Benutzer!) viele Sekunden warten, bis er wieder eine Eingabeaufforderung erhält, wodurch das Durchprobieren von Passwörtern sehr zeitaufwendig werden kann. So müssen etwa Benutzer bei delay=10000000 zehn Sekunden warten, wenn sie das falsche Passwort eingeben.

In dieser Datei können Sie auch einrichten, dass das System dem Benutzer vor einer Anmeldung eine Nachricht anzeigt. Standardmäßig ist dies deaktiviert, wie Sie hier sehen können:

# auth required pam_issue.so issue=/etc/issue

Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit dieser Datei eine Standardnachricht, dass der Zugang zum System beschränkt und der Benutzerzugang protokolliert wird, anzeigen lassen. Ein solcher Hinweis kann in bestimmten Regionen und nach der jeweiligen Rechtsprechung notwendig sein. Um dies zu aktivieren, müssen Sie nur die entsprechende Mitteilung in die Datei /etc/issue [30] eintragen und das Kommentarzeichen in der Zeile in /etc/pam.d/login entfernen, um das Modul pam_issue.so zu aktivieren. In dieser Datei können Sie weitere Einstellungen vornehmen, die für Ihre Sicherheit relevant sein könnten, wie zum Beispiel:

Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das System zugreifen kann, indem Sie das Modul pam_time.so aktivieren und /etc/security/time.conf entsprechend konfigurieren (standardmäßig deaktiviert),

den Anmeldevorgang so einrichten, dass Benutzerbegrenzungen, die in /etc/security/limits.conf definiert sind, verwendet werden (standardmäßig aktiviert),

dem Benutzer Informationen über die vorangegangene Anmeldung anzeigen (standardmäßig aktiviert),

nach erfolgter Anmeldung den Benutzern eine Nachricht (/etc/motd und /run/motd.dynamic) anzeigen (standardmäßig aktiviert).

OKFtp einschränken: bearbeiten von /etc/ftpusers
Die Datei /etc/ftpusers enthält eine Liste von allen Benutzern, denen es nicht erlaubt ist, sich auf dem Rechner mit Ftp einzuloggen. Benutzen Sie diese Datei nur, wenn Sie wirklich Ftp erlauben wollen (wozu im Allgemeinen nicht geraten wird, da es Klartext-Passwörter benutzt). Wenn Ihr Ftp-Daemon PAM unterstützt, können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu erlauben oder zu verbieten.

FIXME (FEHLER): Ist es ein Fehler, dass ftpusers in Debian standardmäßig nicht die Benutzer mit Administratorenrecht (in base-passwd) beinhaltet?

Folgender Befehl ist ein bequemer Weg, alle Systemkonten zu /etc/ftpusers hinzuzufügen:

DOLLARSIGN awk -F : ´{if (DOLLARSIGN3<1000) print DOLLARSIGN1}´ /etc/passwd > /etc/ftpusers

OK/etc/security/access.conf (System mausklickschnell; Datei vorher sichern!):
Wie in /etc/security/access.conf bereits in einkommentierter Form angegeben, nun übertragen auf root und einzelne Systembenutzer und lokale Benutzer:

# User "root" should be denied to get access from all other sources.
- : root : ALL
- : user : ALL
- : surfuser : ALL
- : toruser : ALL
- : surfuser: ALL
- : wheel:ALL EXCEPT LOCAL
- : toruser : ALL
- : lp : ALL # not for printer server
- : user : ALL
- : toruser : ALL
- : uuidd : ALL
- . messagebus: ALL
- : ftp : ALL
- : mail : ALL
- : pop3ad : ALL
- : bin : ALL
- : daemon : ALL
- : adm : ALL
- : sync : ALL
- : halt : ALL
- : news : ALL
# Gehe so für möglicherweise alle Benutzer vor, um sie vor Zugriff von außen zu schützen.
: ALL : ALL

OKVerhindere unbenötigte SUID- und SGID-Binärdateien
Alle Dateien mit gesetzten SUID/SGID-Bits können missbraucht werden, wenn die unter SUID/SGID ausführbare Datei ein Sicherheitsproblem oder Bug hat. Alle lokalen Benutzer und Benutzer mit Fernzugriff können diese Dateien missbrauchen. Finde solche Dateien heraus, indem das Kommando find angewandt wird wie folgt:
# Suche alle SUID-Dateien:
find / -perm +4000
# Suche alle SGID-Dateien
find / -perm +2000
# Oder kombiniere die Suche in einem einzigen Kommando:
find / ( -perm -4000 -o -perm -2000 ) -print
find / -path -prune -o -type f -perm +6000 -ls

Ananlysiere die dabei entstehenden Dateien.
https://www.cyberciti.biz/tips/linux-security.html

OKSetzen der Syncookies
Diese Option ist ein zweischneidiges Schwert. Auf der einen Seite schützt es Ihr System vor dem Überfluten mit syn-Paketen. Auf der anderen Seite verletzt es definierte Standards (RFCs).

net/ipv4/tcp_syncookies = 1

Wenn Sie das dauerhaft für den Kernel festlegen wollen, müssen Sie in /etc/network/options syncookies=yes festlegen (Debian). Jedes Mal, wenn /etc/init.d/networking ausgeführt wird (was typischerweise beim Booten geschieht), wird diese Option wirksam. Dagegen wird folgendes nur eine einmalige Wirkung bis zum nächsten Neustart haben:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies (Aufruf z.B. über /etc/rc.local)

oder setze dieses und andere Parameter zur Netz-Schnittstellenabsicherung in /etc/sysctl.conf:
net.ipv4.tcp_syncookies = 1

OKLösung des Problems der Weak-End-Hosts
Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken können Dienste so eingerichtet werden, dass sie Verbindungen nur zu einer bestimmten IP-Adresse zulassen. Normalerweise verhindert das den Zugang zu diesen Diensten, wenn an sie Anfragen über andere Adressen gestellt werden. Allerdings bedeutet das nicht, dass der Dienst an eine bestimmte Hardware-Adresse (Netzwerkkarte) gebunden ist (ein verbreiteter Irrtum).
Das ist kein Problem von ARP und auch keine Verletzung eines RFCs (es wird in RFC1122, Abschnitt 3.3.4.2 als weak end host bezeichnet). Vergessen Sie nicht, dass IP-Adressen nichts mit dem physischen Schnittstellen zu tun haben.
Im Kernel 2.2 (und davor) konnte dieses Problem so gelöst werden:

echo 1 > /proc/sys/net/ipv4/conf/all/hidden
echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden
echo 1 > /proc/sys/net/ipv4/conf/eth1/hidden
.....

Bei späteren Kernel kann das folgendermaßen gelöst werden:
Regeln für iptables
richtig konfiguriertes Routing oder
Patchen des Kernels

Along this text there will be many occasions, in which it is shown, how to configure some services (sshd server, apache, printer service...) in order to have them listening on any given address, the reader should take into account that, without the fixes given here, the fix would not prevent accesses from within the same (local) network.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKSchutz vor ARP-Angriffen
Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen.
Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe RFC826). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ...
Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison.
Allerdings gibt es immer eine Lösung:

Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie "statische" Einträge in Ihrem ARP-Speicher:

arp -s host_name hdwr_addr

Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert.
Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu arpwatch, karpski oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie snort oder prelude, einsetzen.
Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html
OKDie Nutzung von Tcpwrappers
TCP wrappers were developed when there were no real packet filters available and access control was needed. Nevertheless, they're still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at hosts_access.
Viele der unter Debian installierten Dienstewerden entweder durch den TCP-Wrapper Service (tcpd) aufgerufen oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert.
Einerseits werden Sie bei manchen Diensten (einschließlich telnet, ftp, netbios, swat und finger), die in /etc/inetd.conf konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst /usr/sbin/tcpd aufruft. Andererseits, selbst wenn ein Dienst nicht über den inetd-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind ssh, portmap, in.talk, rpc.statd, rpc.mountd, gdm, oaf (der GNOME-Aktivierungs-Daemon), nessus und viele andere.

Um herauszufinden, welche Pakete TCP-Wrapper benutzen[37], geben Sie Folgendes ein:

DOLLARSIGN apt-cache rdepends libwrap0

Beachten Sie bitte Folgendes, wenn Sie tcpchk (ein sehr nützliches Programm zur Überprüfung der TCP-Wrapper-Konfiguration und -Syntax) laufen lassen. Wenn Sie Stand-Alone-Dienste (alleinstehende Dienste, also solche, die direkt mit der Wrapper-Bibliothek verbunden sind) der host.deny- oder host.allow-Datei hinzufügen, wird tcpchk Sie warnen, dass er sie nicht finden kann, da er sie nur in /etc/inetd.conf sucht (die Handbuchseite ist an dieser Stelle nicht sehr genau).

Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Eindringlingen: Im Allgemeinen sollten Sie eine anständige Firewall als erste und TCP-Wrapper als zweite Verteidigungslinie haben. Der Trick besteht nun darin, ein SPAWN-Kommando [38] in /etc/hosts.deny einzutragen, das immer dann eine Mail an Root schickt, wenn ein Dienst abgewiesen wurde:

ALL: ALL: SPAWN (
echo -e "n
TCP Wrappers: Verbindungsaufbau abgelehntn
Von: DOLLARSIGN(uname -n)n
Prozess: %d (pid %p)n
Benutzer: %un
Host: %cn
Datum: DOLLARSIGN(date)n
" | /usr/bin/mail -s "Verbindung zu %d blockiert" root) &

Achtung: Das obige Beispiel kann sehr leicht zu DoS (Denial of Service, Verbindungsaufbau abgelehnt) führen, indem man versucht, sehr viele Verbindungen in kurzer Zeit aufzubauen. Viele E-Mails bedeuten viel Dateiaktivität, die lediglich durch das Senden von ein paar Paketen erreicht wird. ppers were developed when there were no real packet filters available and access control was needed. Nevertheless, they're still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at hosts_access. Viele der unter Debian installierten Dienste werden entweder durch den TCP-Wrapper Service (tcpd) aufgerufen,
oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert.
Einerseits werden Sie bei manchen Diensten (einschließlich telnet, ftp, netbios, swat und finger), die in /etc/inetd.conf konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst /usr/sbin/tcpd aufruft. Andererseits, selbst wenn ein Dienst nicht über den inetd-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind ssh, portmap, in.talk, rpc.statd, rpc.mountd, gdm, oaf (der GNOME-Aktivierungs-Daemon), nessus und viele andere.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKAbsichern von FTP
Wenn Sie wirklich FTP benutzen müssen (ohne ihn mit sslwrap zu umhüllen oder innerhalb eines SSL- oder SSH-Tunnels), sollten Sie ftp in das Home-Verzeichnis der FTP-Benutzer mit chroot einsperren, so dass diese nichts anderes sehen können als ihr eigenes Verzeichnis. Andernfalls können sie die Wurzel Ihres Dateisystems durchforsten, als hätten sie Shell-Zugriff darauf. Sie können die folgende Zeile in Ihre proftpd.conf-Datei im globalen Abschnitt hinzufügen, um die chroot-Fähigkeiten zu nutzen:

DefaultRoot ~ # gftp: /usr/share/gftp/gftprc local_startup_directory=~ resp. local_startup_directory=/tmp2

Starten Sie ProFTPd neu, indem Sie /etc/init.d/proftpd restart eingeben, und prüfen Sie, ob Sie noch aus Ihrem Home-Verzeichnis heraus kommen können.
Um ProFTPd-DoS-Angriffe durch ../../../ zu verhindern, fügen Sie die folgende Zeile Ihrer /etc/proftpd.conf hinzu: DenyFilter *.*/
Vergessen Sie nicht, dass FTP Login- und Authentifizierungs-Passwort als Klartext sendet (dies ist kein Problem, wenn Sie einen anonymen, öffentlichen Dienst anbieten) und es gibt bessere Alternativen in Debian hierzu. Zum Beispiel sftp (aus dem Paket ssh). Es gibt auch freie Implementierungen von SSH für andere Betriebssysteme, zum Beispiel putty oder cygwin.
Wenn Sie dennoch einen FTP-Server verwalten, während Sie den Benutzern Zugriff via SSH gewähren, könnten Sie auf ein typisches Problem stoßen. Benutzer, die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP-Server zugreifen wollen, können versuchen, sich auf dem FTP-Server einzuloggen. Während der Zugriff verweigert werden wird, wird das Passwort trotzdem als Klartext über das Netz gesendet. Um dies zu verhindern, hat der ProFTPd-Entwickler TJ Saunders einen Patch erstellt, der verhindert, dass Benutzer den anonymen FTP-Server mit gültigen SSH-Zugangsdaten füttern. Mehr Informationen und den Patch finden Sie unter: ProFTPD Patches. Dieser Patch wurde auch an Debian gesandt, vergleiche Fehler #145669.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKAbsichern von Squid
Squid ist einer der verbreitetsten Proxy/Cache-Server und es gibt ein paar Sicherheitsaspekte, die Sie beachten sollten. Squids Standard-Konfiguration lehnt alle Anfragen von Benutzern ab. Dennoch erlaubt das Debian-Paket Zugriff von "localhost", Sie müssen nur Ihren Browser richtig konfigurieren. Sie sollten Squid so konfigurieren, dass er Zugriffe von vertrauenswürdigen Benutzern, Computern oder Netzwerken erlaubt, indem Sie eine Zugriffs-Kontroll-Liste (ACL, Access Control List) in /etc/squid/squid.conf definieren. Mehr Informationen, wie Sie ACLs definieren, finden Sie im Squid User's Guide. Ein gute deutsche Dokumentation ist das Squid-Handbuch. Beachten Sie, dass Debian eine minimale Konfiguration für Squid bereitstellt, die alles verhindert, mit der Ausnahme, dass localhost sich mit Ihrem Proxy-Server (der standardmäßig mit dem Port 3128 läuft) verbinden kann. Sie müssen Ihre /etc/squid/squid.conf-Datei wie gewünscht anpassen. Die empfohlene minimale Konfiguration (mit dem Paket vertrieben) sieht wie folgt aus:

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
(...)
# Erlaube nur cachemgr Zugriff von localhost
http_access allow manager localhost
http_access deny manager
# Erlaube nur purge Anfragen von localhost
http_access allow purge localhost
http_access deny purge
# Verbiete Anfragen zu unbekannten Ports
http_access deny !Safe_ports
# Verbiete CONNECT zu anderen als SSL-Ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
#Default:
# icp_access deny all
#
#Allow ICP queries from everyone icp_access allow all

Sie sollten Squid auch entsprechend Ihren System-Ressourcen konfigurieren einschließlich des Cache-Speichers (Option cache_mem), der Lage der zwischengespeicherten Dateien und der verwendeten Speichermenge auf der Platte (Option cache_dir).
Beachten Sie, dass es bei ungeeigneter Konfiguration vorkommen kann, dass jemand eine Mail über Squid weiterleitet, da die Protokolle HTTP und SMTP ein ähnliches Design haben. Squids Standardkonfiguration verweigert Zugriffe auf Port 25. Wenn Sie Verbindungen an Port 25 erlauben wollen, fügen Sie ihn einfach zu der Safe_ports-Liste hinzu. Dies ist aber NICHT empfohlen.
Passendes Aufsetzen und Konfigurieren des Proxy/Cache-Servers ist nur ein Teil der Absicherung Ihrer Site. Eine andere notwendige Aufgabe ist es, Squids Log-Dateien zu analysieren, um sicher zu gehen, dass alles so arbeitet, wie es soll. Es gibt ein paar Pakete in Debian GNU/Linux, die einem Administrator hierbei helfen können. Die folgenden Pakete sind in Debian 3.0 (Woody) und Debian 3.1 (Sarge) verfügbar:

calamaris - Log-Datei-Analysator für Squid- oder Oops-Proxy-Log-Dateien

modlogan - ein modularer Log-Datei-Analysator

sarg - Squid Analysis Report Generator

squidtaild - Squid-Log-Beobachtungsprogramm

Wenn Squid im "Accelerator Mode" betrieben wird, agiert er auch als Web-Server. Aktivieren dieser Option erhöht die Komplexität des Codes, was ihn weniger vertrauenswürdig macht. Standardmäßig ist Squid nicht dazu konfiguriert, als Web-Server zu arbeiten, Sie müssen sich darüber also keine Gedanken machen. Sie sollen sicher sein, dass es wirklich nötig ist, wenn Sie diese Eigenschaft nutzen wollen. Weitere Informationen über den "Accelerator Mode" in Squid finden Sie im Squid User´s Guide - Accelerator Mode.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKSafeguard against RPC-services
Deactivate RPC (or deinstall them), if unneeded.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKAbsichern des Druckerzugriffs (die lpd- und lprng-Problematik)
Stellen Sie sich vor, Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus, weil jemand eine DoS-Attacke gegen Ihren Drucker-Daemon durchführt. Unangenehm, oder?
In jeder UNIX-Druck-Architektur muss es einen Weg geben, um die Daten des Clients zu dem Druck-Server zu schicken. Traditionell machen dies lpr und lp so, dass das Client-Kommando die Daten in das Spool-Verzeichnis kopiert oder symbolisch verlinkt (weshalb diese Programme normalerweise SUID oder SGID sind).
Um jede Gefahr zu vermeiden, sollen Sie Ihren Druck-Server besonders sicher halten. Dies heißt, dass Sie Ihren Druckdienst so konfigurieren müssen, dass er nur Aufträge von vertrauenswürdigen Rechnern annimmt. Hierzu müssen Sie die Rechner, von denen Sie Druckaufträge entgegennehmen möchten, in die Datei /etc/hosts.lpd eintragen.
Allerdings akzeptiert der lpr-Daemon auch, wenn Sie dies getan haben, Verbindungen auf Port 515 auf jeder Schnittstelle. Sie sollten sich überlegen, ob Sie Verbindungen von Netzwerken/Rechnern, die nicht drucken dürfen, mittels Firewall blocken wollen (der lpr-Daemon kann nicht so konfiguriert werden, dass er nur auf eine bestimmte IP-Adresse lauscht).
Sie sollten Lprng gegenüber lpr vorziehen, da er so konfiguriert werden kann, dass er Zugangskontrolle über IP beherrscht. Und Sie können spezifizieren, auf welche Schnittstelle er sich binden soll (wenn auch etwas sonderbar).
Wenn Sie Ihren Drucker nur lokal auf Ihrem System benutzen, werden Sie diesen Dienst nicht über ein Netzwerk anbieten wollen. Sie sollten dann überlegen, ein anderes Druck-System, wie zum Beispiel das aus dem Paket cups oder PDQ, das auf den Zugriffsrechten des Gerätes /dev/lp0 beruht, einzusetzen.
Bei cups werden die Druckaufträge mit dem HTTP-Protokoll zum Server übertragen. Dadurch muss der Client nicht über spezielle Privilegien verfügen, aber dies erfordert, dass der Server auf irgendeinem Port lauscht.
Wenn Sie cups jedoch nur lokal benutzen möchten, können Sie ihn so konfigurieren, dass er nur auf der Loopback-Schnittstelle lauscht, indem Sie Folgendes in Ihrer /etc/cups/cupsd.conf ändern:

Listen 127.0.0.1:631 # ... funktioniert möglicherweise nicht, verwende stattdessen: "Port 631" und "Listen /var/run/cups/cups.sock".

Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei, wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern. Wenn Sie sie allerdings nicht benötigen, belassen Sie es am besten dabei, einfach nur den Port, auf dem gelauscht wird, einzuschränken. Cups liefert auch Dokumentation über den HTTP-Port. Wenn Sie diese potenziell nützlichen Informationen einem Angreifer von außerhalb nicht enthüllen wollen (und der Port offen ist), fügen Sie außerdem Folgendes hinzu:

>Location /<
Order Deny,Allow
Deny From All
Allow From 127.0.0.1 # oder probiere "Allow @LOCAL"
>/Location<

Die Konfigurationsdatei kann so angepasst werden, dass zusätzliche Fähigkeiten einschließlich SSL- und TLS-Zertifikate oder Verschlüsselung möglich werden. Die Handbücher finden Sie unter http://localhost:631/ oder http://cups.org.
FIXME: Add more content (the article on Amateur Fortress Building provides some very interesting views).
FIXME: Check if PDG is available in Debian, and if so, suggest this as the preferred printing system.
FIXME: Check if Farmer/Wietse has a replacement for printer daemon and if it´s available in Debian.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKAbsichern von SSH, des Mail-Dienstes, BIND, Apache, Finger und NIS deaktivieren
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKWichtige Zugriffsrechte mit jedem Systemstart
/etc/rc.local
chmod 700 -R /etc/init.d
chmod 700 -R /etc/rc5.d
chmod 400 /etc/shadow*
chmod 400 path_to_keyfile_for_LUKS_encrypted_partitions
...


Wir führen bald viele empfohlenen Zugriffsrechte auf. Um an dieser Stelle für /etc/rc.local einen ersten Eindruck zu gewinnen.
Sie sichern nicht nur, sie machen das Arbeitstempo des Rechners auch mausklick-schnell:

chmod 700 -R /etc/init.d
chmod 400 /etc/shadow*
chmod 111 /
chmod 400 /etc/fstab* # f-spot won´t work anymore
chmod 700 /etc/crypttab*
chmod 644 /etc/mtab* # chmod 700: kdf arbeitet nicht
chmod 755 /usr # 755 needed for caffeine only, else 751
chmod 755 /etc/sysconfig
chmod 755 /etc/sysconfig/network-scripts
chmod 755 /etc/sysconfig/network
chmod 751 /bin
chmod 751 /var
chmod 751 /sbin
chmod 751 /lib64
chmod 751 /usr/lib64
# chmod 751 -R /usr/lib64/python2.6
# chmod 751 -R /usr/lib/python2.6 # shall have got the same include as /usr/lib64/python2.6
chmod 751 /usr/lib64/kde4
chmod 751 /etc
chmod 751 /etc/X11
chmod 751 /opt
chmod 751 /lib
chmod 700 /root
chmod 751 /initrd
chmod 751 /misc
chmod 700 -R /boot-save
chmod 700 /usr/bin/xterm # terminals (außder der favorisierten)
chmod 700 /usr/bin/aterm
chmod 700 /usr/bin/byobu*
chmod 700 /usr/bin/terminator*
chmod 700 /usr/bin/quadkonsole*
chmod 700 /usr/bin/lxterminal*
chmod 700 /usr/bin/yakuake*
chmod 700 /usr/bin/aterm
chmod 700 /usr/bin/multi-aterm
chmod 700 /usr/bin/tcsh*
chmod 700 /usr/bin/rxvt*
chmod 644 /etc/passwd
chmod 644 /etc/security/msec/*.secure
chmod 711 /home
chmod 700 /home/user
chmod 700 /home/surfuser
chmod 700 /home/uuidd
chmod 700 /home/toruser
chmod 700 -R /home/user/Dokumente
#
OK# from permissions (OpenSuSE, chkstat), level: secure with some changes
/ root:root 111
/root/ root:root 700
/tmp/ root:root 1777
/tmp/.X11-unix/ root:root 1777
/tmp/.ICE-unix/ root:root 1777
/dev/ root:root 755
/bin/ root:root 751
/sbin/ root:root 751
/lib/ root:root 751
/etc/ root:root 751
/home/ root:root 711
/boot/ root:root 755
/opt/ root:root 751
/usr/ root:root 755
/usr/local root:root 755
#
# /var:
#

/var/tmp/ root:root 1777
/var/log/ root:root 755
/var/spool/ root:root 755
/var/spool/mqueue/ root:root 700
/var/spool/news/ news:news 775
/var/spool/voice/ root:root 755
/var/spool/mail/ root:root 1777
/var/adm/ root:root 755
/var/adm/backup/ root:root 700
/var/cache/ root:root 755
/var/cache/man/ man:root 755
/var/run/nscd/socket root:root 666
/run/nscd/socket root:root 666
/var/run/sudo/ root:root 700
/run/sudo/ root:root 700

#
# login tracking
#
/var/log/lastlog root:root 644
/var/log/faillog root:root 600
/var/log/wtmp root:utmp 664
/var/log/btmp root:utmp 600
/var/run/utmp root:utmp 664
/run/utmp root:utmp 664

#
# some device files
#

/dev/zero root:root 666
/dev/null root:root 666
/dev/full root:root 666
/dev/ip root:root 660
/dev/initrd root:disk 660
/dev/kmem root:kmem 640

#
# /etc
#
/etc/lilo.conf root:root 600
/etc/passwd root:root 644
/etc/shadow root:shadow 400
/etc/init.d/ root:root 755
/etc/hosts root:root 644
# Changing the hosts_access(5) files causes trouble with services
# that do not run as root!
/etc/hosts.allow root:root 644
/etc/hosts.deny root:root 644
/etc/hosts.equiv root:root 644
/etc/hosts.lpd root:root 644
/etc/ld.so.conf root:root 644
/etc/ld.so.cache root:root 644

/etc/opiekeys root:root 600

/etc/ppp/ root:root 750
/etc/ppp/chap-secrets root:root 600
/etc/ppp/pap-secrets root:root 600

# sysconfig files:
/etc/sysconfig/network/providers/ root:root 700

# utempter
/usr/lib/utempter/utempter root:utmp 2755

# ensure correct permissions on ssh files to avoid sshd refusing
# logins (bnc#398250)
/etc/ssh/ssh_host_key root:root 600
/etc/ssh/ssh_host_key.pub root:root 644
/etc/ssh/ssh_host_dsa_key root:root 600
/etc/ssh/ssh_host_dsa_key.pub root:root 644 /etc/ssh/ssh_host_rsa_key root:root 600
/etc/ssh/ssh_host_rsa_key.pub root:root 644
/etc/ssh/ssh_config root:root 644
/etc/ssh/sshd_config root:root 640

#
# legacy
#
# new traceroute program by Olaf Kirch does not need setuid root any more.
/usr/sbin/traceroute root:root 755

# games:games 775 safe as long as we don't change files below it (#103186)
# still people do it (#429882) so root:root 755 is the consequence.
/var/games/ root:root 0755

# No longer common. Set setuid bit yourself if you need it
# (#66191)
#/usr/bin/ziptool root:trusted 4750

#
# udev static devices (#438039)
#
/lib/udev/devices/net/tun root:root 0666
/lib/udev/devices/null root:root 0666
/lib/udev/devices/ptmx root:tty 0666
/lib/udev/devices/tty root:tty 0666
/lib/udev/devices/zero root:root 0666

#
# named chroot (#438045)
#
/var/lib/named/dev/null root:root 0666
/var/lib/named/dev/random root:root 0666

# opiesu is not allowed setuid root as code quality is bad (bnc#882035)
/usr/bin/opiesu root:root 0755

# we no longer make rpm build dirs 1777
/usr/src/packages/SOURCES/ root:root 0755
/usr/src/packages/BUILD/ root:root 0755
/usr/src/packages/BUILDROOT/ root:root 0755
/usr/src/packages/RPMS/ root:root 0755
/usr/src/packages/RPMS/alphaev56/ root:root 0755
/usr/src/packages/RPMS/alphaev67/ root:root 0755
/usr/src/packages/RPMS/alphaev6/ root:root 0755
/usr/src/packages/RPMS/alpha/ root:root 0755
/usr/src/packages/RPMS/amd64/ root:root 0755
/usr/src/packages/RPMS/arm4l/ root:root 0755
/usr/src/packages/RPMS/armv4l/ root:root 0755
/usr/src/packages/RPMS/armv5tejl/ root:root 0755
/usr/src/packages/RPMS/armv5tejvl/ root:root 0755
/usr/src/packages/RPMS/armv5tel/ root:root 0755
/usr/src/packages/RPMS/armv5tevl/ root:root 0755
/usr/src/packages/RPMS/armv6l/ root:root 0755
/usr/src/packages/RPMS/armv6vl/ root:root 0755
/usr/src/packages/RPMS/armv7l/ root:root 0755
/usr/src/packages/RPMS/athlon/ root:root 0755
/usr/src/packages/RPMS/geode/ root:root 0755
/usr/src/packages/RPMS/hppa2.0/ root:root 0755
/usr/src/packages/RPMS/hppa/ root:root 0755
/usr/src/packages/RPMS/i386/ root:root 0755
/usr/src/packages/RPMS/i486/ root:root 0755
/usr/src/packages/RPMS/i586/ root:root 0755
/usr/src/packages/RPMS/i686/ root:root 0755
/usr/src/packages/RPMS/ia32e/ root:root 0755
/usr/src/packages/RPMS/ia64/ root:root 0755
/usr/src/packages/RPMS/mips/ root:root 0755
/usr/src/packages/RPMS/noarch/ root:root 0755
/usr/src/packages/RPMS/pentium3/ root:root 0755
/usr/src/packages/RPMS/pentium4/ root:root 0755
/usr/src/packages/RPMS/powerpc64/ root:root 0755
/usr/src/packages/RPMS/powerpc/ root:root 0755
/usr/src/packages/RPMS/ppc64/ root:root 0755
/usr/src/packages/RPMS/ppc/ root:root 0755
/usr/src/packages/RPMS/s390/ root:root 0755
/usr/src/packages/RPMS/s390x/ root:root 0755
/usr/src/packages/RPMS/sparc64/ root:root 0755
/usr/src/packages/RPMS/sparc/ root:root 0755
/usr/src/packages/RPMS/sparcv9/ root:root 0755
/usr/src/packages/RPMS/x86_64/ root:root 0755
/usr/src/packages/SPECS/ root:root 0755
/usr/src/packages/SRPMS/ root:root 0755
#
# /etc
#
/etc/crontab root:root 600
/etc/exports root:root 644
/etc/fstab root:root 400
/etc/ftpusers root:root 644
/var/lib/nfs/rmtab root:root 644
/etc/syslog.conf root:root 600
/etc/ssh/sshd_config root:root 600
# we might want to tighten that up in the future in this profile (remove the
# ability for others to read/enter)
/etc/cron.d root:root 755
/etc/cron.daily root:root 755
/etc/cron.hourly root:root 755
/etc/cron.monthly root:root 755
/etc/cron.weekly root:root 755

#
# suid system programs that need the suid bit to work:
#
/bin/su root:root 4755
# disable at and cron for users that do not belnong to the group "trusted"
/usr/bin/at root:trusted 4750
/usr/bin/crontab root:trusted 4750
/usr/bin/gpasswd root:shadow 4755
/usr/bin/newgrp root:root 4755
/usr/bin/passwd root:shadow 4755
/usr/bin/chfn root:shadow 4755
/usr/bin/chage root:shadow 2755
/usr/bin/chsh root:shadow 4755
/usr/bin/expiry root:shadow 4755
/usr/bin/sudo root:root 4755
/usr/sbin/su-wrapper root:root 0755
# opie password system
# /usr/bin/opiepasswd root:root 4755
#
/sbin/mount.nfs root:root 0755
#
#
/usr/bin/fusermount root:trusted 4750
# needs setuid root when using shadow via NIS:
#
/sbin/unix_chkpwd root:shadow 4755
/sbin/unix2_chkpwd root:shadow 4755

# squid changes
/var/cache/squid/ squid:root 0750
/var/log/squid/ squid:root 0750
/usr/sbin/pinger squid:root 0750
+capabilities cap_net_raw=ep
/usr/sbin/basic_pam_auth root:shadow 2750

# still to be converted to utempter /usr/lib/gnome-pty-helper root:utmp 2755

#
# mixed section: most of it is disabled in this permissions.secure:
#
# video
/usr/bin/v4l-conf root:video 4750

# turned off write and wall by disabling sgid tty:
/usr/bin/wall root:tty 0755
/usr/bin/write root:tty 0755
# thttpd: sgid + executeable only for group www. Useless...
/usr/bin/makeweb root:www 2750
# pcmcia:
# Needs setuid to eject cards (#100120)
/sbin/pccardctl root:trusted 4750
# gnokii nokia cellphone software
# #66209
/usr/sbin/mgnokiidev root:uucp 755
# mailman mailing list software
# #66315
/usr/lib/mailman/cgi-bin/admin root:mailman 2755
/usr/lib/mailman/cgi-bin/admindb root:mailman 2755
/usr/lib/mailman/cgi-bin/edithtml root:mailman 2755
/usr/lib/mailman/cgi-bin/listinfo root:mailman 2755
/usr/lib/mailman/cgi-bin/options root:mailman 2755
/usr/lib/mailman/cgi-bin/private root:mailman 2755
/usr/lib/mailman/cgi-bin/roster root:mailman 2755
/usr/lib/mailman/cgi-bin/subscribe root:mailman 2755
/usr/lib/mailman/cgi-bin/confirm root:mailman 2755
/usr/lib/mailman/cgi-bin/create root:mailman 2755
/usr/lib/mailman/cgi-bin/editarch root:mailman 2755
/usr/lib/mailman/cgi-bin/rmlist root:mailman 2755
/usr/lib/mailman/mail/mailman root:mailman 2755

# libgnomesu (#75823, #175616)
/usr/lib/libgnomesu/gnomesu-pam-backend root:root 4755

#
# networking (need root for the privileged socket)
#
/usr/bin/ping root:root 0755
+capabilities cap_net_raw=ep
/usr/bin/ping6 root:root 0755
+capabilities cap_net_raw=ep
# mtr is linked against ncurses. no suid bit, for root only:
/usr/sbin/mtr root:dialout 0750
/usr/bin/rcp root:root 4755
/usr/bin/rlogin root:root 4755
/usr/bin/rsh root:root 4755

# exim
/usr/sbin/exim root:root 4755

#
# dialup networking programs
#
/usr/sbin/pppoe-wrapper root:dialout 4750
# i4l package (#100750):
/sbin/isdnctrl root:dialout 4750
# #66111
/usr/bin/vboxbeep root:trusted 0755

#
# linux text console utilities
#
# setuid needed on the text console to set the terminal content on ctrl-o
# #66112
/usr/lib/mc/cons.saver root:root 0755

#
# terminal emulators
# This and future SUSE products have support for the utempter, a small helper
# program that does the utmp/wtmp update work with the necessary rights.
# The use of utempter obsoletes the need for sgid bits on terminal emulator
# binaries. We mention screen here, but all other terminal emulators have
# moved to /etc/permissions, with modes set to 0755.

# needs setuid to access /dev/console
# framebuffer terminal emulator (japanese)
/usr/bin/jfbterm root:tty 0755

#
# kde
# (all of them are disabled in permissions.secure except for
# the helper programs)
#
# needs setuid root when using shadow via NIS:
# #66218
/usr/lib/kde4/libexec/kcheckpass root:shadow 4755
/usr/lib64/kde4/libexec/kcheckpass root:shadow 4755
/usr/lib/kde4/libexec/kdesud root:nogroup 2755
/usr/lib64/kde4/libexec/kdesud root:nogroup 2755
/usr/lib/libexec/kf5/kdesud root:nogroup 2755
/usr/lib64/libexec/kf5/kdesud root:nogroup 2755

# bnc#523833
/usr/lib/kde4/libexec/start_kdeinit root:root 4755
/usr/lib64/kde4/libexec/start_kdeinit root:root 4755

#
# amanda
#
/usr/sbin/amcheck root:amanda 0750
/usr/lib/amanda/calcsize root:amanda 0750
/usr/lib/amanda/rundump root:amanda 0750
/usr/lib/amanda/planner root:amanda 0750
/usr/lib/amanda/runtar root:amanda 0750
/usr/lib/amanda/dumper root:amanda 0750
/usr/lib/amanda/killpgrp root:amanda 0750

#
# gnats
#
/usr/lib/gnats/gen-index gnats:root 4555
/usr/lib/gnats/pr-edit gnats:root 4555
/usr/lib/gnats/queue-pr gnats:root 4555


#
# news (inn)
#
# the inn start script changes it´s uid to news:news. Later innbind
# is called by this user. Those programs do not need to be called by
# anyone else, therefore the strange permissions 4554 are required
# for operation. (#67032, #594393)
#
/usr/lib/news/bin/rnews news:uucp 4550
/usr/lib/news/bin/inews news:news 2555
/usr/lib/news/bin/innbind root:news 4550

#
# sendfax
#
# restrictive, only for "trusted" group users:
/usr/lib/mgetty+sendfax/faxq-helper fax:root 4755
/var/spool/fax/outgoing/ fax:root 0755
/var/spool/fax/outgoing/locks fax:root 0755

#
# uucp
#
/var/spool/uucppublic/ root:uucp 1770
/usr/bin/uucp uucp:uucp 6555
/usr/bin/uuname uucp:uucp 6555
/usr/bin/uustat uucp:uucp 6555
/usr/bin/uux uucp:uucp 6555
/usr/lib/uucp/uucico uucp:uucp 6555
/usr/lib/uucp/uuxqt uucp:uucp 6555

# pcp (bnc#782967)
/var/lib/pcp/tmp/ root:root 0755
/var/lib/pcp/tmp/pmdabash/ root:root 0755
/var/lib/pcp/tmp/mmv/ root:root 0755
/var/lib/pcp/tmp/pmlogger/ root:root 0755
/var/lib/pcp/tmp/pmie/ root:root 0755

# PolicyKit (#295341)
/usr/lib/PolicyKit/polkit-set-default-helper polkituser:root 4755
/usr/lib/PolicyKit/polkit-read-auth-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-revoke-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-explicit-grant-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-grant-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-grant-helper-pam root:polkituser 4750

# polkit new (bnc#523377)
/usr/lib/polkit-1/polkit-agent-helper-1 root:root 4755
/usr/bin/pkexec root:root 4755

# dbus-1 (#333361)
/lib/dbus-1/dbus-daemon-launch-helper root:messagebus 4750
/lib64/dbus-1/dbus-daemon-launch-helper root:messagebus 4750
# dbus-1 in /usr #1056764)
/usr/lib/dbus-1/dbus-daemon-launch-helper root:messagebus 4750
/usr/lib64/dbus-1/dbus-daemon-launch-helper root:messagebus 4750

# policycoreutils (#440596)
/usr/bin/newrole root:root 0755

# VirtualBox (#429725)
/usr/lib/virtualbox/VirtualBox root:vboxusers 0755
# bsc#1120650
/usr/lib/virtualbox/VirtualBoxVM root:vboxusers 0750
/usr/lib/virtualbox/VBoxHeadless root:vboxusers 0755
/usr/lib/virtualbox/VBoxSDL root:vboxusers 0755
# (bnc#533550)
/usr/lib/virtualbox/VBoxNetAdpCtl root:vboxusers 0755
# bnc#669055
/usr/lib/virtualbox/VBoxNetDHCP root:vboxusers 0755
# bsc#1033425
/usr/lib/virtualbox/VBoxNetNAT root:vboxusers 0755

# open-vm-tools (bnc#474285)
/usr/bin/vmware-user-suid-wrapper root:root 0755

# lockdev (bnc#588325)
/usr/sbin/lockdev root:lock 2755

# hawk (bnc#665045)
/usr/sbin/hawk_chkpwd root:haclient 4750
/usr/sbin/hawk_invoke root:haclient 4750

# chromium (bnc#718016)
/usr/lib/chrome_sandbox root:root 4755

# ecryptfs-utils (bnc#740110)
/sbin/mount.ecryptfs_private root:root 0755

# wireshark (bsc#957624)
/usr/bin/dumpcap root:wireshark 0750
+capabilities cap_net_raw,cap_net_admin=ep

# singularity (bsc#1028304)
# these have been dropped in version 2.4 (see bsc#1111411, comment 4)
#/usr/lib/singularity/bin/expand-suid root:singularity 4750
#/usr/lib/singularity/bin/create-suid root:singularity 4750
#/usr/lib/singularity/bin/export-suid root:singularity 4750
#/usr/lib/singularity/bin/import-suid root:singularity 4750
/usr/lib/singularity/bin/action-suid root:singularity 4750
/usr/lib/singularity/bin/mount-suid root:singularity 4750
/usr/lib/singularity/bin/start-suid root:singularity 4750

/usr/bin/su root:root 4755
/usr/bin/mount root:root 4755
/usr/bin/umount root:root 4755

# cdrecord of cdrtools from Joerg Schilling (bnc#550021)
# in secure mode, no provisions are made for reliable cd burning, as admins
# will have very likely prohibited that anyway.
/usr/bin/cdrecord root:root 755
/usr/bin/readcd root:root 755
/usr/bin/cdda2wav root:root 755

# qemu-bridge-helper (bnc#765948, bsc#988279)
/usr/lib/qemu-bridge-helper root:kvm 04750

# systemd-journal (bnc#888151)
/var/log/journal/ root:systemd-journal 2755

#iouyap (bnc#904060)
/usr/lib/iouyap root:iouyap 0750

# radosgw (bsc#943471)
/usr/bin/radosgw root:www 0750
+capabilities cap_net_bind_service=ep

# gstreamer ptp (bsc#960173)
/usr/lib/gstreamer-1.0/gst-ptp-helper root:root 0755
+capabilities cap_net_bind_service=ep

#
# suexec is only secure if the document root doesn´t contain files
# writeable by wwwrun. Make sure you have a safe server setup
# before setting the setuid bit! See also
# https://bugzilla.novell.com/show_bug.cgi?id=263789
# http://httpd.apache.org/docs/trunk/suexec.html
# You need to override this in permissions.local.
# suexec2 is a symlink for now, leave as-is
#
/usr/sbin/suexec root:root 0755

# newgidmap / newuidmap (bsc#979282, bsc#1048645)
/usr/bin/newgidmap root:shadow 4755
/usr/bin/newuidmap root:shadow 4755

# kwayland (bsc#1062182)
/usr/bin/kwin_wayland root:root 0755
+capabilities cap_sys_nice=ep

# gvfs (bsc#1065864)
/usr/lib/gvfs/gvfsd-nfs root:root 0755

# icinga2 (bsc#1069410)
/run/icinga2/cmd icinga:icingagmd 2750

# fping (bsc#1047921)
/usr/sbin/fping root:root 0755
+capabilities cap_net_raw=ep

# usbauth (bsc#1066877)
/usr/bin/usbauth-npriv root:usbauth 04750
/usr/lib/usbauth-notifier root:usbauth-notifier 0750
/usr/lib/usbauth-notifier/usbauth-notifier root:usbauth 02755

# spice-gtk (bsc#1101420)
/usr/bin/spice-client-glib-usb-acl-helper root:kvm 04750

# smc-tools (bsc#1102956)
/usr/lib/libsmc-preload.so root:root 04755
/usr/lib64/libsmc-preload.so root:root 04755

# lxc (bsc#988348)
/usr/lib/lxc/lxc-user-nic root:kvm 04750

# firejail (bsc#1059013) /usr/bin/firejail root:root 04755

# authbind (bsc#1111251)
/usr/lib/authbind/helper root:root 04755

# fuse3 (bsc#1111230)
/usr/bin/fusermount3 root:trusted 04750

# 389-ds (bsc#1111564)
/usr/sbin/ns-slapd root:dirsrv 0750
+capabilities cap_net_bind_service=ep

OK/etc/rc.local (complete, vollständig)
#!/bin/sh
#
#!/bin/sh
### BEGIN INIT INFO
# Provides: rc.local
# X-Mandriva-Compat-Mode
# Default-Start: 2 3 4 5
# Short-Description: Local initialization script
# Description: This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don´t
# want to do the full Sys V style init stuff.
### END INIT INFO
echo 1 > /sys/devices/system/cpu/microcode/reload
microcode_ctl -qu
hdparm -W1a0A0 /dev/sda # mausklick-schnelle SSD am S-ATA-Port, beachte die Anschlussnummer (1: sda, 2: sdb, ...)
echo deadline > /sys/block/sdb/queue/scheduler
echo 500 > /proc/sys/vm/dirty_writeback_centisecs
echo 20 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_ratio
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "" > /etc/securetty
macchanger --mac=ac:22:ca:00:00:c1 eth0
xhost -
xhost +si:localuser:user
xhost -inet6:user@
xhost -nis:user@
xhost - 192.168.178.1
xhost - 192.168.178.40
echo 1 > /proc/sys/net/ipv4/conf/all/hidden
echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden
echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/shared_media
echo 1 > /proc/sys/net/ipv4/conf/eth0/secure_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/shared_media
touch /var/lock/subsys/local
modprobe usblp
modprobe usb_storage
ifconfig eth0 -multicast
ifconfig lo -multicast
ifconfig lo -broadcast
ip link set eth0 multicast off
ip link set lo multicast off
sh /etc/init.d/ip6tables restart # wenn iptables-ipv6 (el6) neben iptables (el6) installiert worden ist; Der gesamte Traffic innerhalb des neuen Adressraums IPv6 wird auf INPUT, OUTPUT und FORWARD mit Linfw3 geblockt, siehe Regeln innerhalb /etc/sysconfig/ip6tables. Anstelle dieses totalen Blocks können alle IPv4-Regeln von Linfw3 in /usr/local/LINFW3.sh nach /etc/sysconfig/ip6tables übernommen werden, indem ipt="iptables" mit ipt="ip6tables" ausgestauscht wird. Überprüfe außerdem, ob /sbin/ip6tables* richtig mit /sbin/ip6tables-multi verlinkt ist.
mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2
#sh /etc/init.d/syslog start
sh /etc/init.d/rsyslog start
cp -fp /etc/hosts.savenew /etc/hosts
cp -fp /etc/pdnsd-savenew.conf /etc/pdnsd.conf
# cp -fp /boot-save/ifcfg-eth0* /etc/sysconfig/network-scripts/
cp -fp /boot-save/70-persistent-net.rules /etc/udev/rules.d/
export RESOLV_HOST_CONF="/etc/hosts"
# sh /etc/init.d/incrond start
# sh /etc/init.d/noflushd start
# gpg-agent --daemon --use-standard-socket
# atieventsd
# dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 &
# NetworkManager --log-level=ERR
# preload
# ifup eth0
# acpid&
# dnssec-triggerd
# unbound -dv -c /etc/unbound/unbound.conf
# tcpd &
# sh /etc/init.d/xfs start
# sh /etc/init.d/psad start
# paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 192.168.178.1 -l --tcp-port 443 /dev/null
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 208.67.222.222 --tcp-port 443 -l /dev/null
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 213.73.91.35 --tcp-port 443 -l /dev/null
# cp -fp /var/cache/pdnsd.cache /var/cache/pdnsd-savenew.cache
# speechd
# artsd&
# /usr/lib64/apparmorapplet&
apparmor-dbus &
# killall plymouthdxhost -
# sh /etc/init.d/lpd start
# redshift -l 60:10 -t 6500K:6200K&
chkstat --set --no-fscaps /etc/permissions
chkstat --set --no-fscaps /etc/permissions.secure
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.firefox &
#apparmor_parser -af /etc/apparmor/profiles/sbin.dhclient &
#apparmor_parser -af /etc/apparmor/profiles/usr.bin.man &
#apparmor_parser -af /etc/apparmor/profiles/usr.bin/passwd &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.sh &
echo "ALLOW_REBOOT=yes" >> /etc/security/msec/security.conf
echo "BASE_LEVEL=secure" > /etc/security/msec/security.conf
echo "ENABLE_STARTUP_MSEC=yes" > /etc/security/msec/security.conf
echo "ENABLE_STARTUP_PERMS=enforce" > /etc/security/msec/security.conf
msec -f secure
# chmod 666 /dev/usb/lp0
chown pdnsd:pdnsd -R /var/cache/pdnsd
chmod 755 /var/cache/pdnsd/pdnsd.cache
chown root:root /etc/hosts
chmod 400 /usr/local/key
chmod 644 /etc/hosts
chmod 111 /
chmod 751 /etc
chmod 755 /etc/sysconfig/network
chmod 755 /etc/sysconfig/network-scripts
chmod 400 /etc/shadow*
chmod 400 /etc/fstab*
chmod 700 /etc/crypttab*
chmod 700 /etc/mtab*
chmod 711 /home
chmod 700 /home/user
chmod 700 /home/surfuser
chmod 700 -R /home/surfuser/.mozilla
chown root:root /home/surfuser/.mozilla/firefox/profile.default/user.js
chmod 755 /home/surfuser/.mozilla/firefox/profile.default/user.js
chown root:root /home/surfuser/.mozilla/firefox/prefs.js
chmod 755 /home/surfuser/.mozilla/firefox/prefs.js
chmod 700 -R /home/surfuser/.moon*
chmod 700 -R /usr/src
chmod 751 /etc/X11
chmod 751 /usr/lib64
chmod 751 /usr/lib64/kde4
chmod 700 /home/toruser
chmod 700 -R /home/user/Dokumente
chmod 700 /home/uuidd
chmod 400 /usr/local/ke*
chmod 755 /usr
chmod 751 /bin
chmod 751 /sbin
chmod 751 /lib64
chmod 751 /opt
chmod 751 /lib
chmod 700 /root
chmod 700 -R /etc/init.d
chmod 751 /initrd
chmod 751 /misc
chmod 700 -R /boot-save
chmod 644 /etc/passwd
chmod 751 /usr/games
chmod 751 /net
chmod 710 /secoff
chmod 700 /sid-root
chmod 700 /smack
chmod 751 /srv
chmod 751 /sys
chmod 700 /typo3i*
chmod 751 /var
chmod 700 /lost*found
chmod 710 /intel-ucode*
chmod 751 /initrd
chmod 710 /GenuineIntel.bin
chmod 751 /etc/security/msec/*.secure
chmod 751 /Module.symvers
rm -df /home/surfuser/.Xauth*.*
rm -df /home/surfuser/.xauth*
rm -df /home/toruser/.xauth*
rm -df /home/toruser/.Xauth*.*
rm -df /home/user/.kde4/share/apps/kmail/mail/Spam/cur/*
rm -df /var/spool/cups/a*
rm -df /var/spool/cups/b*
rm -df /var/spool/cups/c*
rm -df /var/spool/cups/d*
rm -df /var/spool/cups/e*
rm -df /var/spool/cups/f*
rm -df /var/spool/cups/g*
rm -df /var/spool/cups/h*
rm -df /var/spool/cups/i*
rm -df /var/spool/cups/j*
rm -df /var/spool/cups/k*
rm -df /var/spool/cups/l*
rm -df /var/spool/cups/m*
rm -df /var/spool/cups/o*
rm -df /var/spool/cups/p*
rm -df /var/spool/cups/q*
rm -df /var/spool/cups/r*
rm -df /var/spool/cups/s*
rm -df /var/spool/cups/u*
rm -df /var/spool/cups/v*
rm -df /var/spool/cups/w*
rm -df /var/spool/cups/x*
rm -df /var/spool/cups/y*
rm -df /var/spool/cups/z*
exit


OKErzeuge noch
/usr/sbin/dosetfacls.sh


nano /usr/sbin/dosetfacls.sh

setfacl -m u:user:- /home/toruser
setfacl -m u:surfuser:- /home/toruser
setfacl -m u:surfuser:- /home/user
setfacl -m u:toruser:- /home/user
setfacl -m u:user:- /home/surfuser
setfacl -m u:toruser:- /home/surfuser/.moon*
setfacl -m u:surfuser:- /etc/shadow*
setfacl -m u:toruser:- /etc/shadow*
setfacl -m u:surfuser:- /mnt
setfacl -m u:surfuser:- /media
setfacl -m u:toruser:- /mnt
setfacl -m u:toruser:- /media
setfacl -m u:toruser:- /bin/su
setfacl -m u:toruser:- /usr/bin/su
setfacl -m u:surfuser:- /etc/fstab*
setfacl -m u:surfuser:- /etc/mtab*
setfacl -m u:surfuser:- /etc/crypttab*
setfacl -m u:toruser:- /etc/fstab*
setfacl -m u:toruser:- /etc/mtab*
setfacl -m u:toruser:- /etc/crypttab*
setfacl -m u:surfuser:- /etc/init.d
setfacl -m u:surfuser:- /etc/init.d/*
setfacl -m u:toruser:- /etc/init.d
setfacl -m u:toruser:- /etc/init.d/*
setfacl -m u:surfuser:- /etc/rc.local
setfacl -m u:toruser:- /etc/rc.local
setfacl -m u:surfuser:- /usr/local/LINFW3
setfacl -m u:toruser:- /usr/local/LINFW3
setfacl -m u:uuidd:- /usr/local/LINFW3
setfacl -m u:-1:- /usr/local/LINFW3
setfacl -m u:surfuser:-wx /tmp
setfacl -m u:surfuser:- /etc/security/msec
setfacl -m u:surfuser:- /etc/security
setfacl -m u:toruser:- /etc/security
setfacl -m u:toruser:- /etc/security/msec
setfacl -m u:surfuser:- /etc/fstab*
setfacl -m u:surfuser:- /etc/mtab*
setfacl -m u:surfuser:- /etc/crypttab*
setfacl -m u:surfuser:- /etc/rc.local*
setfacl -m u:surfuser:- /usr/bin/*
setfacl -x surfuser /usr/bin/bash*
setfacl -x surfuser /usr/bin/dbus*
setfacl -x surfuser /usr/bin/export
setfacl -x surfuser /usr/bin/firejail*
setfacl -x surfuser /usr/bin/firefox*
setfacl -x surfuser /usr/bin/gftp*
setfacl -x surfuser /usr/bin/tor*
setfacl -x surfuser /usr/bin/xauth*
setfacl -x surfuser /usr/bin/xargs*
setfacl -x surfuser /usr/bin/kde*
setfacl -x surfuser /usr/bin/knemo*
setfacl -x surfuser /usr/bin/sg*
setfacl -x surfuser /usr/bin/palemoon*
setfacl -x surfuser /usr/bin/konqueror*
setfacl -x surfuser /usr/bin/ftp*
setfacl -m u:surfuser:- /usr/libexec
setfacl -m u:surfuser:- /usr/sbin
setfacl -m u:surfuser:--x /bin
setfacl -m u:surfuser:- /bin/*
setfacl -m u:surfuser:- /sbin
setfacl -x surfuser /bin/bash
setfacl -x surfuser /bin/certtool
setfacl -x surfuser /bin/cerutil
setfacl -x surfuser /bin/basename
setfacl -x surfuser /bin/bash.old
setfacl -x surfuser /bin/p11tool
setfacl -x surfuser /bin/pk12util
setfacl -x surfuser /bin/smime
setfacl -x surfuser /bin/shlibsign
setfacl -x surfuser /bin/sign*
setfacl -x surfuser /bin/ssltap*
setfacl -m u:surfuser:--x /home/surfuser
setfacl -m u:user:- /home/surfuser
setfacl -m u:toruser:- /home/surfuser
setfacl -m u:surfuser:- /usr/local
setfacl -m u:surfuser:- /opt
setfacl -m u:surfuser:--x /lib64
setfacl -m u:surfuser:--x /usr/lib64
setfacl -m u:surfuser:--x /lib
setfacl -m u:surfuser:--x /usr/lib
setfacl -m u:surfuser:- /misc
setfacl -m u:surfuser:- /net
setfacl -m u:surfuser:- /sid-root
setfacl -m u:surfuser:--x /etc
setfacl -m u:surfuser:- /intel-ucode
setfacl -m u:surfuser:--x /secoff
setfacl -m u:surfuser:- /smack
setfacl -m u:surfuser:- /srv
setfacl -m u:surfuser:- /--tcp-port
setfacl -m u:surfuser:- /initrd
setfacl -m u:surfuser:- /ttf
setfacl -m u:surfuser:- /none
setfacl -m u:surfuser:- /doc
setfacl -m u:surfuser:- /firejail
setfacl -m u:surfuser:- /root


... und erzeuge wie weiter oben beschrieben die beiden zugehörigen Runlevel-Init-Skripte (Dämonen) in /etc/init.d namens rc.local und dosetfacl.
Mache nun diese Skripte unter vorgegebenen Aktivierungen in höheren Runleveln bekannt:

chkconfig --add rc.local && chkconfig --add dosetfacl

Vorteil: mit jeder Installlation neuer Pakete bleiben die ACL-Zugriffsrechte nach dem Booten immer erhalten! Das System wird dadurch einmal mehr sicher und mausklick-schnell.

Hinzu kommen u.a. noch die grsecurity-Patches für den Kernel (bzw. seine root-Prozesse), Login-Passwortschutz und Sperrung aller System- und Benutzerkonten außer surfuser (und, falls separat, toruser), Sandbox Firejail (insbesonders zum Sperren der Shells bzw. Terminals) und Firewall Linfw3, Tor bzw. der Tor-Browser sowie FirefoxBrowser-Extensions wie Skriptfilter ABP, nologin und RequestPolicyBlockContinued, dazu im Einzelnen sp&aul;ter.

Set setfacl -m u:surfuser:- /usr/bin/* except for /usr/bin/bash, /usr/bin/dbus*, /usr/bin/firefox, /usr/bin/firejail, /usr/bin/konqueror, /usr/bin/sh, /usr/bin/su, /usr/bin/sg, /usr/bin/proftp*, /usr/bin/tor*, /usr/bin/x*, /usr/bin/knemo* and all communication programs, surfuser should be able to use.

OKrsyslog anstelle syslogd
Rsyslog is an enhanced multi-threaded syslogd supporting, among others, MySQL, PostgreSQL, syslog/tcp, RFC 3195, permitted sender lists, filtering on any message part, and fine grain output format control. It is quite compatible to stock sysklogd and can be used as a drop-in replacement. Its advanced features make it suitable for enterprise-class, encryption protected syslog relay chains while at the same time being very easy to setup for the novice user. o lmnet.so - Implementation of network related stuff. o lmregexp.so - Implementation of regexp related stuff. o lmtcpclt.so - This is the implementation of TCP-based syslog clients. o lmtcpsrv.so - Common code for plain TCP based servers. o imtcp.so - This is the implementation of the TCP input module. o imudp.so - This is the implementation of the UDP input module. o imuxsock.so - This is the implementation of the Unix sockets input module. o imklog.so - The kernel log input module for Linux. o immark.so - This is the implementation of the build-in mark message input module. o imfile.so - This is the input module for reading text file data.

Noch sind noch alle *syslog*-init-script-Dateien aus /etc/rc*.d/ und /etc/init.d/ mit dem Befehl "rm -df" zu löschen.

/etc/rsyslog.conf
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####

DollarsignModLoad imuxsock # provides support for local system logging (e.g. via logger command)
Dollarsignimklog # provides kernel logging support (previously done by rklogd)
#DollarsignModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#DOLLARSIGNModLoad imudp
#DOLLARSIGNUDPServerRun 514
# Provides TCP syslog reception
#DOLLARSIGNModLoad imtcp
#DOLLARSIGNInputTCPServerRun 514
#### GLOBAL DIRECTIVES ####
# Use default timestamp format
DOLLARSIGNActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#DOLLARSIGNActionFileEnableSync on
# Include all config files in /etc/rsyslog.d/
DOLLARSIGNIncludeConfig /etc/rsyslog.d/*.conf
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.warn;mail.none;news.none;authpriv.none;cron.none /tmp/messages
# The authpriv file has restricted access.
authpriv.* /tmp/secure
# Log all the mail messages in one place.
mail.* -/tmp/maillog
# Log cron stuff
cron.* /tmp/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /tmp/spooler
# Save boot messages also to boot.log
local7.* /tmp/boot.log
# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#DOLLARSIGNWorkDirectory /var/lib/rsyslog # where to place spool files
#DOLLARSIGNActionQueueFileName fwdRule1 # unique name prefix for spool files
#DOLLARSIGNActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
#DOLLARSIGNActionQueueSaveOnShutdown on # save messages to disk on shutdown
#DOLLARSIGNActionQueueType LinkedList # run asynchronously
#DOLLARSIGNActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###
#
# INN
#
news.=crit /tmp/news/news.crit
news.=err /tmp/news/news.err
news.notice /tmp/news/news.notice
news.=debug /tmp/news/news.debug


OKMausklick-schnell: Kernel-Tuning mit sysctl
nano /etc/sysctl, ausfürhliche Beschreibung mit sysctl-gtk
# Kernel sysctl configuration file
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
net.ipv6.conf.lo.use_tempaddr = 0
# Disables IP dynaddr
net.ipv4.ip_dynaddr = 1
# Disable ECN
net.ipv4.tcp_ecn = 1
# Controls source route verification
net.ipv4.conf.all.rp_filter =1
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq =0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 0

kernel.dmesg_restrict = 1
# If you set this variable to 1 then cd tray will close automatically when the
# cd drive is being accessed.
# Setting this to 1 is not advised when supermount is enabled
# (as it has been known to cause problems)
dev.cdrom.autoclose=1
# removed to fix some digital extraction problems
# dev.cdrom.check_media=1

# to be able to eject via the device eject button (magicdev)
dev.cdrom.lock=0

# Disable netfilter on bridges.
#net.bridge.bridge-nf-call-ip6tables = 0
#net.bridge.bridge-nf-call-iptables = 0
#net.bridge.bridge-nf-call-arptables = 0
net.ipv4.ip_forward =0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.tcp_max_syn_backlog =512
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.tcp_syncookies = 1

net.ipv4.ip_local_port_range = 2000 65000
# Increase TCP max buffer size setable using setsockopt()
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
net.ipv6.conf.default.router_solicitations=0
net.ipv6.conf.default.accept_ra_rtr_pref=0
net.ipv6.conf.default.accept_ra_pinfo=0
net.ipv6.conf.default.accept_ra_defrtr=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.default.dad_transmits=0
net.ipv6.conf.default.max_addresses=0


Verlinke

ln -sf /usr/sbin/sysctl /sbin/sysctl

.. und aktiviere sysctl in /etc/rc.local:

sysctl -e /etc/sysctl.config

OKAktiviere SELinux
Security-Enhanced Linux (SELinux) ist ein zugriffskontrollenbasierter Sicherheitheitsmechanismus des Kernels.
SELinux stellt drei Basis-Modi bereit.

Enforcing: Dieser Modus erzwingt die Sicherheitsregeln.
Permissive: In diesem Modus erzwingt SELinux die Regeln noch nicht, es warnt und protokolliert Aktionen lediglich. Dieser Modus kann bei Problemen mit SELinux weiterhelfen.
Disabled: SELinux ist abgeschaltet.

Der Modus von SELinux mode wird mit den Befehlen ´system-config-selinux´, ´getenforce´ or ´sestatus´ abgefragt.

sestatus

Falls "disabled", erlaube SELinux mit:

setenforce enforcing

Alternativ kann SELinux auch mit der Datei ´/etc/selinux/config´ gemanaget werden. Dort kann man es aktivieren und deaktivieren.
https://www.tecmint.com/linux-server-hardening-security-tips/. Bootparameter in /boot/grub/menu:lst: "selinux=1"

AppArmor oder SELinux?, forum.ubuntuusers.de
Warum greift nicht auch Ubuntu zu SELinux, ... So sehe ich das auch....ich habe einfach kein Vertrauen mehr . Tom-L. Beiträge aus dem Jahr 2007 ( fünf Jahre vor Bekanntmachungen Snowdens ): 1181.
@glasen
Vielen Dank, werds mir morgen mal in Ruhe durchlesen.
@timmy11
Soso, die NSA aso. Hmm, da mache ich mir für meinen Teil mal weniger Sorgen... Ich meine, ok, wenns unsere Bundesregierung wäre... Bundestrojaner :lol:
Nee, aber mal Quatsch beiseite: Die Sicherheit gegen sog. unbefugte Dritte mag zwar vielleicht tatsächlich höher sein, wenn Institute wie die NSA involviert sind, aber den üblen Beigeschmack empfinde ich auch dabei.

timmy11
Vielleicht kann uns ja jemand vom Gegenteil überzeugen.
Für mich bedeutet Amerika (also die staatlichen Organisationen) erstmal: Ich will alles wissen und anzapfen.
Murdoc
Avatar von Murdoc
So sehe ich das auch....ich habe einfach kein Vertrauen mehr :(

Tom L.: Ich meine mal gelesen zu haben, dass SELinux offizieller Bestandteil des Kernels ist. Insoweit gehe ich davon aus, die sich Kernelentwickler (und zwar mehr als einer) den Quellcode vorab mal ganz genau angesehen haben.

glasen: Sorry, aber eure Paranoia ist ja nicht zum Aushalten.
Klar hat die NSA an der Entwicklung von SELinux mitgearbeitet, aber da es sich bei Linux um quelloffene und freie Software handelt, es ist unmöglich das die NSA sich irgendwelche Hintertürchen offengehalten hat.
Wenn es auch nur eine Zeile Code geben würde, die einem Peer-Review nicht standgehalten hätte, wäre SELinux niemals in die Kernelquellen aufgenommen worden!

Murdoc: Das glaube ich ja, aber dennoch haben sie sich alles sehr genau angesehen, und es gibt auch Kernel Exploits :-/

Wenn es der GEHEIMDIENST wirklich drauf anlegen würde, Backdoors in den Kernel zu bringen ... dann bestimmt nicht über ein Projekt wie SELinux, in dem sie sich offiziell einbringen, und den Leute mit gesunder Paranoia und Ahnung von der Materie (also nicht solche wie Du, Murdoc ;)) sehr genau anschauen, sondern über irgendwelche andere Kernelbestandteile.
comm_a_nder: Man Jungs, schnallt Eure Aluhüte nicht so eng, dann klappt es auch mit dem Denken.

Mosurft: Generell fühl ich mich bei der Verbindung SeLinux - NSA auch nicht so wohl, vor allem weil - so glaube ich - niemand jedes bisschen Quellcode analysieren und durchchecken kann, irgendjemand übersieht immer etwas, sonst gäbe es ja keine Sicherheitslücken, und gerade ein Geheimdienst hat natürlich ein großes Interesse daran, auf "Knopfdruck" alle PCs abchecken zu können...
Ich würde mal interessieren, wer SELinux auf seinem Ubunturechner laufen hat und wie es funktioniert! Und wenn jemandem SELinux nicht passt, was ist eigentlich mit Grsecurity? Hat das mal jemand ausprobiert?
Grüße Mo

comm_a_nder: Falls ich mich im Ton vergriffen haben sollte und Du Dich zu sehr persönlich angegriffen fühlst, tut es mir leid.
Zum Thema: Gerade die Teile der Software, die von der NSA dazugekommen ist, werden mir Sicherheit sehr genau analysiert wurden sein. Aber wie ich bereits sagte, gäbe es für die Jungs aus "Crypto City" mit Sicherheit wesentlich effizientere Wege, Code unauffällig in den Kernelsource wandern zu lassen.

Murdoc. Wenn wir schon paranoid unterwegs sind, dann stelle ich mal die Frage nach dem BIOS.
Jetzt, wo ASUS schon ein Minimal Linux zum Browsen anbietet, stellt sich die Frage, was das BIOS sonst noch so alles kann?

Mosurft: Wenn ich schon dem BIOS nicht traue, dann nutze ich besser gar keinen Computer...! ;) ...
forum.ubuntuusers.de/topic/apparmor-oder-selinux
Gooken.de:
Wie, auch nicht dem Bios Marke AWARD? Auf dem ITX-220 befindet sich ein aktivier- wie deaktivierbarer LAN-Chip und ein kleiner weiterer namens Coretemp, (angeblich) für die Temperatur-Regulierung. Diese belassen wir vorsichtshalber deaktivert. Der nächste Punkt: SELinux. Dieses ist wie unser Exkurs noch zeigen wird verdächtig überflü,ssig und gehört daher unserer Meinung nach als Bootparameter streng deaktivert.

Naja, lesen Sie zu dieser Thematik auch Mal unseren Teil News&Links.

Alle Intel-CPU-Generationen seit Celeron
"Wir können alles mitlesen", tagesschau.de, 04.01.2017
An der Aufdeckung der jüngst bekannt gewordenen Schwachstellen in zahlreichen Computerchips waren einem Zeitungsbericht zufolge auch Forscher der Technischen Universität Graz in Österreich beteiligt. "Wir waren selbst schockiert, dass das funktioniert", sagte Michael Schwarz von der TU Graz dem "Tagesspiegel".
Durch die Schwachstelle könnten alle Daten ausgelesen werden, die gerade im Computer verbreitet werden. "Wir können im Prinzip alles mitlesen, was sie gerade eintippen." Angreifer könnten so auch an Daten vom Onlinebanking oder gespeicherte Passwörter kommen. "Dazu müssen sie allerdings erst auf ihren Computer gelangen", schränkte Schwarz ein.
Wer die normalen Sicherheitshinweise befolge und keine unbekannten Anhänge öffne oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr.
https://www.tagesschau.de/ausland/intel-sicherheitsluecke-103.html

Schwere Lücke in allen Intel-CPUs entdeckt, PC-WELT, 03.01.2018
Eine schwere Sicherheitslücke steckt in Intel-Prozessoren der letzten 10 Jahre (die von uns vorgestellte ist nicht dabei, Anm., Gooken). Die Schließung kostet Performance.
https://www.pcwelt.de/a/schwere-luecke-in-allen-intel-cpus-entdeckt,3449263

Wie funktioniert diese Sicherheitslücke überhaupt?

Das Problem steckt im Prozessor der Geräte, genauer gesagt in einer bestimmten Funktion. Um die Prozessoren möglichst gut auszulasten, übernehmen sie in ruhigeren Zeiten Aufgaben, die möglicherweise erst später gebraucht werden. In dieser Technik haben Sicherheitsforscher eine Lücke entdeckt, die es möglich macht, auf alle Daten der Geräte zuzugreifen - auch auf persönliche Daten wie Passwörter.

Bin ich auch betroffen?

Fragt man Sicherheitsforscher, ist die Antwort klar: "Höchstwahrscheinlich ja". Das liegt zum einen daran, dass diese Sicherheitslücke sich in einer Technik befindet, die seit über 20 Jahren in viele Prozessoren eingebaut wird. Zum anderen hängt es damit zusammen, dass wir immer mehr Geräte nutzen, in denen Prozessoren eingesetzt werden. Von der aktuellen Lücke können vor allem klassische PCs und Notebooks, Smartphones und Tablets betroffen sein.

Wie funktioniert diese Sicherheitslücke überhaupt?

Das Problem steckt im Prozessor der Geräte, genauer gesagt in einer bestimmten Funktion. Um die Prozessoren möglichst gut auszulasten, übernehmen sie in ruhigeren Zeiten Aufgaben, die möglicherweise erst später gebraucht werden. In dieser Technik haben Sicherheitsforscher eine Lücke entdeckt, die es möglich macht, auf alle Daten der Geräte zuzugreifen - auch auf persönliche Daten wie Passwörter.

Welche Prozessoren haben das Problem?

Der Prozessorhersteller Intel hat das Problem für einen Großteil seiner Prozessoren eingeräumt. Daneben gibt es zwei weitere, große Prozessorhersteller: AMD und ARM. Bei AMD-Prozessoren ist die Lage noch unübersichtlich; das Unternehmen selbst hat am Mittwoch dementiert, dass es von den Problemen betroffen ist, Sicherheitsforscher dagegen haben auch AMD-Prozessoren auf ihrer Liste. ARM-Prozessoren, die vor allem in Smartphones und anderen mobilen Geräten eingesetzt werden, sind teilweise betroffen. Der Hersteller hat eine entsprechende übersicht ins Netz gestellt.

Ist mein Smartphone auch betroffen?

Das lässt sich noch nicht zuverlässig sagen - die Wahrscheinlichkeit ist aber hoch. In Smartphones werden bevorzugt ARM-Prozessoren eingesetzt, von denen viele Modelle anfällig für die Sicherheitslücke sind. Gerade für Android-Smartphones könnte das ein großes Problem sein, denn viele ältere Geräte werden von den Herstellern nicht mehr mit Updates versorgt, die Sicherheitslücke wird also bestehen bleiben.

Wie lässt sich das Problem beseitigen?

Per Software-Update lässt sich die Lücke nur zum Teil beseitigen. Die Sicherheitsforscher sehen zwei verschiedene Sicherheits-Szenarien für einen Angriff: "Meltdown" und "Spectre".

Das "Meltdown"-Problem lässt sich per Software-Update lösen, die "Spectre"-Sicherheitslücke dagegen nicht direkt. Dort kann ein Update erst dann helfen, wenn entsprechende Schadprogramme, die diese Lücke nutzen, im PC erkannt wurden.


Was sind "Meltdown" und "Spectre"?

Gibt es schon Updates?

Ja, Microsoft hat bereits ein Not-Update für Windows 10 bereitgestellt, dieses trägt die Kennummer KB4056890 und kann über die Update-Funktion des Betriebssystems installiert werden. Auch für Apple-Computern gibt es schon ein Update; die Lücke wurde Anfang September mit der Aktualisierung auf die Version 10.13.2 geschlossen. Wer alle aktuellen Updates eingespielt hat, ist damit erst einmal sicher vor Angriffen. ähnlich sieht es bei Linux aus, auch hier gibt es erste Updates, die das System sicher machen sollen. Werden PCs durch das Update langsamer?

Wahrscheinlich ja: Sicherheitsforscher sind in einer ersten Schätzung davon ausgegangen, dass ein Update PCs um bis zu 30 Prozent ausbremsen wird. Der Prozessor-Hersteller Intel widerspricht und geht von maximal zwei Prozent Geschwindigkeitsverlust aus. Wie sich die Updates in der Praxis bemerkbar machen, muss sich erst noch zeigen - Forscher gehen aber davon aus, dass die Updates im Laufe der Zeit besser werden und PCs kaum noch ausbremsen werden.

Muss ich Angst um meine persönlichen Daten haben?

Jein. Die Sicherheitslücke ist massiv und bietet Hackern bisher ungeahnte Möglichkeiten. Die Profis werden sich aber vor allem auf Rechenzentren mit Cloud-Daten stürzen. Die sind auch von der Sicherheitslücke betroffen. Dort werden teilweise Daten von Millionen Nutzern gespeichert, was sie als Angriffsziele viel interessanter macht als die PCs einzelner Nutzer.
https://www.tagesschau.de/ausland/prozessoren-101.html

Lesermeinung Gooken:
... fällt uns schwer, an sowas zu glauben...

OK... mögliche Abhilfen:
Datenbatt: von uns empfohlene Plattform: ITX-220: keine tabellarische Auflistung von derartigem Exploit bedrohter dem Mainboard zugehöriger spezieller Celeron-CPU durch Intel (1) und kein Auffinden den Exploit nach zugehörigem Intel-Werkzeug zur Systemanalyse (intel-sa00086.zip für Linux) kausalisierendens Modul MEI (2) (dieses lässt sich über das Kommando "modprobe mei" jedoch manuell, selbsttätig über /etc/modules oder bereits in dracut einbinden).
Is there a workaround/fix?
- There are patches against Meltdown for Linux ( KPTI (formerly KAISER)), Windows, and OS X. There is also work to harden software against future exploitation of Spectre, respectively to patch software after exploitation through Spectre, .https://meltdownattack.com/
- iucode-tool (pclos2018)
OK- CPU: mausklick-schnell und sicher: microcode_ctl (fc29: 2.1-34, rosa2016.1 über el6) ggfls. entpacken und in Verzeichnisse kopieren) oder (derzeit noch mausklick-schneller) ucode-intel (OpenSuSE, gt;= 20190618-lp151.2.3.1.x86_64.rpm, ucode-intel-20190618-lp150.2.24.1.x86_64, ucode-intel-20190618-lp150.2.24.1.x86_64.rpm20190312-lp151.1.1, rpm), damit er als Befehl oder von der Konsole aus aktiviert wird, installiere zunächst microcode_ctl (el6, rpm -i --force), dann entpacktes micorode_ctl (rosa2016.1). In jedem Fall sollte ein aktuelles und das schnellste microcode_ctl installiert werden. Das Flashen der CPU mit dem Microcode muss noch über den Befehl "microcode_ctl -qu" mit jedem Bootvorgang (z.B. von /etc/rc.local oder aus /usr/share/autostart/ heraus) erfolgen, andernfalls läuft die CPU wieder mit dem Werkscode vor dem Flashen.
Changelog rpm microcode_ctl
* Fr Dez 15 2017 Petr Oros poros@redhat.com - 1:1.17-25.2
- Update Intel CPU microde for 06-3f-02, 06-4f-01 and 06-55-04
- Add amd microcode_amd_fam17h.bin data file
- Resolves: #1527357

Deaktivierung des Kernel-Moduls MEI (Eintrag "blacklist mei" in /etc/modprobe.d/001blacklist). Security-Checks von Intel ü,berprüfen insbesonders dessen Aktivierung als auf Grundlage des Datenblatts alleinige Gefahrenquelle.

CPU: Sicher vor Meltdown, Spectre und Co?, PC-WELT.de, 28.05.2019
Die CPU-Sicherheitslücken Meltdown und Spectre halten die Linux-Kernel-Entwickler weiterhin auf Trab, zumal es je nach Prozessortyp 15 dokumentierte Varianten gibt. Schützt das aktuell genutzte Linux gegen bekannte Lücken? Wenn ja, gegen welche? Ein Blick auf die CPU-Flags gibt darüber Aufschluss.
Was können Meltdown und Spectre in Linux anrichten?
Es ist Sache der Kernel-Entwickler, Patches gegen die Spectre- und Meltdown-Lücken aufzunehmen. Danach folgt die Aufgabe für die Distributionsmaintainer, gepatchte Kernel-Versionen zeitnah per Update auszuliefern.
Am Ende steht die Verantwortung von Anwendern beziehungsweise Admins, die Aktualisierungen dann auch wirklich einzuspielen.
Von Seiten der Kernel-Entwickler gibt es mittlerweile immerhin eine einfache Methode, den Linux-Kernel nach erkannten und entschärfte CPU-Lücken abzufragen: Der Befehl

head /sys/devices/system/cpu/vulnerabilities/*

listet die erkannten Bugs in der verbauten CPU auf und gibt mit jeweils mit dem Stichwort "Mitigation" an, ob diese Lücken durch den Kernel gepatcht sind. Falls nicht, prangt hier ein "Vulnerable" (Verwundbar) hinter dem Namen des Bugs.
Achtung: Falls es die abgefragten Einträge überhaupt nicht gibt und head eine Fehlermeldung ausgibt, so ist der laufende Kernel definitiv zu alt und die Distribution verlangt dringend nach einem Update. Die nicht betroffenen ARM-CPUs antworten auf die Abfrage ebenfalls nicht.
https://www.pcwelt.de/tipps/CPU-Sicher-vor-Meltdown-Spectre-und-Co-10593390.html

- Intel: Werkzeug für ME-Sicherheitslücken vorgestellt, 24.11.2017, https://www.pro-linux.de/news/1/25369/intel-werkzeug-f%C3%BCr-me-sicherheitsl%C3%BCcken-vorgestellt.html
- kernel-4.14 mit von kernel-4.15 reintegriertem KPTI-/KAISER-Patch
- "modprobe mei" oder besser: Ein- besser: Austrag von Kernel-Modul "mei" in /etc/modules
. - Update Firefox auf Version 63 bzw. 52.9.0-ESR (slack, OpenSuSE) - mit aus aktuellem Firefox aktualisierter nss (libnss*.so, libnspr4.so, libssl3.so) und "Security fixes to address the Meltdown and Spectre timing attacks - https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ - Require new nss 3.34 (fixed rhbz#1531031) - Disabled ARM on all Fedoras due to rhbz#1523912"
- Nvidia vs. Spectre: Neue Nvidia-Treiber schützen vor Spectre-CPU-Attacken, https://www.pcwelt.de/a/neue-nvidia-treiber-schuetzen-vor-spectre-cpu-attacken,3449339
NVIDIA graphics drivers (USN-3521-1, https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown?_ga=2.181440484.2145149635.1515760095-1741249263.1499327986)
- Webkitgtk+ (USN-3530-1)
- QEMU (USN-3560-1)
- libvirt (USN-3561-1)
- Cloud Images: Cloud images which address CVE-2017-5753 and CVE-2017-5715 (aka Spectre) and CVE-2017-5754 (aka Meltdown) are available for https://cloud-images.ubuntu.com from for the following releases: ...


OKSensoren und Chips des Mainboards einbinden:
Paket lm_sensors (pclos)
sensors-detect
modprobe für gefundene Module oder besser: Eintrag in /etc/modules (ITX-220: it87, coretemp, i2c-dev, mei, empfohlen: inaktiviert)
hingegen ggfls sicherer und mausklick-schneller. Einkommentierung oder ohne Eintrag in /etc/modules
LAN-Chip: ggfls. im BIOS mit CMOS-BIOS-Setup aktivieren (Grundeinstellung, empfohlen: inaktiviert)

OKBenutzerüberwachung und - Aktivitätenverfolgung, 4.11.10, https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html
Wenn Sie wirklich paranoid sind, sollten Sie eine systemweite Einrichtung verwenden, um zu überwachen, was die Benutzer auf Ihrem System tun. In diesem Abschnitt werden einige Tipps vorgestellt, wie Sie verschiedene Werkzeuge verwenden.
Überwachung von Ein- und Ausgabe mittels eines Skripts, 4.11.10.1
- die Chronikdatei der Shell benutzen, 4.11.10.2
- Vervollständigung der Benutzerüberwachung durch Accounting-Werkzeuge, 4.11.10.3
- andere Methoden zur Benutzerüberwachung, 4.11.10.4
- Nachprüfung der Benutzerprofile, 4.11.11
- Umasks der Benutzer einstellen, 4.11.12
Abhängig von Ihren Benutzerrichtlinien möchten Sie ändern, wie Benutzer Informationen gemeinsam benutzen können. Dabei geht es um die Standardrechte von neu erstellten Dateien.
- Begrenzung des Zugangs zu Informationen anderer Benutzer, 4.11.13.1
- Nutzung und Anpassung von logcheck, 4.13.1

OKVerfolgung der Benutzeraktivitäten
If you are dealing with lots of users, then its important to collect the information of each user activities and processes consumed by them and analyse them at a later time or in case if any kind of performance, security issues. But how we can monitor and collect user activities information.
There are two useful tools called ´psacct´ and ´acct´ are used for monitoring user activities and processes on a system. These tools runs in a system background and continuously tracks each user activity on a system and resources consumed by services such as Apache, MySQL, SSH, FTP, etc. For more information about installation, configuration and usage, visit the below url.
Monitor User Activity with psacct or acct commands.
https://www.tecmint.com/linux-server-hardening-security-tips/

OKSystem-Buchhaltung mit auditd
auditd ermöglicht System-Audit. During startup, the rules in /etc/audit.rules are read by this daemon. You can open /etc/audit.rules file and make changes such as setup audit file log location and other option. With auditd you can answers the following questions:

System startup and shutdown events (reboot / halt).
Date and time of the event.
User respoisble for the event (suh as trying to access /path/to/topsecret.dat file).
Type of event (edit, access, delete, write, update file & commands).
Success or failure of the event.
Records events that modify date and time.
Find out who made changes to modify the system’s network settings.
Record events that modify user/group information.
See who made changes to a file etc.

See our quick tutorial which explains enabling and using the auditd service.
https://www.cyberciti.biz/tips/linux-security.html

OKRegelmäßig Logs analysieren
Speichere logs in vorgesehene Log-Server. Damit wird verhindert, dass Eindringlinge auf einfache Art Modifikationen an Log-Dateien vornehmen. Hier noch einmal namentlich die in Linux üblichen Log-Dateien und ihre Verwendung:

/var/log/message - Hier protokolliert mehr oder weniger das gesamte System
/var/log/auth.log - Authentifizierung
/var/log/kern.log - Kernel-Logs.
/var/log/cron.log - Crond-Logs (cron job).
/var/log/maillog - Mailserver-Logs
/var/log/boot.log - System-boot-Log
/var/log/mysqld.log - Logdatei des MySQL-Datenbankservers
/var/log/secure - Authentifizierung
/var/log/utmp oder /var/log/wtmp : Protokolliert die records-Dateien
/var/log/yum.log: Yum-Logdatei
https://www.tecmint.com/linux-server-hardening-security-tips/

OKAllzu aufschlussreiche Systeminformation in Logdateien verhindern
Die Log-Level reichen von debug über info, warning bis emerg. Benutzer wie Prozesse können zuviel erfahren. Eine ausfürliche Protollierung rä,t sich nur je nachdem. Für Ausgaben wie dmesg verwende man ggfls. LogLevel warning:

/etc/init.d/rklogd
RKLOGD_OPTIONS="-c 4"

OKLogcheck
Das Paket logcheck ist in Debian auf drei Pakete verteilt ( CentOS und mdv2010 auf nur ein Paket): logcheck (das Hauptprogramm), logcheck-database (eine Datenbank regulärer Ausdrücke für das Programm) und logtail (gibt Protokollzeilen aus, die noch nicht gelesen wurden). Der Satndard unter Debian (in /etc/cron.d/logcheck) ist, dass logcheck jede Stunde und nach jedem Neustart ausgeführt wird.
Wenn dieses Werkzeug in geeigneter Weise angepasst wurde, kann es sehr nützlich sein, um den Administrator zu alarmieren, wenn etwas ungewöhnliches auf dem System passiert. Logcheck kann vollständig angepasst werden, so dass es Mails über Ereignisse aus den Protokollen sendet, die Ihrer Aufmerksamkeit bedürfen. Die Standard-Installation umfasst Profile zum Ignorieren von Ereignissen und Verstößen gegen die Sicherheitsrichtlinie für drei unterschiedliche Einsatzbereiche (Workstation, Server und paranoid). Das Debian-Paket umfasst die Konfigurationsdatei /etc/logcheck/logcheck.conf, die vom Programm eingelesen wird, und die definiert, an welchen Benutzer die Testergebnisse geschickt werden sollen. Es stellt außerdem einen Weg für Pakete zur Verfügung, um neue Regeln in folgenden Verzeichnisses zu erstellen: /etc/logcheck/cracking.d/_packagename_ /etc/logcheck/violations.d/_packagename_, /etc/logcheck/violations.ignore.d/_packagename_, /etc/logcheck/ignore.d.paranoid/_packagename_, /etc/logcheck/ignore.d.server/_packagename_, und /etc/logcheck/ignore.d.workstation/_packagename_. Leider benutzen das noch nicht viele Pakete. Wenn Sie ein Regelwerk entwickelt haben, dass für andere Benutzer nützlich sein könnte, schicken Sie bitte einen Fehlerbericht für das entsprechende Paket (als ein wishlist-Fehler). Mehr Informationen finden Sie unter /usr/share/doc/logcheck/README.Debian.
logcheck konfiguriert man am besten, indem man nach der Installation die Hauptkonfigurationsdatei /etc/logcheck/logcheck.conf bearbeitet. Verändern Sie den Benutzer, an den die Berichte geschickt werden (standardmäßig ist das Root). Außerdem sollten Sie auch den Schwellenwert für Berichte festlegen. logcheck-database hat drei Schwellenwerte mit steigender Ausführlichkeit: Workstation (Arbeitsplatz), Server und paranoid. "server" ist der Standardwert, "paranoid" wird nur für Hochsicherheitsmaschinen empfohlen, auf denen so wenig Dienste wie möglich laufen. "workstation" eignet sich für relativ geschützte, nicht kritische Maschinen. Wenn Sie neue Protokoll-Dateien hinzufügen wollen, müssen Sie diese nur zu /etc/logcheck/logcheck.logfiles hinzufügen. Es ist für die standardmäßige Syslog-Installation eingerichtet.
Once this is done you might want to check the mails that are sent, for the first few days/weeks/months. If you find you are sent messages you do not wish to receive, just add the regular expressions (see regex(7) and egrep(1)) that correspond to these messages to the /etc/logcheck/ignore.d.reportlevel/local. Try to match the whole logline. Details on howto write rules are explained in /usr/share/doc/logcheck-database/README.logcheck-database.gz. It´s an ongoing tuning process; once the messages that are sent are always relevant you can consider the tuning finished. Note that if logcheck does not find anything relevant in your system it will not mail you even if it does run (so you might get a mail only once a week, if you are lucky).

OKKonfiguration, wohin Alarmmeldungen geschickt werden
Debian wird mit einer Standardkonfiguration für Syslog (in /etc/syslog.conf) ausgeliefert, so dass Meldungen je nach System in die passenden Dateien geschrieben werden. Das sollte Ihnen bereits bekannt sein. Falls nicht, werfen Sie einen Blick auf die Datei syslog.conf und deren Dokumentation. Wenn Sie ein sicheres System betreuen wollen, sollte Ihnen bekannt sein, wohin Protokoll-Meldungen geschickt werden, so dass sie nicht unbeachtet bleiben.
Zum Beispiel ist es für viele Produktiv-Systeme sinnvoll, Meldungen auch auf der Konsole auszugeben. Aber bei vielen solcher Systeme ist es wichtig, eine neue Maschine zu haben, die für die anderen als ein Loghost fungiert (d.h. sie empfängt die Protokolle aller anderen Systeme).
Sie sollten auch an Mails für Root denken, da viele Programme zur Sicherheitskontrolle (wie snort) ihre Alarme an die Mailbox von Root senden. Diese Mailbox zeigt normalerweise auf den ersten Benutzer, der auf dem System erstellt wurde (prüfen Sie dazu /etc/aliases). Sorgen Sie dafür, dass Roots Mails irgendwo hin geschickt werden, wo sie auch gelesen werden (lokal oder in der Ferne).
Es gibt noch andere Konten mit besonderen Funktionen und andere Aliase auf Ihrem System. Auf einem kleinen System ist es wohl am einfachsten, sicherzustellen, dass alle Aliase auf das Root-Konto verweisen, und dass Mails an Root in das persönliche Postfach des Systemadministrators weiter geleitet werden.

OKPrüfung der Integrität des Dateisystems
Sind Sie sich sicher, dass /bin/login auf Ihrer Festplatte immer noch dasselbe Programm ist, das Sie vor ein paar Monaten installiert haben? Was wäre, wenn es sich um eine gehackte Version handelt, die eingegebene Passwörter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt?
Die einzige Methode, um einen gewissen Schutz dafür zu haben, ist es, die Dateien jede(n) Stunde/Tag/Monat (ich ziehe täglich vor) zu prüfen, indem man deren aktuelle und alte MD5-Summe vergleicht. Zwei unterschiedliche Dateien können keine gleichen MD5-Summen haben (die MD5-Summe umfasst 128 Bits, so ist die Wahrscheinlichkeit, dass zwei unterschiedliche Dateien eine gleiche MD5-Summe haben etwa 1 zu 3,4e3803). So sind Sie sicher, solange niemand den Algorithmus gehackt hat, der die MD5-Summen auf Ihrer Maschine erstellt. Dies ist, nun ja, extrem schwer und sehr unwahrscheinlich. Sie sollten diese Überprüfung Ihrer Programme als sehr wichtig ansehen.
Weit verbreitete Werkzeuge hierfür sind sxid, aide (Advanced Intrusion Detection Environment, fortgeschrittene Umgebung zur Erkennung von Eindringlingen), tripwire, integrit und samhain. Das Installieren von debsums wird Ihnen helfen, die Integrität des Dateisystems zu überprüfen, indem Sie die MD5-Summen jeder Datei gegen die MD5-Summe aus dem Debian-Archiv-Paket vergleichen. Seien Sie aber gewarnt, dass diese Dateien sehr leicht von einem Angreifer geändert werden können. Außerdem stellen nicht alle Pakete MD5-Summen für die in ihnen enthaltenen Programme zur Verfügung. Weitere Informationen finden Sie unter Regelmäßiges Überprüfung der Integrität, Abschnitt 10.2 und Einen Schnappschuss des Systems erstellen, Abschnitt 4.19.
You might want to use locate to index the whole filesystem, if so, consider the implications of that. The Debian findutils package contains locate which runs as user nobody, and so it only indexes files which are visible to everybody. However, if you change it's behaviour you will make all file locations visible to all users. If you want to index all the filesystem (not the bits that the user nobody can see) you can replace locate with the package slocate. slocate is labeled as a security enhanced version of GNU locate, but it actually provides additional file-locating functionality. When using slocate, the user only sees the actually accessible files and you can exclude any files or directories on the system. The slocate package runs its update process with higher privledges than locate, and indexes every file. Users are then able to quickly search for every file which they are able to see. slocate doesn't let them see new files; it filters the output based on your UID.
Sie sollten auch bsign oder elfsign einsetzen. elfsign bietet die Möglichkeit, digitale Signaturen an ELF-Binaries anzufügen und diese Signaturen zu überprüfen. Die aktuelle Fassung verwendet PKI, um die Checksummen der Binaries zu signieren. Dies hat den Vorteil, dass festgestellt werden kann, ob das Binary verändert wurde und wer es erstellt hat. bsign verwendet GPG, elfsign benutzt PKI-(X.509)-Zertifikate (OpenSSL).
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKSichere Verschlüsselung mit NSS: Firefox: Kopiere die sichere libssl*, libnss* and libnspr4* vom Tor-Browser (ESR) oder einer aktuellen Firefox-Version in das Verzeichnis von Firefox (ESR, same version as tor-browser) /usr/lib64/firefox/ und führe chown root:root und chmod 755 auf diese Dateien aus.

OKSchutz vor ARP-Angriffen, 4.18.6, https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html
Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen.
Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe RFC826). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ...
Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison.
Allerdings gibt es immer eine Lösung:

Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie "statische" Einträge in Ihrem ARP-Speicher:

arp -s host_name hdwr_addr

Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert.

Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu arpwatch, karpski oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie snort oder prelude, einsetzen.
Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft.

OKAbsichern von Diensten, die auf Ihrem System laufen
SSH, Squid, FTP, X-Window-System, Display-Manager, Druckerzugriff, Mail-Dienst, BIND, Apache, Finger, allgemeine chroot- und suid-Paranoia, Klartextpasswort-Paranoia, NIS deaktivieren, Abschalten von RPC-Diensten:
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

Paketsignierung
https://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html

OKProgramme zur Fernprüfung der Verwundbarkeit, https://www.debian.org/doc/manuals/securing-debian-howto/ch8.de.html
Die Werkzeuge, um eine Fernprüfung der Verwundbarkeit durchzuführen, sind unter Debian (und CentOS/mdv2010): [67]
nessus
raccess
nikto (Ersatz für whisker)
Das weitaus vollständigste und aktuellste Werkzeug ist nessus, welches aus einem Client (nessus) mit graphischer Benutzungsschnittstelle und einem Server (nessusd), der die programmierten Attacken startet, besteht. Nessus kennt verschiedene entfernten Verwundbarkeiten für einige Systeme, einschließlich Netzwerkanwendungen, FTP-Servern, WWW-Servern, usw. Die neusten Sicherheitsplugins sind sogar in der Lage, eine Web-Seite zu analysieren und zu versuchen, interaktive Inhalte zu entdecken, die zu einem Angriff genutzt werden können. Es existieren auch Java- und Win32-Clients, die benutzt werden können, um sich mit dem Nessus-Server zu verbinden. Diese sind jedoch in Debian nicht enthalten.
nikto ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch einige Anti-IDS-Taktiken (die meisten davon sind keine Anti-IDS-Taktiken mehr). Er ist einer der besten verfügbaren CGI-Scanner zur Erkennung von WWW-Servern und kann nur bestimmte Angriffe gegen ihn starten. Die Datenbank, die zum Scannen benutzt wird, kann sehr leicht geändert werden, um neue Informationen einzufügen.

OKWerkzeuge zum Scannen von Netzwerken
Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts (aber nicht zur Gefahrenabschätzung). Diese Programme werden in manchen Fällen von Scannern zur Gefahrenabschätzung zu einem ersten "Angriff" gegen entfernte Rechner genutzt, um festzustellen, welche Dienste angeboten werden. Unter Debian sind im Moment verfügbar:

nmap, xprobe, p0f, knocker/knock, isic, hping2, icmpush, nbtscan (für die Prüfung von SMB und NetBIOS), fragrouter, strobe(aus dem Paket netdiag), irpas, ...

Während xprobe lediglich aus der Ferne das Betriebssystem erkennen kann (indem es TCP/IP-Fingerabdrücke benutzt, machen nmap und knocker beides: das Betriebssystem erkennen und die Ports eines entfernten Rechners scannen. Andererseits können hping2 und icmpush für ICMP-Angriffstechniken benutzt werden.
Nbtscan, das speziell für SMB-Netzwerke entworfen wurde, kann benutzt werden, um IP-Netzwerke zu scannen und diverse Informationen von SMB-Servern zu ermitteln einschließlich der Benutzernamen, Netzwerknamen, MAC-Adressen, ...
Dagegen kann fragrouter dazu verwendet werden, um Systeme zur Eindringlingserkennung zu testen und um zu sehen, ob das NIDS mit fragmentierten Angriffen umgangen werden kann.

OKVirtual Private Networks (virtuelle private Netzwerke, VPN), https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.de.html
Ein virtuelles privates Netzwerk (VPN) ist eine Gruppe von zwei oder mehreren Computern, die typischerweise zu einem privaten Netzwerk mit begrenztem öffentlichen Netzwerkzugang verbunden sind und sicher über ein öffentliches Netzwerk kommunizieren. VPNs können einen einzelnen Rechner mit einem privaten Netzwerk verbinden (Client-Server) oder ein entferntes LAN mit einem privaten Netzwerk (Server-Server). VPNs verwenden Verschlüsselung, starke Authentifikation von entfernten Benutzern oder Hosts und Methoden, um die Struktur des privaten Netzwerks zu verstecken.


VPN für mehr Schutz in offenen Netzen, netzpolitik.org, 30.04.2018
"VPN steht für Virtual Private Network. Mit einem VPN-Client lässt sich nicht nur weitgehend anonym surfen, sondern auch bei anderen Online-Aktivitäten die eigene Identität verschleiern. Das ist vor allem wichtig, wenn man in offenen WLANs unterwegs ist, wo der Betreiber den Datenverkehr mitüberwachen kann. VPN-Software leitet sämtlichen Verkehr zunächst vom eigenen Gerät verschlüsselt zum Server des Anbieters und von dort ins Netz. Auch kann man durch VPN-Server vorgeben, aus einem bestimmten Land zu sein, und dadurch Geoblocking umgehen.
Manche VPN-Anbieter versprechen ihren Nutzern, ihre Zugriffsdaten nicht zu speichern und dadurch ihre Anonymität zu wahren. Aber Obacht: Wenn der gesamte Internetverkehr durch einen VPN-Anbieter getunnelt wird, versetzt das diesen in eine besonders wichtige Lage und macht ihn zu einem attraktiven Ziel. Dass Anbieter von VPN-Diensten selbst nicht mitlesen, gilt bei weitem nicht für alle VPN-Anbieter, etwa den entsprechenden Dienst von Facebook. Auf keinen Fall sollte man daher Gratis-Lösungen nutzen. Im Umfeld von netzpolitik.org werden beispielsweise IPredator oder F-Secure verwendet. Am sichersten ist aber immer noch, den VPN über einen eigenen Server zu betreiben.
Staaten wie China, Russland und der Iran schränken die Nutzung von VPN-Diensten stark ein. Das sollte man vor einem Reiseantritt bedenken. Auch gilt es bei der Verwendung von VPN-Diensten und Tor-Browsern zu bedenken: Sobald man sich im Browser irgendwo einloggt, ist es - zumindest gegenüber dem verwendeten Dienst - vorbei mit der Anonymität.
"

https://netzpolitik.org/2018/kleines-einmaleins-der-digitalen-selbstverteidigung/

Debian (CentOS bzw. mdv2010) enthält etliche Pakete, die zum Aufsetzen von verschlüsselten virtuellen privaten Netzwerken verwendet werden können:

vtun, tunnelv (Abschnitt non-US), cipe-source, cipe-common, tinc, secvpn, pptpd, openvpn, openswan (http://www.openswan.org/)

Das OpenSWAN-Paket ist wahrscheinlich die beste Wahl, da es nahezu mit allen zusammenarbeiten kann, die das IP-Security-Protokoll IPsec (RFC 2411) benutzen. Aber auch die anderen oben aufgeführten Pakete können Ihnen helfen, möglichst schnell einen sicheren Tunnel aufzusetzen. Das Point-to-Point-Tunneling-Protocol (PPTP) ist ein urheberrechtlich geschütztes Protokoll von Microsoft für VPN. Es wird unter Linux unterstützt, aber es sind einige schwere Sicherheitsprobleme bekannt.
Für weitere Informationen über IPsec und PPTP lesen Sie bitte das VPN-Masquerade-HOWTO, über PPP über SSH das VPN-HOWTO, das Cipe-Mini-HOWTO und das PPP- und SSH-Mini-HOWTO.

Ist Debian sicherer als andere Linux-Distributionen (wie Red Hat, SuSE, ...)?, https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html
Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden.

OKReaktion bei Benutzer-Untätigkeit, https://wiki.centos.org/HowTos/OS_Protection
Now that we´ve restricted the login options for the server, lets kick off all the idle folks. To do this, we´re going to use a bash variable in /etc/profile. There are some reasonably trivial ways around this of course, but it´s all about layering the security.

echo "Idle users will be removed after 15 minutes"
echo "readonly TMOUT=900" >> /etc/profile.d/os-security.sh
echo "readonly HISTFILE" >> /etc/profile.d/os-security.sh
chmod +x /etc/profile.d/os-security.sh

OKBeschränkungen für cron und at, https://wiki.centos.org/HowTos/OS_Protection
In einigen Fällen möchten Aadministratoren oder andere vertrauenswürdige Benutzer Cronjobs oder zeitgesteuerte Skripte mit at starten. Um das zu verhindern, erzeuge man in /etc die Dateien cron.deny und at.deny mit den Namen aller blockierten Benutzer. Eine einfache Möglichkeit besteht in dem Parsen von /etc/passwd mit folgendem Skript:

echo "Locking down Cron"
touch /etc/cron.allow
chmod 600 /etc/cron.allow
awk -F: ´{print DOLLARSIGN1}´ /etc/passwd | grep -v root > /etc/cron.deny
echo "Locking down AT"
touch /etc/at.allow
chmod 600 /etc/at.allow
awk -F: ´{print DOLLARSIGN1}´ /etc/passwd | grep -v root > /etc/at.deny

OKLockdown Cronjobs
Cron integriert ein Feature, mit dem angegeben werden kann, welche Benutzer erlaubt und welche nicht erlaubt sind, Cronjobs zu starten. Kontrolliert wird das mittels den Dateien /etc/cron.allow und /etc/cron.deny. Um einen Benutzer zu sperren oder zu erlauben, füge einfach dessen Namen in die Datei cron.deny bzw. cron.allow ein. Sollen alle Benutzer gesperrt werden, füge cron.deny die Zeile ´ALL´ hinzu.

# echo ALL >> /etc/cron.deny
Beispiele für Cron-Scheduling: https://www.tecmint.com/11-cron-scheduling-task-examples-in-linux/
Quelle: https://www.tecmint.com/linux-server-hardening-security-tips/

OKSysctl, https://wiki.centos.org/HowTos/OS_Protection
Als nächstes verändere man /etc/sysctl.conf. Folgende Zeilen sollten enthalten sein: Wenn Sie mehrere Netzwerk-Schnittstellen haben, können einige davon Probleme verursachen. Daher sind sie auzustesten. Weitere Einzelheiten hierzu entnehme man dem Paket kernel-doc in der documentation/networking/ip-sysctl.txt.
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.tcp_max_syn_backlog = 1280
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_timestamps = 0
# additionally from http://joshrendek.com/2013/01/securing-ubuntu/ resp. http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf # Turn on execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Tune IPv6
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 0
# Optimization for port usefor LBs
# Increase system file descriptor limit
fs.file-max = 65535
# Allow for more PIDs (to reduce rollover problems); may break some programs 32768
kernel.pid_max = 65536
# Increase system IP port limits
net.ipv4.ip_local_port_range = 2000 65000
# Increase TCP max buffer size setable using setsockopt()
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
# Increase Linux auto tuning TCP buffer limits
# min, default, and max number of bytes to use
# set max to at least 4MB, or higher if you use very high BDP paths
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1
Starte (reboote) das System nach den Veränderungen.

OKIPv6 deaktivieren, https://help.ubuntu.com/community/StricterDefaults
Ab Linux Kernel 2.6.28 ist IPv6 fester Bestandteil des Standard Kernels. Eine IPv6-Adresse ist unveränderbar und kann bei falscher Konfiguration zu Störungen im Netzwerkbetrieb und insbesondere bei DNS-Anfragen führen.
IPv6 ist auf Ubuntu (by default) zunächst ermöglicht. Die meistene Firewalls (darunter LINFW3) beziehen sich aber auf IPv4 und ignorieren IPv6. Soll IPv6 nicht genutzt und das Laden zur Bootzeit des Systems verhindert werden, verändere in /etc/modprobe/aliases bzw. /etc/modprobe.conf alias (Namen) net-pf-10 ipv6 nach alias net-pf-10 off und führe einen Neustart aus.

RedHat Enterprise Linux / CentOS / Fedora Core:
In der Datei /etc/modprobe.conf die Zeile:

alias net-pf-10 ipv6
in:
alias net-pf-10 off
alias ipv6 off

ändern und den Rechner neustarten.

RedHat Enterprise Linux / CentOS / Fedora Core / Mandriva:
In die Datei /etc/sysconfig/network den folgenden Eintrag hinzufügen/ändern in:

NETWORKING_IPV6="no"

und den Rechner neustarten.

OKIPv6 deaktivieren
Soll das IPv6-Protokoll nicht verwendet werden, sollte man es deaktivieren. Die meisten Anwendungen, Policies ("Politiken") und Server erforden nicht das IPv6-Protokoll. Verände die Netzwerk-Konfigurationsdatei wie folgt:

nano /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

https://www.tecmint.com/linux-server-hardening-security-tips/

OKIPv6 deaktivieren
Dieser Artikel beschreibt wie Sie unter Linux und Windows der IPv6 Support deaktivieren bzw. ausschalten können. Dies kann aus Sicherheitsgründen sinnvoll sein, solange man IPv6 noch nicht produktiv einsetzt. Damit kann verhindert werden, dass man eine IPv6 Adresse erhält, sobald ein IPv6 Router Advertisement Daemon in einem Netz verfügbar ist. Außerdem sind bestehende Firewall Rules oft nicht für IPv6 gültig. In diesem Fall hätte man dann unter Umständen Dienste per IPv6 zugänglich die man eigentlich mit einer IPv4 Regel unterbunden hat. Unter Linux gibt es das eigene Kommando "ip6tables" zur Verwaltung der IPv6 Firewall Rules.
1 Ubuntu
2 RHEL / CentOS
Ubuntu
In Ubuntu 10.04, 12.04, 14.04 und 16.04 ist IPv6 direkt in den Kernel kompiliert und wird nicht als Modul geladen. Die einfachste Methode um IPv6 zu deaktivieren ist den passenden sysctl Parameter zu setzen. Temporär kann dies mit folgendem Kommando erfolgen:

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

Um diese Einstellung dauerhaft vorzunehmen bietet es sich an auf die sysctl Funktionalitäten zurückzugreifen. Dafür einfach eine Datei namens /etc/sysctl.d/01-disable-ipv6.conf anlegen mit folgendem Inhalt:

net.ipv6.conf.all.disable_ipv6 = 1

Nach dem nächsten Reboot ist IPv6 dann deaktiviert.

Am besten kann dies mit dem Kommando "ip addr show" überprüft werden. Es darf dann keine Einträge mit dem Text "inet6" mehr geben.

ip addr show | grep inet6

RHEL / CentOS

Unter RHEL 6 / CentOS 6 kann die Deaktivierung von IPv6 ident wie unter Ubuntu via sysctl erfolgen (siehe oben).

In RHEL 4 / CentOS 4 ist IPv6 als Modul integriert. Um dieses zu deaktiveren einfach folgende Zeile in der Datei /etc/modprobe.conf hinzufügen:

install ipv6 /bin/false

Die Überprüfung, ob es geklappt hat, kann mit dem Kommando "ip addr show | grep inet6" oder alternativ mit dem Kommando

lsmod | grep -i ipv6

OKTCP-Wrapper, https://wiki.centos.org/HowTos/OS_Protection
Nun sollten wir uns /etc/sysctl.conf ansehen und einige Änderungen machen. Der TCP-Wrapper liefert eine einfache und schnelle Methode für die Zugangskontrolle. Beispiele für von TCP-Wrappern bewussten Anwendungen sind sshd und Portmap. Im Folgenden soll ein Beispiel für Einschränkungen gegeben werden, in dem alles außer ssh geblockt wird. Dieses Beispiel blockt alles außer SSH

echo "ALL:ALL" >> /etc/hosts.deny
echo "sshd:ALL" >> /etc/hosts.allow

OKShared Memory (shm und tmpfs, siehe unsere /etc/fstab im noch Folgenden), https://help.ubuntu.com/community/StricterDefaults
Ohne nährere Spezifikation wird /run/shm mit Lese- und Schreibzugriff (read/write) eingebunden ("gemountet") und mit der Möglichkeit zur Ausführung (execute). In den letzten Jahren berichteten viele Mail-Listen von Schwachstellen (Exploits), in denen /run/shm für Angriffe auf gestartete Dienste wie httpd genutzt worden ist. Wie auch immer, gingen die meisten dieser Exploits aus unsicheren Webanwendungen hervor, mehr als aus der Verwundbarkeit von Apache oder Distributionen wie Ubuntu. Es gibt einige wenige Gründe, in spezieller Konfiguration /run/shm read/write zu mounten wie die Echtzeit-Konfiguration eines Touchpads von Synaptics für Laptops, während sich für Server ud Desktop-Installationen kein Vorteil ergibt. Dennch, um Readwrite zu ermöglichen, editiere die Geräte-Konfiguraitonsdatei /etc/fstab durch Hinzufügen folgender Zeile:

none /run/shm tmpfs defaults,ro 0 0

bzw. siehe http://joshrendek.com/2013/01/securing-ubuntu/ :

Ein allgemeiner Exploit-Vektor reicht durch das Shared-Memory, der die UID gestarteter Programme und bösartige Aktionen durchführen kann. Außerdem kann /run/shm als ein Platz für Dateien angesehen werden, nachdem ein Einbruch ins System stattgefunden hat.

Öffne /etc/fstab/ und setze:

tmpfs /dev/shm tmpfs defaults,ro 0 0

Ein Neustart (Reboot) des Systems ist nun erforderlich.

/run/shm ist danach im nur Lese-ReadOnly-Modus. Beachte, dass einige Programme dann nicht mehr arbeiten (z.B. Google Chrome). Gegebenenfalls belasse den Schreibzugriff, indem in /etc/fstab statt eben vorgestellter folgende Zeile hinzugefügt wird:

none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0

Nun wird /run/shm schreibbar eingebunden (gemountet), wenn auch ohne Erlaubnis für Ausführung von Programmen, dem Wechsel der UID laufender Programme und der Möglichkeit, block- oder zeichenbasierte Geräte zu erzeugen.

Statt das System neu zu starten, kann man /run/shm mit dem Kommando "mount -o remount /run/shm" auch neu einbinden (remounten)..

OKSSH-Einstellungen, https://help.ubuntu.com/community/StricterDefaults
Während der SSH-Daemon für die meisten Leute sicher genug ist, legen einige auf mehr Sicherheit wert, indem Veränderungen an der Konfiguration von sshd vorgenommen werden:

nano /etc/ssh/sshd

Neustart von sshd: :

service ssh restart (CentOS: sh /etc/init.d/sshd restart)
..., https://help.ubuntu.com/community/StricterDefaults .

OKKonfiguration von bastille, http://joshrendek.com/2013/01/securing-ubuntu/
Das Bastille-Hardening-Programm "sperrt" das Betriebssystem mit dessen Konfiguration für zunehmende Sicherheit und mindert dessen Anfälligkeit für Kompromisse. Bastille kann außerdem den Hardening-Grad des Systems ermessen.
File permissions module: Yes (suid)
Disable SUID for mount/umount: Yes
Disable SUID on ping: Yes
Disable clear-text r-protocols that use IP-based authentication? Yes Enforce password aging? No (situation dependent, I have no users accessing my machines except me, and I only allow ssh keys)
Default umask: Yes
Umask: 077
Disable root login on tty 1-6: Yes
Password protect GRUB prompt: No (situation dependent, I´m on a VPS and would like to get support in case I need it)
Password protect su mode: Yes
default-deny on tcp-wrappers and xinetd? No
Ensure telnet doesn´t run? Yes
Ensure FTP does not run? Yes
display authorized use message? No (situation dependent, if you had other users, Yes)
Put limits on system resource usage? Yes
Restrict console access to group of users? Yes (then choose root)
Add additional logging? Yes
Setup remote logging, if you have a remote log host, I don´t so I answered No
Setup process accounting? Yes
Disable acpid? Yes
Deactivate nfs + samba? Yes (situation dependent)
Stop sendmail from running in daemon mode? No (I have this firewalled off, so I´m not concerned)
Deactivate apache? Yes
Disable printing? Yes
TMPDIR/TMP scripts? No (if a multi-user system, yes)
Packet filtering script? Yes
Finished? YES! & reboot

OKProgramme deinstallieren (siehe auch unter Updaten): Wird sudo oder z. B. der rpcbind Portmapper, sshd SSH-Daemon, rsh, telnet, Avahi-Daemon oder der cups-browsed Daemon des CUPS Systems nicht benöt;tigt, kann man sie auch zunächst deaktivieren oder entfernen: "dpkg ..." , "rpm -e [nodeps]" Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune

OKQuota
Vorbereitung
Mit Quota kann der Speicherplatzverbrauch für einzelne Benutzer und/oder Gruppen limitiert werden, so dass ein"Volllaufen" eines Volumes bzw. einer Partition verhindert wird. Für die Quotaverwendung muss der Kernel entsprechend konfiguriert sein. Ist CONFIG_QFMT_V2 als Modul eingestellt, wird das quota_v2.ko Kernelmodul in /etc/modules eingetragen:

sudo echo quota_v2 >> /etc/modules

Für die Quotaverwendung werden die entsprechenden Pakete installiert:

sudo aptitude install quota quotatool

Wird kein Quota auf per NFS eingehängten Dateisystemen bzw. RPC Quota-Server verwendet, kann der RPC Remote Quota Server Dienst deaktiviert werden:

sudo systemctl disable quotarpc.service

In der /etc/fstab Datei werden die Mountoptionen des /fs Dateisystems mit den Optionen zur Nutzung von Journaling Quota ergänzt:

/etc/fstab

/fs /mountpoint ext4 optionen,usrjquota=aquota.usr/grpjquota=aquota.group,jqfmt=vfsv0|1

Man kann mit usrjquota Quota für Benutzer und/oder mit grpjquota Quota für Gruppen einrichten. Bei Volumes mit einer Größe > 4TB wird das Quotaformat vfsv1 verwendet.

Anschließend wird ein Neustart ausgeführt, falls das Dateisystem nicht mit dem folgenden Kommando neu eingehängt werden kann:

sudo mount -o remount /mountpoint

OKKernel-Konfiguration
Die Einstellungen beziehen sich auf Kernel 4.13 und 4.14 (derzeit 4.14.12). Generell sollte man alles deaktivieren, was nicht benötigt wird und benötigte Kernelmodule möglichst fest in den Kernel einbauen. Die Konfiguration ist auf einen Einzelplatzrechner mit "normaler" Benutzung für den Alltag ausgerichtet. Anwender mit speziellen Anforderungen oder Entwickler müssen natürlich davon abweichen und man sollte parallel einen Backup-Kernel installiert haben, falls Start und Betrieb des Kernels mit der Konfiguration fehlschlägt. Angaben mit K:string beziehen sich auf zusätzliche Parameter, die man auf der Kernel Kommandozeile bzw. in GRUB_CMDLINE_LINUX_DEFAULT der GRUB Konfiguration angibt. Einstellungen mit [?] weisen Probleme auf, sind fragwürdig oder Ansichtssache.
Wie man unter Debian einen eigenen Kernel konfiguriert, kompiliert und installiert, kann im Debian Administrationshandbuch ab Einen Kernel kompilieren nachgelesen werden.
Weitere Einzelheiten einschl. Module blockieren (alternativ direkt in den Skripten aus /etc/modules.d ) und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune; wie man die Kernel-Quellen konfiguriert und eincompiliert, beschreiben wir noch, z.B. unter Updaten.

Weitere Einzelheiten über quota und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune

OKDienste mit systemd
Entfernung und Deaktivierung
Alle nicht benötigten Dienste sollten deaktiviert werden. Entweder werden zum Dienst zugeh&oml;rige Pakete gleich komplett deinstalliert oder - sofern eine Deinstallation nicht erfolgen soll - mittels systemctl (alternativ: ntsysv, chkconfig oder MMC#Systemdienste (mdv2010) deaktiviert.


Weitere Sicherheitseinstellungen mit systemd (bzw. mittels "blacklist modulname" innerhalb der Konfigurationsdateien aus /etc/init.d) und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune

OKat & cron
Zur Beschränkung, welche Benutzer außer root at, batch und cron Jobs erstellen und modifizieren dürfen, wird die /etc/at.allow und /etc/cron.allow Datei angelegt und in den beiden Dateien die Login-Namen der Benutzer zeilenweise aufgeführt, die eine entsprechende Berechtigung erhalten sollen.

OKGehärtetes Kompilieren
Flags, die man dem configure-Skript übergeben kann.


Executable

´CFLAGS= -g -O2 -fPIE -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´CPPFLAGS= -D_FORTIFY_SOURCE=2´
´CXXFLAGS= -g -O2 -fPIE -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´LDFLAGS= -fPIE -pie -Wl,-z,relro -Wl,-z,now´

Shared Library

´CFLAGS= -g -O2 -fpic -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´CPPFLAGS= -D_FORTIFY_SOURCE=2´
´CXXFLAGS= -g -O2 -fpic -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´LDFLAGS= -fpic -Wl,-z,relro -Wl,-z,now´

Geht Option "-fpic" nicht, benutze "-fPIC".

OKVerlinke den DNS-Resolver nslookup mit dem anonymisierenden tor-resolve
Auf Tor (The anonymizing Onion Router) kommen wir gegen Ende von Schritt 1 unseres Exkurses noch zu sprechen. Wird Tor bereits genutzt, kann das System gesichert werden, indem nslookup mit dem DNS-anonymisierenden Resolver tor-resolve verlinkt wird:
Mache zunächst eine Kopie von nslookup: cp -f /usr/bin/nslookup /usr/bin/nslookup-save
Verlinke nlookup mit tor-resolve: ln -sf /usr/bin/tor-resolve /usr/bin/nslookup. Dasselbe kann man mit den DNS-Resolvern host und dig machen.
Für Programme, die damit nicht klar kommen, lassen sich die IP-Domain-Paare in /etc/hosts eintragen und /etc/nsswitch.conf entsprechend angepasst, siehe /etc/hosts-Datei gegen Ende unseres Exkurs.
Beachte, dass die Ausgabe der drei Resolver nicht die gleiche ist. Dafür enthält sie stets die IP zur hinterfragten Domain.
Bereits jetzt kann man das Setzen von ACL-Zugriffsrechten erwägen. Wie das geht, beschreiben wir noch in der Sektion für setfacl.


OKGgfls. Deinstallieren / evtl. deinstall ( rpm -e packagename or rpm -e --nodeps packagename )
rpcbind (el6, mdv2010.2), sudo (el6, mdv2010.2), acpid (hald (pclos) führt bereits Rootprozess acpid aus), portmap (el6, mdv2010.2), dayplanner, lxde (mdv2010, Auslösung eines andauernd um in den Root-Modus gehen wollenden Prozesses von lxpanel), mmc-agent (mdv2010.2), tracker (mdv2010), codeina (mdv2010), xguest (mdv2010), wu-ftpd (mdv2010), anonftp (mdv), mdkonline (mdv2010), f-spot (does not work on the base of updated mono (rosa2014.1), funguloids (mdv2010.2), banshee (rosa,mdv) and amarok (rosa,mdv): unavailable for el6, both ones do not work, abrt (el6), qmmp (el6, mdv) does not work, generell alle Programme bzw. Prozesse, die nicht richtig laufen oder unaufgefordert in den Root-Modus wechseln wollen. Dies sind zum Glück aber nur einige wenige; alle möglichen Terminals und Konsolen auß den bzw. der favorisierten.

Nur Root-Prozesse stellen bald theoretisch noch eine ernstzunehmende Gefahr dar! Die Anzahl nicht vom Kernel über kthreadd aktivierter, laufender Root-Prozesse sollten sich in argen Grenzen halten,
OKbenötigte Root-Prozesse lauten lediglich:

init
X # xhost-Zugriffsschutz oder im Benutzermodus / Usermode nach https://wiki.gentoo.org/wiki/Non_root_Xorgund, X mit Option "--nolisten tcp" (voreingestellt oder in /etc/X11/xorg.conf unter ServerLayout; Abfrage über Tastendruck ESC+CTRL und Maus ü,ber Prozess X);
kdm: /usr/share/config/kdm/kdmrc

...
AllowNullPasswd=false
AllowRootLogin=false
AllowShutdown=None
AutoReLogin=false
...
ServerArgsLocal=-deferglyphs 16 -nolisten tcp
...

hald # macht acpid überflüssig
console-kit-daemon # nur fü Login erforderlich, timeout möglich
wpa-supplicant # Teil des NetworkManagers
psad # oder iptables: psd, Port-Scan-Detektor; starte nur mit sichernden Optionen wie --no-rdns, --no-whois und --no-snort-sids
udevd # Geräte und Schnittstellen, Option -d (voreingestellt)
kdm
syslogd
klogd
gpm
cupsd
dhclient # oder dhcpd etc.
pam_timestamp_c
master
spamd # probiere alternativ z.B. den stets im Benutzermodus laufenden bogofilter

OKVerwende nur net_applet aus NetworkManager und nicht nm-applet. Ersetze im möglicherweise fehlerhaften Skript /etc/init.d/NetworkManager innerhalb der Funktion start() alles außer letzte Zeile mit dem Aufruf "/usr/bin/NetworkManager --login-level=INFO".

Kommerzielle Module: Linux and the NSA
tgruene, 16.10.2013
Bei dem letzten Newslink über Oracles Versuch, dem DOD den Vorteil kommerzieller Software zu erkläeren, kam mir der Gedanke, dass auf einem.typischen Linuxrechner eine ganze Reihe Module laufen, fuer die kein Quellcode zur Verfuegung steht (die dafür von US-amerikanischen Firmen zur Verfügung gestellt werden und somit vermutlich auch gesetzestreue (aka NSA-freundliche) Hintertüren enthalten), seien es Nvidia/ATI-Treiber, Virtualbox oder unter Debian vermutlich fast der gesamte Inhalt von firmware-linux-nonfree.
Mich interessiert, wie gut der Kernel und die Module voneinander abgeschottet sind - wie leicht ist es, solch einem Modul z.B. einen Keylogger einzubauen, der meine Passwörter beim Tippen abfängt und übers Internet irgendwohin schickt? Dass die NSA meine Emails liest, ist unverschämt, stört mich aber an sich nicht weiter, sonst würde ich ja keine Emails an Leute schreiben, deren Schlüssel ich nicht kenne, doch meinen GPG-Schlüssel und die Passwörter abzuhören - dagegen habe ich ganz ordentlich etwas.

OKTerminal -> lsmod
/etc/modprobe.d/blacklist*
blacklist mei
blacklist it87
blacklist i2c_dev
blacklist coretemp
blacklist vhost_net
blacklist tpm_infineon
blacklist tmp_tis
blacklist tmp_tis_core
blacklist i82875p_edac
blacklist pcspkr
blacklist snd-pcsp
blacklist rivatv
blacklist i82875p_edac
blacklist pcspkr
# watchdog drivers
blacklist i8xx_tco
# framebuffer drivers
blacklist aty128fb
blacklist atyfb
blacklist radeonfb
blacklist i810fb
blacklist cirrusfb
blacklist intelfb
blacklist kyrofb
blacklist i2c-matroxfb
blacklist hgafb
blacklist nvidiafb
blacklist rivafb
blacklist savagefb
blacklist sstfb
blacklist neofb
blacklist tridentfb
blacklist tdfxfb
blacklist virgefb
blacklist vga16fb
blacklist matroxfb_base

OKPartitions-Check bei jedem System-Start (System-Boot)
Die Erkläuterung erfolgt eigentlich weiter unten und wurde an diese Stelle vorgezogen.
Unter den Annahme, dass die Partitionen bereits mit LUKS/dm-crypt verschlüsselt worden sind (wie das geht, beschreiben wir noch), empfiehlt sich aufgrund der bevorstehenden Menge an Updates (mit rpm-Paketen) der i.a. nur wenige Sekunden dauernde Check jeder nicht internen Partition vorsichtshalber bei jedem Systemstart. Das gilt auch für noch unverschlüsselte Partitionen.
Das Dateisystem der Partitionen sei z.B. ext4 oder reiserfs.

tune2fs -c 1 /dev/mapper/cryptedhomepartition


bzw.

OK
reiserfstune -m 1 /dev/mapper/cryptedroot_resp_home_resp_bootpartition


und

OK
tune2fs -d 7 /dev/mapper/cryptedroot_resp_home_resp_bootpartition


für die maximale Anzahl der Systemneustarts (im auch fehlerfreien Fall), hier der (von uns empfohlenen) Zahl eins bis zum nächsten automatisch erfolgenden (ausführlichen) Dateisystemcheck der Root-, Home- und unverschlüsselten Bootpartition usw mit e2fsck bzw. reiserfsck (wenn auch nicht die internen Kernel-Partitionen shm, tmp und proc).. Anstelle der Containerdatei "/dev/mapper/cryptedhomepartiton" kann hier natürlich auch jede nicht verschlüsselte ext- uind reiserfs-Partition durch die zugehörige Gerätedatei wie bspws. /dev/sda1 angegeben werden.

In der Geräte-Konfigurationsdatei /etc/fstab aktiviere man am Ende jeder Zeile für eine Partition noch "prioritätisch" ihren Check durch Angabe einer Zahl hinter der Zahl 0 für den deaktivierten Dump (Speicherauszug im Fehlerfall): "0 1" für die Root-Partition, "0 1" oder "0 2" für die Home-Partition usw..
Den Inhalt unserer fstab geben wir weiter unten noch einmal in aller Ausführlichkeit an.

OKApache-Webserver absichern in httpd.conf (analog: LAN/Samba samba und samba4 mit samba.conf, Datenbankserver/MySQL mit my.cnf und mysld.conf und weitere Server, Druckerserver (CUPS) siehe am Ende der Webseite )
Jetzt kommt der Webserver an die Reihe, fast immer ist ein Apache httpd 1.3 oder 2.0 installiert. Dessen Grundfunktionen werden durch etliche ladbare Module ergänzt.
Welche Module aktuell benutzt werden, steht bei Version 1.3 in der Datei /etc/apache/httpd.conf (bei CentOS 6 und CentOS 7: /etc/httpd/httpd.conf), etwa

LoadModule autoindex_module /usr/lib/apache/1.3/mod_autoindex.so
LoadModule dir_module /usr/lib/apache/1.3/mod_dir.so
LoadModule cgi_module /usr/lib/apache/1.3/mod_cgi.so
LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so
LoadModule proxy_module /usr/lib/apache/1.3/libproxy.so

Überflüssige Module kommentieren Sie hier # plus Leerzeichen am Zeilenanfang aus. Das hat neben dem Sicherheitsaspekt noch den netten Zusatzeffekt, dass der Apache mit weniger Modulen schneller arbeitet und weniger Speicher benötigt.

Nur Module, die tatsächlich benötigt werden, sollten geladen werden. Welche das sind, hängt von den Aufgaben Ihres Servers ab. Auf einem StandardWebserver sind fast immer überflüssig:
* lib_status (liefert eine serverinterne Statusanzeige)
* libproxy (damit dient der Webserver als Zwischenspeicher für Zugriffe auf weitere Server - ein enormes Sicherheitsrisiko!)
* mod_cgi (dient zum Ausführen sogenannter cgi-scripte, die heute kaum noch verwendet werden, ebenfalls ein Sicherheitsrisiko)
* mod_userdir (generiert für jeden auf dem System vorhandenen Benutzer ein eigenes Webserver-Verzeichnis)
Ein Apache 2.0 verwendet in Debian die Datei /etc/apache2/apache2.conf zur Konfiguration. Dort wiederum werden standardmäßig alle Module geladen, für die im Verzeichnis /etc/apache2/mods-enabled/ ein symbolischer Link vorhanden ist. Zum Ausschalten eines Moduls müssen Sie deshalb diesen Link löschen. Nach dem Ändern der Config-Dateien zeigt ein

apache -t
ob die Konfigurations-Syntax noch in Ordnung ist. Ein

/etc/init.d/apache restart
oder
/etc/init.d/apache2 restart # C6 (el6): sh /etc/init.d/httpd restart

startet dann den Server neu, damit die Änderungen auch wirksam werden.
Unter Suse ist es ein wenig anders. Dort werden die Apache-Module in der Datei /etc/sysconfig/apache2 geladen. Suchen Sie in der Datei nach der Zeile APACHE_MODULES und löschen Sie daraus die nicht gewünschten Einträge. Danach müssen Sie

SuSEconfig
von der Shell aus aufrufen. Anschließend starten Sie mit
rcapache2 restart
den Webserver neu. Genaue Infos zur Aufgabe jedes Moduls gibt es auf den Apache-Webseiten unter

http://httpd.apache.org/docs/1.3/mod/index-bytype.html und
http://httpd.apache.org/docs/2.0/mod/

Ähnliche Beiträge
Apache: Unerwünschte Referer stoppen, https://www.strassenprogrammierer.de/apache-unerwuenschte-referer-stoppen_tipp_441.html
Quelle: https://www.strassenprogrammierer.de/webserver-absichern-hacker_tipp_479.html

OKSicherer Apache/PHP/Nginx server
Editiere httpd.conf (CentOS: /etc/httpd/conf/httpd.conf) und füge hinzu:

ServerTokens Prod
ServerSignature Off
TraceEnable Off
Options all -Indexes
Header always unset X-Powered-By

Starte httpd/apache2 server neu.
mod_security muss erm&oumL;glicht sein für RHEL/CentOS-Server. Editiere noch php.ini
https://www.cyberciti.biz/tips/linux-security.html

Debian 7.0: Webserver absichern, https://debianforum.de/forum/viewtopic.php?f=37&p=914095

OKHackversuche gegen die Secure Shell unterbinden
Um zu verhindern, dass durch einen Hackversuch hunderte sshd-Tasks gleichzeitig gestartet werden, fügen Sie die Zeile

MaxStartups 3:30:10

in das Configfile /etc/ssh/sshd_config ein. Diese Beschränkung ist effektiv, aber kompliziert: Die Werte im Beispiel bedeuten, dass 2 (= 1. Wert minus 1) unauthenticated (also im Login-Stadium befindliche) sshd-Verbindungen immer erlaubt sind.
Ab der 3. Verbindung (= 1. Wert) wird mit einer Wahrscheinlichkeit von 30% (2. Wert) die Verbindung abgelehnt.
Die Wahrscheinlichkeit, dass eine Verbindung beendet wird, steigt linear an, bis bei 10 offenen Verbindungen (3. Wert) jeder weitere Verbindungsversuch zu 100% abgelehnt wird.

Achtung: Bereits eingeloggte Nutzer zählen nicht zu diesen Werten! Die Beispielwerte sollten für jeden kleineren bis mittleren Server ausreichend sein. Haben Sie viele SSH-Nutzer, können höhere Werte angebracht sein, zum Beispiel:

MaxStartups 10:30:50 6

Quelle: https://www.strassenprogrammierer.de/sicherheit-ssh-hacker_tipp_480.html

OKZugang für root bei SSH verbieten
Wenn wir im vorherigen Schritt alles richtig gemacht haben - und nur dann - gehen wir jetzt daran, den Zugang für root über SSH zu verbieten. Zur Sicherheit behalten wir die eine Session offen und testen das Ganze mit einer neuen Session. Erst wenn das funktioniert hat, können wir die erste Session wieder schliessen.
Wir ändern die Konfiguration von SSH mit:

nano /etc/ssh/sshd_config

Im Editor suchen wir die Zeile

PermitRootLogin yes

und ändern sie auf

PermitRootLogin no

Und um das Ganze noch mehr zu vernageln fügen wir noch ein paar Zeilen hinzu:

# Nur noch den user admin zulassen.
AllowUsers admin
# root oder benutzer in der Gruppe root generell sperren
DenyUsers root
DenyGroups root

Das Ganze können wir am Anfang der Datei einfügen. Sollen sich später noch andere Benutzer per SSH anmelden dürfen, kann man den Eintrag AllowUser erweitern. Neue Benutzer werden mit Leerzeichen getrennt hinzugefügt. z.B.:

AllowUsers admin benutzer1 benutzer2 benutzer3

Wichtig: Auf keinen Fall nach den Benutzernamen ein Komma einfügen. Aussperrgefahr!

Mit STRG-O und STRG-X speichern wir und beenden den Editor. Jetzt fehlt noch:

service ssh restart

Debian:

/etc/init.d/ssh reload

CentOS: sh /etc/init.d/sshd restart

Wir öffnen zur Kontrolle eine neue Sitzung (Session) und versuchen uns mit root anzumelden. Mit korrektem Kennwort sollten wir die Meldung bekommen:
Access denied
Quelle: https://www.rechenkraft.net/wiki/Root_Server_absichern_(Ubuntu_14.04)
https://linux-scout.de/sicherheit/debian-server-absichern-so-machen-sie-es-richtig/

OKAbsichern eines Linux-Servers
Aus Qloc Wiki
Hier finden Sie wichtige Grundlagen zur Absicherung eines Debian/Ubuntu Systems. Außer den hier aufgelisteten Tipps gibt es eine Reihe von weiteren Sicherheitsmaßnahmen, die Angriffe erschweren.
Generell gilt für alle öffentlich erreichbare Systeme, dass nur notwendige Dienste von außen erreichbar sein sollten. Dienste wie z.B. Webserver oder MySQL Server sollten bei Nichtverwendung entweder mit Hilfe von IPTables Regeln nicht erreichbar oder ganz deaktiviert werden.
Inhaltsverzeichnis

1 Sichere Kennwörter verwenden
2 SSH Port ändern
3 Einrichten von SSH-Schlüsseln
4 Nur die benötigten Ports offen lassen
5 Brute Force Attacken verhindern
6 Sicherheitsupdates installieren

Sichere Kennwörter verwenden

Ändern Sie regelmäßig Ihre Kennwörter (auf unserem System nicht erforderlich!) und beachten Sie folgende Punkte:

Kleinbuchstaben (a-z)
Großbuchstaben (A-Z)
Ziffern (0-9)
mindestens 12 Zeichen lang
keine Wörter enthalten
dasselbe Passwort nicht für mehrere Dienste nutzen
Passwörter nicht an Dritte weitergeben

SSH Port ändern
Eine Großzahl an Loginattacken auf SSH erfolgt auf den Standardport 22. Eine einfache und effektive Methode ist es, den SSH Port zu ändern.

Öffnen Sie dazu die SSH Konfiguration mit einem beliebigen Editor:

nano /etc/ssh/sshd_config

Ändern Sie den SSH Port von Port 22 auf einen Port, der nicht nicht durch einen anderen Dienst belegt wird.

Port 22 #z.B. Port 8335

Mit dem folgenden Befehl erhalten Sie eine Liste mit allen momentan verwendeten Ports und ausgeführten Diensten:

more /etc/services

Starten Sie den SSH Dienst nach dem Ändern des Ports mit dem folgenden Befehl neu:

/etc/init.d/ssh restart

bzw. (CentOS (el6) und andere ):

sh /etc/init.d/ssh restart

oder

service ssh restart

Einrichten von SSH-Schlüsseln

Um die Verbindung via SSH noch sicherer zu gestalten, kann man die sogenannten SSH-Schlüssel verwenden. Damit eine Verbindung aufgebaut werden kann müssen der vom Benutzer bereitgestellte Schlüssel bei der Verbindung und der auf dem Server liegende Schlüssel als Schlüsselpaar zusammengehören.

Melden Sie sich zunächst mit dem zu sichernden Benutzer auf Ihrem Linux Server an.
Laden Sie sich das Programm PuTTYgen herunter.
Klicken Sie auf Generate um ein SSH-Schlüsselpaar zu erstellen, hierfür sind die Standardeinstellungen genügend. Zum Generieren bewegen Sie Ihre Maus über das freie Feld.

Nach erfolgreichem Generieren des SSH-Schlüsselpaares speichern Sie den Privatekey auf Ihrem Rechner ab und verwahren Sie diesen sicher, da Sie sich nur mit diesem auf Ihren Server aufschalten können.
Optional
... können Sie einen Kommentar hinzufügen
... können Sie ein Passwort hinzufügen (empfohlen)

Anschließend verbinden Sie sich mit Ihrem Linux Server und betreten das Home-Verzeichnis des jeweiligen Benutzers

cd /home/>user<

oder

cd /root (nur root-Benutzer)

Legen Sie nun das Verzeichnis .ssh an und erstellen in diesem eine Datei mit dem Namen authorized_keys

mkdir .ssh && nano .ssh/authorized_keys

Kopieren Sie nun den Publickey aus PuTTYgen in Ihre Zwischenablage und fügen diesen in die Datei ein.
Mit STRG + O und STRG + X können Sie die Datei speichern und schließen.
Nun müssen noch die Dateiberechtigungen angepasst werden.

chown -R >user>:>gruppe> .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys

In der Datei /etc/ssh/sshd_config sollten wichtige Einstellungen vorgenommen werden.

....
PasswordAuthentication [no/yes] # Authentifizierung mit einem Passwort

PermitRootLogin [no/yes/without-password] # Authentifizierung mit dem root-Benutzer
...

PasswordAuthentication:
no: Die Authentifizierung mit einem Passwort ist für alle Benutzer untersagt
yes: Die Authentifizierung mit einem Passwort ist für alle Benutzer erlaubt
PermitRootLogin :
no: Die Authentifizierung mit dem root-Benutzer nicht erlaubt
yes: Die Authentifizierung mit dem root-Benutzer ist mit einem Passwort und einem Key erlaubt
without-password: Die Authentifizierung mit dem root-Benutzer ist nur mit einem SSH-Key erlaubt (empfohlen)
Abschließend starten Sie den ssh-Dienst neu

service ssh restart

Sie haben nun erfolgreich SSH-Keys auf Ihrem Server eingerichtet. Damit Sie sich nun mit Ihrem Server verbinden können, müssen Sie den Privatekey in PuTTY einbinden.

Hierzu wählen Sie ihre Verbindung und klicken auf Connection > SSH > Auth. Unter Private key file for authentification geben Sie den Dateipfad an. Wechseln Sie zurück auf den Menüpunkt Session und speichern Sie Ihre Verbindung.


Brute Force Attacken verhindern
Mit dem Paket fail2ban können Sie Ihren Server vor sogenannten Bruteforce Attacken schützen. Dabei wird die IP Adresse des Angreifers für eine festgelegte Zeit gesperrt. Mit den folgenden Befehlen installieren und konfigurieren Sie fail2ban:

[...] Öffnen Sie die Konfiguration von fail2ban mit einem beliebigen Editor

nano /etc/fail2ban/jail.conf

OKSetzen Sie lokale IP Adresse Ihres Servers, die Zeit wie lange eine IP geblockt werden soll und die Anzahl der Versuche, nach denen geblockt werden soll:

ignoreip = 127.0.0.1
bantime = 3600
maxretry = 3

Definieren Sie nun die erforderlichen Parameter um den SSH Dienst zu überwachen:

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 4

Hinweis: Sollten Sie den SSH Port geändert haben, ändern Sie bitte die folgende Zeile:

port = <SSH Port> (z.B. 8335)

Starten Sie zum Abschluss den Dienst fail2ban neu:

CentOS (el6) u.a.:

sh /etc/init.d/fail2ban restart

bzw.

/etc/init.d/fail2ban restart bzw.

service fail2ban restart
https://wiki.qloc.de/index.php/Absichern_eines_Linux_Servers

Berücksichige ggfls. zugehörige Module und Sicherheit erhöhende Server-Erweiterungen. Bereits an dieser Stelle sei natürlich noch auf die Server-Konfigurationsdateien verwiesen, mit denen sich i.a. viele weitere Sicherheits-Einstellungen (wie Zugriff, ACL-Zugriffsrechte, zu öffende Server-Ports (nun auf Client-Seite), Protokollierung und Bandbreite) vornehmen lassen.

Außerdem kann der Server nach seiner Konfiguration zur Erhöhung der Sicherheit in einem niedrigeren Runlevel (z.B. Runlevel 3) als üblicherweise Runlevel 5 und 6 gestartet werden und laufen: Kommando "init 3", mgetty bzw. mingetty: Terminal-Umschaltung ( ALT + CTRL + F1 bis F7), Konfigurationsdatei (falls dort möglich), systemd (sysctl) oder chkconfig (zum Setzen seines Starts in einem bestimmten Runlevel während des System-Boots).

- Apache: mod_evasive gegen DDoS, mod_cband als Traffic-Cop
- Fail2Ban für die https-vHosts bzw. die htaccess Authentifizierung
- 24/7 Monitoring mit SMS Alerting über ein SMS Gateway via monit
- Verschlüsselte Backups in 2 verschiedenen Rechenzentren
- SFTP heisst das Stichwort. Die Datentransfers laufen verschlüsselt über den sshd ab.
FTP ist kein verschlüsselter Dienst ist. Man kann also den kompletten Datenverkehrt (austausch von Passwörtern, die verschickten Daten) mitlesen. Also ist es nicht unbedingt das sicherste System. Das ist ähnlich wie mit POP3 oder IMAP.
Jedoch kann man das Ganze sicherer machen, indem man einen FTP-Server aufsetzt, der mit SSL-Verschlüsselung arbeitet. Eben so geht das auch mit POP3 und auch IMAP. Sobald du mit SSL-Verschlüsselung arbeitest, kann niemand den Austausch von Daten mitlesen.
Und zu guter letzt, kommt es natürlich auf die Konfiguration des FTP-Server an. Hier sollte man auf jeden Fall anonyme Accounts verbieten und den FTP-Server in einer CHROOT Umgebung laufen lassen. Dann hält man sich schon mal einen großen Teil des Ärgers vom Hals.
Ich hatte mir damals gedacht, dass man damit 2 Fliegen mit einer Klappe schlägt: Den sshd braucht man eh, also kann man die Dateitransfers auch darüber abwickeln und spart sich damit einen Angriffsvektor (ftpd). Gleichzeitig ist alles so toll verschlüsselt .
Normalerweise ist das Verbinden mit einem FTP-Server mit SSL nicht schwieriger als mit einem ohne.
Man wählt beim Client einfach aus, dass man sich mit SSL-Unterstützung verbinden will, und verbindet sich. Dann läuft alles so weiter, wie wenn man sich mit einem FTP-Server ohne SSL verbindet. Man wird höchstens noch mal gefragt, ob man das Zertifikat akzeptiert.
Über Port 22 läuft der SSH-Server. Auch hier gibt es die Möglichkeit Daten hochzuladen. Wobei hier der User der sich einloggt auf das System mehr zugreifen kann. Ausser man chrootet den Account.
Chrooten geht ja erst mit einem OpenSSH ab 4.9 oder so. Auf jeden Fall zu neu für eine Standard Debian Installation bzw. die regulären Paketquellen.
Lösen lässt sich das mit MySecureShell - Index, das chrootet den User in sein Home-Dir. Lässt sich einfach installieren und konfigurieren und läuft super.
https://serversupportforum.de/forum/security/28079-abschottung-wie-geht-es-nun-weiter-2.html

Chroot ( Befehl chroot ): ist fester Bestandteil von Befehlen bzw. Kommunikations-Protokollen wie mount, ssh, stfp und stellt die ernsthafte Bedrohung schlechthin dar! Abhilfe liefern Sandboxen und/oder/einschließlich die Sperrung der Shells des Benutzers (der Betrieb einer Sandbox jedoch leider nur, falls seitens eines Programms möglich, beispielsweise nicht mit Tor (dem Tor-Browser) mit angeblich wiederum einer eigenen Sandbox!). Darauf kommen wir noch zu sprechen.

Was tut chroot?
Chroot einrichten, Chroot-Jail (Chroot-Sandbox)
A chroot on Unix operating systems is an operation that changes the apparent root directory for the current running process and its children. A program that is run in such a modified environment cannot name (and therefore normally cannot access) files outside the designated directory tree. The term "chroot" may refer to the chroot system call or the chroot wrapper program. The modified environment is called a chroot jail.
Nehmen wir an, wir wollten den DNS-Server "named'" chrooted installieren. Im folgenden wird das normale Dateisystem als &quto;n/" und das jail als "j/" bezeichnet.
https://wiki.debian.org/chroot
https://en.wikipedia.org/wiki/Chroot
Schritt für Schritt: https://www.linuxwiki.de/chroot

chroot - How to jail linux user, Stack Overflow
Is there something similar to chroot, but for users? We are about to grant access to our servers for a client and would like them to see only the directories we allow.
stackoverflow.com/questions/833247/how-to-jail-linux-user

Linux - Keeping users inside their home directory - Super User
If you use chroot like this, everything the user needs (executables, libraries, etc.) has to be within the chrooted directory. I´ve seen ftp-servers set up that way, with static executables copied into a bin directory.
https://superuser.com/questions/396282/keeping-users-inside-their-home-directory

How to configure ProFTPD to chroot users to /home directory or any ...
If you´re using ProFTPD user on a Linux server, you most certainly have wondered, how you can configure the FTP server to chroot (or jail) it´s users to a particular ...
https://www.pc-freak.net/blog/how-to-configure-proftpd-to-chroot-users-to-home-directory-or-any-other-selected-directory-2

OKFail2Ban, http://joshrendek.com/2013/01/securing-ubuntu/
Open up the fail2ban config and change the ban time, destemail, and maxretry /etc/fail2ban/jail.conf:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3600
maxretry = 2
destemail = [email protected]
action = %(action_mw)s

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 2

Now restart fail2ban.

sudo service fail2ban restart # resp. sh /etc/init.d/fail2ban restart
If you try and login from another machine and fail, you should see the ip in iptables.

# sudo iptables -L
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- li203-XX.members.linode.com anywhere
RETURN all -- anywhere anywhere

OKCoreboot - Flashen des BIOS: Linux-System als Ersatz für das herkömmliche BIOS, https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/
"Die Sicherheit eines Systems definiert sich bereits auf Hardware-Ebene. Allerdings ist es heute bspw. extrem schwierig WLAN-Chipsätze zu finden, für die Open-Source Treiber bereit stehen. Ausnahmen wie den AR9170 Chipsatz gibt es zwar, aber diese müssen zunächst ausfindig gemacht werden. Gleiches gilt für das BIOS. Idealerweise könnt ihr euer aktuelles BIOS durch Coreboot ersetzen - ein quell-offene, freies BIOS. Ansonsten besteht immer das Risiko für eine versteckte Backdoor, die bspw. von Geheimdiensten ausgenutzt werden kann.
Wirklich "sicher" können wir also in der Tat erst dann sein, wenn wir durchgehend Open-Source Hard- und Software einsetzen. [...]
Daher bin ich gezwungen für das Projekt "Linux härten" eine Ausnahme zu machen und möchte dies aber nochmal formulieren: Das Projekt schützt nicht vor der gezielter Überwachung durch Geheimdienste.
I...] Im ersten Beitrag der Artikelserie "Linux härten" hatte ich bereits aufgezeigt, weshalb ein "sicheres" System nur mit einem quelloffenen Betriebssystem auf Basis von Linux bzw. Unix möglich ist."
https://www.coreboot.org/Supported_Motherboards # u.a.
"Herkömmliche BIOS-Varianten sind nicht selten mit gewissen Softwarefehlern behaftet; diese sind oft nicht zu bereinigen, wenn nicht vom Hersteller ein Update zur Verfügung gestellt wird. Neben diesen unabsichtlichen Einschränkungen gibt es Ansätze, in Zukunft weitere Funktionen in der proprietären Firmware (BIOS bzw. UEFI) zu implementieren, die bewusste Beschränkungen der Funktionalität befürchten lassen. Beispielsweise Digitale Rechteverwaltung, deren Funktionalität in Teilen bewusst nicht offengelegt wird."
Quelle: https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/
https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil2/
https://de.wikipedia.org/wiki/Coreboot
https://www.golem.de/0912/72132.html

OKMit Coreboot lässt sich demnach die System-Bootzeit verkürzen.

OKhal bzw. der haldaemon sorgt bei C6 (Centos 6) bzw. "zuvor" mdv (2010-2012) für erheblich verzögertes Booten, ca. um die 20 Sekunden. Der Bootvorgang ohne ihn und LUKS-Passwort-Login dauert bis zum KDE-Login in kdm ca. 15 Sekunden, mit ihm mehr als eine Minute. hal bzw. hald (haldaemon) kann durch erzeugen einer Datei haldaemon in /etc/sysconfig etwa mit dem Inhalt schneller arbeiten:

--child-timeout=15 # Begrenzung der Kindprozesse --daemon=no

In /etc/dbus-1/system.d/hal.conf verbiete man ein paar dort bislang erlaubte Methoden und Geräte wie ggfls. LightSensor und WakeOnLan und in einem weiteren Unterverzeichnis können ggfls. z.B. die Datein mit *dell-computer* einfach gelöscht werden..

OKKonfiguration der Netzwerkschnittstelle /etc/udev/rules.d/70-persistent-net.rules

# This file was automatically generated by the /lib/udev/write_net_rules
# program, run by the persistent-net-generator.rules rules file.
#
# You can modify it, as long as you keep each rule on a single
# line, and change only the value of the NAME= key.
# Drakx-net rule for eth0 (cb:ad:b3:81:1a:53)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="cb:ad:b3:81:1a:53",ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"
... nur die Netzwerk-Schnittstelle und möglichst keine weiteren Einträge! Hierfür kopiere man vorsichtshalber durch einen Eintrag in /etc/rc.local jedesmal beim Booten eine Kopie von /etc/udev/rules.d/70-persistent-net.rules von "irgendwoher" ins Originalverzeichnis /etc/udev/rules.d/ : keine auf udev basierende Netzwerkkonflikte mehr!

OKifcfg-eth0

/etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=no
METRIC=5
MII_NOT_SUPPORTED=yes
USERCTL=yes
DNS1=127.0.0.1
RESOLV_MODS=yes
LINK_DETECTION_DELAY=6
IPV6INIT=no
IPV6TO4INIT=no
ACCOUNTING=yes
DHCP_CLIENT=dhclient -4 -cf /etc/dhcp/dhclient.conf eth0
NEEDHOSTNAME=no
PEERDNS=no
PEERYP=no
PEERNTPD=no
TYPE=Ethernet
IPADDR=0.0.0.0
MACADDR=e1:a0:b0:cd:a1:b8 # original oder einmal mehr "schwarz maskiert", hier über der eigentlichen (originalen) Hardware-Adresse (Ethernetkarte): /etc/rc.local. "macchanger --mac e1:a0:b0:cd:a1:b8 eth0" und setze in Firewalls wie Linfw3 "your IP" auf die aus dieser MAC-Adresse hervorgehende eigene neue, lokale (IP) f&uum;r (oder nach dem) nächsten Verbindungsaufbau zum Freischalten fürs Surfen etc.. Der noch so stabil laufende Rechner kann kurz dabei nach dem Umstellen in Firewall und Konfigurationsdateien vorübergehend schon mal "vom Glauben abfallen": (genauer gesagt abstürzen)...., erholt sich aber mit den Neustarts allmählich wieder.


OKNet-Aliases

/etc/networks

default 0.0.0.0
loopback 127.0.0.0
link-local 169.254.0.0 # In a computer network, a link-local address is a network address that is valid only for communications within the network segment (link) or the broadcast domain that the host is connected to. Link-local addresses are most often assigned automatically through a process known as stateless address autoconfiguration or link-local address autoconfiguration. Link-local addresses are not guaranteed to be unique beyond a single network segment. Routers therefore do not forward packets with link-local addresses.
For protocols that have only link-local addresses, such as Ethernet,[dubious - discuss] hardware addresses assigned by manufacturers in networking elements are unique, consisting of a vendor identification and a serial identifier. Link-local addresses for IPv4 are defined in the address block 169.254.0.0/16 in CIDR notation. In IPv6, they are assigned the address block fe80::/10, https://en.wikipedia.org/wiki/Link-local_address.


OKPreload-Beschleunigung
Das Tool Preload beschleunigt nicht den Bootvorgang, aber die Programmstarts oder Autostarts (unter "Startprogramme"), die Sie häufig oder regelmäßig nach jeder Anmeldung verwenden. Der einfache Dienst protokolliert die Programmvorlieben und lädt dann die Favoriten vorab in den Arbeitsspeicher. Der eigentliche Programmstart verläuft dadurch deutlich schneller. Preload ist in den Paketquellen verfügbar und etwa in Ubuntu mit


rpm -i --force preload bzw. sudo apt install preload

schnell nachinstalliert (Start z.B. über /etc/rc.local). Theoretisch können Sie in die Konfiguration des einfachen Tools manuell eingreifen ("/etc/preload.conf"), dies ist jedoch weder erforderlich noch inhaltlich ergiebig. preload bietet i.a. aber keine nennenswerten Vorteile.
https://www.pcwelt.de/ratgeber/Schneller_Linux-Start_ueber_Systemd_-_so_geht_s-Dienste_optimieren-8259105.html

OKrkhunter, chkrootkit, tiger, Lynis - Sicherheitscheck
Die Dürchführung eines "Audits" mit Lynis ist denkbar einfach:

su
lynis audit system --quick

Nach dem Durchlauf werdet ihr mit einem Gesamtergebnis, dem sogenannten "Hardening index", konfrontiert. Scrollt ihr im Terminal dann etwas weiter nach oben findet ihr vermutlich eine Menge an "Warnings" und "Suggestions", wie sich euer System absichern lässt.
https://www.kuketz-blog.de/linux-systemhaertung-basis-linux-haerten-teil2/

OKDeinstalliere X Windows auf Servern
X Windows ist auf Servern nicht erforderlich. Es gibt keinen Grund, X Windows auf einem Mail- und Apache-Webserver laufen zu lassen. Deaktiviere und entferne X Windows, um die Server-Sicherheit und Leistung zu verbessern.
Editiere /etc/inittab und setze den Runlevel auf 3. Nun entferne das X-Windows-System:

yum groupremove "X Window System"
On CentOS 7/RHEL 7 server use the following commands:
yum group remove "GNOME Desktop"
yum group remove "KDE Plasma Workspaces"
yum group remove "Server with GUI"
yum group remove "MATE Desktop"

https://www.cyberciti.biz/tips/linux-security.html

OKX11-Server-Zugriffskontrolle
von siehe bspws unter https://www.pcwelt.de/ratgeber/Linux-Zugriffsrechte-fuer-Verzeichnisse-1216203.html erläutert im Wesentichen das Konzept der Zugriffskontrolle, weitere Einzelheiten siehe unter "man chmod". Eine weitere Zugriffskontrolle bezieht sich auf den X11-Server im LAN: die X11-Server-Zugriffskontrolle. Der Kern des X-Protokolls mit X oder auch X-Server zur Steuerung der Graphikkarte, umfasst eine einfache, hostbasierte Authentifzierung. Mittels des Programms xhost lässt sich eine Liste erlaubter Hosts setzen. Nach einer ersten Abfrage über xhost gilt aber bereits by default: "access control enabled, only authorized clients can connect". X11 bietet Platz für Addons, sog. Extensions. X11-SECURITY-Extensions dienen zur Differenzierung von vertrauenswürdigen und nicht vertrauenswürdigen ("trusted" und "untrusted") X-Clients. Damit gelingt das Abhalten nicht vertrauenswürdiger Clients, Fensterinhalte anderer Clients zu lesen und die Eingaben und andere Teile an sich zu reißen etc.. Dokumeniert sind die Extensions im Paket xorg-docs. Möglicher Weise verhilft aber bereits MCC in der Sektion Sicherheit (draksec) wie bei mdv2010 bei der Sperre des X-Servers über zugehörige Sicherheitsabfragen mit Werten wie "KEINEN, BENUTZER, LOKAL, STANDARD UND ALLE".

OKX-Server absichern: Host-basierter ACL-Zugriffsschutz und Cookie-basierter Zugriff
Die von ISS Audit von BNL auf Nummer 1 gesetzte System-Verwundbarkeit bezieht sich auf "xhost +" oder ein offenes X-Display. "xhost +" ermöglicht jedem die Beobachtung von Tastaturanschlägen , das Entführen von Fenstern und das Einfügen von Befehlen in die Fenster. Als besonders bedrohlich erweist sich der Root-Zugang zur Maschine. Es gibt keinen vernünftigen Grund für die Ausführung von "xhost +". Die meisten Benutzer benutzen ssh für die Verbindungaufnahme zu anderen Maschinen als ihre Desktop und ssh-tunnelbasierten Verkehr auf X11, den Bedarf an "xhost +" nicht aufkommen zu lassen.. Um X11-Forwarding mit SSH zu ermöglichen, setze:

ssh -X host.domain

oder durch Hinzufügen in DOLLARSIGNHOME/.ssh/config:

Host *.bnl.gov
ForwardX11 yes

Die Variable DISPLAYsollte nicht gesetzt sein. ssh nimmt ihr Setzen vor wie:

echo DOLLARSIGNDISPLAY
localhost:12.0

X11-Forwarding muss durch den SSH-Server erlaubt werden. Überprüfe /etc/ssh/sshd_config auf die Zeile "X11Forwarding yes".
Unter Linux/UNIX kann das Kommando"xhost +" an verschiedenen auszuschaltenden Stellen auftauchen. Grundsätzlich lässt es sich mit "xhost -" daktivieren: . .

DOLLARSIGNHOME/.Xclients
DOLLARSIGNHOME/.Xclients.gnome
DOLLARSIGNHOME/.Xclients.kde
DOLLARSIGNHOME/.xinitrc
DOLLARSIGNHOMN/.xsession
/etc/X11/xinit/xinitrc
/usr/X11R6/bin/startx
/usr/X11R6/lib/X11/xdm/Xsession

"man xinit" gibt weitere Auskunft über mit dem Start von X11 ausgefürte Startup-Dateien.

Um zu überprüfen, ob das Problem "xhost +" gefixt ist, logge man sich in einen anderen UNIX-Rechner ein, deaktiviere den Kanal zur ssh-X11-Verschlüselung, indem die Umgebungsvariable DOLLARSIGNDISPLAY auf den Serverport 0 des Desktops zurückgesetzt wird. Starte anschließend xclock. Beispiel:

ssh youraccount@yourfavoritunixserver.phy.bnl.gov
setenv DISPLAY yourdesktop.phy.bnl.gov:0
xclock

Erscheint xclock auf dem Screen ist der X11-Zugang immer noch nicht mit der Zugangskontrolle gesperrt. In diesem Fall sollte eine professionelle Kontaktperson weiterhelfen. .

Xterminals
Um nach dem Setzen von "xhost -") den Zugang auf Tektronix-Xterminals zu versperren, rufe das "Setup"-Menü, (F3 Taste) auf. In der erscheinenden "Konfigurations-Zusammenfassung" wähle "X Environment" und setze dort quot;Enable Access Control / Erlaube Zugriffskontrolle" auf "Yes". Kehre zum Hauptmenü zurück und wähle "Save Settings to NVRAM". Das Teriminal wird nun alle X-Verbindungen zurückweisen, außer die von der via XDM verbundenen Maschine und solchen, die durch Tunnel zum eigenen XDM-Host, die erzeugt werden, wenn SSH auf anderen Maschinen läuft. Nachdem "xhost +" auf dem XDM-Host ausgeführt worden ist, ist die Zugriffskontrolle erneut außer Kraft gesetzt. Man vergewissere sich daher in jeder der bereits aufgelisteten Setup-Dateien.

Original-E-Mail von Ofer Rind zur Aktivierung der X11-Authentifizierung auf NCD-Xterminals:
-----------
- Disabling Xhost+ on an Xterminal
(NB: This was tried on both NCD and Textronix Xterminals and seemed to work; however, your mileage may vary. The description is for an NCD.) Press Alt-F3 to pull up the Xterminal control bar. Select "Change Setup Parameters" from the "Setup" menu. When the setup parameters window pops up, select "Access Control." This will expand the menu, revealing an option called "Enable Access Control." Turn this on by pressing the adjacent square. Then, at the bottom of setup window, press the "Apply" button to effect the change. This sometimes takes several seconds, be patient. When the arrow cursor returns, close the setup window and return to your previously scheduled program. X access control should now (hopefully) be enabled. NOTE that this access control can be superseded by a user who logs in on the Xterm and sets "xhost +".
Quelle: http://www.phy.bnl.gov/cybersecurity/old/xhost_plus.html

Unsere Eingabe zu diesem Thema X11-Zugriffskontrolle per Terminal und in /etc/rc.local:
xhost +si:localuser:´id -un´ >& /dev/null
bzw.

xhost -
xhost +si:localuser:lokaler-Benutzername
# lokaler-Benutzername: nur user, d.h. alle anderen Benutzer sind gesperrt, darunter Benutzer root,surfuser und toruser
xhost -si:localuser:root # bereits mit "xhost -"
xhost -si:localuser:toruser # bereits mit "xhost -"
xhost -si:localuser:surfuser # bereits mit "xhost -"
xhost -inet6:user@ # Das @-Zeichen muss bei inet6 (IPv6) im Unterschied zu si hinter dem Benutzernamen user stehen.
xhost -nis:user@ # nis: Secure RPC network

Diese xhost-Kommdos sollte man nicht unbedingt in /etc/rc.local hinzufügen sondern "man xhost" nach in einer separt zu erzeugenden Datei /etc/X0.hosts ablegen:

"The initial access control list for display number n may be set by the file /etc/Xn.hosts, where n is the display number of the server. See Xserver(1) for details."

Ausgabe von xhost (bei Problemen nach dem Anmelden wieder kurz mit "xhost +" zurücksetzen):
access control enabled, only authorized clients can connect
SI:localuser:lokaler-Benutzername


Diese Regel nicht für andere Nutzer setzen, auch NICHT root! Damit wird das System einmal mehr mausklick-schnell und sicher.

OKX-Server: Cookie-basierter Zugriff: MIT-MAGIC-COOKIE-1
When using xdm (X Display Manager) to log in, you get a much better access method: MIT-MAGIC-COOKIE-1. Above deals with the host-based accesss. A 128-bit "cookie" is generated and stored in your .Xauthority file. If you need to allow a remote machine access to your display, you can use the xauth command and the information in your .Xauthority file to provide access to only that connection. See the Remote-X-Apps mini-howto, available at
http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html.
OKAlso use ssh (see Section 6.4, above) to allow secure X connections. This has the advantage of also being transparent to the end user and means, that no unencrypted data flows across the network.
Cookie-based access
The cookie-based authorization methods are based on choosing a magic cookie (an arbitrary piece of data) and passing it to the X display server when it is started; every client that can prove having knowledge of this cookie is then authorized connection to the server.
These cookies are created by a separate program and stored in the file .Xauthority in the user's home directory, by default. As a result, every program run by the client on the local computer can access this file and therefore the cookie that is necessary for being authorized by the server. If the user wants to run a program from another computer on the network, the cookie has to be copied to that other computer. How the cookie is copied is a system-dependent issue: for example, on Unix-like platforms, scp can be used to copy the cookie.
The two systems using this method are MIT-MAGIC-COOKIE-1 and XDM-AUTHORIZATION-1. In the first method, the client simply sends the cookie when requested to authenticate. In the second method, a secret key is also stored in the .Xauthority file. The client creates a string by concatenating the current time, a transport-dependent identifier, and the cookie, encrypts the resulting string, and sends it to the server.
The xauth application is a utility for accessing the .Xauthority file. The environment variable XAUTHORITY can be defined to override the name and location of that cookie file.
The Inter-Client Exchange (ICE) Protocol implemented by the Inter-Client Exchange Library for direct communication between X11 clients uses the same MIT-MAGIC-COOKIE-1 authentication method, but has its own iceauth utility for accessing its own .ICEauthority file, the location of which can be overridden with the environment variable ICEAUTHORITY. ICE is used, for example, by DCOP and the X Session Management protocol (XSMP).
https://en.wikipedia.org/wiki/X_Window_authorization

Fetch the magic cookie entry relevant to your local display:
[garth@server1 ~]DOLLARSIGN echo xauth add xauth list DOLLARSIGN{DISPLAY#localhost}
xauth add server1.localdomain/unix:12 MIT-MAGIC-COOKIE-1 2928a6e16b7d6d57041dcee632764b72
Switch user to "oracle" and add the entry into your /home/oracle/.Xauthority file (by copying the ‘xauth add…’ line from above:

[garth@server1 ~]DOLLARSIGN sudo su - oracle
[oracle@server1 garth]DOLLARSIGN echo DOLLARSIGNDISPLAY
localhost:12.0
[oracle@server1 garth]DOLLARSIGN xauth add server1.localdomain/unix:12 MIT-MAGIC-COOKIE-1 2928a6e16b7d6d57041dcee632764b72
xauth: creating new authority file /home/oracle/.Xauthority

After this your X-session should work…try something like "xcalc" or "firefox" to test it first and you should be ready to go!
http://www.snapdba.com/2013/02/ssh-x-11-forwarding-and-magic-cookies/

OKAlso disable any remote connections to your X server by using the ´-nolisten tcp´ options to your X server. This will prevent any network connections to your server over tcp sockets.
Take a look at the Xsecurity man page for more information on X security. The safe bet is to use xdm to login to your console and then use ssh to go to remote sites on which you wish to run X programs.
http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKX11: Einstellungen für Graphikkarte optimieren, insbes. für Spiele
Die optimale Einstellung kommt System und Graphikkarte entgegen.
BIOS-Setup: Northbridge -> COMBO-Mode
Aufruf driconf (Hardware siehe unter Datenblatt)
Aktivieren:
1) Leistung
+ Synchronisation mit der vertikalen Bildwiederholung: Immer mit der Bildwiederholung synchronisieren, Anwendung wählt das minimale Bildintervall
+ Buffer object reuse: Enable reuse of all size of buffer objects
2 ) Bildqualität
+ Aktiviere S3TC Texturkomprimierung, auch wenn die nötige Softwareunterstützung fehlt
3) Fehlersuche
+ Aktiviere sofortige Leerung des Stapelpuffers nach jedem Zeichenaufruf
+ Aktiviere sofortige Leerung der GPU-Zwischenspeicher
+ Disable throttling on first batch after flush
+ Force GLSL extension default behavior to "warn"
+ Disable backslash-based line continuation in GLSL-source
+ Disable dual source blending
+ Perform code generation at shader link time

OKAußerdem sollte man natürlich auch (täglich) Logs überwachen (z.B. mit logwatch) wie auch die letzten Logins in /var/log/lastlog
Mit Hilfe des Befehls lastlog lässt sich der Inhalt von /var/log/lastlog in ein angenehm lesbares Format umleiten.
https://www.stefanux.de/wiki/doku.php/linux/hardening

OKDienste sollten nicht als root laufen (oder höchstens als root starten und dann die Privilegien abgeben bzw. den eigentlichen Dienst unter einem eingeschränkten Benutzer laufen lassen)!
unnötige Dienste abschalten (Verringerung der Angriffsfläche): Auf offene Ports überprüfen
netstat -lnptu
Internetsuperserver
veralteter inetd noch nötig?
xinetd sicher konfigurieren
(gefährdete) Dienste absichern:
nur auf einer bestimmten IP lauschen, auf andere Ports wechseln
evtl. Port-knocking einsetzen (Beispiel SSH)
Bind mit chroot
sicheren FTP-Server einsetzen: vsftp oder pure-ftpd
unsichere Dienste nicht für kritische Aufgaben (Login) zulassen:
FTP
Telnet
veraltete r-Dienste (rsh, rlogin, …)
nur notwendige Benutzerkonten einrichten
regelmäßig die Passwörter der Benutzer auf unsichere Passwörter überprüfen
leere Passwörter nicht erlauben
Kernel absichern
eigenen (minimalen) Kernel bauen
Integritätschecker, z.B. tripwire als cronjob laufen lassen. Die Signaturen sollten auf einem sicheren Drittsystem gelagert werden bzw. read-only gemountet sein (z. B. auf einer CD oder Diskette mit Schreibschutz)
Die Benutzung von Shadow ist meist schon aktiviert (shadowconfig on)
Protokolle (Logfiles) sichern:
Loghost einrichten oder
Logfiles absichern: Mit Secure Logging von Core-Wisdom können Sie Logfiles auch in mySQL-Datenbanken ablegen oder per Fingerabdruck gegen Veränderung sichern.
msyslogd oder
logrotate → Log per mail
regelmäßig nach suid-Programme suchen:
automatisch mit Programmen:
sxid schickt eine tägliche Report über dazugekommene suid/sgid per mail zu
manuell:
root-suids:
find / -perm -4000 2>/dev/null
allgemein suids:
find / -perm +6000
sgid-programme:
find / -perm -2000 2>/dev/null
volle Ausgabe mit allen Rechten bekommt man mit:
ls -lad --full-time ´find / -perm +6000´
Banner (Versionsnummern etc.) von Diensten abschalten
in /etc/motd die Kernelversion nicht anzeigen lassen, stattdessen Warnungen für Angreifer
SSH: Im Sourcecode
Webserver:
Logfiles studieren
Monitoring betreiben
Quelle: https://www.stefanux.de/wiki/doku.php/linux/hardening

OKSVGA
SVGAlib-Programme laufen meist unter SUID-root, um Zugriff auf sämtliche Video-Hardware zu haben. Das macht sie so gefährlich. Sollten sie crashen, bleibt nur der Neustart des Systems, die Konsole zurückzu gewinnen. SVGA-Programme sollten daher nur unter Wahrung der Authentizität laufen. Besser ist, sie überhaupt nicht zu starten.
Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKGGI (Generic-Graphics-Schittstellen-Projekt)
Das Linux-GGI-Projekt versucht, zahlreiche Probleme von Linux mit dem Video-Interface zu lösen. GGI bewegt kleine Teile vom Video-Code in den Linux-Kernel, um Zugriffskontrolle über das Video-System zu gewinnen. Das bedeutet, CGI ermöglicht, zu jeder Zeit die Konsole wieder in einen guten Zustand zu bringen. Ebenso erlaubt ist ein sicherer sogenannter Attention-key, so dass kein trojanisches Login-Programm auf der Konsole l&aum;uft.
http://synergy.caltech.edu/~ggi/
Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKVerbiete das Aufspüren von USB-Speicherstiften ( empfohlen für Firmen etc. )
Es passiert doch immer wieder: Benutzer schließen USB-Speicherstifte an, um Daten zu stehlen.
Erzeuge eine Datei ´/etc/modprobe.d/no-usb´ und füge folgende Zeile hinzu, keine USB-Stifte mehr aufzuspüren:

install usb-storage /bin/true

https://www.tecmint.com/linux-server-hardening-security-tips/

Verbiete USB/firewire/thunderbolt-Geräte
echo ";install usb-storage /bin/true" >> /etc/modprobe.d/disable-usb-storage.conf
echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.conf
echo ";blacklist thunderbolt" >> /etc/modprobe.d/thunderbolt.conf

Benutzer können nun keine sensitiven Daten auf USB-Geräte und keine Malware, Virusse und Backdoors mehr auf das Linux-System kopieren.
https://www.cyberciti.biz/tips/linux-security.html

SSL v2, v3, Ende-zu-Ende, TLS v1.1, v1.2, ..., md5, sha128, sha256, twofish, blowfish, Rijdal, ...
OKDas sollten Sie über Verschlüsselung wissen (FAQ), PC-WELT, 03.01.2018
RSA und AES, Public und Private Key etc. Was steckt hinter diesen Verschlüsselungs-Begriffen? Eine FAQ.
https://www.pcwelt.de/ratgeber/Das-sollten-Sie-ueber-Verschluesselung-wissen-FAQ-PGP-AES-SSL-und-Co.-9848740.html

OKSichern Sie Ihr eigenes Wi-Fi-Netzwerk, PC-WELT.de, 03.01.2018
Heim- und kleine Firmennetzwerk-Router sowie Access Points (APs) werden in aller Regel einmal eingerichtet und dann sich selbst überlassen. Es lohnt sich aber, eine halbe Stunde Zeit zu investieren, um potenzielle Sicherheitslücken in Ihrem Netzwerk ausfindig zu machen und sie zu stopfen.
Da Wireless-Signale in alle Richtungen ausstrahlen, sollten Sie eine sichere Verschlüsselungsmethode auswählen, um Spione und Datendiebe auszusperren. Sicherheitslücken in älteren Sicherheitsprotokollen wie WEP bedeuten, dass diese in wenigen Minuten ausgehebelt werden können. Auch wenn die meisten neuen Router mittlerweile WEP gegen WPA oder WPA2 getauscht haben, sollten Sie insbesondere bei älteren Modellen diesen Status überprüfen.
Auch WPA gilt heutzutage nicht mehr als sicher, denn es setzt auf das unsichere TKIP-Verschlüsselungs-Protokoll. Achten Sie also unbedingt darauf, dass Ihr Router mit WPA2 und AES-Verschlüsselung arbeitet. Unterstützt Ihr Router diese Sicherheitsmechanismen nicht, wird es Zeit für einen Gerätewechsel.
Router-Grundlagen: 5 Tipps zur optimalen Einrichtung
Aus Gründen der Bequemlichkeit wird für Heim- und kleine Firmennetzwerke meist ein statisches Passwort für die Verschlüsselung übermittelter Daten benutzt. Das macht es Hackern aber leicht, das Netzwerk gewaltsam zu betreten. Genau genommen gibt es sogar verschiedenste Software-Lösungen, die Hackern genau das ermöglichen. Die Komplexität eines Passworts spielt dabei gar nicht die größte Rolle, sondern vielmehr die Zeichenlänge. Mindestens 20 Zeichen sollte ein sicheres Passwort umfassen - je länger es ist, desto schwieriger wird es zu knacken.
Auch gebräuchliche SSIDs wie "Home", "WLAN" oder "WLAN-Netzwerk" sollten Sie in etwas Einzigartiges ändern. Denn WPA/WPA2 benutzt die SSID als Bestandteil für den Verschlüsselungs-Passcode.
Das Befolgen unserer Tipps gibt natürlich keine Garantie dafür, dass Sie niemals ein Sicherheits-Debakel erleiden. Aber sie sind ein guter Anfang - und wer sie regelmäßig ausführt, bringt schon bald ein gutes Stück mehr PC-Sicherheit in seinen Alltag. Nicht das schlechteste in einer immer unsicherer werdenden Welt.
https://www.pcwelt.de/ratgeber/5-schnelle-Tipps-fuer-Ihre-Datensicherheit-9985465.html

OKSperren Sie Ihren PC, PC-WELT.de, 03.01.2018
Viele wissen es, die wenigsten tun es: Man sollte seinen PC niemals verlassen, ohne vorher eine Sperre eingerichtet zu haben - insbesondere an semi-privaten Orten wie dem eigenen Arbeitsplatz. Wenn man davon ausgeht, dass die meisten Büroarbeiter als Admins in ihren PCs eingeloggt sind, dauert es nur wenige Sekunden, um Mal- oder Spyware darauf zu installieren, die geschickt sämtliche Antivirenscanner umgeht.
https://www.pcwelt.de/ratgeber/5-schnelle-Tipps-fuer-Ihre-Datensicherheit-9985465.html

Linux, KDE (4.4.4-OpenSuSE, mdv2010, CentOS 6, ...), Abmelden (Sitzung beenden), Benutzer wechseln, Ein-/Ausschalter, Neustart, Arbeitsfläche sperren, Ruhezustand und Tiefschlaf:
systemsettings -> Anzeige -> Bildschirmschoner: nach X Minuten automatisch starten und nach Passwort fragen, um Bildschirmschoner zu beenden. Angleichung des Bildschirmschoners mit Screenlock: GL-Sonnenwind. systemsettings->Energieverwaltung -> Bildschirm nach Ruhezustand sperren und im aktivierten Profil: Reiter Bildschirm: Energiesparfunktionen für Bildschirm einschalten und Ausschalten nach Y (<X) Minuten

ggfls. Programm caffeine zur Umgehung des Bildschirmschoners und -sperre in Systemabschnitt-Kontrollleiste (Systemtray) einstellen und aktivieren

OKEinen (warnenden) System-Banner erzeugen
Eine Warnung zum Begrüßungstext nach dem Login kann abhalten, in den Server einzudringen
/usr/lib/issue.net: Verfasse einen Text mit einer Warnung oder dergleichen.

OKHow to Spoof a MAC Address (eindeutige Hardware-Adresse der Ethernetkarte) Permanently "[...] A 48-bit MAC address (e.g., 08:4f:b5:05:56:a0) is a globally unique identifier associated with a physical network interface, which is assigned by a manufacturer of the corresponding network interface card. Higher 24 bits in a MAC address (also known as OUI or "Organizationally Unique Identifier") uniquely identify the organization which has issued the MAC address, so that there is no conflict among all existing MAC addresses.
While a MAC address is a manufacturer-assigned hardware address, it can actually be modified by a user. This practice is often called "MAC address spoofing." In this tutorial, I am going to show how to spoof the MAC address of a network interface on Linux.
Why Spoof a MAC Address?
There could be several technical reasons you may want to change a MAC address. Some ISPs authenticate a subscriber´s Internet connection via the MAC address of their home router. Suppose your router is just broken in such a scenario. While your ISP re-establishes your Internet access with a new router, you could temporarily restore the Internet access by changing the MAC address of your computer to that of the broken router.
Many DHCP servers lease IP addresses based on MAC addresses. Suppose for any reason you need to get a different IP address via DHCP than the current one you have. Then you could spoof your MAC address to get a new IP address via DHCP, instead of waiting for the current DHCP lease to expire who knows when.
Technical reasons aside, there are also legitimate privacy and security reasons why you wish to hide your real MAC address. Unlike your layer-3 IP address which can change depending on the networks you are connected to, your MAC address can uniquely identify you wherever you go. Call me a paranoid, but you know what this means to your privacy. There is also an exploit known as piggybacking, where a hacker snoops on your MAC address on a public WiFi network, and attempts to impersonate you using your MAC address while you are away.
[...] If you want to spoof your MAC address permanently across reboots, you can specify the spoofed MAC address in interface configuration files. For example, if you want to change the MAC address of eth0, do the following.
On Fedora resp. CentOS or RHEL:

nano /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
MACADDR=00:00:00:00:00:01

Alternatively, you can create a custom startup script in /etc/NetworkManager/dispatcher.d as follows, especially if you are using Network Manager. I assume that you already installed macchanger.

nano /etc/NetworkManager/dispatcher.d/000-changemac

#!/bin/bash

case "DOLLARSIGN2" in
up)
macchanger --mac=00:00:00:00:00:01 "DOLLARSIGN1"
;;
esac

... oder macchanger -r "DOLLARSIGN1"" Quelle: https://xmodulo.com/spoof-mac-address-network-interface-linux.html
Der Erfolg mit obigem Vorgehen hängt angeblich von der Hardware ab. Im Zweifelsfalle rufe "macchanger -r eth0" in einem Einwahlskript aus /usr/sbin oder /etc/sysconfig/network-scripts wie ifup oder ifup-eth weiter am Schluss nach der Einwahl auf oder manuell im Terminal nach der Einwahl.

Eine Abfrage der gerade gesetzten MAC- bzw. Fake-MAC-Adresse kann dabei erfolgen mit

macchanger -s eth0 oder

ifconfig

Mit ifconfig lässt sich die MAC-Adresse wie mit macchanger verändern.

macchanger: Um nun eine neue MAC-Adresse wirksam einzurichten, sind nach Wahl einer der zufälligen aus "macchanger -r eth0" drei Veränderungen vorzunehmen: /etc/rc.local (Eintrag "macchanger --mac neue-MAC-Adresse eth0"), /etc/sysconfig/network-scripts/ifcfg-eth0 nochmaliger Eintrag der neuen MAC-Adresse und Ändern der damit verbundenen, neuen eigenen (lokalen) IP-Adresse in LINFW3 (Dialog -> NONYESNO -> own IP), ggfls. System-Neustart.


OKEinstellungen in /etc/sysctl/network-scripts/ifcfg-eth0

DEVICE=eth0
# MACADRESS=....
BOOTPROTO=dhcp
ONBOOT=no # automized dial-in during boot
METRIC=5
MII_NOT_SUPPORTED=yes
USERCTL=yes # users are allowed to change these data listed here and to dial-in
DNS1=127.0.0.1
DNS2=203.13.81.14
RESOLV_MODS=yes
LINK_DETECTION_DELAY=6
IPV6INIT=no
IPV6TO4INIT=no
ACCOUNTING=no
DHCP_CLIENT=dhclient
NEEDHOSTNAME=no
PEERDNS=no
PEERYP=no
PEERNTPD=no

OKKonfigurationsdatei des Resolvers
Die Datei /etc/host.conf enthält spezielle Konfigurationsinformationen der Resolverbibliothek. Sie sollte je Zeile ein Konfigurations-Schlüsselwort enthalten, gefolgt von der entsprechenden Konfigurationsinformation.
/etc/host.conf


order hosts,bind
multi on
reorder on
nospoof on
spoofalert on


Quelle: man host.conf

OKNetworkManager-Konfiguration mit /etc/NetworkManager/NetworkManager.conf:

[main]
dns=none
plugins=keyfile
dhcp=dhclient
rc-manager=unmanaged

[ifupdown]
managed=false

[logging]
level=error
domains=none

Weitere (sichere) Konfigurationsm&oum;glichkeiten des NetworkManagers mit NetworkManager.conf siehe https://developer.gnome.org/NetworkManager/1.11/NetworkManager.conf.html

OKNIS deaktivieren
Der Netzwerk-Informations-Service NIS sollte nicht benutzt werden, da er Passwort-Sharing erlaubt, eine hohe Unsicherheit..Alternativen sind LDAP.

OKSicheres finger
Es gibt viele finger-Daemon, als besonders sicher gilt ffingerd. Hier kann die Anzahl der zur selben Zeit laufenden Prozesse und die Anzahl der darauf zugreifenden Hosts limitiert und das verfügbare Interface eingegrenzt werden.

OKSichere Nutzung von PCs unter Ubuntu (und andere, Anm., Gooken)- für kleine Unternehmen und Selbstständige v2.0 (PDF, 189KB, Datei ist barrierefrei⁄barrierearm), BSI, 01.08.2018
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_009.html

OKGuidance
EUD Security Guidance: Ubuntu 18.04 LTS

Created: 24 Jul 2018
Updated: 24 Jul 2018
https://www.ncsc.gov.uk/guidance/eud-security-guidance-ubuntu-1804-lts

OKpaxctld von grsecurity.net (Aufruf paxctld in /etc/rc.local mit "paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld"
https://wiki.gentoo.org/wiki/Project:Hardened/PaX_Quickstart
/etc/paxctld.conf (erlaubt ist s,r,p,m,E)
e,E - https://pax.grsecurity.net/docs/emutramp.txt
m,M - http://pax.grsecurity.net/docs/mprotect.txt
p,P - http://pax.grsecurity.net/docs/pageexec.txt
r,R - http://pax.grsecurity.net/docs/randmmap.txt
s,S - http://pax.grsecurity.net/docs/segmexec.txt
https://en.wikibooks.org/wiki/Grsecurity/Additional_Utilities

#gdb
/usr/bin/gdb srpm

# steam
# /usr/lib32/ld-linux.so.2 m
# /usr/lib64/ld-linux.so.2 m

# node
# /usr/bin/node m
# /usr/bin/perf m

# firefox
# /usr/lib64/firefox/firefox m
# /usr/lib64/palemoon/palemoon m

# tor-browser
# /home/toruser/tor*/Browser/firefox m

# /usr/lib64/thunderbird/thunderbird m

# oxide
/usr/lib/x86_64-linux-gnu/oxide-qt/oxide-renderer m

# valgrind
/usr/bin/valgrind m

# python
/usr/bin/python E
/usr/bin/python2.6 E
/usr/bin/python2.7 E
/usr/bin/python3.2mu E

# java
# /usr/lib/jvm/java-6-sun-1.6.0.10/jre/bin/java m
# /usr/lib/jvm/java-6-sun-1.6.0.10/jre/bin/javaws m
# /usr/lib/jvm/java-6-openjdk/jre/bin/java m
# /usr/lib/jvm/java-6-openjdk/jre/bin/java m
# /usr/lib/jvm/java-8-openjdk/jre/bin/java m
# /usr/lib/jvm/oracle-jdk-bin-1.8/bin/java m
# /usr/lib/jvm/oracle-jdk-bin-1.8/jre/bin/java m
# /usr/lib/jvm/zulu-8-amd64/bin/java m

# openrc
/lib/rc/bin/lsb2rcconf E

# tuned
# /usr/sbin/tuned m

# libreoffice
# Ubuntu doesn't seem to carry this patch:
# https://bz.apache.org/ooo/show_bug.cgi?id=80816
# libreoffice will still run fine without the below line,
# but it will report an RWX mprotect attempt
# /usr/lib/libreoffice/program/soffice.bin m


OKSperren der vituellen Konsolen außer voreingestelltes tty7
/etc/inittab, einkommentieren mit #:
...
# Run gettys in standard runlevels
#1:2345:respawn:/sbin/mingetty tty1
#2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
...

OKPasswort vergessen und auf das System kann nicht mehr zugegriffen werden?
Die nötigen Schritte, um wieder Zugriff erhalten, hängen davon ab, ob Sie die vorgeschlagene Prozedur zum Absichern von lilo und BIOS durchgeführt haben oder nicht.
Wenn Sie beides eingeschränkt haben, müssen Sie im BIOS erlauben, von anderen Medien als der Festplatte zu booten, bevor Sie weitermachen können. Wenn Sie auch Ihr BIOS-Passwort vergessen haben, müssen Sie Ihr BIOS zurücksetzen. Dazu öffnen Sie das PC-Gehäuse und entfernen die BIOS-Batterie.
Sobald Sie das Booten von CD-ROM oder Diskette eingeschaltet haben, sollten Sie Folgendes ausprobieren:
Booten Sie von eine Rettungsdiskette und starten den Kernel.
Wechseln Sie mit Alt+F2 auf eine virtuelle Konsole.
Binden Sie die Partition ein, auf der sich Ihr /root befindet.
Editieren Sie (auf der Rettungsdiskette von Debian 2.2 befindet sich ae, Debian 3.0 enthält nano-tiny, der vi ähnelt) die Datei /etc/shadow und ändern Sie die Zeile:

root:asdfjl290341274075:XXXX:X:XXXX:X::: (X=irgendeine Ziffer)
in Folgendes ändern:
root::XXXX:X:XXXX:X:::

Dies entfernt das vergessene Root-Passwort, das sich im ersten durch Doppelpunkte abgetrennten Feld nach dem Benutzernamen befand. Speichern Sie die Datei ab, starten Sie das System neu und melden Sie sich als Root mit einem leeren Passwort an. Dies wird funktionieren, außer wenn Sie Ihr System etwas sicherer eingestellt haben, d.h. wenn Sie nicht erlauben, dass Benutzer leere Passwörter haben, oder dass Root sich auf einer Konsole einloggen kann.
https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html

Abhilfe: Verschlüsselung der Root-Partition (siehe unter System-Vollverschlüsselung (FSE))

OKPostfix - Verknappen der Information
Setze in

/etc/postifx/main.cf

smtpd_banner = DOLLARSIGNmyhostname ESMTP DOLLARSIGNmail_name (FreeBSD/GNU)

Also ohne Versionsnummer und ggfls. mit neuem Namen für das Betriebssystem.
https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html

OKLifetime Hardware, Leiterbahnen: Gesicherter Kontakt auf Graphikkarten, Boards und Platinen
Fast schrieben wir zu guter Letzt: Ins (Computer-)Gehäuse sollte ein Stück Kreide gelegt werden. Trick: Damit bleiben die Kontakte elektronischer Geräte wie an dieser Stelle Mainboard samt Graphikchip bzw. Graphikkarte immer rostfrei und vor Feuchtigkeit geschü,tzt!

OKLöschen der Online-Konten bei Internet-Dienstanbietern
Phishing, Spam, Profil-Erstellung (Profiling), Datenhandel, behördliche Ermittlungen, organsierte Kriminalität, Geheimdienste, Datenkraken, riesengroße Serverfarmen, Werbenetzwerke, Social Bots, KI, Hacks, Doxxing, Honeypots, Man-In-The-Middle-Angriffe, ...: Bevor wir mit der Installation von "Universal Linux" bzw. dem Updaten voll loslegen, sei noch an eine Löschung (Austragung) so vieler registierter Online-Accounts wie einem sinnvoll erscheinen gedacht: Soziale Medien (Social Media), Google, paypal, Online Shopping, Online Banking, ... Oft gar nicht so einfach: Gegebenfalls bedarf es der Anleitung. Für weiterhin bestehende Konten nehme man online übers (Anmelde-)Portal erforderliche Sicherheitseinstellungen durch.

OKRundumschutz mit iptables-Firewall Linfw3
Im Laufe des Exkurs weiter unten steht Linfw3 als Download zur Verfügung. Mit Linfw3 lassen sich sämtliche Hacker und sämtliche Trojaner blocken, wird nur dem (gemeinsamen) Benutzer surfuser zur Gruppe surfgruppe der passwortgeschützte Online-Zugang ermöglicht, d.h. auch nicht Superuser root bzw. uid 0, d.h. nur von ihm (surfuser) zur Gruppe (surfgruppe) gestarten Prozessen. Die Zugriffsrechte sind entsprechend lokal auf den jeweiligen Benutzer hin auf <=700 zu setzen ( automatisch per umask 077 in /etc/fstab oder manuell mit chmod oder graphisch per Kontextmenü). Vom surfuser gestartete (eigene) Programme kommen so ungehindert spielend leicht ins Netz, die einfache Freigabe zugehöriger Ports in Linfw3 vorausgesetzt: ein entscheidender Vorteil. Der nä,chste entscheidende Vorteil: sämtliche Passwörter außer zum Entsperren der LUKS-verschlüsselten root-Partition können nicht mehr geknackt werden - selbst sollten andere sie kennen. Sie bleiben fortan irrelevant. Die einzige Gefahr stellt dann nur noch das Chrooten dar, die die Einstellungen in msec wie "Verbiete Zugang für Root", "Verbiete Fremdzugriff für root/Verbiete Chrooten" und/oder Sandbox firejail zur Sperrung der Konsolen gezielt entgegnen. Auch lassen sich die Shells aller Benutzerkonten außer surfuser, aber einschließlich Superuser root (mit Setzung auf /sbin/nologin) völlig unzugänglich machen oder alle Benutzerkonten außer surfuser, aber einschließlich root, geschlossen sperren (in msec_gui oder per Befehl). ACL-Zugriffsrechte (Abfrage mit getfacl, Setzen mit setfacl) können das Starten von Prozessen durch vom surfuser gestartete Prozesse im Rahmen einer firejail umlagernden Zugriffsrechts-Sandbox auf paranoide Art zusätzlich entschieden begrenzen. Chroot ist Bestandteil von ssh, rsh, sftp und mount usw., mount von cryptsetup (LUKS). Daher verhilft außerdem System-Vollerschlüsselung (aller Partitionen einschließlich der Root-Partition) mit LUKS/dm-crypt. Für das Blocken von Skripten auf aufgebauten (geöffneten) Netz-Verbindungen sorgen dann Linfw3 durch Blocken von Root (uid0, gid 0) unter Benutzer surfuser der Gruppe surfgruppe und Firefox-Erweiterungen (Firefox-Extensions) wie von uns, Gooken, höchst wirksam konfiguriertes ABP, wer will zuzüglich noscript und unbedingt RequestPolicyBlockedContinued bzw. Firefox >= 64 mit entsprechendem Cross-Site-Tracking-, -Scripting- und generellem Tracking-Schutz. Nebenbei kann noch der Port-Scan-Detektor psad oder iptables-gestützt psd über Linfw3 gezielt vorbeugen: unschlagbar paranoid! Um noch paranoider als paranoid zu werden, macht darüber hinaus die Begrenzung der interaktiven Prozesskommunikation (MAC) von sich manch reden - wir meinen unnötiger Weise und raten zum Verzicht. Restrisiko liefern alles in allem dann nur noch die von root getarteten Kernel-Prozesse aus dem Hause Linus Tovalds - obwohl sie unter root (uid 0 und gid 0) laufend auf umsagte Art durch Linfw3 gleich mit geblockt werden können. Der hier wohl einzig gefährlich wirkende (zeitweise recht ausgelastete) root-Prozess X (X-Server, darunter der Grafikkartentreiber) wurde ja in vorausgehenden Punkten bereits mit dem Befehl xhost durch Setzen eigener ACL entschieden restrirktriert. Der mit der Option "-no-listen tcp" gestartete X-Server (X) lässt sich wie dort beschrieben sogar im Benutzermodus starten.
Auf weitere Eigenschaften von Linfw3, Firejail, ACL-Zugriffsrechte, umsagte Firefox-Erweiterungen, den in einer eigenen Sandbox laufenden Tor-Browser, TorDNS auf Basis des lokalen Cache-DNS pdnsd unter Einbezug lokaler /etc/hosts und weitere Einzelheiten dieses Prinzips kommen wir später (weiter unten) noch zu sprechen.

OKSecure Programming HOWTO, David A. Wheeler, 2015-09-19
This book provides a set of design and implementation guidelines for writing secure programs. Such programs include application programs used as viewers of remote data, web applications (including CGI scripts), network servers, and setuid/setgid programs. Specific guidelines for C, C++, Java, Perl, PHP, Python, Tcl, and Ada95 are included. It especially covers Linux and Unix based systems, but much of its material applies to any system. For a current version of the book, see http://www.dwheeler.com/secure-programs
https://dwheeler.com/secure-programs/Secure-Programs-HOWTO/index.html

SL-Banner OKSicheres "Universal Linux" (backported System), Folgendes ist zu tun:

Noch so verschiedene Linux-Distributionen umfassen, wie die zunehmende Installation von Paketen erweist, ein und dasselbe Linux, zum einen das weiterentwickelte Linux, zum anderen das dem Backporten folgende. Dabei teilen Pakete sich in rpm-paketgestützte, deb-Debian-Distributionen und Tarballs von Slackware auf.
Ihr "Zusammenpuzzeln" verstöszlig;t also nicht gegen den Gedanken an dieses ein und dasselbe Linux.

Als wichtig erweist sich bei der Auswahl infragekommender Distributionen noch der architektonische Gedanke an Vollständigkeit (generell aller möglichen verfügbaren Software), Fehlerfreiheit (Sicherheit) und Aktualität.

U.a. folgende Möglichkeiten bieten sich an:

Entweder Sie installieren mit Ablauf der Updates jedesmal, möglicherweise alljährlich, eine aktuelle Linux-Distribution, wir empfehlen in erster Linie Debian Linux bzw. GNU Debian oder Debian Ubuntu gefolgt von SuSE Linux, Fedora Core (fc), das daraus sorgsam hervorgehende und (Fedora Core -) backportete ("zurück-portierte") Redhat oder dem weitgehend gleichkommendes CentOS, Rosa, Openmandriva (omv), PCWelt Ubuntu und Mint, oder Sie installieren von fr2.rpmfind.net und pkgs.org wie gesagt die bereits mit am meisten Software, darunter viele Top-Games auf Basis von OpenGL und SDL umfassende und stabil laufende Linux-Distribution Mandriva mdv2010.0 bzw. mdv2011, mga1, mga2 oder mga3, rosa (Rosalabs.ru), omv (OpenMandriva) oder eine nahezu beliebige rpm-basierte Distribution der letzten Jahre und besorgen sich ihr zugehörige Updates von pkgs.org und fr2.rpmfind.net. Imfalle mdv2010.0 erwägen Sie nach möglichst vollständiger Installation und Updaten außerdem die Installation der Code noch einmal optimierenden (geupdateten) Autumn- und Spring-Version mdv2010.1 und mdv2010.2 ( 65 GB, 15 DVD + 11 DVD Quellpakete ), darauf aufbauend die Updates von CentOS und EPEL (el6 und el7), ferner das Mandriva-Nachfolgeprodukt omv2015 von pkgs.org für den Erhalt eines fast alle Anforderungen erfüllenden universellen Linux.

Universal-Linux mit Kernel: kernel-4.14 (pclos, November 2018), glibc (mga6, pclos), dracut (mdv2011) und KDE (el7, el6 oder im Mix aus kde (mdv2010.2, 4.4.5/4.4.9, November/2011), kde (el6, 4.3.5, aktuell, 2018) und kde (4.4.4, OpenSuSE, Ende 2013)

PCLinuxOS bzw. pclos, ein Backport-System von Fedora Core, ROSA, Mageia und Mandriva, bietet dabei z.B. von https://ftp.nluug.nl/ftp/pub/os/Linux/distr/pclinuxos/pclinuxos/ oder http://ftp.pbone.net/mirror/www.pclinuxos.com/pclinuxos/apt/pclinuxos/64bit/RPMS.x86_64/ den aktuellen, sicheren Kernel mit aktueller Kernel-Firmware zum Download an. Wie empfehlen LONGTERMED kernel-4.14 bis kernel-4.14.12 oder höher mit kernel-firmware (pclos) und kernel-firmware-extra (pclos) und Konqueror (el6) mit integriertem Werbeblocker bzw. aktuellen Firefox (ESR, Extended Security Release bzw. die Backport-Unternehmens-Version) von http://ftp.scientificlinux.org/linux/scientific/6.9/x86_64/updates/security/ oder http://mirror.centos.org/centos/6/updates/x86_64/Packages/ mit im Folgenden noch aufgeführten Erweiterungen und AddOns.

Das aus Updates von mdv2010.1 hervorgehende Universal-Linux stützt hauptsächlich auf CentOS 6 (und auf Wunsch auch CentOS 7), denn CentOS liefert für außergewöhnlich lange Zeit Updates auf dem sicheren Backport-Konzept: Vor dem Installieren und beim Updaten sollte nicht die Paketversion (mit ihren Erweiterungen) sondern der sich in diesem Fall über 10 Jahre erstreckende Updatezeitraum sowie das Release immer möglichst derselben (fixierten) Paketversionen den entscheidenden Ausschlag für eine bestimmte Distribution bzw. zum Updaten geben. Einzelheiten ü,ber den entscheidenden Vorzug der Update-"Komponente" CentOS können der Sektion zum Updaten "Universal-Linux" entnommen werden.

SuSE:
Suse Doc: Deployment Guide - Backporting Source Code
SUSE uses backports extensively. The information in this section helps you understand, why it can be deceptive to compare version numbers in order to judge ...
www.suse.com/documentation/sled11/book_sle_deployment/data/sec_update_backports.html

Debian:
Debian richtet neues Backports-Repositorium ein - Pro-Linux
Mit dem neuen Repositorium "lenny-backports-sloppy" stehen Debian-Anwendern künftig aktualisierte Programme ohne große Risiken und Mühen zur Verfügung. www.pro-linux.de/news/1/16241/debian-richtet-neues-backports-repositorium-ein.html

Bereits mdv2010.1 (mdv2010.0, Update von mdv2010.0 auf mdv2010.1 und schließlich mdv2010.2) läuft stabil und weitgehend sicher. Mit Fedora Project bzw. CentOS 6 (bzw. el6) und CentOS 7 (bzw. el7) hat Linux darüber hinaus endlich aufgehört, mit jeder neu erscheinenden Distribution nach Ablauf der Versorgung mit Updates riesige Müllberge an Paketen zu hinterlassen. Die Besonderheit von mdv2010 begleitet von CentOS liegt in der Funktionstüchtigkeit (in den meisten Fällen der Maßstab für Sicherheit schlechthin) infolge der jahrzehntelangen Durchgepatchtheit oft derselben jeweiligen Paketversion, dessen Release durch die Zahl hinter dem Punkt am Ende des Paketnamens genannt ist. Sie, eine ganz bestimmte Version eines Releases, wird also auf Sicherheit und Funktonstüchtigkeit hin regelrecht fixiert und für weitere Releases (Patches) mehr als zehn Jahre hindurch fortlaufend "festgenagelt". Selbst mdk10.1 aus dem Jahr 2004 bewahrt auf diese Art und Weise manch Aktualität.

"Fedora Project bzw. CentOS ist binärkompatibel zu RHEL und daher ebenfalls ein Enterprise-Betriebssystem, also ein Betriebssystem, das auf die Bedürfnisse großer Unternehmen und staatlicher Organisationen ausgerichtet ist. Als Enterprise-Betriebssystem ist es deshalb auf Stabilität und lange Wartungszyklen ausgelegt. Man kann CentOS bis zu zehn Jahre nutzen, ohne Pakete bzw. Softwareversionen migrieren zu müssen, weshalb es für den kommerziellen Einsatz geeignet ist. Für RHEL bieten große Softwarehäuser wie Oracle oder SAP Zertifikate an, die garantieren, dass deren Software auf RHEL problemlos funktioniert, was analog für große Hardwarehersteller gilt. Enterprise-Betriebssysteme findet man daher meist auf Workstations und Servern, wo ein extrem stabiler Betrieb verlangt wird z. B. in der Wissenschaft, Forschung, Börse, Militär oder Raumfahrt. Im Gegensatz zu RHEL gibt es für CentOS von den meisten Software- und Hardwareherstellern weder Zertifikate noch Support. Aufgrund der Binärkompatibilität zu RHEL kann es aber oft von den Voraussetzungen, die für RHEL geschaffen werden, direkt profitieren.", Quelle: Wikipedia.de.

Die Installation von mdv2010 verläuft aufgrund manch unberücksichtigter Paketabhängikeiten leider ein wenig holprig. Geht etwas schief, mangelt es noch an einigen weiterhelfenden Fehlermeldungen. Pakete sind vor der Installation in solchen Fällen einzeln statt mit dem MCC-Paketmanager herunterzuladen. Alternativ bestellen Sie mdv2010.1 (oder irgendeine rpm-Distribution) bereits von uns in vorinstallierter Form aus mdv2010.1 mit von mdv2010.1 und mdv2010.2 geupdateten Paketen mit den u.a. nach pro-linux-de und Gentoo-GLSA im Internet aufgelisteten Aktualisierungen und aktuellen Updates von el6, el7, und rosa2014.1 auf SSD in Systemvollverschlüsselung (Full System Encryption bzw. FSE by dracut und LUKS/dm-crypt über das bereits installierte rpm cryptsetup). Das Treiberrepertoir des akutellen Kernels 4.20.13 (mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (pclos), 4.14, 4.9 bzw. 2.6.39-4-5.1 von mdv2011 (auch für el6 und mdv2010) mit Patches bis Jahr 2016 von siehe unter Sektion Updates ist bereits enorm, im seltenen Fall mangelnder Hardwareerkennung verhelfen Herstellerseiten und integrierte Standardtreiber, bei Druckern PPD-Dateien als die gesuchten Treiber. Generell können Sie die Updates für mdv2010.1 aus dem Internet auch als Tarball oder von fr2.rpmfind.net bzw. pkgs.org von der Distribution CentOS und EPEL (beides el6 und el7 (mit Updategarantie von Jahr 2010 bis zum Jahr 2026) beziehen. Zu den Tarballs zählen Firefox (derzeit aktueller ESR (el6, OpenSuSE, rosa2014.1), das Extended Security Release von CentOS oder Rosalabs), Chrome und Thunderbird (aktuell bzw. aktuelles ESR el6-rpm (el6)).
Den Tarball eines aktuellen Firefox und Thunderbird entpacken Sie einfach in irgendein neues Verzeichnis wie z.B. /usr/lib64/firefox-bzw-beliebiger-verzeichnis-name und /usr/lib64/thunderbird-beliebiger-verzeichnisname und verlinken, falls erforderlich, die ausführbare Datei /usr/bin/firefox mit dem Befehl "ln -sf /usr/lib64/firefox-beliebiger-verzeichnisname/firefox-bin /usr/bin/firefox". Anschließend sind noch Eigentumsrechte mit dem Befehl "chown root:root /usr/lib64/firefox-bzw-beliebiger-verzeichnisname" und die Zugriffsrechte mit "chmod 755 -R /usr/lib64/firefox-bzw-beliebiger-verzeichnisname" zu setzen. Firefox lässt sich einmal installiert auf einfache Art und Weise sowohl über aktuelle Tarballs als auch frei aus dem Menü unter Info heraus mit Klick auf "auf Updates überprüfen" aktualisieren.


OKInstallation der Linux-Endverversion (durch Neuerwerb oder Aktualisierung)
Es ist gar nicht einzusehen, dass wir die noch einmal bezahlen, die uns mit ihrem Betriebssystem und Software durch Sicherheitsdefizite und Updatebedärfe und sonstige technische Unausgereiftheiten und Unvollständigkeiten dauernd verraten und verkauft haben, ohne von ihnen für ihre "Produkte" jemals irgendeine Garantie geboten bekommen zu haben, weder von Microsoft (EULA) noch von SuSE aus ürnberg ( Angabe auf der Verpackung: " keine Garantie und Haftung") !

Selten so ein überholungs-bedüftiges "Produkt" wie Software unserer Zeiten mehrere Jahrzehnte hindurch gesehen... !

OKWir verwandeln also ein ziemlich allumfassendes, aber sicherheitstechnisch wer weiß wie gefärlich marodes Linux, in unserem Bezug Mandriva Linux (mdv2010, mdv2011, mdv2012), in ein zumindest bis Jahr 2026 und somit hoffentlich für immer (über alle Zeiten) aktuelles, möglichst allumfassendes Linux, ohne eine aktuelle, neue Distribution besorgen und neu aufsetzen zu müssen. Das Tor steht nach Aktualiserung der glibc (und des Linux-Kernels) auf zum

"FINALEN UNIVERSAL-COMPUTER mit UNIVERSAL-LINUX" (Art Slackware) on the DAILY-UPDATE-PATCH-CHANNEL (fc, C6 resp. CentOS 6 el6/sl6) for the next computer decades, http://www.pro-linux.de/sicherheit/1/1/1.html und unzähligen Pakete, Aktualisierungen und Updates von pkgs.org, fr2.rpmfind.net, pbone.net und Download-Webseiten


(aus vielen Linux-Distributionen (bis zu 100 DVD und mehr) wie CentOS (Backport-System), Fedora Core, PCLinuxOS (Backport-System), mdv2011, mdv2012, Mageia, OpenMandriva (omv), Fedora, Rosa, ALT-Linux, Slackware und MAC- und Windows-Emulationen mit Emulatoren und virtuelle Maschinen (vmware, Xen)).

Vor dem Updaten des Systems mit vor allem CentOS el6 und ferner el7 besorgen Sie sich noch eine aktuell gepatchte Standard GNU C Library glibc. Getestet haben wir an dieser Stelle die glibc von pclos und mga6 Version 2.22-29 vom 17. Juni 2018 (auch höher) für Kernel 4.20.13 (pclos) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (pclos) und <=4.14.12 und Kernel 4.9 (pclos), je nachdem mit weiteren glibc-Hilfspaketen von mga6. Die glibc kann geschlossen mit aktuell gehaltenen Paketen von mga6 auf die aktuell durchgepatchte Version 2.22-29 vom 17.Juni 2018 geupgradet werden (pclos: 2.26). Außerdem bietet sich für unser Referenz-Linux noch die glibc (pclos) an, und auch diverse neuere glibc (fc) von FedoraCore eignen sich möglicherweise an. Alle Pakete für mga6 sind wie bereits gesagt bei pgks.org und rpmfind.net erhältlich. Alternativ: glibc (mga6), Rest-glibc (el6).

Weiterer Vorteil von CentOS von pkgs.org: Dort befindet sich zum Downloaden immer auich das Paket mit dem Quellcode direkt unter dem zugehörigen binärcodierten. Die verhießene Installation von CentOS 6 und CentOS 7 auf Basis von Mandriva 2010.1,.2011 und 2012 erwies sich als ohne Weiteres möglich.

Kernel: Wir haben uns für Linux-Kernel 4.14 wegen el6 und dessen ausgezeichneter Abstimmung mit mdv aus dem zeitgleichen Jahr 2010 entschieden. Für die auf dem Upgrade der Standard Library glibc beruhende Ausweitung empfehlen sich im Einzelnen folgende Pakete:

glibc (pclos: 2.26, mga6: 2.22-29), compat-glibc (el6), glibc-common (pclos) oder glib2.0-common (el6), glibc-i18ndata (pclos, mga6), glibc-headers (el6), glibc-static (el6), glibc-utils (mga6), glibc-profile (mga6), glibc-glibc_lsb (mga6, mga5, pclos, rosa2014.1), locales (pclos, mga6), locales-en (pclos, mga6), locales-de (pclos, mga6), ..., glib2 (el6), prelink (mga6), lib64stdc++ (pclos, mga6), libstdc++ (pclos, mga6), libsigc++ (pclos, mga6)

Mit lib64glib2 (rosa2014.1), lib64gio2 (rosa2014.1), lib64gobject2 (rosa2014.1) und lib64gmodule2 (rosa20104.1) ist hingegen ein wenig mehr Vorsicht geboten: der Miroplayer Miro und die MCC-Druckerverwaltung versagen danach möglicherweise den Dienst: glib2.0-common (el6) und glib2 (el6) kann man hingegen ohne Weiteres zusätzlich nachinstallieren!
Gewisse glibc erfordern ein erweitertes Filesystem. Gemeint ist hier nicht ein Dateisystem wie ext4 oder reiserfs, sondern die Verzeichnisbaum-Erweiterung mit neuen Verzeichnissen des Wurzelverzeichnis /sbin, /lib und /lib64.
OKDas Terminalprogramm "konsole" funktioniert danach im letzen Fall leider nicht mehr (der Cursor bleibt im linken oberen Eck stecken), weitere Maßnahmen wie die Installation des Pakets shadow-utils mit dem Kommando sg (rpm von mga3 oder höher) und den Vorzug anderer Terminals wie das als ganz besonders sicher geltende aber kein Unicode unterstützende aterm und Unicode unterstützdendes xterm zu erfordern. Das Terminalprogramm "konsole" funktioniert erst wieder, nachdem devpts in /etc/fstab gemountet ist. Der entsprechende Eintrag in die Gerätekonfigurationsdatei lautet:

none /dev/pts devpts mode=620,gid=5

mit gid für tty und in der Benutzerverwaltung der Benutzer tty mit zugehöriger Gruppe tty,wheel und lp. Empfohlen sei unter den Terminals allerdings xterm, denn ür xterm spricht Aufrufschnelligkeit, Unicode-Unterstützung und Farbneutralität zur verbesserten Lesbarkeit.

OKNun können viele Pakete von aktuellen (aktuell gepatchten) Distributionen bezogen werden wie fc, mdv2011, mdv2012, rosa2016, rosa2014, openmandriva2015, el6 und el7 aus aktuellem Scientificlinux alias CentOS (el6) mit EPEL (el6) und ferner NUX Desktop (el6.nux), LinuxTECH, Les RPM de Remi (el6.remi), Nau Linux (el6.nau), Scientificlinux (sl6, el6), Linux TECH, Atomic, repoforge (el6.rf, rpmforge), CERT Forensics Tools, PUIAS Computational (el6), KBS Extras Testing, Psychotic N., ATrpms, EL GIS, ELRepo, End Point, Ghettoforge (el6.gf), Google Chrome, KBS Extras, Lux, Russian Fedora (el6.ru), RPM Fusion, Scientific Linux Cyrillic Edition. Die einzelnen URL kö,nnen wieder der Update-Sektion entnommen werden.

Mageia Cauldron 6 (2016) bis Mageia 1 (2011) und aktuelles Fedora Core bis derzeit fc24 gesellen sich bei Bedarf teilweise noch hinzu, so dass den Aktualisierungsempfehlungen von pro-linux.de unter Sicherheit und Gentoo-GLSA ( https://security.gentoo.org/glsa/, https://www.pro-linux.de/sicherheit/1/1/1.html) nachgegangen werden kann. Die Anzahl der dort für CentOS aufgelisteten Aktualisierungen hält sich zunächst aber in Grenzen. Welche insbesonders von el6 (bzw. el7) stammenden Update-Pakete im Einzelnen infrage kommen, führen wir in der Sektion unter Updates noch auf.

Was wir hier mit dem Umstieg auf el6 und el7 beschrieben haben, müsste auch vielen anderen Distributionen möglich sein, ärgerlich wenn nicht. Somit steht ein nahezu unbegrenztes und sicher laufendes, aktuelles "Universal-(Slackware-)-Linux" der Kapazität von ca. 15 bis 100 DVD á 4.4 GB gepackten rpm und deb (Debian) zuzüglich aller möglichen Tarballs von überall her auf Basis des mdv2010.2 (bzw. mdv2011) und CentOS el6 und el7 zur Verfügung, darunter ausgesprochen viele Hardware-Gerätetreiber und Games. Auch alle möglichen Linux-Games laufen. Ein Auszug der allein für mdv2010 verfügbaren Software findet sich im "Datenblatt". Dort geben wir auch nochmal die zugrundeliegende energiesparende Hardware an, obwohl sich, wie abermals über den Paketnamen wie x86_64 für 64-Bit-Prozessoren und i686 für 32 Bit erkenntlich, vermutlich jedes Mainboard und alle möglichen Laufwerk- und Festplattentypen und SSD eignen. Zur Not verhelfen preiswerte PCI- und PCIe-Steckkarten für Graphik, Sound und Ethernet-LAN weiter, in unserem Fall bereits alles onboard. Das OpenSource-System lässt sich den Installationsprozess begleitend über Schritte dieses Exkurses wirksam absichern (System-Backup). Die zentrale Rolle spielt dabei sicherlich unsere iptables-Firewall Linfw3, nach der jegliches Hacken und das Aufkommen von Trojanern überhaupt nicht mehr möglich sind.

mdv2010 installiert sich wie gesagt hier und da noch ein wenig holprig. Bitte vergessen Sie zum Gelingen einer Installation nicht die regelmäßige 1:1-Datensicherung auf mindestens ein externes Speichermedium, insbesonders mittels des auch bei SSD zwar nicht am schnellsten, so doch mit am zuverlässigsten arbeitenden Befehls dd. Wie in allen Fragen im Einzelnen vorzugehen ist, beschreiben wir noch.


Seit dem Erscheinen von ScientificLinux sl6/el6 bzw. CentOS el6 im Jahr 2010 stellt der Computer (bis dato Jahr 2018) rundherum sehr zufrieden. Bald schon werden Sie sich davon überzeugen. Sicherer und vielseitiger gehts kaum noch mit dem Computer-Komplettsystem mit dem gestochen scharfen ultraslim 18W-WLED-Monitor von AOC (Bauart TÜV geprüft) für insgesamt um die 250 €, das insgesamt weniger als 40 Watt die Stunde verbraucht, Einzelkomponenten siehe das rein unverbindliche Datenblatt. Viele andere Modelle kommen ebenso in Frage. Wir haben auf unseren Linkseiten unter "News&Links" sogar den Rasperry Pi 3 und das 3W-Modell C.H.I.P. für 9 Euro ausfindig gemacht, viel Speicher und leistungsstark wie das Smartpone.
Und? Richtig was los: unglaubliche 38 Gigabyte Traffic Monat April 2015 auf unseren Webseiten über das früher am Kiosk für ein paar Euro erhätliche und auch ohne Defragmentierung und dergleichen höchst sichere Mandriva-Linux-Computersystem des Jahres 2010, das kaum noch Wünsche übrig lässt, weil es (fast) alles kann, 100% Sicherheit bietet und mit der Befolgung dieses Berichts außer unter mutwilliger Gewalteinwirkung nicht kaputt zu kriegen ist. Bitte melden Sie uns Ausnahmefälle:
Zeitlosigkeit im Computerzeitalter, keine Plattform ohne Sicherheit von Grund auf, herzlich Willkommen auf Gooken.de zur Sicherheit in der Informationstechnik als wesentlicher Faktor für das erfolgreiche Zusammenspiel von Informatik und Gesellschaft! Unsere Webseiten sind übrigends frei von Trackingskripten und dergleichen.

Ausgangssituation


Computer - es geht kaum kaputter. Wer einen "(miroschen) Suneater" hat, kennt wohl nur ein Thema: Sicherheit.
"Früher legten sogenannte Cyberkriminelle Rechner durch Computerviren lahm, heute räumen Datendiebe&Co ganze Bankkonten leer", schreiben die Zeitschriften selbst nach dem Jahrtausendwechsel. Sicherlich steht dabei "früher" auch für "heute", wo anfangen, wo aufhören? Kreditkartenbetrug, Lastschriften, Knacken von Chips, Werbe- und Betrüger-E-mails (Scams), Werbeanzeigen, Falschinformationen, Identitätsdiebstahl, Umleitung der Informationsflüsse, Online-Registrierungen, Tastaturfolien (Skumming), Freigaben von sabotierten Prozessen gegen Lösegeld, Abmahnungen, Mahngebühren, Profiling und Hollywoodfilme, Text-Manipulation, Cybermobbing (Art außerprozessliche verhängte Vorstrafen), Steuer-CDs, Anlageberatung, Schufa, Wirtschafts- und Industriespionage, Handy-Jagden, Lizenzen, Suchmaschinen-Ranking und Trackingskripte, unterlassene Sofortmeldungen bei Überschreitung kostenfreier Limits, Datenverluste, Verstöße gegen Urheber- und Patenrechte, Sabotagen, Gerichtssitze im Ausland, Kodierungen, Hacken und Phishing. Kriminelle können Daten löschen und ausspionieren, in Online-Shops Waren auf fremden Namen und Kosten anderer bestellen, Transaktionen beim Online-Banking manipulieren oder den Zugang zu Bankkonten sperren, Ihren Rechner zum Teil eines Botnetzes machen und ihn so für Cyberangriffe auf Unternehmen oder andere Institutionen sowie zum Versand von Spam-E-Mails einsetzen. Seit George Orwell ist bereits vom Big Brother die Rede, jemand, der unsere Gewohnheiten erfasst, uns zu beobachten und lenken. Was steht im Computerzeitalter nicht mit Computer in Verbindung? Welten werden für den Erfolg und Karriere zusammengebastelt ( zensiert durch Löschen und Sperren allen unliebsamen Materials und Dokumente), Daten geklaut, Seitenbetreiber abgemahnt, Konten geknackt, Unterschriften und Urkunden gefälscht, wissenschaftliche Ausarbeitungen für die eigene bezogen und hemmungslos übernommen, Hausaufgaben für andere gemacht, Rechner, Filme und Bilder manipuliert, Störungen verschiedener Hardwarekomponenten Praxis, zuschlagpflichtige Neuware gegen Garantie umgesetzt statt Geld zurück. Prostitution und Organhandel finden Verstärkung. Modernste Züge verspäten sich und entgleisen. Verwanzte Büros, überwachte Toiletten, Kameras in Bankfilialen, auf Straßen, Bahnhöfen und Flughäfen, vor Tankstellen und Geldautomaten: Die Augen und Ohren des Großen Bruders sind überall. Spacejets krachen vom Himmel, Flugzeuge stürzen ab, Schiffe kollidieren. Strompreise schnellen in die Höhe, Stromnetze brechen zusammen. Newsgruppenbeiträgen nach verstrahlt und vergiftet die Hardware, und in nur unzureichender Form wird da vor Unwetter gewarnt, Stimmen falsch ausgezählt, Informationen vorenthalten, mitgeschnitten, abgesaugt und blitzschnell weitergeleitet, gesammelt, über Positionierung und AGB manipuliert, ausgewertet und zensiert, Spam zurück. Drohnen drohen mit Beschuss, beschießen, Rechtsbewusstsein entschwindet, Prozesskosten treiben in die Höhe, Korruption macht sich breit wie der auf Halden gehörige, sonderentsorgte Computerschrott, von Abmahnungen gelebt, andauernd gebettelt: gläsern, gruselig und gefährlich wie der Suneater: so richtig verfressen und total kaputt.

Sicheres Desktop System - Linux härten Teil1 von Mike Kuketz, 25. Februar 2016
Sicherheit ist immer relativ - Linux härten
"Denn sie wissen nicht, was sie tun" - im Originaltitel heißt der Film aus dem Jahre 1955 "Rebel Without a Cause". Der deutsche Titel beschreibt für mich exakt die aktuelle Situation der IT-Sicherheit und Datenschutz. Es herrscht absolutes Chaos und so Recht mag eigentlich keiner mehr durchblicken. Die Frage lautet längst nicht mehr, ob wir noch die Kontrolle über unsere IT und Daten haben, sondern wie wir die Kontrolle wieder zurückerlangen können. Es ist mehr als beunruhigend: Krankenhäuser werden von Ransomware-Viren lahmgelegt, der neue Bundestrojaner ist einsatzbereit und der Erpressungs-Trojaner Locky verschlüsselt Dateien von Windows-Nutzern. Man muss nur ein paar Stunden warten und eine ähnliche Meldung wird wieder durch irgendeinen News-Ticker rauschen. Die allgemeine Reaktion: Schulterzucken, Ohnmacht oder Lösegeld bezahlen - danach weitermachen als wäre nichts passiert.
Die Ursachen hinter solchen Meldungen sind meist auf Schwachstellen in Soft- oder Hardware zurückzuführen."

https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/

Hersteller- und Händleradrsse des angeblich im Vergleich lebenden Mandriva sind uns bekannt. Wir geben sie im Folgenden noch an. Opensource und sogenannte Changelogs eines jeden Pakets verheißen uns aber mit Sicherheit eins: dass wir alle in solchen Fällen selber Schuld haben. CentOS el6 und el6 bieten sich hierfür als der Treffpunkt schlechthin an.

Lesermeinung und -diskussion auf netzpolitik.org, OpenSource Disconnect vs. proprietäres Ghostery
chromax 29. JUN 2015 @ 20:42
Woher weiß man denn, ob der OpenSource-Code auch der kompilierte ist? Auch keine Sicherheit…
Antworten
CrX 29. JUN 2015 @ 22:06
Die gestellte Frage ist akademischer Natur. Den Praktiker interessiert, ob irgendwo her bezogene ausführbare Dateien mit dem Quell-Code übereinstimmen.
Daher kompiliert man bevorzugt selbst Open-Source, wenn man dazu in der Lage ist.
Antworten
skoam 24. SEP 2015 @ 10:09
Das ist immer eine richtige Frage und die Antwort gab es bereits: Open Source kann man selbst kompilieren und anschließend den Build mit dem ausgelieferten ausführbaren Code vergleichen. Stimmen die Hash-Summen (md5sum/shasum/Dateigröße) nicht überein, gibt es ausführbaren Code, der nicht in den Quellen aufgeführt ist.

OK Linux läuft nicht? So lösen Sie jedes Treiber-Problem, PC-WELT.de, 04.07.2017
Linux läuft auf fast allen PCs und Notebooks, aber nicht jede Hardwareperipherie wird automatisch erkannt. Vor allem mit sehr neuen Geräten kann es Probleme geben.
[...] Linux-Distributionen bieten eine breite Hardwareunterstützung und laufen auf so gut wie jedem PC. Mit SATA, Ethernet, Grafikkarte und Monitor sowie Maus und Tastatur gibt es kaum Probleme. Diese Basisfunktionen sollten in jedem Fall gewährleistet sein.
Ältere Drucker, Scanner oder TV-Karten, für die es keine Treiber für Windows 7, 8 oder 10 gibt, lassen sich oft unter Linux weiternutzen. Bei sehr neuen oder seltenen Geräten ist die Unterstützung dagegen nicht immer gegeben. Vor der Installation sollten daher immer Tests der Hardwarekompatibilität stehen.
[...] Vor dem Kauf: Kompatible Linux-Hardware finden
Wer sich nicht selber um die passenden Linux-Treiber kümmern möchte, sollte bereits vor dem Kauf die Kompatibilität überprüfen. Meist genügt dafür eine ... Suche mit dem Gerätenamen in Kombination mit "Linux". ... Ebenfalls nützlich ist http://wiki.ubuntuusers.de/Hardware . Hier finden Sie Listen mit Hardware, die funktioniert, und Tipps zur Einrichtung. Informationen zu TV-Karten und Sticks sind bei Linux TV gesammelt.
Wer Linux auf einem Notebook installieren möchte, informiert sich vorab über http://tuxmobil.org oder Ubuntu Wiki . Es gibt auch einige Hersteller, die auf Notebooks mit vorinstalliertem Linux spezialisiert sind, beispielsweise Tuxedo Computers ..
https://www.pcwelt.de/ratgeber/So-bringen-Sie-Linux-trotz-Probleme-zum-Laufen-9789269.html

OKWarum Freie Software kein Sicherheitsproblem darstellt, Kommentar auf netzpolitik.org, 16.03.2016:
"Die Aussage, dass die Entwicklung durch Freie Software schneller und günstiger wird, ist sicher richtig. Aus wirtschaftlicher Sicht ist das einer der großen Vorteile von Freier Software. Softwareunternehmen können auf Bestehendem aufbauen. Dadurch muss nicht bei jeder Entwicklung das berühmte Rad neu erfunden werden, stattdessen kann man sich direkt auf das eigentlich Neue und Innovative konzentrieren. Unter anderem verhindert man damit, dass ähnliche Fehler wiederholt gemacht werden, stattdessen baut man auf bereits etablierte, gut getestet Bausteine auf und reduziert hierdurch sogar die Fehleranfälligkeit. Der ganz banale Schluss, dass schnellere Entwicklung zu mehr Software führt und mehr Software auch zu mehr Fehlern in Software, ist nicht überraschend. Genauso wenig sollte es aber überraschen, dass dies für jede Software gilt. Ganz unabhängig von der Lizenz. Trotzdem will am Ende wohl niemand auf die Steigerung der Produktivität durch bessere Werkzeuge, Lizenz- und Entwicklungsmodelle in der Softwareentwicklung verzichten.[...] Eine lückenlose Überprüfung von einzelnen Komponenten, welche nicht selber entwickelt wurden, stellt heute die größte Herausforderung dar, egal ob ein Unternehmen auf Freie-Software-Komponenten aufbaut oder proprietäre Komponenten von Drittanbietern einkauft. Freie Software hat an dieser Stelle vor allem zwei Vorteile. Dadurch, dass man nicht der einzige ist, der diese Software einsetzt, erhöht sich die Wahrscheinlichkeit, dass möglichst zeitnah Fehler auch wirklich entdeckt werden. Ein weiterer wichtiger Vorteil ist, dass man bei Freier Software oft sehr viel besser nachvollziehen kann, wer welchen PrograMCCode eingebracht hat. Gerade moderne Entwicklerplattformen wie zum Beispiel GitHub machen dies sehr einfach. Eine Transparenz, wie man sie bei proprietärer Software meist vergeblich sucht.[...] .Auch zeigt Freie Software seine Stärke gerade, nachdem eine Sicherheitslücke - wie aktuell DROWN - entdeckt wurde. Eine solche Entdeckung gerät bei Freier Software meist sehr schnell an die Öffentlichkeit, während Sicherheitslücken bei proprietärer Software oft eher verheimlicht werden, um dem Unternehmen nicht zu schaden. Die Art, wie es bei Freier Software gehandhabt wird, hat zwei positive Effekte. Zum einen bietet es Kriminellen weniger Spielraum, die Sicherheitslücke auf dem Schwarzmarkt zu vermarkten und auszunutzen. Zum anderen können verschiedene Parteien unabhängig den Fehler beheben und entsprechende Sicherheitsvorkehrungen treffen, während man bei proprietärer Software nur warten kann, bis der Hersteller den Fehler behebt und ein Update ausliefert.[...]. Abschließend lässt sich festhalten, dass Freie Software zwar nicht zwingend sicherer ist als proprietäre Software. Die Freiheit der Software - also die Möglichkeit diese für jeden Zweck zu verwenden, zu untersuchen, weiterzugeben und abzuändern - stellt aber eine notwendige Bedingung für Sicherheit dar. Man kann sich das wie bei einem Türschloss vorstellen. Jeder weiß wie ein solches Schloss aufgebaut ist. Viele unabhängige Experten konnten über viele Jahre das Konzept untersuchen und verbessern. Nur so war es möglich, sichere Schlösser zu entwickeln. Durch Geheimhaltung wurde noch nie langfristig und nachhaltig Sicherheit erzielt", https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/


Focus, Januar 2015: "Die "unechten" E-Mails von Betrügern und Cyber-Kriminellen sind uns zwar schon lange bekannt, es dauert oft jedoch nur Sekunden, in denen wir uns durch die ungeöffneten Mails klicken, und schon ist es passiert. Sobald sich die Betrüger-Mail öffnet, ahnen wir meistens schon, dass diese Mail nicht nur an uns ging. Lediglich durch das Öffnen der Mail können wir uns schon gefährliche Viren einfangen. Die Links in der E-Mail zu öffnen wäre der zweite Fehler. Durch Datenklau geraten die Cyber-Kriminellen an Millionen von E-Mailadressen und missbrauchen diese zu Ihren Zwecken (Abhilfe: Betriebssysteme, auf denen sich Viren nur im begrenztem Umfang aufgrund des Dateisystems kaum verbreiten können wie UNIX/Linux, Spam-Filter mit einfachem Virencheck und Virenscanner clamav). Datenklau ist längst für alle von uns ein Thema. Wir sind ständig online und somit für Cyber-Diebe potentielle Beute. Doch im Zeitalter der digitalen Medien werden die eigenen Daten auf Betriebssystemen wie MS Windows immer unübersichtlicher und somit schwieriger zu schützen. Unsere persönlichen Fingerabdrücke hinterlassen wir in E-Mails, Online-Einkäufen (Registrierungen, Tracking-Skripte), WhatsApp-Nachrichten und vielem mehr."

Neue Nvidia-Treiber 364.47 sorgen für Abstürze, PCWelt.de, 10.03.2016
Nvidias neue Grafiktreiber 364.47 sorgen bei einigen Nutzern für massive Probleme. Das können die Betroffenen tun, http://www.pcwelt.de/news/Neue-Nvidia-Treiber-364.47-sorgen-fuer-Abstuerze-9943889.html


Bekanntlich trugen sich in AKW jede Menge etliche Milliarden schwere Störfälle, darunter (2013) sogar ein Supergau in Fukoshima zu. Mängellisten reißen nicht ab. Presseberichten nach erinnert die IT Sicherheitslage über ein unzureichendes System nach dem anderen an Notfälle, Katastrophen und unvorhersehbare Zahlungen. Die heutige allgemeine Lage gibt darüber hinaus nach siehe in unserem Menü links unter "News&Links" i.a. sogar noch mehr zu denken als allein nach Orwell und Huxley der Fall! Da Computertechnik heutzutage überall mitspielt (Einführung Na/ST), kann sie, ihre Hersteller, Händler und Kunden, i.a. über alle Zeiten auch für fast alles mitverantwortlich gemacht werden! Sie und somit die Computerfirmen dahinter tragen somit die eigentliche Teil- und Vollhaftung! Kontrolle bleibt zentrales Thema. Nach weiteren Vorstellungen unter News&Links stellt sich die Frage:

Regieren wir über Computer oder regieren Computer über uns?


Der (zumindest eigene) Computer soll den unter Suneater von Miro umschriebenen dunklen Mächten entkommen, ohne sich einzuschränken, doch wie? ... .

Grüne LED v.s rote LED, der Computer kann flirten und tanzen: Yes, I think I´m OK vs. yes I think I am (the) iditotic stupid (signalisiert die rote LED der Form eines hoffentlich nur ganz kurz im Abstand von mindestens zwei bis zehn Sekunden blinkenden Punktes mehr oder weniger periodisch, " . . .", die Rückfragen des Computeres "any complaints?", " more activity, please...", "Du, ich leb noch" und "I tell you...(Herzklopfen)"), nicht zu verwechseln mit den drei grünen LED über dem numerischen Tastenblock für "Hi!" and "B-y-e" und, falls allesamt auf einmal blinkend, "out of order" (kenel-panic), oder, die ganz einfach die nackte Wahrheit mitten ins Gesicht oder auch "hab dich nicht so" beim Touch-Screen (natürlich) "unten ... ohne..." (Maus und Tastatur) besagende Form.
Was nutzt ein Computersystem, dass sich bereits selbst als technisch unausgereift bezeichnet und sich somit im Grunde selbst bloß krank und doof findet wie mit der orangefarbenen bzw. roten LED des Computergehäuses signalisiert? Überflüssig soll vielmehr die Benutzern Kontrolle entreißende Selbstüberprüfung und Selbstwartung sein wie Kapazitäten beanspruchenden oder "nebenläufige" Prozesse, Bugs (Programmfehlern), Bot-Prozesse, Virenscan und Trojanerpozesse. Keine Wartung, keine Verwaltung, weder manuell noch selbsttätig, ist die Devise! Überhaupt: Berichte über MS Windows (Facebook und Google) finden Sie unter News&Links in der Sektion Computer und der Sektion über

Zerschlagungsfälle.


Dabei geht technisches Versagen natürlich immer vom menschlichen aus und umgekehrt.

"Der Weg ist das Ziel", mit solchen Ansichten stünde unser mit IT-Sicherheit zentral selbst beauftragte Vorgänger Konfuzius ( von der Firma ...) auf dem Gebiet der Sicherheit in der Informationstechnik die Jahrzehnte hindurch leider nicht alleine da. Gooken möchten die Vorzüge des Tausendsassas mit seinen mannigfachen Möglichkeiten the_wall_by_christo allein im Vergleich zur herkömmlichen Schreibmaschine aber nicht aufgeben. Der Tausendsassa verhilft zur schnellen Kommunikation, zur Einsparung von Platz und zur Minimierung des Ressoucenverbrauchs der ganzen Welt.

Computern beginnt, wo es aufhört


Dabei lassen sich dauerhaft nahezu alle (!) Bedärfe und sicherheitstechnischen Probleme des Computers (klassisches PC-Computer-Modell im engeren Sinn) seit dem Jahr 2004 bzw. 2010 lösen:

OKJe mausklick-schneller ein Computersystem arbeitet, desto freier von Hackern und Trojanern ist es ( in Abhängigkeit von der Schnelligkeit der Hardware ) i.a. auch.

Vorab: "Kein System ist so sicher wie Linux - und die Sicherheit ist noch ausbaufähig.", Linux-Spezial: Tools für mehr Sicherheit


OK
Zeit fürs Booten < 1 Sekunde


Natürlich wird dabei auch vor ergonomischen Kriterien und Kriterien der Green IT für Stromeinsparungen nicht Halt gemacht. Ein Eintrag von unserer Linkseite unter Links stellt sogar den kostenfreien Betrieb frei von Kosten für Strom vor. Überhaupt führen wir unter Datenblatt ergonomische und zugleich äußerst langlebige Hardware mit extrem niedrigen Stromverbrauch auf. Das reine Aufsetzen (Installieren) des Betriebssystems und irgendwelcher Sicherheitssoftware genügt wie wir alle wissen hier bei weitem noch nicht, den Computer als sicher einzustufen. Alles hierfür Erforderliche gehört also noch dringend besprochen. Gooken verhilft damit im entscheidenden Maß zur raschen Prävention, Diagnose und Reparatur von Computersystemen. Neben auf der Standard Query Language (SQL) gestützten Datenbanken erinnert Gooken in Sicherheitsfragen alles in allem an den von einer grünen LED signalisierten, ruhigen, störungsfreien Betrieb - entsprechend der ihn kennzeichnenden grünen Färbung der hierfür erforderlichen Maßnahmen. Nicht nur der Suspend-Mode funktioniert (acpid andernfalls auf mindestens 2.0.4 oder el6 updaten), in dem sich der Monitor tatsächlich abschaltet. Nach dem Klick auf Ruhezustand stellen sich außer Arbeitsspeicher alle Geräte unter dem fortlaufenden Blinken der grünen LED am Computergehäuse in binnen weniger als zwei bis drei Sekunden ab. Nach anschließendem Druck auf den PowerOn-Schalter des Computergehäuses

"bootet" das vorgestellte Mandriva (mdv 2010) in weniger als einer Sekunde in genau den Zustand unmittelbar vor dem Ruhezustand - .


Voraussetzung für Ruhezustand wie Tiefschlaf ist die Aktivierung von ACPI 2.0 im BIOS, 2 GB SWAP-Partition und das Ausbinden (umount) und Herausziehen der USB-Geräte wie USB-Speicherstift aus dem USB-Anschluss...

Hier noch einmal die Energiespar-Modi (Suspend-Modi) unter "Universal Linux" im Einzelnen:
- Bereitschaft (blanked screen) - schwarzer Screen
- Bildschirm sperren (locked screen) - OpenGL-Bildschirmschoner mit Benutzer-Passwortabfrage - Schutz beim Verlassen des Computer-Arbeitsplatzes
- Aussetzen - abgeschalteter Monitor. Der Monitor wacht mit der Benutzeraktivität wie Bewegung mit der Maus oder Tastendruck wieder auf, gespart nach Datenblatt: 18 Watt Monitor-Leistung
- Ruhezustand - Zustandinformation in SWAP-Datei, Rechner "schaltet sich nahezu vollständig ab" , BIOS lässt grü,ne LED am Computer-Gehäuse blinken; Wiederherstellung erfolgt nach einfachem Druck auf den An-/Ausschalter des Computergehäuses. Die Benutzer-Passworteingabe vor der Wiederherstellung ist je nach Konfiguration in der Energieverwaltung aus systemsettings zur Aufnahme der Arbeit zwingend erforderlich, ebenso sind sämtliche Internet-Verbindungen geschlossen und abgebaut und somit erneut wiederherzustellen. Gespart werden in diesem Fall 19 Watt plus 18 Watt, insgesamt also um die 32 Watt von 37.
- Tiefschlaf - ähnlich Ruhezustand; Zustands-Daten auf Festplatte/SSD, gespart: um die 37 Watt von 37.


Die wichtigsten Kriterien Ausstattung (Aufschluss zu einem "Universal-UNIX/Linux" und Gabe zu VM und zur Emulation von Software anderer Betriebssysteme), Software-Umfang (in Paketen und in GB), Hardwareunterstützung (Standardtreiber und Treiber), Laufeigenschaft, Sicherheit, Aktualität der Updates (Paket-Changelog), Dauer der Versorgung mit Updates (ein, zwei, vier oder unabsehbar viele Jahre), Distributions-Unabhängigkeit der Software bzw. Softwarepakete und einzuspielender Updates und Bedienbarkeit/Umgänglichkeit und Wartungsfreiheit erfüllen diesem Bericht nach vor Debian vor allem CentOS el7 und el6 auf Basis von Mandriva 2011 und 2010. Mandriva kann heutzutage nicht mehr am Kiosk und von vielen Händlern, sondern nur noch von einigen Händlern und aus dem Internet (von fr2.rpmfind.net) bezogen werden.

PCWelt.de gesellt sich mit eigenen Kriterien hinzu:

Linux-Top-20: Was ist Ihr Lieblings-Linux?, PCWelt.de, 11.02.2016
Sie haben die Nase voll von Windows? Wir helfen Ihnen bei der Qual der Wahl: Finden Sie Ihr persönliches Lieblings-Linux, Die Top 20 der Linux-Distributionen
Lesermeinung von Gooken
OK Doch danach sollte es nicht gehen, sondern nach der Aktualisierungsfreudigkeit einer Linux-Distribution nach Listings wie von https://www.pro-linux.de/sicherheit/1/1/1.html ! Demnach ganz oben: Fedora, RedHat bzw. CentOS gefolgt von SuSE.
Fedora and Scientificlinux alias CentOS (ALT Linux) Updates, Linux for Security, and Top Seven by Susan Linton - Jan. 17, 2014 Comments (0)
Related Blog Posts
Microsoft Linux, Fedora 23 Beta a GO
Magical Mageia Review, Mint 17.3 Named Rosa
LinuxToday was another interesting day in the newfeeds, so much so I can´t pick just one. There were several headlines focusing on Fedora or Scientificlinux alias CentOS (bzw. ALT Linux) today. Linux.com has posted a top seven distro list for 2014 and Jack Wallen says CESG recommends Linux for security. That´s not all either. First up today, Jack Wallen over at TechRepublic.com published an article discussing the results of the United Kingdom´s Communications-Electronics Security Group (CESG) operating system security tests. The tests consisted of 12 categories of security focus such as Disk Encryption, Authentication, and Platform Integrity and Sandboxing. As if there was any question, Linux proved the most secure of all the desktop and mobile systems tested. So, be sure to check out Wallen´s article for more detail and relevant links.


rpmdrake


rpmdrake, der MCC-Paketmanager von Mandriva 2010 und in grün, hellgrün und weiß tabellarisierte Listings von fr2.rpmfind.net von Fabrice Bellet aus Frankreich sind sogar noch einfacher und schöner gestaltet als Synaptic und Aptitude von Debian bzw. dessen dunkelgrauen Online-Paketquellen.

Have a wine and playonlinux: MS Windows-"Ersatz": Windows-Emulation mit VirtualBox, xen, qemu und wine von mdv2010, MAC-OSX-Emulation mit basiliskii, uae Amiga usw.


Mit mingw (dlls, ...), wine, winecfg und zuguterletzt dem Frontend playonlinux von mdv2010 stellt die Emulation vieler Software und Spiele unter MS-Windows (98, XP, 7, ... ) und sogar MSOffice (97, XP, 2002, 2010) kaum noch ein Problem dar (obwohl wir mit dem bestens ausgestatttem mdv2010 davon unserer Grundüberzeugung nach kaum noch was brauchen werden... ).

Distributions-Installation
Wine: So nutzen Sie das "Ersatz-Windows" in Linux-Form, PCWelt.de, 08.11.2015
Wine ist ein Nachbau der Windows-API, der eine Vielzahl von Windows-Programmen unter Linux lauffähig macht. Wo immer dies funktioniert, ist es gegenüber einer Virtualisierungslösung der direktere Weg: Wine: So nutzen Sie Wine als Ersatz für Windows.

Die graphische Benutzerobefläche von playonlinux bietet nach Gruppen wie Zubehör,, Entwicklung, Bildung, Spiele, Grafik, Internet, Unterhaltungsmedien, Büro und Anderes sortiert den Download und die direkte Installation u.v.a. folgender Software direkt aus dem Internet an:
MS Office, MS Word Viewer, Intenet Explorer, derzeit 6 bis 8, Google Picasa, WowApp, 7-Zip, Ultimateencoder, Amazon Kindle, Azuon, Cadstd Lite, PDU Spy, Photofiltre Studio X, Dreamweaver, Codeblocks, Flashplayer, Flash 8, Flash MX, Notepad++, Graph, Teach2000, Simultit, Rocket Reader, Huckel 95, Adobe Photoshop, Fireworks8, Microsoft Paint, usw. an, die vielen Games siehe unter Datenblatt!

PlayOnLinux ermöglicht auch die Installation beliebiger Setup-Dateien von Festplatte und CD/DVD.

Aktuelle Wine32 und Wine64 installieren sich zusammen mit Wine-Gecko mit der Installation der ersten Programme in unterschiedlichen Versionen.

Windows unter Linux betreiben - dank Virtualbox, PCWELT, 09.11.2016
Virtualbox bietet als unkomplizierte Desktop-Virtualisierungssoftware fortgeschrittene Einsatzmöglichkeiten - etwa unter Linux.
Auf Linux-Systemen bietet der Kernel eigene Virtualisierungsmöglichkeiten für verschiedene Gastsysteme. Trotz der großen Konkurrenz, in der auch die kommerzielle Vmware Workstation mit fortgeschrittener Hardwareunterstützung und 3D-Beschleunigung mitmischt, kann sich Virtualbox behaupten. Denn Virtualbox ist komfortabel in der Bedienung und stellt für Windows-und Linux-Gastsysteme Treiber in Form der Gasterweiterungen bereit. Diese bieten eine bescheidene Hardwarebeschleunigung für die virtuellen Grafiktreiber, damit in der virtuellen Maschine Oberflächen wie beispielsweise Gnome und Unity anständig laufen.
Für Linux-Anwender, die gerade von Windows umgestiegen sind, gibt es einen interessanten Aspekt: Windows-Programme, die in Wine nicht richtig funktionieren, bereiten in einer virtuellen Maschine keine Probleme, weil hier ein komplettes Windows läuft.
http://www.pcwelt.de/ratgeber/OS-Virtualisierung-Windows-unter-Linux-mit-Virtualbox-146057.html

OK Sichern Sie Ihre Online-Services mit einer Zwei-Faktor-Authentifizierung
Sie können sich das Passwortmanagement mit einem Passwortmanager erleichtern. Für noch mehr Sicherheit schalten Sie die Zwei-Faktor-Authentifizierung für Google, Facebook und jeden anderen Dienst, der das anbietet, ein.
Für die Zwei-Faktor-Authentifizierung müssen Sie einen kurzen Zahlencode zusätzlich zu Ihrem Passwort eingeben, um Zugang zu Ihrem Konto zu erhalten. Den Code erhalten Sie üblicherweise über eine SMS oder über eine Smartphone-App. Facebook zum Beispiel bietet innerhalb seiner Smartphone-App seinen eigenen Code-Generator an.
Die Zwei-Faktor-Authentifizierung ist nicht so bequem wie ein normales Login, aber sie stellt eine deutliche Hürde für jeden Angreifer dar. Twitter bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Derzeit hat Twitters Authentifizierung aber noch einige Probleme.
Falls die Zwei-Faktor-Authentifizierung Ihnen nicht genug ist, überprüfen Sie Ihre Mail-Adressen zum Zurücksetzen Ihrer Online-Konten. Denken Sie daran eine oder mehrere Mail-Adressen für die Zurücksetzung Ihrer Passwörter zu nutzen. Geben Sie diese Mail-Adresse niemals für private Mails her und achten Sie darauf, dass diese nicht Ihren anderen Konten ähneln. Dieser Artikel stammt von unserer Schwesterpublikation PC-World."

DSL-Router erweisen sich oft als passive Schutzengel, wenn es um das Abwehren von Hackern geht. Doch Sie können auch aktiv zum Schutz über Ihren Router beitragen. Auch wenn es sich komisch anhört: Als DSL-Nutzer ist man nie direkt mit dem Internet verbunden. Dafür sorgt der Router, der sich zwischen Ihren Computer und jegliche Gefahr aus dem Internet stellt. Dank der sogenannten NAT-Funktion (Network Address Translation) benutzt man beim Surfen stets zwei verschiedene IP-Adressen: Der Router erhält bei der Einwahl eine öffentliche IP-Adresse vom Zugangsanbieter. Alle Geräte in Ihrem Netzwerk hinter dem Router haben hingegen eine private IP-Adresse, typischerweise "192.168.xxx.xxx". Fordert ein PC eine Internetseite an, gibt NAT dies mit der öffentlichen IP-Adresse ans Internet weiter. Anschließend erhält NAT die Seite und leitet sie an die private Adresse des PCs im lokalen Netzwerk weiter. NAT tauscht also ständig private IP-Adressen gegen die öffentliche und umgekehrt. Mit dem Erfolg, dass die IP-Adresse des PCs im Internet nicht auftaucht, was ihn für direkte Angriffe unempfindlich macht. Zudem verwirft der Router ankommende Datenpakete, die nicht angefordert wurden. So erhöhen Sie Ihre WLAN-Geschwindigkeit

OK Schützen Sie Ihren Router
Ihr Router zu Hause ist vermutlich die wichtigste Verbindung ins Internet in Ihrem Alltag. Denn von zu Hause aus erledigen die meisten ihre Bankgeschäfte oder greifen auf andere, persönliche Daten zu. Trotzdem verwenden die meisten Anwender beim Netzwerk-Passwort bestenfalls Standard-Passwörter oder - noch schlimmer - greifen auf das voreingestellte Passwort des Routers zurück. Für die sicherste Heimverbindung nutzen Sie auf jeden Fall eine WPA2-Verschlüsselung und ein zufällig generiertes Login-Passwort, das aus mindestens 30 Zeichen besteht. Je länger und zufälliger das Passwort, desto schwieriger ist es zu knacken. Sie können sich kein 30-Zeichen-Passwort merken? Speichern Sie es doch in Ihrem neuen Passwort-Manager. Auf Router kommen wir in einem weiteren Bericht noch zu sprechen.

OK Verzichten Sie auf Java (sofern möglich)
Oracles Java ist nicht länger eine zwingend notwendige Software für PC-Nutzer. Das ist gut so, denn Java ist und bleibt die Quelle für eine Vielzahl von Sicherheitsrisiken. Einige Sicherheitsexperten verlangen daher von Oracle, Java komplett neu zu entwickeln. Im Januar 2013 wurde zudem die Empfehlung ausgesprochen, dass alle PC-Nutzer Java deaktivieren - es sei denn, sie brauchen es für gewisse Anwendungen zwingend und unumgänglich. Die beste Möglichkeit herauszufinden, ob Sie auch ohne Java auskommen, ist, es einmal komplett von Ihrem System zu löschen. Ernsthaft! Machen Sie das am besten jetzt gleich in der Systemsteuerung von Windows. Wenn in Ihrem Alltag eine Webseite oder Software Java benötigt, werden Sie ohnehin wieder dazu aufgefordert, es neu zu installieren. Die Chancen stehen allerdings gut, dass Sie um diese Variante herum kommen.
Download: Java Runtime Environment

OK Lösen Sie sich von Mailkonten-Verkettung
Noch ein Schwachpunkt in der Online-Sicherheit: Mail-Konten, die Passwort-Wiederherstellungs-Nachrichten erhalten, falls Sie unerwartet nicht mehr auf Ihren Account zugreifen können. Solche "Recovery Accounts" sind des Hackers Lieblingsziele. Der beste Schutz dagegen ist es, sich eine besonders schwer zu erratende Wiederherstellungsadresse auszudenken - etwa myrec0v3ry_ZMf43yQKGA@outlook.com - und sie ausschließlich für akute Recovery-Notfälle zu verwenden. Die schlimmste Lösung dagegen ist es, alle Ihre Mail-Konten für den Wiederherstellungsfall miteinander zu verknüpfen. Wenn also Ihre Outlook-Adresse das Wiederherstellungskonto für Ihren Gmail-Account ist, der wiederum die Wiederherstellungsadresse für Ihr Amazon-Konto ist, und so weiter. Einem Hacker genügt in so einem Fall ein einziger Raubzug und er hat Zugriff auf all Ihre Daten.

OK Unterstützen Sie Ihre Antivirus-Software mit einem Anti-Malware-Scanner
Um Ihr Windows (oder Linux) so sicher wie möglich zu halten, sollte Ihr PC am besten mit zwei Sicherheitsprogrammen ausgestattet sein: Einer Antivirus- und einer Anti-Malware-Software. Antiviren-Programme wie AVG Free oder Avast laufen dabei "rund um die Uhr" und scannen eingehende Daten und Dateien, sowie Webseiten auf bösartige Inhalte. Doch diese Programme fangen oder entfernen deshalb nicht auch zwingend alles. Daher ist es eine gute Idee, wenigstens hin und wieder ein Anti-Malware-Programm zu starten, das weitaus größere Chancen hat, aktive Probleme zu finden. Versuchen Sies zum Beispiel mit MalwareBytes Anti-Malware Free (oder einer beliebigen, anderen Software) und benutzen Sie das Programm am besten wöchentlich.

OK Verdecken Sie Ihre Webcam
Malware war damals schon schlimm genug, als sie nach dem Zufallsprinzip Ihre Word-Dokumente an all Ihre E-Mail-Kontakte verschicken konnte. Doch heutzutage kann es noch schlimmer werden, denn Computer haben dank Webcams und Mikrofonen nun auch Augen und Ohren und können Sie sehen und belauschen. Zum Glück gibt es einen einfachen Schutz gegen spitzelnde Webcams: Klebeband. Kleben Sie einfach ein kleines Stück davon über die Linse. Wenn Sie Ihre Webcam aktiv benötigen, ziehen Sie es einfach kurzzeitig ab und kleben es im Anschluss wieder fest. Wenn Sie Bedenken haben, an der Kameralinse mit Klebeband zu hantieren, legen Sie einfach ein Stück Papier zwischen Klebefläche und Linse. Das sieht zwar nicht mehr so schick aus, hat aber einen unschlagbaren Vorteil: Papier und Klebeband sind absolut immun gegen Hacker-Attacken.

PCWELT.de, 25.03.2016: "Desktop-Firewalls sind alles andere als einfach zu handhaben, und sie gingen mit ihren häufigen Meldungen den meisten Anwendern auch bald auf die Nerven. Außerdem gewöhnten sich die meisten Nutzer an die vielen Tools, die selbstständig Kontakt mit dem Internet herstellten. In der Regel waren es ja Update-Programme, die nach neuen Sicherheits-Patches suchten - was ja eine durchaus erwünschte Aktion ist. Viele wechselten auch zu DSL und setzten einen DSL-Router ein. Dieser kann alleine schon durch seine NAT-Funktion sehr effektiv Angriffe aus dem Internet abwehren. Außerdem zeigten sich gängige Desktop-Firewalls gegenüber Trojanern und anderen Schädlingen oft machtlos. Denn hatte ein Trojaner das Antivirenprogramm bereits ausgetrickst, dann konnte er auch recht simpel die Firewall umgehen. Entweder er zerstörte die Firewall gleich weitgehend oder er verpackte seine Daten in den Datenstrom einer erlaubten Online-Anwendung, meist in die des Internet Explorers. An dieser Verwundbarkeit von Desktop-Firewalls hat sich bis heute wenig geändert. Zur Abwehr von Viren, die bereits auf dem PC sind, tragen sie eher wenig bei. Diese Aufgabe muss auf einem Desktop-PC die Antiviren-Software leisten.

1982 - Wikipedia: "Außenseiter-Politik des StarWars ohne Außerirdische", siehe auch News&Links und Meinung M. Zielinskis 1985: Es ist der Einzelne, der tendenziell immer weniger gegen die Heerschaaren aus eisernen Zinnsoldaten darstehende "Geschäfts"-Interessensgruppen und Lobbies des Westens auszurichten vermag.

Wohl wissend, wovon wir sprechen, werden Sie trotzdem schon bald alle roten Markierungen dieser Seite los und dabei unter "News&Links" Zeuge einer Art achten Weltwunders der inmitten des Computerzeitalters 100% Sicherheit bietenden Computersysteme, auf denen es auf Festplatte, noch besser Solid State Disk (SSD), an so gut wie keiner Software unterschiedlichster Rubriken mangelt! "News&Links" tragen nicht nur zum richtigen allgemeinen Verständnis vom Umgang bei sondern infomieren auch über die grundsätzlich hinterbliebenen Restrisiken aufgrund der zunehmenden ungeheuren Bedrohung. Zögern Sie keine Sekunde, bewahren Sie sich Ihre Glaubwürdigkeit, denken Sie an sich, indem Sie rechtzeitig handeln, möglichst jetzt, ehe es wiedermal zu spät ist!



Theoretische Grundlagen


Gooken bietet

Kernel PCLinuxOS (4.20.6) bzw. rosa2016.1, el8, el7, el6, mdv2010: kernel-4.14 (PCLinuxOS), kernel-rsbac (hardened Kernel), kernel-uml (geschützter User-Modus-Kernel), xen-Kernel (XEN-Virtuelle-Maschinen), lirc-kernel (Infrarot-Treiber), kernel-tmb (Laptop), kqemu-kernel (kquemu-Treiber für Standard-Kernel), vpnclient-kernel (vpnc-Treiber), fglrx-kernel, em8300-kernel, broadcom-wl-kernel, hfsmodem-kernel, madwifi-kernel (WLAN-Treiber), libafs-kernel, kernel-rt (SMP-Realttek/Atheros-LAN-BIOS-ETHERLAN-Chip-Treiber), fusion-kernel (fusion-Treiber), kernel-netbook, kernel-openvz (SMP: Multiprozessoren), libafs-kernel, kernel-kerrighed (mit kerrighed-Support), obencbm-kernel (VC64), psb-kernel, actuator-kernel (actuator-Treiber), lzma-kernel (lzma-driver), m560x-kernel, broadcom-wl-kernel, nvidia-current-kernel, nvidia96xx-kernel, nvidia173-kernel, netfilter-rtsp-kernel, fortune-kernel, vhba-kernel (vhba-Treiber), em8300-kernel, r5u870-kernel, r5u870-kernel-laptop, squashfs-lzma-kernel, vboxadditions-kernel, virtualbox-kernel, aktueller Kernel-4.14.12 (von fr2.rpmfind.net oder kernel.org), ...

Beachte, dass das Booten (Hochfahren) des Systems zwecks Transparenz größenteils nicht mit dem viel Firmware beinhaltenden Kernel, sondern mit den offenen Runlevel-Init-Skripten (aus etc/rc.runlevel-nummer0-6), i.a. gesteuert vom Skripit init, erfolgt, rpm: initscripts (el6, mdv) und utillinux (el6,mdv).

uml-kernel: User-Mode-Linux ist ein sicherer Weg, Linux-Versionen und -Prozesse zum Laufen zu bringen. Starte fehlerhafte Sftware, experimentiere mit neuen Linux-Kerneln oder Distributionen und stöber herum in Linux-Interna, alles ohne die installierte Linux-Version zu gefährden. User-Mode-Linux stellt eine virtuelle Maschine zur Verfügung, die mehr Hardware- und viriuelle Sofware-Resourcen mit sich bringt als der aktuelle, phsikalische Computer. Die Abspeicherung auf der virtuellen Maschine erfolgt vollständig in einer einzigen internen Datei. Eine Zuweisung der virtuellen Maschine an diverse Hardware kann nach Beliebem erfolgen. Aufgrund des limitierten Zugriffs kann der Computer keinerlei Schaden annehmen. Alles was UML erfordert, ist ein uml-Kernel und ein entsprechendes aus dem Internet von http://uml.devloop.org.uk/ erhätliches root-fs-Dateisystem der Größe von ca. 1GB; Start erfolgt duch Eingabe #./smb-kernel-name ubda=name-of-root_fs rw mem=256m und Stop mit #halt.

Filesystem Hierarchie Standard (FHS): Der Filesystem Hierarchy Standard (FHS) ist eine Richtlinie für die Verzeichnisstruktur unter Unix-ähnlichen Betriebssystemen. Der Standard richtet sich an Softwareentwickler, Systemintegratoren und Systemadministratoren. Er soll die Interoperabilität von Computerprogrammen fördern, indem er die Lage von Verzeichnissen und Dateien vorhersehbar macht. Mandriva Linux strebt eine Konformität zum Filesystem Hierarchie Standard (FHS, paket fhs) an.

Nur einige Linux-Distributionen erfüllen den LSB-Standard. Die Linux Standard Base (LSB) ist eine Arbeitsgruppe der Linux Foundation, die Ende der 1990er ins Leben gerufen wurde. Die LSB definiert Standards für Binärschnittstellen, Programmbibliotheken und andere Betriebssystembestandteile mit dem Ziel, die Kompatibilität zwischen den verschiedenen Linux-Distributionen, z. B. mit Hinblick auf die Lauffähigkeit von Programmen, zu verbessern. Bis heute erfüllt nur ein kleiner Teil der Linux-Distributionen die Anforderungen der LSB, auch sind die Anforderungen noch nicht umfassend genug, um eine vollständige Betriebssystemplattform zu definieren. Ziel der LSB ist, mit Standards und Richtlinien eine einheitliche binärkompatible Plattform für Softwareinstallationen unter Linux zu erzeugen. Sie macht u. a. Vorgaben, welche grundlegenden Programme und Softwarebibliotheken auf einem LSB-konformen System vorhanden sein müssen und legt gemäß dem Filesystem Hierarchy Standard eine Verzeichnisstruktur fest. Die Basis der LSB Standards waren die POSIX- und die Single-Unix-Spezifikationen, welche erweitert wurden. Inzwischen weicht der LSB-Standard in einigen Aspekten jedoch Linux-spezifisch von den Open Group-Unix-Standards ab. Die erste Version 1.0 der LSB umfasste ältere, schon weiter verbreitete Standards. Anfang Januar 2004 wurde die LSB das erste Mal der Internationalen Organisation für Normung (ISO) vorgelegt. Die darauffolgende Version 2.0 unterstützte mehr Architekturen. Die LSB 3.0 zeichnet sich durch Aktualisierungen der bereits bestehenden Standards aus. Anfang November des gleichen Jahres wurde dann bekannt, dass die ISO die LSB als internationalen Standard anerkannt hatte. Die anerkannte Version ist die Version 2.0.1. Neuere Versionen der LSB sollen folgen.

mdv2010.0 nach Eingabe des Kommandos

lsb_release -a

LSB Version: lsb-4.0-64...
Distributor ID: MandrivaLinux
Description: Mandriva Linux 2010.2
Release: 2010.2
Codename: Adelie (Napoleon, Anm. die Red.)

Intro


Mit mdv2010 erzielt man nicht nur Flächendeckung mit nahezu aller möglichen Software, es kann sich auch sehen lassen:

Fensterverwaltung (die hält, was sie verspricht): immer-Vordergrund, immer-Hintergrund, merken, erzwingen von Positionen, Größen usw., Deckkraft, Umrandungen, Arbeitsflächen-Zuweisung, Fensterheber, ausgiebiges Menü für Fensterverhalten: Bildschirmecken, Effekte, Fensterwechsel, Aktionen, Aktivierung, spezifische Einstellungen, ...

Resourcen schonende (fast meint man, begünstigende) 3D-KDE-Desktop-Effekte in stufenweise regelbarer Animationsgeschwindigkeit für die Arbeitsfläche auf Basis des Kernel-Desktops: kiba-dock, drak3d, 3ddesktop, compiz, 3D-Fentergalerie, 3D-Fensterstapel, Animation Arbeitsfläche Würfel, seitliche Vorschaubilder: Minibilder (Fenster-)Vorschau (minimierter Fenster), (zentraler) Fensterkasten mit Minibildern,Vorschaubild in der Fensterleiste, Wabernde Fenster, zentriertes Einblenden der Fenster vom Desktop-Mittelpunkt aus, Bilder pro Sekunde anzeigen, in Fenster hineinzoomen, Fenster zeigen (verkleinert Fenster auf der Arbeitsfläche), Umranden der Fenstergeometrie bei Größenänderung, Zoom, Transparenz, Gleiten, Fenster-Explosion beim Schließen, Auseinanderfallen, Verblassen, Fenster hervorheben, hereingleitende Aufklappfenster, Mausspur, Mausposition finden, Minimieren-Animation, Schatten, Schweben, Abdunklung der Elternfenster, Abdunklung Anmeldung (System-Login) und Abmeldung (System-Logout), Spot bei der Abmeldung, Einblenden (von Fenstern aus dem Unendlichen), Lupe, Schatten (von Fenstern), Wunderlampe (Formgebung von Fenstern beim Maximieren minimierter Fenster), Wabern, Schnee (lässt Schnee auf Arbeitsfläche fallen), Schärfen der Arbeitsfläche, Schweben, Auto-Kurzeinblendung Fadenkreuz zum Zentrieren ..., auf Basis von composite: spotlighter (einstellbares Desktop-Spotlight), ardesia (Desktop-Sketching auf Basis von spotlighter), curtain (auf- und zuziehbarer Desktop-Vorhang von rechts nach links), direct rendering, openGL oder xrender, wählbarer Textur-Filter, vsync-Option, weiche Skalierung, gruppierte Auswahl der Bezugs-Fenster, Bildschirmecke für Fenster-Maximierung, Rand für Arbeitsflächen-Wechsel, virtuelle Arbeitsflächen, Formfaktor, Dashboard

desktop-effects


Tastatursteuerung für KDE-Desktop-Effekte: Mauszeiger in linke obere Ecke oder STRG+F9: Vorschau mit Minibildern geöffneter Fenster, ALT+TAB: fließender Fensterwechsel oder Auswahl per Mausklick, STRG+ALT+Scrollrad: Einstellung der Transparenz eines Fensters, STRG+Pfeiltasten: Würfel-Drehung der Arbeitsflächen: ...

Plasmoids bzw. Plasma (Applets) u.a. für den Desktop und die Kontrollleiste (beachte, dass im Unterschied zur rpm-Paket-Software von mdv2010 zur Zeit noch nicht alle davon laufen und so einige ihre dargestellten

Arbeitsfläche, rechte obere Ecke mit Halbmond-Plasmoid: Werkzeugkasten mit Kontrollleiste hinzufügen, Tastenkürzel einrichten, Einstellungen für Aktivitä,ten-Ordner-Ansicht, Vergrößern/Verkleinern von Schrift und Symbolen und Miniprogramme entsperren

Rechter Mausklick auf Arbeitsfläche: Kontextmenü für zahlreiche Schnell-Einstellungen

mdv-plasmoids


Informationen aus dem Internet beziehen...): Daisy (freie Programmauswahl ringförmig und normal), Lancelot (Desktop-Menü), Schnellstarter (mehrreihige Icon-Kompression mit optionalem Mini-Pull-down-(up)-Menu), Einheitenumrechnung, LCD-Wetterstation, Wettervorhersage, cweplasmoid-debuginfo, Weltzeituhr mit Zeitzonen, Akkuüberwachung, Geburtstagserinnerung, Bilderrahmen, Comic, Eieruhr, Farbabtastung, Taschenrechner, Mondphasen, Springball, Vergrößerung, Social Desktop, Schnelllader, DVB-Player, ToDo-Listen, Remember the milk, Systemmonitor, Guitar-Tuner, Vorschau, Widget-Dashboard, Translatoid (Sprachübersetzer), Geburtstags-Erinnerer, Flickr, Facebook, Aquarium, Daisy (Desktop-Icons reihum), DVB-Signalmesser, Farbauswahl, Microblogging, Magischer Ordner, Sonnensystem, Playwolf, Mountoid, Launchbutton, I-hate-the-cashew, Klicker, todolist, wallpaper-flymode, wallpaper-Changer, kopete-contacts, lastmoid, Deutsche Bahn, (Fußball-)Bundesliga, Facebook, Flickr, bsun (wandernde Sonne), FrustML bzw. sorry (Mensch-Ärger-Dich-nicht), Astrokalender, Fancy Tasks (Programm-Schnellstarter ähnlich cairo-dock), Koala (ähnlich Tamagocchi), Augen, binäre Uhr, Drop2Tag, Chemie, 15-Steine, Lastmoid, Matrix, Musiktitel-Anzeige, Microblogging, Plasmoio (SMS), bchocobob (ähnlich bsun), Tomatoid, Rechtschreibprüfung, Tafel, Knewsticker, WorkContext (nepomuk), ...

Gadgets, Apps-Installer, ...

gai-bgswitchertvib4leds1leds2pager1sun1va5horizontalverticallogichargeothellogi8k_docksherman1sherman2verticalgwlanbc1bc2album1album2connectedpal1pal2pal3fortune
Gai, The General Applet Interface Library von http://fr2.rpmfind.net oder http://gai.sourceforge.net : gai-pal, gai-album, gai-bgswitcher, gai-blobs, gai-clock, gai-mailcounter, gai-nebulus, gai-sun, gai-othello, gai-pager, gai-terrain, gai-visual-audio, gi8k, gwlan, vpn, bluecombo, FishTime, shermans-aquarium, TV in a box (tvib), usermon, ...



Cairo-Dock Cairo-Dock von fr2.rpmfind.net oder http://www.glx-dock.org/

Suchtext-Direkteingabe für alles Mögliche ähnlich Cortana: krunner (ALT+F2)

mdv-screenlets Desktop-Screenlets, Abb.: großangelegte GUI-Screenlet-Verwaltung mit über 100 Screenlets zuzüglich downloadbaren und Screenlet-Daemon, Screenlet vorder- und hintergründig, skalierbare Größe, Widget-Eigenschaft, weitere Eigenschaftenen u.v.m wie: wachsende Pflanze ( ab und zu ist ihr Wasser zu geben), Slideshow, Pager, Control (Hinzufügen weiterer Screenlets), Radio, Meter, Stocks, Speech, Sensors, RingsSensors, Ruler, Convert, Example of howto create a screenlet, CopyStack, Clear Weather von weather.com, ...

Weitere Einzelheiten können Sie unter siehe Menü links unter Datenblatt entnehmen.

TrayAbb.: Systemabschnitt der Kontrollleiste (Plasmoid) aus Krandr (Bilschirmauflösung), kmix, Stardict (Dictionary), Klipper (Zwischenablage), Parcellite (zusätzliche-Verwaltung der Zwischenablage), NetworkManager, angeschlossene Wechselmedien (USB-Anschluss) und verschlüsselte Partitionen, kgpg, korganizer (Terminplaner mit Erinnerungs- und Alarmfunktion und Kalender), Printer-Applet (Druckaufträge), Nepomuk (semantische Suche) und i - Systeminformation kwrited (Systemmeldungen), hier nicht gestartet: Notizbuch knotes oder tomboy, tvbrowser, etc., Uhr mit Datum und Kalender und Bildschirmsperre- sowie Ein-Ausschalter-Plasmoid; ein beschleunigtes Laden des Systemabschnitt-Plasmoids erfolgt nach Deinstallation von draksnapshot


Durchschnittlich wurde Mandriva in einem Test aus dem Jahr 2014 mit 4.65 von 5 möglichen Sternen basierend auf derzeit 204 Kundenmeinungen. bewertet. Die Erfahrungen.com Redaktion recherchiert regelmäßig und gründlich Bewertungsergebnisse aus allen verfügbaren Quellen des Internets. Diese Quellen werden sorgfältig von Hand verlesen und Bewertungen werden mit stochastischen Mitteln ausgewertet."


Damit mit mdv2010 wirklich nichts schief gehen kann, halten Sie während der Installation stets eine aktuelle 1:1-Spiegelung (aller Partitionen) auf einem anderen Medium parat! Nach der Installationsphase läuft mdv2010 einwandfrei.
mdv2010.0: alien, dpkg, apt, dselect, dash; Bootstrap aus dem Paket debootstrap für mdv2010.0 erzeugt obendrein ein grundlegendes Debian-System. Als Paketmanager steht neben den rpm-basierten Debians dpkg, apt und alien zur Verfügung, kommt allerdings auch ohne aus. Debians Paketmanager wie Synaptic und Aptitude versinken im Vergleich zu perfekt laufenden Paketmanagern von mdv2010 in Abbrüchen, Fehlermeldungen und Unübersichtlichkeit. Debians deb-Dateien werden von einer Mirrorseite gedownloadet und in ein Verzeichnis (unter man bootstrap namens sid-root) entpackt, in das man über den Befehl chroot /sid-root /bin/bash und dselect chrooten kann (vorausgesetzt, der Benutzer erlaubt das Chrooten zuwider unserer Emfehlungen). mdv2010.0-final selbst lässt kaum Software, die auch unter Debian im Angebot ist, missen, siehe http://fr2.rpmfind.net/linux/RPM/mandriva/2010.0/x86_64/. Uns gefiel das zeilenweise gefärbte Listing von fr2.rpmfind mit lauter Paketen von Mageia Caudron und Mandriva zum Auswählen am besten. Vollständig ist es auch.
Den Computer mehr als Tausendsassa denn Suneater abrundend lassen sich mit mdv endlich alle möglichen unter Datenblatt aufgelisteten Pakete bzw. Programme und Treiber etlicher Rubriken neben schier unendlich vielen Tarballs auf einmal auf SSD oder Festplatte installieren, während bei anderen Betriebssystemen vor dieser Mannigfaltigkeit auf Festplatte i.a. abgeraten wird, da jedes Programm ein gewisses Sicherheitsrisiko darstellt (Quelle: BIS). Dieses entfällt bei mdv, macht man bei der Installation nichts falsch.
Die seit vielen Jahren ausliegende, auf einer einzigen Seite merklich kurz ausfallende Errata-Liste des komfortablen mdv2010.0 liegt in einsichtiger Form direkt im Internet auf Mandriva Errata 2010.0 aus. Dabei sind nicht sämtliche der wenigen dort aufgeführten Punkte durchzuführen, um Stabiltät und Fehlerfreiheit zu erhalten. Update-Pakete von mdv2010 beheben ihre Umstände.

Die Anschrift von Mandriva ist sogar direkt auf der Hompeage von Mandriva www.mandriva.com angegeben.

Mandriva S.A (zuvor Mandrake), Paris, St. Etienne, Frankreich, Tel...., ..., Gründer und Vorsitzender bis mdv2006: Gael Duval, Personalsärke: 70 Mann

"Mandriva Linux, the brainchild of Gael Duval, who wanted to focus on ease of use for new users. Duval became the co-founder of Mandrakesoft".
Die meisten Pakete von mdv2010.0 entstammen Mandrivas Angaben nach Fedora (doch eine Ausgabe von Fedora auf DVD aus dem selben Jahr 2010 erschien uns vergleichsweise recht spärlich...).


"Mandriva Linux 2010 final - Perhaps the Best Linux Release All Year - Mandriva Linux 2010 final was recently released and brings lots of nice improvements to an already nice system. Mandriva has a long and distinguished history in the Linux distribution arena. They began over a decade ago using Red Hat as their base and quickly became the preferred choice of the new Linux user. This release hopes to offer some amenities to appeal to users of newer trends in technology such as semantic desktop and netbook support. The Mandriva Linux installer sets the standard in user-friendly Linux installers. For those familiar with Mandriva this release brings some great improvements. The best two so far have been the increased stability and performance. In the several days since a fresh install only one application crash has occurred here, and this application is known to be unstable across distributions. This new-found stability comes with even better speed as well. Not only does Mandriva boot quicker (speedboot: this kernel-parameter can be set in /boot/grub/menu.lst or lilo.conf, speedboot=yes and security=tomoyo ) but also desktop performance has improved noticeably. Applications open and function faster, including the three heavyweights koffice, OpenOffice.org and Firefox. There is virtually no graphic artifacting and redraws are immediate. In addition, the 2010 graphics are just beautiful. (source: http://www.makeuseof.com/tag/mandriva-linux-2010-perhaps-the-best-linux-release-all-year/).


mdv bietet zahlreiche Desktop- und Fenstermanager. Das Design und die Desktop-Effekte von mdv2010 kann man mit der großen Auswahl aus Arbeitsfläche, Erscheinungsbild und Arbeitsflächen-Design-Details aus den Systemeinstellungen (systemsettings und/oder gnome-control-center) heraus sowohl selbst erzeugen als auch frei wählen. Bereits mit dem Einschalten des Computers erscheint unter grub, spätestens grub2, auf Wunsch ein beliebiges Bootsplash auf dem ganzen Computermonitor. Farbschema (qt-curves usw.) können auch direkt von der CD vom Monitorhersteller importiert werden. Letzte Grautöne wie noch aus GTK von el6 finden bei mdv2010 die erwünschte Farbenfreude. Hinzu gesellen sich zahlreiche Emojis, Plasmoide, Smartphone-Apps und zahlreiche 3D-Desktop-Effekte, die sogar die Ressourcen schonen. mdv arbeitet damit auch auf vielen älteren Prozessoren weiterhin mausklickschnell (leichtläufig). Compiz reiht die sechs Arbeitsflächen in Würfeldarstelung oder in das speziell vom Mandriva-Team programmierte Metisse ein. Den Desktop-Hintergrund bildet dabei ein beliebiges Wallpaper (Bild), Diashow, Weltkarten, Wetterkarten, Mandelbrot usw. oder ein Bild vertikal oder horizontal on-the-fly. Insbesonders OpenGL, SDL, schnelles Direct-Rendering und Pulseaudio gewährleisten Ausnutzung von Graphik und Sound. Schwerpunkt bildete für Mandriva zusammen mit dem fast zeitgleich erscheindenden und bis zum Jahr 2026 aktualisierenden Scientificlinux alias CentOS 6.7 (el6) und 7.1 (el7) die gegenwärtige wie künftige Hardwareunterstützung.

Erik Bärwaldt, wiki.mandriva.com:
"Mandriva ist im Linux-Umfeld seit mehr als einem Jahrzehnt ein fester Begriff. 2010 steht die bereits dritte Version des Jahres 2010 mit über 5.000 aktualisierten Paketen zum Download bereit.
Mandriva Linux [1], eine der ältesten und bedienerfreundlichsten Linux-Distributionen überhaupt, geriet im vergangenen Jahr in heftige Turbulenzemeldet.
Mandriva 2010.2 fällt zeitlich aus dem Rahmen. Üblicherweise liefert das französische Unternehmen halbjährlich eine neue Version, die 2010.2-Variante weicht als drittes Release im Jahr 2010 vom bisherigen Veröffentlichungszyklus ab. Das Betriebssystem verzichtet denn auch auf revolutionären Neuerungen und präsentiert sich vornehmlich als fehlerbereinigte und aktualisierte Fassung der "Spring"-Version. Die Entwickler geben an, über 5000 Pakete auf den neuesten Stand gehoben zu haben. ...
Neben der Versionsvielfalt glänzt Mandriva wie bisher durch verschiedenste Desktop-Umgebungen. Als Standard-Desktop verwendet das System KDE, daneben lassen sich auch Gnome und LXDE auswählen. Als etwas exotischere Variante bietet die Distribution zudem den Xfce-Desktop an. Damit lässt sich das Betriebssystem sowohl auf alter als auch brandneuer Hardware problemlos betreiben. Zusätzliche 64-Bit-Varianten der Free- und Powerpack-Edition erlauben, die Vorteile entsprechender Prozessoren voll auszunutzen.
Hardware und Treiber
Mandriva steht seit jeher im Ruf, eine der besten Hardware-Erkennungsroutinen im Linux-Umfeld zu besitzen. Auch die Version 2010.2 macht hier keine Ausnahme, sondern gestattet sich selbst auf brandneuen Notebooks keinerlei Blöße. So erkannte es im Test auf einem ansonsten etwas kapriziösen Lenovo-Thinkpad nicht nur die integrierte Webcam erkannt und sprach sie korrekt an; auch der biometrische Sensor für die Authentifizierung und ein eingebauter Smartcard-Leser funktionierten ohne Nacharbeit. Wie üblich erkennt Mandriva 2010.0 die Hardware ohne Probleme. Auch den passenden Treiber zur Ansteuerung der Grafikkarte wählt das System aus und stellt das Display auf die korrekte Farbtiefe, Auflösung und Bildwiederholfrequenz ein. Eine weitere Besonderheit finden Sie im Untermenü Hardware | Konfigurieren der 3D Desktop Effekte des Mandriva-Kontrollzentrum: Hier aktivieren Sie per Mausklick nicht nur das allseits bekannten Compiz Fusion, sondern daneben auch den wenig bekannten 3D-Manager Metisse [4]. Diese eher unbekannte Oberfläche ist das Ergebnis eines Forschungsprojekts, an dem sich das Unternehmen Mandriva direkt beteiligt [5]. ... Auch die distributionseigenen grafischen Drak-Tools, die der bequemen und einfachen Systemverwaltung dienen, wurden technischen Neuerungen angepasst.
Die nicht nur bei Serveradministratoren geschätzte Sicherheit von Linux wahrt Mandriva konsequent auch auf dem Desktop. Während man sich bei weniger ausgereiften Linux-Distributionen durch einen Dschungel an unterschiedlichen Sicherheitseinstellungen kämpfen muss, bietet Mandriva mit MSEC im Rahmen des Kontrollzentrums alle relevanten Modifikationsoptionen unter einer einheitlichen Oberfläche an (Abbildung 3). So einfach sichern Sie Ihr System unter Mandriva ab.
Diese einmalige, auch für Einsteiger ohne tiefere Vorkenntnisse leicht zu bedienende Oberfläche sorgt ohne umständliche Suche und Konfiguration auf der Kommandozeile für einen rundum sicheren Desktop. Ergänzt wird das MSEC-Framework durch eine Kindersicherung (Abbildung 4), die Sie ebenfalls im Mandriva-Kontrollzentrum im Untermenü Sicherheit | Kindersicherungen finden. Sie bietet neben den üblichen Black- und Whitelists von Internet-Adressen auch eine Feinjustierung des Netzzugangs sowie eine Zeitsteuerung für die Netznutzung an. Obendrein können Sie in einem eigenen Reiter benutzerspezifisch einzelne Anwendungen sperren. Damit erfreut Mandriva 2010.2 mit der wohl am einfachsten zu bedienenden und gleichzeitig funktionell umfangreichsten Kindersicherung, die es derzeit unter Linux im Lieferumfang einer Distribution gibt.
Mit Mandriva 2010.2 legt die französisch-brasilianische Softwareschmiede wieder ein ausgezeichnetes Betriebssystem vor. Aufgrund der kontinuierlichen Weiterentwicklung mit dem Fokus auf Bedienerfreundlichkeit und eigenentwickelte, logisch durchdachte Werkzeuge weist Mandriva die Desktop-Konkurrenz auch im Linux-Lager in die Schranken. Dabei demonstrieren die Entwickler eindrucksvoll, dass Bedienerfreundlichkeit nicht - wie bei anderen Betriebssystemen - zu Lasten der Sicherheit gehen muss und umgekehrt nicht nur Sysadmins die Sicherheit des Desktops oder Servers adäquat konfigurieren können. Die Distribution eignet sich damit bestens sowohl für Einsteiger ohne Vorkenntnisse als auch für Profis, die ein Betriebssystem für den zuverlässigen Servereinsatz benötigen und sich nicht mit mangelnder Hardwareunterstützung und ständigen Workarounds herumschlagen wollen."


3D-Desktop - ressourcenschonende Effekte der Fensterverwaltung, Quelle: Linux+ Extra Pack 2007
Unter den zahlreich verfügbaren Effekten des dreidimensionalen Desktops von Mandriva Linux ab 2007 sind einige wirklich beeindruckend. So wird es dem Benutzer ermöglicht, den Desktop zu wechseln, indem er einfach einen 3D-Kubus dreht. Die einzelnen Desktops können auch flach angeordnet werden, statt über einen 3D-Kubus gelegt zu werden.
Beim Durchlaufen der Liste der geöffneten Fenster wird eine in Echtzeit aktualisierte Miniaturansicht des Fensters angezeigt. So wird die gesuchte Applikation veranschaulicht.
Die Animationseffekte und die Verformungen der Fenster werden bei den meisten Interaktionen des Benutzers mit diesen angewendet. Beispielsweise ist das Aufklappen, das Vergrößern und das Minimalisieren der Fenster animiert. Das Verschieben und das Ändern der Größe wird durch die Richtung und ide Intensität der Mausbewegung beeinflusst. Wenn der Mauszeiger in die obere rechte Ecke plaziert wird, werden alle Fenster nebeneinander verkleinert auf dem Desktop angezeigt. Dieses erlaubt, alle offenen Fenster zu veranschaulichen und eines davon auszuwählen. Ebenfalls ist es möglich, die Fenster transparent erscheinen zu lassen. Der Grad der Transparenz lässt sich über das Scrollrad der Maus regulieren. Natürlich gibt es auch eher dekorative Funktionalitäten, beispielsweise eine Regen- und Schneeanimation. Mandriva Linux 2007 ist die erste stabile Distribution, die sowohl Xgl als auch AIGLX unterstützt und bietet damit eine umfassende Hardwareunterstützung an.


Metisse Mandrivas Metisse: 3D mal anders
Benjamin Quest
"Nach langer kreativer Durststrecke bringt Mandriva uns ein kleines Schmankerl, um unseren drögen PC auf Vordermann zu bringen: Der neue Desktop Metisse ist laut Aussagen seiner Entwickler kein 3D-Desktop, sondern eher eine neue Herangehensweise an den klassischen Desktop. Entwickelt wurde Metisse von dem mit öffentlichen Mitteln geförderten In-Situ-Projekt.
In Metisse sind bereits viele Ideen des Projekts, wie Copy-and-Paste Between Overlapping Windows, bei dem das Fenster, das im Weg ist, eben einfach ausweicht, eingeflossen. Das besondere an Metisse ist zunächst einmal die Unterteilung des Desktops in neun Bereiche und das immer im Bilde bleibende Navigationsfeld.
Mit neuen Konzepten will Mandriva den Metisse-Desktop etablieren.
Der Übergang zwischen den einzelnen Bereichen gestaltet sich sehr viel natürlicher als dies bei der normalen Anordnung der einzelnen Desktops unter KDE oder Gnome vonstatten geht. Weiterhin verzichtet Metisse auf die 3D-Spielereien der anderen 3D-Desktop-Lösungen, ohne jedoch auf Augenzucker gänzlich zu verzichten. Fenster können gedreht oder geschwenkt werden, transparent gemacht werden oder auch teilweise zur Seite wegklappen. Ein Video sagt in diesem Fall wohl mehr als 1000 Worte. Eine genaue Auflistung der Funktionen findet ihr auch hier. Auf meinem leicht betagten Laptop liefen alle Effekte und Funktionen der Live-CD ohne Treiberwirren oder Einstellungsorgien (ATI Mobility Chip, der vom fglrx-Treiber nicht unterstützt wird, 2,53GHz Pentium, 512MB RAM) flott und ohne große CPU-Lastspitzen. Funkmaus und Touchpad liefen auf Anhieb friedlich nebeneinander, die Bildschirm-Auflösung war auch korrekt eingestellt.
Mit Metisse präsentiert Mandriva eine echte Überaschung. Ich bin gespannt wann andere Distributionen Metisse für sich entdecken; meiner Meinung nach lohnt es sich sehr. Auf einem rotierenden Würfel habe ich mich jedenfalls weitaus weniger zurechtgefunden. Derzeit läuft Metisse allerdings wohl nur unter Gnome mit voller Funktionalität, allerdings ist die vollständige Einbindung von Metisse für KDE 4 in Aussicht gestellt.

Chapeau, Mandriva!
Benjamin"


Mandriva for free: Mandriva Lx 2014 1,6GB free download. Da wir bei mdv2010 verbleiben möchten, haben wir diese Version noch nicht getestet. Linux von USB-Speicherstift: SSD und Festplatte bleiben unberührt, lassen sich aber separat einbinden (mounten): Mandriva-One (mdv2010.2-final, i586) zum Booten direkt von Ihrem USB-Speicherstift ab USB 2.0 und



Smartphones und Handies


Inmitten aus unserer Sektion für "News&Links": Im Vergleich mit dem iPhone 6: Dieses Smartphone kann etwas, was kein anderes kann, Focus, 01.11.2014
Für zwölf Dollar bekommen Sie bald ein Smartphone, das etwas kann, was kein anderes kann. Ein neues amerikanisches Startup versucht, Branchengrößen wie Apple oder Samsung Marktanteile abzugreifen - mit ungewöhnlichen Features. "Smartphone-Sucht ist real. Sie ist überall. Dein Handy versaut deine Dates, lenkt dich beim Konzert ab, stört dich im Kino, verstopft die Bürgersteige. Doch jetzt gibt es eine Lösung. Mit dieser Versprechung bewirbt ein User namens "The NoPhone Team" bei der Crowdfunding-Plattform Kickstarter sein Projekt. Dahinter steckt ein Handy, das etwas kann, was kein anderes Smartphone kann. Nämlich nichts. Perfekte Hosentaschenattrappe: Das "NoPhone" ist ein Hosentaschenersatz für ein echtes Smartphone. "Mit dem dünnen, leichten und komplett drahtlosen Design gibt es jedem das Gefühl von geschmeidigem, kalten Plastik in der Tasche", schreiben die Macher auf der Kickstarter-Seite. "Hol es raus und halte es einfach." Die wichtigsten Features laut den Herstellern: Kein Akku, keine nervigen Updates, splitterfest, wasserdicht. Und das Projekt des "NoPhone" kommt an. 5.000 Dollar wollte das No Phone Team eintreiben, über 18.000 Dollar kamen zusammen. Das Telefon, dass weder Telefonieren noch SMS schreiben oder im Internet surfen kann, soll zwölf Dollar kosten. Das "NoPhone" gibt es auch in einer zweiten Version, mit Selfie-Funktion. Diese Variante hat einen Spiegel im Display und wird mit den Worten beworben: "Zeig deinen Freunden dein neustes Selfie, wenn diese direkt hinter dir stehen.".


Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: Smartphones sind die perfekten Überwachungsgeräte
Sicherheitsforscher packt aus: So kann Ihr Smartphone Sie ausspionieren - obwohl Sie alles abgeschaltet haben
, STERN.de, 08.02.2018
Über GPS und Co. können uns Smartphones permanent überwachen. Zum Glück kann man die Funktionen aber abschalten. Ein Forscher erklärt nun, wie man diese Sicherheitsmaßnahmen trotzdem aushebelt - und warum das kaum zu verhindern ist.
Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: Smartphones sind die perfekten Überwachungsgeräte.
https://www.stern.de/digital/smartphones/so-kann-ihr-smartphone-sie-ausspionieren---obwohl-sie-alles-abgeschaltet-haben-7855612.html
https://www.stern.de/digital/computer/erpressungs-trojanern--so-schuetzen-sie-sich-vor-ransomware-6725356.html
https://www.stern.de/digital/online/datenraub--mit-diesen-7-tipps-schuetzen-sie-sich-davor-8521708.html
https://www.stern.de/tv/datenhack--warum-wurde-es-dem-taeter-so-leicht-gemacht-und-wie-kann-man-sich-schuetzen--8521650.html
https://www.stern.de/digital/smartphones/so-kann-ihr-smartphone-sie-ausspionieren---obwohl-sie-alles-abgeschaltet-haben-7855612.html
https://www.stern.de/digital/online/der-mann--der-uns-schwierige-passwoerter-einbrockte--bereut-seine-entscheidung-7577534.html
https://www.stern.de/digital/computer/erpressungs-trojanern--so-schuetzen-sie-sich-vor-ransomware-6725356.html
https://www.stern.de/digital/online/iphone-privatsphaere--mit-diesen-einstellungen-schuetzen-sie-ihre-daten-8522116.html
https://www.stern.de/tv/datenhack--warum-wurde-es-dem-taeter-so-leicht-gemacht-und-wie-kann-man-sich-schuetzen--8521650.html
https://www.stern.de/tv/gute-passwoerter-und-co---so-schuetzen-sie-sich-bestmoeglich-vor-hackerangriffen-8524324.html

Die mit solchen Geräten verpassten Ohrfeigen sind schallend! Gooken rät ab unter Berufung auf SAR-Werte, den italienischen Gerichtsfall Macolini und Erfahrungsberichte mit Fällen, bei denen möglicherweise Metastasen nach dem Telefonieren mehrere Minuten wie eine schallende Ohrfeige auf der Hörerseite des Handies aufs Ohr und den umgrenzenden Kopfbereich drückten sowie Fällen, bei denen beim Telefonieren selbst im Umkreis eines Handytelefonats von drei Metern magnetische Felder spürbar wahrgenommen wurden und Explosionsgefahr bestimmter Akkus, Einzelheiten zu allen Fällen siehe unter News&Links! Soweit Smartphones generell.

Auf dieser Webseite ganz unten und abermals unter News&Links#computer#smartphones können Sie mehr ü,ber Linux-Smartphones erfahren! Fast alle der hier aufgeführten und mit Häkchen markierten Maßnahmen sind auch für Smartphones relevant. Allerdings muss man dabei wohl in Apps denken...


U.a. aus unserer Sektion News&Links#Computer#Smartphones: CHIP, 26.10.2016: Android-Sicherheit sollten Sie nicht dem Zufall überlassen, sondern mit den passenden Apps vorsorgen. Mit diesen Apps brauchen Sie keine Angst haben vor NSA, Datendieben, Viren und Co. Wir zeigen Ihnen, mit welchen Apps Sie Ihr Android-Handy perfekt schützen.

Datensicherung für Smartphones - so gehts: Geht Ihr Smartphone verloren, sind gleichzeitig alle Daten weg. Hier sind die besten Backup-Lösungen für Android, iOS und Windows.

ifixit: Diese Smartphones lassen sich leicht reparieren - FOCUS Online: Die Haltbarkeit von technischen Geräten ist ein Thema, das viele Deutsche umtreibt. Gefühlt halten viele Maschinen immer kürzer durch und müssen ständig durch neue ersetzt werden. Doch der Verbraucher hat es oft selbst in der Hand zum Beispiel bei reparaturfreundlichen Telefonen.

OK So sichert man mobile Endgeräte im Unternehmen ab: http://www.pcwelt.de/ratgeber/So-sichert-man-mobile-Endgeraete-im-Unternehmen-ab-FAQ-9582121.html

10.000 mAh starker Monster-Akku von Smartphone-Hersteller OUKITEL, Focus Online 02.07.2015
Viermal stärker als das Galaxy S6: Dieses Smartphone hat eine Woche Akkulaufzeit

10.000 mAh starker Monster-Akku: Viermal stärker als das Galaxy S6: Dieses Smartphone hat eine Woche Akkulaufzeit. Die Zeiten, in denen uns mitten am Tag das Smartphone ausgeht, könnten bald der Vergangenheit angehören. Denn der Hersteller OUKITEL plant das erste Smartphone, das auf eine Akkulaufzeit von einer Woche ...

Samsungs Smartphone-Sparte in der Krise, Tagesschau, 03.03.2015
Bislang hatte Samsung vom Smartphone-Boom profitiert, und sich in diesem Segment vor Apple an der Weltspitze etabliert. Jetzt gilt der Markt unter vielen Experten als gesättigt. Für den Konsumenten entscheidende technische Fortschritte seien kaum noch zu erwarten: Die Telefone können ja schon fast alles, was man braucht - oder auch nicht braucht (... ähnlich wie der Computer unter Linux wie mdk2004/mdv2010, Anm. die Red. ).

Siehe Linkseite unter "News&Links": Das kleine Display verdirbt die Augen, es stammt von den Perversen (Apple), strahlt wie verrückt, verursacht schwere Unfälle und bedarf bereits für dessen Umgebung unabsehbar vieler Sicherheitsvorkehrungen und Einzelmaßnahmen, während technische Neuheiten nicht mehr zu erwarten sind: Gooken widmet sich vornehmlich dem Desktop-PC. Vor dem Gebrauch von Smartphones und Handies wird auf unserer Linkseite unter "News&Links" in der Sektion für Computer ganz besonders gewarnt. Die vermeintliche Abhilfe unter Ausschluss der Bedrohung mit Crypto-/Supercomputern sei gleich an dieser Stelle dennoch anhand eines Berichts der Tagesschau vom 28.07.2014 nicht vorenthalten: Smartphones mit Verschlüsselungsfunktion (Krypto-Smartphones) sollen das Ausspionieren verhindern oder zumindest erheblich erschweren. Nach Angaben eines Sprechers des Bundesinnenministeriums sind bereits 3000 Krypto-Smartphones in der Bundesverwaltung verteilt worden. Diese Zahl solle noch ausgeweitet werden. Die Ausstattung mit gesicherten Mobiltelefonen kommt voran. Laut Innenministerium sind bereits 3000 Krypto-Smartphones verteilt worden. Namen wurden nicht genannt. Der Verfassungsschutz forderte zudem eine höhere Kommunikationsdisziplin. Der Präsident des für Spionageabwehr zuständigen Bundesamts für Verfassungsschutz, Hans-Georg Maaßen, warb in der "Frankfurter Allgemeinen Zeitung" für die verstärkte Nutzung von Krypto-Telefonen und mehr Kommunikationsdisziplin. "Vieles kann und sollte im persönlichen Gespräch geklärt werden, ohne Telefon", sagte Maaßen der Zeitung| Der Ruf nach besser geschützten Telefonen war laut geworden, weil vermutlich Telefone von dem US-Nachrichtendienst NSA abgehört wurden. Krypto-Mobiltelefone verschlüsseln SMS und Sprache noch im Gerät selbst. Zwar können die Signale immer noch abgefangen werden, diese sind aber komplex verschlüsselt. Allerdings funktionieren die Krypto-Telefone nur, wenn auch der Angerufene ein derartiges Gerät hat. Daher ist eine vergleichsweise große Anzahl dieser Telefone nötig.

Xiaomi-Notebook
Linux-Notebook von Xiaomi im nächsten Jahr erwartet, PCWelt.de, 29.10.2015, http://www.pcwelt.de/prolinux/Linux-Notebook-von-Xiaomi-im-naechsten-Jahr-erwartet-Xiaomi-Notebook-9838974.html
Xiaomi ist nicht nur drittgrößter Smartphone-Hersteller weltweit sondern vertreibt auch Smart-TVs, Router und IoT-Haushaltsgeräte. Die Gerüchte um ein Linux-Notebook des Herstellers konkretisierten sich Anfang September. Jetzt wurden weitere Einzelheiten bekannt.


ZDNet / Mobile: Warum Open-Source-Handies die besseren Smartphones sind, von Jack Wallen am 24. September 2009
Open Source bringt dem Mobilmarkt eine ganze Menge Vorteile. Angefangen bei Kosteneinsparungen, über die höhere Sicherheit bis hin zu mehr Anpassungsmöglichkeiten und einer produktiveren Applikationsentwicklung.
Stimmen Sie mit der Meinung des Autors überein, dass Open-Source-Geräte die besseren Smartphones sind? Oder wird Apple, vielleicht sogar Microsoft mit Windows Mobile 7, den Kampf um die Markanteile gewinnen? Schreiben Sie einen Kommentar zum Artikel.


Erweiterte Hardwareunterstützung


Vorab: Kernel 4.20.13 (PCLinuxOS) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (pclos) bietet erweiterte Haredwareunterstützung. Aber auch Warten lohnt sich. Sogenannte "alte" Hardware muss nicht schlecht sein, ihre Treiber sind meistens verfügbar. Gängigste Treiber befinden sich bereits im Kernel und Kernel-Modulen. Sollten den Kernel-Modulen welche fehlen, kann man fehlende Teile meist über Pakete (rpm, deb) nachinstallieren. CPUs des Mainboards weisen Standard-Maschinenbefehlssätze auf, die in Paketnamen nach dem Prozessortyp wie x86_64, i686, ppc, ppc64, ppc64le, aarch64, s390, s390x, arm, armhfp, sparc usw. unterschieden werden, und auch das gesockelte BIOS (BIOS-Chip) auf dem Mainboard kann man meist nachbestellen. Für die Graphikkarte verwende man notfalls den UNIX/Linux-Standardtreiber fbdev oder vesa. Und auch die Einrichtung von TFT-Monitoren erweist sich wie Postscript-Drucker über PPD-Dateien aus Paketen aus dem Internet von openprinting.org wie auch von Herstellern oder Treiber-CD als ganz besonders einfach. Hierfür füge man übers MCC unter "Drucker einrichten" lediglich einen neuen Drucker hinzu und verlinke während der Abfrage mit der PPD-Datei. USB erweist sich ja zumindest als abwärtskompatibel. Klemmt der (W)LAN-Chip, verhilft eine einfache Standard-PCI- oder PCIe-Ethernet-Steckkarte bis zum Erscheinen des Treibers, dasselbe gilt für Graphikkarten und den Onboard-Soundchip.

Hardware unter Linux, PC-WELT.de, 11.06.2019
Frage: Ist gewährleistet, dass sich die Hardware in meinem PC oder Notebook und die Peripheriegeräte uneingeschränkt auch unter Linux nutzen lassen?
Antwort: Kurz gesagt: Nein. Die lange Version der Antwort lautet: Es kommt darauf an. Hardwarehersteller bieten in der Regel kaum Unterstützung für Linux. Unproblematisch sind Basiskomponenten wie Grafik-, SATA- oder Ethernet-Chipsatz. Wenn Sie beim Discounter um die Ecke jedoch einen Drucker, Scanner, USB-TV-Stick oder WLAN-Stick erwerben, sind auf der beigelegten CD meist keine Linux-Treiber zu finden. Und selbst wenn, passen sie nur im seltenen Fällen zum installierten System. Auch bei Notebooks gibt es oft Einschränkungen. Manchmal lässt sich die Helligkeit des Bildschirms nicht über die vorgesehenen Tastenkombinationen steuern oder die Stromsparmodi funktionieren nicht wie unter Windows.
Deswegen hilft es nur, sich vor dem Kauf im Internet oder beim Händler über die Linux-Tauglichkeit eines Notebooks oder Peripheriegerätes zu informieren. Es gibt auch Händler, die sich auf Hardware für Linux spezialisiert haben, beispielsweise Tuxedo .
https://www.pcwelt.de/ratgeber/5-Fragen-und-Antworten-fuer-Linux-Anfaenger-10589209.html

PCWelt.de, 01.09.2015: "Vor dem Kauf: Kompatible Linux-Hardware finden
Wer sich nicht selber um passende Linux-Treiber kümmern möchte, sollte bereits vor dem Kauf die Kompatibilität überprüfen. Meist genügt dafür eine Google-Suche mit dem Gerätenamen in Kombination mit dem Wort "Linux". Für Linux gibt es auch durchsuchbare Hardware-Datenbanken. Ebenfalls nützlich ist http://wiki.ubuntuusers.de/Hardware . Hier finden Sie Listen mit Hardware, die funktioniert, und Tipps zur Einrichtung. Informationen zu TV-Karten und Sticks sind bei Linux TV gesammelt.
Wer Linux auf einem Notebook installieren möchte, informiert sich vorab über http://tuxmobil.org oder Ubuntu Wiki . Es gibt auch einige Hersteller, die auf Notebooks mit vorinstalliertem Linux spezialisiert sind, beispielsweise Tuxedo Computers . Allerdings sind die Geräte meist etwas teurer als Windows-Notebooks."


Mit dem Upgrade der glibc von mdv2010 auf mga6, mga7, pclos oder rosa2014.1 (bzw. glibc (mga6, mga7, pclos, rosa2014.1) und weitere glibc-Paekte (mga6, mga7, pclos, el6)) steht ein noch größeres Repertoire an Treiberpaketen und Tarballs für auch aktuelle Hardware zur Verfügung.

Vor allem folgende Firmen liefern Hardware mit Linux-Treibern:
Graphikkarte: Intel, Nvidia, AMD
Drucker und Scanner: Epson, HP, Intel, Samsung, Brother und Canon http://openprinting.org für Ghostscript- und die PPD-Dateien bei Postscript-Druckern

OK Hardwaredatenbanken und Ratgeber:
http://openprinting.org für Ghostscript- und die PPD-Dateien bei Postscript-Druckern
https://de.opensuse.org/Portal:Hardware
http://wiki.ubuntuusers.de/Hardware
http://linuxtv.org/wiki/index.php/Hardware_Device_Information
http://community.linuxmint.com/hardware
http://tuxmobil.org/
https://wiki.ubuntu.com/HardwareSupport/Machines/Laptops
http://www.tuxedocomputers.com
http://wiki.ubuntuusers.de/Drucker
http://www.pcwelt.de/ratgeber/Uefi-statt-Bios-Das-muss-man-beim-Linux-Boot-beachten-Von-USB-und-DVD-9715238.html
http://wiki.ubuntuusers.de/Scanner


Einen ausführlichen Bericht über Hardware-Support liefert folgender Artikel: http://www.pcwelt.de/ratgeber/So-bringen-Sie-Linux-trotz-Probleme-zum-Laufen-9789269.html.

Zur Not kann man sich Treiber auch selber bauen. Anleitungen finden sich im Internet. Für Drucker gab es zumindest früher einmal cups-ddk.

X-Server-(Graphikkarten)-Troubleshooting: siehe unter Updaten

Printer-Troubleshooting: siehe unter Datenblatt

Sicherheitsschwächen


Gooken selbst ist ein neben um inhaltliche Vollständigkeit erstmalig um Strukturierung und konsistente wissenschaftliche Hochschulnormen bzw. Lösungen bemühter Treffpunkt mit starkem Praxisbezug für immerwährende IT Sicherheit, dem Computerfirmen nachziehen bzw. wenigstens so zu tun. Gooken möchte Ihnen verdeutlichen, wie sich eine wissenschaftliche Sicherheitslösung in der Computerwelt voller Gefahren und Risiken konzipiert. Vorgestellt wird das standardisierte Konzept einer Firmendatenbank und der IT Sicherheit nach dem auf Niveau, Standards, Prototypen und Checklisten basierten Ansatz mit dem Verzicht auf betriebsfremde (nicht im Lieferumfang enthaltene) Mittel. Hiermit ergibt sich eine rapide Einsparungen an Hardware und Stromrechnung strapazierenden Festplattenscans bei einem Bedarf an Updates und Upgrades auf je nach verwendetem Dateisystem annähernd sage und schreibe null! Für nur zehn Euro bleiben sämtliche Kosten für Anschaffung, Registrierung, Schulung, Beratung, Wartung und Umstellung einschließlich Lizenzgebühren erspart. Ihre Erfüllung stärkt außerdem die rechtliche Position im Computerzeitalter und Glaubwürdigkeit gegenüber Mitmenschen.

Im Einzelnen wird ihr UNIX-Rechner mit der Befolgung der Schritte und Einzelpunkte auf einfache Art und Weise (weitgehend) immun gegen (...schon mal so ein Rot in ihren Unterlagen gesehen?...):

Null Problemo: "If you do not know, how to go on, you have two possibilities: either you explode, or you cry for help. / Wenn man nicht mehr weiter weiß, hat man zwei Möglichkeiten: entweder man explodiert oder schreit nach Hilfe" (Magnum, TV-Serie, Januar 2016).

suneater_miro proprietäre Software (Verdunklung, Klärung von Fragen zur Haftung erst durch Opensource), Schutzgelderpressung gegen Freischaltung plötzlich gesperrter Computer (Bericht siehe unter Links), Kostenfallen (hier insbesonders bei: Abrechnung über Handy und SMS, Übersehen Kleingedrucktens, AGB), Verbrecherkult, Verletzung von Urheber- und Patentrechten, Manipulation durch bevollmächtigte Systemadministratoren an Software, Dateien und Konfigurationen/Einstellungen, Inkonsistenz (wissenschaftliches Vorgehen zugunsten immerwährender Gültigkeit, Haltbarkeit), Interessenskonflikte zulasten des Verbrauchers, milliardenschweres Investment in Spionagetechnik und -software kommender Versionen (Opensource: Changelog), Infiltrierung sozialer Netzwerke, Auslagerung, Veruneinheitlichung, Zerstreuung und Einschränkung des Sicherheitskonzepts, virtuelle Erpressung durch Datenverschlüssleung auf Festplatten gegen Lösegeld, Beschuss mit Drohnen nach Kreuzverhören und technischen Datenerfassungen, Explosion (überlastete Netzteile, Abhilfe: Einsatz der unter Datenblatt empfohlenen stromsparenden Anschlussgeräte ), Brand (Netzteil, poröses Gehäuse-Lautsprecherkabel und siehe Linkseite), Verstrahlung bzw. Strahlung u.a. durch WLAN (siehe Linkseite), hoher SAR-Wert (Handy), CRT-Monitor, Brenner und Netzteil, Konterminierung (durch Bestandteile diverser Chipsätze), Scanprogramme (Kapazität belastende und Hardware strapazierende Festplattenscans: mit dem von uns vorgestellten Konzept lediglich nach umfassenden Software-Installationen zu empfehlen), suspekte Browser, Browser-Addons- und Plugins (Gegenmaßnahme Konqueror), Defragmentierung (bei Verwendung vieler UNIX-Dateisysteme nicht erforderlich), spärliche Ausstattung mit Software aus Sicherheitsgründen (Abhängigkeits-Tests, Opensource, weitere von uns empfohlene Maßnahmen), 32-Bit-System benötigt 32-Bit-Programme, Verwendung von Magnet-Festplatten statt SSD, schlechte Hardwareerkennung (vs. standardisierte Treiber, verbesserte Hardwareerkennung, weitreichende Kernelversionen wie kernel >= 2.6.30), Registry-Errors (UNIX-Systeme: ohne Registry), Bedarf an Neustarts (Start einzelner Services und Daemonen, je nach System keine Neustarts erforderlich), Bedarf an Upgrades (mit UNIX-Systemen lässt sich mit ./configure- bzw. ./config-Befehl und optional --prefix=/usr zumindest theoretisch vieles aus Tarballs und ZIP-Archiven heraus eincompilieren), wildwüchsige (uneinheitliche) Sicherheitssoftware (Umstellung, Gewöhnungsbedärfe; unsere Sicherheitskonzept mit UNIX-Systeme begleitender Sicherheitssoftware), Instabiles Laufzeitverhalten (Abstürze und Hang-ons, Software-Alpha-Betastadien,keine Abstürze: das näher von uns vorgestellte Betriebssystem mdv2010...), unerwünschte Freigabe ermächtigender Root-Rechte durch Speicherüberläufe (Software sollte laufen und Kommunikationssoftware ggfls. aktualisiert werden), Freak (Browser patchen oder Firefox oder Konqueror verwenden, Bericht siehe Linkseite), ddos-Angriffe (die meist auf Verbreitung von Trojanern basierenden Denial-of-Service-Attacks DOS), Hacker (keine Hacker über STATE NEW-Linienblöcke), in Firewalls eingeschlagene Löcher (Blockrate von iptables), Eindringen und Vandalismus (Linfw3, iptables), Viren (Zugriffsrechte UNIX-Dateisystemen), Missbrauch durch Virenscanner (standardisierter Opensource-Virenscanner clamav), Würmer (analog Viren), Rootkits (rkhunter) bzw. Trojaner, darunter Staatstrojaner (siehe Linkseite) und Botnets (wir beheben alle Punkte und auch diese: CMD-, PID- und/oder UID- und/oder GID-Owner gefolgt von gezielter Portfreigabe von Source- und Destination-Ports mit iptables: keine Trojaner!), Dialer (DSL-Modem, ...), Driveby-Downloads (unvorhersehbare Downloads, Abhilfe: von uns vorgestelltes System mdv2010), veralterter Browser mit SSL3.0 (statt TLS), Canvas Fingerprinting (siehe unter online check), Inaktualität der Alarmmeldungen und Warnungen, Hoax (Falschmeldungen: Quelle bzw. Absender überprüfen), Falschalarme, ausbleibende Fehler- und Warnmeldungen, anomale Einlogversuche (Login Anomaly Detection Systeme wie LADS, Verzögerungszeiten nach Falscheingaben, benutzerweise Auflistung erfolgter Logins und Loginzeiten mit noch aufgeführten Unix-Befehlen), Risiken des WLAN (Verzicht auf wireless oder erforderliche Einzelmaßnamen), fehlerhafte, fehlerbehaftete und sicherheitstechnisch bedenkliche Dateisysteme (wir empfehlen unter zusätzlicher Leistungssteigerung der ohne hin schnellen SSD mit Performance-Werten siehe unter Links Sektion "Alternativen" auch für SSD reiserfs), kopierrestriktrierte Dateisysteme, Systemabhängigkeiten (lösen Paketmanager wie urpmi, drakrpm, alien, dpkg und yum), Funktionsumfang, Anpassungen und Enwicklungsstadien, die eigene Firma (Firmen) als dunkles Buch mit sieben Siegeln (mehr Licht ins Dunkle bringt hingegen die von uns vorgestellte PHP-MySQL-Firmenverwaltung und -datenbank Mycompanies), Handyjagd durch Funknetze, Bedarf an Updates und Upgrades (bei noch erwähnter Erfüllung des hinreichenden Kriteriums der Funktionstüchtigkeit und somit Freiheit von Buffer-Overflows sind Updates, Patches und Bugfixes nur noch für Kommunikationssoftware erforderlich!), Auslesen sensibler Daten über den Microcontroller des USB-Speicherstifts, USB-Hubs statt USB-Verlängerungskabel , Einstellung des Kundensupports (lifetime Sicherheitsupdates über Folgeversion "Punkt 1", ggfls. "Punkt 2" zur Version "Punkt 0" von rpmfind.net auf alle mdk/mdv) für alt gewordene Betriebssystem-Ausgaben (mit den hier vorgestellten Angeboten und Maßnahmen irrelevant), Bedarf an vielen Treibern (mit Kernel 2.6.30 für Computerhardware kaum noch das Thema), Probleme mit Audio- und Graphikkartentreiber (IGP: all-in-one-onboard), Neuaufsatz des Systems, schlechte Abstimmung von Software- und Hardwarekomponenten, rechtliche Irrelevanz, unlauterer Wettbewerb, Zwangsregistrierungen, aggressives Marketing, mangelnde Zuständigkeit, unbekannte Autoren, Produkt-Fertigungsfehler direkt auf der Oberfläche der Installations-CD-/DVD, Brennfehler, Zugäglichkeit der Stromversorgung (Stromzähler, Kabel, ... ) und Stromausfall (unterbrechungsfreie Stromversorgung, UPS), Probleme des BIOS beim Flashen und Zurücksetzen, ausbleibende Warnungen des BIOS vor Überhitzung der CPU und des Gehäuseinneren, Start- und Bootprobleme, Steckenbleiben beim Booten (siehe Linkseite), Steckenbleiben der USB-Speicherstifte (verbessertes Ein- und Ausbinden, sicheres (!) Ausbinden und niemals vorher, gezielte Reparatur, Verkürzung der Signallaufzeiten, Betriebssystemkern und -module), Auslesen sensibler Daten über USB über den USB-Microcontroller (siehe Linkseite), intransparente Bootvorgänge, lange Bootzeiten, Schwachstelle Mensch (benannt nach einem Newsgruppenbeitrag, siehe LInkseite), Nachtsichtgeräte, Beobachtungssatelliten (siehe unter Links), Richtmikrofone (Untergeschosse, siehe unter Links), Abhören von Flugzeugen aus, Verbreitung for free: u.a. Wikipedia, spanische Fliegen, Video- und Sprachaufzeichnungen, Evalulierungsprogramme auf solchen und anderen Aufzeichnungen in protokollierende Dateien, Manipulation von Texten, Bildern und Filmen, Bedarf an suspekter Zusatzsoftware wie bspws. für ftp-Transfer, schlecht deutbare Prozess- und Dateinamen (weitgehende Teilstandardisierung mit UNIX/Linux), Entartung des Dateinamens (Überlänge, Sonderzeichen etc.), Zusatzbedärfe an externen Graphik-, Sound- und Ethernetkarten (Konzept des All-In-One-Mainboards, idealer Weise bereits mit CPU, Kühler und Speicherbausteinen) und typische Risiken von Magnetfestplatten (Einsatz langlebiger, schockresistenter, extrem stromeinsparender und superschneller Solid State Drive (SSD) als obendrein wertvoller Beitrag zur Entlastung des Netzteils und zur Reduzierung der Brand- und Explosionsgefahr in geschlossenen Räumen), Veränderung von Webseiten seitens Webshoster, Manipulation von Verzeichnissen und Dateien von außen wie bspws. Dateien aus /etc/msec (FDE, FSE: Full Disk Encryption, Full System Encryption, Dateiverschlüsselung), Installation von Schadsoftware mit dem Öffnen von Anhängen in E-mail, Installation von Software aus ungekennzeichneten Fremdquellen, Installation durch beliebige Benutzer, hinterherhinkende Sicherheit, spärliche sicherheitstechnische Ausstattung, Ablage von Daten auf Fremdrechnern, Cloud-Computing (Abspeicherung bei Zweiten und Dritten: Wir raten zum Verzicht, externe Festplatte, USB-Speicherstift), Root-Rechte verschaffende Speicherüberläufe (Buffer-Overflows infolge Programmfehler und Bugs als Folge mangelnder Qualitätssicherung), Ansprüche an Schnelligkeit und Hardware-Flexibilität bemessen an den Anforderungen moderner Supercomputer, falscher Kabelanschluss, langesames Internet (Ursache: Datenmüll auf MSWin-Rechnern, Bandbreite, DSL-Tarif, ...), Spionage, Zeroemission (u.a. mit speziellen PCMCIA-Karten Monitorbilder rekonstruierende auffangbare Monitorstrahlungen, Verhinderung mit Spezialeditoren wie Zero-Emission-Pad), Abhören des WLAN, Knacken verschlüsselnder Keys im WLAN, Fremdzugang im WLAN-Access-Point, Funkwanzen (auf USB-Karte oder in Bauteilen, kleiner Mann im Ohr), Mangel an Test- und Erfahrungsberichten (Datenblatt und Testforen im Internet siehe Linkseite), Begrenztheit der Betriebsstunden im Batteriebetrieb, Unnahbarkeit (Unkonfiguierbarkeit, Unter- bzw. Überfrachttung) des Betriebssystemkerns, unzureichende Verschlüsselung (online: TLS, SSH, ipsec (freeswan, ...)), Einsatz nicht hochschulwissenschaftlich erschlossener (kryptographischer) Verschlüsselungsmethoden, unzureichend verschlüsseltes Instant Messaging (OTR, ...), Anschreien wegen interner Totalzerstörung (wie "Sie können den Computer jetzt ausschalten!" unter MS SE), Setzen unsicherer Paßwörter, unvorhersehbare Ablaufen von Paßwörtern, Verwaltung unzähliger Paßwörter (kwallet und relevation), Auffindbarkeit von passwortdateien (steghide), fahrlässiges Versäumnis wichtiger Termine, Unpünktlichkeit, Vergessen des Drumherums (autogestartete Terminplaner und Countdown-Zeitzähler mit Sofort-Erinnerungsfunktion, ntp-Dämon), Brennfehler, Inportabilität, unvermaschte Netze (Ausfallsicherheit), sicherheitsgefährdende Sicherheitssoftware, Fehlen wichtiger Software, unzureichender Systembefehlssatz, Suche wichtiger Funktionstasten (i.a. F8), plötzliches Abhandenkommen bzw. Löschen von Dateien seitens unbekannter Stellen, unerwünschte Fernwartung, willkürliche Veränderungen diverser Grundeinstellungen und Konfigurationen, Erforderlichkeit einer Registry, Registry-Errors, Entarten und Verwaisen der Registryeinträge, (Kapazitäten beanspruchende) Zombies, Firmenwerbung, Rootkits, Popups, Ad- und Spyware, Onlineregistrierungen und Freischaltungen von Software, Spionagenetze, mangelnde Rückverfolgbarkeit des Weges über hier ganz besonders interessierende etwaige ausländische Knoten im Netz (tcptraceroute-Befehl siehe News&Links#Computer), DoS-Attacken, Click-Ping-Verfolgung, fehlender Schutz mit ABE, Surfverhalten abspeichernde und verbreitende Cookies und Third-Party-Cookies, (Browsereinstellungen auf Sitzungscookies oder keine Cookies erlaubt), Supercookies (LSO Flashobjekte, DOM Speicherobjekte, eBay Langzeitverfolgung), Auskunft gebende Browser-Chronik, ABE, Cross-side-scripting, Hijacking, bedenkliche Plugins, Spam (Spamassassin), Spameinträge (Captcha), Scam (fallvergleichende Datenbanken), Phishing (bookmarks, Lesezeichen, Favoriten, sequentielle Freigabe mit Privoxy-Trust, Zertifizierung der DNS), gefälschte Absenderadressen in E-mail (Deaktivieren des Browser-Caches, Header-Rückverfolgung im E-mail-Quelltext, Sender-ID, digitale Unterschriften durch digitale Signaturen: Mit Hilfe des öffentlichen Signaturschlüssels kann jederzeit festgestellt werden, wer der Urheber der Daten ist und ob die Daten während der Übermittlung verfälscht wurden), dnsflood (dnsflood-protection), Zensur (durch DNS-Server), DVD-/CD-Oberflächen-Fertigungsfehler wie unsere MS 98SE, Abspeicherungen u.a. des ISP und der IP auf DNS-Servern für weitere Auswertungen, nicht vertrauenswürdige Freemailer, Inhaltsänderungen des Webhosters (nicht vorhandene bzw. überlesene AGB), ausbleibende Lieferungen nach online-Bestellungen insbesonders bei zu niedrigem Streitwert oder Auslandslieferung, stark eingeschränkte Darstellung von Webseiten, Keylogger, in Webseiten integrierte Tracking- und Spionageskripte, unzureichende Benutzerhandbücher und fragwürdiger Kundensupport, Les- und Schreibbarkeit der Daten auf Festplatte durch fehlende, inkonkrete oder unvollständige Protokollierung (Changelog, Logbücher bzw. Logdateien, Unlesbarkeit der Logdateien, mangelnde Rotation portokollierender Logdateien (logrotate), undurchsichtige Programmfehler-Rückverfolgung (bug-tracer, strace Kommando, Start mit Terminal/Konsole), fehlende Updates begleitende Changelog, fehlende Markierung bzw. Freigabe der Software im Alpha- und Betastadium, Bedienungsfehler, Tempobremsen beim Surfen online oder auf Platte, beschädigte Festplattensektoren und Dateisysteme, Bedarf an Reparatursoftware, lange Reparaturzeiten für fehlerhafte und beschädigte Dateisysteme (größer als wenige Sekunden), kapazitative Restriktionen der Dateisysteme beim Kopieren, aufwendige Konfiguration des DSL-Internetzugangs, niedrige Bandbreiten bzw. Durchsatz, unfreiwillige Verbindungsabbauten, Protokollierung der Zeiten online, Identifikation über IP und/oder Useragent des Browsers, Suchmaschinen-Profiling, -Registrierungen, -Weiterleitungen, eindeutige UA-Browserkennung (siehe unser Online-Check) und/oder IP, statische IP-Adressen des neuen Adressraumes ipv6, Durchlauf riesengroßer Serverfarmen und Werbenetze, niedriges Suchmaschinenranking im Falle des Verzichts der Integration von Trackingskripten in Webseiten, Identitätsdiebstahl, Art außerprozessliche Urteilssprechungen und möglicher Weise lebenslängliche und unzulänglich begründete Verhängung von Vorstrafen (Cybermobbing), Wartung, natürliche Speicherverfallszeiten, Lahmlegen des Rechners (des Harddrives) durch Erhöhung der Anzahl "selbsttätiger" Schreiboperationen auf Festplatte, inergonomische Delays (Verzögerungszeiten und Waitstates zulasten des Prinzips des "all-at-once-by-mouseclick"), ausbleibendes Löschen u.a. temporärer Dateien, Zukleistern des Bildschirms in Comicsprache, unzureichende Dokumentierung des Quellcodes, Teiloffenlegung der Quellen über verschiedene Versionen (Changelog, diff), Bevormundung (Einstellungsmöglichkeiten, Ausgestaltbarkeit, Eigenwilligkeit, Verbote), stupide, langweilige Graphik und monotones Design (Vielzahl der Fenstermanager, 3D-Desktop
niue-muenzen(Würfel und Metisse), Nutzung von gpl-Funktionen, eigenhändige Maßschneiderung, ...), Inkreativität der Anwender, Überforderung von Behinderten und Kindern (Fenstermanager wie LXDE und XFCE4, squid-guard, Eingabehilfen und andere Hilfsprogramme für Behinderte wie speech, mouse-tweaks und dasher, ...), Editoren (Programmieren) ohne Syntaxhighlighting, Fehlen sicherheitstechnische Tools umfassende Softwareentwicklungsumgebungen (IDE), Temperaturabhängigkeit und Luftfeuchtigkeit (SSD), Auf- und Abwärtskompatiblitätsprobleme, Abrauchen der CPU aufgrund Übertaktung, mangelnde Standardisierung von Verschlüsselungsmechanismen, Protokollen, Schnittstellen und Schichten (u.a. wissenschaftlich betriebene Kryptographie, Kommunikationsprotokolle, iptables, SQL, ...), uneinheitliche Hardwareschnittstellen (der Ansatz erfolgt hier bekanntlich über USB), komplizierte oder eigenwillige Handhabungen wie über Anordnungen in Menüs, Schaltflächen und -symbole, geheime Tasten, Sondertasten (Installation, Konfiguration und Bedienung), mangelnde Austauschbarkeit der Hardware (Sockelung des BIOS und Slots für Steckkarten), Einbruch, Diebstahl, Raub, Brand ( Bewegungs- oder Glasbruchmelder, Schließkontakte oder Brandschutzsysteme ), Manipulation von innen (passwortschutz, Verschluss, Babyphone, Bewegungsmelder, Lichtschranken, Chassis Intrusion Detection, Sperrschlösser, Verschlüsselung), Verschleiß, Probleme beim Drucken, Scannen, Faxen und Kopieren, Riß, Datenkabel-Zuleitung bei Flachbettscannern, unscharfe, unproportionale und fehlerhafte Monitordarstellungen, Eye-Movement-Recording, Fingerabdrücke auf dem Touchscreen, Maschinenschreiben ohne separate Tastatur, Bedarf an Ersatzteilen, die aufwendige Suche danach, belegte Hotlines, fehlende oder ungültige Kontaktadressen der Hersteller, Unantastbarkeit des Herstellers und Kundensupports (effektive Newsgruppen wie alt.linux.suse), Werkschließung, Insolvenz des Herstellers, Sprechstunden, Öffnungszeiten, Rechtsirrelevanz, Handeln unter Fahrlässigkeit und Vorsatz, Teil- und Vollhaftung, Auslandsklagen, Klagen gegen Giganten, Weiterreichung und Bezug fremder Kundendaten durch Aufkäufe und Übernahmen, Auf- und Zukaufware, dunkle Herkunft bzw. Quellen, unlauterer Wettbewerb, Rechtsschutz, Bedeutung als Arbeitgeber und Steuerzahler, Abmahnungen (disclaimer), online-Betrug (AGB), Risiken und Gefahren des Online-Bankings (Auszug von Banken formulierter sicherheitstechnischer Anleitungen), personalisierte Werbung, technische Rekonstruktion unerteilter Einzugsermächtigungen bzw. Lastschriften (möglicher Weise unter Einräumung einer nur kurzen Stornofrist), 1000-Watt-PC, <= 65-Watt-CPU, Herzschlag, Vereinnahmung der Wissenschaft durch Firmen mit inkonsistenten Produkten, Einarbeitungszeiten, hohe Schulungs-, Reparatur-, Betriebs- und Anschaffungskosten (über vom Arbeitgeber vorgenommene Abschreibungen wenige Jahre alter, aber trotzdem ergonomisch laufender Hardware), Abschreibungen, Kosten für Provider (LAN-Anschluss, WLAN-Access-points, UTMS von USB, Provider-Kostproben), Lizenzgebühren, Reaktion von Hersteller und Handel im Garantiefall (vertraglich vs. tatsächlich), Absaugerei im Netz, Ressourcenverschwendung, Entsorgungsprobleme (Papier- und CD/DVD-Schneider, Entsorgungsstellen, ...) ...


( ... schließlich im Westen Nix Niue ... )


... das Unmögliche möglich zu machen, mit diesem Exkurs auf mehr oder weniger einen Schlag alle (!) Probleme mit dem Computer loszuwerden, auch dauerhaft! Der Computer läuft dann mausklick-schnell (ohne Verzögerungen, "leichtläufig"), seelenruhig, absolut risikofrei und ohne irgendwas für ihn tun zu müssen, d.h. frei von Reparatur und Wartung! Andere Stellen außer Provider, Freemailer und gegebenenfalls samt FTP-Webhoster wissen noch nicht mal, ob Sie überhaupt einen Computer bzw. eine IP und DNS haben, geschweige welches Betriebssystem, welche Software und welche Dateien! Zunächst aber in roter Markierung Pressestimmen über weitere allgemeine sicherheitstechnische Bedrohungen. Noch mehr Warnungen und zwar aller Art können Sie unseren Linkseiten unter News&Links entnehmen:

Datenschutz
Windows 10: Deaktivierte Funktionen senden Daten an Microsoft
, http://www.pcwelt.de/news/Windows-10-Deaktivierte-Funktionen-senden-Daten-an-Microsoft-Datenschutz-9781744.html,

MS Windows: Raus aus dem Patch-Debakel: Kaputte Updates: So retten Sie Ihren Computer vor dem Super-Gau, Focus online, 27.02.2015, (weitere Einzelheiten hierzu können Sie auf unserer Linkseite unter Links in der Sektion Computer entnehmen, Anm., die Red.)

Hinzu kommt die Stellungnahme von prism.break.org mit der Entscheidung für die beiden erwähnten Alternativen: Recht behalten (Nachtrag vom 07.09.2013):

Überwachung des Internetknotens: DE-CIX verklagt BND, Tagesschau, 22.04.2015
Der BND wird sich wohl vor Gericht für seine Überwachung des Frankfurter Netzknotens DE-CIX verantworten müssen. Dessen Betreiber will ihn verklagen. Kritiker werfen aber auch der Regierung Tricksereien vor. Am DE-CIX werden etwa drei Terabit Daten pro Sekunde verarbeitet, das entspricht 600 CD-Roms. Zu den Kunden gehören praktisch alle großen Internetunternehmen, etwa die Deutsche Telekom, Vodafone und Verizon, weitere Einzelheiten siehe unter Links, Sektion "NSA, GHCQ & Co.".

In einer Reportage der Tagessschau vom 06.09.2013 habe Snowden nach die NSA dafür sorgen können, dass verbreitete Verschlüsselungssysteme bestimmte Schwächen aufweisen, die ein Ausspähen ermöglichten. So seien zusammen mit Partnern aus der Softwareindustrie Hintertüren in die Programme eingebaut worden. Auf diese Weise könnten Informationen abgegriffen werden, bevor der Nutzer sie verschlüssele und über das Internet verschicke, heißt es in den Berichten weiter. Zudem seien Supercomputer gebaut worden, um die verschlüsselten Codes zu entziffern. Das milliardenschwere NSA-Programm mit dem Codenamen "Bullrun" gehöre zu den größten Geheimnissen der Behörde. Nur sehr wenige Mitarbeiter hätten Zugang zu den Top-user-Informationen - und nur die Partnerbehörden in Großbritannien, Kanada, Australien und Neuseeland wüssten davon. Auch der britische Geheimdienst GCHQ sei beim Codeknacken sehr erfolgreich. Unter Links finden sie ein Sammelsurium mit weiteren darauf Bezug nehmenden Reportagen von tagesschau.de.

Tagesschau, 10.03.2014, Zitat Snowden: "Imfalle der Verschlüsselung von Hardware und Verbindungen fällt die Sammung der im Rahmen eines Proflings von Ihnen anfallenden Daten erheblich schwerer." Besten Beweis lieferten für ihn hierfür seine bislang vertraulich behandelten, eigens von ihm verschlüsselt per E-Mail übersandten Dokumente (die E-mail selbst lässt sich mit pgp-gpg sowohl inhaltlich verschlüsseln als auch über pop3s und smtpss (TLS) die für den E-mail-Verkehr aufgebaute Verbindung, Anmerkung, die Red.).

PCWelt.de, 12.07.2016: "Mailvelope ist eine Browser-Erweiterung, die wie unter Kmail den Austausch verschlüsselter E-Mails unter Verwendung des Verschlüsselungsstandards OpenPGP ermöglicht. Bei einer Mail mit End-zu-End-Verschlüsselung wird die Mail auf Ihrem Rechner verschlüsselt und erst dann wieder entschlüsselt, wenn sie beim Empfänger angekommen ist. Der Schlüssel für das Entschlüsseln der Nachricht findet sich ausschließlich auf dem Empfänger-PC. Eine solche sichere Art der Verschlüsselung ist für das Mailen nicht weit verbreitet. Denn sie setzt das aufwendigere Schlüsselmanagement mit einem Paar aus öffentlichem und privatem Schlüssel voraus. Mithilfe des öffentlichen Schlüssels des Empfängers codieren Sie die Mail und er decodiert sie mit seinem privaten Schlüssel.

So gehts: Installieren Sie zuerst die Erweiterung in Ihrem Browser (Firefox, Chrome). Nach einem Neustart des Browsers erscheint die Erweiterung in der Symbolleiste als Icon. Importieren Sie im folgenden Schritt die öffentlichen Schlüssel Ihrer Kontakte ( bei uns Menüpunkt pgp-key aus dem Menü links oder erhältlich über die Angabe der Empfänger-E-Mail-Adresse von den von Mailvelope, kgpg und kleoptara aus abfragbaren Schlüsselservern Anm., Gooken) sowie Ihr eigenes Open-PGP-Schlüsselpaar. Wenn Sie noch kein eigenes Schlüsselpaar haben, erstellen Sie dieses mit Mailvelope. Klicken Sie für die Einrichtung auf das Mailvelope-Symbol und wählen Sie "Optionen -> Einrichten". Ein Assistent hilft auf der nächsten Seite sowohl beim Erstellen Ihres Schlüssels als auch beim Import von externen Schlüsseln.
Wollen Sie anschließend eine Mail verschlüsselt versenden, klicken Sie einfach wie gewohnt auf den Verfassen-Knopf im Browser. In dem Fenster für die neue Nachricht taucht nun auch ein Knopf für eine Mailvelope-Nachricht auf, den Sie anklicken. Dort verfassen Sie die zu verschlüsselnde Nachricht und fügen über "Verschlüsseln" einen Empfänger hinzu, für den Sie zuvor einen öffentlichen Schlüssel importiert hatten."

Browsen: Deshalb sollte man in der Adressleiste des Browsers immer vor dem Aufruf der Seite (manuell) von http:// auf https:// umschalten! Speichern Sie unter Lesezeichen nur verschlüsselte Seiten ab. Beachten Sie, dass dabei seitens des Webservers bzw. Webhosters leider nicht immer ein ssl-Zertifikat vorhanden ist!

Unsere gesicherte Wahl: Konqueror: Null problemo. Vor allem mit einem aktualisierten Browser wie Konqueror bekommt man aufgrund mannigfacher Einstellungsmöglichkeiten keinerlei Probleme im Internet, siehe auch News&Links#Alternatives#The-Green-LED#BrowserCharts . Und wer da noch Anonnymisierung sucht: java -jar /home/surfuser/jondo.jar auf localhost:4001.

JonDoBrowser: Anonymer Firefox-Ersatz mit Macken, CHIP, 14.09.2012
Die JonDos GmbH wirft dem Firefox vor, immer mehr datenschutzschädliche Funktionen einzubauen. Deshalb haben die Entwickler jetzt den anonymen JonDoBrowser als kostenlose Beta veröffentlicht, http://www.chip.de/news/JonDoBrowser-Anonymer-Firefox-Ersatz-mit-Macken_57527151.html.

Jondofox - Firefox mit Kondom
Download von: http://www.heise.de/download/product/jondofox-58547/download
Eine Vorstellung von Sicherheitsbrowsern: erfolgt auf News&Links#Alternatives#The-Green-LED#BrowserCharts Der Pfad zu profiles ist ins Installationsscript von Jondofox ggfls manuell einzutragen: /home/surfuser/.mozilla/firefox. Die Intergration erfolgt abschließend mit dem Start von firefox. Nicht auf OpenSource fundierte Erweiterungen sollten dabei wie generell niemals installiert werden. Auch gilt https-everywhere wie gesagt nicht als unbedenklich.

Freak: "Freak"-Sicherheitslücke: Auch Windows betroffen, 06.03.2015,
Mit einem sogenannten "Freak"-Angriff wird es Dritten möglich, eigentlich geschützten Datenverkehr zu entschlüsseln und womöglich persönliche Daten mitzulesen. Diese Betriebssysteme und Browser sind betroffen.
Am vergangenen Dienstag wurden Informationen über die sogenannte "Freak"-Sicherheitslücke öffentlich gemacht. Durch diese können Dritte Daten aus eigentlich geschützten SSL-/TLS-Verbindungen abgreifen. Damit dies aber tatsächlich möglich wird, müssen bestimmte Kombinationen aus benutztem Webbrowser und verwendetem Betriebssystem gegeben sein. Grundsätzlich sind Android-, iOS-, Windows-Phone-, Windows-, Mac- und Linux-Nutzer gefährdet. Zum Ausnutzen der Lücke müssen zudem Webseiten mit einer geschwächten Verschlüsselung angesurft werden, wie


"freakattack.com"

berichtet. Dort finden Interessierte auch eine Auflistung der 10.000 beliebtesten betroffenen Websites. Zudem kann bei einem dortigen Test überprüft werden, ob die eigene Browser- und Betriebssystemkombination anfällig ist Wie dort auch berichtet wird, sollten Nutzer häufig nach Aktualisierungen für ihren benutzten Webbrowser suchen. Es sei zu erwarten, dass die verbreitetsten Browser auf diesem Wege schnell für eine Beseitigung der Lücke sorgen. Webseitenbetreiber werden zudem dazu aufgefordert, den Support von "TLS export cipher suites" möglichst schnell zu deaktivieren (weitere Berichte zum Thema "Freak" können Sie unserer Linkseite unter Links in der Sektion "Computer" entnehmen, Anm. die Red.)

Wie die Technik-Website "heise.de" berichtet, sind nach dem Stand von Donnerstagabend unter anderem folgende Browser betroffen: Android-Browser, Blackberry Browser, Chrome (Android, OS X), Dolphin (Android, iOS), iCab (iOS), Internet Explorer (Windows, Windows Phone), Mercury (Android, iOS), Opera/Opera mini (Android, iOS, Linux, OS X), Safari (iOS, OS X, Windows), UC Browser (Android).

Chrome (iOS, Linux, Windows), Firefox (Android, Linux, OS X, Windows), Opera (Windows) und Puffin (iOS) seien demnach allerdings sicher (und wie gewohnt Konqueror (Linux) gleich mit, Anm., die Red.).

In einem Interview der Tagesschau mit CCC aus dem Jahr 2014 verwies der CCC insbesonders auf Opensource als Mittel, die Verschlüsselung wie von E-mail nicht zu gefährden, wie durch gezielte Beimischung von Software zur Verschlüselung u.a. seitens NSA der Fall.

Internet-Gang raubt Banken eine Milliarde Dollar, Focus, 15.02.2015
So läuft ein Bankraub in der Internet-Ära: Eine Gang soll in Computersysteme von Kreditinstituten eingebrochen sein und sogar Kontostände manipuliert haben. Zudem hätten sie Geldautomaten beliebige Beträge auszahlen lassen können.

Focus pdf Datenschutz 2014: Antivirus-Programme versprechen Rundumschutz für den Computer und wollen das Surfen im Netz sicherer machen. Doch sie können nicht einmal die Hälfte aller Cyberangriffe abwehren.

Firefox-Erweiterung Ghostery anstelle Disconnect besitzt wie gesagt eine Funktion, um eine Zusammenfassung der geblockten Trackinginhalte an die Firma Evidon aus N.Y. zu senden, den Hersteller von Ghostery. Diese "Ghostrank" genannte Funktion ist standardmäßig bei der Installation nicht aktiv. Evidon gibt an, dass die Ghostrank-Daten nur anonymisiert übertragen werden. Trotzdem empfehlen wir zunächst, die Ghostrank-Funktion deaktiviert zu lassen.

Focus online - Datenschutz pdf 2015: Verseuchter Computer - Wenn mein Computer nicht mehr auf mich hört
Hersteller von Antiviren-Software geben mittlerweile ganz offen zu: Aufgrund der immer schnelleren Entwicklungszyklen von Viren, Würmern und Trojanern erkennen ihre Programme im Schnitt nur noch 40 bis 50 Prozent der aktuell kursierenden Schadsoftware! Der Computer kann schneller als Ihnen lieb ist zur Viren- und Spammail-Schleuder mutieren und damit zur Durchbrechung weiterer Sicherheitsbarrieren bei Dritten eingesetzt werden. Möchten Sie jemand dagegen gezielt schädigen oder aushorchen, kann er alle Hürden umgehen, indem er einfach einen USB-Stick in die Hand gibt. Nutzen Sie externe Laufwerke nur von Personen, denen Sie wirklich vertrauen. Ansonsten können Sie nur duch das Anschließen des Sticks ihre Windows-Firewall ganz entsorgen.

Beim normalen Surfen mit MS Windows und MAC, focus 31.08.2014
Gefahr im Internet: der unsichtbare Drive-by-Download
Infizierungen über Drive-by-Downloads sind besonders perfide. Während man vergnüglich im Internet surft, können Schädlinge über infizierte Webseiten - auch seriös wirkende Sites - auf den eigenen Computer geladen werden, ohne dass man selbst davon etwas mitbekommt. Was einfach klingt, ist technisch allerdings raffiniert umgesetzt: Bei Drive-by-Downloads werden Sicherheitslücken auf dem Rechner ausgenutzt. Der Infizierungsprozess erfolgt dann voll automatisch: Mit Hilfe von so genannten Exploit-Packs - einer Sammlung von Programmen, die Sicherheitslücken in legitimer Software auf Computern ausnutzen - werden Schadprogramme auf dem Gerät des Webseitenbesuchers installiert. Da die Angriffe selbst über den Browser laufen, nutzen Cyberkriminelle entweder Schwachstellen im Browser, in Ergänzungsmodulen zum Browser oder in Drittanbieter-Software, die vom Browser zur Bearbeitung geladen wird, wie beispielsweise PDF-Reader oder Flash-Player. Nutzer sollten vor allem auf das Programm Java achten, denn über 90 Prozent der von Kaspersky Lab im Jahr 2013 entdeckten Versuche zur Ausnutzung von Programm-Schwachstellen entfielen auf Oracle Java, ohne das komplexe Internetseiten im Browser nicht betrachtet werden können. Weitere Schwachstellenprogramme sind Windows- und Adobe-Produkte. Eine wichtige Rolle spielt auch das Zeitfenster der Infizierung. Wenn eine stark frequentierte Seite als Virenschleuder fungiert, wird die Infizierung meistens schneller bemerkt und vom Betreiber behoben. Mac-Nutzer aufgepasst! Mobile Nutzer auch? Für Cyberkriminelle haben sich Drive-by-Downloads vor allem im PC-Bereich als der beliebteste Verbreitungsweg von Malware etabliert. Aber auch der Mac bleibt nicht verschont. Rein zahlenmäßig existieren für Apple-Rechner im Gegensatz zu herkömmlichen PCs weit weniger Bedrohungen, dennoch gab es auch hier Beispiele für die hinterlistigste aller Cyberattacken . So konnte der Schädling Flashfake vor allem über Drive-by-Downloads weltweit mehr als 700.000 Macs infizieren. Drive-by-Downloads für Smartphones und Tablets sind in "freier Wildbahn" noch nicht aufgetaucht. Im vergangenen Jahr gab es zwar eine Machbarkeitsstudie für Android-Geräte, jedoch wurde der Code nicht veröffentlicht. Allerdings ist es nur noch eine Frage der Zeit, bis der Drive-by-Download auch mobil macht. Da beim Drive-by-Download keine aktive "Mithilfe" des Anwenders zur Infektion benötigt wird, läuft die Infektion komplett intransparent und automatisiert ab. Das macht es dem Anwender unmöglich, einen Drive-by-Download zu erkennen und abzuwenden, von FOCUS-Online-Experte Marco Preuss

Bericht von Nicolas Fennen, veröffentlicht am 11.06.2013 auf netzpolitik.org um 14:52h mit 51 Antworten:
Im Rahmen des PRISM-Programms hat der amerikanische Militärnachrichtendienst NSA direkten Zugriff auf die Server bestimmter Firmen, darunter Google, Facebook, Skype und Apple. Aber auch ohne direkten Zugriff auf Server lässt sich sagen, dass proprietäre Software generell anfälliger für Spionage ist als freie Software, da der Blick auf den exakten Code meist nicht möglich ist und so geheime Hintertüren im Code im Verborgenen bleiben.

prism-break.org: "Proprietäre Software setzt hundertprozentiges Vertrauen in den Anbieter voraus, weil gerade was sie angeht die Moral i.a. nicht die Verbreitung personenbezogener Informationen verhindert. Selbst wenn der Hersteller sich für Integrität verbürgt, weist proprietäre Software unveränderlich mehr Fehler und Sicherheitsschwächen auf, da vergleichsweise weniger Augen den Code überprüfen als bei Software aus offenen Quellen der Fall."

Wer den mit eigenem Werbeblocker versehenen und als sicher geltenden Opensource-Browser Konqueror (4.4.5/4.4.9)

nutzt, meidet auf Dauer Risiken anderer Browser und ihrer Plugins und Addons, indem man seinen Werbeblocker während des Surfens ähnlich wie das Firefox-Erweiterung AdblockPlus "trainiert". Aufgrund der Wirksamkeit der mit ihm gefällten sicherheitstechnischen Maßnahmen muss er für Bild-Wiedergaben angepasst werden: Anpassungen des Werbeblockers und der UA-Kennung erweisen sich hierfür ggfls als erforderlich.


SSL Certificate SHA-1 to SHA-2 Transition
Due to the discovery of vulnerabilities in the SHA-1 algorithm and the continual increase in computing power, the feasibility of breaking the SHA-1 hash will increase over time. Internet browsers and Certificate Authorities (CAs) have already started to phase out SHA-1 in favour of the new SHA-2 algorithm. However, recent announcements from Google about depreciating support for SHA-1 based certificates with an expiry date in 2016 or later means that you will have to take action now to make sure your SSL setup is not affected by the accelerated transition. This article offers you more information on how this will effect your SSL setup and how you can move to SHA-2 certificates. As of 2014, SHA-1 is still acceptable, but with the continual increase in computing power, the security of SHA-1 will become a concern in the future.
As your security partner, QualitySSL has already made SHA-256 the default hash algorithm for all new QualitySSL Certificates since September 2014.

Important Dates
As part of their SHA-2 migration plan, Google, Microsoft and Mozilla have announced that they will stop trusting SHA-1 SSL certificates. Google will begin phasing out trust in SHA-1 certificates by the end of 2014, while Microsoft and Mozilla will begin phasing out trust for SHA-1 certificates in 2016.
November 2014 - SHA-1 SSL Certificates expiring any time in 2017 will show a warning in Chrome 39.
December 2014 - SHA-1 SSL Certificates expiring after May 31, 2016 will show a warning in Chrome 40.
January 2015 - SHA-1 SSL Certificates expiring any time in 2016 will show a warning in Chrome 41.
January 1, 2016 - Microsoft ceases to trust Code Signing Certificates that use SHA-1.
January 1, 2017 - Mozilla Firefox and Microsoft ceases to trust SSL Certificates that use SHA-1.

SHA-2 Compatibility
The good news is that most commonly used operating systems, browsers, mail clients and mobile devices already support SHA-2. We have put together a compatibility list for known SHA-2 support, as there are some older operating systems such as Windows XP SP2 that do not currently support SHA-2.
The following list gives an overview of operating systems/browsers that currently support SHA-2:
Apple iOS 3.0+
Android 2.3+
Blackberry 5+
Internet Explorer 6+ (with Win XP SP3+)
Safari with Mac OS X 10.5+
Firefox 1.5+
Netscape 7.1+
Mozilla 1.4+
Opera 9.0+
Konqueror 3.5.6+
Mozilla based browsers sine 3.8+
OpenSSL 0.9.8o+
Java 1.4.2+ based products
Chrome 26+
Windows Phone 7+



OK Leistungsmerkmale: Konqueror (4.4.5/4.4.9/4.4.4/empfohlen: 4.3.5 (el6)) warnt vor gewissen Webseiten auf die Seine: Konqueror von David Faure, Simon Hausmann, Michael Reiher und um die 30 weiteren Autoren unterstützt die Internet-Standards. Ziel ist die vollständige Erfüllung offizieller Normen von Organisationen wie W3 und OASIS und die Unterstützung von de facto-Standards zur Benutzerfreundlichkeit, die im Internet entstanden sind. Neben Leistungsmerkmalen wie Webseiten-Symbolen (favicons), Webkürzel, Sprachübersetzung Babelfish und XBEL-Lesezeichen enthält Konqueror 4.4.5/4.4.9 auch die folgenden Funktionen: Surfen im Internet, unterstützte Standards, zusätzliche Anforderungen, auf DOM (Level 1, teilweise Level 2) beruhendes HTML 4.01, Cascading Style Sheets (CSS 1, teilweise CSS 2), ECMA-262 Edition 3 (entspricht ungefähr JavaScript 1.5), JavaScript ist global aktiviert, lässt sich aber deaktivieren, abgesicherte Java®-Unterstützung, JDK 1.2.0 (Java 2) kompatible VM (Blackdown, IBM oder Sun), Java hier global aktivieren, Netscape Communicator® Plugins (zur Anzeige von Flash®, Real®Audio, Real®Video usw.), secure Sockets Layer (SSL-Verschlüsselung) (TLS/SSL v2/3) für sichere Kommunikation bis 168-Bit OpenSSL und (wer will, alternativ) gnutls, bidirektionale Unicode-Unterstützung (16-Bit), automatische Vervollständigung für Formulare, Bildformate, Übertragungs-Protokolle HTTP 1.1 (einschließlich gzip/bzip2-Kompression), FTP und vieles mehr ... .

Ärgerlich nur, dass man ihn im Ggs. zu Firefox >= 6 nicht oder nicht so einfach über Info aus Menü auf den neusten Stand bringen kann ohne den Bedarf an weiten Dateien von KDE gleich mit, bzw. geht das denn, gleich 50 MB neustes kde-baseapps auf irgendeine Vorgängerversion?

Beachten Sie unsere Linkseite "wonderful Linux"; prism-break.org bringts 2014 auf einen Nenner: "Apple, Google und Microsoft sind mutmaßlich ein Teil von PRISM. Ihren proprietären Betriebssystemen kann hinsichtlich der Absicherung der persönlichen Daten vor der NSA nicht vertraut werden.

prismbreak.org: Bleiben uns zwei freie Alternativen: GNU/Linux und BSD.

GNU/Linux hat eine viel größere Gemeinschaft als BSD, um beim Wechsel und Austesten zugehöriger Programme zu helfen. Es empfiehlt sich die Suche nach einer geeigneten GNU/Linux-Distribution, die den Anforderungen entspricht."

PCWelt.de, 19.10.2015: "BitBox BitBox ist ein Browser-in-the-Box - also eine virtuelle Umgebung um sicherer und komfortabler im Internet zu surfen. Die virtuelle Maschine mit getrenntem Webbrowser schützt Sie vor Gefahren. Beispielsweise der vom Antiviren-Spezialisten Comodo umgerüstete Chromium-Browser namens Comodo Dragon. Rein äußerlich ähnelt der Google Chrome, Dragon soll aber stabiler sein und dank Privacy Mode hartnäckige Cookies stoppen. Außerdem, verspricht Comodo, prüft Dragon SSL-Zertifikate genauer. Wer seinen Browser am liebsten ganz vom Rest des PCs abschotten mag, greift wohl eher zu BitBox - einem Browser-in-the-Box. Die Entwickler (hinter BitBox steht das Bundesamt für Sicherheit in der Informationstechnik BSI) haben ihren Browser in eine eigens angepasste Linux-Umgebung in einer virtuellen Umgebung gepackt. Linux hat einige Vorteile gegenüber Windows - unter anderem gibt es kaum Schädlinge für das kostenfreie Betriebssystem. Aus diesem Grund greifen Profis gerne auf Virtual Box zurück und installieren ein komplettes Linux - oft Ubuntu - in diese virtuelle Maschine. Das virtuelle Ubuntu nutzen Sie dann nur als Surfsystem oder sogar noch spezifischer nur zum Online-Banking. Einen Virenschutz benötigen Sie für Ubuntu übrigens nicht. Tipp: Der alternative Weg, um Ubuntu neben Windows zu installieren lautet Wubi.exe. Die kleine Datei installiert Ubuntu neben Windows auf der Platte. Beim Systemstart wählen Sie dann aus, welches System Sie starten möchten. Auf diese Weise benötigen Sie kein Virtual Box. "

Tagessschau, 11/2013: Auch Wikileaks sieht nach den jüngsten Enthüllungen noch Möglichkeiten für funktionierende Verschlüsselung. Man brauche freie und offene Software. Nicht jede Verschlüsselung sei sicher, nicht alle Firmen vertrauenswürdig. Wikileaks hoffe auf konkrete Gegenmaßnahmen. Zum Beispiel folgenden Anspruch: Wenn ein Anwalt am Telefon Vertraulichkeit haben wolle und kein verschlüsseltes Telefon benutze, dann solle das als fahrlässig gelten.

Pro MC-basierte SSD: "Eine Festplatte ist viel zu unsicher, um ihr Daten anzuvertrauen. Auch wenn sich seitdem bei den Speichermedien viel verbessert hat, wer hat noch nie davon gehört oder es - schlimmstenfalls - selbst erlebt; die Daten sind weg. Gründe dafür gibt es viele" (Quelle: poshtar@datensicherx.com, 13.05.2014)).

Tagesschau, 10.03.2014; (klarer Fall: alles spricht auch beim Desktop-PC für eine SSD, Anm., die Red.! Allerdings sollten auf der SSD mindestens 4GB Speicher frei gelassen werden, um ihre sehr schnellen Zugriffszeiten wie auch bei Magnetfestplatten der Fall nicht unnötig zu reduzieren)

Snowden: "Wenn Sie ihre Hardware und Ihre Netzwerkverbindungen verschlüsseln, dann wird es sehr viel schwerer, Ihre Daten in Massenüberwachungsprogrammen zu sammeln. Natürlich werden sie bei einer gezielten Überwachung weiterhin geknackt werden, aber vor ungezielter Massenüberwachung sind sie viel sicherer." Bester Beweis liefere die Geheimhaltung der Information seiner eigens von ihm übers Internet verschlüsselt versandten E-mail, von derem Inhalt heute noch nur der Empfänger wisse.

Stern.de, April 2014: Immer wieder werden Sicherheitslücken in der weitverbreiteten Flash-Player-Software von Adobe entdeckt. Cyberkriminelle haben eine Schwachstelle für Angriffe ausgenutzt. Dazu verwendeten sie eine Webseite mit speziell präparierten Inhalten, die dem Computer einen Trojaner unterjubelten. Mit diesem Trojaner wiederum waren die Kriminellen in der Lage, sensible Informationen wie Paßwörter und Kreditkartendaten auszuspähen. Adobe stuft die Sicherheitslücke als "kritisch" ein, das ist die höchste Warnstufe und rät zur Aktualisierung. Dasselbe gelte für Java.

Immer mehr Datendiebstahl, Tagesschau, 08.04.2014
Fälle von u.a. auf Sicherheitsschwächen in openSSL beruhrenden Datendiebstahl werden immer häufiger bekannt. Allein im vergangenen Jahr sollen nach einer Berechnung von IT-Sicherheitsexperten bei Online-Angriffen Daten von mehr als einer halben Milliarde Internet-Nutzer gestohlen worden sein. Dabei seien 552 Millionen Identitäten betroffen gewesen. Das sind nach Angaben einer Sicherheitssoftware-Firma rund sechs Mal mehr als 2012.

Einschub Identity Theft, Identitätsdiebstahl: Besonders negativ und (gezielt) rufschädigend können sich Fake-Accounts in sozialen Netzwerken auswirken. Die wichtigste präventive Gegenmaßnahme für Benutzer zu verhindern, dass andere Benutzer im Internet unter eigener Identität unterwegs sind, besteht neben dem Rechtsweg nach Focus PDF Datensicherheit in der Anlage eines eigenen, minimal mit sensiblen Daten beanspruchten Accounts (Kontos) in den davon verbreitetsten sozialen Netzwerken wie Facebook und Twitter, der in regelmäßen Abständigen zu entsprechenden Kontrollzwecken aufgesucht werden sollte.

Bei MS Windows kam es nach Focus online zum sogenannten Patch-Debakel, sprich kaputten Updates. Demnach war der Computer nach Einspielung von Updates vor dem Super-Gau zu retten, 27.02.2015, Bericht von Markus Mandau, hier klicken.

Ende Legende: Microsoft stellt Internet Explorer ein, Focus, 18.03.2015
Neuer Browser nach 20 Jahren: Ende Legende: Microsoft stellt Internet Explorer ein
Nach zwei Jahrzehnten ist Schluss mit einer Legende des Internets: Microsoft arbeitet derzeit an einem neuen Browser, der den Internet Explorer ablösen soll. Sein vorläufiger Name ist "Spartan" - und er soll mit dem Vorgänger nichts mehr zu tun haben.

Tagesschau, 28.04.2014: Sicherheitslücke im Microsoft-Browser
USA raten von Internet Explorer ab
In Microsofts Internet Explorer, Marktanteil über 50% (2012, Studie Web-Analysten von Net Applications), ist am Wochenende und weiter nach dem Zeitpunkt der Einstellung des Supports für XP (08.04.2014) eine (weitere) Sicherheitslücke entdeckt worden, die noch immer besteht. Die US-Regierung rät dazu, vorerst andere Browser zu verwenden. Auch AOL kämpft gegen Hacker - Millionen Nutzer müssen Paßwörter ändern. Die Schwierigkeiten in den Explorer-Versionen sechs bis elf seien so groß, dass Hacker enorme Schäden verursachen könnten, warnte das Heimatschutzministerium. Probleme seit dem Wochenende bekannt. Microsoft hatte am Wochenende die Probleme eingeräumt und arbeitet weiter daran, diese zu beheben. Die Schwachstelle besteht nach Angaben des Unternehmens aus einem fehlerhaft programmierten Zugriff auf den Speicher. Über eine präparierte Website, die die Nutzer mit dem Internet Explorer ansteuern, könnten sich Angreifer Zugang zum Rechner verschaffen, dort schadhafte Codes ausführen und möglicherweise sogar die Kontrolle über den Computer übernehmen. Die Schwachstelle wird bereits aktiv ausgenutzt. Die Sicherheitslücke ist die erste gravierende dieser Art, seit Microsoft Anfang des Monats die Unterstützung von Windows XP (Marktanteil 2012 über 50 % lt. .NetApplications) eingestellt hatte. Deshalb könnte sie auf PCs mit dem 13 Jahre alten Betriebssystem auch dann weiterbestehen, wenn Microsoft das Problem behoben hat.

Unter News&Links#Computer wird beschrieben, wie man den Internet Browser in MS Windows auf Basis einer umsonst zur Verfügung gestellten Debian-Sandbox absichern kann, Anm., Gooken.

Tagesschau, 31.07.2014: Bei USB-Sticks bedarf es zur Vermeidung des Auslesens sensibler Daten durch Ansteuerung des Microcontrollers (Prozessors) derzeit sicherlich noch der Einführung eines neuen Sicherheitsstandards, wie aus einem Bericht von der Linkseite unter Links hervorgeht. Bislang kann man auf diese Art alle Daten des fremden Rechners auslesen, auch Paßwörter und E-Mail-Inhalte oder andere Geräte wie die Webcam fernsteuern. Das Computer-Betriebssystem des fremden Rechners nimmt den Angriff nicht als Softwareattacke wahr, sondern glaubt, nur Tastenbefehle einer neuen Tastatur zu verarbeiten.

AOL schaltet US-Behörden ein: Auch der Internetkonzern AOL bekämpft zurzeit eine Sicherheitslücke - und hat nun die US-Bundesbehörden für eine Untersuchung eingeschaltet. Die Ermittlungen seien eingeleitet worden, nachdem immer mehr gefälschte E-Mails von AOL-Adressen verschickt worden seien, erklärte das Unternehmen. Es stehe bereits fest, dass sich Hacker Zugang zu den Daten einer "bedeutenden Zahl von Nutzern" verschafft und von deren Accounts E-Mails verschickt hätten. Den Angaben zufolge hackten Unbekannte die E-Mail- und Post-Adressen von AOL-Nutzern sowie deren Adressbuchkontakte. Auch verschlüsselte Paßwörter und verschlüsselte Sicherheitsfragen, die gestellt werden, wenn ein Nutzer sein passwort vergisst, seien gehackt worden. AOL gehe davon aus, dass diese Kontaktinformationen zum Versenden gefälschter Mails genutzt worden seien. Betroffen seien etwa zwei Prozent der E-Mail-Adressen von AOL. Das Problem mit gehackten Mail-Fächern besteht seit mindestens zwei Monaten.

Ton um Technologiekonzerne wird schärfer: US-Ärger über Chinas Regeln wächst, Tagesschau, 03.03.2014
China macht ausländischen Tech-Konzernen das Leben immer schwerer - vor allem US-Firmen. Wegen Sicherheitsbedenken bleiben sie bei Geschäften außen vor, ein Anti-Terror-Gesetz soll die Regeln verschärfen. Aus Washington kommt Widerstand.

Interview Tagesschau.de, 21.08.2014: "Betroffenen Unternehmen sollen Angriffe auf ihre IT-Systeme beim Bundesamt für Informationstechnik (BSI) melden. Was halten Sie von dieser Meldepflicht?", Schreiber, Berufshacker und Geschäftsführer der SySS GmbH: "Sie ist das Beste aus dem gesamten Entwurf. Wir haben eine Gefahr, von der wir nicht wissen, wie groß und wie gefährlich sie ist. Ich berate Unternehmen über das Vorgehen bei Sicherheitsvorfällen und ich weiß, welche Unternehmen bereits von Hackern besucht worden sind. Es gibt vermutlich kaum ein deutsches Unternehmen, das nicht schon gehackt worden ist. Aber es gibt keine zentralen Zahlen. Wir müssen wissen, wie groß die Gefahr ist, um ihr auch begegnen zu können. Die Vorfälle zu zählen und zu bewerten ist hier die einzig richtige Entscheidung. Es werden sich vermutlich viele Unternehmen melden. Ich fürchte, dass dabei rauskommt, wie sehr die deutsche IT-Infrastruktur in chinesischer Hand ist. Das Resultat ist dann, dass wir die Gefahr kennen und ihr entsprechend begegnen können. Das Problem bislang ist, dass man nicht darüber spricht. Stellen Sie sich vor, Sie sind Geschäftsführer einer großen Bank und müssen an die Presse gehen und sagen, chinesische Hacker haben Zugriff auf unsere Kontobewegungen. Dann schaden Sie doch ihrem Image, Sie kriegen keine Kunden mehr. Mir fehlt ein Aspekt, der in der Wirtschaft sehr üblich ist: Dass man sich gegen Cyberschäden versichern muss. Wenn ich ein Haus oder ein Auto habe, muss ich auch eine Versicherung abschließen. Versicherungen haben einen großen Charme: Sie können mit Risiken sehr gut umgehen, das können Behörden nicht. Ich fände es eine gute Ergänzung, wenn wir eine Versicherungspflicht gegenüber Schadensfällen im IT-Sektor hätten. Sie haben ein Betriebssystem auf dem Computer, das in den USA gepflegt wird, auch wenn es sich physikalisch in Europas Grenzen befindet. Wir brauchen ein europäisches Betriebssystem, eins für PC und eins für Smartphones. Da ist die Politik gefordert. Behörden könnten beispielsweise verboten bekommen, Betriebssysteme zu nutzen, die aus den USA ferngewartet werden. Weiter machen könnte man bei Ärzten. Wenn Sie eine Untersuchung haben, werden die Befunde meistens auf Windows-Systemen gespeichert. Jeden Monat werden diese von den USA aus upgedatet. Wir haben keine Ahnung, was dort mit den Daten passiert. Unsere Systeme sind nicht hundertprozentig unter unserer Kontrolle. Wir kommen in richtig viele Systeme rein. Wir kommen durch Firewalls, wir können Webshops knacken, Kundendaten ausspähen. Wir kommen in Banken und Versicherungen rein. Ich habe 35 festangestellte Hacker unter Vertrag, die nichts anderes machen als hacken."

( Wir sind wiedermal neugierig geworden. Herr Schreiber und all seine Mitarbeiter seien zum Hacken unseres Rechners zwecks Test der von uns hier vorgestellten Maßnahmen aus der Ferne eingeladen, versenkt wie unser Rechner nahe der " Microsoft-Armee" bzw. destruktiven Hardt-Höhe längst wäre.... Während der Installation von mdv-Linux 2010 stand er vor der von uns erst später im MCC unter Sicherheit vorgenommenen Einstellung der

OK Sicherheitsebene auf "3- secure- Serverbetrieb"

msec -f secure


und vor dem Setzen

allow_root_login = no


und insbesonders

allow_remote_root_login = no


OK in /etc/security/msec/level.secure mit Aktivierung über "msec -f secure" in /etc/rc.local (aufpassen, dass rc.local startet!) noch unter massiven Beschuss, als wolle man alles Mögliche lahmlegen, sie bis dahin zum Kunststück zu machen. Danach, nach Setzen von (und Überschreiben aller Dateien level.*)

ACCEPT_BOGUS_ERROR_RESPONSES=no
ACCEPT_BROADCASTED_ICMP_ECHO=no
ACCEPT_ICMP_ECHO=no

ALLOW_AUTOLOGIN=no
ALLOW_CURDIR_IN_PATH=no
ALLOW_REBOOT=yes
ALLOW_REMOTE_ROOT_LOGIN=no # Ein entfernter root-Zugang mittels sshd ist nicht möglich.
ALLOW_ROOT_LOGIN=no # chrooten ist untersagt! Auf einem Rettungsstift bzw. Rettungssystem bedarf es bei LUKS-verschlüsselter Partition des Befehls cryptsetup, den Wert auf "yes" zu setzen, um sich per Terminal ins vorliegende System wieder als Superuser root erstmals einloggen zu können. Selbst wenn die Passwörter bekannt sind, gibt es bei konsequenter Anwendung von Linfw3 und Beachtung weiterer der hier aufgefürhten Punkte bald unseres Wissens keinen Zugang von außen mehr, schlimmstenfalls nur sehr eingeschränkten und nur auf letztlich unbedeutende Daten!
ALLOW_SUDO_TO_WHEEL=no
ALLOW_USER_LIST=no
ALLOW_XAUTH_FROM_ROOT=no
ALLOW_XSERVER_TO_LISTEN=no
ALLOW_X_CONNECTIONS=no
AUTHORIZE_SERVICES=no
BASE_LEVEL=secure
CHECK_CHKROOTKIT=yes
CHECK_FIREWALL=manual
CHECK_GROUPS=yes
CHECK_ON_BATTERY=no
CHECK_OPEN_PORT=no
CHECK_PASSWD=yes
CHECK_PERMS=daily
CHECK_PERMS_ENFORCE=yes
CHECK_PROMISC=manual
CHECK_RPM_INTEGRITY=manual
CHECK_RPM_PACKAGES=manual
CHECK_SECTOOL=manual
CHECK_SECTOOL_LEVEL=4
CHECK_SECURITY=yes
CHECK_SGID=yes
CHECK_SHADOW=yes
CHECK_SHOSTS=manual
CHECK_SUID_MD5=yes
CHECK_SUID_ROOT=yes
CHECK_UNOWNED=yes
CHECK_USERS=yes
CHECK_USER_FILES=manual
CHECK_WRITABLE=yes
CREATE_SERVER_LINK=no
ENABLE_AT_CRONTAB=yes
ENABLE_CONSOLE_LOG=no
ENABLE_DNS_SPOOFING_PROTECTION=yes
ENABLE_IP_SPOOFING_PROTECTION=yes

ENABLE_LOG_STRANGE_PACKETS=yes
ENABLE_MSEC_CRON=yes
ENABLE_PAM_ROOT_FROM_WHEEL=no
ENABLE_PAM_WHEEL_FOR_SU=yes
ENABLE_PASSWORD=yes
ENABLE_STARTUP_MSEC=yes
ENABLE_STARTUP_PERMS=enforce
ENABLE_SULOGIN=no
EXCLUDE_REGEXP="*root* *.gpg *.asc"
FIX_UNOWNED=yes
IGNORE_PID_CHANGES=no
LOG_RETENTION=4
MAIL_EMPTY_CONTENT=no
MAIL_USER=root
MAIL_WARN=no
NOTIFY_WARN=yes
PASSWORD_HISTORY=4
PASSWORD_LENGTH=8,1,1
ROOT_UMASK=077
SECURE_TMP=no
SHELL_HISTORY_SIZE=100
SHELL_TIMEOUT=600
SYSLOG_WARN=yes
TTY_WARN=yes
USER_UMASK=077
WIN_PARTS_UMASK=077


ist bis dato ausgesprochen Ruhe, keine Vorfälle, keine Bluescreens, keine Störfälle, nichts: bereits mit der Installation von Anfang an vorzunehmen! Um sie zu wahren, haben wir noch auf eine Protokollierung der Hackerangriffe mit bis zu fünf Intrusion-Attempts pro Sekunde durch ihre Deaktivierung in Linfw3 teilweise verzichtet. Bildschirm über Meldungen von kwrited und Protokolldatei wären proppenvoll. Auch die Anzahl der Spam pro Tag lag zeitweise bei über 50, Anm. Gooken ). Einmal "msec secure" eigegeben bzw. in MCC ausgewählt ... und schon steht der Suneater weitgehend außen vor!

OK /etc/rc.local # sh /etc/rc.local from any runlevel-init-script within /etc/init.d/:
#!/bin/sh
#
### BEGIN INIT INFO
# Provides: rc.local
# X-Compat-Mode
# Default-Start: 2 3 4 5
# Short-Description: Local initialization script
# Description: This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don´t
# want to do the full Sys V style init stuff.
### END INIT INFO
# 1 SSD-Optimierung
hdparm -W1a0A0 /dev/sda
echo deadline > /sys/block/sda/queue/scheduler
echo 500 > /proc/sys/vm/dirty_writeback_centisecs
echo 20 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_ratio
touch /var/lock/subsys/local
rm -df /var/spool/cups/a*
rm -df /var/spool/cups/b*
rm -df /var/spool/cups/c*
rm -df /var/spool/cups/d*
rm -df /var/spool/cups/e*
rm -df /var/spool/cups/f*
rm -df /var/spool/cups/g*
rm -df /var/spool/cups/h*
rm -df /home/surfuser/.xauth*
rm -df /home/toruser/.xauth*
rm -df /home/user/kde4/share/apps/kmail/mail/Spam/cur/*
# 2 Services / Dienste
# sh /etc/init.d/incrond start # IDS Intrusion Detection Access Detection
# sh /etc/init.d/noflushd start
# gpg-agent --daemon --use-standard-socket
# dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 & sh /etc/init.d/syslog start
sh /etc/init.d/xfs start
#sh /etc/init.d/psad start
# artsd&
# artsd&
# acpid& # better deinstall root-process acpid as hald (pclos) already does its function!
# /usr/lib64/apparmorapplet&
# apparmor-dbus&
# killall plymouthd
# 3 securityfs mounten
mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2
# 4 apparmor - protection shield for kernel, dbus and apps # mehr dazu u.a. auf https://wiki.kairaven.de/open/os/linux/apparmor #apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.firefox & # mehr dazu u.a. auf https://wiki.kairaven.de/open/os/linux/apparmor_firefox
#apparmor_parser -af /etc/apparmor/profiles/extras/sbin.dhclient &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.bin.man &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.bin/passwd &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.sh &
# 5 msec (MMC) - Sicherheitsoptionen
echo "ALLOW_REBOOT=yes"
echo "BASE_LEVEL=secure" >> /etc/security/msec/security.conf
echo "ENABLE_STARTUP_MSEC=yes" > /etc/security/msec/security.conf
echo "ENABLE_STARTUP_PERMS=enforce" > /etc/security/msec/security.conf
msec -f secure
# 6 ACL for X-Windows
xhost -
xhost +si:localuser:user
xhost -si:localuser:root
xhost -si:localuser:toruser
xhost -si:localuser:surfuser
xhost -inet6:user@
xhost -nis:user@ xhost - 192.168.178.1 exit


OK Unixboard.de: "Sorge dafür, dass Systemuser keine Shell mehr haben ( alle Systemuser einschließlich mysql, uuid und aktueller User, aber je nachdem (meist) noch ohne User root (root bei el6 erst ab Jahr 2026) und ohne unseren User surfuser, indem alle anderen Benutzer in /etc/passwd von /bin/bash auf /sbin/nologin gesetzt werden, Anm., Gooken. Beachte: Terminals arbeiten danach nicht mehr außer das wohl umfassendste und wie beschrieben in /etc/fstab reservierte namens Konsole und die sechs großen Screen-Terminals vor dem jeweiligen Einloggen CTRL+ALT+F1-F6, F7; Konsole ermöglicht natürlich weiterhin auch den Zugang (Login) für den Superuser root ). Sollte eine Einstellung des Zugriffs nicht mehr mit dem Terminal möglich sein, gehe den Weg über MMC (Benutzerkonten aus der Systemkonfiguration), die Shell-Login-Eigenschaft für einzelne Systembenutzer wieder auf /bin/bash zurückzusetzen.

OK Installiere die hardened-Pakete, sichere Server-Tools korrekt ab und sorge dafür, dass nach außen nur Services erreichbar sind, die auch erreichbar sein müssen. Setze dann korrekte Limits in der limits.conf, patche den Kernel mit einem Stack-Smashing-Guard und das System ist ausreichend gesichert. Wenn du ganz paranoid bist, setzt du noch ein IDS ein, das unliebsamen Traffic ausfiltert (z.B. Traffic, der NOPs oder Shellcodes enthält, der nicht mit dem angeprochenen Protokoll korrespondiert etc.). Dann noch Tripwire oder AIDE rauf, um änderungen im Dateisystem zu merken und regelmäßige Checks der Dateien. SSH-Login begrenzt du natürlich auf Key-Authentifizierung und mittels ACLs (SELinux, tomoyo oder acl, Anm., Gooken) sorgst du dafür, dass User nur die Daten sehen können, die sie auch nutzen müssen. Temp-Verzeichnisse des Webservers mountest du mit noexec (Option noexec in /etc/fstab hinzufügen), so dass über den Webserver keine Programme eingeschleust werden können, selbst wenn es in CGI-Skripten Fehler gibt, die sowas ermöglichen könnten. Dass die CGI-Skripte selbst nicht auf Dateien ausserhalb des DocumentRoot zugreifen können sollten, versteht sich eigentlich von selbst und ist Aufgabe der Skripte. Um z.B. auf Directory-Traversal-Lücken und ähnliche typische Lücken zu prüfen, kann man ja Skipfish u.ä. nutzen, bevor die Skripte auf dem Server landen. Fertig ist ein einigermaßen gut gesicherter Server. Solange der Linux-Kernel aber ständig neue Sicherheitslücken offenbart, wirst du eine Kiste mit Linux eh nie wirklich sicher bekommen. Daher sind "schnelle" Updates das A und O bei einem Server.

Wenn ein Hacker erstmal eine Shell auf dem Server bekommen hat, ist eh meist alles verloren. Da hilft auch eine chroot-Umgebung nichts mehr. Erspar dir also lieber die Mühe und nutze die Standards für Server-Sicherung.

Natürlich sollte ein root-Login via SSH nicht direkt möglich sein. Das versteht sich aber eigentlich von selbst. Die Dummheit von Usern, wie z.B. das Verlieren von SSH-Keys, kann man nie wirklich ausschliessen. Das sollte aber kein Grund sein, Bruteforce-Möglichkeiten wie einen Passwort-Login beim SSH aufzumachen, wenn du schon so paranoid bist. Im übrigen ist mir kein anständiger Webhoster bekannt, der seinen Usern einen Shell-Zugang bietet. Jene Hoster, die Shell-Accounts bieten, verwenden zumindest eine restricted Shell, die nur den Aufruf bestimmter Befehle ermöglicht. Die Rechtevergabe im Dateisystem wird dann über ACLs gemacht. Wenn du sicherstellen willst, dass Webskripte nicht an ein Systemverzeichnis kommen, solltest du den Webserverprozess chrooten, aber nicht alle User. Du könntest ihn auch in einer VM laufen lassen, woraus man wesentlich schwieriger als aus einem chroot ausbrechen kann. Alternativ verwendest du SELinux und schränkst dann über Rollen die Rechte ein. Damit kannst du dann auch ganz "einfach" dafür sorgen, dass der Webserver auch keine Programme aufrufen kann. Für solche Anwendungsfälle wurde es ja schliesslich gemacht.

[...] Eine kleine Ergänzung noch zu den sehr, sehr sinnvollen Hinweisen von bitmuncher: Eine Möglichkeit der Isolierung bietet zum Beispiel OpenVZ. Hierbei kannst du für jeden User eine virtuelle Instanz aufsetzen. Da nur das Betriebssystem virtualisiert wird, ist der Overhead mit ca. 2% sehr gering. Es gibt eine Reihe ähnlicher Techniken, aber mit OpenVZ arbeite ich, daher kenne ich die anderen, aktuellen nicht so genau. Für Webhosting wäre es dann zum Beispiel sinnvoll, einen Server, der als Reverse-Proxy fungiert einzusetzen. Nachteil ist natürlich, dass du n+1 Webserver laufen lassen müsstest. Ob das unbedingt Apache ist oder eine der leichtgewichtigeren Alternativen steht auf einem anderen Blatt. Ich nutze im Moment lighttpd + fastCGI PHP, wobei die PHP-Instanzen jeweils mit einem eigenen User laufen. Vergleichbares bietet Apache natürlich auch. Und insgesamt ist mir die Konfiguration vom Apache eingängiger. Ich bin allerdings auch mit der aufgewachsen.
EDIT: Gerade gesehen, bitmuncher hatte es schon am Rande angeschnitten."
http://www.unixboard.de/threads/linux-kernsystem-absichern-durch-chroots-und-gute-rechtevergabe.46522/

OKSystem- und Benutzerkonten sollten gesperrt und mit einem Passwort versehen sein und

OKviele, wenn nicht die meisten unbenutzten Konten aus /etc/passwd lassen sich sperren: MMC->Benutzerverwaltung-> Benutzer bearbeiten -> Registerkarte Sperren oder per Terminalkommando:

passwd -l user

bzw.

passwd -u user

alle Benutzer außer surfuser und toruser

Benutzer user lässt sich also ebenfalls sperren, wenn er über den KDE-Anmeldemanager immer automatisch in KDE eingeloggt wird. Nachteil: Die Bildschirmsperre lässt sich danach nicht mehr aufheben. user lässt sich aber mit /sbin/nologin versehen.

OK Nun gilt es, außer für surfuser (und toruser) sämtliche Konten mit Passwort und den Login /sbin/nologin zu versehen und au&slig;er Konto root zu sperren. Hierfür ist Benutzerverwaltung aus MMC zu wählen, auf den Benutzer zu klicken und ein Haken an entsprechender Stelle "Sperre Benutzerkonto" zu setzen, alternativ mit entsprechendem Befehl manuell übers Terminal. Will man mit Tor anonym surfen, muss der Login für toruser auf /bin/bash gesetzt sein. In diesem Fall kann auch surfuser mit /sbin/nologin verbunden und/(oder) gesperrt werden. Sogar der aktueller Benutzer (man selbst, in unserem Beispiel user) kann je nach Einstellung von pam.d gesperrt. werden.

cat /etc/passwd # ( damit nicht zulasten der Funktionstüchtigkeit des Drucker-Programms cups ist mit den folgenden Einstellungen ein wenig Vorsicht geboten!):


root:x:0:0:root:/root:/sbin/nologin # "Versenkter Terminal-Root-Login" - allen entkommen(!), olala, toll, ..., wohlgemerkt: ein Rücksetzen auf /bin/bash kann nur über die Benutzerverwaltung von MMC oder nach Mount per USB-Rettungsstift und desgleichen mit Rücksetzen in /etc/passwd erfolgen.
toruser:x:506:504:torgroup:/home/toruser/sbin/nologin # Für die Benutzung des Tor-Browsers ist natürlich von /sbin/nologin wieder auf /bin/bash zurückzusetzen. Starten Sie den Tor-Browser und ggfls. auch andere Online-Programme als User toruser mit Gruppe torgroup, alle weitere Programme zusätzlich unter firejail-Option "shell none" innerhalb der Konfigurationsdatei aus /etc/firejail. Zumindest der Browser und ftp-Clienten (ftp, sftp, ...) sollte mit Sicherheit aber weiterhin mit Benutzer surfuser und Gruppe surfgruppe gestartet werden. Das Einstellen des Shell-Zugriffs lässt sich wie gesagt statt übers Terminal am besten über MMC (die Systemkonfiguration) im Teil Benutzerverwaltung durchführen. Sollte Firefox nicht ordnungsgemä&slig; laufen, verzichte man bis zur gelungenen Rekonfiguration Firejails auf dessen Start: Start ohne Firejail ! In diesem Fall empfehlen wir das von uns u.a. für Firefox, Konqueror und kmail vorkonfigurierte Firejail firejail-0.9.50-1-etc-tested-pclos2017.x86_64 für aktuelle firejail-0.9.52-1 (pclos2017) aus unserer Sektion Updaten
Wie genau nun der Onion-Router- und Browser Tor mit zugehörigem Benutzerkonto unter Linfw3 zu installieren und einzurichten ist, erfahren Sie hier (bitte hier klicken).

# Nun wird alles außer surfuser (und je nach Regelung in pamd für den automatischen Desktop-Login auch der (jeweilige) normale user, hier namens toruser)auf /sbin/nologin gesetzt (falls noch nicht gesperrt, dann ggfls.: zusätzlich): MMC oder nano /etc/passwd:
bin:x:1:1:bin:/bin:/sbin/nologin
-1:x:-1::::/sbin/nologin# alle unbekannten Benutzer blocken (sie oder Programme mit Programmfehlern könnten sich gerade einloggen. Sollte sich das Arbeitstempo des Computers dabei verlangsamt haben, lags daran!)
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/sbin/nologin
shutdown:x:6:0:shutdown:/sbin:/sbin/nologin
halt:x:7:0:halt:/sbin:/sbin/nologin
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/var/spool/news:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/var:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
nobody:x:65534:65534:Nobody:/sbin/nologin
polkituser:x:16:16:system user for policykit:/sbin/nologin
haldaemon:x:17:17:system user for hal:/sbin/nologin
user:x:501:501:user:/home/user:/sbin/nologin
mysql:x:71:71:system user for mysql:/var/lib/mysql:/sbin/nologin
clamav:x:72:72:system user for clamav:/var/lib/clamav:/sbin/nologin
surfuser:x:500:500:surfuser:/home/surfuser:/bin/bash
uuidd:x:20:0:uuidd:/home/uuidd:/sbin/nologin
anonymous:x:510:504:anonymous:/home/anonymous:/sbin/nologin
user:10000:10000:user:/home/user:/sbin/nologin# does not work on mdv-USB-stick, so set /bin/bash
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
popa3d:x:93:93:system user for popa3d:/var/empty:/sbin/nologin
toruser:x:415:415:system user for tor:/:/sbin/nologin
openvpn:x:420:421:system user for openvpn:/var/lib/openvpn:/bin/true
ossec:x:82:114:system user for ossec-hids:/var/lib/ossec:/sbin/nologin
usbmux:x:90:90:system user for usbmuxd:/proc:/sbin/nologin

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
sync:x:5:0:sync:/sbin:/bin/sync
messagebus:x:13:101:system user for dbus:/sbin/nologin
avahi:x:14:102:system user for avahi:/var/avahi:/sbin/nologin
avahi-autoipd:x:15:103:system user for avahi:/var/avahi:/sbin/nologin
rpm:x:18:18:system user for rpm:/var/lib/rpm:/sbin/nologin
tkit:x:19:107:system user for rtkit:/proc:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
htdig:x:70:108::/var/lib/htdig:/sbin/nologin
postfix:x:73:73:system user for postfix:/var/spool/postfix:/sbin/nologin
apache:x:74:74:system user for apache-conf:/var/www:/sbin/nologin
gdm:x:75:75:system user for gdm:/var/lib/gdm:/sbin/nologin
halevt:x:76:76:system user for halevt:/var/lib/halevt:/sbin/nologin
mpd:x:77:81:system user for mpd:/var/lib/mpd:/sbin/nologin
saned:x:78:78:system user for saned:/home/saned:/sbin/nologin
squid:x:79:79:system user for squid:/var/spool/squid:/sbin/nologin
prelude-manager:x:80:112:system user for prelude-manager:/var/lib/prelude-manager:/sbin/nologin
vdr:x:81:113:system user for vdr:/var/lib/vdr:/bin/nologin
ossec:x:82:114:system user for ossec-hids:/var/lib/ossec:/sbin/nologin
dansguardian:x:83:115:system user for dansguardian:/var/lib/dansguardian:/sbin/nologin
torrent:x:84:84:system user for bittorrent:/var/lib/bittorrent:/sbin/nologin
mythtv:x:85:85:system user for mythtv:/var/lib/mythtv:/sbin/nologin
freevo:x:86:86:system user for freevo:/usr/share/freevo:/sbin/nologin
gnump3d:x:87:87:system user for gnump3d:/var/cache/gnump3d:/sbin/nologin

partimag:x:88:117::/home/partimag:/sbin/nologin
torrent:x:84:84:system user for bittorrent:/var/lib/bittorrent:/sbin/nologin
audit:x:404:404:RSBAC security auditor:/dev/null:/sbin/nologin
firebird:x:418:418:system user for firebird:/var/lib/firebird/data:/sbin/nologin
usbmux:x:90:90:system user for usbmuxd:/proc:/sbin/nologin
asterisk:x:91:91:system user for asterisk:/var/lib/asterisk:/sbin/nologin
ups:x:92:92:system user for nut:/var/state/ups:/sbin/nologin
boinc:x:421:422:system user for boinc-client:/var/lib/boinc:/sbin/nologin
postgres:x:399:399:system user fo postgresql8.4:/var/lib/pgsql:/sbin/nologin
rrdcached:x:398:398:system user for rrdtool:/var/lib/rrdcached:/sbin/nologin
puppet:x:397:397:system user for puppet:/var/lib/puppet:/sbin/nologin
smolt:x:393:393:system user for smolt:/usr/share/smolt:/sbin/nologin

clam:x:388:498:Clam Anti Virus Checker:/var/lib/clamav:/sbin/nologin
znc:x:387:497:Account for ZNC to run as:/var/lib/znc:/sbin/nologin
toranon:x:386:496:TOR anonymizing user:/var/lib/tor:/sbin/nologin
icecast:x:385:385:icecast streaming server:/usr/share/icecast:/sbin/nologin
munge:x:383:494:Runs Uid ´N´ Gid Emporium:/var/run/munge:/sbin/nologin
nm-openconnect:x:382:493:NetworkManager user for OpenConnect:/:/sbin/nologin
zabbix:x:381:492:Zabbix Monitoring System:/var/lib/zabbix:/sbin/nologin
ident:x:98:491::/:/sbin/nologin
unbound:x:380:490:Unbound DNS resolver:/etc/unbound:/sbin/nologin
cacti:x:379:379::/usr/share/cacti:/sbin/nologin
pulse:x:378:488:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
dockerroot:x:172:172:Docker User:/var/lib/docker:/sbin/nologin
amandabackup:x:33:6:Amanda user:/var/lib/amanda:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
clam-update:x:171:483:clamav-unofficial-sigs user account:/var/lib/clamav-unofficial-sigs:/sbin/nologin
vtl:x:170:481:VTL daemon:/opt/mhvtl:/sbin/nologin
chilli:x:208:208::/usr/share/chilli:/sbin/nologin
usbmuxd:x:501:100:usbmuxd:/home/usbmuxd:/sbin/nologin
vnstat:x:207:207:vnStat user:/var/lib/vnstat:/sbin/nologin
ez-ipupd:x:201:480:Dynamic DNS Client:/var/cache/ez-ipupdate:/sbin/nologin
ricci:x:140:140:ricci daemon user:/var/lib/ricci:/sbin/nologin
qemu:x:502:100:qemu:/home/qemu:/sbin/nologin
luci:x:141:141:luci high availability management application:/var/lib/luci:/sbin/nologin
lighttpd:x:499:479:lighttpd web server:/var/www/lighttpd:/sbin/nologin
zope:x:94:94:system user for zope:/var/lib/zope/default:/sbin/nologin
fax:x:95:95:system user for mgetty:/var/spool/fax:/sbin/nologin
ntp:x:96:96:system user for openntpd:/var/empty:/sbin/nologin

secoff:x:400:400:RSBAC security officer:/secoff:/sbin/nologin
audit:x:404:404:RSBAC security auditor:/dev/null:/sbin/nologin
redis:x:505:508:redis:/home/redis:/sbin/nologin
...


OK chkstat von permissions (OpenSuSE 13.2) und msec (rosa2014.1, mdv2010.2) in /etc/security/msec/perm.secure (überschreibe damit alle /etc/security/msec/perm.*) und automatisches Aktivieren in /etc/rc.local mit "msecperms -q" , Vorsicht Zugriffsreche können bewirken, dass der Drucker streikt und der Ton ausfällt wie jedesmal nach dem Booten der Fall! Daher nicht jedesmal booten (mit # einklammern) und von Konsole aus aufrufen, alsa ggfls. neustarten.

Datei_oder_Verzeichnis Benutzer.Gruppe Zugriffsrecht force ACL

/ root.root 0111 force
/bin/ root.root 751 force
/bin/mount root.root 4755 force
# ... an dieser Stelle erste Ziffer beginnend mit Zahl 4: setuid-/setgid- bzw. suid-Bit für User, 2: 2xxx suid für Gruppe, 1: 1xxxx t für Other; suid bewirkt, dass ausführbare Programme mit den Rechten des Eigners der aufgerufenen Datei ausgeführt und nicht wie üblich mit den Rechten des die Datei ausführenden Benutzers, was unprivilegierten Benutzern einen kontrollierten Zugriff auf priviligierte Ressourcen verschafft. Klarer Nachteil ist, dass diese setuid-Programme eines höher priviligierten Anwenders wie Root aufgrund ihrer Privilegien ein Sicherheitsrisiko darstellen. Ein Programmfehler in diesem Programm kann leicht das ganze System kompromittieren. Sie sind daher auch häufig das Ziel von lokalen Angriffen. Daher werden im Allgmeinen Mechanismen bevorzugt, die ohne setuid auskommen; weitere Einzelheiten siehe unter "man chmod". In der letzten Spalte lassen sich ggfls. noch acl (Zugriffsrechte einzelner Benutzer, Gruppen und Other) gemäß Kommando setfacl setzen und getfacl abfragen, siehe man setfacl und man getfacl, https://wiki.ubuntuusers.de/ACL/ und Erklärung aus msec-gui oder kurzes Beispiel f&uum;l;r ACL: setfacl -m u:user:- Verzeichnis_oder_Datei1, g:groupname2:rwx Verzeichnis_oder_Datei2, u:....
ACL können auch Masken enthalten. Die root-Partiton sollte für setfacl in /etc/fstab stets die zusätzliche Option acl erhalten. Gesetzte ACL werden in Verzeichnislisten kurz mit "+" nach den Zugriffsrechten präsentiert. Rücknahme einer ACL: setfacl -x a_user Pfad_zu_Verzeichnis_oder_Datei

OK /bin/umount root.root 4755 force
/boot/ root.root 700 force
/root root.root 700 force
/dev root.root 751 force
/etc/ root.root 751 force
/etc/fstab root.root 700 force # chmod 700 -R /etc/init.d
/etc/init.d root.root 700 force
/etc/init.d/functions root.root 600 force
/etc/init.d/* root.root 700 force
/etc/rc*.d root.root 700 force
/etc/passwd root.root 644 force
/etc/shadow root.root 400 force
/home/ root.root 711 force
/home/user/usr root.root 700 force
/home/user/usr/* root.root 700 force
/home/user/.a* user.user 700 force
/home/user/.b* user.user 700 force
/home/user/.d* user.user 700 force
/home/user/.e* user.user 700 force
/home/user/.f* user.user 700 force
/home/user/.g* user.user 700 force
/home/user/.h* user.user 700 force
/home/user/.i* user.user 700 force
/home/user/.j* user.user 700 force
/home/user/.k* user.user 700 force
/home/user/.l* user.user 700 force
/home/user/.m* user.user 700 force
/home/user/.n* user.user 700 force
/home/user/.o* user.user 700 force
/home/user/.p* user.user 700 force
/home/user/.q* user.user 700 force
/home/user/.r* user.user 700 force
/home/user/.s* user.user 700 force
/home/user/.u* user.user 700 force
/home/user/.v* user.user 700 force
/home/user/.w* user.user 700 force
/home/user/.x* user.user 700 force
/home/user/.y* user.user 700 force
/home/user/.z* user.user 700 force
/home/user/a* user.user 700 force
/home/user/b* user.user 700 force
/home/user/d* user.user 700 force
/home/user/e* user.user 700 force
/home/user/f* user.user 700 force
/home/user/k* user.user 700 force
/home/user/l* user.user 700 force
/home/user/m* user.user 700 force
/home/user/M* user.user 700 force
/home/user/n* user.user 700 force
/home/user/N* user.user 700 force
/home/user/o* user.user 700 force
/home/user/.kde4/share user.user 500 force
/home/user/.kde4 user.user 500 force
/home/user/.kde4/share/apps user.user 700 force
/home/user/.kde4/share/apps/kmail user.user 700 force
/home/user/.kde4/share/apps/kmail/mail user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/* user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/inbox user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/inbox/* user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/outbox/* user.user 700 force
/home/user/Dokumente user.user 700 force
/home/surfuser surfuser.surfuser 700 force
/home/surfuser/.mozilla surfuser.surfuser 300 force
/home/surfuser/.mozilla/* surfuser.surfuser 700 force
/home/surfuser/JAP* surfuser.surfuser 400 force
/include root.root 751 force
/lib/ root.root 751 force
/lib64 root.root 751 force
/media root.root 711 force
/mnt/ root.root 750 force
/opt root.root 751 force
/proc root.root 555 force
/sbin/ root.root 751 force
/sbin/init root.root 750 force
/sbin/udevd root.root 750 force
/sys root.root 751 force
/sys/* root.root 751 force
/tmp/ root.root 1777 force
/usr root.root 755 force
/usr/* root.root 755 force
/usr/bin/ping root.root 0755 force
/usr/bin/rlogin root.root 4755 force
/usr/bin/cc root.root 750 force
/usr/bin/finger root.root 750 force
/usr/bin/g++* root.root 750 force
/usr/bin/gcc* root.root 750 force
/usr/bin/kdm root.root 750 force
/usr/bin/ssh root.root 750 force
/usr/bin/telnet root.root 750 force
/usr/bin/users root.root 750 force
/usr/bin/w root.root 750 force
/usr/bin/who root.root 750 force
/usr/bin/gpasswd root.shadow 0755 force
/usr/bin/passwd root.shadow 0755 force
/usr/bin/rlogin root.root 0750 force
/usr/bin/uucp uucp.uucp 6555 force
/usr/bin/uustat uucp.uucp 6555 force
/usr/bin/newrole root.root 0755 force
/usr/bin/uux uucp.uucp 6555 force
/usr/bin/rsh root.root 0700 force
/usr/bin/chfn root.shadow 0700 force
/usr/bin/chage root.shadow 0700 force
/usr/bin/chsh root.shadow 0700 force
/usr/bin/v4l-conf root.video 0755 force
/usr/bin/wall root.tty 0755 force
/usr/bin/write root.tty 0755 force
/usr/games root.root 751 force
/usr/include root.root 751 force
/usr/etc root.root 751 force
/usr/java root.root 751 force
/usr/lib64 root.root 751 force
/usr/lib64/kde4/libexec/kcheckpass root.shadow 4755 force
/usr/lib64/kde4/libexec/kdesud root.nogroup 2755 force
/usr/lib64/kde4/libexec/start_kdeinit root.root 4755 force
/usr/lib root.root 751 force
/usr/lib/cups root.root 775 force
/usr/lib/cups/filter root.root 775 force
/var/spool/cups root.sys 711 force
/var/cache/cups root.sys 775 force
/usr/libexec/rtkit-daemon root.root 750 force
/usr/libexec/polkit-1/polkitd root.root 750 force
/usr/libexec/postfix/master root.root 750 force
/usr/man root.root 751 force
/usr/share/docs root.root 755 force
/usr/libexec root.root 751 force
/usr/local root.root 751 force
/usr/local/bin root.root 751 force
/usr/src root.root 700 force
/usr/src/rpm root.root 700 force
/usr/src/rpm/SOURCES root.root 700 force
/usr/src/* root.root 700 force
/usr/share root.root 751 force
/usr/share/* root.root 755 force
/usr/sbin/ root.root 751 force
/usr/sbin/mtr root.dialout 0750 force
/usr/sbin/lockdev root.lock 2755 force
/usr/sbin/pppoe-wrapper root.dialout 4750 force
/usr/sbin/chroot root:root 4700 force
/usr/sbin/gpm root.root 750 force
/usr/sbin/init root.root 750 force
/usr/sbin/sendmail.postfix root.root 711 force
/usr/sbin/prelink root.root 750 force
/usr/sbin/mingetty root.root 750 force
/usr/share/doc root.root 755 force
/usr/share/man root.root 755 force
/usr/ssl root.root 751 force
/usr/tmp root.root 1775 force
/usr/uclibc root.root 751 force
/usr/X11R6 root.root 751 force
/var/tmp root.root 1775 force
/etc/rc.d/init.d/ root.root 700 force
/etc/rc.d/init.d/* root.root 700 force
/etc/shutdown.allow root.root 640 force
/etc/sysconfig root.root 755 force
/etc/syslog.conf root.root 640 force
/etc/updatedb.conf root.root 644 force
/etc/printcap root.lp 640 force
/bin/ping root.root 4750 force
/bin/rpm rpm.rpm 750 force
/dev/ root.root 751 force
/etc/conf.modules root.root 640 force
/etc/cron.daily/ root.root 750 force
/etc/cron.hourly/ root.root 750 force
/etc/cron.monthly/ root.root 750 force
/etc/cron.weekly/ root.root 750 force
/etc/crontab root.root 640 force
/etc/dhcpcd/ root.root 750 force
/etc/dhcpcd/* root.root 640 force
/etc/ftpaccess root.root 640 force
/etc/ftpconversions root.root 640 force
/etc/ftpgroups root.root 640 force
/etc/ftphosts root.root 640 force
/etc/ftpusers root.root 640 force
/etc/gettydefs root.root 640 force
/etc/hosts.allow root.root 644 force
/etc/hosts.deny root.root 644 force
/etc/hosts.equiv root.root 640 force
/etc/httpd/modules.d/*.conf root.root 640 force
/etc/httpd/conf/*.conf root.root 640 force
/etc/httpd/conf/addon-modules/* root.root 640 force
/etc/httpd/conf/vhosts.d/* root.root 640 force
/etc/httpd/conf/webapps.d/* root.root 640 force
/etc/init.d root.root 700 force
/etc/init.d/* root.root 700 force
/etc/inetd.conf root.root 640 force
/etc/inittab root.root 640 force
/etc/ld.so.conf root.root 640 force
/etc/mandrake-release root.root 644 force
/etc/modules.conf root.root 640 force
/etc/motd root.root 644 force
/etc/rc.d/ root.root 755 force
/etc/rc.d/init.d/functions root.root 600
/etc/rc.d/init.d/mandrake_consmap root.root 644
/etc/rc.d/init.d/xprint root.root 700
/etc/securetty root.root 640
/etc/security root.root 700 force
/etc/security/msec root.root 500 force
/etc/security/msec/* root.root 500 force
/etc/sendmail.cf root.root 640 force
/etc/ssh/ssh_config root.root 644 force
/etc/ssh/ssh_host_*key root.root 600 force
/etc/ssh/ssh_host_*key.pub root.root 644 force
/etc/ssh/sshd_config root.root 640 force
/etc/X11 root.root 710 force
/etc/X11/xorg.conf root.root 400 force
/etc/shadow root.shadow 0640 force
/etc/hosts root.root 0644 force
/etc/hosts.allow root.root 0644 force
/etc/hosts.deny root.root 0644 force
/etc/hosts.equiv root.root 0644 force
/etc/ld.so.conf root.root 0644 force
/etc/ppp/ root.dialout 0750 force
/etc/ssh/ssh_host_rsa_key root.root 0600 force
/etc/ssh/ssh_host_rsa_key.pub root.root 0644 force
/usr/sbin/traceroute root.root 0755 force
/etc/crontab root.root 0600 force
/etc/ftpusers root.root 0644 force
/etc/syslog.conf root.root 0600 force
/bin/ping root.root 4750 force
/home/* current.current 751
/usr/lib/cups root.root 775 force
/usr/lib/rpm/rpm? rpm.rpm 750 force
/usr/sbin/sendmail.sendmail root.root 2711
/usr/sbin/traceroute root.root 4750 force
/var/ root.root 751 force
/var/lib/rpm/Packages rpm.rpm 640 force
/var/lib/pcp/tmp root.root 0755 force
/var/lib/pcp/tmp/pmlogger root.root 0755 force
/var/lib/pcp/tmp/pmie/ root.root 0755 force
/var/lock/subsys root.root 750 force
/var/log/ root.root 751 force
/var/log/* root.root 640 force
/var/log/btmp root.utmp 600 force
/var/log/wtmp root.utmp 664 force
/var/log/Xorg.0.log root.root current
/var/log/lp-errs lp.lp 600 root
/var/log/*/* root.root 600 force
/var/log/*/*/* root.root 600 force
/var/log/*/. root.root 700 force
/var/log/*/*/. root.root 700 force
/var/log/intraline/. root.root 750 force
/var/log/mailman/ root.root 2770 force
/var/log/mailman/* root.root 660 force
/var/log/ConsoleKit root.root 751 force
/var/log/ConsoleKit/history root.root 644 force
/var/log/squid squid.root 0750 force
/var/spool root.root 0755 force
/var/spool/mqeue root.root 0700 force
/var/spool/news news:news 0755 force
/var/spool/uucp uucp:uucp 0755 force
/var/spool/mail root.root 1777 force
/var/cache/man root.root 1777 force
/var/log/lastlog root.root 0644 force
/var/log/lastlog root.root 0644 force
/var/log/faillog root.root 000 force
/var/log/wtmp root.utmp 0664 force
/var/log/btmp root.root 0600 force
/var/run/utmp root.utmp 0664 force
/var/spool root.root 0755 force
/var/www root.root 751 force
/bin root.root 751 force
/sbin root.root 751 force
/srv root.root 751 force
/sys root.root 751 force
/lib root.root 751 force
/lib64 root.root 751 force
/etc root.root 751 force
/proc root.root 555 force
/secoff root.root 710 force
/var root.root 711 force
/misc root.root 710 force
/media root.root 755 force
/opt root.root 711 force
/mnt root.root 755 force
/dev/ root.root 751 force
/dev/zero root.root 666 force
/dev/null root.root 666 force
/dev/full root.root 666 force
/dev/ip root.root 660 force
/dev/initrd root.disk 660 force
/dev/kmem root.kmem 640 force
/etc/opiekeys root.root 600 force
/etc/ppp/ root.dialout 750 force
/etc/ppp/chap-users root.root 600 force
/etc/ppp/pap-users root.root 600 force
/etc/sysconfig/network/providers/ root.root 700 force
/usr/sbin/utempter root.utmp 2755 force
/usr/lib/utempter/utempter root.utmp 2755 force
/etc/ssh/ssh_host_key root.root 600 force
/etc/ssh/ssh_host_key.pub root.root 644 force
/etc/ssh/ssh_host_dsa_key root.root 600 force
/etc/ssh/ssh_host_dsa_key.pub root.root 644 force
/etc/ssh/ssh_host_rsa_key root.root 600 force
/etc/ssh/ssh_host_rsa_key.pub root.root 644 force
/etc/ssh/ssh_config root.root 644 force
/etc/ssh/sshd_config root.root 640 force
/usr/bin/suidperl root.root 755 force
/usr/sbin/papd root.lp 0755 force
/var/games/ root.root 0755 force
/usr/bin/ziptool root.root 0750 force
/lib/udev/devices/net/tun root.root 0666 force
/lib/udev/devices/null root.root 0666 force
/lib/udev/devices/ptmx root.tty 0666 force
/lib/udev/devices/tty root.tty 0666 force
/lib/udev/devices/zero root.root 0666 force
/var/lib/named/dev/null root.root 0666 force
/var/lib/named/dev/random root.root 0666 force
/usr/bin/opiesu root.root 0755 force
/usr/bin/wodim root.root 0755 force

nicht setzen: innerhalb /var/spool (andernfalls kann infolge zahlreicher Besitzerwechsel postfix beieinflusst werden, so dass sogar der Mauszeiger stillsteht).

OK ACL: setfacl (alternatively resp. additionally configure files of sandbox firejail within /etc/firejail; setfacl bezieht sich im Unterschied zu firejail aber nicht auf das gestartete Programm bzw. eine Programmgruppe oder wie bei MAC auf einen Prozess (Domäne), sondern diesmal unabhängig vom Programm auf einen in setfacl angegebenen Benutzer oder eine Gruppe. Wir empfehlen von diesen drei Möglichkeiten allesamt, insbesonders aber ACL.):
Voraussetzung für ACL: gesetzte Mount-Option "acl" in /etc/fstab (zuzüglich "user_xattr").
Wir erhalten bei idealen ACL (ACL-Setzungen) bis zur gestrichelten Linie bereits ein e linfw3 perfekt ergänzende, den Computer rundherum total absichernde Sandbox mit Blockade auf fast allem, was Linux an Verzeichnissen und Dateien zur Verfügung stellt, ohne die Programme unnötig zu restriktrieren. Zu beachten ist, dass mit der Installation Dateien in Verzeichnissen wie /bin, /sbin, /usr/libexec, /usr/bin, /usr/share und /usr/sbin übeschrieben werden, so dass deren ACL-Zugriffsrechte sich zurücksetzen und daher erneut zu setzen sind. ACL für Samba und Httpd (Webserver Apache) und andere Server fehlen an dieser Stelle und sind daher ggfls. noch hinzuzufügen:

Setze setfacl -m u:surfuser:- innerhalb /usr/bin auf alle Dateien außer den ausführbaren Executables (setfacl -x surfuser /usr/bin/executable):
bash*
dbus*
firejail*
firefox*
gftp*
X*
kde*
konqueror*
knemo*
sg*
und alle weiteren Programme (executables bzw. Befehle aus /usr/bin) mitsamt von ihnen benötigten Befehlen, die über surfuser gestartet werden sollen. Auf die Freigabe des dbus* kann verzichtet werden, soll der Konqueror nicht zum Surfen genutzt werden. Gehe genauso für die Dateien innerhalb /bin, /sbin, /usr/sbin und /usr/libexec usw. vor, aber niemals auf Dateien innerhalb /lib, /usr/lib, /usr/lib64 usw.

Für die weiteren Programme wie tor-browser und tor, xchat usw. empfiehlt sich die Anlage eines weiteren surfuser wie toruser mit Gruppe torgroup mit erhebliche mehr ACL-Zugriffsrechten, da der Tor-Browser im Unterschied zu Firefox pur keine allzu großen Einschränkungen duldet. Vielmehr ist Tor (Tor-Browser) im Besitz einer eigenen Sandbox.

Mit anderen Worten (beachte: setfacl-Einstellungen für surfuser sind in /usr/bin gerade eben bereits durchgeführt worden) :

setfacl -m u:surfuser:- /usr/libexec/gam_server # Eine Bremse weniger; außerdem bietet sich der Austasch von gamin (mdv2010) mit gamin (fc29, pclos2017).an. Kopiere /usr/libexec/gam_server /usr/lib/.
setfacl -m u:surfuser:- /usr/libexec/gam_server
setfacl -m u:toruser:- /usr/libexec/gam_server
setfacl -m u:root:- /usr/libexec/gam_server
setfacl -m u:surfuser:- /usr/lib/gam_server
setfacl -m u:toruser:- /usr/lib/gam_server
setfacl -m u:root:- /usr/lib/gam_server
setfacl -m u:root:- /usr/libexec/gam_server
setfacl -m u:-1:- /usr/libexec/gam_server # -1: alle unbekannten Nutzer
setfacl -m u:surfuser:- /usr/lib/gam_server # Bei Verwendung von gamin (fc26) oder gamin-server (OpenSuSE 13.2) ...
setfacl -m u:root:- /usr/lib/gam_server #
setfacl -m u:-1:- /usr/lib/gam_server #
setfacl -m u:user:- /usr/bin/nspluginscan* # ... noch eine Bremse weniger
setfacl -m u:user:- /usr/bin/application-browser* # ... und noch eine Bremse weniger
setfacl -m u:surfuser:- /usr/bin/nspluginscan*
setfacl -m u:surfuser:- /usr/bin/application-browser*
setfacl -m u:-1:- /opt # -1: alle unbekannten Nutzer
setfacl -m u:surfuser:- /boot # ... falls nicht bereis auf read-only (ro) gesetzt
setfacl -m u:user:- /boot # ... falls nicht bereis auf read-only (ro) gesetzt
setfacl -m u:surfuser:- /*
setfacl -m u:toruser:- /mnt # Tor-Browser
setfacl -m u:toruser:- /media
setfacl -m u:toruser:- /home/user
setfacl -m u:toruser:- /home/surfuser
OKsetfacl -m u:toruser:- /usr/bin/su
setfacl -m u:toruser:- /bin/su
setfacl -m u:toruser:- /bin/mount
setfacl -m u:toruser:- /usr/bin/mount
setfacl -m u:toruser:- /usr/bin/rsh
setfacl -m u:toruser:- /usr/bin/rlogin
setfacl -m u:toruser:- /usr/bin/ssh
setfacl -m u:toruser:- /bin/ssh # ... und wie gesagt nicht vergessen, ü,ber diesen Benutzer toruser Programme (bzw. Prozesse) mit Firejail unter Verwendung der Option "shell none" aus der Konfigurationsdatei in /etc/firejail zu starten.
setfacl -m u:toruser:- /opt
setfacl -m u:toruser:- /sbin
setfacl -m u:toruser:- /usr/local
setfacl -m u:toruser:- /etc/fstab*
setfacl -m u:toruser:- /etc/mtab*
setfacl -m u:toruser:- /etc/crypttab*
setfacl -m u:toruser:- /usr/libexec/gam_server
setfacl -m u:toruser:- /usr/bin/knotify*
setfacl -m u:toruser:- /usr/bin/nspluginscan*
setfacl -m u:toruser:- /usr/libexec/mysql*
setfacl -m u:toruser:- /usr/bin/mysql*
setfacl -m u:toruser:- /etc/shadow*
setfacl -m u:surfuser:--x /home/surfuser
setfacl -m u:surfuser:--x /usr/bin
setfacl -m u:surfuser:--x /usr/sbin
setfacl -m u:surfuser:- /usr/sbin/*
setfacl -x surfuser /usr/sbin/dnsmasq
setfacl -x surfuser /usr/sbin/unbound
setfacl -m u:surfuser:--x /bin
setfacl -m u:surfuser:--x /sbin
setfacl -m u:surfuser:--x /usr/games
setfacl -m u:surfuser:--x /usr/libexec
setfacl -m u:surfuser:--x /usr/lib64
setfacl -m u:surfuser:--x /lib64
setfacl -m u:surfuser:--x /sbin
setfacl -m u:surfuser:--x /usr/libexec
setfacl -m u:surfuser:--x /lib/modules
setfacl -m u:surfuser:--x /lib
setfacl -m u:surfuser:--x /home
setfacl -x surfuser /bin
setfacl -x surfuser /etc
setfacl -x surfuser /sbin
setfacl -x surfuser /home
setfacl -x surfuser /run
setfacl -x surfuser /tmp
setfacl -x surfuser /proc
setfacl -x surfuser /secoff
setfacl -x surfuser /dev
setfacl -x surfuser /current
setfacl -m u:surfuser:- /bin/*
setfacl -x surfuser /bin/arch #
setfacl -x surfuser /bin/basename #
setfacl -x surfuser /bin/bash
setfacl -x surfuser /bin/cp # gegebenenfalls ohne cp
setfacl -x surfuser /bin/grep* # ggfls. lässt sich grep blocken
setfacl -x surfuser /bin/cut #
setfacl -x surfuser /bin/mktemp #
setfacl -x surfuser /bin/ps #
setfacl -x surfuser /bin/sed # ggfls. lässt sich sed blocken
setfacl -x surfuser /bin/sort #
setfacl -x surfuser /bin/strace #
setfacl -x surfuser /bin/hostname #
setfacl -x surfuser /bin/uname # ggfls. lässt sich uname blocken
setfacl -m u:surfuser:- /bin/su
setfacl -m u:surfuser:- /usr/bin/su
setfacl -m u:surfuser:- /usr/libexec/mysql*
setfacl -m u:root:r-x /etc/resolv.conf # nach der Konfiguration von dnsmasq
setfacl -m u:surfuser:- /mnt # Standard-Mountpunkt
setfacl -m u:surfuser:- /media # blocke USB-Geräte wie USB-Speicherstifte, USB-Digitalkamera usw.
setfacl -m u:user:- /home/surfuser
setfacl -m u:surfuser:- /home/user
setfacl -m u:surfuser:- /home/user/.kde4/share/apps/kmail/mail # verhindere von surfuser das Lesen und Schreiben empfangener, entworfener und gesendeter E-Mails
setfacl -m u:root:- /home/user
setfacl -m u:root:- /home/surfuser
setfacl -m u:surfuser:- /home/uuid*
setfacl -m u:root:- /home/user/.wine
setfacl -m u:root:- /home/surfuser/.wine
setfacl -m u:surfuser:- /root.gnupg
setfacl -m u:surfuser:- /etc/*
setfacl -x surfuser /etc/acpi*
setfacl -x surfuser /etc/alternatives
setfacl -x surfuser /etc/bash*
setfacl -x surfuser /etc/cups*
setfacl -x surfuser /etc/default*
setfacl -x surfuser /etc/dbus*
setfacl -x surfuser /etc/dnsmasq*
setfacl -x surfuser /etc/resolv.dnsmasq*
setfacl -x surfuser /etc/firejail*
setfacl -x surfuser /etc/firefox*
setfacl -x surfuser /etc/firebird*
setfacl -m u:user:r-x /etc/fstab
setfacl -x surfuser /etc/font*
setfacl -x surfuser /etc/host*
setfacl -x surfuser /etc/ld.so*
setfacl -x surfuser /etc/nsswitche*
setfacl -x surfuser /etc/profile*
setfacl -x surfuser /etc/pam*
setfacl -x surfuser /etc/pango*
setfacl -x surfuser /etc/passwd*
setfacl -x surufser /etc/alternatives*
setfacl -x surfuser /etc/sysconfig
setfacl -x surfuser /etc/services*
setfacl -x surfuser /etc/tor*
setfacl -m u:surfuser:r-x /etc/resolv.conf
setfacl -x surfuser /etc/tor
setfacl -m u:user:- /usr/lib64/firefox
setfacl -m u:user:- /usr/lib64/thunderbird
setfacl -m u:surfuser:- /usr/local # oder
setfacl -m u:surfuser:- /usr/local/LINFW3
setfacl -m u:surfuser:- /usr/lib/modules*
setfacl -m u:surfuser:- /root
setfacl -m u:surfuser:- /initrd
setfacl -m u:surfuser:- /srv
setfacl -m u:surfuser:- /smack
setfacl -m u:surfuser:- /net
setfacl -m u:surfuser:- /misc
setfacl -m u:surfuser:- /var/lib/rpm
setfacl -m u:surfuser:- /opt
setfacl -m u:surfuser:- /secoff
setfacl -m u:surfuser:- /sid-root
setfacl -m u:surfuser:- /cgroup
setfacl -m u:surfuser:- /lost+found
setfacl -m u:surfuser:- /sbin
setfacl -m u:surfuser:r-x /lib64
setfacl -m u:surfuser:- /lib
setfacl -m u:surfuser:- /usr/*
setfacl -x surfuser /usr/lib
setfacl -x surfuser /usr//lib64
setfacl -x surfuser /usr/bin
setfacl -x surfuser /usr/libexec
setfacl -x surfuser /usr/share
setfacl -x surfuser /usr/ssl
setfacl -x surfuser /usr/tmp
setfacl -x surfuser /usr/var
etfacl -m u:surfuser:- /usr/src
setfacl -m u:surfuser:- /usr/sbin
setfacl -x surfuser /usr/sbin/traceroute*
setfacl -m u:surfuser:r-x /usr/lib
setfacl -m u:surfuser:r-x /usr/lib64/kde4
setfacl -m u:surfuser:rwx /usr/lib64/tor-browser # sandboxed tor-browser for chown -R surfuser:surfuser -R /usr/lib64/tor-browser
setfacl -m u:surfuser:- /usr/libexec # miroplayer. setfacl -m u:surfuser:r-x /usr/libexec
setfacl -m u:surfuser:- /usr/share/* ##
setfacl -x surfuser /usr/share/app*
setfacl -x surfuser /usr/share/font*
setfacl -m u:surfuser:r-x /usr/lib64/kde4
setfacl -x surfuser /usr/share/app*
setfacl -x surfuser /usr/share/cups*
setfacl -x surfuser /usr/share/font*
setfacl -x surfuser /usr/share/freetuxtv*
setfacl -x surfuser /usr/share/gnome-translate*
setfacl -x surfuser /usr/share/gftp*
setfacl -x surfuser /usr/share/gvfs*
setfacl -x surfuser /usr/share/icon*
setfacl -x surfuser /usr/share/java*
setfacl -x surfuser /usr/share/konqueror*
setfacl -x surfuser /usr/share/locale*
setfacl -x surfuser /usr/share/miro*
setfacl -x surfuser /usr/share/merkaartor*
setfacl -x surfuser /usr/share/mime*
setfacl -x surfuser /usr/share/net*
setfacl -x surfuser /usr/share/pidgin*
setfacl -x surfuser /usr/share/pixmap*
setfacl -x surfuser /usr/share/tor*
setfacl -m u:surfuser:- /usr/games/*
setfacl -x surfuser /usr/games/gtkatlantic*
setfacl -x surfuser /usr/games/maniadrive*
setfacl -x surfuser /usr/games/eternallands*
setfacl -x surfuser /usr/games/brutalchess*
setfacl -x surfuser /usr/games/eboard*
setfacl -x surfuser /usr/games/xboard*
setfacl -x surfuser /usr/games/openmortal*
setfacl -x surfuser /usr/games/secondlife # and so on for all games to play online
setfacl -m u:surfuser:- /usr/bin # ...
setfacl -x surfuser /usr/bin/blogilo
setfacl -x surfuser /usr/bin/blogtk
setfacl -x surfuser /usr/bin/basename
setfacl -x surfuser /usr/bin/bash*
setfacl -x surfuser /usr/bin/choqok
setfacl -x surfuser /usr/bin/ciao_get*
setfacl -x surfuser /usr/bin/clear
setfacl -x surfuser /usr/bin/cp # ggfls. ohne cp
setfacl -x surfuser /usr/bin/dbus*
setfacl -x surfuser /usr/bin/dirname
setfacl -x surfuser /usr/bin/dnsmasq*
setfacl -x surfuser /usr/bin/env*
setfacl -x surfuser /usr/bin/firefox* # sandboxed Firefox (!!!), ähnlich Chrome, außerdem bietet sich zusätzlich noch Sandbox firejail an (!)
setfacl -x surfuser /usr/bin/freetuxtv
setfacl -x surfuser /usr/bin/frostwire
setfacl -x surfuser /usr/bin/firejail
setfacl -x surfuser /usr/bin/gdb
setfacl -x surfuser /usr/bin/glinuxsms
setfacl -x surfuser /usr/bin/gconf*
setfacl -x surfuser /usr/bin/gdict*
setfacl -x surfuser /usr/bin/jovie*
setfacl -x surfuser /usr/bin/kiax*
setfacl -x surfuser /usr/bin/kphone*
setfacl -x surfuser /usr/bin/linphone*
setfacl -x surfuser /usr/bin/ekiga*
setfacl -x surfuser /usr/bin/ktts*
setfacl -x surfuser /usr/bin/kaddressbookmigrator
setfacl -x surfuser /usr/bin/kbookmarkmerger
setfacl -x surfuser /usr/bin/keditbookmarks*
setfacl -x surfuser /usr/bin/konversation*
setfacl -x surfuser /usr/bin/kwrite
setfacl -x surfuser /usr/bin/gedit
setfacl -x surfuser /usr/bin/xfce4-dict*
setfacl -x surfuser /usr/bin/gftp*
setfacl -x surfuser /usr/bin/gnome-translate*
setfacl -x surfuser /usr/bin/id
setfacl -x surfuser /usr/bin/java*
setfacl -x surfuser /usr/bin/konqueror* # sandboxed Konqueror, außerdem bietet sich zusätzlich noch firejail an (!)
setfacl -x surfuser /usr/bin/konversation
setfacl -x surfuser /usr/bin/kopete*
setfacl -x surfuser /usr/bin/klaunch*
setfacl -x surfuser /usr/bin/kcm*
setfacl -x surfuser /usr/bin/kcheckrunning*
setfacl -x surfuser /usr/bin/kcachegrind*
setfacl -x surfuser /usr/bin/kcookiejar4*
setfacl -x surfuser /usr/bin/kded*
setfacl -x surfuser /usr/bin/kdeinit*
setfacl -x surfuser /usr/bin/kdekillall*
setfacl -x surfuser /usr/bin/kdepasswd*
setfacl -x surfuser /usr/bin/kdestroy*
setfacl -x surfuser /usr/bin/kde_generate_export*
setfacl -x surfuser /usr/bin/knemo
setfacl -x surfuser /usr/bin/konqueror
setfacl -x surfuser /usr/bin/kopete*
setfacl -x surfuser /usr/bin/krunner*
setfacl -x surfuser /usr/bin/kwrite*
setfacl -x surfuser /usr/bin/kvirc*
setfacl -x surfuser /usr/bin/kate*
setfacl -x surfuser /usr/bin/marble
setfacl -x surfuser /usr/bin/merkaartor
setfacl -x surfuser /usr/bin/miro
setfacl -x surfuser /usr/bin/mplayer # mplayer-browser-plugin
setfacl -x surfuser /usr/bin/new*
setfacl -x surfuser /usr/bin/nettle*
setfacl -x surfuser /usr/bin/pavuk
setfacl -x surfuser /usr/bin/perl # needed for drakfax or keep perl blocked
setfacl -x surfuser /usr/bin/pidgin*
setfacl -x surfuser /usr/bin/ping* # especially for server
setfacl -x surfuser /usr/bin/putty
setfacl -x surfuser /usr/bin/rhythmbox*
setfacl -x surfuser /usr/bin/sg
setfacl -x surfuser /usr/bin/tor*
setfacl -x surfuser /usr/bin/tvbrowser
setfacl -x surfuser /usr/bin/vlc # vlc-browser-plugin
setfacl -x surfuser /usr/bin/wget
setfacl -x surfuser /usr/bin/whereis
setfacl -x surfuser /usr/bin/whois
setfacl -x surfuser /usr/bin/xauth
setfacl -x surfuser /usr/bin/xchat
setfacl -m u:surfuser:- /usr/libexec/* #check, if following exceptions are complete
setfacl -x surfuser /usr/libexec/accessx*
setfacl -x surfuser /usr/libexec/at-spi*
setfacl -x surfuser /usr/libexec/certmonger*
setfacl -x surfuser /usr/libexec/cheese*
setfacl -x surfuser /usr/libexec/clang*
setfacl -x surfuser /usr/libexec/clean*
setfacl -x surfuser /usr/libexec/dbus-daemon-launch*
setfacl -x surfuser /usr/libexec/docker*
setfacl -x surfuser /usr/libexec/fprintd*
setfacl -x surfuser /usr/libexec/gconf*
setfacl -x surfuser /usr/libexec/gedit-2*
setfacl -x surfuser /usr/libexec/ikiwiki*
setfacl -x surfuser /usr/libexec/kde4*
setfacl -x surfuser /usr/libexec/nm*
setfacl -x surfuser /usr/libexec/openldap* # maybe openssh too
setfacl -x surfuser /usr/libexec/pulse*
setfacl -x surfuser /usr/libexec/squid*
setfacl -m u:surfuser:- /usr/libexec/kde4/ksendbugm*
setfacl -m u:surfuser:- /usr/libexec/ktelnet*
setfacl -m u:surfuser:- /usr/libexec/test*
setfacl -m u:surfuser:- /usr/libexec/kdesu*
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/kdesud
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/krootimage
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/knetattach
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/lnusertemp*
setfacl -m u:adm:- /
setfacl -m u:uuid:- /etc/shadow
setfacl -m u:messagebus:- /etc/shadow
setfacl -m u:surfuser:r-x /usr/lib64/mozilla/plugins/*
setfacl -m u:surfuser:r-x /usr/lib64/netscape/plugins/*
setfacl -m u:surfuser:- /var/*
setfacl -x surfuser /var/lib
setfacl -x surfuser /var/tmp
setfacl -m u:surfuser:- /var/run/*
setfacl -x surfuser /var/run/tor
setfacl -m u:surfuser:- /var/lib/*
setfacl -x surfuser /var/lib/dbus*
setfacl -m u:surfuser:- /var/spool/*
setfacl -m u:surfuser:- /var/spool/cups # only for print-server
setfacl -m u:surfuser:- /home/surfuser/.gnupg
setfacl -m u:surfuser:- /home/user/.gnupg
setfacl -m u:surfuser:- /home/surfuser/.history
setfacl -m u:surfuser:- /home/surfuser/.*history
setfacl -m u:surfuser:- /home/surfuser/.local/share/systemd
setfacl -m u:surfuser:r-x /home/surfuser/.local/share/applications
setfacl -m u:surfuser:- /home/surfuser/.xinitrc
setfacl -m u:surfuser:- /home/surfuser/.xprofile
setfacl -m u:surfuser:- /home/surfuser/.config/autostart
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/autostart
setfacl -m u:surfuser:- /home/surfuser/.conifg/plasma-workspace
setfacl -m u:surfuser:- /home/surfuser/.conifg/plasma-workspace
setfacl -m u:surfuser:- /home/surfuser/.config/plasma-workspace*
setfacl -m u:surfuser:- /home/surfuser/.config/lxsession*
setfacl -m u:surfuser:-/home/surfuser/ /.fluxbox/startup
setfacl -m u:surfuser:-/home/surfuser/ /.config/openbox/autostart
setfacl -m u:surfuser:- /home/surfuser/config/openbox/.autostart
setfacl -m u:surfuser:- /home/surfuser/config/openbox/.environment*
setfacl -m u:surfuser:- /home/surfuser/.gnomerc
setfacl -m u:surfuser:- /home/surfuser/.xserverrc
setfacl -m u:surfuser:r-x /home/surfuser/.profile*
setfacl -m u:surfuser:r-x /home/surfuser/.antigen
setfacl -m u:surfuser:r-x /home/surfuser/.bash*
setfacl -m u:surfuser:r-x /home/surfuser/.zsh*
setfacl -m u:surfuser:r-x /home/surfuser/.zlogin*
setfacl -m u:surfuser:r-x /home/surfuser/..zprofile*
setfacl -m u:surfuser:r-x /home/surfuser/..tcsh*
setfacl -m u:surfuser:r-x /home/surfuser/.csh*
setfacl -m u:surfuser:r-x /home/surfuser/.profile
setfacl -m u:surfuser:r-x /home/surfuser/.caffrc
setfacl -m u:surfuser:r-x /home/surfuser/.dotfiles
setfacl -m u:surfuser:r-x /home/surfuser/.mailcap
setfacl -m u:surfuser:r-x /home/surfuser/.exrc
setfacl -m u:surfuser:r-x /home/surfuser/.vim*
setfacl -m u:surfuser:r-x /home/surfuser/.gvim*
setfacl -m u:surfuser:r-x /home/surfuser/.ssh*
setfacl -m u:surfuser:r-x /home/surfuser/.cert*
setfacl -m u:surfuser:r-x /home/surfuser/.gnome2-keyrings*
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/apps/kwallet
setfacl -m u:surfuser:- /home/surfuser/.kde/share/apps/kwallet
setfacl -m u:surfuser:- /home/surfuser/.local/share/kwallet*
setfacl -m u:surfuser:- /home/surfuser/.config/keybase*
setfacl -m u:surfuser:- /home/surfuser/.netrc*
setfacl -m u:surfuser:- /home/surfuser/.gnupg
setfacl -m u:surfuser:- /home/surfuser/.kde4
setfacl -m u:surfuser:- /home/surfuser/.kde4/share
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/apps
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/apps/kmail
setfacl -m u:surfuser:- /home/user/.kde4/share/apps/kmail
setfacl -m u:surfuser:- /home/user/.kde4/share/apps
setfacl -m u:surfuser:- /home/user/.kde4/share
setfacl -m u:surfuser:- /home/user/.kde4
setfacl -m u:surfuser:- /home/redis
setfacl -m u:redis:- /home/surfuser
setfacl -m u:root:- /home/surfuser
setfacl -m u:root:- /home/user
setfacl -m u:root:- /home/user/games/*
setfacl -m u:user:- /etc/security
setfacl -m u:surfuser:- /etc/security
setfacl -m u:adm:- /home/surfuser
setfacl -m u:adm:- /home/user
setfacl -m u:adm:- /mnt
setfacl -m u:adm:- /media
setfacl -m u:haldaemon:- /home/surfuser
setfacl -m u:messagebus:- /home/surfuser
setfacl -m u:postfix:- /media
setfacl -m u:postfix:- /mnt
setfacl -m u:postfix:- /tmp
setfacl -m u:haldaemon:- /tmp
setfacl -x surfuser /usr/java # tvbrowser
setfacl -m u:-1:- /tmp # -1: unbekannte Nutzer
setfacl -m u:-1:- /home/user
setfacl -m u:-1:- /home/surfuser
setfacl -m u:-1:- /media
setfacl -m u:-1:- /mnt
setfacl -m u:-1:- /
setfacl -m g:-1:- /
-------------------------------------------------------------------------------------------------------------------------------------------
Bis hierhin genügt vom Rundumschutz einer hochwirksamen Sandbox zu sprechen! ...and/or some single rules to think about, who have already taken into effect by above ones:
-------------------------------------------------------------------------------------------------------------------------------------------
setfacl -m u:surfuser:- /usr/bin/su*
setfacl -m u:surfuser:- /bin/su*
setfacl -m u:-1:- / # -1: alle unbekannten Nutzer
setfacl -m u:-1:- /usr/bin/knotify4 # -1: alle unbekannten Nutzer
setfacl -m u:-1:- /usr # -1: alle unbekannten Nutzer
setfacl -m u:surfuser:- /usr/bin/msyql*
setfacl -m u:surfuser:- /usr/bin/kmail
setfacl -m u:surfuser:- /usr/bin/akonadi*
setfacl -m u:surfuser:- /usr/bin/nepomuk*
setfacl -m u:surfuser:- /usr/bin/ls* # but command ls is needed by frostwire
setfacl -m u:surfuser:- /usr/bin/python* # python has to be enabled for Miro (miroplayer)
setfacl -m u:surfuser:- /usr/bin/perl*
setfacl -m u:surfuser:- /usr/bin/dolphin*
setfacl -m u:surfuser:- /usr/bin/ssh # enable, if you use SSH
setfacl -m u:surfuser:- /bin/rm # incredible, but this is really possibe!
setfacl -m u:user:- /bin/rm
setfacl -m u:surfuser:- /usr/bin/rm
setfacl -m u:user:- /usr/bin/rm # Beim Entpacken mit Archivierern wie file-roller angelegte temporäre Verzeichnisse werden dann nicht mehr gelöscht.
setfacl -m u:surfuser:- /bin/ls # but enable access for forstwire (rosa2014.1)
setfacl -m u:surfuser:- /bin/uname # or you might want to allow uname
setfacl -m u:surfuser:- /usr/bin/uname #
setfacl -m u:surfuser:- /bin/cat # or allow cat setfacl -m u:surfuser:- /bin/cd # Do you really think, this is possible? setfacl -m u:surfuser:- /usr/bin/cd #


Angaben mdv2010.0 (MCC, drakconf, Sektion: Systemsicherheit und Prüfung) über Ebene "3 - secure": "Dieses Profil ist auf maximale Sicherheit ausgerichtet, so dass es selbst den Remote-Zugang zum System limitiert. Diese Ebene ist für Server und auf Sicherheit bedachte Systeme gedacht.". Die zahlreichen einzelnen Sicherheitsfunktionen kann man direkt dem MCC entnehmen.

Verzeichnis- und Dateiattribute


OK Synopsis
chattr [ -RVf ] [ -v version ] [ -p project ] [ mode ] files...
Beschreibung
chattr verändert die Datei-Attribute eines Linux Dateisystems.
Formate eines symbolischen Modus sind +-=[aAcCdDeijsStTu].
Wichtigste Optionen:
i: Integrität: Die Datei bleibt unversehrt. Modifikationen sind nicht möglich.
-R: rekursiv: Verzeichnisse samt Inhalte
c: compress, Komprimierung
u: unlöschbar, undeleteable
Beispiel: chattr +iuS textdatei.txt
Auflisten: lsattr


OK Kernel-Sicherheitsmodule zur interaktiven Zugriffsrechtsregelung auf Prozesse (MAC, Mandatory Access Control) sind apparmor, tomoyo, selinux und smack. Häufig wird apparmor empfohlen. Um ein Sicherheitsmodul zu starten, bedarf es noch des Eintrags als Bootparameter in /boot/grub/menu.lst : security=apparmor und apparmor=1

AppArmor gives you network application security via mandatory access control for programs, protecting against the exploitation of software flaws and compromised systems.
Das AppArmor-Projekt
AppArmor ist in SUSE Linux enthalten und ist ein Sicherheitswerkzeug, entwickelt, um Sie mit einem einfach zu benutzenden, starken Sicherheitsrahmenwerk für ihre Anwendungen zu versorgen. AppArmor schützt das System und die Anwendungen aktiv vor externen und internen Bedrohungen, sogar vor Zero-Day-Attacken, indem es ein gutartiges Programmverhalten erzwingt und die Ausnutzung unbekannter Programmschlupflöcher verhindert. AppArmor Sicherheitsrichtlinien, auch "Profile" genannt, definieren komplett, auf welche Systemmittel eine Anwendung zugreifen darf und welche Rechte sie dabei besitzt. Einige Standardprofile sind schon in AppArmor enthalten und benutzen eine Kombination aus fortgeschrittenen statischen Analysen und lernbasierten Werkzeugen. AppArmor-Profile können gerade für sehr komplexe Anwendungen innerhalb weniger Stunden erfolgreich erstellt werden.
https://de.opensuse.org/AppArmor

Ein Linux Sicherheitsmodul (MAC) zur Definition von Zugriffsrechten für die Prozess-Interaktion: AppArmor
Einleitung

AppArmor ist ein Modul des Linux Security Modules (LSM) Sicherheitsrahmenwerks, das für einzelne Anwendungen über das AppArmor Kernelmodul, AppArmor Anwendungrichtlinien (Anwendungsprofile) und das securityfs-Dateisystem Zugriffsrechte auf Dateien und Verzeichnisse, Netzwerk Berechtigungen und Rechte für root-Privilegien ("capabilities") mit Regeln beschränkt bzw. reguliert. AppArmor zählt zu den Mandatory Access Control (MAC) Sicherheitssystemen zur Kontrolle von Zugriffsrechten, wobei zuerst die Kontrolle der Benutzer- und Zugriffsrechte des Linux Discretionary Access Control (DAC) Sicherheitssystems angewendet wird, bevor die AppArmor Berechtigungsregulierung greift.
AppArmor dient primär der Absicherung von Prozessen mit Netzwerkzugriff und den von ihnen aufgerufenen Prozessen. Es können aber genauso gut andere Anwendungen reguliert werden, die lokal in ihren Berechtigungen beschränkt werden sollen.
Ausführliche Anleitung und weitere Einzelheiten: https://wiki.kairaven.de/open/os/linux/apparmor
Firefox-AppArmor-Profil: https://wiki.kairaven.de/open/os/linux/apparmor_firefox
I2P im chroot mit AppArmor: https://wiki.kairaven.de/open/anon/chrooti2p

OK
kernel (hd0,1)/vmlinuz-4.9.49 BOOT_IMAGE=4.9.49 root=UUID=... rootfstype=reiserfs elevator=deadline security=none speedboot=yes apparmor=0 selinux=0 nosmp rsbac_softmode rsbac_um_no_excl kernel.yama.ptrace_scope=3 KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.multipath=0 rd.dm=0 rd.lvm=0 rd.md=0 rd.luks.allow-discards rd.luks.uuid=... desktop=kde tz=Europe/Berlin vga=795


OKkernel.yama.ptrace_scope=3
# 0 - Default attach security permissions.
# 1 - Restricted attach. Only child processes plus normal permissions.
# 2 - Admin-only attach. Only executables with CAP_SYS_PTRACE.
3 - No attach. No process may call ptrace at all. Irrevocable.

echo "kernel.yama.ptrace_scope=3" > /etc/sysctl.d/10-ptrace.conf

Boot-Paramter-Liste von kernel-desktop-2.6.39:
http://redsymbol.net/linux-kernel-boot-parameters/2.6.39/


Nichtsdestotrotz lief unser Computersystem am besten (mausklick-schnell, Sicherheit usw.) unter apparmor. Beachte, dass wird mit den aufgeführten Kernel-Optionen "rsbac_softmode" und "rsbac_um_no_excl" zusätzlich den rsbac-Kernel (mdv2012, kernel-rsbac-desktop-3.1.1-1) verwenden.

Im Unterschied zu an Verzeichnis- und Datei-Zugriffsrechten ansetzenden ACL restriktriert MAC unter msec von mdv2010 (bzw. el6, rosa2014.1) (obendrein) die Prozess-Interaktion, d.h. den (unerwünschten) Zugriff eines Prozesses auf einen anderen:

MAC Tomoyo-Linux, Zugriffsrechte für die Prozess-Interaktion, Teil von msecgui / msec:


OK "TOMOYO Linux ist ein Mandatory-Access-Control-System für Linux. Hierbei handelt es sich nicht, wie der Name vermuten ließe, um eine Linux-Distribution, sondern um eine Betriebssystemerweiterung. TOMOYO Linux wird seit 2003 entwickelt und wird von NTT Data gesponsert mit Toshiharu Harada als Projektmanager.
TOMOYO steht für Task Oriented Management Obviates Your Onus on Linux ("aufgabenorientierte Verwaltung reduziert Bürden auf Linux").
TOMOYO verwendet, wie SELinux, die LSM-Schnittstelle. Sie läuft als Kernelmodul und steuert direkt die Zugriffsrechte der einzelnen Prozesse auf höchster Systemebene. Durch diesen Präventivschutz sollen Anwendungen vor noch unbekannten Sicherheitslöchern, sogenannten Zero-Day-Exploits, geschützt werden. Welchen Zugriff ein Programm benötigt, um normal zu arbeiten, bestimmen Profile mit individuellen Sicherheitsrichtlinien. Für standardmäßig verwendete Software auf einem GNU/Linux-System werden vorgefertigte Profile mitgeliefert. Anwender und Systemadministratoren können auch eigene Profile für Anwendungen erstellen. Eine weitere Möglichkeit ist der Einsatz von lernfähigen Filtern, während sich ein Programm im Normalbetrieb befindet", Quelle: https://de.wikipedia.org/wiki/TOMOYO_Linux;
Aktivierung: /boot/grub/menu.lst: Option security=none auf security=tomoyo setzen, Verwaltung und Import der Profile aus /etc/tomoyo: msec-gui/msec (rosa2014.1, mdv2010.2), Klick auf Import oder manuell.

Mobil-System iOS, Tagesschau, 28.04.2014
Apple schließt Sicherheitslücke
Der US-Elektronikkonzern Apple hat mit einem Software-Update eine Sicherheitslücke in dem Betriebssystem seiner iPhones und iPads geschlossen. Der Fehler erlaubte es Angreifern unter Umständen, Daten abzufangen, die mit dem sicheren SSL-Protokoll übermittelt werden. Die Lücke wird mit der am Wochenende bereitgestellten neuen System-Version iOS 7.0.6 gestopft. Die meisten Geräte werden automatisch aktualisiert. Sicherheitsexperten wiesen allerdings darauf hin, dass die Software OS X, mit der Apples Mac-Computer laufen, eine ähnliche Schwachstelle aufweise. Der Konzern kündigte an, "sehr bald" ein Update für diese Geräte bereitzustellen. Es gab keine Angaben darüber, ob die Lücke ausgenutzt wurde. Die gesicherte Kommunikation über SSL stand laut Unterlagen des Informanten Edward Snowden auch im Visier des US-Geheimdienst NSA. Gestern hatte Apple vor einem möglichen Datenklau aufgrund der Sicherheitslücke gewarnt. Falls ein Angreifer Zugriff auf das gleiche Netzwerk wie der Nutzer hätten - beispielsweise durch die Nutzung einer ungeschützten WLAN-Verbindung in einem Restaurant - könnte er Zugriff auf E-Mails und andere Kommunikationsvorgänge erhalten, die eigentlich verschlüsselt sein sollten, warnte der Konzern.

Auch die folgenden Probleme haben sich mit UNIX/Linux-Systemen wie mdv2010-final nach den Maßnahmen unseres Exkurses erübrigt:

Zu den (typischen) Problemen anderer Betriebssysteme und erforderlichen Einzelmaßnahmen nach Quelle Focus 01/2015 zählen:
Überflüssige Neustarts, langsames Internet und unerwartete Abstürze: Ein Computer kann ein echtes Folterwerkzeug sein. Dabei lassen sich die meisten Fehler, nervtötende Macken und Probleme mit einfachen Methoden beheben. FOCUS Online zeigt, wie es geht.
Wenn der PC zickt, kann das viele Ursachen haben. Wir zeigen Ihnen die häufigsten Fehler und störenden Einstellungen und erklären, wie Sie sie beheben.
1) Der PC ist zu langsam (mdv2010: stets mausklick-schnell bzw. leichtläufig)

Der Computer startet in Zeitlupe und Programme reagieren schneckenträge: Je länger ein PC im Einsatz ist, desto langsamer wird er. Das kann viele Gründe haben. Um Ihren Computer wieder flott zu kriegen, sollten Sie deshalb die größten Temposünder ermitteln.

OK Unnötige Daten entfernen (mdv2010: keine Anlage unnötiger Daten erkenntlich; man installiere so viel Anwendungen wie man will, am besten so gut wie alle auf einmal; das temporäre Verzeichnis /tmp wird mit dem Hochfahren von selbst entleert)

OK Zunächst sollten Sie überprüfen, ob Ihre Festplatte zu voll ist. Denn viele Anwendungen legen bei der Arbeit temporäre Daten an, ohne sie anschließend zu löschen. Auch bei der Deinstallation von Programmen bleiben häufig Informationen in der Registry zurück, die der Nutzer nicht bemerkt. Zur Grundreinigung Ihres Computers können Sie ein Optimierungsprogramm nutzen, beispielsweise den kostenlosen CCleaner.

OK Nicht verwendete Programme deinstallieren (mdv2010: außer packagekit keinerlei Deinstallation erforderlich, anschl. PackageKit von el6 installieren).

OK Grafikprogramme, Spiele und Zusatzsoftware: Im Laufe der Zeit sammelt sich auf jedem Computer eine ansehnliche Sammlung verschiedener Programme an. Wird eines davon nicht mehr verwendet, sollten Sie es löschen, um mehr Speicherplatz zu haben. Die Liste aller Programme finden Sie über das Startmenü in der Systemsteuerung unter der Rubrik "Programme und Funktionen". Hier können Sie alle Programme per Rechtsklick deinstallieren.

OK Programme aus dem Autostart entfernen (mdv2010: keine oder nur geringe Auswirkungen autogestarteter Dienste und Programme)

Beim Autostart werden häufig Anwendungen aufgerufen, die nicht benötigt werden. Um diese Tempobremsen zu entfernen, müssen Sie in die Suche lediglich "msconfig" eingeben. Anschließend rufen Sie mit einem Doppelklick die Datei msconfig.exe auf und wechseln in den Systemstart. Dort können Sie alle unnötigen Anwendungen aus dem Autostart löschen, indem Sie das Häkchen vor der Anwendung entfernen.

2) Träge Downloads (mdv2010 mit Konqueror: hier unbekanntes Phänomen)

Die Internetverbindungen werden schneller, doch die Ladebalken sind bisweilen schneckenträge. Mit einigen einfachen Tricks können Sie Ihren Downloads Beine machen.

OK Parallel laufende Updates unterbrechen

Wenn Downloads für Sie eine Geduldsprobe sind, sollten Sie zunächst prüfen, ob Sie neben dem aktuellen Download noch andere Programme aktiv sind, die im Hintergrund Daten hochladen. In diesem Fall wird die verfügbare Bandbreite nämlich zwischen dem Download und dem Update aufgeteilt. Möglich ist das beispielsweise bei Programmen wie Steam oder Windows. Um den Vorgang ein paar Bits schneller zu machen, sollten Sie während eines Downloads laufende Updates vorübergehend pausieren.

OK Router neu positionieren

Ein falsch aufgestellter Router kann dafür sorgen, dass das WLAN zu langsam ist. Vor allem große metallische Gegenstände oder Wasserrohre können das Funksignal beeinträchtigen. Im Idealfall sollten Sie den Router frei auf einem Möbelstück, beispielsweise einem kleinen Tisch oder Schrank aufstellen.

Genügt Ihnen die WLAN-Geschwindigkeit beim Download trotzdem noch nicht, gewinnen Sie in der Regel einen ordentlichen Temposchub, indem Sie eine LAN-Verbindung nutzen.

Tempotest

Schleicht ihr Download trotzdem dahin, können Sie Ihre Internetgeschwindigkeit testen. Eine Möglichkeit dafür ist beispielsweise Speedmeter.de. Liegt die Geschwindigkeit mehr als 50 Prozent unter dem von Ihnen gebuchten Telefontarif sollten Sie Ihren Anbieter kontaktieren.

Ein instabiles WLAN und plötzlich verschwundene Dokumente lassen viele Nutzer hilflos zurück. Ein Gang zum Fachmann ist aber oft überflüssig. Denn auch hier gibt es Tipps und Tricks, mit denen Sie die Probleme einfach selbst lösen können.

3) WLAN verliert die Verbindung (mdv2010: uns unbekanntes Phänomen)

Die Lieblingsserie bricht an der spannendsten Stelle ab und der Facebook-Chat wird vorzeitig beendet. Eine stabile WLAN-Verbindung aufzubauen, kann eine Herausforderung sein. Wenn der Empfang gut ist, aber die Verbindung trotzdem wiederholt abbricht, sollten Sie überprüfen, ob der Treiber ihrer Netzwerkkarte auf dem aktuellen Stand ist - und ihn gegebenenfalls aktualisieren.

In manchen Fällen kennt auch Ihr Computer die Ursache für den Verbindungsfehler und kann ihn selbstständig beheben. Dazu müssen Sie einen Rechtsklick auf das WLAN-Symbol ausführen und die Fehlerbehebung auswählen.

Deshalb versagt Ihr WLAN in bestimmten Räumen:

4) Downloads verschwinden (mdv2010: unbekanntes Phämen; kein Bedarf an Virenscannern)

Nutzer, die sich das neueste Virenschutzprogramm oder ein spannendes PDF aus dem Netz herunterladen, staunen manchmal nicht schlecht. Denn während Sie den Download während des Ladevorgangs beobachten können, ist das fertige Dokument plötzlich verschwunden. In der Regel werden finden Sie diese Dateien in der Benutzerkontensteuerung im Ordner "Downloads".

Liegt sie dort nicht, können Sie über die Suche den Speicherort herausfinden. Dazu müssen Sie lediglich in das Suchfenster des Startmenüs den Namen der verschwundenen Datei eingeben. Klicken Sie sie mit der rechten Maustaste an und lassen öffnen Sie den Dateipfad.

5) Der PC startet automatisch neu (nach mdv2010 noch schöner!)

Generell gilt: Wenn der Computer einen Neustart durchführen will, sollte man ihn lassen. Denn in der Regel schließt er damit die Installation wichtiger Updates oder neuer Programme ab.

Neustart verhindern (mdv2010: keine Neustarts erforderlich)

OK Wer aber in Ruhe arbeiten möchte und beispielsweise während einer Präsentation keinen automatischen Neustart haben möchte, kann ihn einfach deaktivieren. Windows-7-User müssen dazu im Startmenü einen Rechtsklick auf "Computer" ausführen. Dort finden Sie unter "Eigenschaften", den Punkt "Erweiterte Systemeinstellungen". Hier können Sie in den "Starten und Wiederherstellen Einstellungen" den Haken bei "Automatisch Neustart durchführen" entfernen.

OK Automatische Updates abstellen (mdv2010, MCC: über Software-Aktualisierung nicht erforderlich)

Automatische Windows Updates können Sie über das Startmenü in den "Systemeinstellungen" unter "System und Sicherheit" abstellen. Da über die automatischen Windows-Updates aber regelmäßig Sicherheitslücken geschlossen werden, sollten Sie diese Einstellungen aus Sicherheitsgründen nicht dauerhaft nutzen.

OK Computer reinigen (mdv 2010: i.a. ist keine Wartung erforderlich, Datenblatt: Hardware verbraucht nur wenig Strom und hält ewig)

Führt der Computer ständig grundlos Neustarts durch, kann ein Defekt der Hardware vorliegen. Oft reicht es, das Gerät gründlich zu reinigen. Denn Staub im Lüfter oder anderen kritischen Stellen kann zu einer Überhitzung des Geräts führen. In diesem Fall führen viele Computer aus Sicherheitsgründen automatische Neustarts durch. Hilft die Säuberung des Geräts nicht, empfiehlt sich der Gang zum Experten.

OK Tipps und Tricks
Diese 10 Dinge sind auf Windows Server 2012 R2 verboten, PCwelt.de, 11.09.2015
http://www.pcwelt.de/ratgeber/Diese-10-Dinge-sind-auf-Windows-Server-2012-R2-verboten-Tipps-und-Tricks-9800243.html

Wenn der Rechner nicht tut, was er soll, ist die Hilflosigkeit beim Nutzer meist groß. Doch nicht immer müssen Sie Rat beim Experten suchen. In vielen Fällen kann schon ein kleiner Trick, etwa der Neustart des Computers, kleinere Fehler beheben.


Die entscheidende Idee: "PC-Kühlbox" durch Airodynamik


stammt eigentlich gar nicht mal von uns. Sie beruht nun darauf, von Anfang an alles richtig zu machen. Hier geht es nicht gleich um Software, sondern um die beispielsweise unter Datenblatt noch einmal im Einzelnen OKbeschriebene, energiesparende und das stabile Netzteil zusätzlich entlastende Hardware. Gleich beim Gehä,use sei angefangen. Um für optimale Luftzirkulation zu sorgen, es also regelrecht in eine um die konsant 2 bis 10 °ree;C warme Luft abkühlende Kühlbox zu verwandeln, bedarf es eines, besser zweier Gehäusekühler: einen für den Zufluss der Luft vorne am Gehäuse unten und bestenfalls eines weiteren für den Abfluss der Luft an der Rückseite des Gehäuses weiter oben, während luftdruchlässige Teile des Gehäuses zum Beispiel mit Plastikfolie und Klebeband abgedichtet werden. Die nicht nur die kalte Luft, sondern auch die Metallwände des Gehäuses haben nämlich die Eingenschaft, die Kühlung zu verstärken. Wer will, kann noch eine halbzylinderförmige Leitschiene lägs des Gehäuses zwischen den Kühlern über dem Mainboard führen, jedenfalls nach einem Vorschlag vom Serversystem auf fr2.rpmfind.net. Die Bildschirm-Aufl&ösung und Bildwiederholungsrate stelle man auf "automatisch feststellen" innerhalb eines möglichst großen Bereiches von 59 bis 95 Hz oder höher. Nun kann der (onboard bzw. externe) Grafikchip Augen schonend zeigen, was er insbesonders bei OpenGL und SDL-basierten Computerspielen auch bei extremer Belastung "drauf hat", und auch die Innenteile halten nun länger, wenn nicht ewiglich.

Mandriva Linux 2010 und Rettungsstysem von Partition (oder USB-Stift/DVD): Die ruhige Kugel


OKBenötigt wird vor allem:




Linux Tipps & Tricks - mdv2010 (el6): SSD schonend und mausklick schnell (leichtläufig) (Fortsetzung)
Die Lesegeschwindigkeit typischer DVD-Laufwerke liegt zwischen vier und zehn MB pro Sekunde. Sticks oder Festplatten am USB-2.0-Port liefern Daten mit etwa 35 MB/s, bei USB 3.0 sind bis zu 450 MB/s erreichbar. Zum Vergleich: Eine durchschnittliche Festplatte bietet etwa 130 MB/s. Für die praktisch erreichbare Geschwindigkeit ist auch die Zugriffszeit entscheidend. Der Flash-Speicher in USB-Sticks oder SSDs erlaubt eine direkte Adressierung der Speicherzellen, was Zugriffszeiten von etwa 0,3 Millisekunden ermöglicht. Bei Festplatten sind es meist um die neun Millisekunden.
Unter Linux lässt sich die Lesegeschwindigkeit in MB/s auf der Kommandozeile über folgenden Befehl ermitteln: "hdparm -t /dev/sda"
"Timing cached reads" ohne Zugriff auf die eigentlichen Datenträger: Diese Werte spiegeln die Leistungsfähigkeit des Systems wieder. Diese Messung ist ein Indiz dafür, wie schnell das Laufwerk sequentielle Daten, ohne jeglichen Dateisystem Overhead, liest: "hdparm -tT /dev/sda"
Ein weiterer Test nutzt ebenfalls die beiden Optionen -t und -T, setzt dazu aber noch die Option --direct ("Use O_DIRECT to bypass page cache for timings"), was zum direkten Lesen unter Umgehung des Page Caches führt. In der Regel nutzt man diesen Test, da dieser nur den Datenfluss misst, den die SSD erreicht, um bestimmte Daten in zwei respektive drei Sekunden zu lesen. Der Befehl lautet "hdparm -tT --direct /dev/sda"
Ob der Kernel die SSD als solche bereits erkennt, kann man sehr einfach in einem Terminal überprüfen. Dazu gibt man den folgenden Befehl ein: cat /sys/block/sda/queue/rotational
Der Wert 0 bzw. null steht für Kernel erkennt SSD. Wert ungleich null: HIer empfiehlt sich das Vorgehen von https://wiki.ubuntuusers.de/SSD/Scheduler/ .
Demnach kann der IO-Scheduler ausgewählt werden: noops, deadline oder CFQ. cat /sys/block/sda/queue/scheduler zeigt in eckigen Klammern den gerade aktiven. Im allgemeinen. bzw. nach obigen Geschwindigkeitstests wähle man insbesonders deadline, auf gleiche Art ferner noops, indem in Grub (analog grub2) in /boot/grub/menu.lst die Option elevator=deadline hinter den Kernel-Optionen kernel=... und ro bzw. rw eingetragen wird.
Erscheint als Ausgabe eine Null bzw. 0, so erkennt der Kernel die SSD bereits als SSD. Andernfalls können die nachfolgenden Änderungen helfen. Die Firmware-Version und TRIM-Support (dicard) verrät der Befehl: "hdparm -iv /dev/sda" bzw. bei Verschlüsselung mit LUKS hdparm -i /dev/mapper/Containerdatei

OK SSDs unter Linux verwenden: http://www.pcwelt.de/ratgeber/Linux-Special-SSDs-unter-Linux-6593528.html. Wir empfehlen die vollständige Installation von Linux auf SSD. Wichtig erscheint uns neben der Aktivierung des BIOS-Modus AHCI und mit "hdparm -I /dev/sda | grep -i TRIM" zu ergründenden Fähigkeit der SSD zum trim (option discard) das Setzen der Option noatime,nodiratime,data=writeback, evtl. einschl. discard für den Eintrag zur Root-, Home- und Temporären Partition in /etc/fstab für Dateisysteme (des Kernels 4.20 mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (pclos)) wie ext3, ext4, reiserfs, reiser4fs, btrfs und die Installation von hdparm mit sdparm von el7. commit steht dabei für die Zeit zum Auslesen aus dem Cache und Schreiben auf die SSD. Sie sollte nicht über 600 Sekunden liegen. discard und data=writeback eignen sich auch für die SWAP-Partition. In /etc/crypttab setze man einer Anleitung von Debian nach außerdem die Option "allow-discards" für dm-crypt (gesagt, getan) und /etc/lvm/lvm.conf die Option "allow-discard" für LVM (LVM haben wir ja nicht), bei Btrfs-Dateisystemen zusätzlich die mount-Option "ssd" in /etc/fstab.

Imfalle des meist Performance verbessernden TRIM-Supports der SSD ( Abfrage siehe oben mit hdparm ) sollte man discard nicht nur wie angegeben als Option in fstab und allow-discards nicht nur in crypttab setzen sondern für ext4-Partitionen auch dauerhaft mittels tune2fs:

tune2fs -o discard /dev/Gerätedatei bzw. (bei LUKS) tune2fs /dev/mapper/Containerdatei


OK Damit erhöht sich die Wahrscheinlichkeit, dass der SSD-Trim per "discard" auch wirklich beim Booten aktiviert ist und bleibt.

OK Universal-Linux SCHUSSFEST: Die root- und home-Partition kann man unter gewissen Bedingungen in /etc/fstab und /boot/grub/menu.lst (anloag grub2) außerdem von UNIX/Linux ro (read-only) mounten lassen, danach aber bis zur erneuten Setzung von "rw" in /etc/fstab nichts mehr installieren, nichts mehr in /etc konfigurieren und nichts mehr updaten, Einzelheiten und Bedingungen nach https://wiki.debian.org/ReadonlyRoot (wie immer ohne Gewähr, Anm., Gooken). Diese Sicherheits-Maßnahme ist sicherlich bereichernd, wenn auch ein wenig mit "paranoid" zu werten:

"Read-only rootfs: Theory and Practice - Chris Simmonds, 2net
Configuring the rootfs to be read-only makes embedded systems more robust and reduces the wear on flash storage. In addition, by removing all state from the rootfs it becomes easier to implement system image updates and factory reset.
In this presentation, I show how to identify components that need to store some state, and to split it into volatile state that is needed only until the device shuts down and non-volatile state that is required permanently. I give examples and show various techniques of mapping writes onto volatile or non-volatile storage. To show how this works in practice, I use a standard Yocto Project build and show what changes you have to make to achieve a real-world embedded system with read-only rootfs. In the last section I consider the implications for software image update. Expect a live demonstration"

https://www.youtube.com/watch?v=Nocs3etLs9

https://wiki.debian.org/ReadonlyRoot :
Preconditions Root-Partition read-only (ro)
The FHS allows mounting all underneath /bin, /lib, /sbin and /usr read-only. But you can extend this much more by using different filesystems for some trees and take care for special files.
Locations that must be writable are /etc, /home, /srv, /tmp, /var. The hierarchies below /dev, /proc, /selinux and /sys are already handled by special filesystems.
For /tmp you can use a tmpfs filesystem or its own filesystem. For /var it´s prefered to use its own filesystem. An example can look like this:
Device file Filesystem Mount point RO/RW
/dev/sda1 ext2 / ro
/dev/sda2 ext3
/var rw

tmpfs /tmp rw
/var/local/home bind mount /home rw
/var/local/srv bind mount /srv rw
You can use a filesystem without a journal for /, because you don´t write there and you don´t need the journal. This can be an ext4, too, hence you can take advantage of the improvements of ext4. Create the filesystem with mke2fs -t ext4 -O ^has_journal /dev/sda1 or remove the journal with tune2fs -O ^has_journal /dev/sda1.
Special files in /etc
You have to take care for some files in /etc. These are
adjtime
because it´s modified on boot up; see bug 156489
Solution for mdv and el6,el7: Change the hwclock-command in /etc/init.d/reboot and /etc/init.d/halt from "hwclock --systohc" to "hwclock --systohc --adjfile=/var/local/adjtime".
Solution for Debian Wheezy:
Create a symlink from /etc/adjtime to /var/local/adjtime and
(1) add the option --noadjfile to HWCLOCKPARS in /etc/init.d/hwclockfirst.sh and /etc/init.d/hwclock.sh
or
(2) fix /etc/init.d/hwclockfirst.sh by replacing -f by -L in "if [ -w /etc ] && [ ! -f /etc/adjtime ] && [ ! -e /etc/adjtime ]; then"; see 520606.
alsa: init.d/alsa-utils
All versions before alsa-utils/1.0.27.2-1 (@2013-10-25 concerns wheezy version) of alsa-utils package startup script creates /.pulse files, leading to multiple error messages "Failed to create secure directory" when pulseaudio is installed.
Relevant bug: 712980
blkid.tab
because it´s modified at runtime by libblkid1
Solution:You can´t create a symlink from /etc/blkid.tab to /var/local/blkid.tab because, unfortunately, libblkid1 will not honor this symlink. It will replace it on every write by a file, if the filesystem is mounted for writing (e.g. while doing an apt-get install). To work around this you must set the environment variable BLKID_FILE to /var/local/blkid.tab. You should do this in /etc/environment to set the variable for everybody, who might do mounting.
courier imap
Courier IMAP uses a text file (/etc/courier/shared/index) for fast user lookups, if running as a mail server for virtual mailboxes (the default configuration of authenticating against pam is unaffected by this).
If using virtual mailboxes with shared accounts the file will need to be moved elsewhere, the directory /var/cache/courier/shared/ would be suitable but will need to be manually created.
Once that is done update /etc/courier/imapd and change IMAP_SHAREDINDEXFILE to IMAP_SHAREDINDEXFILE=/etc/courier/shared/index .
See http://www.courier-mta.org/imap/README.sharedfolders.html for information upstream provide about this setting.
cups
CUPS stores any kind of state files under /etc (classes.conf, cupsd.conf, printers.conf subscriptions.conf) and upstream is against any modification.
Relevant bug: 549673
lvm
Lvm stores a backup of current and archives of previous metadata in /etc/lvm/{backup,archive}. That causes any operation altering the metadata (vgreduce, vgextend, lvcreate, lvremove, lvresize, ...) to fail if / is not remounted read-write during the operation.
Solution: The location of the backup and archives is specified in /etc/lvm/lvm.conf. Set backup_dir = "/var/backups/lvm/backup" and archive_dir = "/var/backups/lvm/archive", create /var/backups/lvm and move /etc/lvm/backup and /etc/lvm/archive there.
Note: Lvm normally creates a backup during boot. This no longer happens as it is smart enough to see that /var is not yet mounted (or still read-only). But unless you use cluster lvm you will always already have a current backup from the last time you changed the metadata. So no harm done.
Relevant bugs: 372207 562234 (for etckeeper behavior WRT LVM files see 462355)
mtab used by mount
Solution: Create a symlink from /etc/mtab to /proc/self/mounts
mount.cifs (before smbfs 2:3.4.3-1) doesn´t honour this symlink and replace it with a real file; see 408394
mtab is in /etc for historical reasons as per FHS 2.3.
network/run
Used by ifupdown up to Squeeze
Solution: ifupdown links /etc/network/run to /run/network in postinst if /etc/network/run is not a directory.
rm -rf /etc/network/run
dpkg-reconfigure ifupdown
Alternatively: Create a symlink from /etc/network/run to /lib/init/rw/etc-network-run (network/run is accessed by ifupdown init scripts before /var might be mounted, therefore, the abuse of /lib/init/rw)
Systems running Wheezy will be automatically moved to using /run/network no matter what their existing configuration was.
Relevant bug: 389996
nologin
modified on boot up by the initscripts bootmisc.sh and rmnologin
This should already be a symlink to /var/lib/initscripts/nologin
In wheezy the init scripts directly modify /var/lib/initscripts/nologin
resolv.conf
If you have only a static nameserver configuration, then there´s no problem. Otherwise you should use the package resolvconf.
passwd, shadow
These files might be modified by the user with the tools chfn, chsh and passwd. If you are the only user of you system, you can remount the filesystem read/write, before using these tools. Otherwise you might think about using NIS or LDAP.
samba/dhcp.conf
If the dhcp3-client (AKA isc-dhcp-client) package is installed, every time a DHCP connection is established, /etc/dhcp3/dhclient-enter-hooks.d/samba creates /etc/samba/dhcp.conf, no matter if it is used or not in /etc/samba/smb.conf.
Relevant bug: 629406
suck
suck puts files in /etc/suck which are modified by suck at runtime; see 206631 To work around this problem, you have to move /etc/suck/sucknewsrc* to a new directory /var/local/suck, create a symlink /etc/suck/suckkillfile to /var/local/suck/suckkillfile and set etcdir in get-news.conf to /var/local/suck (this sets the -dd option of suck)
udev
If the udev rules 75-cd-aliases-generator.rules and 75-persistent-net-generator.rules are enabled, udev will try to update the files 70-persistent-cd.rules and 70-persistent-net.rules in /etc/udev/rules.d/ if needed. It is recommended to create the files once with all the rules needed and then disable the /etc/init.d/udev-mtab init script. While the root is readonly, new rules are added to /dev/.udev/rules.d/.

Copy /var/lock or /var/lock/* to the mini-partition for /var. Do this also for /tmp or set kernel-partition /tmp to read-write. Copy /var/log/* to it too and link it to /tmp: "ln -sf /tmp /var/log/*".

Link the konqueror-browser-cache to /tmp: This means linking some cache-files of /home/user/.kde4 resp. /home/surfuser/.kde4 with the temporary /tmp one.

Enable readonly root
To make your root filesystem is mounted readonly you must edit your /etc/fstab and set the mount option ro.
# /etc/fstab: static file system information.
#
# file system mount point fs-type options dump pass
/dev/hda1 / ext2 defaults,noatime,ro,errors=remount-ro 0 0
/dev/hda4 /var ext3 defaults 0 2
The option noatime is useful while the disk is mounted read/write while updates.
https://wiki.debian.org/ReadonlyRoot, http://xpt.sourceforge.net/techdocs/nix/sysmng/sm08-ReadOnlyRootFileSystem/, http://www.linuxfromscratch.org/hints/downloads/files/readonly_rootfs.txt und http://www.logicsupply.com/explore/io-hub/how-to-build-a-read-only-linux-system/.,
ext4 partition READ ONLY mounten - forum.ubuntuusers.de
forum.ubuntuusers.de/topic/ext4-partition-read-only-mounten

Nächster Schritt: Deaktivieren des Journallings (reiserfs: Option nolog) und
der Dateisystem-Checks beim Booten (fsck, reiserfck, e2fck,...) mit tune2fs (ext4) bzw. reiserfstune bzw. fs-check-Paramter fü,r root-Partition auf 0 in /etc/fstab..

Nun ist in /etc/rc.sysinit noch eine kleine Korrektur vorzunehmen:
"if remount_needed ; then
action "Remounting root filesystem in read-write mode: " mount -n -o remount,rw /
fi"
nach
"if remount_needed ; then
action "Remounting root filesystem in read-write mode: " mount -n -o remount /
fi"
siehe https://bbs.archlinux.org/viewtopic.php?id=135943

Schließlich sollte für grub (entsprechend grub2) noch die Kernel-Option "ro" in /boot/grub/menu.lst in etwa nach der Stelle "root=UUID..." nachgetragen werden.

Nach dem möglichst vollständigen Updaten empfiehlt sich also au&slig;erdem noch das Deaktiveren des für Wiederherstellung den letzten fehlerfreien Zustand einer Partition in Logs abspeichernden Journallings wie bei reiserfs mittels Option "nolog":


Never mind or nevertheless: Möglicherweise funktioniert das Setzen von "read-only" für die Wurzel- bzw. Root-Partition nach den eben vorgestellten Schritten immer noch nicht. Folgender Artikel hilft dann mit Sicherheit weiter:
"DESCRIPTION: A read-only root file system has many advantages over read-write when the computer unexpectedly powers off. However, some parts of the file system still need read-write access. This hint will show how to split the file system into multiple partitions to achieve data stability."
http://xpt.sourceforge.net/techdocs/nix/sysmng/sm08-ReadOnlyRootFileSystem/single/

Read Only RootFS Partition
Lukas Schauer, Mar 3, 2014 · 2 revisions
Home
Hardware
Installationsanleitung
Read Only RootFS Partition
https://github.com/lukas2511/FlederSchranke.wiki.git
"Da ich nicht wollte, dass mir irgendetwas meine RootFS-Partition mit Logs o.Ä. vollschreibt, habe ich diese Read-Only gemountet.
Um trotzdem noch Logs für die Lichtschranke und die Wetterdaten zu schreiben habe ich eine MicroSD-Karte verbaut und /etc/fstab folgendermaßen angepasst:"

https://github.com/lukas2511/FlederSchranke/wiki/Read-Only-RootFS-Partition

Das Sicherheitsniveau von Software ist nicht nur von Stabilität gekennzeichnet, sondern auch von der Fehlerfreiheit und Freiheit von Warnungen während des Eincompilierens ihrer Quellen. Der Compiler gibt dabei Fehler und Warnungen aus.
Kernel-2.6.32 (el6) weist dabei noch so einige Fehler auf, viele beruhen auf kmem.h, während sich auf dem von uns vorgestellten System kernel-4.14 (PCLinuxOS) fehlerfrei und weitgehend frei von Warnungen eincompilieren ließ! Nur der dirty-cow-patch in mm.h und memory.c (aus dem Internet) sollte bei kernel-2.6.39.4-5.1 (mdv2011) noch durchgeführt werden. Aktuelle Patches von Jahr 2012 bis 2016 für 2.6.39 sind von siehe unter Updates erhältlich.

Neuer Kernel: konfigurieren und installieren


OKDownloade und installiere alle für den Kernel erforderlichen Pakete. Welche das sind, erfährt man über "rpm -qi --requires kernelpaketname". Downloade und entpacke das Kernel-Quellpaket nach /usr/src mit "tar -xvjf kernel-source-package" oder file-roller. Ein neues Verzeichnis namens "linux-kernelversion-xxx" oder "kernel-source-xxx" wird in /usr/src erzeugt.
Linke dieses Verzeichnis mit einer Link-Datei namens linux: "ln -sf linux-xxx linux" resp. "ln -sf kernel-source-xxx linux".
Wechsele in das Verzeichnis linux resp. linux-xxx resp. kernel-source-xxxx und rufe "menu oldconfig" auf, die eine Datei namens .config zur Konfiguraiton des Kernels erzeugt.
Gebe "menu xconfig" oder "menu gconfig" oder "make menuconfig" ein und konfiguriere die Kernel-Eigenschaften und -treiber, die benötigt werden (CC), im Zweifelsfall zumindest wahlweise als Modul (CC MM) und wähle dabei diejenigen ab, auf die verzichtet werden soll.
Setze außerdem die Kernel-Version am Anfang des makefile.

OK Ein Menü erscheint nach dem Aufruf. Für FSE (Full System Encryption) mit dracut, müssen zwei Optionen aktiviert sein wie bei kernel-desktop (mdv2011) aber nicht kernel (el6) bereits der Fall:
Innerhalb des ersten Menüeintrags "General Setup" aktiviere "Initial-RAM-filesystem and RAM-disk-support"und in "General Drivers" die Option "Maintain a devtmpfs at /dev/ with subitem "automount devtmpfs at /dev, after the kernel mounted the rootfs".

USA
Gemeinschaft::Organisationen
59.900,50 US-Dollar für Arbeitsstunden und 2.403,12 US-Dollar für Auslagen
Grsecurity soll Anwaltsgebühren zahlen

Nach einer Niederlage gegen Bruce Perens vor Gericht im Dezember kündigte Open Source Security Inc., die Firma hinter den Grsecurity-Kernel-Patches, die nächste Instanz an. Nun wurde das Unternehmen - noch vor der Entscheidung der nächsten Instanz - zur Zahlung Perens' Anwaltsgebühren verurteilt.
Bereits seit geraumer Zeit warnen Entwickler und OpenSource-Advokaten vor Teilen der von Grsecurity vertriebenen Patches. So äußerte sich unter anderem Linus Torvalds abfällig über die Patches des Projektes und bezeichnete Grsecuritys Patches als "Müll" und deren Entwickler als "Clowns". Ebenfalls keine gute Meinung über die Sicherheitserweiterung des Kernels vertritt Bruce Perens, der die Kunden des Unternehmens warnte, dass sie sich mit der Verwendung von Grsecurity unter Umständen der mittelbaren Urheberrechtsverletzung sowie des Vertragsbruchs schuldig machen. Perens Motivation zu dieser Aussage lag darin begründet, dass Grsecurity-Gründer Brad Spengler seinen Kunden untersagt hatte, die mittlerweile kostenpflichtigen Patches weiterzugeben, und sie bei Zuwiderhandlung mit Vertragskündigung bedrohte. Im August 2017 hatte die "Open Source Security Inc.", die Grsecurity vertreibt, Perens wegen Verleumdung und Geschäftsschädigung verklagt.
Am 22. Dezember gab das Gericht dem Gesuch von Perens auf Niederschlagung der Anklage recht und verwarf den Vorwurf der Verleumdung, ließ aber den Weg für die nächste Instanz offen, was auch passierte. Im Januar legte Open Source Security Berufung gegen die Entscheidung beim US-amerikanischen Berufungsgericht ein und einem Monat später folgte Perens und sein Anwaltsteam mit einem Antrag, die Kosten für den Rechtsstreit - insgesamt mehr eine halbe Million US-Dollar - nach dem kalifornischen Anti-SLAPP-Gesetz ersetzt zu bekommen. Open Source Security wies den Betrag als überhöht zurück. Am Wochenende stimmte jedoch Richterin Laurel Beeler dem Antrag zu.
Die von Perens' Anwälten angebrachten Gebühren halte Beeler zwar laut einem Bericht von The Register für überhöht, eine Zahlung von 259.900,50 US-Dollar für Arbeitsstunden und 2.403,12 US-Dollar für Auslagen für durchaus angebracht. Ferner verwarf Beeler den Antrag der Anwälte, die Zahlung der Gebühren zu verschieben, bis die Beschwerde bearbeitet wurde. Die Kostennote seit demnach rechtskräftig und müsse beglichen werden.
"Leider ist dies ein Rückschlag für uns", sagte Rohit Chhabra, Gründer der Anwaltskanzlei Chhabra und Anwalt von Open Source Security, in einer E-Mail an "The Register". Das Unternehmen sei aber zuversichtlich, den Streit letztlich gewinnen zu können.
https://www.pro-linux.de/news/1/25985/grsecurity-soll-anwaltsgeb%C3%BChren-zahlen.html


"I too trust grsecurity/pax, my Debian wouldn"t be in harmony with me and my world without them... Anyone else to pitch in and help/lobby/solve our queries?"
http://forums.debian.net/viewtopic.php?t=103302

Wir halten die grsecurity-Linux-Kernel-Patches und paxctld für unverzichtbar, wie allein aus der ausführlichen Konfiguration der zahlreichen Einzelpunkte nach dem Einspielen der Patches hervorgehend, Anm., Gooken:

http://rpmfind.rediris.es/rpm2html/suse-8.2/secumod-1.6e-91.x86_64.html
Nice description, but as far, as I know this kernelmodule does following.
The system is been protected by disallowing several things

- ´texec´ : TPE protection (Trusted Path Execution, more on this later)


- ´procfs´ : procfs protection

- ´hardlink´ : hardlink create protection

- ´symlink´ : symlink follow protection

- ´rawdisk´ : rawdisk protection

- ´pipe´ : Pipe (FIFO) protection

- ´trace´ : process trace protection

- ´systable´ : syscall table checking

- ´logging´ : if you want logging, turn this on

- ´persist´ : by default this is set to 0, so the module can be unloaded, but you may set it to 1 to make it unremovable

- ´capbits´ : set the capbits value. You have to supply a certain mode for the capbits variable.

Hardlink/symlinkprotection protects the system from making this links for users.
Persist sets a capability that the module cannot be unloaded.
Capbits are kernelbits, that define certain rights even for root - in normal
case root could do allmost anything.
Like in all cases you have to know, what you do, because with that module
loaded some processes will not have the full rights they need.
For example I tried a /proc protection module and hotplug freezed after that
(not funny).
There is no real desription of anything reguarding that module and I don´t
know, which bits to set and which not!
Another thing is the opensource thing within that modules, because you can only use them on SuSE (with some disadvantages you can use the
firewallscript on Debian and Red Hat).
It is allways a nice thing to make more a secret of a thing, than
describing, how it works.
Philippe
https://archive.cert.uni-stuttgart.de/suse-security/2003/09/msg00202.html

OKgrsecurity-patch - Components (merklich ähnlich secumod), en.wikipedia.org
Kernelquelle im Unterverzeichnis von /usr/src/kernel-version/, "patch -p1 < ../grsecurity.patch"
PaX
A major component bundled with grsecurity is PaX. Among other features, the patch flags data memory, the stack, for example, as non-executable and program memory as non-writable. The aim is to prevent memory from being overwritten, which can help to prevent many types of security vulnerabilities, such as buffer overflows. PaX also provides address space layout randomization (ASLR), which randomizes important memory addresses to reduce the probability of attacks that rely on easily predicted memory addresses.
Role-based access control
Another notable component of grsecurity is that it provides a full role-based access control (RBAC) system. RBAC is intended to restrict access to the system further than what is normally provided by Unix access control lists, with the aim of creating a fully least-privilege system, where users and processes have the absolute minimum privileges to work correctly and nothing more. This way, if the system is compromised, the ability of the attacker to damage or gain sensitive information on the system can be drastically reduced. RBAC works through a collection of roles. Each role can have individual restrictions on what it can or cannot do, and these roles and restrictions form an access policy which can be amended as needed.
A list of RBAC features
: Domain support for users and groups
Role transition tables
IP-based roles
Non-root access to special roles
Special roles that require no authentication
Nested subjects
Support for variables in the configuration
And, or, and difference set operations on variables in configuration
Object mode that controls the creation of setuid and setgid files
Create and delete object modes
Kernel interpretation of inheritance
Real-time regular expression resolution
Ability to deny ptraces to specific processes
User and group transition checking and enforcement on an inclusive or exclusive basis
/dev/grsec entry for kernel authentication and learning logs
Next-generation code that produces least-privilege policies for the entire system with no configuration
Policy statistics for gradm
Inheritance-based learning
Learning configuration file that allows the administrator to enable inheritance-based learning or disable learning on specific paths
Full path names for offending process and parent process
RBAC status function for gradm
/proc//ipaddr gives the remote address of the person who started a given process
Secure policy enforcement
Supports read, write, append, execute, view, and read-only ptrace object permissions
Supports hide, protect, and override subject flags
Supports the PaX flags
Shared memory protection feature
Integrated local attack response on all alerts
Subject flag that ensures a process can never execute trojaned code
Full-featured, fine-grained auditing
Resource, socket, and capability support
Protection against exploit bruteforcing
/proc/pid filedescriptor/memory protection
Rules can be placed on non-existent files/processes
Policy regeneration on subjects and objects
Configurable log suppression
Configurable process accounting
Human-readable configuration
Not filesystem or architecture dependent
Scales well: supports as many policies as memory can handle with the same performance hit
No run-time memory allocation
SMP safe
O(1) time efficiency for most operations
Include directive for specifying additional policies
Enable, disable, reload capabilities
Option to hide kernel processes


Chroot restrictions
grsecurity restricts chroot in a variety of ways to prevent various vulnerabilities and privilege escalation attacks, as well as to add additional checks:
No attaching shared memory outside chroot
No kill, ptrace (architecture-independent), capget, setpgid, getpgid and getsid outside chroot
No sending of signals by fcntl outside chroot
No viewing of any process outside chroot, even if /proc is mounted
No mounting or remounting
No pivot_root
No double chroot
No fchdir out of chroot
Enforced chdir("/") upon chroot
No (f)chmod +s
No mknod
No sysctl writes
No raising of scheduler priority
No connecting to abstract unix domain sockets outside chroot
Removal of harmful privileges via cap


Miscellaneous features
Among other things, it can be configured to audit a specific group of users, mounting/unmounting of devices, changes to the system time and date, and chdir logging. Some of the other audit types allow the administrator to also log denied resource attempts, failed fork attempts, IPC creation and removal, and exec logging together with its arguments.
Trusted path execution is another optional feature that can be used to prevent users from executing binaries not owned by the root user, or world-writable binaries. This is useful to prevent users from executing their own malicious
binaries or accidentally executing world-writable system binaries that could have been modified by a malicious user. grsecurity also hardens the way chroot "jails" work. A chroot jail can be used to isolate a particular process from the rest of the system, which can be used to minimise the potential for damage should the service be compromised. There are ways to "break out" of a chroot jail, which grsecurity attempts to prevent.
There are also other features that increase security and prevent users from gaining unnecessary knowledge about the system, such as restricting the dmesg and netstat commands to the root user.[13]
List of additional features and security improvements:
/proc restrictions that do not leak information about process owners
Symlink/hardlink restrictions to prevent /tmp races
FIFO restrictions
dmesg restriction
Enhanced implementation of trusted path execution
GID-based socket restrictions
Nearly all options are sysctl-tunable, with a locking mechanism
All alerts and audits support a feature that logs the IP address of the attacker with the log
Stream connections across Unix domain sockets carry the attacker´s IP address with them (on 2.4 only)
Detection of local connections: copies attacker´s IP address to the other task
Automatic deterrence of exploit brute-forcing
Low, medium, high, and custom security levels
Tunable flood-time and burst for logging

https://en.wikipedia.org/wiki/Grsecurity


Beachte: Eine Aktivierung einiger Optionen kann schwere Fehlfunktionen des Kernels verursachen!

OKpaxctld (rpm von http://www.grsecurity.net) installieren

Speichere nun die neu erzeugte Datei .config. ab.
Es bestehen nun drei Möglischkeiten, nach einem Patch der Kernel-Quellen:
make -i rpm (um das binäre Paket zu erzeugen. Dauer auf unserem System: um die vier Stunden!),
make bzImage (erzeugt die Datei bzImage ohne die Kernel-Module und somit nur den Kernel-Kern vmlinuz: Dauer: um die 30 Minuten) oder
make bzImage && make modules && make modules_install für die Installation von vmlinuz einschließlich der Kernelmodule.

Kopiere die Datei bzImage nach /boot und benenne sie in die Datei vmlinuz-kernelversion um.
Erzeuge initrd und/oder wie im Falle des FSE (insbes. bei Verwendung einer verschlüsselten Root-Partition) initramfs mittels mkinitrd bzw. dracut. Einzelheiten für dracut entnehmen sie Manual man und unter FSE
Schließlich ist noch grub auf vmlinuz-kernelversion, initrd-kernelversion.img bzw. initramfs-kernelversion.img hin anzupassen. Zu diesem Zweck editiere /boot/grub/menu.lst und passei die Einträge f&uum;r vmlinuz-kernel-version und unter initrd an.
So einfach ist das also, fertig.

In unserer /grub/menu.lst, analog für grub2, befindet sich nun aufgrund nach gentoo-Schnatterente durchgefürhten FSE (Full System Encryption mit LUKS) der Eintrag:
title dracut-mdv-008-Linux
password --md5 DOLLARSIGN213Axb2212...
kernel (hd0,7)/vmlinuz BOOT_IMAGE=dracut-mdv-008-Linux root=UUID=2193ab...rootfstype=reiserfs ro elevator=deadline security=tomoyo nosmp speedboot=yes KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.lvm=0 rd.md=0 rd.luks.allow-discards rd.luks.uuid=ab18ccfgg-....vga=795
initrd (hd0,7)/initramfs

"0 aus (hd0,7) steht für sda, 1 für sdb usw. und 7 für die Boot-Partition sda8, "deadline" für den zur Optimierung der SSD empfohlenen Elevator bzw. Scheduler, Einzelheiten folgen in Kürze unter den hierfür benötigten echo-Befehlen.

Abfrage der Trim-Eigenschaft einer SSD zwecks TRIM mit discard-Option ext4 aus /etc/fstab:

hdparm -I /dev/sda | grep -i trim


Partitionierung mit MCC-"Partitionsmanager oder gparted auf parted,
unsere Partitionen auf SanDisk SSD 120 GB:
OK LUKS-(cryptsetup)-verschlüsselte Extra-Partition (für sensible Daten usw. bzw. zur freien Verwendung, mit Anlage einer Key-Datei, daher automatische Entschlüsselung): 29 GB
OK LUKS-(cryptsetup)-verschlüsselte root-Partition, "schnatterschnatter", aber keine Ente: 50 GB
OK LUKS-(cryptsetup)-verschlüsselte (urandom- beim Booten selbst ver- und entschlüsselnde) SWAP-Partition: 1,9 GB (2 GB RAM)
OK Boot-Partition (unverschlüsselt, daher unter /root in einem eigenen Verzeichnis nochmal zu sichern, um die Dateiumfänge direkt oder mit md5sum bzw. sha1sum gelegentlich zu vergleichen): 203 MB
OK KNOPPIX-Partition für Knoppix-verschlüsselte Knoppix (Rettungssystem von DVD aus dem Jahr 2010, Debian Ol´ Wheezy, aktualisiert auf den Stand Jahr 2016, unter vielem anderen mit gparted, Kopierbefehl dd und zuzüglich installiertem LUKS(cryptsetup) zum Bearbeiten der anderen Partitionen): 894 MB
OK LUKS-(cryptsetup)-verschlüsselte (und mit einer Key-Datei von der Root-Partition bereits beim Booten entschlüsselte) Home-Partition: 34 GB

Vorteil: einfache Handhabung, ohne Logical Volume Management (LVM)!

1:1 auf einem (hier demselben) Sicherungsmedium, einer weiteren SanDisk 120 GB.

/etc/crypttab
# <target name> <source device> <key file> <options>
cryptohome UUID=.... /somewhere/keyfile luks,data=ordered,allow-discards
cryptswap /dev/sda_certain_number /dev/urandom swap,check=/bin/true,data=ordered,allow-discards

/boot/grub/menu.lst:
setkey y z
setkey z y
setkey Y Z
setkey Z Y
setkey equal parenright
setkey parenright parenleft
setkey parenleft asterisk
setkey doublequote at
setkey plus bracketright
setkey minus slash
setkey slash ampersand
setkey ampersand percent
setkey percent caret
setkey underscore question
setkey question underscore
setkey semicolon less
setkey less numbersign
setkey numbersign backslash
setkey colon greater
setkey greater bar
setkey asterisk braceright
timeout 10
password --md5 ...
default 0
title drc008win1smp
password --md5 DOLLARSIGN.../
kernel (hd0,7)/vmlinuz BOOT_IMAGE=linux root=UUID=c1... rd.luks.allow-discards rootfstype=reiserfs elevator=deadline security=none speedboot=yes panic=0 apparmor=0 selinux=0 kernel.yama.ptrace_scope=3 KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.multipath=0 rd.dm=0 rd.lvm=0 rd.md=0 rd.shell=0 rd.luks.uuid=3... video=VGA-1:1366x768 vga=795
initrd (hd0,7)/initramfs-4.20.13

Die Root-Partition erwies sich dabei für"Universal Linux" mit fast allem Drum und Dran als recht ausgelastet, wir empfehlen mindestens 60 GB zulasten der Extra-Partition.

OK Wir setzten in /etc/fstab für ext4, reiserfs (dasselbe ohne discard), reiser4fs (mit discard), btrfs (Kernel 4.20 mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (pclos), kernel-desktop-2.6.39.4-5.1), ...:

Reihenfolge jedes Eintrags in der Gerätekonfigurationsdatei /etc/fstab: 1 Gerätedatei (Partition oder Laufwerk))/Gerät/UUID/Kernelpartition 2 Mountpunkt 3 Dateisystem 4 Mount-Optionen 5 Speicherabzug (Dump) 6 fsck (Selbstscheck beim Booten), i.e.:

OKroot-partition: UUID=... / reiserfs notail,noatime,nodiratime,barrier=flush,data=writeback,nouser,async,user_xattr,mode=500,commit=0,umask=077,iocharset=utf-8,acl 0 # Entschlüsselung per USB-Stift oder manuelle Passworteingabe
Bootpartition (hier wegen dracut): UUID=... /boot reiserfs noatime,nodiratime,noexec,nouser,ro,async,mode=500,umask=077,user_xattr,data=writeback,commit=0,iocharset=utf-8,acl 0 3
OKHome-Partition: /dev/mapper/cryptohome /home ext4 rw,nosuid,nodev,noexec,auto,noatime,nodiratime,discard,async,data=writeback,commit=0,nouser_xattr,barrier=1,journal_checksum,mode=700,umask=077,errors=remount-ro,iocharset=utf-8 0 # cryptsetup-Passwort vorzugsweise in Datei (--key-file=pfad_keyfile/key.asc mit chown root:root key.asc und chmod 400 key.asc). Damit ist die Partition nur noch über die Root-Partition mit dem Key-File zugänglich)
OK/dev/cdrom /media/cdrom auto umask=0,users,noauto,iocharset=utf8,ro,exec 0 0
OKproc /sid-root/proc proc notail,noatime,nodiratime,rw,noexec,nodev,nouser,nosuid,data=writeback,mode=555 0 0 # mausklick-schnell, exec or noexec
OKnone /proc proc notail,noatime,nodiratime,rw,noexec,nodev,nouser,nosuid,data=writeback,mode=555 ,hidepid=2,gid=user,surfgroup,torgroup,sys 0 0
OK# usbfs /proc/bus/usb usbfs rw,relatime,devgid=43,devmode=664,noexec,nosuid 0 0 # falls nicht bereits während des Bootens eingebunden; beachte: der MMC-Partitionsmanager usw. vermisst danach /proc/bus/usb
OKsysfs /sid-root/sys sysfs notail,noatime,nodiratime,rw,noexec,nouser,nosuid,nodev,data=writeback,mode=555 0 0
OKTemporary, tmp ins RAM:
OKtmpfs /tmp tmpfs noatime,nodiratime,noexec,ro,nodev,nouser,nosuid,mode=1777,size=8M 0 0 # originales temporäres Verzeichnis /tmp, das mit der Verwendung der firejail-Opiton "private-tmp" in den Konfiguraitonsdateien unter /etc/firejail verdeckt wird.
OKshm /tmp tmpfs noatime,nodiratime,noexec,rw,nodev,nosuid,nouser,mode=1777 0 0
OKtmpfs /tmp2 tmpfs noatime,nodiratime,noexec,ro,nodev,nouser,nosuid,mode=1777,size=128M 0 0 # Ein weiteres temporäres Verzeichnis für die Up- und Downloads etc.
OKshm /tmp2 tmpfs noatime,nodiratime,noexec,rw,nodev,nosuid,nouser,mode=1777 0 0
#SWAP:
OK/dev/mapper/cryptswap swap swap defaults,discard,data=writeback 0 0
OKnone /dev/pts devpts rw,mode=620,gid=5
OKUUID=... /var/local ext4 rw,noatime,nodiratime,nosuid,aync,nodev,noexec,user_xattr,acl,barrier=1,data=writeback,commit=0,mode=755,umask=077,commit=180,iocharset=utf8 # in der Gröszlig;e von um die 1 GB nur benötigt, um die Root-Partition read-only zu mounten
OKbinfmt /proc/sys/fs/binfmt_misc binfmt_misc rw,noatime 0 0 # binfmt_misc ist eine Fähigkeit des Linux-Kernels, beliebige ausführbare Dateien zu erkennen und einem bestimmten Programm im User-Mode zu übergeben, wie beispielsweise einem Interpreter oder einem Programmstarter, der das Programm in den Arbeitsspeicher lädt. Es handelt sich um ein optionales Kernel-Modul, durch welches im Prinzip jede Datei als Programm ausgeführt werden kann. Dadurch grenzt es sich gegenüber anderen Techniken, zum Beispiel dem Shebang-Mechanismus, ab. Die ausführbaren Formate werden in einer zentralen datenbankartigen Form in einem virtuellen Dateisystem, der sogenannten Registrierung, gespeichert, welches ähnlich wie devfs, procfs oder sysfs arbeitet. Standardmäßig wird dieses Dateisystem unter /proc/sys/fs/binfmt_misc eingebunden, https://de.wikipedia.org/wiki/Binfmt_misc
OKsecurityfs /sys/kernel/security /mnt/any_mountpoint securityfs rw,noatime 0 0 # lsm, secure fs für kernel-security-modules wie apparmor und tomoyo; ... oder hänge es innerhalb /etc/rc.local ein: "mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2"
# /etc/fstab des USB-Speicherstifts mit mdv2010.2 lautet bei uns übrigens: /dev/sda1 / unionfs 0 1

hier wg. reiserfs und ext3 root- und home-Partition noch ohne Option discard ... und in /etc/crypttab:
OKcryptedhomepartitionname UUID=... pathtokeyfile/keyfile luks,data=writeback,allow-discards
OKcryptedswap /dev/sdaNUMBER /dev/urandom swap,check=/bin/true,data=writeback,allow-discards

/dev/mapper/usbstick1 /media/mnt_usb vfat rw,nosuid,nodev,uhelper=hal,users,noexec,uid=10001,utf8,shortname=mixed,flush,umask=077 0 1 # Eintrag in /etc/crypttab genügt; LUKS-verschlüsselter USB-Speicherstift mit Eintrag der (per mount -l aufgelisteter) UUID und cryptusb in /etc/crypttab, der sich wie obige verschlüsselte Home-Partition cryptohome obendrein nach Erzeugung eines key-files mit folgendem Eintrag in /etc/crypttab beim System-Boot jedesmal automatisch per key-file mounten (einbinden) lässt: "cryptsetup luksAddKey /dev/sdc1 Pfad_zum_keyfile/keyfile". Natürlich kann das Key-File von crypttohome auch für den USB-Stift genutzt werden. Die lästige Passwortabfrage zur Entschlüsselung bleibt nun jedesmal beim System-Start erspart. Dennoch muss ein USB-Stift i.a. nicht wie hier in /etc/fstab verzeichnet sein, nur bei Problemen mit dem Hotplug.

SSD: commit=0: mausklick-schnell

Die Zahlenpaare am Ende vieler Zeilen wie "0 1" stehen übrigends für dump und fsck (filesystem check), hier einmal "no" und einmal "yes", wobei die Zahl prioritisiert: 0 für no (kein Check), 1 für root-Partition, 2 all other (Partitionen) und 3 all less important (Partitionen) (Quelle: Internet). Damit kann ein Journalling-Dateisystem wie reiserfs und ext3 bereits nach dem Booten (eigentlich) keine Defekte mehr aufweisen. Sollten wir uns hier trotzdem getäuscht haben, verhilft bei reiserfs die manuelle Eingabe von "reiserfsck --rebuild-tree Gerätedatei". Verhilft selbst das nichts, spiele man eine Sicherung auf.

Option defaults setzt sich dabei zusammen aus dem sicherheitsrelevanten async,nouser,rw,suid,dev,exec,auto.
umask: dient zum generellen Setzen der Zugriffsrechte in der Rolle des Subtrahenden: Setze umask 022 für 755 (abwärts) bzw. umask 077 für 700 abwärts für Root- und Home-Partition in /etc/fstab, /etc/profile, /etc/login.defs, /home/user/.bash_profile, /home/surfuser/.bash_profile, /root/.bash_profile, ROOT_UMASK=077 in /etc/security/msec/level.secure und USER_UMASK=077; Option acl: Unterstützung der Support POSIX Access Control Liste.

man mount: "All I/O to the filesystem should be done synchronously. In case of media with limited number of write cycles (e.g. some flash drives) "sync" may cause life-cycle shortening." Mit anderen Worten: für SSD Option async setzen!

OK Das Rettungssystem Knoppix (Debian Linux 2010, hier Wheezy ol´ stable i386 (32-Bit) aus dem Jahr 2010 mit eigenem Partitionsmanager gparted, Partitions-Kopierbefehl dd, Browser iceweazel und vielen Werkzeugen) von DVD befindet sich hier auf einer eigenen kleinen Partition mindestens der Größe 250 MB (wir wählen 750 MB), die aber nicht in fstab aufgeführt wird. Sie ist vielmehr in /boot/grub/menu.des Bootmanagers Grub eingetragen wie folgt:

title Rescue
password....
root(hd0,4)
kernel /boot/isolinux/linux knoppix keyboard=de lang=de_DE.UTF-8 desktop=kde tz=Europe/Berlin
initrd /boot/isolinux/minirt.gz
boot

Knoppix bootet in nur wenigen, um die 10 Sekunden von SSD und führt in dieser Zeit eine Passwortabfrage zum Login und zur Entschlüsselung seiner Partition durch. Nach dem Booten sollte man auf ihr noch LUKS/dm-crypt (Paket cryptsetup) zum Zugriff auf all die anderen LUKS-verschlüsselten Partitionen von debian.org nachinstallieren! Akutalisere auch glibc. Wer will, kann dieses Knoppix in ein aktualisiertes und/oder komfortables Debian Linux auf einer allerdings größeren Partition verwandeln.

Der Browser-Cache von Konqueror sollte zur Erhöhung der SSD-Lebensdauer und für in diesem Exkurs umsagte Mausklick-Schnelle auf das in obiger /etc/fstab im RAM (shared memory,shm) erzeugte temporäre Verzeichnis /tmp verweisen:

OKrm -dfr /home/user/.kde4/cache-localhost und ln -sf /tmp /home/surfuser/.kde4/cache-localhost, dasselbe geht im Prinzip mit allen temporären Verzeichnissen wie /var/tmp und /home/surfuser/tmp, /home/user/.kde4/tmp, /home/user/.kde4/socket-localhost, /home/user/.kde4/tmp, /home/user/.kde4/tmp-localhost und

ln -sf /tmp/kde-user /home/user/.kde4/tmp-localhost.localdomain und ln -sf /tmp/kde-surfuser/.kde4/tmp-localhost.localdomain . Das erspart auf Dauer jede Menge Putzarbeit und verhilft einmal mehr zur Mausklick-Schnelle..

Die beiden hier nicht aufgeführten tmp wie /home/user/.kde4/socket-localhost.localdomain und /home/user/.kde4/socket-localhost.localdomain sollten allerdings nicht verlinkt werden: Probleme beim Starten von KDE!

Außerdem verlinken wir /home/alluser/.cache mit dem Shared Memory /tmp mittels:

OKln -sf /tmp /home/alluser/.cache2 && rm -dfr /home/alluser/.cache && rename /home/alluser/.cache2 /home/alluser/.cache /home/alluser/.cache2.

Make it once more SSD friendly and mousecklick-fast, link the cache of the konqueror to the /tmp part of the RAM (shm, see fstab of our main report howto create such /tmp): rm -df /home/username/.kde4/cache-localhost.localdomain and ln -sf /tmp /home/username/.kde4/cache-localhost.localdomain

Bleachbit (el6, cleaner), Warnung: Dieses Programm kann auf den Partitionen schweren Schaden zufügen!

Es ist noch einmal kurz darauf zu achten, dass gnutls (el7) mit libtasn1 (el7) installiert ist, damit Firefox gnutls fehlerfrei einsetzen kann.

Doch weiter im Text zur Konfiguration der SSD: Option discard funktioniert nicht bei jedem Kernel und jeder SSD. Bei den Optionen für Mountbefehle in /etc/fstab findet man im Internet zum Teil Vorschlääge, die Optionen commit und barrier zu setzen. commit ist die Rate, mit der das Schreibintervall gesetzt wird. Es ist per Default auf 5s eingestellt. Es gilt als sicherheitsrelevant, diesen Wert nicht zu erhöhen. barrier ist ein Feature von ext4 und ext3, bei dem zuerst (zusammenhängende) Daten vor einer Barriere geschrieben werden, und erst daraufhin (zusammenhängende) Daten dahinter. barrier=0 erhöht leicht die Performance für den Preis der Datensicherheit. ro für "read-only" darf so noch nicht gesetzt werden: "skipping journal replay" wäre die Folge. data=writeback bedeutet in englisch: "Data ordering (data=ordered) is not preserved, data may be written into the main file system after its metadata has been committed to the journal.", Optionen siehe http://www.mjmwired.net/kernel/Documentation/filesystems/ext4.txt#169. Beachte: reiserfs akzeptiert nicht alle aufgelisteten Optionen wie beispielsweise barrier, errors und discard, dafür Option nolog. Verschiedene Optionen lassen sich mit "mount -o options Gerätedatei Mountpunkt" prüfen, bevor sie in /etc/fstab gesetzt werden.

In /etc/rc.local (falls diese nicht beim Booten startet, in irgendein Bootscript /etc/init.d in Sektion start(), am besten von dort mit dem Aufruf "sh /etc/rc.local" ) zur Optimierung der SSD (an beispielsweise dem ersten S-ATA-Anschluss, nach UNIX/Linux also sda) nach einer Abfrage mit "hdparm -I /dev/sda" und "man hdparm" steht:
OK hdparm -W1a0A0 /dev/sda (auch andere Paramter von hdparm können zur Optimierung beitragen)
echo deadline > /sys/block/sda/queue/scheduler
echo 500 > /proc/sys/vm/dirty_writeback_centisecs
echo 20 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_ratio
touch /var/lock/subsys/local

Die sicherheitstechnisch eigentlich vorzuziehende Option "W0" anstelle des "W1" bewirkt die Abschaltung des Write-Cache der SSD. Damit besteht mehr Schutz bei Systemabstürzen. Weitere Parameter von hdparm entnehme man "hdparm -h" und den Manpages unter man hdparm. Allerdings wird i.a. "W1" für write-cacheing für mehr Performance empfohlen.

OK Browser-Cache ins RAM auslagern
Wir können aber noch mehr ins RAM auslagern. Ich zeige mal am Beispiel Firefox, wie wir das Caching oder auch größere Teile unserer Daten, die beim Browsen anfallen, ins RAM auslagern. Hierzu nutzen wir /shm, ein shared memory Directory, dass zwar im RAM wohnt, sich ansonsten aber wie ein normales Verzeichnis verhält. In der Firefox-Adresszeile geben wir about:config ein und bestätigen die Warnung. Durch einen Rechtsklick ->Neu ->String erstellen wir einen neuen Eintrag namens
: browser.cache.disk.parent_directory
Nach einem Doppelklick auf den neu erstellten String weisen wir ihm folgenden Wert zu:
/shm
Nun erstellen wir in der Konsole noch das Directory
: Nach einem Firefox Neustart wird zukünftig ins RAM gecached. Analog ist bei anderen Browsern vorzugehen, bei Konqueror einfach Verzeichnis: /home/username/.kde4/localhost-cache auf /shm verweisen.
, Quelle: http://wiki.siduction.de/index.php?title=Solid_State_Disks_(SSDs)_unter_Linux_optimal_nutzen&printable=yes

Mit (insbesonders auf SSD vorinstalliertem) UNIX/Linux wie mdv2010 lässt sichs rundherum eine "ruhige Kugel schieben". Für die Installation von mdv2010.2 erweist sich eine zweite SSD bzw. magnetische Festplatte für die begleitende Sicherung der ersten als durchaus wichtig, während sich die Risiken bei der Installation von mdv2010.0 in Grenzen halten. Denn obwohl bei mdv2010 eigentlich nur noch der Mensch versagen kann und im laufenden Betrieb von selbst Fehler auf Festplatte behoben werden, kann es bei der Installation aufgrund nicht immer gelöster Paket-Abhängigkeiten vereinzelt durchaus noch zu Störungen und Fehlern kommen, und nicht immer gibt mdv2010 in solchen Fällen warnende oder weiterhelfende Fehlermeldungen von sich. Ruhigen Gewissens können nun mit einer

OK
partitionsweisen 1:1-Sicherung auf einer zweiten, mindestens genaus großen SSD oder Festplatte mittels im folgenden noch beschriebenen Befehl dd


von einer mit bspws. mandriva-seed erstellten Rettungs-Version auf USB-Speicherstift, Mindi, Mondo usw. oder sowas wie Knoppix von DVD oder einer ca. 250 MB kleinen, weiteren Partition und bei richtiger Konfiguration von LINFW3, auf die wir noch zu sprechen kommen, beliebig viele der unter dem Auszug unter "Datenblatt" aufgeführten Pakete installiert werden, ohne dass das Computersystem an Sicherheit und Leistung (Schnelligkeit) einbüßt.

OK Um ein für alle Mal Ruhe mit dem (bald ehemaligen) Katastrophenprodukt namens Computer zu haben, installiere man aus einem ungeheuren Potential von über 65 GB an Binärpaketen am besten gleich so viele Pakete von mdv2010 auf SSD wie noch irgendwie für sinnvoll zu halten!

Alle Installationspakete sind zugänglich zu halten. Für den Fall, dass installierte Software danach nicht mehr richtig startet, sind meist in /usr/bin verzeichnete Programme vom Terminal (konsole, lxterminal, gnome-terminal oder xterm) aus zu starten, um Fehlermeldungen zu erhalten, im akuten Fall mit Präfix strace: "strace start-executable-datei". Man teste in der Installationsphase und nach Updates und Upgrades immer wieder auszugsweise Programme. Eine Fehlermeldung gibt dann Auskunft, welche Pakete wieder (mit rpm -e ) deinstalliert werden müssen oder (mit rpm -U --force, rpm -U --force oder rpm -U --nosignature --force --nodeps zu downgraden sind. Lässt sich mdv nicht mehr booten, weil der X-Server klemmt, drücke man einfach die Taste i für den Interaktiven Modus und starte alles außer den Displaymanager dm. Die X-Server von mdv2010 und mdv2010.1 laufen auf unserer Plattform mit dem Intel-Treiber x11-driver-video-intel-xxx.rpm siehe Datenblatt. Allerdings bedarf es für die Version des X-Servers von mdv2010.1 obendrein der Installation nahezu ungeahnter Bibliothekspakete von mdv2010.1 und mdv2010.2. Um nichts falsch zu machenl installiere man ihn daher erst ganz am Schluss - nach dem Einspielen möglichst aller Bibliothekspakete (lib64....rpm) zu den Programmpaketen von mdv2010.1 und mdv2010.2!

Die unendlich vielen Designs von UNIX/Linux und von http://kde-look.org gefallen Ihnen nicht, darunter unserer Meinung nach MS-Windows mehr oder weniger gleichkommende Designs? Hier besteht die Möglichkeit, selber eins zu entwerfen und uns allen auf http://kde-look.org vorzustellen.

Wir, Gooken, nehmen gerade in dieser Sache mannigfaltige Zertifizierungen des Online-Bankings 2011 und 2012 der norisbank (Deutschen Bank) durch diverse Stellen wie Stiftung Warentest und trotz Tagesschau nach auch dagegen sprechender milliardenschwerer Investionen staatlicherseits im Umlauf natürlich gern zur Kenntnis! In solchen Fällen vermag der UNIX-Befehl "tcptraceroute" dem Benutzer manch Aufschluss zu geben (as00.estara.com). OpenSSL gehört hingegen nach Tagesschau vom 08.04.2014 von
openssl.org, wie immer für UNIX-Systeme mö glich aus erster Quelle und somit unmittelbar, auf eine Version >= 1.0.2d nach dem 07.04.2014 geupdated ... und liegt daher unserer DVD-2 mdv2010.0-updates bei!

... siehe die "News&Links" auf unserer Linkseite: So geht das in Rotfärbung des Textes weiter, als wär das nicht alles schon viel zu viel...

In diesem zweischrittigem Exkurs wird gezeigt, dass Computertechnik und Computerzeitalter nicht für gefährlichen Nonsens stehen müssen, obwohl sie aller Vorausicht nach im geschäftlichen Sinn so gemeint sind und obwohl im Rahmen eines Wettlaufs von sicherheitsgefährdender mit schützender Technologie und den Menschen dahinter bekanntlich nichts als wirklich sicher gilt. Das Ziel dieses Exkurses besteht darin, nur die in den Schritten näher spezifierten Schwachpunkte stehen zu lassen, gegen die sich von vornherein nichts ausrichten lässt. Notebooks und Smartphones und dergleichen werden erst auf unserer Linkseite unter Links erwähnt. Was sogenannte vor Manipulation geschützte Chips angeht, ist nach Angaben aus CHIP10/2004 alles bloß eine Frage der Technik, denn die Kombination aus Raster-Elektronen-, Raster-Auger- und Raster-Sonden-Mikroskop knacke jeden Chip. Obendrein ist mit Selbstzerstörung eines Systems zu rechnen. Nicht nur das Knacken oder Cracken, sondern auch Interna lassen sich nur mit Sachverstand unter erheblichen Zeitaufwand erfassen, so dass wir uns nach wie vor gezwungen sehen, einigen wenigen gutachterlichen Stellen und Presseorganen unser ganzes Vertrauen entgegen zu bringen. Beispielsweise bringen einige Drucker infolge Kollision der Sicherheitsinteressen nicht nur den Ausdruck sondern außerdem noch mit bloßem Auge nicht mehr erkennbare Inschriften zu Papier. Ähnliches gilt immer auch für Software. Ziel kann nur sein, einige wenige, möglichst vertrauenswürdige Stellen mit der binären Kodierung der Quellcodes, ihrer Überprüfung und der Herstellung zugehöriger Installationspakete zu beauftragen wie in UNIX/Linux seitens verschiedener Anbieter bzw. Distributionen auf Installations-CD/DVD Paketmanager von jeher der Fall.

Bald schon sehen wir, dass sich mit der Befolgung des hier vorgestellten Konzepts auf der Welt mit Computer in etwa dieselbe (Un-)Sicherheit einstellt wie auf der vorausgehenden Welt ohne Computer, wozu der Mensch sicherlich im gewohnt negativen Maß beiträgt. Ein zentrales Problem ist und bleibt beispielsweise die Frage nach der sicheren Ablage des obersten (letzten) Schlüssels (passwortes bzw. Keys für alle weiteren). Abhilfe verschaffen hier wohl erst Bank-Schließfächer, biometrische Ansätze von unserer Linkseite und passwortmanager.

Effektiver Passwortschutz


Vorweg: Mit Linfw3 (Surfen mit Benutzer "surfuser" unter "surfgruppe", d.h. unter Sperrung von Root (uid 0 bzw. gid 0) ) und aller anderen Benutzer) und den uns vorgestellten Maßnahmen kann selbst imfalle des Bekanntwerdens und/oder Hackens von Passwörtern und ungeachtet deren Beschaffenheit generell kein Passwort des Systems geknackt werden, weder von außen übers Netz noch intern über Software noch unmittelbar am Computer (beim Entschlüsseln von Partitionen imfalle der Ablage des Schlüssels auf einem portablen USB-Stift oder besser Speicher-/Chipkarte zum Mitnehmen oder Fingerabdruck-Scanner).

OK Passwortschutz vorgestellten Systems:
BIOS-Passwort
Grub-md5-Passwortschutz für alle bootfähigen Partitionen und Speichertest in /boot/grub/menu.lst
Ein eigenes (unportierbares) Passwort für die stets mit dracut eingebundene LUKS-verschlüsselte Partitionen im Rahmen des FSE (Systemvollverschlüsselung) mit Schlüssel (Passwort) für die root-Partition auf USB-Speicherstift
Sicherung dieser LUKS-root-partition nun mit manueller Passwort-Direkteingabe auf mindestens einem separaten Speichermedium imfalle des Verlust der Daten von USB-Stift etc.
Rest (siehe unter exemplarischer /etc/fstab) als sha2-key-Datei von Benutzer:Gruppe root:root mit chmod 400 in einem Verzeichnis auf der Root-Partition
ACL-gesperrter su-login für "surfuser" Desktopmanager: u.a. kdm KDE-login-Benutzer-Passwort (ggfls. vereinfachender automatischer Login ohne Passwordeingabe)
Keys (Passwörter) für die zusätzliche Verschlüsselung beliebiger einzelner E-Mail und Verzeichnisse und Dateien mit gnupg (kgpg) im üblichen, mit setfacl surfuser unzugänglich gemachtem Verzeichnis .gnupg
Passwörter für mit LUKS-verschlüsselte USB-Speicherstifte
Passwort-Manager zur erneut über gnupg zweifach passwortgeschützten Ablage alle anderen Passwörter: revelation (el6, el7, rosa2014.1, rosa2016.1, fc 2X)
/etc/shadow (Passwortdatei): chown root:root mit chmod 400
gesperrte Bash-Logins für alle Benutzer außer surfuser: siehe /etc/passwd, ggfls. Einsatz von Sandbox firejail unter der Verwendung der Option "shell none"

OK Experte erklärt: Hacker würden 227 Millionen Jahre für dieses Passwort brauchen, FOCUS Online, 09.05.2018
Passwörter wie 12345 oder 54321 sind nicht besonders sicher - logisch. Aber wie findet man ein Passwort, das besonders schwer knackbar ist? Cyberexperten beschreiben einen Weg. So soll ein Passwort entstehen, für dessen Bruch Hacker 227 Millionen Jahre brauchten.
https://www.focus.de/digital/videos/geheimnis-liegt-in-drei-worten-experte-erklaert-hacker-wuerden-227-millionen-jahre-fuer-dieses-passwort-brauchen_id_7744168.html xmailx

Snowden verrät: Mit diesem einfachen Trick machen Sie ihr Passwort unknackbar, Focus, 11.04.2015
Innerhalb einer Sekunde könnte ein Hacker fast jedes 0815-Passwort knacken. Das meint Edward Snowden. Doch der Whistleblower gibt auch Tipps, wie man sein passwort für Computer so gut wie unknackbar machen kann. Des Rätsels Lösung: eine Passphrase. Denn unter den meistgenutzten Paßwörtern sind einfache Varianten wie "12345678", "passwort" oder der Vorname des Nutzers. Edward Snowden hält Paßwörter mit acht Zeichen für sehr unsicher. "Solche üblichen Paßwörter mit acht Zeichen können in weniger als einer Sekunde von Computerprogrammen geknackt werden," sagte er nun in einem TV-Interview. Aber Snowden gibt auch ein Tipp, wie Nutzer ihr passwort so gut wie unknackbar machen. Dazu sollten "Passphrasen" verwendet werden - das sind Paßwörter aus mehreren Wörtern, im deutschen auch Mantra genannt. Lange, einzigartige Sätze wie

angelamerkelist110%SEXY


die leicht zu merken sind und verschiedene Zeichen kombinieren, seien für Hackerprogramme nicht zu entschlüsseln.

Eine ähnliche "unknackbare" Methode zur passworterzeugung beschreibt PCWelt.de auf http://www.pcwelt.de/ratgeber/So-erstellen-und-merken-Sie-sich-wirklich-sichere-Passwoerter-ohne-Zusatz-Tools-9940466.html .

OK Passwortschutz gilt bei der sog. Zwei-Faktor-Authentifizierung sicher. Der Begriff entstammt vermutlich dem Online-Banking per PIN und Chipkarte. Hierbei ist ein User nicht nur im Besitz eines passwortes oder einer PIN, sondern auch eines nach der Eingabe des passwortes per SMS aufs Handy zugesandten Codes, welcher im nächsten Schritt des Logins einzugeben ist.

Passwörter befinden sich bei Linux in /etc/shadow. Passworteinträge dieser (hoffentlich) nur Root zugänglichen Datei werden über Einträge der Benutzer, zugehöriger Gruppen und "x" usw. aus /etc/passwd angesteuert.

Vorbereitungen


Alle hochsensible Daten wie Login- und Personaldaten sowie privat erstellte Dokumente sollten künftig nicht auf angeschlossenen Speichermedien sondern nur auf nicht angeschlossenen, sichernden Speichermedien und auf verschlüsselten USB-Speicherstiften aufbewahrt werden! Somit ist die Sicherheit generell schon mal gewährleistet!


Mehr Internet-Sicherheit

OKpam_shield (el6): "pam_shield ist ein PAM-Module, das iptables verwendet, um Skript-Kiddies zu sperren, die sich einen Login zum Computer verschaffen möchten und dabei Passwörter erraten (hacken). pam_shield hilft, sich vor einem öffentlichen Zugang zum offenen Internet zu schützen. .Einstellungen werden in /etc/security/shields.conf vorgenommen. Einzelne IP können der Protokolldatei wie /var/log/messages entnommen werden. Ihre Sperre erfolgt entweder automatisch oder manuell mittels Befehlen wie shield-trigger add 122.22.76.1 durch Aufnahme in die zugehörige Datenbank und ihre Löschung mit del anstelle add.
OKfail2ban (el6): Fail2ban scannt die log-Dateien (Protokolle) wie /var/log/pwdfail ooder /var/log/apache/error_log und vebannt IP, die zu viele Passwort-Fehler verbuchen. Firewall-Regeln werden geupdatet um diese IP-Adressen mit Reject zu blocken.

OKDenyHosts ist ein Python-Skript, das die sshd-Server-Log-Messages analysiert, um den das System angreifenden Host zu bestimmen. Außerdem bestimmt dieses Programm das gemeinte Benutzerkonto. Der Häufigkeit der Versuche jedes Hosts wird nachgegangen und mit der Entdeckung eines jeden Hosts und wiederholt angreifenden Hosts die Datei /etc/hosts.deny geschützt, um einen kommenden Break-In-Attempt von dem Host zu verhindern. Zum System-Administrator können dann E-Mail-Berichte gesendet werden. .

OKplcc-32 rpm-Beschreibung cmospwd (el6): "CmosPwd decrypts password stored in cmos used to access BIOS SETUP. Works with the following BIOSes * ACER/IBM BIOS * AMI BIOS * AMI WinBIOS 2.5 * Award 4.5x/4.6x/6.0 * Compaq (1992) * Compaq (New version) * IBM (PS/2, Activa, Thinkpad) * Packard Bell * Phoenix 1.00.09.AC0 (1994), a486 1.03, 1.04, 1.10 A03, 4.05 rev 1.02.943, 4.06 rev 1.13.1107 * Phoenix 4 release 6 (User) * Gateway Solo - Phoenix 4.0 release 6 * Toshiba * Zenith AMI With CmosPwd, you can also backup, restore and erase/kill cmos."
Das Beste, was man zunächst machen kann, ist die Aufkündigung des Internetzugangs (wovon wir i.a. trotzdem nicht ausgehen...) und die Anschaffung eines Ersatznetzteils und Ersatz-BIOS-Chips gepaart mit dem Backup der Firmware des aktuell verwendeten BIOS in eine Datei vom Typ bin(ary) bzw. rom. Ein speziell dafür erhältliches Utility, das bei Funktionsstörungen des BIOS direkt zum Sichern und Flashen des ROM benutzt werden kann, befindet sich i.a. auf der Treiber-CD des Mainboards, andernfalls ist es wohl aus dem Internet zu beziehen. Unter UNIX (Linux) eignet sich flashrom. flashrom ist eine Utility zum Aufspühren, Lesen, Schreiben, Verifizieren und Löschen von Flash-Chips. Verwendung findet sich für Abbilder von Flash-BIOS/EFI/Coreboot/Firmware von Mainboards und Netzwerkkarten (NICs), SATA-Controller-Karten und andere externe Geräte mit programmierbaren Flash-Chips. Lässt sich der Computer nach dem Einschalten überhaupt nicht starten, sollte das SRAM des BIOS kurz über Reset zurückgesetzt und von zugehöriger Installations-DVD oder statt vom Desktop vom selbst angelegten Medium aus geflasht werden. Notfalls sind Chip und/oder das Netzteil einfach auszutauschen. Dem Flashen und Austauschen des BIOS kommen Mainboard-Architekturen unterschiedlich entgegen. Zudem kann die Verfügbarkeit einer zum Chipsatz des Mainboards kompatiblen, auf Ersatz gehaltenen RAM-Speicherbank nicht schaden. Außerdem können unter Unix (Linux) Speichertests wie memtest den Arbeitsspeicher (RAM) kurz nach dem Anschalten des Computers überprüfen. Zum Schutz vor Funkwanzen sollte im BIOS unter begleitenden Maßnahmen am Mainboard "Chassis Intrusion Detection" aktiviert sein und so wenig USB-Karten wie möglich gesteckt sein. Die Vorlage eines auf Werkseinstellungen zurückgestellten BIOS kann derartiges andeuten. Typische Bauformen von Funkwanzen legen eine kurzen Musterung der Hardware nahe. Auf Platinen befindet sich meist eine genaue Typangabe des Herstellers. Trotz angeblicher Funkentsörung (FCC) kommt es in solchem Fäll möglicher Weise zu hörbaren Art "Rückkopplungen". Mit Geschick gelingt bereits mit einem Radio das Auffangen zugrundeliegender Störfrequenzen.

Coreboot
"coreboot is a Free Software project aimed at replacing the proprietary BIOS (firmware) found in most computers. This package contains various utilities used to develop and configure systems with coreboot.
Idealerweise könnt ihr euer aktuelles BIOS durch Coreboot ersetzen - ein quell-offene, freies BIOS. Ansonsten besteht immer das Risiko für eine versteckte Backdoor, die bspw. von Geheimdiensten ausgenutzt werden kann.
Innovationen in Coreboot
Durch den Einsatz von Coreboot kann der Bootvorgang erheblich beschleunigt werden. Auf einigen Systemen beträgt die Boot-Zeit weniger als eine Sekunde. Des Weiteren erlaubt Coreboot Fernzugriff und ist speziell für Cluster-Systeme konzipiert.
Funktion für den Bootvorgang
Coreboot selbst ist lediglich ein Minimal-Code, um das Mainboard mit all seinen Geräten zu starten. Unmittelbar danach erfolgt eine Übergabe an eine sogenannte Payload (engl. für Nutzlast), die dann das System weiter hochfährt. Coreboot enthält selbst keinen Kernel. Ein Großteil des Coreboot-Codes dient dazu, das RAM benutzbar zu machen, den PCI-Bus und die serielle Schnittstelle zu initialisieren, letztere als Ausgabegerät zur Fehlersuche.
Nach der Systeminitialisierung durch Coreboot springt die Payload an, die das weitere Hochfahren des Systems übernimmt. Die bekanntesten sind FILO (ein minimalistischer Bootloader), Etherboot, eine IEEE-1275-konforme Open-Firmware-Implementierung (dazu gehören OpenBIOS, SmartFirmware sowie Open Firmware selbst), Memtest86, GRUB2, SeaBIOS, Plan 9 und ein Linux-Kernel. Prinzipiell sind als Payload auch verschiedene andere Bootloader, Betriebssysteme und Standalone-Software einsetzbar.
Der Linux-Kernel ist ab der Version 2.6 so groß (>1 MiB), dass er in den meisten üblichen Flash-ROMs (4 Mbit bzw. 512 KiB) keinen Platz findet. Da Coreboot keine Gerätetreiber enthält, kann die Festplatte nicht direkt ausgelesen werden und eine Payload mit Gerätetreibern (z. B. FILO oder GRUB2) übernimmt das Laden von der Festplatte. Da neuere Mainboards oft aufgelötete Flash-ROMs verwenden, ist ein Austausch durch größere Chips nicht immer praktikabel. Die größten verfügbaren Flash-ROMs bewegen sich in der Größenordnung von 4 bis 8 MiB, was sogar für eine komplette Linux-Distribution mit graphischer Oberfläche ausreicht."
https://de.wikipedia.org/wiki/Coreboot
"Welcome to coreboot
coreboot is an Open Source project aimed at replacing the proprietary BIOS (firmware) found in most computers. coreboot performs a little bit of hardware initialization and then executes additional boot logic, called a payload. With the separation of hardware initialization and later boot logic, coreboot can scale from specialized applications that run directly from firmware, run operating systems in flash, load custom bootloaders, or implement firmware standards, like PC BIOS services or UEFI. This allows for systems to only include the features necessary in the target application, reducing the amount of code and flash space required.
coreboot currently supports over 230 different mainboards. Check the Support page to see if your system is supported."

https://www.coreboot.org/Welcome_to_coreboot
https://www.coreboot.org/Supported_Motherboards

Grundsatz


Zur Umsetzung softwaretechnisch basierter IT-Sicherheit stehen uns diversen Handels- und Herstellerangaben nach jedenfalls ausgesprochen viele Produkte zur Verfügung. Daher ist die Frage zu stellen, welche Sicherheitssoftware überhaupt erforderlich ist. Nun, derart entsetzlich viel, dass ganz bestimmt keine!

Microsoft Windows war wie bereits angesprochen für Hacker-Profis noch nie das große Problem.

Wer früh Erfahrungen mit sog. Betriebssystemen MS Windows wie 95 oder SE gesammelt hat, wird die bemessen zu Anforderungen spärliche sicherheitstechnische Ausstattung von Installations-CD/DVD festgestellt haben. Diese erfuhr im Bereich des proprietären (kohlrabenschwarzen) Codes über die Jahrzehnte nach und nach manch sicherheitstechnische Bereicherung. Linux siehe Kommentar aus alt.linux.suse: "I am so happy, that my linux run stable for the last 12 hours!". Einigermaßen, aber auch nur einigermaßen stabil liefen auf meinem Rechner erst SuSE8.2 aus dem Jahr 2004 (!) und das mit den Servicepacks SP1 bis SP3 den Umfang einer Installations-CD sprengende, 750 MB Updates umfassende MS XP, das durch und durch stabil und somit weitgehend schussfest vorkommende mdv aus dem Jahr 2007, welches sogar auf die Erforderlichkeit von Updates zu verzichten schien. Zugunsten eines möglichst abgestimmten und komponentenweise bereits tausendfach bzw. ausgiebig erprobten und flächendeckenden Prototyps verzichtet der Exkurs daher auf alle suspekten Angebote, indem er sich, ohne an Aussagekraft für Betriebssysteme zu verlieren, ganz einfach einer umfassenden UNIX/Linux-Hochschuldistribution direkt von Installations-CD/DVD zuwendet.. Überhaupt: Das Betriebssystem für Supercomputer und somit generell Computer unserer Zeit heißt u.a. Linux. Opensource ermöglicht jeden beliebigenTiefengang. Microsoft erwarb in den 80er Jahren vorübergehend Xenix. Auch MAC-OS der frühen 90er Jahre von der Firma Apple basiert ja auf UNIX.

32-Bit-Programme laufen auch auf 64-Bit-Systemen, ein 32-Bit-System benötigt hingegen 32-Bit-Programme. Derzeit liegen noch lange nicht alle Programme in einer 64-Bit-Variante vor. Die 64-Bit-Version von Windows bringt deshalb einen Emulator (WOW64) mit, die 32-Bit-Software ausführen kann. Linux wie mdv liegt auch ohne Emulator jeweils vollständig längst getrennt nach Paketen x86_64 (64 Bit) und i586 (32 Bit) kompiliert vor: mdv2010.0.x86_64, mdv2010.0.i586.rpm und dem Quellcode für beide Versionen.

Das Portable Operating System Interface (POSIX-Standard) ist ein gemeinsam von der IEEE und der Open Group für Unix entwickeltes standardisiertes Application Programming Interface, das die Schnittstelle zwischen Anwendungssoftware und dem Betriebssystem darstellt. Die internationale Norm trägt die Bezeichnung ISO/IEC/IEEE 9945. Linux erfüllt diesen Standard weitgehend. Immerhin, seit SuSE 7.3 läuft Linux nahezu sicherheitstechnisch vollausgestattet auf Journalling-Dateisystemen wie Reiserfs. Überhaupt bleiben UNIX und verschiedene darauf aufbauende Linuxdistributionen sich, als umfassten sie eine Norm, weitgehend treu, wie allein über die inhärente Grundverzeichnisstruktur der Fall aus immer Wurzelverzeichnis / bzw. root mit den Unterverzeichnissen boot, bin und sbin für die ausführbaren Systemdateien, lib mit den zugehörigen Bibiliotheken, der klassische Mountpunkt /mnt (alternativ Mountpunkt /media ein vorhandenes, aber nicht genutztes Verzeichnis oder irgendein neu angelegtes), Konfigurationsdateien etc, Anwendungsdateien usr, /usr/bin und /usr/lib, darunter neben opt für frei optionale, umfassende Softwarepakete bzw. Anwendungen, Treiber usr/lib/modules, Benutzerverzeichnisse unter ~ bzw. /home, Gerätedateien (Gerätetreiber-Schnittstellendateien) /dev, /var für von Anwendungen angelegte Dateien wie Logdateien, Systemlogdateien /var/log, /sys, /proc wie processes zur Angabe der Details gestarteter Prozesse und nicht zu vergessen Opensource ausmachende Quellen unter /usr/src, . "Punkt". Die Konsole bzw. das Terminal, standardmäß xterm, mehr noch konsole (interessant auch yakuake), gilt mit seinen Möglichkeiten als ganz besonders herausragend: Alle Systembefehle des zugehörigen Befehlsinterpreters bash und Programme können direkt von dort aus aufgerufen werden. Sogar die sogenannte "No Security Agency" (NSA) selbst benutzt Linux, wenn auch mit eigenem "NSA-Security-Enhanced-Linux-Kernel" selinux mit zugehörigem Mandatory Access Control (MAC), ein Sicherheitsmodul (LSM) zur Nutzung des Sicherheits-Frameworks des Linux-Kernels.

Eine illustrierte Einführung für MAC der Form LSM (Kernel-Sicherheitsmodule) zuzurechnendens Tomoyo-Linux wie für mdv-2010 erhalten Sie hier.


Zu den von uns favorisierten Linux-Distributionen zählt die ein riesengroßes Repertoire aus Treibern und Software umfassende Mandriva-final und Gentoo. Gentoo bezeichnet sich selbst als Meta-Distribution. Der Quellcode wird erst auf dem Rechner des Anwenders kompiliert, was eine beinahe unendliche Anpassung und Rückverfolgbarkeit der Programmlogik ermöglicht. Das komplexe Mandriva kommt dem mit unseren rundherum besten Erfahrungen zusammen mit zugehöriger Quellcode-DVD (DVD 3) unserer Meinung nach in etwa gleich.

Rund ums Thema Verschlüsselung zu denken gibt auch folgender Bericht aus dem Jahr 2001 von der Cambridge University Computer Laboratoriy über sog. Zero Emission: "Bereits seit Jahrzehnten machen sich internationale Geheimdienste die Tatsache zunutze, dass alle elektronischen Geräte, also auch PCs, verräterische ("kompromittierende") Strahlung abgeben. Aus diesen lässt sich noch viele Meter entfernt, auch durch Mauern hindurch, das Monitorbild des Computers reproduzieren. Nur den wenigsten Benutzern ist diese Gefahr bewusst. Die heute am weitesten verbreitete Methode, um die gefährliche Abstrahlung zu entschärfen, sind teure Spezialcomputer. Diese mit Aluminium verkleideten Computer kosten ein mehrfaches der ungeschützten Ausführung und müssen regelmäßig gewartet werden. Man nennt diese Rechner auch TEMPEST-sicher (TEMPEST: Transient Electromagnetic Pulse Emanation Standard). Interessant ist, dass einige Anbieter solcher Hardware die Adressen der Käufer an geheimdienstnahe Organisationen weiterleiten. Weitere Gegenmaßnahmen sind strahlungsabschirmende Zelte sowie spezielle Störsender. Zusammen mit unserem Partner (Partner von Steganos), der Universität Cambridge (Großbritannien), bieten wir Ihnen jetzt die Möglichkeit, diese Strahlung per Software zu entschärfen ("Soft-Tempest"). Der speziell entwickelte Freeware-Texteditor Zero Emission Pad unterstützt als weltweit erster i.a. auch unter Unix (Linux) emulierbare Editor die strahlungshemmende Anzeige (zum Patent GB 9801745.2 angemeldet)."

Thema: Cloud Computing und Ablage auf Fremdrechnern, Sueddeutsche.de, 21.12.2014: Wenn die Daten auf fremden Servern liegen, sind die eigenen Kontrollmöglichkeiten begrenzt. Der Informatiker zählt Angriffe auf den Cloud Provider zu den Sicherheitslücken. Auf der Basis vieler Betriebssyteme mangele es selbst im Jahr 2014 immer noch an qualifizierten IT-Sicherheitskräften...
Wir rechnen sogar nach dem Erhalt von Sicherheit auf Clouds mit der Weitergabe abgespeicherter Datenmengen seitens der Betreiber u.a. an Consulting-Firmen, Anm. die Red..

De-Mail - So einfach wie E-Mail, so sicher wie Papierpost.
Das de-Mail-Konzept ermöglicht sicheren elektronischen Nachrichtenverkehr zwischen Privatpersonen, Unternehmen und Behörden. Mit De-Mail können elektronische Nachrichten so einfach verschickt werden, wie Sie es von E-Mail gewöhnt sind. Im Gegensatz zur E-Mail können bei De-Mail aber sowohl die Identität der Kommunikationspartner als auch der Versand und der Eingang von De-Mails jederzeit zweifelsfrei nachgewiesen werden. Die Inhalte einer De-Mail können auf ihrem Weg durch das Internet nicht mitgelesen oder gar verändert werden. Denn abgesicherte Anmeldeverfahren und Verbindungen zu den De-Mail-Anbietern sorgen ebenso wie verschlüsselte Transportwege zwischen den De-Mail-Anbietern für einen vertraulichen Versand und Empfang von De-Mails. De-Mail erhöht so die Sicherheit der elektronischen Kommunikation im Vergleich zur herkömmlichen E-Mail und hilft, Spam und Phishing zu vermeiden. (Quelle: BSI 2014)

OK Wie kann man Pishing Mails erkennen?, http://www.email-verzeichnis.de/sicher-mailen/phishing-mails-erkennen#more-796
In früheren Tagen waren die Mails grammatikalisch extrem schlecht und strotzten vor Rechtschreibfehlern. Teilweise waren sie gleich in einer anderen Sprache verfasst. In Ausnahmefällen kursieren diese Texte nach wie vor und sind entsprechend einfach zu identifizieren. Allerdings haben die meisten Kriminellen diesbezüglich nachgebessert und verfassen inzwischen fehlerfreie Texte. Der beste Ansatzpunkt ist deshalb die Ansprache: Banken und andere Dienstleister sprechen Einen in Mails mit dem eigenen Namen an. Nicht so Pishing Mails: Da diese die Namen oft nicht kennen, verwenden sie allgemeine Ansprachen wie "Sehr geehrte Frau”. Allerdings gab es bei Pishing Mails rund um PayPal im Herbst 2014 wiederholt Fälle, bei denen die Absender den Namen verwenden konnten. Offenbar hatten sie die Datensätze erworben - wo und wie genau, ist bislang unklar. Die direkte Ansprache mit Namen ist deshalb auch kein eindeutiges Zeichen mehr, dass es sich um keine Pishing Mail handelt (mehr zum Phishig bei PayPal). Behelfen muss man sich deshalb über den Inhalt: Hier wird stets in einem drängenden, fast panikartigen Ton dazu aufgefordert, hoch sensible Daten über einen Link, den man in der Mail findet, in eine Maske einzugeben. Nur so könne man sein Konto entsperren oder davor schützen, ausgeplündert zu werden, heißt es. Man solle in jedem Fall den Link in der Mail nutzen. Zudem gebe es nur eine sehr kurze Zeitspanne, in der man aktiv werden müsse. Dieser Inhalt sollte immer stutzig machen. Wer unsicher wird, sollte in der Folge zum Telefonhörer greifen und die Bank oder den sonstigen vermeintlichen Absender anrufen, um sich zu versichern, ob die Mail der Wahrheit entspricht. In 99,9 Prozent der Fälle ist dies aber nicht nötig: Neben dem Inhalt verraten auch zwei andere Informationen, dass es sich um eine Pishing Mail handelt. Der Absender hat zum einen keine offizielle Email-Adresse, zum anderen ist die URL hinter dem Link in der Nachricht ebenfalls nicht Teil der offiziellen Internetpräsenz, sondern lautet beispielsweise paypal-web441254.com. Niemals würden offizielle Stellen auf diese Art und Weise sensible Informationen abfragen.

Was ist nach dem Erhalt einer Pishing Mail zu tun?

Hat man eine solche Mail bekommen, so lautet die erste Regel, dass man niemals auf den Link klicken darf! Zudem sollte man die Mail an die Organisation weiterleiten, von der sie angeblich stammt, um sie darüber zu informieren. Fast alle Unternehmen haben hierfür einen speziellen Service eingerichtet. Anschließend löscht man die Mail einfach. Sollte man der Versuchung erlegen gewesen sein, doch auf den Link zu klicken und womöglich sogar sensible Daten einzugeben, so muss man das betreffende Konto sofort sperren lassen (Rufnummern zur Sperrung von Kredikarten). Ratsam ist zudem, wenigstens einen Virenscanner über das eigene System laufen zu lassen. Tatsächlich sollte man eigentlich sogar die Festplatte formatieren und das System neu aufsetzen, um ganz sicher zu gehen, dass man sich durch die Pishing Mail nicht doch auch einen Schädling auf die Festplatte geholt hat. Regelmäßige Backups z.B. auf einer externen Festplatte sind deshalb Pflicht.

E-mail vom 05.05.2010 von info@gooken.de
"Hallo, Absender wie gehts? Lust, Verschlüsselung von E-mail auszuprobieren? Lade doch mal meinen PGP-Key liks aus dem Men&uum; oder von einem Schlüsselserver wie hkp://subkeys.pgp.net unter info@gooken.de herunter (copy and paste in eine beliebige Textdatei) und füge ihn bzw. zugehörige "Textdatei" in Deinen E-mail-Klienten ein. Dazu brauchst Du noch ein pgp-Prgramm wie kleopatra oder kgpg auf pgp, für das Du den Key abermals importierst. Nun können wir E-mail nicht nur auf verschlüsseltem Weg senden sondern auch die E-mails selbst (inhaltlich) ver- und entschlüsseln!

Betrüger-E-mails erkennt man übrigens. an: der hohen Spam-Wahrscheinlichkeit, der Konzeption von Links innerhalb des Nachrichten-Quelltexts ohne vertraute Absender- oder Providernamen, passwortabfragen, Aufführung und Abfrage vertraulicher Informationen, mitgeschickte Anhänge, abstruse Links, Offerten und Geldsummen, Rechtschreibfehler, Übergröße Vergleich mit derartige Spam aufgreifende Datenbanken im Internet, fehlende Signierung/Signatur, inseriös wirkende Absenderadresse, Entlegenheit der Herkunft und des Herkunftslands, ... . Der Spam-Filter sollte auf solche Fälle abgestimmt werden.

MfG, Gooken (auf der Suche nach E-mail inhaltlich verschlüsselnden Sendern und Adressaten)"

Zur Verhinderung eines einfachen, aber effektiven Keyloggings bzw. Audits (Mitschnitts) der Befehlseingaben über Tastatur ist aus Sicht des Benutzers auf das Fehlen des Eintrags "script -f pathtologfile/keylogfile.log" in /etc/profile zu achten. Um Bash-Historyeinträge vorsichtshalber mit einem Zeitstempel zu versehen, ist in /etc/profile " export HISTTIMEFORMAT=´%F %T ´ " zu setzen.

DNS umsetztendes Programm "Unbound" besteht aus modularen Komponenten mit modernen Eigenschaften, solchen wie erweiterte Sicherheits-Validierung (DNSSEC) Validation und einer Resolver-Bibliotheks-API für Clients. Ursrprünglich für Posix-kompatible Unix-gestützte Betriebssysteme geschrieben läuft es u.a. auf FreeBSD, OpenBSD, NetBSD und Linux.

Unser Online-Check aus dem Menü links hebt die Aussagekräftigkeit von IP und Browserkennung (Useragent) des Browsers hervor. In IPv6 verbleibt die IP obendrein i.a. unveränderbarer statischer Natur! Mit mdv2010 können Sie noch mit einer sich i.a. ändernden IPv4-Adresse kommunizieren und im Internet surfen. Der Networkmanager bietet einen ipv6 nach ipv4- Tunnel. Außerdem hat man hin MCC->Netzwerk->networkcenter die Möglichkeit, neben tcp-timestamp (Zeitstempel) und tcp-windows-scaling IPv6 an- und abzuschalten. Abschalten empfiehlt sich.


Doch von vorn:

OK Als rund um Software wichtig erweist sich generell zunächst nur die reine Funktionstüchtigkeit ausgewiesener Hauptbestandteile eines Programms und somit Stabilität als Laufeigenschaft ungeachtet inhärenter Sicherheitsschwächen, denn vor allem Bugs ermöglichen das Erlangen von Root-Rechten bzw. das Kausalisieren Art Root-Rechte verschaffender Speicherüberläufe (Bufferoverflows). Hierfür nehmen Paketmanager eine Überprüfung der Abhängigkeiten vor, die Paketmanager wie urpmi notfalls über den Bezug benötigter Pakete durch den Download aus dem Netz von selbst auflösen können. Anschließend kann man über CVS wie tkcvs noch eine Versionskontrolle durchführen.

mdv2010 mausklick-schnell (leichtläufig): Bevor wir uns fragen, was alles installiert werden soll, fragen wir uns doch, was runter muss: CPU- und Speicher und somit Resourcen killende Dämonen im Hintergrund. Um sie zu erkunden, verhilft der Prozessmanager, Aufruf mit ESC und STRG. Dabei ist uns ein Riesenkiller ins Netz gegangen (packagekit mit urpmi-dispatcher) mit 43 Prozent Speicherbelegung: runternehmen, ggfls. von el6 nachinstallieren. Der nächste Ressourcenschlucker ist gelegentlich nspluginscan, den wir mit chmod 000 /usr/bin/nspluginscan auf 000 runterfahren, ggfls., je nach Einstellungen in Dolphin unter Vorschau, auch Symbole für Bilder und sonstige Dateien im Dateimanager anfertigende kio_thumbnail. msec_find checkt je nach Konfiguration in MCC periodisch, nur beim Booten oder gar nicht. In MCC unter Sicherheit, periodische Checks kann man vieles von daily auf weekly, noch besser auf "manual", stellen, es sei denn, ihr Mainboard hat mehr als einen #SMP (CPU). Der Prozess "prelink" ist der nächste Kandidat. Ihn sollte man allerdings gewähren lassen, denn er räumt eigenen Angaben nach Festplatte und Speicher auf und beschleunigt den Bootzugang:

"prelink ist ein Programm, dass sogenannte ELF shared libraries und ELF dynamically linked Binaries so modifiziert, dass sich die vom dynamischen Linker benötigte Zeit für Speicherplatzzuweisungen beim Systemstart erheblich reduziert. Aufgrund einiger weniger Speicherplatzzuweisungen wird außerdem der Sjpeicherplatzverbrauch eingeschränkt, insbesonders die Anzahl sogenannter unshareable Pages. Die Prelinking-Information wird nur beim Systemstart imfalle der ausbleibenden Veränderung der abhängigen Bibliotheken benötigt; andernfalls werden Programmen normal Speicher zugewiesen."

OK Mausklick-schnell: Auf unserem "Universal Linux" laufen lediglich folgende über MCC aktivierte Dienste: NetworkManager, acpid, alsa, cups, dnsmasq, gpm, ip6tables, iptables, jexec, linfw3, lm_sensors, partmon, postfix, sound, sysstat, udev-post, uuidd und gelegentlich ntpd und httpd.
Das wären sie auch schon..Auch der Dienst network ist also deaktiviert worden, und zwar mit dem Befehl "chkconfig --level 2345 network off".

Möglicherweise gibt es für die CPU ein Microcode-Update. Für das von uns unter Datenblatt vorgestellten Mainboard mit Intel®-CPU eigente sich microcode_ct (fc, rosa, el), ucode-intel (OpenSuSE) und ucode-intel-blob (OpenSuSE). Nach dem Surfen etc. empfiehlt sich noch das Killen aller mit "surfuser" gestarteten Prozesse: "killall -u surfuser". Ein paar Paketen wie tracker verdienen ein wenig unser Misstrauen, welche das sind, siehe unter UNIX-Sitzung.Reiserfs arbeitet schnell, es sei denn, genannte Prozesse schlucken Kapazitäten. Mit unserer Entscheidung für eine SSD und Wahrung des im Benutzerhandbuch des Mainboards angegebenen RAM-Hauptspeichertakts mit entsprechenden RAM-Bausteinen wirds perfekt- bereits mit dem von uns im Datenblatt angegebenen SMP #1 Mainboard 19 Watt mit DDR2 Mhz 533 (aufwärts) ( wir bekamen die astreinen Nonames-533Mhz assembled in Germany obendrein vorher schon umsonst..., während 1 GB DDR2 von Kingston gerade mal mit 333 Mhz lief...) tatsächlich mausklick-schnell (leichtläufig). Die Installation von hdparm (el7, ggfls. auch el6) und sdparm (el7, el6), verhilft dazu bei Betrieb einer SSD außerdem im erheblichen Maß.


OKSSD-Festplatten sind noch besser als die Hersteller angeben
Publiziert am 18. Juni 2014, 08:38 von admin, http://www.ahrens.de/ssd-festplatten-sind-noch-besser-als-die-hersteller-angeben/24906
SSDs sind der bessere Ersatz für eine magnetische Festplatte, denn sie haben keine beweglichen Teile und sind deshalb beim Lesen bis zu 100-mal so schnell und beim Schreiben bis zu 20-mal so schnell. Die Frage ist nur, wie lange die das mitmachen…
In einem Langzeittest von Techreport machen die Amerikaner das, was man mit Standard-SSDs für Desktop-PCs und Notebooks eigentlich besser nicht tun sollte: Sie füllen die Laufwerke kontinuierlich mit Daten und löschen diese dann wieder. Dies Verfahren erzeugt reichlich Stress für die Flash-Zellen und die Programm-Algorithmen, die über das sogenannte "wear levelling" eine möglichst lange Lebensdauer des Speichers sicherstellen sollen. Bereits seit August 2013 läuft der Test, und insgesamt wurden nun auf dreien der Laufwerke mehr als 1.024 Terabyte geschrieben. Den Wert von 1 Petabyte erreichten eine Corsair Neutron GTX mit 240 GByte, eine Samsung 840 Pro mit 256 GByte und eine Kingston HyperX 3K mit 240 GByte. Die Kingston-SSD war zweimal vertreten und überstand den Langzeittest nur, wenn sie mit komprimierbaren Daten beschrieben wurde. Der Sandforce-Controller der HyperX schrumpfte das vom PC angelieferten Petabyte zu 716 Terabyte zusammen. Das zweite Exemplar der Kingston-SSD, das mit nicht komprimierbaren Inhalten gefüllt wurde, gab nach 728 TByte auf. Beim Test wurden regelmäßig die Smart-Daten der Laufwerke (eine eigentlich unpassende Bezeichnung- da läuft nix mehr) ausgelesen; an diesem Mechanismus, der noch aus der Festplatten-Ära stammt, orientieren sich auch die meisten Sata-Treiber und Betriebssysteme. Daher meldete das verwendete Windows 7 auch 3 TByte vor dem Ableben der Kingston-SSD einen Datenträgerfehler. Danach war das Laufwerk nicht mehr ansprechbar. Weil alle getesteten Laufwerke mehrere hundert TByte Datentransfer überlebten, kann man die Angaben zur Lebensdauer von PC-SSDs durch deren Hersteller nur als extrem konservativ bezeichnen. Typischerweise sind von der Garantie 20 bis 40 GByte Schreibvolumen pro Tag abgedeckt, die über einen Zeitraum von 3 bis 5 Jahren ständig ausgeschöpft werden dürfen. Das ergibt im günstigsten Fall bei 40 GByte und fünf Jahren gut 71 TByte, im Test von Techreport kamen alle SSDs fast auf das zehnfache Datenvolumen. Sie sind also nicht nur in Sachen Geschwindigkeit super, sondern auch bezüglich der Lebensdauer zehnmal so gut, wie die Hersteller versprechen. Einen noch ausführlicheren Bericht zum Test finden Sie bei Golem.

Die zahlreichen msec-Security-Checks in MCC, insbesonders der Check mit sectools sollte von "daily", "monthly" usw. auf "manual" gesetzt werden, um "Nebenläfigkeiten" von Hintergrundprozessen zu begrenzen..

OKLinux ist zwar schneller als Windows, und zwar mdv2010 auf SSD mausklick-schnell (leichtläufig), was einmal mehr für dessen Architektur und Optimierung von Code spricht, aber auch Pinguin-PCs verfallen manchmal in den Schnarchmodus. Welche Ressourcen, d.h. welche CPU und Speicherplatz verschlingende Prozesse laufen eigentlich im Hintergrund, gar irgendwelche ein wenig Ressourcen verbrauchende Zombies, so dass Updates hierfür mehr oder weniger erforderlich sind? Möglicherweise ist die Festplatte oder eine Partition zu voll, Einzelheiten siehe Wenn Linux zu langsam ist. Wir studieren die Hintergründe am besten über ALT&ESC, pstree, Systemüberwachung oder

ps -All


Daraufhin habe ich auf meinem Rechner zeitweise 43 Prozent meiner Ressourcen verbrauchendes packagekit deinstalliert und hinteher geupdatet.

Sogar das Tempo des Browsers beim Surfen kann erhöht werden: Drücke die Tasten STRG und ESC und wähle den Browser-Prozess aus (konqueor für konqueror usw.) -> Rechtsklick und Schieben des Schieberegler zur Einstellung der Prozesspriorität mindestens eine Stufe nach rechts, alternativ eignen sich hierfür die Terminal-Befehle nice und renice für eine Priorität zwischen -20 und 19, voreingestellt 0 (Quelle: Focus Online, 07.11.2015);

Bremsklotz und Spionage: "Benutzer "root,-1" des gefährlich (ausbremsenden) (System-)Prozess für "Anmeldung unter root uid:0" namens unbekannt mit wechselndem Prozess-Identifier (PID) und geheimer CPU-Auslastung statt in % ausformuliert"?


Vorab: Das könnte wirklich helfen: setfacl -m u:root:- /usr/libexec/gam_server.

http://stackoverflow.com/questions/13655110/how-to-kill-a-process-whose-pid-keeps-changing:
Such a process is called a "comet" by systems administrators.
The process group ID (PGID) doesn´t change on fork, so you can kill it (or SIGSTOP it) by sending a signal to the process group (you pass a negated PGID instead of a PID to kill).
answered Dec 1 ´12 at 1:18
caf
161k18208340
What if it calls setpgid/setsid each time too? :-) - R.. Dec 1 ´12 at 2:28
The only reason, I can see, why you wouldn´t see it is, that the forked child has not been created yet but the parent has progressed far enough in it´s death that it is no longer listed.
Unfortunately I don´t think it´s possible to kill this kind of process without some guessing. To do so would require knowing the next pid in advance. You can guess the next pid but not be certain that no other pid gets it assigned.

OK Mouseclickfast und sicher, einfach der ultimative Geschwindigkeits-Boost neben SSD-Technik unter siehe Datenblatt wäre sein generelles Verhindern. Gooken empfiehlt den damit im Zusammenhang stehenden gam_server (gamin) auf fc25 und gamin-server (OpenSuSE 13.2, gam_server nach /usr/libexec) zu updaten oder, wie bei einigen Distributionen der Fall, zu entfernen und keinesfalls durch Klick auf das NetworkManager (el6) with networkmanager-applet (mdv2010.2) die Verbindung zum ISP aufzubauen, sondern den Aufbau der Verbindung mit "ifup eth0" immer über unseren surfuser (ohne Angabe der surfgruppe), wer will nach einem Eintrag heraus aus dem K-Menü wie im folgenden am Konqueror beschrieben, unter hohen Prioritäten für Dolphin, Kontact, Kmail, Kopete, Office, ein paar OpenGL und SDL-Games. Weitere bzw. neue Erkenntnisse bleiben an dieser Stelle leider noch abzuwarten.

Beispiel:

renice -n 18 `pidof konqueror`


oder der permanente (in Taskleiste und Arbeitsbereich verlinkbare) Start per Login als surfuser der Gruppe surfgruppe aus dem K-Menü also mittels kmenuedit und in der Befehlszeile, unserem noch folgendem Beitrag über Linfw3 folgend, der Eintrag

"knemo && sg surfgruppe konqueror && renice -n 18 `pidof konqueror` && kded4"


Ergebnis, wir haben die Priorität auf 18 von -20 bis +20 gesetzt und Dienste (Services) wie die Cookieverwaltung für surfuser aktiviert: Konqueror, sagenhaft ( heutzutage kann man sich überall zu Besuch beamen wie Spock von Raumschiff Enterprise, wenn auch unter der Einsicht, dass ausgerechnet Google vorher schon zu Besuch war...). Bei Firefox bieten sich weitere Möglichkeiten an wie auf unserer Linkseite oder von dort Links folgend beschrieben.

rpm-description: "Run command in a restricted environment. Chrootuid makes it easy to run a network service at low privilege level and with restricted file system access. At Eindhoven University, they use this program to run the gopher and www (world-wide web) network daemons in a minimal environment: The daemons have access only to their own directory tree, and run under a low-privileged userid. The arrangement greatly reduces the impact of possible loopholes in daemon software."

OK Oder zusätzlich auf Basis einer suid-Sandbox für online-Programme und alle nicht vertrauenserweckenden und - wüdigen Prozesse bzw. Programme, mehr oder weniger auch allesamt, hier firejail (rosa2014.1, ram80, pclos: ver. 0.9.48-1pclos (vendor: none): https://sourceforge.net/projects/firejail/), siehe bei uns unter Updates (mdv2010.2)), das Sie auch von hier downloaden können:

firejail (ram80, rosa2014.1, rosa2016.1, pclos2017, vendor: none) oder
Download derselben Version von uns vorkonfiguriert aus unserer Sekton für Updates als Tarball

"knemo && sg surfgruppe "firejail --private=/home/surfuser konqueror" && renice -n 18 `pidof konqueror` && kded4"


oder mit "--profile" erweitert:

"knemo && sg surfgruppe "firejail --profile=/etc/firejail/konqueror.profile --private=/home/surfuser konqueror" && renice -n 18 `pidof konqueror` && kded4"


Natürlich sei an entsprechenden Eintrag ins K-Menü bzw. den Schnellstarter oder im Desktop-Ordner für den Aufruf per einfachem Mausklick gedacht. Shell-Skripte werden auf gleiche Weise übrigens mit dem Eintrag "xterm -e sh /Pfadangabe/shellscript.sh" oder ""konsole -e sh /Pfadangabe/shellscript" aufgerufen.

Ganz besonders einfach zu handhaben und interessant an firejail ist neben dem default.profile und unter /etc/firejail etlichen Programmen (bzw. Prozessen) vorgefertigten Profilen zur Option --profile auch die Option --private von firejail, die die Sandbox in einem neuen oder angegebenen Home-Verzeichnis vollstädig (restlos) abschottet. Selbst die von dort aufgerufene Bash versagt dann den Dienst, während die Handhabung unbeeinträchtigt bleibt. Das online zu startende Programm wird innerhalb des Aufrufs von firejail im Zusammenhang mit linfw3 beim Blocken aller Backdoor-Programme und aller Trojaner mit --profile=/home/surfuser versehen.

OK
Firejail - die IT-Sicherheits-Traumsoftware


Firejail is a SUID sandbox program, that reduces the risk of security breaches by restricting the running environment of untrusted applications using Linux namespaces.

firejail - version 0.9.48

Usage: firejail [options] [program and arguments]

Options:
-- - signal the end of options and disables further option processing.
--allow-debuggers - allow tools such as strace and gdb inside the sandbox.
--allow-private-blacklist - allow blacklisting files in private
home directories.
--allusers - all user home directories are visible inside the sandbox.
--apparmor - enable AppArmor confinement.
--appimage - sandbox an AppImage application.
--audit[=test-program] - audit the sandbox.
--bandwidth=name|pid - set bandwidth limits.
--bind=dirname1,dirname2 - mount-bind dirname1 on top of dirname2.
--bind=filename1,filename2 - mount-bind filename1 on top of filename2.
--blacklist=filename - blacklist directory or file.
-c - execute command and exit.
--caps - enable default Linux capabilities filter.
--caps.drop=all - drop all capabilities.
--caps.drop=capability,capability - blacklist capabilities filter.
--caps.keep=capability,capability - whitelist capabilities filter.
--caps.print=name|pid - print the caps filter.
--cgroup=tasks-file - place the sandbox in the specified control group.
--chroot=dirname - chroot into directory.
--cpu=cpu-number,cpu-number - set cpu affinity.
--cpu.print=name|pid - print the cpus in use.
--csh - use /bin/csh as default shell.
--debug - print sandbox debug messages.
--debug-blacklists - debug blacklisting.
--debug-caps - print all recognized capabilities.
--debug-check-filename - debug filename checking.
--debug-errnos - print all recognized error numbers.
--debug-protocols - print all recognized protocols.
--debug-syscalls - print all recognized system calls.
--debug-whitelists - debug whitelisting.
--defaultgw=address - configure default gateway.
--dns=address - set DNS server.
--dns.print=name|pid - print DNS configuration.
--env=name=value - set environment variable.
--force - attempt to start a new sandbox inside the existing sandbox.
--fs.print=name|pid - print the filesystem log.
--get=name|pid filename - get a file from sandbox container.
--help, -? - this help screen.
--hostname=name - set sandbox hostname.
--hosts-file=file - use file as /etc/hosts.
--ignore=command - ignore command in profile files.
--interface=name - move interface in sandbox.
--ip=address - set interface IP address.
--ip=none - no IP address and no default gateway are configured.
--ip6=address - set interface IPv6 address.
--iprange=address,address - configure an IP address in this range.
--ipc-namespace - enable a new IPC namespace.
--join=name|pid - join the sandbox.
--join-filesystem=name|pid - join the mount namespace.
--join-network=name|pid - join the network namespace.
--join-or-start=name|pid - join the sandbox or start a new one.
--list - list all sandboxes.
--ls=name|pid dir_or_filename - list files in sandbox container.
--mac=xx:xx:xx:xx:xx:xx - set interface MAC address.
--machine-id - preserve /etc/machine-id
--mtu=number - set interface MTU.
--name=name - set sandbox name.
--net=bridgename - enable network namespaces and connect to this bridge.
--net=ethernet_interface - enable network namespaces and connect to this Ethernet interface.
--net=none - enable a new, unconnected network namespace.
--netfilter[=filename] - enable the default client network filter.
--netfilter6=filename - enable the IPv6 network filter.
--netns=name - Run the program in a named, persistent network namespace.
--netstats - monitor network statistics.
--nice=value - set nice value.
--no3d - disable 3D hardware acceleration.
--noblacklist=filename - disable blacklist for file or directory .
--noexec=filename - remount the file or directory noexec nosuid and nodev.
--nogroups - disable supplementary groups.
--nonewprivs - sets the NO_NEW_PRIVS prctl.
--noprofile - do not use a security profile.
--nosound - disable sound system.
--novideo - disable video devices.
--nowhitelist=filename - disable whitelist for file or directory .
--output=logfile - stdout logging and log rotation.
--overlay - mount a filesystem overlay on top of the current filesystem.
--overlay-named=name - mount a filesystem overlay on top of the current filesystem, and store it in name directory.
--overlay-tmpfs - mount a temporary filesystem overlay on top of the current filesystem.
--overlay-clean - clean all overlays stored in DOLLARSIGNHOME/.firejail directory.
--private - temporary home directory.
--private=directory - use directory as user home.
--private-home=file,directory - build a new user home in a temporary
filesystem, and copy the files and directories in the list in the new home.
--private-bin=file,file - build a new /bin in a temporary filesystem and copy the programs in the list.
--private-dev - create a new /dev directory. Only dri, null, full, zero,tty, pst, ptms, random, snd, urandom, log and shm devices are available.
--private-etc=file,directory - build a new /etc in a temporary filesystem, and copy the files and directories in the list.
--private-tmp - mount a tmpfs on top of /tmp directory.
--private-opt=file,directory - build a new /opt in a temporary filesystem.
--profile=filename - use a custom profile.
--profile-path=directory - use this directory to look for profile files.
--protocol=protocol,protocol,protocol - enable protocol filter.
--protocol.print=name|pid - print the protocol filter.
--put=name|pid src-filename dest-filename - put a file in sandbox container.
--quiet - turn off Firejail´s output.
--read-only=filename - set directory or file read-only..
--read-write=filename - set directory or file read-write..
--rlimit-fsize=number - set the maximum file size that can be created by a process.
--rlimit-nofile=number - set the maximum number of files that can be opened by a process.
--rlimit-nproc=number - set the maximum number of processes that can be created for the real user ID of the calling process.
--rlimit-sigpending=number - set the maximum number of pending signals for a process.
--rmenv=name - remove environment variable in the new sandbox.
--scan - ARP-scan all the networks from inside a network namespace.
--seccomp - enable seccomp filter and apply the default blacklist.
--seccomp=syscall,syscall,syscall - enable seccomp filter, blacklist the default syscall list and the syscalls specified by the command.
--seccomp.drop=syscall,syscall,syscall - enable seccomp filter, and blacklist the syscalls specified by the command.
--seccomp.keep=syscall,syscall,syscall - enable seccomp filter, and whitelist the syscalls specified by the command.
--seccomp.<errno>=syscall,syscall,syscall - enable seccomp filter, and return errno for the syscalls specified by the command.
--seccomp.print=name|pid - print the seccomp filter for the sandbox identified by name or PID.
OK--shell=none- run the program directly without a user shell.
--shell=program - set default user shell.
--shutdown=name|pid - shutdown the sandbox identified by name or PID.
--tmpfs=dirname - mount a tmpfs filesystem on directory dirname.
--top - monitor the most CPU-intensive sandboxes.
--trace - trace open, access and connect system calls.
--tracelog - add a syslog message for every access to files or directories blacklisted by the security profile.
--tree - print a tree of all sandboxed processes.
--version - print program version and exit.
--veth-name=name - use this name for the interface connected to the bridge.
--whitelist=filename - whitelist directory or file.
--writable-etc - /etc directory is mounted read-write.
--writable-var - /var directory is mounted read-write.
--writable-var-log - use the real /var/log directory, not a clone.
--x11 - enable X11 sandboxing. The software checks first if Xpra is installed, then it checks if Xephyr is installed. If all fails, it will attempt to use X11 security extension.
--x11=none - disable access to X11 sockets.
--x11=xephyr - enable Xephyr X11 server. The window size is 800x600.
--x11=xorg - enable X11 security extension.
--x11=xpra - enable Xpra X11 server.
--x11=xvfb - enable Xvfb X11 server.
--zsh - use /usr/bin/zsh as default shell.

Examples:
DOLLAR firejail firefox
start Mozilla Firefox
DOLLAR firejail --debug firefox
debug Firefox sandbox
DOLLAR firejail --private --sna=8.8.8.8 firefox
start Firefox with a new, empty home directory, and a well-known DNS-server setting.
DOLLAR firejail --net=eth0 firefox
start Firefox in a new network namespace
DOLLAR firejail --x11=xorg firefox
start Firefox and sandbox X11
DOLLAR firejail --list
list all running sandboxes


License GPL version 2 or later
Homepage: http://firejail.wordpress.com

Firejail-Options für /etc/firjail/*.inc-Konfigurationsdateien, eine Beschreibung erfolgt in "man firejail":
caps.drop all
ipc-namespace
netfilter
no3d
OKnogroups
OKnonewprivs
OKnoroot
nosound
protocol unix,inet,inet6
OKseccomp
OKshell none
tracelog
quiet
OKprivate-dev
OKprivate-bin
OKprivate-etc
OKprivate-tmp
...


Firejail besitzt in /etc/firejail übrigends Profile für:
0ad.profile
2048-qt.profile
140 25. Jun 14:30 7z.profile
1225 25. Jun 14:30 abrowser.profile
704 20. Mai 23:55 akregator.profile
489 25. Jun 14:30 amarok.profile
568 20. Mai 23:55 arduino.profile
499 25. Jun 14:30 ark.profile
347 25. Jun 14:30 atom-beta.profile
342 25. Jun 14:30 atom.profile

535 25. Jun 14:30 atool.profile

410 25. Jun 14:30 atril.profile

267 25. Jun 14:30 audacious.profile
357 25. Jun 14:30 audacity.profile
458 25. Jun 14:30 aweather.profile
1742 20. Mai 23:55 baloo_file.profile
785 20. Mai 23:55 bibletime.profile
271 25. Jun 14:30 bitlbee.profile
488 25. Jun 14:30 bleachbit.profile
488 8. Mai 23:07 bleachbit.profile
595 20. Mai 23:55 blender.profile
492 25. Jun 14:30 bless.profile
492 8. Mai 23:07 bless.profile
535 25. Jun 14:30 brasero.profile
535 8. Mai 23:07 brasero.profile
338 25. Jun 14:30 brave.profile
878 20. Mai 23:55 caja.profile
407 25. Jun 14:30 cherrytree.profile
66 25. Jun 14:30 chromium-browser.profile
695 25. Jun 14:30 chromium.profile
393 25. Jun 14:30 claws-mail.profile
268 25. Jun 14:30 clementine.profile
598 20. Mai 23:55 clipit.profile
340 25. Jun 14:30 cmus.profile
564 25. Jun 14:30 conkeror.profile
262 25. Jun 14:30 corebird.profile
379 25. Jun 14:30 cpio.profile
178 25. Jun 14:30 cryptocat.profile
524 20. Mai 23:55 Cryptocat.profile
582 25. Jun 14:30 cvlc.profile
99 25. Jun 14:30 cyberfox.profile
245 20. Mai 23:55 Cyberfox.profile
304 25. Jun 14:30 deadbeef.profile
366 25. Jun 14:30 default0.profile
366 25. Jun 14:30 default2.profile
607 25. Jun 14:30 default-firefox.profile
371 25. Jun 14:30 default-gftp.profile
367 25. Jun 14:30 default.profile
397 25. Jun 14:30 deluge.profile
526 20. Mai 23:55 dia.profile
450 25. Jun 14:30 dillo.profile
755 20. Mai 23:55 dino.profile
4812 25. Jun 14:30 disable-common0.inc
7239 25. Jun 14:30 disable-common-gftp.inc
3788 25. Jun 14:30 disable-common.inc
3788 11. Mai 15:08 disable-common.inc.rpmsave
7239 25. Jun 14:30 disable-common-kmail.inc
91 25. Jun 14:30 disable-devel-firefox.inc
1470 25. Jun 14:30 disable-devel.inc
725 25. Jun 14:30 disable-firefox.inc
187 25. Jun 14:30 disable-passwdmgr.inc
567 25. Jun 14:30 disable-programs-firefox.inc
4949 25. Jun 14:30 disable-programs.inc
538 25. Jun 14:30 display.profile
770 25. Jun 14:30 dnscrypt-proxy.profile
327 25. Jun 14:30 dnsmasq.profile
831 25. Jun 14:30 dolphin.profile
831 8. Mai 23:07 dolphin.profile
370 25. Jun 14:30 dosbox.profile
529 25. Jun 14:30 dragon.profile
448 25. Jun 14:30 dropbox.profile
562 25. Jun 14:30 elinks.profile
276 25. Jun 14:30 emacs.profile
229 25. Jun 14:30 empathy.profile
535 25. Jun 14:30 enchant.profile
505 25. Jun 14:30 engrampa.profile
376 25. Jun 14:30 eog.profile
374 25. Jun 14:30 eom.profile
609 25. Jun 14:30 epiphany.profile
356 25. Jun 14:30 evince.profile
476 25. Jun 14:30 evolution.profile
630 25. Jun 14:30 exiftool.profile
402 25. Jun 14:30 fbreader.profile
367 25. Jun 14:30 feh.profile
223 25. Jun 14:30 file.profile
514 25. Jun 14:30 file-roller.profile
553 20. Mai 23:55 filezilla.profile
230 20. Mai 23:55 firefox-esr.profile
1819 20. Mai 23:55 firefox.profile
2985 25. Jun 14:30 firejail.config 898 25. Jun 14:30 flashpeak-slimjet.profile
300 25. Jun 14:30 flowblade.profile
544 20. Mai 23:55 fontforge.profile
429 25. Jun 14:30 fossamail.profile
220 20. Mai 23:55 FossaMail.profile
481 25. Jun 14:30 franz.profile
817 25. Jun 14:30 gajim.profile
601 20. Mai 23:55 galculator.profile
543 20. Mai 23:55 geany.profile
621 25. Jun 14:30 gedit.profile
582 25. Jun 14:30 geeqie.profile
36 20. Mai 23:55 gimp-2.8.profile
295 25. Jun 14:30 gimp.profile
418 25. Jun 14:30 git.profile
383 25. Jun 14:30 gitter.profile
833 25. Jun 14:30 gjs.profile
555 20. Mai 23:55 globaltime.profile
653 25. Jun 14:30 gnome-2048.profile
654 25. Jun 14:30 gnome-books.profile
503 25. Jun 14:30 gnome-calculator.profile
431 25. Jun 14:30 gnome-chess.profile
526 25. Jun 14:30 gnome-clocks.profile
499 25. Jun 14:30 gnome-contacts.profile
612 25. Jun 14:30 gnome-documents.profile
543 20. Mai 23:55 gnome-font-viewer.profile
627 25. Jun 14:30 gnome-maps.profile
627 8. Mai 23:07 gnome-maps.profile
329 25. Jun 14:30 gnome-mplayer.profile
552 25. Jun 14:30 gnome-music.profile
663 25. Jun 14:30 gnome-photos.profile
669 25. Jun 14:30 gnome-weather.profile
493 25. Jun 14:30 goobox.profile
704 25. Jun 14:30 google-chrome-beta.profile
670 25. Jun 14:30 google-chrome.profile
76 25. Jun 14:30 google-chrome-stable.profile
732 25. Jun 14:30 google-chrome-unstable.profile
452 25. Jun 14:30 google-play-music-desktop-player.profile
493 25. Jun 14:30 gpa.profile
542 25. Jun 14:30 gpg-agent.profile
530 25. Jun 14:30 gpg.profile
543 25. Jun 14:30 gpicview.profile
458 25. Jun 14:30 gpredict.profile
55 25. Jun 14:30 gtar.profile
370 25. Jun 14:30 gthumb.profile
501 25. Jun 14:30 guayadeque.profile
535 20. Mai 23:55 gucharmap.profile
424 25. Jun 14:30 gwenview.profile
153 25. Jun 14:30 gzip.profile
425 25. Jun 14:30 hedgewars.profile
632 25. Jun 14:30 hexchat.profile
546 25. Jun 14:30 highlight.profile
544 20. Mai 23:55 hugin.profile
1224 25. Jun 14:30 icecat.profile
445 25. Jun 14:30 icedove.profile
99 25. Jun 14:30 iceweasel.profile
508 25. Jun 14:30 img2txt.profile
302 25. Jun 14:30 inkscape.profile
509 25. Jun 14:30 inox.profile
192 25. Jun 14:30 iridium-browser.profile
631 25. Jun 14:30 iridium.profile
479 25. Jun 14:30 jd-gui.profile
479 8. Mai 23:07 jd-gui.profile
326 25. Jun 14:30 jitsi.profile
475 25. Jun 14:30 k3b.profile
475 8. Mai 23:07 k3b.profile
700 25. Jun 14:30 kate.profile
617 20. Mai 23:55 kcalc.profile
219 25. Jun 14:30 keepass2.profile
400 25. Jun 14:30 keepass.profile
630 25. Jun 14:30 keepassx2.profile
630 8. Mai 23:07 keepassx2.profile
673 25. Jun 14:30 keepassxc.profile
673 8. Mai 23:07 keepassxc.profile
427 25. Jun 14:30 keepassx.profile
665 25. Jun 14:30 kino.profile
665 8. Mai 23:07 kino.profile
356 25. Jun 14:30 kmail.profile
356 21. Apr 13:50 kmail.profile
526 20. Mai 23:55 knotes.profile
545 20. Mai 23:55 kodi.profile
288 25. Jun 14:30 konversation.profile
709 20. Mai 23:55 ktorrent.profile
558 20. Mai 23:55 leafpad.profile
122 25. Jun 14:30 less.profile
400 25. Jun 14:30 libreoffice.profile
131 25. Jun 14:30 localc.profile
131 25. Jun 14:30 lodraw.profile
131 25. Jun 14:30 loffice.profile
131 25. Jun 14:30 lofromtemplate.profile
345 25. Jun 14:30 login.users 131 25. Jun 14:30 loimpress.profile
506 25. Jun 14:30 lollypop.profile
506 8. Mai 23:07 lollypop.profile
131 25. Jun 14:30 lomath.profile
131 25. Jun 14:30 loweb.profile
131 25. Jun 14:30 lowriter.profile
349 25. Jun 14:30 luminance-hdr.profile
556 20. Mai 23:55 lximage-qt.profile
579 20. Mai 23:55 lxmusic.profile
263 25. Jun 14:30 lxterminal.profile
533 25. Jun 14:30 lynx.profile
562 20. Mai 23:55 mate-calc.profile
42 20. Mai 23:55 mate-calculator.profile
533 20. Mai 23:55 mate-color-select.profile
579 20. Mai 23:55 mate-dictionary.profile
213 20. Mai 23:55 mathematica.profile
491 25. Jun 14:30 Mathematica.profile
213 8. Mai 23:07 mathematica.profile
387 25. Jun 14:30 mcabber.profile
545 25. Jun 14:30 mediainfo.profile
533 25. Jun 14:30 mediathekview.profile
551 20. Mai 23:55 meld.profile
301 25. Jun 14:30 midori.profile
526 25. Jun 14:30 mousepad.profile
363 25. Jun 14:30 mpv.profile
717 25. Jun 14:30 multimc5.profile
717 8. Mai 23:07 multimc5.profile
734 25. Jun 14:30 mumble.profile
734 8. Mai 23:07 mumble.profile
890 25. Jun 14:30 mupdf.profile
514 25. Jun 14:30 mupen64plus.profile
774 25. Jun 14:30 mutt.profile
859 25. Jun 14:30 nautilus.profile
859 8. Mai 23:07 nautilus.profile
674 20. Mai 23:55 nemo.profile
658 25. Jun 14:30 netsurf.profile
774 25. Jun 14:30 nolocal.net 652 20. Mai 23:55 nylas.profile
554 25. Jun 14:30 odt2txt.profile
542 25. Jun 14:30 okular.profile
284 25. Jun 14:30 openbox.profile
294 25. Jun 14:30 openshot.profile
591 25. Jun 14:30 opera-beta.profile
611 25. Jun 14:30 opera.profile
584 20. Mai 23:55 orage.profile
1601 25. Jun 14:30 palemoon.profile
371 25. Jun 14:30 parole.profile
660 20. Mai 23:55 pcmanfm.profile
439 25. Jun 14:30 pdfsam.profile
439 8. Mai 23:07 pdfsam.profile
541 25. Jun 14:30 pdftotext.profile
363 25. Jun 14:30 pidgin.profile
483 25. Jun 14:30 pithos.profile
483 8. Mai 23:07 pithos.profile
412 25. Jun 14:30 pix.profile
503 25. Jun 14:30 pluma.profile
707 25. Jun 14:30 polari.profile
507 25. Jun 14:30 psi-plus.profile
439 25. Jun 14:30 qbittorrent.profile
452 25. Jun 14:30 qemu-launcher.profile
418 25. Jun 14:30 qemu-system-x86_64.profile
560 20. Mai 23:55 qlipper.profile
405 25. Jun 14:30 qpdfview.profile
448 25. Jun 14:30 qtox.profile
222 25. Jun 14:30 quassel.profile
626 25. Jun 14:30 quiterss.profile
813 25. Jun 14:30 qupzilla.profile
533 25. Jun 14:30 qutebrowser.profile
426 25. Jun 14:30 ranger.profile
353 25. Jun 14:30 rhythmbox.profile
574 20. Mai 23:55 ristretto.profile
360 25. Jun 14:30 rtorrent.profile
885 25. Jun 14:30 scribus.profile
885 8. Mai 23:07 scribus.profile
100 25. Jun 14:30 seamonkey-bin.profile
1293 25. Jun 14:30 seamonkey.profile
355 25. Jun 14:30 server.profile
562 25. Jun 14:30 simple-scan.profile
506 25. Jun 14:30 skanlite.profile
267 25. Jun 14:30 skypeforlinux.profile
243 25. Jun 14:30 skype.profile
624 25. Jun 14:30 slack.profile
349 25. Jun 14:30 snap.profile
131 25. Jun 14:30 soffice.profile
844 25. Jun 14:30 spotify.profile
464 25. Jun 14:30 ssh-agent.profile
287 25. Jun 14:30 ssh.profile
603 25. Jun 14:30 start-tor-browser.profile
386 25. Jun 14:30 steam.profile
546 25. Jun 14:30 stellarium.profile
126 25. Jun 14:30 strings.profile
322 25. Jun 14:30 synfigstudio.profile
301 25. Jun 14:30 tar.profile
62 25. Jun 14:30 telegram.profile
208 20. Mai 23:55 Telegram.profile
62 12. Apr 20:18 telegram.profile
208 8. Mai 23:07 Telegram.profile
37 25. Jun 14:30 thunar.profile
725 20. Mai 23:55 Thunar.profile
540 8. Mai 23:07 Thunar.profile
446 25. Jun 14:30 thunderbird.profile
335 25. Jun 14:30 totem.profile
628 25. Jun 14:30 tracker.profile
618 25. Jun 14:30 transmission-cli.profile
460 25. Jun 14:30 transmission-gtk.profile
457 25. Jun 14:30 transmission-qt.profile
591 25. Jun 14:30 transmission-show.profile
441 25. Jun 14:30 uget-gtk.profile
780 25. Jun 14:30 unbound.profile
235 25. Jun 14:30 unrar.profile
223 25. Jun 14:30 unzip.profile
223 25. Jun 14:30 uudeview.profile
702 25. Jun 14:30 uzbl-browser.profile
609 20. Mai 23:55 viewnior.profile
581 20. Mai 23:55 viking.profile
292 25. Jun 14:30 vim.profile
273 25. Jun 14:30 virtualbox.profile
189 20. Mai 23:55 VirtualBox.profile
69 25. Jun 14:30 vivaldi-beta.profile
540 25. Jun 14:30 vivaldi.profile
534 25. Jun 14:30 vivaldi-stable.profile
398 25. Jun 14:30 vlc.profile
547 25. Jun 14:30 w3m.profile
521 25. Jun 14:30 warzone2100.profile
992 25. Jun 14:30 webserver.net 69 25. Jun 14:30 weechat-curses.profile
408 25. Jun 14:30 weechat.profile
689 25. Jun 14:30 wesnoth.profile
497 25. Jun 14:30 wget.profile
497 8. Mai 23:07 wget.profile
746 25. Jun 14:30 whitelist-common.inc
284 25. Jun 14:30 wine.profile
676 20. Mai 23:55 wire.profile
203 25. Jun 14:30 Wire.profile
609 25. Jun 14:30 wireshark.profile
609 8. Mai 23:07 wireshark.profile
288 25. Jun 14:30 xchat.profile
497 25. Jun 14:30 xed.profile
922 20. Mai 23:55 Xephyr.profile
531 25. Jun 14:30 xfburn.profile
555 20. Mai 23:55 xfce4-dict.profile
657 20. Mai 23:55 xfce4-notes.profile
676 25. Jun 14:30 xiphos.profile
487 25. Jun 14:30 xmms.profile
225 25. Jun 14:30 xonotic-glx.profile
602 25. Jun 14:30 xonotic.profile
602 8. Mai 23:07 xonotic.profile
225 25. Jun 14:30 xonotic-sdl.profile
352 25. Jun 14:30 xpdf.profile
450 25. Jun 14:30 xplayer.profile
512 25. Jun 14:30 xpra.profile
512 8. Mai 23:07 xpra.profile
450 25. Jun 14:30 xreader.profile
1128 20. Mai 23:55 Xvfb.profile
336 25. Jun 14:30 xviewer.profile
154 25. Jun 14:30 xzdec.profile
54 25. Jun 14:30 xz.profile
530 20. Mai 23:55 youtube-dl.profile
393 25. Jun 14:30 zathura.profile
470 25. Jun 14:30 zoom.profile


OKfirefox.profile (Auszug):
...
caps.drop all
ipc-namespace
netfilter
OKnogroups
OKnonewprivs
OKnoroot
protocol unix,inet,inet6,netlink
OKseccomp
OKshell none
tracelog

...
# experimental features
# private-bin sh,which,firefox,dbus-send,env,dbus-launch,sh
# private-etc passwd,group,hostname,hosts,localtime,nsswitch.conf,resolv.conf,xdg,gtk-2.0,X11,pango,fonts,firefox,mime.types,mailcap,asound.conf,pulse
private-etc passwd,group,hostname,hosts,resolv.conf,nsswitch.conf,fonts # this works for firefox, konqueror, gftp and so on
# private-dev # - prevents video calls going out
OKprivate-tmp
noexec DOLLAR{HOME}
noexec /tmp

"SECure COMPuting with filters (like seccomp within firejail)
===========================================
Introduction
------------
A large number of system calls are exposed to every userland process with many of them going unused for the entire lifetime of the process. As system calls change and mature, bugs are found and eradicated. A certain subset of userland applications benefit by having a reduced set of available system calls. The resulting set reduces the total kernel surface exposed to the application. System call filtering is meant for use with those applications.
Seccomp filtering provides a means for a process to specify a filter for incoming system calls. The filter is expressed as a Berkeley Packet Filter (BPF) program, as with socket filters, except that the data operated on is related to the system call being made: system call number and the system call arguments. This allows for expressive filtering of system calls using a filter program language with a long history of being exposed to userland and a straightforward data set.
Additionally, BPF makes it impossible for users of seccomp to fall prey to time-of-check-time-of-use (TOCTOU) attacks that are common in system call interposition frameworks. BPF programs may not dereference pointers which constrains all filters to solely evaluating the system call arguments directly.
What it isn´t
-------------
System call filtering isn´t a sandbox.It provides a clearly defined mechanism for minimizing the exposed kernel surface. It is meant to be a tool for sandbox developers to use. Beyond that, policy for logical behavior and information flow should be managed with a combination of other system hardening techniques and, potentially, an LSM of your choosing. Expressive, dynamic filters provide further options down this path (avoiding pathological sizes or selecting which of the multiplexed system calls in socketcall() is allowed, for instance) which could be construed, incorrectly, as a more complete sandboxing solution.
Usage
-----
An additional seccomp mode is added and is enabled using the same prctl(2) call as the strict seccomp. If the architecture has CONFIG_HAVE_ARCH_SECCOMP_FILTER, then filters may be added as below:
...", https://www.pro-linux.de/news/1/25207/sicherheits-audit-von-dnsmasq.html, https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt

Der Aufruf von Firejail erweist sich im Großen und Ganzen also als recht einfach. Aufgelistete Profile führten unserer Meinung aber nicht zur gewünschten Darstellung der Programm-Benutzeroberflächen zugehöriger Profile.
Daher möchten wir an dieser Stelle noch einmal ernsthaft zeigen, wie, mit welcher Konfiguration wir die Ausführung von Programmen aller Art mit Firejail so gut hinbekommen haben. Benötigt seien für alle unter Firejail zu startende Programme nur die drei Konfigurationsdateien (Profile) firefox.profile, kmail.profile und default.profile und von daher noch die inc.-Dateien aus /etc/firejail disable-common0.inc bzw. disalbe, disable-programs.inc und disable-devel.inc.

img src="images/haekchen.png" ALT="OK" align="left" border="0">/etc/firejail/palemoon.profile
#### Especially for Pale Moon (Browser) only very much protection can be achieved:
blacklist /mnt
blacklist /media
blacklist /etc/cups
blacklist /usr/local
blacklist /usr/sbin
blacklist /sbin
blacklist /usr/libexec
blacklist /usr/games
blacklist /lib
blacklist /home/toruser
blacklist /home/secret
blacklist /opt
blacklist /usr/lib
blacklist /usr/lib/python*
blacklist /usr/lib64/python*
blacklist /usr/lib/perl*
blacklist /usr/lib64/perl*
blacklist /etc/shadow
blacklist /etc/shadow-
blacklist DOLLARSIGN{HOME}/.wine
blacklist DOLLARSIGN{HOME}/.gnupg
ipc-namespace
caps.drop all
netfilter
nonewprivs
noroot
protocol unix,inet,inet6
seccomp
#nogroup
img src="images/haekchen.png" ALT="OK" align="left" border="0">shell none
#private-bin which,firefox
private-dev
private-tmp
private-etc passwd,group,hostname,hosts,fonts,nsswitch.conf,xdg,resolv.conf,pango
#
#### end Pale Moon (/etc/firejail/palemoon.profile)


################################
# img src="images/haekchen.png" ALT="OK" align="left" border="0"># /etc/firejail/firefox.profile:
# # die wesentliche Konfigurationsdatei (Profil) aus /etc/profile mit den weniger wichtigen per include eingebundenen Ergänzungen # # This file is overwritten during software install.
# Persistent customizations should go in a .local file.
include /etc/firejail/firefox.local
# Firejail profile for Mozilla Firefox (Iceweasel in Debian)
noblacklist ~/.mozilla
noblacklist ~/.cache/mozilla
noblacklist ~/.config/qpdfview
noblacklist ~/.local/share/qpdfview
noblacklist ~/.kde4/share/apps/okular
noblacklist ~/.kde/share/apps/okular
noblacklist ~/.local/share/okular
noblacklist ~/.pki
include /etc/firejail/disable-common0.inc # listed next
include /etc/firejail/disable-programs.inc # ...
include /etc/firejail/disable-devel.inc #...
#private-etc caps.drop all
ipc-namespace
seccomp # kernel >= 4
netfilter
nogroups
nonewprivs
noroot
protocol unix,inet,inet6,netlink
shell none
whitelist DOLLARSIGN{DOWNLOADS}
mkdir ~/.mozilla
whitelist ~/.mozilla
mkdir ~/.cache/mozilla/firefox
whitelist ~/.cache/mozilla/firefox
whitelist ~/dwhelper
whitelist ~/.zotero
whitelist ~/.vimperatorrc
whitelist ~/.vimperator
whitelist ~/.pentadactylrc
whitelist ~/.pentadactyl
whitelist ~/.keysnail.js
whitelist ~/.config/gnome-mplayer
whitelist ~/.cache/gnome-mplayer/plugin
mkdir ~/.pki
whitelist ~/.pki
whitelist ~/.lastpass
whitelist ~/.config/qpdfview
whitelist ~/.local/share/qpdfview
whitelist ~/.kde4/share/apps/okular
whitelist ~/.kde/share/apps/okular
whitelist ~/.local/share/okular
# silverlight
whitelist ~/.wine-pipelight
whitelist ~/.wine-pipelight64
whitelist ~/.config/pipelight-widevine
whitelist ~/.config/pipelight-silverlight5.1
include /etc/firejail/whitelist-common.inc
private-tmp
noexec DOLLARSIGN{HOME}
noexec /tmp

#
# /etc/firejail/disable-common0.inc
#
# Vorausgehende Datei hat mehr Bedeutung.
# Nicht nur aus dieser Konfigurationsdatei aus /etc/firejail läße sich für Firefox vieles streichen und kürzen. Wir möchten sie aber für weitere Profile nutzen.
#
# History files in DOLLARSIGNHOME
blacklist /mnt
blacklist /mnt/encpar1
blacklist /media
#blacklist-nolog DOLLARSIGN{HOME}/.history
#blacklist-nolog DOLLARSIGN{HOME}/.*_history
#blacklist DOLLARSIGN{HOME}/.local/share/systemd
#blacklist-nolog DOLLARSIGN{HOME}/.adobe
#blacklist-nolog DOLLARSIGN{HOME}/.macromedia
read-only DOLLARSIGN{HOME}/.local/share/applications

# X11 session autostart
blacklist DOLLARSIGN{HOME}/.xinitrc
#blacklist DOLLARSIGN{HOME}/.xprofile
blacklist DOLLARSIGN{HOME}/.config/autostart
blacklist /etc/xdg/autostart
blacklist DOLLARSIGN{HOME}/.kde4/Autostart
blacklist DOLLARSIGN{HOME}/.kde4/share/autostart
blacklist DOLLARSIGN{HOME}/.kde/Autostart
blacklist DOLLARSIGN{HOME}/.kde/share/autostart
blacklist DOLLARSIGN{HOME}/.config/plasma-workspace/shutdown
blacklist DOLLARSIGN{HOME}/.config/plasma-workspace/env
blacklist DOLLARSIGN{HOME}/.config/lxsession/LXDE/autostart
blacklist DOLLARSIGN{HOME}/.fluxbox/startup
blacklist DOLLARSIGN{HOME}/.config/openbox/autostart
blacklist DOLLARSIGN{HOME}/.config/openbox/environment
blacklist DOLLARSIGN{HOME}/.gnomerc
blacklist /etc/X11/Xsession.d/

# VirtualBox
blacklist DOLLARSIGN{HOME}/.VirtualBox
blacklist DOLLARSIGN{HOME}/VirtualBox VMs
blacklist DOLLARSIGN{HOME}/.config/VirtualBox

# VeraCrypt
blacklist DOLLARSIGN{PATH}/veracrypt
blacklist DOLLARSIGN{PATH}/veracrypt-uninstall.sh
blacklist /usr/share/veracrypt
blacklist /usr/share/applications/veracrypt.*
blacklist /usr/share/pixmaps/veracrypt.*
blacklist DOLLARSIGN{HOME}/.VeraCrypt

# var
blacklist /var/spool/cron
blacklist /var/spool/anacron
blacklist /var/run/acpid.socket
blacklist /var/run/minissdpd.sock
blacklist /var/run/rpcbind.sock
blacklist /var/run/mysqld/mysqld.sock
blacklist /var/run/mysql/mysqld.sock
blacklist /var/lib/mysqld/mysql.sock
blacklist /var/lib/mysql/mysql.sock
blacklist /var/run/docker.sock

# etc
blacklist /etc/cron.*
blacklist /etc/profile.d
blacklist /etc/rc.local
blacklist /etc/anacrontab

# General startup files
read-only DOLLARSIGN{HOME}/.xinitrc
read-only DOLLARSIGN{HOME}/.xserverrc
read-only DOLLARSIGN{HOME}/.profile

# Shell startup files
read-only DOLLARSIGN{HOME}/.antigen
read-only DOLLARSIGN{HOME}/.bash_login
read-only DOLLARSIGN{HOME}/.bashrc
read-only DOLLARSIGN{HOME}/.bash_profile
read-only DOLLARSIGN{HOME}/.bash_logout
read-only DOLLARSIGN{HOME}/.zsh.d
read-only DOLLARSIGN{HOME}/.zshenv
read-only DOLLARSIGN{HOME}/.zshrc
read-only DOLLARSIGN{HOME}/.zshrc.local
read-only DOLLARSIGN{HOME}/.zlogin
read-only DOLLARSIGN{HOME}/.zprofile
read-only DOLLARSIGN{HOME}/.zlogout
read-only DOLLARSIGN{HOME}/.zsh_files
read-only DOLLARSIGN{HOME}/.tcshrc
read-only DOLLARSIGN{HOME}/.cshrc
read-only DOLLARSIGN{HOME}/.csh_files
read-only DOLLARSIGN{HOME}/.profile

# Initialization files that allow arbitrary command execution
read-only DOLLARSIGN{HOME}/.caffrc
read-only DOLLARSIGN{HOME}/.dotfiles
read-only DOLLARSIGN{HOME}/dotfiles
read-only DOLLARSIGN{HOME}/.mailcap
read-only DOLLARSIGN{HOME}/.exrc
read-only DOLLARSIGN{HOME}/_exrc
read-only DOLLARSIGN{HOME}/.vimrc
read-only DOLLARSIGN{HOME}/_vimrc
read-only DOLLARSIGN{HOME}/.gvimrc
read-only DOLLARSIGN{HOME}/_gvimrc
read-only DOLLARSIGN{HOME}/.vim
read-only DOLLARSIGN{HOME}/.emacs
read-only DOLLARSIGN{HOME}/.emacs.d
read-only DOLLARSIGN{HOME}/.nano
read-only DOLLARSIGN{HOME}/.tmux.conf
read-only DOLLARSIGN{HOME}/.iscreenrc
read-only DOLLARSIGN{HOME}/.muttrc
read-only DOLLARSIGN{HOME}/.mutt/muttrc
read-only DOLLARSIGN{HOME}/.msmtprc
read-only DOLLARSIGN{HOME}/.reportbugrc
read-only DOLLARSIGN{HOME}/.xmonad
read-only DOLLARSIGN{HOME}/.xscreensaver

# The user ~/bin directory can override commands such as ls
read-only DOLLARSIGN{HOME}/bin
# top secret
blacklist DOLLARSIGN{HOME}/.ssh
blacklist DOLLARSIGN{HOME}/.cert
blacklist DOLLARSIGN{HOME}/.gnome2/keyrings
blacklist DOLLARSIGN{HOME}/.kde4/share/apps/kwallet
blacklist DOLLARSIGN{HOME}/.kde/share/apps/kwallet
blacklist DOLLARSIGN{HOME}/.local/share/kwalletd
blacklist DOLLARSIGN{HOME}/.config/keybase
blacklist DOLLARSIGN{HOME}/.netrc
blacklist DOLLARSIGN{HOME}/.gnupg
blacklist DOLLARSIGN{HOME}/.caff
blacklist DOLLARSIGN{HOME}/.smbcredentials
blacklist DOLLARSIGN{HOME}/*.kdbx
blacklist DOLLARSIGN{HOME}/*.kdb
blacklist DOLLARSIGN{HOME}/*.key
blacklist DOLLARSIGN{HOME}/.muttrc
blacklist DOLLARSIGN{HOME}/.mutt/muttrc
blacklist DOLLARSIGN{HOME}/.msmtprc
blacklist /etc/shadow
blacklist /etc/gshadow
blacklist /etc/passwd-
blacklist /etc/group-
blacklist /etc/shadow-
blacklist /etc/gshadow-
blacklist /etc/passwd+
blacklist /etc/group+
blacklist /etc/shadow+
blacklist /etc/gshadow+
blacklist /etc/ssh
blacklist /var/backup

# system management
blacklist DOLLARSIGN{PATH}/umount
blacklist DOLLARSIGN{PATH}/mount
blacklist DOLLARSIGN{PATH}/fusermount
blacklist DOLLARSIGN{PATH}/su
blacklist DOLLARSIGN{PATH}/sudo
blacklist DOLLARSIGN{PATH}/xinput
blacklist DOLLARSIGN{PATH}/evtest
blacklist DOLLARSIGN{PATH}/xev
blacklist DOLLARSIGN{PATH}/strace
blacklist DOLLARSIGN{PATH}/nc
blacklist DOLLARSIGN{PATH}/ncat

# system directories
blacklist /usr/local/sbin

# prevent lxterminal connecting to an existing lxterminal session
blacklist /tmp/.lxterminal-socket*

# disable terminals running as server resulting in sandbox escape
#blacklist DOLLARSIGN{PATH}/gnome-terminal
#blacklist DOLLARSIGN{PATH}/gnome-terminal.wrapper
#blacklist DOLLARSIGN{PATH}/xfce4-terminal
#blacklist DOLLARSIGN{PATH}/xfce4-terminal.wrapper
#blacklist DOLLARSIGN{PATH}/mate-terminal
#blacklist DOLLARSIGN{PATH}/mate-terminal.wrapper
#blacklist DOLLARSIGN{PATH}/lilyterm
#blacklist DOLLARSIGN{PATH}/pantheon-terminal
#blacklist DOLLARSIGN{PATH}/roxterm
#blacklist DOLLARSIGN{PATH}/roxterm-config
#blacklist DOLLARSIGN{PATH}/terminix
#blacklist DOLLARSIGN{PATH}/urxvtc
#blacklist DOLLARSIGN{PATH}/urxvtcd


Aufruf von Pale Moon (entsprechend Firefox, hier mit default.profile anstelle palemoon.profile):

knemo && sg surgruppe "firejail --nice=19 --profile=/etc/firejail/palemoon.profile /usr/lib64/palemoon/palemoon --no-remote &" && sg surfgruppe "tor -f /etc/tor/torrc&quto; && export RESOLV_HOST_CONF="/etc/hosts"


Diese Befehlszeile kann man in den Schnellstarter bzw. Startup unter "Befehl:" eintragen, damit Pale Moon bequem mit einem einzigen Mausklick auf eben beschriebene Art gestartet werden kann.

Firefox:

OK
"knemo && sg surfgruppe "firejail --nice=19 --profile=/etc/firejail/default-firefox.profile
--private=/home/surfuser
firefox --no-remote &" && sg surfgruppe tor"


mit default-firefox.profile
wie default.profile
, aber ohne blacklist /home/surfuser/.mozilla und /home/surfuser/.cache (einklammern mit #).

Option tor: Auf Nutzung der die DNS anonymisierenden TorDNS mit Tor (rpm tor (el6)) kommen wir am Schluss noch zu sprechen.

Linux namespaces sandbox program firejail, https://sourceforge.net/projects/firejail/ oder Download als rpm-Paket:firejail (patched rpm-Version)


"Firejail is an easy to use SUID sandbox program that reduces the risk of security breaches by restricting the running environment of untrusted applications using Linux namespaces, seccomp-bpf and Linux capabilities."

"Mit Firejail lässt sich das Risiko erheblich reduzieren, das von bis dato ungepatchten Sicherheitslücken in Programmen ausgeht.", www.kuketz-blog.de/firejail-linux-haerten-teil4

"Firejail is a SUID program that reduces the risk of security breaches by restricting the running environment of untrusted applications using Linux namespaces and seccomp-bpf. It allows a process and all its descendants to have their own private view of the globally shared kernel resources, such as the network stack, process table, mount table.
Written in C with virtually no dependencies, the software runs on any Linux computer with a 2.6- or 4-kernel or newer. The sandbox is lightweight, the overhead is low. There are no complicated configuration files to edit, no socket connections open, no daemons running in the background. All security features are implemented directly in Linux kernel and available on any Linux computer.
Firejail can sandbox any type of processes: servers, graphical applications, and even user login sessions. The software includes security profiles for a large number of Linux programs: Mozilla Firefox, Chromium, VLC, Transmission etc."


Die im Vergleich zu docker-io recht einfach zu handhabende SUID-Sandbox Firejail (rosa2014.1) empfiehlt sich auf diese Art und Weise zahlreichen Profile-Dateien aus /etc/firejail nach für alle untrusted-Applications, hier auch für webserver, server, dolphin Viele Konfigurationsdateien sind speziell für einzelne Prozesse bzw. Programme, die namentlich in Datei disabled* weisen hingegen allgemeine Bedeutung auf. Auch die verschlüsselten Partitionen und USB-Stifte lassen sich dort noch einmal restlos absichern: blacklist /mnt, blacklist /media, blacklist /media/Verzeichnis_des_USB-Stifts. Phantastisch: Firejailed Prozesse bzw. Programme laufen nun nicht nur doppelt und dreifach sicher, sondern auch noch schneller als vorher schon der Fall ! Auf den Aufruf eines online-Programmes mit surfuser und surfgroup (außer Kontact und kmail etc.) kommen wir unter linfw3 noch zu sprechen.

Firejail (rosa2014.1) berücksichtigt die ausformulierte private-Option noch nicht. Für diesen Fall ist ein rpm-Paket bzw. Patch von firejail (pclos2017, rosa2014.1) aus dem Jahr 2017/12 firejail-0.9.52-1.x86_64 erhältich, der nicht nur in der obigen Form für Firefox und Konqueror gegen den Einstellungen immer wieder auf Werk bzw. default zurücksetzenden private-Teil spricht, während sich Option profile weiterhin anbietet und zwar insbesonders über Konfigurationen wie folgt ("DOLLAR" steht dabei natürlich für das US-Dollar-Zeichen). Zu beachten ist noch, dass nicht jedes Programm unter folgender Konfiguration arbeitet. In solchen einigen, wenigen Fä,llen sind hier und da einzelne Passagen in neu anzulegenden Konfigurationsdateien zu streichen und aufzunehmen:

OK/etc/firejail/default.profile (von uns, Gooken, vorkonfiguriertes firejail steht als Download von unserer Sektion für Updates bereit)
:

################################
# Generic GUI application profile
################################
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-programs.inc
include /etc/firejail/disable-passwdmgr.inc
#
blacklist DOLLAR{HOME}/.wine
blacklist DOLLAR{HOME}/.gnupg
caps.drop all
# netfilter
nonewprivs
noroot
protocol unix,inet,inet6
# seccomp
OKshell none # this is very important and suitable for many profiles, even konqueror, kmail and thunderbird, but not all profiles: also notice our comments about /etc/passwd

/etc/firejail/disable-common.inc of firejail (rosa2014.1), alternatively set ACL-rules (setfacl):

OKnoexec /bin/bash # for some profiles like for Konqueror
noexec /usr/bin/bash
# History files in HOME
blacklist-nolog DOLLAR{HOME}/.history
blacklist-nolog {HOME}/.*_history
blacklist {HOME}/.local/share/systemd
blacklist-nolog {HOME}/.adobe
blacklist-nolog {HOME}/.macromedia
read-only {HOME}/.local/share/applications

# X11 session autostart and more
blacklist DOLLAR{HOME}/Documents
blacklist DOLLAR{HOME}/Text
blacklist DOLLAR{HOME}/Images
blacklist DOLLAR{HOME}/Music
blacklist DOLLAR{HOME}/Videos
blacklist DOLLAR{HOME}/Desktop
blacklist {HOME}/*.jar
blacklist {HOME}/logs
blacklist {HOME}/tor-browser
blacklist {HOME}/.xinitrc
blacklist {HOME}/.xprofile
blacklist {HOME}/.config/autostart
blacklist /etc/xdg/autostart
blacklist {HOME}/.kde4/Autostart
blacklist {HOME}/.kde4/share/autostart
blacklist {HOME}/.kde/Autostart
blacklist {HOME}/.kde/share/autostart
blacklist {HOME}/.config/plasma-workspace/shutdown
blacklist {HOME}/.config/plasma-workspace/env
blacklist {HOME}/.config/lxsession/LXDE/autostart
blacklist {HOME}/.fluxbox/startup
blacklist {HOME}/.config/openbox/autostart
blacklist {HOME}/.config/openbox/environment
blacklist {HOME}/.gnomerc
read-only /etc
read-only /bin
read-only /usr/bin
read-only /usr/etc
read-only /proc
read-only /sys
read-only /dev
blacklist /usr/src
read-only /usr/bin/firejail
read-only /usr/ssl
read-only /usr/libexec
read-only /usr/uclibc
read-only /usr/X11R6
read-only /usr/x86_64-linux-uclibc
read-only /usr/etc
read-only /usr/com
read-only /usr/docs
read-only /usr/enthought
read-only /usr/GNUstep
read-only /usr/selenium
read-only /usr/man
read-only /usr/mipsel-linux
read-only /usr/i686-w64-mingw32
read-only /usr/i486-linux-libc5
blacklist /etc/X11/Xsession.d/
OKblacklist /media/ # USB-Sticks / USB-Speicherstifte
OKblacklist /media/sicher/
OKblacklist /mnt
blacklist /opt
blacklist /misc
blacklist /secoff
blacklist /sid-root
blacklist /lost+found
blacklist /smack
blacklist /srv
blacklist /net
blacklist /initrd
blacklist /intel-ucode
blacklist /boot-save
blacklist /boot
blacklist /cgroup
blacklist /root
read-only /lib
read-only /lib64
read-only /usr/lib
read-only /usr/lib64 # Firefox: "read-only /usr/lib64/lib*" or read-only /usr/lib64/a*, ... , read-only /usr/lib64/z* without firefox-dir
read-only /usr/lib64/kde4 blacklist /usr/local
blacklist /usr/bin/ssh*
blacklist /bin/rm
blacklist /bin/ping
blacklist /bin/rpm*
blacklist /bin/mount*
blacklist /bin/umount*
blacklist /bin/ls*
blacklist /bin/sed*
blacklist /bin/rpm
blacklist /bin/pipeline
blacklist /bin/mv
blacklist /bin/cp
blacklist /bin/csh
blacklist /bin/dd
blacklist /bin/chmod
blacklist /bin/chown
blacklist /bin/dash
blacklist /bin/df
blacklist /bin/dmesg
blacklist /bin/ed
blacklist /bin/find
blacklist /bin/grep
blacklist /bin/exec
blacklist /bin/gunzip
blacklist /bin/gzip
blacklist /bin/gzexe
blacklist /bin/ln
blacklist /bin/login
blacklist /bin/lsblk
blacklist /bin/mail
blacklist /bin/mailx
blacklist /bin/mkdir
blacklist /bin/mksh
blacklist /bin/mknod
blacklist /bin/netstat
# blacklist /bin/ps
blacklist /bin/pwd
blacklist /bin/pipeline
blacklist /bin/rmdir
blacklist /bin/tcsh
blacklist /bin/touch
blacklist /bin/vi
blacklist /bin/zsh
blacklist /bin/tar
blacklist /bin/zless
blacklist /bin/zmore
blacklist /bin/more
blacklist /bin/date
blacklist /bin/dmesg
blacklist /bin/ash
blacklist /bin/awk
blacklist /bin/cg*
blacklist /bin/cd
blacklist /bin/bashb*
blacklist /bin/cat
blacklist /bin/env
blacklist /bin/get*
blacklist /bin/for*
blacklist /bin/homeof
blacklist /bin/foreground
blacklist /usr/bin/rpm*
blacklist /usr/bin/srm
blacklist /usr/bin/shred
blacklist /usr/bin/wipe
blacklist /usr/bin/mount*
blacklist /usr/bin/umount*
blacklist /usr/bin/mouse*
blacklist /usr/bin/ls*
# blacklist /usr/bin/r*
# blacklist /usr/bin/a*
# blacklist /usr/bin/c*
# blacklist /usr/bin/e*
# blacklist /usr/bin/f*
# blacklist /usr/bin/h*
# blacklist /usr/bin/i*
# blacklist /usr/bin/j*
# blacklist /usr/bin/perl*
# blacklist /usr/bin/s*
# blacklist /usr/bin/t*
# blacklist /usr/bin/u*
# blacklist /usr/bin/v*
# blacklist /usr/bin/w*
# blacklist /usr/bin/x*
# blacklist /usr/bin/y*
# blacklist /usr/bin/z*
blacklist /usr/libexec/mysql*
blacklist /usr/bin/mysql*
blacklist /usr/share/autostart
read-only /usr/share/cups
read-only /usr/share/cups/model
blacklist /usr/share/doc
blacklist /var/www
blacklist /var/www/html

# VirtualBox blacklist DOLLAR{HOME}/.VirtualBox
blacklist DOLLAR{HOME}/VirtualBox VMs
blacklist DOLLAR{HOME}/.config/VirtualBox

# VeraCrypt
blacklist DOLLAR{PATH}/veracrypt
blacklist DOLLAR{PATH}/veracrypt-uninstall.sh
blacklist /usr/share/veracrypt
blacklist /usr/share/applications/veracrypt.*
blacklist /usr/share/pixmaps/veracrypt.*
blacklist DOLLAR{HOME}/.VeraCrypt

# var
blacklist /var/spool/cron
blacklist /var/spool/anacron
blacklist /var/run/acpid.socket
blacklist /var/run/minissdpd.sock
blacklist /var/run/rpcbind.sock
blacklist /var/run/mysqld/mysqld.sock
blacklist /var/run/mysql/mysqld.sock
blacklist /var/lib/mysqld/mysql.sock
blacklist /var/lib/mysql/mysql.sock
blacklist /var/run/docker.sock

# etc
blacklist /etc/cron.*
blacklist /etc/profile.d
blacklist /etc/rc.local
blacklist /etc/anacrontab
blacklist /etc/rpc*
blacklist /etc/rpm*
blacklist /etc/rc*
blacklist /etc/init.d
read-only /etc/printcap
blacklist /etc/pmount*
read-only /etc/PolicyKit
read-only /etc/php.ini
read-only /etc/passwd
read-only /etc/paper*
blacklist /etc/mpasswd
blacklist /etc/modprobe*
blacklist /etc/mke2fs*
blacklist /etc/libuser.conf
blacklist /etc/libvirt
blacklist /etc/ld.so*
read-only /etc/kde
blacklist /etc/init*
blacklist /etc/incron*
blacklist /etc/resolv.conf
blacklist /etc/host*
blacklist /etc/gshadow*
blacklist /etc/fstab*
blacklist /etc/freshclam*
blacklist /etc/dracut*
read-only /etc/Dir_COLORS*
blacklist /etc/dhcp*
read-only /etc/cups
blacklist /etc/crypttab*
blacklist /etc/cron*
blacklist /etc/csh*
blacklist /etc/cvs*
blacklist /etc/cpu*
blacklist /etc/conntrackd.conf
blacklist /etc/color*
blacklist /etc/cloud
blacklist /etc/clam*
blacklist /etc/chrony*
blacklist /etc/chilli*
read-only /etc/bash*
blacklist /etc/at
blacklist /etc/asound*
blacklist /etc/aide*

# General startup files
read-only DOLLAR{HOME}/.xinitrc
read-only DOLLAR{HOME}/.xserverrc
read-only DOLLAR{HOME}/.profile


# Shell startup files
read-only DOLLAR{HOME}/.antigen
read-only DOLLAR{HOME}/.bash_login
read-only DOLLAR{HOME}/.bashrc
read-only DOLLAR{HOME}/.bash_profile
read-only DOLLAR{HOME}/.bash_logout
read-only DOLLAR{HOME}/.zsh.d
read-only DOLLAR{HOME}/.zshenv
read-only DOLLAR{HOME}/.zshrc
read-only DOLLAR{HOME}/.zshrc.local
read-only DOLLAR{HOME}/.zlogin
read-only DOLLAR{HOME}/.zprofile
read-only DOLLAR{HOME}/.zlogout
read-only DOLLAR{HOME}/.zsh_files
read-only DOLLAR{HOME}/.tcshrc
read-only DOLLAR{HOME}/.cshrc
read-only DOLLAR{HOME}/.csh_files
read-only DOLLAR{HOME}/.profile
read-only DOLLAR{HOME}/.gnugp*
read-only DOLLAR{HOME}/gnupg

# Initialization files that allow arbitrary command execution
read-only DOLLAR{HOME}/.caffrc
read-only DOLLAR{HOME}/.dotfiles
read-only DOLLAR{HOME}/dotfiles
read-only DOLLAR{HOME}/.mailcap
read-only DOLLAR{HOME}/.exrc
read-only DOLLAR{HOME}/_exrc
read-only DOLLAR{HOME}/.vimrc
read-only DOLLAR{HOME}/_vimrc
read-only DOLLAR{HOME}/.gvimrc
read-only DOLLAR{HOME}/_gvimrc
read-only DOLLAR{HOME}/.vim
read-only DOLLAR{HOME}/.emacs read-only DOLLAR{HOME}/.emacs.d
read-only DOLLAR{HOME}/.nano
read-only DOLLAR{HOME}/.tmux.conf
read-only DOLLAR{HOME}/.iscreenrc
read-only DOLLAR{HOME}/.muttrc
read-only DOLLAR{HOME}/.mutt/muttrc
read-only DOLLAR{HOME}/.msmtprc
read-only DOLLAR{HOME}/.reportbugrc
read-only DOLLAR{HOME}/.xmonad
read-only DOLLAR{HOME}/.xscreensaver
read-only /etc/X11
# The user ~/bin directory can override commands such as ls
read-only DOLLAR{HOME}/bin
# top user
blacklist DOLLAR{HOME}/.ssh
blacklist DOLLAR{HOME}/.cert
blacklist DOLLAR{HOME}/.gnome2/keyrings
blacklist DOLLAR{HOME}/.kde4/share/apps/kwallet
blacklist DOLLAR{HOME}/.kde/share/apps/kwallet
blacklist DOLLAR{HOME}/.local/share/kwalletd
blacklist DOLLAR{HOME}/.config/keybase
blacklist DOLLAR{HOME}/.netrc
blacklist DOLLAR{HOME}/.gnupg
blacklist DOLLAR{HOME}/.caff
blacklist DOLLAR{HOME}/.smbcredentials
blacklist DOLLAR{HOME}/*.kdbx
blacklist DOLLAR{HOME}/*.kdb
blacklist DOLLAR{HOME}/*.key
blacklist DOLLAR{HOME}/.muttrc
blacklist DOLLAR{HOME}/.mutt/muttrc
blacklist DOLLAR{HOME}/.msmtprc
blacklist /home/surfuser/.gnupg
blacklist /etc/shadow
blacklist /etc/gshadow
# blacklist /etc/passwd
blacklist /etc/passwd-
blacklist /etc/group-
blacklist /etc/shadow-
blacklist /etc/gshadow-
blacklist /etc/passwd+
blacklist /etc/group+
blacklist /etc/shadow+
blacklist /etc/gshadow+
blacklist /etc/ssh
blacklist /var/backup

# system management
blacklist DOLLAR{PATH}/umount
blacklist DOLLAR{PATH}/mount
blacklist DOLLAR{PATH}/fusermount
blacklist DOLLAR{PATH}/su
blacklist DOLLAR{PATH}/sudo
blacklist DOLLAR{PATH}/xinput
blacklist DOLLAR{PATH}/evtest
blacklist DOLLAR{PATH}/xev
blacklist DOLLAR{PATH}/strace
blacklist DOLLAR{PATH}/nc
blacklist DOLLAR{PATH}/ncat

# system directories
blacklist /sbin
blacklist /usr/sbin
blacklist /usr/local/sbin

# prevent lxterminal connecting to an existing lxterminal session
blacklist /tmp/.lxterminal-socket*

# disable terminals running as server resulting in sandbox escape
blacklist DOLLAR{PATH}/gnome-terminal
blacklist DOLLAR{PATH}/gnome-terminal.wrapper
blacklist DOLLAR{PATH}/xfce4-terminal
blacklist DOLLAR{PATH}/xfce4-terminal.wrapper
blacklist DOLLAR{PATH}/mate-terminal
blacklist DOLLAR{PATH}/mate-terminal.wrapper
blacklist DOLLAR{PATH}/lilyterm
blacklist DOLLAR{PATH}/pantheon-terminal
blacklist DOLLAR{PATH}/roxterm
blacklist DOLLAR{PATH}/roxterm-config
blacklist DOLLAR{PATH}/terminix
blacklist DOLLAR{PATH}/urxvtc
blacklist DOLLAR{PATH}/urxvtcd
blacklist DOLLAR{PATH}/xterm
blacklist DOLLAR{PATH}/konsole
blacklist DOLLAR{PATH}/rxvt
blacklist DOLLAR{PATH}/lxterminal
read-only /etc/firejail
blacklist /usr/bin/ssh*
blacklist /usr/bin/rlogin*
blacklist DOLLAR{HOME}/.gftp/cache
blacklist DOLLAR{HOME}/Dokumente
blacklist DOLLAR{HOME}/Video
blacklist DOLLAR{HOME}/Bilder
blacklist DOLLAR{HOME}/Audio
blacklist DOLLAR{HOME}/Texte


Fast alles ist nun mit dem Aufruf des Programms mit firejail gesperrt oder read-only. Kleiner Haken alter Firejail-Versionen: Vor einer Paketinstallation sind alle firejail-Prozesse des Browsers mit kill zu beenden. Generell lassen sich alle vom Surfuser gestarteten Prozesse mit "killall -u surfuser", da dnsmasq von surfuser gestartet worden sein kann, noch besser von Zeit zu Zeit, bevor zu viele firejail laufen, mit "killall firejail" beenden, so dass alle noch laufenden firejail-Prozesse gleich mit. Hier empfiehlt sich ein kleiner Eintrag unter Benutzer root im K-Menü und/oder in der Taskleiste.

OKAllgemeine chroot- und suid-Paranoia
chroot is one of the most powerful possibilities to restrict a daemon or a user or another service. Just imagine a jail around your target, which the target cannot escape from (normally, but there are still a lot of conditions that allow one to escape out of such a jail). You can eventually create a modified root environment for the user or service you do not trust. This can use quite a bit of disk space as you need to copy all needed executables, as well as libraries, into the jail. But then, even if the user does something malicious, the scope of the damage is limited to the jail.
Viele Dienste, die als Daemonen laufen, können von dieser Vorgehensweise profitieren. Die Daemonen, die Sie mit Ihrer Debian-Distribution installieren, laufen jedoch nicht standardmäßig in einem chroot-Gefängnis.
Dies beinhaltet: Name-Server (wie bind), Web-Server (wie apache), Mail-Server (wie sendmail) und FTP-Server (wie wu-ftpd). Wahrscheinlich ist es nur fair zu sagen, dass die Komplexität von BIND der Grund dafür ist, warum er in den letzten Jahren so oft für Attacken verwundbar war (vergleiche Absichern von BIND, Abschnitt 5.7).
Jedoch bietet Debian einige Software an, die helfen kann, chroot-Umgebungen aufzubauen. Sehen Sie Automatisches Erstellen von Chroot-Umgebungen (im Folgenden)
Wenn Sie irgendwelche Dienste in Ihrem System laufen lassen, sollten Sie dies so sicher wie nur möglich tun. Dies beinhaltet: Entziehung von root-Privilegien, Starten in beschränkten Umgebungen (wie ein chroot-Gefängnis) oder Ersetzen durch ein sichereres Äquivalent.
Seien Sie jedoch gewarnt, dass aus einem chroot-Gefängnis ausgebrochen werden kann, wenn der Benutzer, der im Inneren läuft, der Superuser ist. Sie müssen also sicherstellen, dass der Dienst als nicht privilegierter Benutzer läuft. Durch Einschränken seiner Umgebung schränken Sie die welt-lesbaren/ausführbaren Dateien, auf die der Dienst zugreifen kann, ein. Auf diese Weise begrenzen Sie die Möglichkeiten einer Rechteerweiterung durch lokale Sicherheitsverwundbarkeiten des Systems. Selbst in dieser Situation können Sie nicht völlig sicher sein, dass es für einen cleveren Angreifer keinen Weg gibt, irgendwie aus dem Gefängnis auszubrechen. Der ausschließliche Einsatz sicherer Server-Programme, die einen guten Ruf bezüglich Sicherheit haben, ist eine zusätzliche gute Sicherheitsmaßnahme. Selbst kleinste Löcher wie offene Datei-Handle können von einem versierten Angreifer zum Einbruch in das System verwendet werden. Schließlich war chroot nicht als Sicherheits-, sondern als ein Testwerkzeug gedacht.
Automatisches Erstellen von Chroot-Umgebungen
Es gibt verschiedene Programme, um Server und Dienste automatisch in ein Chroot-Gefängnis einzusperren. Debian bietet zurzeit (akzeptiert im Mai 2002) Wietse Venemas chrootuid im Paket chrootuid, ebenso wie compartment und makejail an. Diese Programme können verwendet werden, um eine eingeschränkte Umgebung zum Ausführen beliebiger Programme aufzusetzen (chrootuid erlaubt es Ihnen sogar, es unter einem eingeschränkten Benutzer laufen zu lassen).
Einige dieser Werkzeuge können verwendet werden, um das Chroot-Gefängnis leicht aufzusetzen. Zum Beispiel kann das makejail-Programm ein chroot-Gefängnis mit kurzen Konfigurationsdateien erzeugen und aktualisieren. (Es bietet Beispielskonfigurationsdateien für bind, apache, postgresql und mysql.) Es versucht alle Dateien, die vom Daemon benötigt werden, mittels strace, stat und Debians Paketabhängigkeiten zu bestimmen und in das Gefängnis zu installieren. Weitere Information gibt es unter http://www.floc.net/makejail/. Jailer ist ein ähnliches Werkzeug und kann von http://www.balabit.hu/downloads/jailer/ heruntergeladen werden und ist auch als Debian-Paket verfügbar.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html#s-chroot

Doch weiter im Text mit linfw3: Der LINED-BLOCK-NEW allein schü,tzt das System nicht, obwohl er alle Hacker abwehrt, von der vom Surfer aufgebauten (eingerichteten) Verbindung natürlich abgesehen, daher immer zusätzlich UID-OWNER surfuser (bestenfalls mit GID-Owner surfgroup) mit dem hinzukommenden Port-Konzept verwenden, und bitte nur zum Updaten auf Benutzer wie root! Außerdem sollte ja der REMOTE_ROOT_LOGIN und der ROOT_LOGIN dabei verboten sein und die Zugriffsrechte entsprechend gesetzt. Wer sich nicht an all sowas hält, geht hohe Risiken ein!

MAC Tomoyo profiles: /etc/tomoyo/*, kernel boot options: security=tomoyo tomoyo=1.

OK # apparmor: application MAC-protection-shield and MAC-kernel-security-module to load within /boot/grub/menu.lst (grub1) by option security=apparmor apparmor=1
# dbus-apparmor& # within /etc/rc.local
# /usr/lib64/apparmorapplet& # /etc/rc.local
# example: apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.firefox && /usr/bin/firefox # ( bzw.., um außerdem an Firejail weiterhin festzuhalten: ...&& sg surfgruppe "firejail --profile=/etc/firejail/firefox-esr.profile /usr/bin/firefox" )
# /etc/apparmor/profiles/extras/* :
885 23. Jul 15:03 bin.netstat
1247 23. Jul 15:03 etc.cron.daily.logrotate
955 23. Jul 15:03 etc.cron.daily.slocate.cron
729 23. Jul 15:03 etc.cron.daily.tmpwatch
1733 23. Jul 15:03 README
1934 23. Jul 15:03 sbin.dhclient
1297 23. Jul 15:03 sbin.dhcpcd
682 23. Jul 15:03 sbin.portmap
855 23. Jul 15:03 sbin.resmgrd
489 23. Jul 15:03 sbin.rpc.lockd
1010 23. Jul 15:03 sbin.rpc.statd
1655 23. Jul 15:03 usr.bin.acroread
791 23. Jul 15:03 usr.bin.apropos
4569 23. Jul 15:03 usr.bin.evolution-2.10
697 23. Jul 15:03 usr.bin.fam
750 23. Jul 15:03 usr.bin.freshclam
1918 23. Jul 15:03 usr.bin.gaim
595 23. Jul 15:03 usr.bin.man
618 23. Jul 15:03 usr.bin.mlmmj-bounce
1041 23. Jul 15:03 usr.bin.mlmmj-maintd
1096 23. Jul 15:03 usr.bin.mlmmj-make-ml.sh
884 23. Jul 15:03 usr.bin.mlmmj-process
587 23. Jul 15:03 usr.bin.mlmmj-recieve
766 23. Jul 15:03 usr.bin.mlmmj-send
821 23. Jul 15:03 usr.bin.mlmmj-sub
803 23. Jul 15:03 usr.bin.mlmmj-unsub
2017 23. Jul 15:03 usr.bin.opera
1003 23. Jul 15:03 usr.bin.passwd
1025 23. Jul 15:03 usr.bin.procmail
1132 23. Jul 15:03 usr.bin.skype
580 23. Jul 15:03 usr.bin.spamc
904 23. Jul 15:03 usr.bin.svnserve
1185 23. Jul 15:03 usr.bin.wireshark
674 23. Jul 15:03 usr.bin.xfs
1022 23. Jul 15:03 usr.lib64.GConf.2.gconfd-2
857 23. Jul 15:03 usr.lib.bonobo.bonobo-activation-server
1258 23. Jul 15:03 usr.lib.evolution-data-server.evolution-data-server-1.10
1604 23. Jul 15:03 usr.lib.firefox.firefox
386 23. Jul 15:03 usr.lib.firefox.firefox.sh
654 23. Jul 15:03 usr.lib.firefox.mozilla-xremote-client
1018 23. Jul 15:03 usr.lib.GConf.2.gconfd-2
1230 23. Jul 15:03 usr.lib.man-db.man
889 23. Jul 15:03 usr.lib.postfix.anvil
2101 23. Jul 15:03 usr.lib.postfix.bounce
1269 23. Jul 15:03 usr.lib.postfix.cleanup
530 23. Jul 15:03 usr.lib.postfix.discard
626 23. Jul 15:03 usr.lib.postfix.error
1701 23. Jul 15:03 usr.lib.postfix.flush
624 23. Jul 15:03 usr.lib.postfix.lmtp
1839 23. Jul 15:03 usr.lib.postfix.local
1887 23. Jul 15:03 usr.lib.postfix.master
2443 23. Jul 15:03 usr.lib.postfix.nqmgr
607 23. Jul 15:03 usr.lib.postfix.oqmgr
859 23. Jul 15:03 usr.lib.postfix.pickup
497 23. Jul 15:03 usr.lib.postfix.pipe
709 23. Jul 15:03 usr.lib.postfix.proxymap
2464 23. Jul 15:03 usr.lib.postfix.qmgr
626 23. Jul 15:03 usr.lib.postfix.qmqpd
670 23. Jul 15:03 usr.lib.postfix.scache
2260 23. Jul 15:03 usr.lib.postfix.showq
1842 23. Jul 15:03 usr.lib.postfix.smtp
2120 23. Jul 15:03 usr.lib.postfix.smtpd
626 23. Jul 15:03 usr.lib.postfix.spawn
791 23. Jul 15:03 usr.lib.postfix.tlsmgr
904 23. Jul 15:03 usr.lib.postfix.trivial-rewrite
628 23. Jul 15:03 usr.lib.postfix.verify
788 23. Jul 15:03 usr.lib.postfix.virtual
1339 23. Jul 15:03 usr.lib.RealPlayer10.realplay
1074 23. Jul 15:03 usr.NX.bin.nxclient
1120 23. Jul 15:03 usr.sbin.cupsd
864 23. Jul 15:03 usr.sbin.dhcpd
6148 23. Jul 15:03 usr.sbin.httpd2-prefork
818 23. Jul 15:03 usr.sbin.imapd
652 23. Jul 15:03 usr.sbin.in.fingerd
1279 23. Jul 15:03 usr.sbin.in.ftpd
590 23. Jul 15:03 usr.sbin.in.ntalkd
825 23. Jul 15:03 usr.sbin.ipop2d
825 23. Jul 15:03 usr.sbin.ipop3d
1365 23. Jul 15:03 usr.sbin.lighttpd
756 23. Jul 15:03 usr.sbin.mysqld
920 23. Jul 15:03 usr.sbin.nmbd
830 23. Jul 15:03 usr.sbin.oidentd
735 23. Jul 15:03 usr.sbin.popper
1331 23. Jul 15:03 usr.sbin.postalias
1017 23. Jul 15:03 usr.sbin.postdrop
829 23. Jul 15:03 usr.sbin.postmap
1091 23. Jul 15:03 usr.sbin.postqueue
3435 23. Jul 15:03 usr.sbin.sendmail
2061 23. Jul 15:03 usr.sbin.sendmail.postfix
1564 23. Jul 15:03 usr.sbin.sendmail.sendmail
946 25. Mai 2012 usr.sbin.slapd
1140 23. Jul 15:03 usr.sbin.smbd
1068 23. Jul 15:03 usr.sbin.spamd
1686 23. Jul 15:03 usr.sbin.squid
3691 23. Jul 15:03 usr.sbin.sshd
1310 23. Jul 15:03 usr.sbin.useradd
1344 23. Jul 15:03 usr.sbin.userdel
1073 23. Jul 15:03 usr.sbin.vsftpd
2413 23. Jul 15:03 usr.sbin.xinetd


Unser Sicherheits-Extra-Tipp: Nach der Einwahl ins Internet mit dem (rpm) networkmanager-applet (NetworkManager el6) sollte man auf Beenden klicken!

Füllstand SSD bzw. HDD < 80%


Datensicherung, Wiederherstellung


OK Vor allem mit dick und doof (alias dd).

Wir müssen schon wieder alle anderen Backup- und Kopierprogramme vom Tisch fegen, denn immer nur diese bitte, hier liegts nur noch an Ihnen! Manchmal scheinen sie endlos lang zu laufen, finden aber immer wieder ein Ende. Sie sind daher lustig statt traurig und bleiben garantiert spannend (der Fortschrittsbalken fehlt nämlich). Eine SSD scheint damit für immer und ewig gerettet zu sein!

Linux: Datensicherung mit rsync, PCWelt.de, 08.08.2015
Zum Sichern von Daten und Verzeichnissen ist unter Linux rsync zu empfehlen. Weil es sich um ein Konsolen-Tool handelt, lässt es sich auch gut in Scripts einsetzen. Für die Datensicherung kann rsync via ssh auch auf andere Rechner zugreifen. Das Tool rsync gehört eigentlich zum Inventar einer Linux-Installation. Dies gilt auch für Mac OS X oder andere Unix-Derivate. rsync überträgt bei der Datensicherung jeweils nur die Änderungen - das macht sich besonders bei der Geschwindigkeit positiv bemerkbar. Die Syntax von rsync ist relativ einfach: rsync <Optionen><Quelle><Ziel>.
Dabei müssen Quelle und Ziel nicht auf demselben Rechner eingebunden sein. rsync kann sich auch mittels ssh mit anderen Rechnern verbinden und die Datensicherung verschlüsselt durchführen. GUI: grafischer Aufsatz Grsync für das Datensicherungs-Tool rsync. GUI: grafischer Aufsatz Grsync für das Datensicherungs-Tool rsync. VergrößernGUI: grafischer Aufsatz Grsync für das Datensicherungs-Tool rsync. Ebenso können Sie mit bestimmten Schaltern Dateien und Verzeichnisse exklusiv einbeziehen oder außen vor lassen. Die Anzahl der rsync-Schalter ist sehr groß. Zum Beispiel können Sie steuern, ob die Rechte der Dateien mitkopiert werden sollen. Ebenso können Sie einstellen, ob Daten zu löschen sind, die sich nicht mehr in der Quelle befinden. Die Möglichkeiten, die rsync bietet, sind sehr umfangreich. Um Bandbreite zu sparen, können Sie Daten während des Transfers auch komprimieren. Für bestimmte Szenarien muss sowohl auf dem Quell- als auch auf dem Zielrechner rsync installiert sein. Interessierte können einen Blick in die Manpage werfen: man rsync. Für rsync existieren auch diverse GUIs, die dem Anwender das Leben ein wenig leichter machen, beispielsweise Grsync . Dieses auf rsync basierende Tool gibt es für Linux, Mac OS X, Windows und Maemo. Bei Linux finden Sie das Paket unter Umständen sogar in den Repositories. Produkte: Abwandlungen von rsync gibt es für sehr viele Betriebssysteme, beispielsweise Linux, Mac OS X und Windows.

rdiff-backup: Spiegel mit Zeitmaschine unter Linux, PCWelt.de, 08.08.2015
Eine Zeitmaschine ist sehr praktisch, wenn der ältere Stand einer Datei wiederhergestellt werden soll. Apples Time Machine hat für diese Funktionalität viele Lorbeeren erhalten. Allerdings gibt es auch für Linux mit rdiff-backup eine entsprechende Lösung.
Das Tool rdiff-backup legt einen fast exakten Spiegel des zu sichernden Verzeichnisses an. Lediglich auf der Sicherungsseite gibt es einen Unterordner mehr, der die Informationen und Daten der Zeitmaschine aufbewahrt. Die Sicherungssoftware rdiff-backup ist dabei sehr effizient, weil sie wegen librsync denselben Algorithmus wie das Schweizer Taschenmesser der Backups - rsync - benutzt. Damit Sie rdiff-backup unter Linux benutzen können, müssen einige Voraussetzungen erfüllt sein. Sowohl auf dem Start- als auch auf dem Zielrechner muss rdiff-backup vorhanden sein. Sie können den Quellcode von nongnu.org herunterladen. Vorher sollten Sie aber einen Blick in das Repository Ihrer Linux-Distribution werfen. Mit hoher Wahrscheinlichkeit finden Sie rdiff-backup dort und können es bequem über die gewohnten Kanäle installieren. Der Backup-Server muss eine SSH-Verbindung zulassen, da das Tool die Datensicherung mittels verschlüsselter SSH-Verbindung durchführt.

Dennoch: Lassen Sie sich auch hier keine Märchen erzählen wie in diesem gewissen Land üblich: Bei der Installation von selbst mdv2010 kann es hier und da zu Problemen kommen, zumal nicht alle der unzählig vielen Paket-Abhängigkeiten gelöst sind. Nach einem Hackerangiff mit Vandalismus als Folge kann sich wer weiß was alles auf dem zugrundeliegenden Medium befinden. Eine umfassende Sicherung ist und bleibt zwingend! Sicherungen verlangen aber nicht nur höchste Zuverlässigkeit ab sondern verbrauchen beim Dauerbetrieb des Sicherungsmediums zusätzlich Strom und belegen jede Menge Speicherplatz. Wir empfehlen daher für zuverlässige lokale Sicherungen und Wiederherstellungen von Inhalten auf SSD die Anschaffung gleich zweier SSD oder zumindest einer SSD und einer (externen) magnetischen Festplatte mit Spiegelung der Partitionen über die Anlage der Partitionen im 1:1 mittels Partitionsmanager des MCC und Einsatz des bewährten, noch näher beschriebenen Befehl dd oder safecopy. Obwohl dd immer noch keinen Fortschrittsbalken anzeigt: unschlagbar! SSDs mögen den Befehl dd zwar nicht besonders, geschweige, wie wir ihn schätzen, indem sie sich ihre Zeit mit ihm nehmen (bei uns 1GiB pro Minute), dafür gelangt (tuckert) dd nicht nur unserer Meinung nach bislang aber immer sicher ins Ziel. Sollte selbst das nicht zutreffen, eignet sich der dd-Ersatz safecopy. dd eignet sich neben möglicherweise verhängisvollen Optionen von rsync und rdiff vor allem deshalb, da ein User ebensowenig wie das Betriebssystem genau weiß, was alles, welche einzelnen Partitionen, Verzeichnisse und Dateien, zu sichern sind, das Schlimmste, Neuinstallation, Probleme bei der Wiederherstellung, Dateimanipulation infolge Hackerangiffen mit Vandalismus und/oder Datenverlust, wirksam zu verhindern. Sichern und Wiederherstellen Sie also immer mit dd partitionsweise im 1:1, hier Partition sda1 auf Partition sdb1:

Jede Sicherung und jedes Backup gelingt nun dank dd, kein anderes Backup-Programm sollte für ihre Partitionen, dem Computer, jemals verwendet werden, denn dd terminiert immer. Fast immer. Nämlich nur dann nicht, ist er selbst oder seine Umgebung wie unserer Empfehlung nach Knoppix auf SSD bzw. Festplatte (oder DVD) angeschlagen. In diesem Fall Knoppix unbedingt noch einmal installieren! Am besten legt man Knoppix auf beiden Medien an, dem zu sichernden und dem sichernden Medium und hält es darüber hinaus auf DVD auf allen Ehren.

Der einzige Nachteil von dd ist, dass er keinen Fortschrittsbalken anzeigt. Mit dd -vh soll das angeblich gehen..

Um dann doch noch klüger zu sein als dd erlaubt, eignet sich die dd-Erweiterung dcfldd. Sie lässt sich als el6-Paket auch für mdv2010 beziehen. Das Kommando arbeitet wie dd, zeigt aber einen Fortschrittsbalken an, arbeitet auf Wunsch auch im Fehlerfall weiter und vermag u.a. neben flexiblen Disk-Wipes und Splitting der Ausgabedateien über Zusatzoptionen wie md5log=md5.txt und hash=md5, md5-Prüfsummen zu berechnen und auf Festplatte zu schreiben.

Obwohl "dd" bei uns bislang ohne Erkenntliche Auswirkungen auf SSD anwendbar ist, kommt es seitens http://ubuntuwiki.de/files/ssd/grundlagen.html zu Einwänden:
In jedem Falle sollte man auf eine Spiegelung mittels dd verzichten, denn durch das "Bit-genaue" Kopieren des Quell-Laufwerkes (HDD) wird der Ziel-Datenträger (SSD) Bit-für-Bit bzw. Byte-für-Byte ausgelesen und beschrieben - unabhängig von dessen Inhalt und Belegung.
Man fÜllt also auch unbenutzte und leere Sektoren/Blöcke mit Nullen, so dass keine für die SSD essenzielle Spare-Area mehr frei bleibt. Auch das für die Geschwindigkeit der SSD so wichtige Alignment wird damit ad absurdum gefÜhrt. Des Weiteren wird die Anzahl der (endlichen) Schreibvorgänge massiv "verbraucht". Siehe dazu Intels "Product Specification Addendum" unter Links.
Stattdessen kann man die folgenden Möglichkeiten zur "Übernahme eines vorhandenen Systems" nutzen:
Neuinstallation mit vorheriger Sicherung des Homeverzeichnisses
Nutzung von cp oder rsync, wenn die alte HDD und die SSD parallel angeschlossen sind. Man muss eventuell menu.lst (bei Verwendung von GRUB der ersten Generation), fstab, und /etc/initramfs-tools/conf.d/resume anpassen sowie GRUB/GRUB 2 neu installieren. Diese Schritte werden im Artikel Ubuntu umziehen allgemein für den Umzug einer Ubuntu-Installation beschrieben und können größtenteils auch beim Umzug auf eine SSD angewandt werden.
Mit Clonezilla, was den Vorteil hat, dass nur die wirklich belegten Blöcke übertragen werden.


Katastrophen-geschützte Speichermedien, PCWelt.de, http://www.pcwelt.de/ratgeber/So_schuetzen_Sie_Ihre_Daten_vor_Katastrophen-Sicherheitskopien-8306163.html
Spezielle besonders robuste Gehäuse schützen Ihre Datenspeicher vor Katastrophen. Beispielsweise können Sie Datenträger in feuerfeste Tresore einschließen.
Dieser ioSafe N2 NAS ist sowohl feuer- als auch wasserfest. Das ioSafe N2 NAS wiederum ist ein Unfall-resistentes NAS-Gerät, das automatische Datenspiegelung bietet (RAID-1). Er ist sowohl feuerfest bis zu einer Außentemperatur von rund 850 Grad für bis zu 30 Minuten, als auch wasserfest bei einer Tiefe von 3 Meter für 72 Stunden. Der ioSafe N2 läuft mit Synologys DiskStation-Manager-Betriebssystem, welches die Synchronisation mit einem zweiten Synology-NAS oder einer Cloud unterstützt.


OK
dd if=/dev/sda1 of=/dev/sdb1


Linux-Bot-Netze, Heartbleed,Shellshock, Glibc-Patch, Bad Cow, ...: auf dem Weg Richtung null Updates, null Patches, null Bugfixes


OK Folgende Distributionen eignen sich für mdv2010 zum Updaten: omv2015, rosa2014.1, mga, fc, el7 and el6 and OpenSuSE 13.2/42/43.

Die msec-Variable "allow-root-login" sollte während des Updatens den Wert "yes" aufweisen, um Bash-Kommandos garantiert ausführen und Pakete besser entfernen und installieren zu können.

Die Sektion "Partitionsweise 1:1-Sicherung mit dd von Rettungs-DVD/CD bzw. von einem USB-Speicherstift mit Linux aus erstellen" sollte verstanden worden sein: kein Updaten ohne (externes) Sicherungsmedium, kein Sichern und Wiederherstellen ohne einen zuverlässig auf (auch verschlüsselten) Partitionen arbeitenden Befehl wie "dd"!


Ein Ziel ganz am Ende allen Updatens ist, das Journalling der Linux-Dateisysteme wie reiserfs, ext4 und ext3 abzuschalten, die Root-Partition read-only zu benutzen, "allow-root-login" wieder auf "no" zu setzen und das Syslog abzuschalten oder Logdateien ins temporäre Verzeichnis /tmp auf SHM (im RAM) umzuleiten. Das werden wir am Schluss dieser Sektion "Aktualisieren/Updaten" für reiserfs tun.

Mdv2010 (bzw. mdv2011) lassen sich prima mit Paketen von CentOS 6, CentOS 7