Gooken - ssl-Verschlüsselung Ihrer Verbindung zur Suchmaschine
Gooken - addurl: füge eine URL einer Webseite hinzu, auch ohne ihren Bezug auf unser Hauptthema
Gooken- Code-Integration des Gooken-Eingabefeldes für Textsuche in Ihre Menüs und Webseiten
Gooken - download der Größe nur eines MB (some thought it were 100)
Gooken - Top-Platzierung Ihrer Webseiten


1000%


intro


Von News&Links (und all die erforderlichen Sicherheitsmaßnahmen zu Linux in diesem Exkurs....)

"2020: Die Welt ist lahmgelegt", STERN.de, 21.03.2020
https://www.stern.de/reise/deutschland/tourismus-in-zeiten-der-coronakrise---die-welt-ist-lahmgelegt---sagt-ury-steinweg-von-gebeco-9190342.html

"Unheimlich, verrückt, schrecklich", tagesschau.de, 12.09.2020
Die Busch- und Waldbrände in Kalifornien gehören zu den Schlimmsten, die es je gab. Mehr als 12.500 Quadratkilometer sind von den Feuern betroffen. Und nicht nur Kalifornien, die gesamte Westküste der USA brennt.
https://www.tagesschau.de/ausland/kalifornien-waldbraende-135.html

"All people confident with the 80th know, that USA is a criminal state, who takes his superiority ... / Allen mit der Geschichte der vergangenen 80er Jahre vertrauten denkenden Menschen ist doch bekannt, dass die USA ein verbrecherischer Staat ist, der seine Übermacht mit ..."
www.compact-online.de/us-strategie-weltpolizei-oder-beobachtender-raushalter

c-s-19-1986
Null Problemo: "If you do not know, how to go on, you have two possibilities: either you explode, or you cry for help. / Wenn man nicht mehr weiter weiß, hat man zwei Möglichkeiten: entweder man explodiert oder schreit nach Hilfe" (Magnum, TV-Serie, Januar 2016).

Gooken-The_Green_LED


Schritt 1 - IT-Sicherheit / Informatik und Gesellschaft - Mehrfachvorsorge - das Basisniveau - Report von Gooken, der Internet-Suchmachine mit dem troubleshooting Online-Exkurs "Sicherheit in der Informationstechik"

Computern - der Heidenspaß am Sonnenfressen | Ausgangssitutation | Theoretische Grundlagen - die Sicherheitsfunktionen | Entscheidende Idee | ISO-LSB-OpenSource mit Changelogs | Suchmaschine/Gooken | Datenbanken | Datensicherung | anonymer Proxy | Grundsätzliches | KDE (4.4.5, mdv, 4.3.4 el6 | Hardware: Treiber, Support, Datenbanken | SSD optimieren | (Null) Updaten (ab Jahr 2026, "UNIX", Miros Suneater hat bis dahin gesprochen, hugh.) | Sicheres und stabiles "UNIVERSAL-UNIX/LINUX" on the DAILY UPDATE-PATCH-CHANNEL: Updates und Aktualisierungen mit Enterprise Linux bzw. Fedora Project resp. CentOS 6 (el6), CentOS 7 (el7), EPEL (el6, el7), Fedora (fc) und Rosa2014.1 | WLAN | Emulation von MS Windows | News&Links: Sicherheit für MS Windows | News&Links: Sicherheit für Smartphones | Update Firefox | Ad- bzw. Scriptblocker: alles blocken | Sicherheitskonzept | msec-Sicherheitsebenen ( level.secure: no-remote-root-login, no-root-login, ... und perm.secure ) | msec -MAC Tomoyo-Linux (mdv2010/el6) - Zugriffsrechtsregelungen für die Prozess-Interaktion | Zugriffskontrolle und msec-Zugriffskontrolle | ACL - Advanced Access Rights - Setzen weiterer Zugriffsrechte auf Verzeichnisse und Dateien für Benutzer und Gruppen mit setfacl und getfacl u.a. zur Entfernung von Bremsen | /etc/passwd - allen entkommen: no login-shell accessible | Sandboxen, Container: Programme mit docker oder firejail starten | Root-Partition: Ausreichend freier Speicherplatz | Root-Partition read-only | Neuer Kernel - Kernel-Source-Quellpakete installieren oder patchen | System-Vollverschlüsselung (FSE) mit LUKS/dm-crypt | Verschlüsselende Methoden, Netzwerksicherheit (PC-WELT) | Vernetzung Linux- mit Windows-Rechnern, Freigaben im LAN | Anti-Hacker und Anti-Trojaner iptables/Linfw3 | zusätzliche Filterkonzepte | Konqueror: integrierter Skript- und Werbeblocker, importierbare Filterliste von unserer Updateseite | Anonymisierte (und verschlüsselte) Namensauflösung ohne Zensur und Überwachung: Lokaler DNS-Proxy pdnsd mit dnscrypt-proxy und /etc/hosts | Tor oder Eigentor? TOR, the onion-router: Anonymisierungs-Netzwerk | Installation mit Rootkit-Scan | IDS: System Integrity Check: incron, iptables mit psd (linfw3), aide, ...| Sitzung | Programm-Troubleshooting | Netzwerk, Netzwerk-Troubleshooting | News&Links: Netzwerk-Sicherheit | X-Troubleshooting (X11-Server) | Drucker-Troubleshooting (CUPS), Clever und Smart: Alles für den kleinen Elefanten | News&Links: Alles ( und mehr ) über den Computer, Reparatur, Netzwerk, Drucker, Tipps und More Troubleshooting | Einzelmaßnahmen und Reparatur | WLAN | Erweiterter IT-Sicherheitscheck mit allem Drum und Dran | WLAN | CIAO Hardware-Probleme! "Einfach nur geil" und funktioniert noch heute: Datenblatt "zertifizierte Lifetime-Hardware" (Energiesparen mausklick-schnell und preiswert, dafür einfach nicht kaputt zu kriegen): Betriebssystem mdv2010.2 (geupdatet mit CentOS/EPEL (el6, el7) und Rosa auf dem Update-Channel pro-linux.de), All-in-one-Mainboard Mini-ITX-220/Express 945GC/ICH7 ( aus dem Jahr 2009/2010, mit klassischer 1,2 GHz-64-Bit-Celeron-CPU und bis zu 8 GB DDR-2 und Intel-GPU INTEL GMA 950, 82945G/GZ Integrated Graphics Controller, max. 224MB mit Auflösung: 4800×1200 max., bVIA VT 1705 High Definition Audio-6-Kanal-HD-Azalia-Audio CODEC Soundsystem und Atheros Gigbit-Ethernet-LAN-Chip onboard, gesockeltes crashfree EZ-BIOS AMI, ×USB 2.0, 19W, MS Windows 7 and Linux-tested, 29,95€), 18,5 Zoll (48 cm) Ultraslim WLED-TFT-Monitor Brilliant Display (18W, 95€), SSD (1W, 128GB, 30€, -Stahl-Computer-Gehäuse mit Gehäusekühler und Ampel-LEDs, 4,95€, Netzteil SL-A 500 W (19,95€...) | More than 1000 Linux-Top-Games (mdv2010 resp. rosa2014): OpenGL, SDL, PyGames und mehr | mdv2010-final: Software (65 GB + 50 GB ( 26 DVD ) | CIAO Hardware-Probleme! mdv2010-final: energiesparende Hardware | Hardware (fast) umsonst | Hardware umsonst | Strom umsonst ( körperliche Ertüchtigung inkl.) | Weltkulturschande: Abreagieren umsonst | Sex umsonst | Geld umsonst, Land umsonst ("Eine Revolution hat nie stattgefunden", Niko.L.), System umsonst (FED, EZB, Draghi & Co.) | Alles umsonst | Anzeigen umsonst | mdv2010-final: Drucker, Drucker-Troubleshooting | MS Windows: Tipps und Tricks für mehr Sicherheit | News&Links#Computer | Computer | Immerwährender Browser-Top Konqueror: Download finales Konqueror Update ( für alle rpm-basierte Distributionen? ) | Monitor | Drucker | SSD | Netzwerk | Smartphone | MS Windows | Advertisement | Alternatives | Downloads | Encryption (HDD/SSD) | Finance | Glossary | Gooken | Gooken-integration | Link-exchange | Unmanned Flying Objects (Drohnen) | Kein Horror in Sodom und Gomorrha: Weak Point Human ( technisches und menschliches Versagen: Schwachstelle Mensch, Interessensgruppen und Interessenskonflikte, EU-Lobbyismus, Schwachstelle Westen, Schwachstelle "Deutschland" u.a. ) - Society Report, Part 1-6 | Society - Niue-Muenzen - Pay with Mickey Maus! | Der Kriminalstaat (Udo Pohlmann, Fortsetzg.) - More Reports | Society, Part1 (Tagesschau.de u.a.) - Märsche in den Tod | Society, Part 2 - Das Jahrhundert der Ar...kriecher (Buch) | Society, Part 3 - Ausländer in Deutschland: Wassertragen in den Tod? | Society, Part 4 - Absolutismus - Ludwig XXII., descendent of the most imitated person of the world | Society, Part 5 - child murder & Co., Kindermörder & Co. | Society, Part 6 - Bankenskandal - bank skandal - org. Kriminalität in den Tod | Society, Part 7 - Affenkopf für den Zoo ( Facebook ) | Society, Part 8 - Zerschlagungsfälle: MS, Google, ...: Processes by law, Prozesse in den Tod | Society, Part 9 - Eva Herman: Ukraine-conflict, Ukraine-Konflikt: kriegslüstern in den Tod | Society, Part 10 - Beauty on Gooken.de: 1000× (noch) schöner als Sie! Selbstfanantiker, Selbstliebe (Narzissmus) in den Tod (Liierungen) | Society, Part 11 - NSA, GHCQ, BND & Co.: Spionage in den Tod | Society Part 12 - Superrich.de (Forbes) - She got eyes of the bluest sky - and when there comes the rain ... ( über die Kunst mit offenen Augen zu schlafen ) - wet, wet, wet! | Society Part 13 - Suneaten in den Tod | Society, Part 5 - Kinder vergessen, Honig im Kopf: FSK ab 6 Jahren! | Society, Part 14 - tödlicher Appetit | Spenden, Danksagung mit Quiz | Werbefläche | ...unverbesserlich? News&Links | BACK


"Die berühmtesten deutschen Erfindungen sind die Spaßbremsen und die Reiserücktrittsversicherung", NDR Talkshow, Kabarettist Vince Ebert, 12.09.2020
https.//www.facebook.de unter "Unverschämtheiten"


Ziel des Exkurs von Gooken
"Linux ist sicher", hieß(und heißt) es immer wieder. Doch das traf zumindest de facto fast so wenig zu wie bei anderen Betriebssystemen auch. Linux berufte (und ggfls. bedarf) als OpenSource mit in der Tat Sicherheit grundlegend fördenden Dateisystemen noch vielerlei Updates und jeder Menge Einstellungen (Konfigurationen) zur Erlangung der gemeinten, verhießenen Sicherheit. Dafür erforderliche Schritte möchte Ihnen Gooken nun auf empfohlener Lifetime-Hardware vorstellen und mit Ihnen konkret durchgehen! Erzielt wird ein paronoid sicheres Linux ohne größere Einschränkungen für den Benutzer.

OKSie suchen nach good (sicher anonymisierenden) Tor-nodes (entry und exit-relais)? Wir bieten weiter unten eine Auswahl an. Sie entstammt insbesonders Tor-Relais (Tor-Server) gemeinnütziger eingetragener Vereine. Zugehörige Länder wurden sorgsam nach unserem Teil News&Links (aus dem linken Menü) sorgsam ausgwählt! Zu beachten ist dabei, dass wir, Gooken, allerdings für unsere Auswahl keinerlei Haftung übernehmen.

OKKommunikation im Netz: Abhörsicher mithilfe der Quantenphysik?, tagesschau.de, 16.12.2018
Wer im Internet miteinander kommuniziert, hinterlässt unweigerlich Spuren. Wiener Forscher wollen jetzt ein Verfahren entwickelt haben, das die Kommunikation auch in einem größeren Netzwerk abhörsicher macht.
Die Quantenkryptografie will in Zukunft eine abhörsichere Kommunikation im Internet ermöglichen. Österreichische Forscher haben nun - nach eigenen Angaben - eine wichtige Hürde auf diesem Weg genommen. Ihnen gelang, dass vier Teilnehmer eines Netzwerkes abhörsicher kommuniziert haben. Die Wissenschaftler um Rupert Ursin vom Wiener Institut für Quantenoptik und Quanteninformation der Österreichischen Akademie der Wissenschaften haben ihre Forschung im britischen Fachblatt "Nature" vorgestellt. Nach Angaben der Wissenschaftler lässt sich das Netzwerk einfach erweitern - und könnte so für eine breite Anwendung infrage kommen.
Herkömmliche Verschlüsselungstechnologien bieten nur relativen Schutz, sagt Rupert Ursin von der Akademie der Wissenschaften im Gespräch mit dem ORF. "Wenn ich meine E-Mails lese, könnte ein Dritter im Prinzip beliebig viele Kopien davon anfertigen - und es würde niemand bemerken. Bei der Quantenkryptografie ist das unmöglich. Wenn Hacker versuchen, eine Quantenbotschaft zu belauschen, hinterlassen sie unweigerlich eine Spur. Das ist ein Naturgesetz."
Die Quantenkryptographie nutzt dabei ein Phänomen der Quantenphysik. Nach deren Regeln können zwei Teilchen einen gemeinsamen Zustand bilden, auch wenn sie anschließend über weite Entfernungen getrennt werden. In diesem Zustand der Verschränkung sind die Eigenschaften der beiden individuellen Teilchen unbestimmt. Wird dann bei einem der beiden Teilchen eine Eigenschaft wie beispielsweise die Schwingungsrichtung gemessen, nimmt das andere Teilchen augenblicklich eine korrespondierende Eigenschaft an. Die Verschränkung endet. Auf diese Weise ist es möglich, abhörsicherer Schlüssel bei Sender und Empfänger zu erzeugen.
Lauscher können Anwesenheit nicht verschleiern
Entscheidend ist: Der Schlüssel kann von Hackern nicht abgefangen werden. Denn es werden nur einzelne Lichtteilchen (Photonen) ausgetauscht. Und nach den Gesetzen der Quantenphysik ist es unmöglich, den Quantenzustand eines einzelnen Lichtteilchens ohne Fehler zu kopieren. Ein Lauscher kann seine Anwesenheit daher nicht verschleiern und würde sich sofort verraten. Die verschlüsselte Nachricht wird dann auf klassischem Weg ausgetauscht.
Bisher nur bei zwei Teilnehmern nachgewiesen
Bisher ließen sich auf diese Weise meist jedoch nur zwei Teilnehmer mit einer garantiert abhörsicheren Leitung verbinden. Weitere Verbindungen seien kompliziert, fehleranfällig und mit Kommunikationseinschränkungen behaftet.
Das Team versorgte nun vier Teilnehmer aus einer zentralen Quelle mit verschränkten Photonen, sodass alle vier miteinander kryptographische Schlüssel erzeugen und für eine abhörsichere Kommunikation verwenden konnten. "Ein entscheidender Vorteil dieser Architektur ist ihre Flexibilität", betont Ursin in einer Mitteilung der Akademie. "Wir sind damit in der Lage, neue Kommunikationspartner in das Quantennetzwerk zu integrieren - und zwar mit lediglich minimalen Eingriffen. Damit ist gezeigt, dass Quantennetzwerke Realität werden können - für Jedermann."
https://www.tagesschau.de/ausland/quanten-101.html

Überwachung
36 Millionen Euro: ZITiS baut Supercomputer zur Entschlüsselung
, netzpolitik.org, 16.10.2018
Die Hacker-Behörde ZITiS will einen Hochleistungsrechner bauen, um verschlüsselte Daten zu entziffern. Das geht aus dem 36 Millionen Euro teuren Haushaltsentwurf der Behörde hervor, den wir veröffentlichen. Nach wie vor sucht ZITiS Staats-Hacker, aktuell ist nur die Hälfte der Stellen belegt.
Die IT-Behörde ZITiS soll nächstes Jahr 36,7 Millionen Euro bekommen, 20 Prozent mehr als dieses Jahr. Die vor anderthalb Jahren gegründete "Zentrale Stelle für IT im Sicherheitsbereich" hilft Polizei und Geheimdiensten bei der technischen Überwachung. Wir veröffentlichen an dieser Stelle das bisher unveröffentlichte ZITiS-Kapitel aus dem Bundeshaushalt sowie eingestufte Informationen aus dem Bundesinnenministerium.
Von diesem Geld wollen die staatlichen Hacker "hochmoderne technische Ausstattung" kaufen. Ganz oben auf der Wunschliste steht ein Hochleistungsrechner, "der vorrangig im Bereich der Kryptoanalyse genutzt wird" - also zur Entschlüsselung. Dieser Supercomputer hat "höchste Priorität" für die ZITiS-Abnehmer Verfassungsschutz, Bundeskriminalamt und Bundespolizei.
Vor zwei Wochen wurde bekannt, dass ZITiS auch einen Quantencomputer einsetzen will. Ob Supercomputer und Quantencomputer verschiedene Projekte sind, will ZITiS auf Anfrage nicht verraten: "Zu unseren Projekten und verwendeten Technologien können wir keine Auskunft geben." Da die Entwicklung nutzbarer Quantencomputer jedoch noch in den Kinderschuhen steckt, dürfte der Hochleistungsrechner ein eigenes Projekt sein, der zeitnah in Betrieb gehen soll.
Staatstrojaner für mobile Endgeräte
In den anderen Arbeitsfeldern rüstet ZITiS ebenfalls auf, wobei zwei besonderes Gewicht erhalten. Im Bereich der Digitalen Forensik forscht und entwickelt ZITiS unter anderem an "Passwortsuche" und der "Auswertung von Smartphones". Bisher haben Polizeibehörden sieben verschiedene Software-Tools gekauft, um beschlagnahmte Mobilgeräte auszulesen. Dieser Wildwuchs soll bei ZITiS vereinheitlicht werden.
Im Bereich Telekommunikationsüberwachung (TKÜ) arbeitet ZITiS an zwei Projekten, die bisher beim BKA angesiedelt waren. ZITiS setzt das "Projekt INTLI" (Internationale Zusammenarbeit in der TKÜ) fort, "das sich mit der Standardisierung des Austauschs von TKÜ-Daten auf Grundlage der Rahmenrichtlinie Europäische Ermittlungsanordnung beschäftigt". Die EU-Richtlinie ermöglicht grenzüberschreitende Überwachung von Telekommunikation.
ZITiS will auch die Entwicklung von Staatstrojanern vorantreiben. Mit dem "Projekt SMART" soll ZITiS das BKA unterstützen "bei der Entwicklung einer Quellen-TKÜ-Lösung für mobile Endgeräte", also einem Trojaner zum Abhören von Kommunikation. Das BKA hatte für sechs Millionen Euro den Staatstrojaner "RCIS" programmiert, der seit diesem Jahr auch Smartphones infizieren und abhören kann. Jetzt wollen ZITiS und BKA die Software gemeinsam weiterentwickeln.
Hacker gegen IT-Unsicherheitsbehörde
Insgesamt will ZITiS nächstes Jahr mehr als zehn Millionen Euro für Investitionen ausgeben, über elf Millionen sind für Personal geplant. Das Innenministerium bezeichnet die Personalgewinnung als "anspruchsvoll" und "eine zentrale Herausforderung". Vom Behördensprech übersetzt: Nur wenige IT-Experten wollen für den Staat hacken. Der BND nannte das mal "knappe Ressource brillantes Personal".
Derzeit hat ZITiS erst "74 der im Kalenderjahr 2018 zur Verfügung stehenden 150 Planstellen belegt". Fast die Hälfte der bisher eingestellten Mitarbeiter*innen ist in Verwaltung und Leitung tätig. Das existierende "MINT-Fachpersonal" arbeitet nicht nur in der Umsetzung der Aufgaben, sondern auch bei internen IT-Diensten und Beratung. Zwei Drittel der Angestellten kommen aus anderen Behörden, nur ein Drittel sind "Externe".
Falk Garbsch, Sprecher des Chaos Computer Clubs, kommentiert gegenüber netzpolitik.org:

Es ist gut zu sehen, dass Hacker offenbar keinerlei Interesse haben, für eine IT-Unsicherheitsbehörde zu arbeiten. Die Community hat schon vor vielen Jahren verstanden, was verbohrte Politiker nicht akzeptieren wollen: Das Ausnutzen und Offenhalten von Sicherheitslücken ist ein nachhaltiges Risiko für Unternehmen, kritische Infrastrukturen und Zivilgesellschaft. Statt Steuergelder in absurde Angriffsphantasien zu verschwenden, wird es Zeit für Investitionen in das konsequente Schließen von Sicherheitslücken.

Der Regierungsentwurf zum Bundeshaushalt 2019 wird derzeit im Bundestag verhandelt. Bisher hat die Große Koalition keine Änderungen bezüglich ZITiS beantragt oder beschlossen. Anträge der Opposition werden üblicherweise abgelehnt. Ende November soll der Haushalt im Bundestag verabschiedet werden.
Hier die Dokumente in Volltext:
Ministerium: Bundesministerium des Innern, für Bau und Heimat
Stand: 17. August 2018
...
https://netzpolitik.org/2018/36-millionen-euro-zitis-baut-supercomputer-zur-entschluesselung/

Von trojaner-board.de # Linux:

trojaner-board.de, sitemap17.php: BÜÜÜäääääH! Das is ja genau so´n Mist wie Windoof... :(
trojaner-board.de, sitemap17.php: Wo ist mein Müll?
...

OK"Thank you, Linux, you have made Microsoft rich!"
Hard to install Linux, hard to configure, hard to secure it really up, many updates, not all device drivers, discussable design, changing libraries, unsolved dependencies, missing software for professional business work, ...
Debian based on the package-manager dpkg, syncatpic and just the for a long time based awful rare feautered, shaby aptitude, while Mandriva awaits with rpm, urpmi, yum and the user-friendly drakconf for administration ...


Wiederum enormer Vorteil des Referenz-"Hochschul-Betriebssystems" UNIX/Linux: Zum Umfang des hervorragend mit Updates aktualisierbaren Open Source zählen neben Anwendungen aller Rubriken, Art und Koleur verschiedenste Arten von Servern (insbesonders httpd/Apache) und Datenbanken (insbesonders MySQL): alles inklusive. 1000% Sicherheit lässt sich erzielen, wie wir hier noch beschreiben werden!

System crashed serious hard up to dbus-update from year 2019.
KDE caused system breakdowns. It got stable for the first time since a python-update in 2016.
A lot of lacks in security and weak points (exploits) had to be solved.

OKCHIP Tipp: Auf Windows verzichten, CHIP, 18.09.2020
Auch wir haben noch einen besonderen Sicherheitstipp für Sie. Wer sich wirklich effektiv schützen möchte, der verabschiedet sich von Windows und bietet Hackern somit die geringste Angriffsfläche. Das anonyme Betriebssystem Tails hat sich darauf spezialisiert, seine Nutzer so gut wie unsichtbar zu machen. Sogar Edward Snowden, ehemaliger Mitarbeiter der NSA, empfiehlt das System - die Gründe dafür sind wohl hinlänglich bekannt.
Das abgehärtete Linux-System hat zum Beispiel den Tor-Browser mit an Bord, der weitgehende Anonymität im Netz verspricht. Ansonsten steht Tails Windows kaum in etwas nach, denn alle nötigen Programme für Internet, Office und Multimedia sind bereits vorinstalliert. Wer also keine spezialisierten Anwendungen benötigt und meistens eh nur surft und E-Mails checkt, kann sich getrost von Windows verabschieden, um mehr Sicherheit zu genießen.
https://www.chip.de/artikel/Sicherheit-im-Internet-top-5-Tipps-der-NSA_182985028.html

OKIm Unterschied zum insgesamt nun auch recht umfassenden, eine Registrierung erfordendes Debian bietet Gooken eine vollständige, konkrete Sicherheitslösung im Rahmen Linux (Dateisystem) inneliegendem vorgestellten Sicherheitskonzepts und weiterer -konzepte. So kommen neben eigenen zahlreiche Quellen und Links aus dem Internet zu vielen von Debian noch hinzu, während die von Debian bezogenen konkret ausgewertet und umformuliert direkte (konkrete) Anwendung finden. Was Debian selbst angeht, gefiel uns das von den Optionen her einprägsame rpm besser als dpkg wie auch die Paket-Suchmaschine rpmfind.net mit Mirror wie fr2.rpmfind.net in der Struktur und von der ganzen Aufmachung her besser als die zahlreiche Klicks bis zum Download eines Pakets erfordernde und mit Information gewohnt zuschüttende von debian.org. Debian und SuSE sind Linux-Distributionen, die vielleicht alles besser wissen, aber (konkret) nichts besser machen, zumal Konzepte und konkret erforderliche Maßnahmen in der allgemeinen Theorie untergehen.

Gooken geht dabei von unter Datenblatt kurz vorgestellter sicherer, preiswerter (exemplarischer) Hardware und dem mit vorzugsweise LUKS/cryptsetup/dm-crypt verschlüsselten Unix-/Linux-Dateisystem (wie ext4, btrfs und reiserfs mit deren nützlichen Eigentums-, Gruppen- und Zugriffrechten) mit seinen konkreten sicherheitstechnischen Möglichkeiten aus.

UNIX/Linux ist ein "Kennwortsystem". Die grundsätzliche Idee bei UNIX/Linux ist die Einrichtung eines eigenen paßwortgeschützten Kontos für am besten jedes im Netz kommunzierende Programm (Client oder Server), dessen Abgrenzung (von anderen Konten) bzw. dessen Absicherung mit Zugriffsrechten. Obendrein erfolgt eine Absicherung noch per Programm-Konfiguration (wie z.B. in /etc/httpd.conf für Apache, /etc/squid.conf für Squid und /etc/samba.conf für Samba (LAN)) und mit zahlreichen weiteren, hier noch aufgefürhten Maßnahmen wie insbesonders das Verhindern des Chrootens wie per Systemkonfiguration und mit Sandbox Firejail.

Neben generellen Sicherheits-Konfigurationen gilt es noch, die weitreichenden Allround-Rechte für den Systemadministrator root und ähnlich stark bevollmächtigte Konten wie adm zu begrenzen, während die meisten Benutzerkonten sogar ganz gesperrt werden können. Der Begrenzung der "Generalbevollm&aumL;chtigten" dient insbesonders Firewall Linfw3, mit der ab Voreinstellung selbst Systembenutzer root (uid 0 und gid 0) keinen Zugang mehr ins Netz hat.


. Ganz konkret auch der (zur Zeit leider noch unvollständige) Online-Check von Gooken zur Überprüfung der erhaltenen Sicherheit des Browsers im Internet.

1000% Sicherheit: nach Gooken immer ganz konkret - nicht nur für Linux, sondern auch für MS Windows und Smartphones (Sektion Smartphones abermals siehe Menü links) - ob Android oder iPhone!


( Es ist mit solchen Distributionen ähnlich wie zur Zeit mit dem mehrfach vorbestraften notorischen Lügner Trump: Kaum einer will ihn als Präsidenten, sogar viele ihm Anvertraute springen von ihm ab, indem sie und Presse ihm alles mögliche nachsagen, beziehen sich aber nach dem einen oder anderen "Manöver" des Trump-Teams wie beispielsweise Benennung eigener Richter des Supreme Courts nicht (konkret) genug auf seine in der seit über 150 Jahren in unveränderter Form vorliegenden amerikanischen Verfassung liegenden, immer noch bestehenden ganzen Rechtmäßigkeit- um die es mit ihm als rechtmäßigen US-Präsidenten ausschließlich gehen dürfte..., Einzelheiten siehe bei uns unter News&Links#Trump )

OK
Gewinnen Sie Ihr Vertrauen zurück !


mdvmdv
















intro

OKDIN SPEC 3105
Offene DIN-Norm für Offene Hardware

Offene Hardware versucht die Potentiale von Open-Source-Prinzipien für Technologieentwicklung auch jenseits von Software zu nutzen. Seit kurzem gibt es einen offiziellen DIN-Standard dafür. Im Interview erklärt Martin Häuer, warum das hilfreich ist und was den Standard besonders macht.
https://netzpolitik.org/2020/offene-din-norm-fuer-offene-hardware/

disclaimer 1000% Sicherheit für den Computer:Linux ist nach unserem Exkurs ein Kennwort-System; 26.05.2020, seit 2010, Enterprise Linux, "Universal Linux": Werden Sie ein für allemal alle Sorgen mit dem Computer los! Rundum-sorglos mit dem Computer, das Ende allen Troubles mit Hard- und Software: (Paranoid-) sicheres Computersystem auf unter Datenblatt aufgeführter TÜV Rheinland geprfüfter Hardware frei von Wartung mit allem Drum und Dran ohne große Einschränkungen, komfortabel, energiesparend, stets (gleichbleibend) mausklick-schnell, abgestimmt, endlos-langlebig (Lifetime-Soft- und Hardware), flächendeckend Software, mit Emulatoren und Virtuelle Maschinen zur internen Emulation anderer Betriebssysteme, total sicher, frei von Lizenzgebühren und alles in allem für (fast) umsonst; präsentiert von Gooken - vorausgesetzt die recht aufwändige Installation des vorgestellten "Universal Linux" unter Update mit Enterprise Linux 6, 7 und/oder 8 gelingt!

Derartige in unserem Datenblatt aufgelistete "Lifetime-Hardware" (u.a. das mit nur 19 Volt betriebene Mainboard ASUS ITX-220, vorgestellter TFT von AOC und der DVD-Brenner) weist innerhalb der üblichen Au&szig;entemperatur-Toleranz keinerlei Symptome mehr auf, selbst nicht nach dem schier unendlichen Ein- und Ausschalten und Resetten (Neustarten des Systems) und somit auch nicht diese (wenn wir dafür auch nicht garantieren möchten.

OKDiese 14 Fehler sollten Sie beim PC-Bau vermeiden, PC-WELT.de, 04.07.2020
Sie bauen zum ersten Mal einen PC selbst zusammen: Dann gibt es 14 wichtige Dinge, die Sie beachten sollten. Sonst drohen unangenehme Überraschungen.
https://www.pcwelt.de/ratgeber/tipp-pc-selbst-bau-fehler-vermeiden-10834772.html

OKAufbruch in eine bad, bad world...
Laut Saturn-Service-Center: Zusammenbauen - Bios-Setup - Überspielen (am besten partitionsweise oder vollständig mit dem UNIX/Linux-Befehl dd) oder: Partitionieren - Formatieren (Linux-Dateisystem, meist ext4) - Verschlüsseln (vieler Partitionen) - Installieren - Konfigurieren - Defragmentieren (entfällt bei Linux) - Updaten:

Legen Sie nun die Installations-DVD ins Laufwerk, um das Betriebssystem und zugehörige Software zu installieren. Wir gehen künftig am liebsten vom rpm-(Paketmanager)-basierten Enterprise Linux (RHEL, Fedora, CentOS oder Scientific Linux) oder einem Mandriva-Derivat (PC Linux OS, Rosa, Mageia, Mandriva) aus, beziehen uns meistens aber auch auf Debian Linux usw. und (indirekt) MS Windows! Installations-Anweisungen erfolgen dabei von DVD bzw. anderen Installationsmedien wie USB-Speicherstift.
Soweit Installation. Alle weiteren Schritte zunächst nach Hersteller-Vorgaben und Handbüchern, später im Folgenden!
Für die Partitionierung, unter Linux formal in der Gerätedatei /etc/fstab) empfehlen wir vorab mindestens 80 GB für die Root- und 20 GB für die Home-Partition, um die 1 GB für die Boot-Partition und das Dreifache des RAM für die SWAP-Partition (Speicher-Auslagerungsdatei). Mitunter kann schon jetzt alles (alle Partitionen außer /boot ) verschlüsselt werden. Auf die Verschlüselung kommen wir aber noch ausführlich zu sprechen.

Jahr 2009/2010: Alles für den Computer ist gelaufen (nur noch Updaten)!
Das gibts mit uns, Gooken, wirklich! Computern ohne Risiken!


And if, such decades ago, even my own mother meant... / Und wenn vor Jahrzehnten sogar die eigene Mutter zum Thema Maja Schmidt aus Voerde schon meinte " Wir sind keine Verschenkanstalt der Deutschen und keine Sozialstation der USA !", dann frage ich mich, ob das eigentlich nicht stimmt.

OKVerseucht
Coronavirus sorgt für Anstieg der Malware-Bedrohungen
, trojaner-info.de, 15.06.2020
https://www.trojaner-info.de/aktuelles/feature/coronavirus-sorgt-fuer-anstieg-der-malware-bedrohungen.html
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/malware-verseuchte-lebenslaeufe-und-krankschreibungen-in-umlauf.html

"All people confident with the 80th know, that USA is a criminal state, who takes his superiority ... / Allen mit der Geschichte der vergangenen 80er Jahre vertrauten denkenden Menschen ist doch bekannt, dass die USA ein verbrecherischer Staat ist, der seine Übermacht mit ..."
www.compact-online.de/us-strategie-weltpolizei-oder-beobachtender-raushalter

Internetknotenpunkt De-Cix Gericht billigt BND-Abhörpraxis, 31.05.2018
Der Internetknotenpunkt De-Cix in Frankfurt ist der größte der Welt. Das macht sich auch der BND zunutze und greift Daten ab. Dagegen hatte der Betreiber geklagt. Nun hat das Bundesverwaltungsgericht geurteilt.
Der Bundesnachrichtendienst (BND) darf weiterhin in großem Umfang Daten beim Internet-Knoten De-Cix aus Frankfurt am Main abzapfen. Das entschied nach dpa-Informationen das Bundesverwaltungsgericht.
De-Cix (Deutsche Commercial Internet Exchange) hatte gegen den Eingriff des BND geklagt. Dieser überwache ohne konkreten Verdacht. Dabei würde auch rein inländische Telekommunikation beobachtet. Dies lasse das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses jedoch nicht zu. Es ermächtige lediglich zur überwachung von internationaler Telekommunikation.
Richter: BND darf überwachen
Dieser Argumentation folgten die Richter nicht und stärkten dem BND mit ihrem Urteil den Rücken. Der Geheimdienst sei berechtigt, auf Anordnung des Bundesinnenministeriums internationale Telekommunikation zu überwachen und aufzuzeichnen.
Für den Schutz der Bürger sorgt laut Bundesregierung die G-10-Kommission des Bundestages. Sie muss die Eingriffe in das Fernmeldegeheimnis erlauben.
Wie wichtig die Datenüberwachung für den Geheimdienst ist, zeigt eine Äußerung von Ex-Chef Gerhard Schindler: In vertraulicher Runde hatte er gesagt, ohne Fernmeldeaufklärung "kann ich den Laden dichtmachen". Inländische Kommunikation ausgeschlossen
Um inländische Kommunikation aus der Überwachung auszuschließen, verwendet der BND laut eigener Auskunft ein mehrdimensionales Filtersystem. Man nehme auch Browser- und Programmeinstellungen mit in den Blick, Geodaten und mehr, um ein Gesamtbild zu bekommen und deutsche Nutzer auszusortieren.
Die Filter sollen zu mehr als 99 Prozent wirksam sein. Wenn am Ende immer noch irrtümlich eine E-Mail eines Deutschen durch den Filter rutsche, dann werde sie per Hand entfernt, das komme aber nur selten vor. Anders als von De-Cix behauptet, gebe es deshalb keinen Rechtsbruch.

Mehr als sechs Terabyte pro Sekunde
Der Frankfurter Knotenpunkt besteht seit 1995. Mit zeitweise mehr als sechs Terabyte pro Sekunde weist er den höchsten Datendurchsatz weltweit auf. Auch ein Großteil des deutschen Internetverkehrs läuft dort hindurch.
Aktenzeichen: BVerwG 6 A 3.16
https://www.tagesschau.de/inland/de-cix-bnd-klage-101.html

... eine weitere, sicherlich traurige Ausnahme Nummer drei zu unserem Versprechen "Gooken 1000% - 1000% IT-Sicherheit für Ihren Computer" besteht darin, dass im Code von Webseiten auch nach Deaktivierung der Tracking-Skripte bzw. JavaScripts die Informationen immer noch verteilt und lokal in PHP-MySQL betriebenen Datenbanken aufgenommen werden können. Für Verteilung bedarf es allerdings der eher unüblichen Freigabe des Passworts der Information rein abspeichernder Datenbasen....

OKNotice: IP2Location C library enables the user to get the country, region, city, coordinates, ZIP code, time zone, ISP, domain name, connection type, area code, weather info, mobile carrier, elevation and usage type from any IP address or hostname. This library has been optimized for speed and memory utilization. The library contains API to query all IP2Location LITE and commercial binary databases. Users can download the latest LITE database from IP2Location web site using e.g. the included downloader.
https://fr2.rpmfind.net

Dabei lässt sich neben Anti-Canvas-Fingerprinting und dem Wechsel der Browser-Kennung mit Proxies wie TOR und/oder möglicherweise VPN (Virtual Private Networking) die IP und DNS-Information zumindest anonymisieren!


Eine zentrale Rolle für 1000% Sicherheit übernimmt im Folgenden das Linux-Dateisystem (wie btrfs und ext4), IP-Anonymisierung mit Tor (Tor-Browser) und unsere iptables- and ebtables- Firewall linfw3!

Außerdem möchten wir Ihnen insbesonders bei der Auswahl der Computer-Hardware, der Konfiguration von UNIX/Linux und Auswahl der sicheren Tor-Nodes (Entry Guards und Exit Nodes bzw. Relais) auf unseren Webseiten wie sogar News&Links behilflich sein! Für Suchen aller Art steht Ihnen dann immer noch unsere sichere Suchmaschine Gooken zur freien Verfügung.
Dabei staut sich allein in News&Links eine bereits zuvor überall freigegebene Unmenge an mehr als aussagekräftigem Material aus bekanntlich besten und allerbesten Quellenan, längst genug und immer mehr, gegen Land (insbesonders wohl USA), Firmen und verantwortliche Kreise und Leute was zu tun, gegen sie vorzugehen und, wie seit Jahrzehnten längst die tiefe, tiefe Realität, sogar bzw. immer wieder prozesslich (vor Gericht)!
Nehmen Sie dabei bitte unbedingt unseren generellen Haftungsausschluss (siehe auch Disclaimer) zur Kenntnis!
Soweit unsere Kurzvorstellung von Gooken!


Aus unserem Exkurs (diese Webseite)

IT-Sicherheit ist das oder eine Art "Spiel" um das möglichst hohe IT-Sicherheitsniveau. Ziel ist, dem Suneaten des bö,sen Suneaters (Computer) zu entkommen, indem man ihn in einen echten Computer verwandelt - einschließlich all dessen Verbindungen im Computernetz... ( fragt uns nicht, wer dieses "Spiel" strenggenommen mittlerweile schon alles in Person verloren hat... ). Wir spielen es künftig in Manier des bekannten Spiels "Mensch-ärger-Dich-nicht" - grüner Haken für grüner Haken

Wir, Gooken, stellen Ihnen auf dieser Webseite das 10 Jahre und länger geupdatete "Universal Linux" auf Basis von insbesonders Enterprise Linux 6, 7, 8, ... ( RHEL 6 / Fedora Core / CentOS 6 / Scientific Linux 6 ) und Mandriva-Derviaten (Mandriva2010.2-2012, Mageia (1-7), Rosa2014.1, 2016.1, PC Linux OS (pclos)), Slackware (slack 14.2) und OpenSuSE (Thumbleweed, 15.2, 15.1, 15.0) u.a. mit dem KDE-Desktop-Environment (KDE) vor - das 1000% sicher gemachte Computersystem voller flächendeckender, prototypischer, meist rpm-basierter Anwendungen einschließlich Emulatoren vieler auf anderen Betriebssystemen laufender Software samt zugehöriger mausklick-schneller Lifetime-Hardware auf Basis extrem niedriger Kosten, siehe unter Datenblatt Menü links.

supportGooken - das (zeitweise) brechend volle große "China-Restaurant"... Möchten auch Sie den ersehnten Frieden mit dem Computer schließen, das System finden, das mausklick-schnell läuft, alles umfasst und außerdem die unglaublich hohe Sicherheit bietet? Wenn Ihnen unsere Projekte gefallen, dann freuen wir uns über Ihren Support! Um die zugehörige Bankverbindung von Gooken zu erfahren, klicken Sie bitte hier! Spenden sie an Gooken mit PayPal.me durch Klicken auf

PayPal: Spend or pay Gooken by PayPal.me / Spende oder Zahlung an Gooken über PayPal.me :

Pay by Paypal.me: Bitte hier klicken!

Alternativ Spende per Bankverbindung oder kontaktieren Sie uns: Die Projekte von Gooken stehen zum Sonderpreis für ein paar Septrillionen nach Vereinbarung zum Verkauf an (Stand: 2010), Einzelheiten siehe im Menü links unter Impressum

OKGooken: 1000% IT-Sicherheit: Folgen Sie auf Gookens Webseiten einfach diesen grünen Häkchen!

Intro


Thema Abmahnungen: Also, wir, Gooken, haben ganz ehrlich bis heute noch nichts davon weder gesehen noch gehört... (... bis auf die paar Lacheinlagen)!
, Text by Gooken, 2006 bis 04.02.2020
(doch nur, weils stimmt, .... oder?)

Von News&Links#Intro#RocknRolf#tradit.

"Die alles-zerstörerische Kraft"

StarWars "Atomic warheads...

what obviously might describe nothing but similar to our Suneater by Miro.

OK"Let´s go!"

Linux - time before Gooken´s "Universal Linux ( in main: Enterprise Linux CentOS 6 resp. Scientific Linux 6 from year 2010 with updates to 2020 and longer )"
"Thanks, Linux": You have made Microsoft rich!
, Gooken.de:

Alles rund um MAC OSX und Linux, http://www.trojaner-board.de/sitemap/f-13.html:

BUUUäääääH! Das is ja genau so´n Mist wie Windoof... :(
wo ist mein müll?
Umstieg auf Linux Mint - Bildschirmfarben -alles vergraut
Qnap über Apache Server gehackt
Offen Verschieben technisch durchführbar?
Safari kann nicht beendet werden
Mac / Systemeinstellungen stürzen ab / Passwörter geändert / nach Malware Infektion
MAC 10.6.8: langsame Bootzeit & HDDLüfter overdrive
Word stürzt ab, Passwörter gelöscht, Schriftensammlung Probleme
Offen Linux Kodachi
Einstieg in die Linux-Welt
ubuntu-16.04.1-desktop-amd64.iso ( 1,4 GB ) ?
Auf Linux umsteigen
Offen Trojanerbefall beim Mac?
Offen install Whizz script....
Offen Der super gau virus ? BadBios?
Malware oder Virus und wie entfernen
Jemand kauft bei 1&1 mit meinen Zugangsdaten ein - Jemand ähnliche Erfahrung gemacht?
MacBook Pro 2010 sehr langsam
Frage an die Crypto-Experten: Daten aus Luks-Container wiederherstellen
Rechner nach update auf 10.11.6 sehr langsam
Offen Ein Altrechner mal wieder etwas fluffiger machen
Virus googleads auf Macbook
Ebay-Spam: Mail von Anwaltskanzlei Ebay GmbH
Dual Boot unter Win 8.1 möglich ?
Online Pay 24 ZIP Datei auf dem iPhone 6 angeklickt - Gefahr für den Mac?
Offen ZIP Virusmail auf iPhone und Mac geöffnet
Linux Ubuntu für XP Laptop
Offen Ist mein Mac infiziert? Versteckter Trojaner möglich?
Bekomme gerade unmengen an Virenmeldungen
Habe ich einen Trojaner und kann dieser an meinen Schlüsselbund ran?
Gibt es aktuell Trojaner für OSX iOS, die nicht gefunden werden?
Welchen VPN-Service?
Virenscanner- und Firewall Empfehlung für Mac
iMac Intel Core 2 Duo 3Gh
Mac mit einer .com codierungs Datei infiziert
Mac Book Pro - "JS:ScriptSH-inf(Trj)" und "VBS:Bicololo-BM(Trj)"gefunden
Archlinux / dhcpcd
Offen Linux für alten PC
Linux-Distribution für alten Laptop
...

Fortsetzung des nahezu endlos langen Listings:
https://www.trojaner-board.de#MAC_and_Linux-Troubleshooting
News&Links#Computer
Newsgroup: alt.linux.suse
Exkurs#Universal_Linux_by_Gooken
Listing für MS Windows: News&Links#MS_Windows _Troubleshooting

Thema Abmahnungen: Also, bei uns, Gooken, traut sich bislang keiner:
, Text by Gooken, 2006 bis 04.02.2020
(doch nur, weils stimmt, .... oder?)oden für Verschwörungstheorien. So wird behauptet, Bill Gates würde von dem Ausbruch profitieren.
[...] So veranlassen im Internet auffindbare Patente auf Coronaviren Autoren diverser Posts und Artikel zu der Mutmaßung, das nun ausgebrochene Virus sei in Laboren entwickelt und ausgesetzt worden, um Impfungen zu vermarkten. Tatsächlich existieren Patente auf bestimmte Gensequenzen der Coronaviren. Allerdings sind die Corona eine große Familie von Viren - keines der Patente bezieht sich auf die neue in China aufgetretene Variante 2019-nCoV.


Von News&Links#Computer

OKEnterprise Linux 6 und 7 (CentOS 6, 7 resp. Scientific Linux 6,7) package installer: rpm, MMC#install_and_remove_software, packagekit, urpmi, smart-gui, smart, fedpkg, fedora-packager, file-roller, ..., for Debian: dpkg, dselect, apt, aptitude, debmirror (el6), debbuild (el6), ...

NSA´s MORECOWBELL: Even the most basic internet architecture is compromised, awp.is, 24.01.2015
DNS has always been an open book and MORECOWBELL is the program the NSA has developed exclusively to read it. As the leaked slides show, the system allows the agency to monitor the availability of sites and web services, changes in content and a wide array of metadata, that can help it build complete profiles for targeted users. If necessary, it can even be used to find weak points for launching direct attacks. Given the widespread use of DNS in the public internet, the implications of this program are huge, as it affects users on a global level.
https://data.awp.is/international/2015/01/24/20.html

Werbung (obendrein auf Kosten des Steuerzahlers)? Nein, danke!
Wovon selbst 81/82-USA die Finger lassen muss!:

Stiftung Warentest, TÜV Rheinland, Öko-Test, GS - Geprüfte Sicherheit, Schutzklassen, AUSTest, ISO-zertifierter Betrieb, ISO, DIN, DLG gold, ..., Berichte von tagesschau, STERN, Spiegel, ..., OpenSource / LSB-compliance (Linux/UNIX), Patentrecht

Aus unserem Datenblatt ( "... und funktioniert noch heute!" ):

OKSmartphone HUAWEI Y360 (Y360-U61) mit Zubehör und magnetisiertem schwarzen Lederetui und Ladegerät von expert, Jahr 2015, für 79 Euro (da ich genau dieses Smartphone zum Glück fü,r umsonst bekam, da sich jemand dummerweise ein anderes zulegte...)
[...]

OKBeim letzten Update vor wenigen Tagen habe ich folgendes festgestellt ... unter System - Sicherheit ... sämtliche Schritte, die man tätigt, jede Seite, auch außerhalb des www...., wird im Hintergrund abgespeichert, mit Zeit und Ort !, Pia Berling @ krone.at, 24.11.2020
In die Systemeinstellungen gehen und sämtliche Häkchen deaktivieren!
Dann unter dem Aktionsverlauf, der u.a. mit Googlekonto vernetzt ist, löschen!
Dennoch ist es keine Garantie dafür, dass nicht trotzdem komplette Verfolgung Eurer Tätigkeiten erfolgt... zumindest hat man wenigstens etwas unternommen.
Meiner Meinung nach die totale Überwachung... Cortana deaktivieren (Linux-Entsprechung wäre krunner und akonadi -> Inhalte von akonadi mit akonaditray) ... (habe ich schon ewig), Kameras abstecken, nur wenn wirklich benötigt! ... usw. ...
https://www.krone.at/2282872
Auch bei Linux KDE (el6, 4.3 und mdv 4.4.5/4.4.9) kann der Aufgabenbereich von akonadi per akonaditray zumindest eingeschränkt und der für die Kontext-Desktop-Suche bei fast allen Aktionen des Benutzers recht aktive krunner vorsichtshalber ganz entfernt werden, indem /usr/bin/krunner einfach mit dem Befehl rm gelöscht wird. Allerdings lässt sich dann der graphische Prozessmanager von Linux nicht mehr mitttels den Tasten ESC + STRG aufrufen. Man richte ein neues Shortcut ein und/oder kopiere den Starter für dieses Programm "ksysguard %U" aus dem Startmenü, Sektion Werkzeuge oder Systeminformation einfach in die KDE-Kontrollleiste. Weiteres Manko: Beim Öffnen (Starten eines Programmes bzw. Öffnen eines Dokuments) per Mausklick erscheint am Mauszeiger keine Eieruhr oder desgleichen mehr, ggfls. neu einrichten! Sieht man davon ab, kann die Aufruf-Datei von krunner ruhigen Gewissens gelöscht werden. Wird akonadi deaktiviert, versendet das beliebte kmail leider keine E-Mail mehr! Auch ein Blick auf all die Einträge in der von krunner und akonadi verwalteten MySQL-Datenbank kann sich nun lohnen...

Angebliche Sicherheitslücken in aktuellen AMD-CPUs entdeckt, linux.news.de, 22.03.2018
Vor wenigen Tagen machte eine Meldung die Runde, die sehr an Meltdown und Spectre erinnerte. Die bis dahin unbekannte israelische Sicherheitsfirma CTS-Labs Research berichtete über 13 angebliche Lücken in AMDs aktuellen Desktop- und Server-Prozessoren.
https://linuxnews.de/2018/03/amd-sicherheitsluecken-in-ryzen-und-epyc-bestaetigt/

Detaillierter, präziser Check: spectre-meltdown-checker (el6) bzw. meltdown-spectre-checker (el6)
Lösung/Abhilfe: das Sicherheitskonzept (Exkurs); das für Microcode, Kernelversion, Gerätetreibern und CPU verhilft hingegen meist nur teilweise und dabei oft lediglich problemmindernd:

Microcode mit microcode_ctl (er kann mit seiner "Entschärfung" die CPU nicht schnell genug laufen lassen (!); lassen Sie sich nicht von anderen Versionen beirren: superschnelles (rosa2016.1, el6: microcode_ctl-1.17-33.23.el6_10.x86_64.rpm, fc29: ver. 2.1-33 und neuerdings auch OpenSuSE 15.1 mit ucode-intel), wir empfehlen das mausklick-schnelle microcode_ctl (rosa2016.1) über el6 mit rpm -i --force) oder ucode_intel ( OpenSuSE Thumbleweed, 15.2, 15.1, 15.0 ) und aktuellem kernel 4.19 (pclos) oder >= 4.21 / 5
Start microcode_ctl (z.B. in /etc/rc.local):

echo 1 > /sys/devices/system/cpu/microcode/reload
sh /usr/libexec/microcode_ctl/reload_microcode
... oder selbsttätig per im Paket mitgelieferter udev-rules-Datei.

Firewall Linfw3: Zur generellen Verhinderung von Auslesen durch Treiber, hier über Spectre und Meltdown: Zulassung des Netzverkehrs nur für den einzig zuzulassenden Benutzer namens "surfuser" mit Surf-Gruppe "surfgruppe" mit Zuweisung der Gruppe wie z.B. "nobody" zu dessen Primärgruppe! Linfw3 lässt also nur Benutzer "surfuser" mit dessen Gruppe "surfgruppe" (anstatt dessen Primärgruppe "nobody") fürs Online zu. Dabei wird mit Linfw3 selbst root (UID: root bzw. 0, GID: root bzw. 0) gesperrt.
Um paranoid zu sichern, damit die Verwirrung für den Kernel und CPU perfekt wird, alle Gruppennamen an Verzeichnissen und Dateien von surfuser (Benutzer mit Primärgruppe "nobody") noch auf "nobody" (anstelle surfgroup) setzen!

Spectre und Meltdown: Die CPU-Bugs sind noch lange nicht ausgestanden, CHIP, 18.03.2018
Anfang des Jahres machten spektakuläre Bugs in Prozessoren die Runde, dazu kamen Update-Pannen der Hersteller und auch Microsoft hat sich nicht gerade mit Ruhm bekleckert. Zwar ist das Interesse an den Sicherheitslücken verebbt, abhaken sollte man das Thema aber nicht.
Das Jahr 2018 ging mit den großen Sicherheitslücken Spectre und Meltdown los. Technische Details zu den teilweise sehr komplexen Lücken in Prozessoren waren schnell bekannt, doch das Schließen der Lücken macht bis heute Schwierigkeiten. Das Hauptproblem ist, dass man die Lücken nicht an einer Stelle beheben kann, sondern mehrere Stellen Input liefern müssen. Beteiligt sind CPU-Hersteller, aber auch Betriebssystem-Macher, Anwendungs-Programmierer und Treiber-Entwickler.
Pannenserie bei IT-Giganten
Fortsetzung des Berichts: News&Links#Computer

Software::Security
Weitere Sicherheitslücken in Intel-Prozessoren
, PRO LINUX, 13.11.2019
Drei neu bekanntgegebene Sicherheitslücken in Intel-Prozessoren haben zu einer Welle von Aktualisierungen des Linux-Kernels, des Intel-Microcodes und anderer Software geführt. Zusätzlich wurden zwei Probleme im i915-Grafikprozessor publiziert.
Nach Ablauf des Embargos wurden gestern Details zu drei neuen Sicherheitslücken in Intel-Prozessoren bekannt gegeben. Die Lücken sollen durch neue Ausgaben des Intel-Microcodes behoben werden. Als Sicherheitsmaßnahme für Prozessoren, die diese Aktualisierung nicht erhalten, wurden der Linux-Kernel, Xen, Qemu und andere Software aktualisiert. Intel stellt zudem neuen Microcode bereit, der zwar die Probleme behebt, aber zu weiteren Leistungseinbußen führt.
Die erste Lücke nennt sich TSX Asynchronous Abort (TAA) und ermöglicht, ähnlich wie Spectre, das Auslesen von Daten, auf die ein Prozess normalerweise nicht zugreifen dürfte. Der Patch für Linux erklärt das Problem im Detail. Es betrifft Prozessoren, die die Intel Transactional Synchronization Extensions (TSX) unterstützen. Die CVE-Nummer ist CVE-2019-11135. Der Patch für Linux fügt dem Kernel die komplette Erkennung und verschiedene Methoden zur Abmilderung des Problems sowie Einstellmöglichkeiten hinzu, analog zu den Maßnahmen gegen Spectre. TSX selbst war schon in der Vergangenheit die Quelle einer Reihe von Problemen und wurde von Intel im Zuge von Microcode-Updates deaktiviert. In neuen Prozessoren wurde es wieder aktiviert, ein neuerliches Update wird es wohl es wieder deaktivieren oder abschaltbar machen.
Die zweite Sicherheitslücke wurde iTLB multihit genannt und die CVE-Nummer CVE-2018-12207 vergeben, unter der bis heute keine Beschreibung zu sehen ist. Auch hier gibt der Linux-Patch die wohl genaueste Erklärung. Bei iTLB multihit handelt es sich demzufolge um einen Fehler, der auftreten kann, wenn das Laden von Instruktionen mehrere Einträge im Instruktions-TLB nutzt. Dazu kann es kommen, wenn sich die Speicherseitengröße ändert, beispielsweise wenn eine Aufteilung einer großen Seite in 4 Kilobyte große Seiten nötig wird. Dabei kann sich der Prozessor komplett aufhängen. Es ist daher möglich, beispielsweise aus einer virtuellen Maschine heraus, einen Denial-of-Service-Angriff auf das Host-System auszuführen. Betroffen sind die meisten Intel Core- und Xeon-Prozessoren. Die Abhilfe im Kernel besteht daraus, bei Seiten mit ausführbarem Code keine großen Seiten mehr zuzulassen, so dass es nie zu einer Aufteilung kommen kann.
Ein dritter Fehler ist das "JCC-Problem", dessen Beschreibung bei Intel sehr dürftig ist. Unter bestimmten Umständen wird bei Sprunginstruktionen, die eine 64-Byte Ausrichtung überschreiten, etwas Falsches aus einem Cache gelesen, was zu undefiniertem Verhalten bei der Ausführung der Instruktion führt. Es steht ein Update des Microcodes von Intel zur Verfügung, das aber laut Phoronix die Prozessorleistung senkt. Für den GNU Assembler gibt es Patches, die das Problem möglicherweise effizienter lösen, betroffene Software muss damit aber neu compiliert werden.
Wie Ubuntu ferner meldet, wurden auch zwei Sicherheitslücken in Intels i915-Grafikprozessoren veröffentlicht. CVE-2019-0155 ermöglicht es einem unprivilegierten Benutzer, seine Privilegien zu erhöhen und Daten aus dem Kernel auszulesen. CVE-2019-0154 dagegen kann zu einem kompletten Aufhängen des Systems führen. Die Behebung besteht in einer Kombination von Firmware- und Treiber-Updates.
https://www.pro-linux.de/news/1/27587/weitere-sicherheitsl%C3%BCcken-in-intel-prozessoren.html

Firefox (OpenSuSE, SL/CentOS) oder Pale Moon (pclos, palemoon.org)?

BSI warnt vor Firefox &Thunderbird: Updates stopfen gleich mehrere Sicherheitslücken, CHIP, 19.11.2020
Mozilla hat mit den aktuellen Updates für den Browser Firefox und den Mail-Client Thunderbird mehrere Sicherheitslücken geschlossen, vor denen das BSI warnt. Wir empfehlen Ihnen dringend, beide Programme möglichst bald auf die neueste Version upzudaten.
https://www.chip.de/news/BSI-warnt-vor-Firefox-und-Thunderbird-Updates-stopfen-gleich-mehrere-Sicherheitsluecken_104405834.html

Firefox (64 Bit) 74.0 Final
Jetzt kostenlos bei CHIP zum Download: die brandaktuelle finale Version von Firefox 74.0.
CHIP Bewertung: Sehr gut
https://www.chip.de/news/Browser-im-Maerz-2020-Firefox-stuerzt-ab_169898532.html

Nächstes Zwischen-Update für Firefox 78: Firefox 78.0.2 steht zum Download bereit, CHIP, 09.07.2020
Erst letzte Woche hatte Mozilla planmäßig Firefox 78 zum Download bereitgestellt. Doch es trat eine Nebenwirkung im Zusammenhang mit Suchmaschinen auf, woraufhin die Verteilung gestoppt wurde. Firefox 78.0.1 hatte das Problem behoben. Jetzt steht mit Firefox 78.0.2 das nächste Zwischen-Update an, das unter anderem ein Problem mit Microsoft Teams behebt.
https://www.chip.de/news/Firefox-78-gestoppt-Mini-Update-Firefox-78.0.2-ist-da_182759007.html

Firefox-ESR-68 (el6, OpenSuSE, ...), Firefox-74, ...


OKFirefox-ESR-52.9.0-Extensions: Restloses Herausfiltern von Tracking-Scripten mit ABP, RequestPolicy, noscript und unseren per user.js vorgenommenen Firefox-ESR-Sicherheits-Einstellungen ( u.v.a. von Kai Raven.de bzw. im Folgenden weiter unten)
Übersicht gepatchte Firefox-ESR-52.9.0: https://software.opensuse.org/package/firefox-esr
OKhttps://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/ ( fast alle glibc, erfordert im Gegensatz (für el6, glib2 (el6)) und zu OpenSuSE-Evergreen_11.4: mozilla-nss ( NSS_3.51, OpenSuSE Thumbleweed.), mozilla-nspr (OpenSuSE Thumbleweed), nss--softokn (el6) und nss-softokn-freebl (el6), ggfls ist noch eine Verlinkung /lib64/libglib... und /lib64/libgthread mit /usr/lib64/firefox/bundled/lib64/libg...5400... erforderlich: ln -sf /usr/lib64/firefox/bundled/lib64/libg...5400.. /lib64/libg...-2.0.so.0 mit /usr/lib64/firefox/bundled und /usr/lib64/firefox/gtk2 aus firefox (el6), derzeit firefox-68.9.0 (el6)), anschließend die Vorgänger libglib (el6: 2800.8) und libgthread (el6: 2800.8) löschen: rm -df /lib64/libglib...2800.8... und rm -df /lib64/libgthread-...2800.8... !)

Mirrors:
http://ftp1.nluug.nl/os/Linux/distr/opensuse/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/
http://ftp2.nluug.nl/os/Linux/distr/opensuse/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/
https://ftp.gwdg.de/pub/opensuse/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/
https//ftp.lysator.liu.se/pub/opensuse/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/
https://provo-mirror.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/

Nun kann der derzeit aktuelle Firefox (OpenSuSE 15.1) immerzu auf einfache Art und Weise ( in insgesamt natürlich immer mehr Megabytes ) geupdatet werden:

...
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.43.x86_64.rpm (15.11.2020)
...
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.36.x86_64.rpm (26.09.2020)
...
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.31.x86_64.rpm (08.09.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.30.x86_64.rpm (30.08.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.29.x86_64.rpm (26.08.2020, gemäß firefox-ESR-68.12.0)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.27.x86_64.rpm (17.08.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.26.x86_64.rpm (15.08.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.25.x86_64.rpm (07.08.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.23.x86_64.rpm (28.07.2020 - gemäß firefox-ESR-68.11.0)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.22.x86_64.rpm (23.07.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.21.x86_64.rpm (19.07.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.4.20.x86_64.rpm (18.07.2020 - gemäß firefox-ESR-68.10.0)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.3.22.x86_64.rpm (08.07.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.3.21.x86_64.rpm (20.06.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.3.20.x86_64.rpm (12.06.2020)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.3.19.x86_64.rpm (28.05.2020) - gemäß firefox-ESR-68.9.0)
https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.3.18.x86_64.rpm (28.04.2020)
...

alternativ (und es wird bei SuSE gewohnt konfus..:)
http://ftp1.nluug.nl/os/Linux/distr/opensuse/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/x86_64/
Quellcode: https://download.opensuse.org/repositories/home:/dliw:/mozilla/openSUSE_Leap_15.1/src/firefox-esr-52.9.0-lp151.3.18.src.rpm
https://download.opensuse.org/repositories/home:/steffens:/lvermgeo:/firefox/openSUSE_42.2/x86_64/firefox-esr52-52.9.0-4.14.x86_64.rpm (vom 03.08.2019)
https://download.opensuse.org/repositories/home:/anoncvs/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.9.1.x86_64.rpm (vom 02.06.2020)
https://download.opensuse.org/repositories/home:/anoncvs/openSUSE_Tumbleweed/x86_64/firefox-esr-52.9.0-3.20.x86_64.rpm (vom 26.05.2020, nur für ziemlich aktuelle glibc)
https://download.opensuse.org/repositories/home:/anoncvs/openSUSE_Tumbleweed/x86_64/
https://download.opensuse.org/repositories/home:/anoncvs/openSUSE_Leap_15.1/x86_64/
https://download.opensuse.org/repositories/home:/anoncvs/openSUSE_Leap_15.1/x86_64/firefox-esr-52.9.0-lp151.8.1.x86_64.rpm (vom 07.09.2019: ( ... wie kommt das denn?), glibc >= 2.20, ab glib2 (el6))
OKhttp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/linux4humans:/sle11_software:/firefox/openSUSE_Evergreen_11.4/x86_64/MozillaFirefox-52.9.0-10.2.x86_64.rpm (vom 15.02.2019, alle glibc und ab glib2 (el6)
seamonkey (el6, Version 2.49 enthält aktuell gepatchten FirefoxESR-52.9)
https://rpm.pbone.net/index.php3/stat/4/idpl/54051369/dir/opensuse_leap_15/com/MozillaFirefox-52.9.0-lp150.5.1.x86_64.rpm.html
https://rpm.pbone.net/index.php3/stat/4/idpl/55298083/dir/opensuse/com/MozillaFirefox-52.9.0-4.5.x86_64.rpm.html (vom 10.11.2018)
Firefox-ESR-52.8.1 (el6, fr2.rpmfind.net)

Beachte: Die Installations-Reihenfolge einiger der im Folgenden aufgelisteten Firefox-Erweiterungen sollte nicht vergessen werden: ABP (mit der (wildcard-*-basierten) Sicherheits-Filter-Regel "verboten ist, was nicht (explizit) erlaubt ist", Einzelheiten im Folgenden weiter unten) und/oder uBlock bzw. ABL für Pale Moon und/oder uMatrix) vor RequestPolicy(Block)Continued vor Noscript, PrivacyBadger und CanvasBlocker!

OKHaken: Wie aus dem angebrochenem Schloss links neben der Adresszeile hervorgeht, setzt sich die Verschlüsselung vieler mit dem neuen TLS 1.3 verschlüsselter Webseiten mit obigem auf OpenSuSE gepatchten Firefox-ESR-52.9 zumindest auf unserem System (el6) leider nur schwach bzw. überhaupt nicht verschlüsselt um!
Was ist unter OpenSuSE nur aus ihm gemacht worden (obige Patches)? Zur Zeit können wir auf fast allen Plattformen (alternativ) den auf Firefox (Quantum oder Gecko) basierenden Pale Moon mit analogen Erweiterungen (Extensions) empfehlen: secret agent und/oder eclipsed moon, ABL (für AdblockPlus, ABP), noscript, RequestPolicyBlock-Continued, Block Content Download, PermissionsPlus (Erweiterung von about:permissions und für jede Webseite), Change-Referer-Button, signTextJS, Pure URL, Cookie-Permissions-Button, nMatrix, CanvasBlocker Legacy, JavaScript-Toggle-Buttom, Decentral Eyes, No Resource URI Leak usw., am Schluss wie bei Firefox wieder unser "Torwart" Privacy Badger von der gemeinnützigen Electronic Frontier Foundation EFF


Gooken empfiehlt Pale Moon! Der Firefox im Codeumfang sicherheitstechnisch beschneidende und trotzdem komfortable Pale Moon mit neuem tls-1.3-Support läft auch unter minimalen Systemanforderungen!

Can I run Firefox extensions in Pale Moon?
Yes, you can, for now. Since version 25 we´ve had the option to install (now called "legacy") XUL, bootstrapped and Jetpack type Firefox extensions on Pale Moon, despite Pale Moon being (and being identified as) a different browser. Please understand though that there is no guarantee that these extensions will work, and using extensions targeted at a different application is entirely at your own risk and you are pretty much on your own regarding support.
https://forum.palemoon.org/viewtopic.php?f=46&t=23697

Dabei geht der am Schluss installierte ("Torhüter, Torwart") Privacy Badger von der Bürgerrechtsorganisation EFF selbst nach vorgesehenen Blocken aller Trackingskripte mit dem Schieberegler von grün auf überalll rot, ausgenommen Facebook-Widgets, (hoffentlich) meist leer aus: Aufgelistete, vor ihm installierte Erweiterungen nehmen ihm diese Arbeit bereits ab.
privacybadger.org: [...] Although we like Disconnect, Adblock Plus, Ghostery and similar products, none of them are exactly what we were looking for. In our testing, all of them required some custom configuration to block non-consensual trackers. Several of these extensions have business models that we weren´t entirely comfortable with. And EFF hopes that by developing rigorous algorithmic and policy methods for detecting and preventing non-consensual tracking, we´ll produce a codebase that could in fact be adopted by those other extensions, or by mainstream browsers, to give users maximal control over who does and doesn´t get to know what they do online. How does Privacy Badger work?
When you view a webpage, that page will often be made up of content from many different sources. (For example, a news webpage might load the actual article from the news company, ads from an ad company, and the comments section from a different company that´s been contracted out to provide that service.) Privacy Badger keeps track of all of this. If as you browse the web, the same source seems to be tracking your browser across different websites, then Privacy Badger springs into action, telling your browser not to load any more content from that source. And when your browser stops loading content from a source, that source can no longer track you.
Voila!
At a more technical level, Privacy Badger keeps note of the "third party” domains that embed images, scripts and advertising in the pages you visit. Privacy Badger looks for tracking techniques like uniquely identifying cookies, local storage "supercookies,” first to third party cookie sharing via image pixels, and canvas fingerprinting. If it observes a single third-party host tracking you on three separate sites, Privacy Badger will automatically disallow content from that third-party tracker.
In some cases a third-party domain provides some important aspect of a page´s functionality, such as embedded maps, images, or stylesheets. In those cases Privacy Badger will allow connections to the third party but will screen out its tracking cookies and referrers (these hosts have their sliders set to the middle, "cookie block” position).
https://privacybadger.org/#What-is-Privacy-Badger

Electronic Frontier Foundation
USA: Erneut Klage gegen Massenüberwachung durch NSA abgewiesen
, netzpolitik.org, 11.05.2019
Seit Jahren kämpft die Electronic Frontier Foundation ( ff-Erweiterung Privacy Badger u.a.) vor Gerichten gegen die Massenüberwachung durch den US-Geheimdienst NSA. Nun hat ein Bundesrichter eine Klage aus dem Jahr 2008 abgewiesen: Um die nationale Sicherheit zu schützen, müsse ein mögliches Überwachungsprogramm geheim bleiben.
https://netzpolitik.org/2019/usa-erneut-klage-gegen-massenueberwachung-durch-nsa-abgewiesen/

OKPalemoon-Erweiterung nMatrix
Füge im Dashboard n-Matrix folgende Regeln von temporär zu permanent hinzu:
https-strict: * true
https-strict: behind-the-scene false
matrix-off: about-scheme true
matrix-off: chrome-extension-scheme true
matrix-off: chrome-scheme true
matrix-off: moz-extension-scheme true
matrix-off: opera-scheme true
matrix-off: wyciwyg-scheme true
no-workers: * true
referrer-spoof: * true
referrer-spoof: behind-the-scene false
* * * block
* * css allow
* * frame block
* * image allow
* * script block
* * xhr block
* * other block
* 1st-party * allow
* 1st-party frame allow

afterdawn.dk www.afterdawn.dk script block
...

OKInitialisierung der Palemoon-Erweiterung "Block Content Download" jedesmal beim Neustart: Gebe about::config in der Adresszeile ein oder editiere /home/user/.mozilla/userprofile/user.js, indem alle Einträ,ge permissions.*.* i.a. auf den Wert 3 für Bilder, Stylesheets, Objekte, Skripte, Subdocuments (Dokumente) usw., d.h. zumindest auf "Nicht von Drittanbietern" gesetzt werden !

OKInitialization of the Pale Moon extension "Block Content Download" each new start: in about::config edit /home/user/.mozilla/userprofile/user.js,by changing values of all items like permissions.*.* to the value 3, 3 for images, stylesheets, objects, Scripts, subdocuments and so on, that at least means "No thrid party allowed" !

OKPale Moon extension: nMatrix
Point&click to forbid/allow any class of requests made by your browser. Use it to block scripts, iframes, ads, facebook etc.
nMatrix does also
Delete blocked cookies
Delete non-blocked session cookies minutes after the last time they have been used
Delete local storage content set by blocked hostnames
Clear browser cache every minutes
Spoof HTTP referrer string of third-party requests
Strict HTTPS: forbid mixed content
Block all hyperlink auditing attempts
Resolve CNAME records

OKPale Moon extension: Eclipsed Moon
By: Eurythrace Perseides
About this add-on
This add-on/extension is designed to work unobtrusively by using current, well known user agent strings and operating systems to "blend in” with the crowd. The preferred "smart" mode is designed to switch the user agent string only when no external tabs are open except for the home page, if it is an external page. The intent is to be quiet and NOT draw attention by changing the user agent string too frequently or using unique ones. It also offers an anonymity checklist for the browser settings, and has a "smart erase” feature to forget about a site when all open tabs to that site are closed. This is a COMPLETE erasure for that individual site, similar to the Delete History option when closing the browser. ALL PASSWORDS, COOKIES, HISTORY, ETC. WILL BE ERASED FOR THE SITE!
Test Package
A test package to verify the operation of the random User Agent generation may be downloaded from here:
https://addons.palemoon.org/datastore/addon/eclipsedmoon/eclipsedmoon-test.zip
Once unzipped, the XHTML file should be opened in a Pale Moon™ browser that already has the Eclipsed Moon add-on/extension installed. The operating mode of the add-on/extension should be set to "Page" before loading the test XHTML page. The test will then proceed to iterate a default value of 50 times and collect the statistics of the User Agents used for each iteration. Optionally, an iteration count may be passed to the XHTML file via adding a query string to the URI in the form of "?runs=100". The maximum number of iterations is set to 1000, although the JavaScript file associated with the XHTML file may be edited to change that number. There is an optional PHP file that may be loaded on a server along with the supporting files so the test may be conducted over the internet rather than on the local computer. This will use a large amount of bandwidth to run the test since each iteration will need to completely reload files from the server. The difference is that using the PHP file collects the User Agent from the HTTP header rather than the window.navigator.userAgent DOM property.
https://addons.palemoon.org/addon/eclipsedmoon/

OKPale Moon extension: signTextJS
By: dkeeler@mozilla.com, rbarnes@mozilla.com, vbadev@gmail.com
About this add-on
window.crypto.signText is a digital signature technology that has been available to Firefox users for 20 years. It is used by government and banking sites. It can be used to participate in plebiscites.
The window.crypto interfaces were removed from Firefox 35 and later releases. An add-on was developed as a stop-gap measure for users; that add-on is deprecated and does not work since Firefox 57, but still work with Pale Moon.
This fork based on the original signTextJS-0.7.7 add-on by mozkeeler.
https://addons.palemoon.org/addon/signtextjs/

OKPale Moon extension: Modify HTTP Response
By: Off JustOff
About this add-on
Modify HTTP Response is designed to rewrite http response body using search & replace patterns.
Warning:
This tool works on low level API and intended for advanced users.
Incorrect filters can cause browser freeze, hang or loose data.
Never use filters from untrusted sources or if you don´t understand them.
https://addons.palemoon.org/addon/modify-http-response/

OKPale Moon and Firefox extension: No Resource URI Leak
Deny resource:// access to web content. We fill the hole to defend against fingerprinting. Very important Firefox privacy. A direct workaround for bugzilla.la/863246:
block access to resource:// URIs from web
block web-exposed subset of chrome:// URIs
uniformly filter disallowed redirects
restrict about: pages by default (for paranoids)


OKClassic Add-ons Archive [External]
Catalog of classic Firefox add-ons created before WebExtensions apocalypse.
https://addons.palemoon.org/extensions/other/

OK[ SOLVED by Gooken: Pale Moon (aktuelle Version: 28.12.0) hält nach jedem Start um die 30 Sekunden einfach an, so dass keinerlei Eingabe möglich ist ]
Gebe about:config in die Adressleiste ein und lösche (fast) alle Einträge (URL/URI), die "http://" und "https://"enthalten!

Das Design von Pale Moon gefällt Ihnen nicht? Von palemoon.org können neben der aktuellen Version und Erweiterungen viele Themes installiert werden!

OKPale Moon - Erweiterungen: Formuliere gegebenenfalls Ausnahmen innerhalb einer Erweiterung
Ausnahmen können innerhalb der Erweiterung SecretAgent, noscript, RequestPolicy, nMatrix und der Proxy-Konfiguraiton von Pale Moon frei formuliert (gesetzt) werden.
Somit bleibt nichts mehr für den Administrator wie Benutzer ( manuell ) zu tun - wie generell mit UNIX/Linux möglich!

OKDie Erweiterungen restriktrieren zu viel und der Weg zurück bleibt versperrt? Erzeuge ü,ber about:profiles ein weiteres (zusätzliches) Profil ohne viele bzw. ohne alle Browser-Erweiterungen, um die von Erweiterungen verantwortlichen ausgehenden Restriktionen im Bedarfsfall komplett auf einmal wieder rückgänig zu machen, für den Fall, dass man nicht mehr wei&szig;, was für die Aufhebung gewisser Restriktionen alles zu tun ist. In diesem Fall ist nach der Erzeugung des Profils in about:profiles der Browser oder nur ein Fenster des Browsers mit diesem neuen Profil ohne gewisse oder ganz ohne Erweiterungen mittels Druck auf "launch profile" zu starten!


Nervige Cookie-Banner blocken: Browser-Add-on sorgt für weniger Frust beim Surfen, CHIP, 09.10.2020
Nach einem Urteil des Europäischen Gerichtshofs nerven die DSGVO-Cookie-Banner auf fast jeder Seite. Doch das kleine Browser-Tool "I don't care about cookies" kann hier Abhilfe schaffen.
Cookie-Banner müssen seit einiger Zeit noch größer und noch prominenter angezeigt werden. Vor dem Benutzen einer Seite müssen Sie nun immer erst eine Entscheidung fällen, welche Cookies eingesetzt werden dürfen, und diese Optionen dementsprechend bestätigen.
Auch wenn dahinter ein guter Gedanke steckt, wird das Urteil das Surfen wohl noch komplizierter machen - doch es gibt ein Tool, das Ihnen beim Bewältigen der Bannerflut helfen kann.
Download Firefox-Erweiterung: I don´t care about cookies für Firefox 3.2.2
CHIP Bewertung: Gut
https://www.chip.de/news/Nervige-Cookie-Banner-blockieren-beim-Surfen-so-gehts_148087234.html

OKtor (el6, rosa2016.1, Tor: The Onion Router)
uMatrix (uM, https://github.com/gorhill/uMatrix/releases/download/1.4.1b6/uMatrix_1.4.1b6.firefox.signed.xpi) oder seamonkey-noscript (5.1.9 für FirefoxESR-52.9.0 von Februar 2020, enthält das xpi-installations-file) oder
mozilla-noscript (5.1.8.6, 5.1.8.5, 5.1.7-1, fc, el7, el6, fr2.rpmfind.net oder mozilla.org oder http://ftp.pbone.net/mirror/archive.fedoraproject.org/fedora/linux/updates/25/armhfp/Packages/m/mozilla-noscript-5.1.7-1.fc25.noarch.rpm, year 2017), https://rpm.pbone.net/index.php3/stat/4/idpl/54125427/dir/rawhide/com/mozilla-noscript-2.6.8.36-1.171.noarch.rpm.html, vom 16.11.2018 (171. Patch, daher die empfohlene Version)
OKmozilla-adblockplus (-2.9.1-27 fc, el7, el6 or mozilla.org), https://fr2.rpmfind.net/linux/fedora-secondary/releases/29/Everything/i386/os/Packages/m/mozilla-adblockplus-2.9.1-4.fc29.noarch.rpm, https://fr2.rpmfind.net/linux/epel/6/x86_64/Packages/m/mozilla-adblockplus-2.6.6-1.el6.noarch.rpm
OKmozilla-requestpolicy (-1.0-0.22.20171019git633302 fc27 from 02.08.2020 / 08.02.2020, el6, rpmfind.net or mozilla.org, you still have to copy it from /usr/share/mozilla/extensions/ to /home/surfuser/.mozilla/extensions/), https://fr2.rpmfind.net/linux/fedora/linux/releases/29/Everything/x86_64/os/Packages/m/mozilla-requestpolicy-1.0-0.22.20171019git633302.fc29.noarch.rpm, https://fr2.rpmfind.net/linux/epel/6/x86_64/Packages/m/mozilla-requestpolicy-1.0-0.19.20171019git633302.el6.noarch.rpm
mozilla-https-everywhere (fc, el6 or mozilla.org), https://fr2.rpmfind.net/linux/fedora/linux/updates/29/Everything/x86_64/Packages/m/mozilla-https-everywhere-2019.11.7-1.fc29.noarch.rpm, https://fr2.rpmfind.net/linux/epel/6/x86_64/Packages/m/mozilla-https-everywhere-2019.11.7-1.el6.noarch.rpm
firefox-ublock_origin (alt1, pkgs.org, mozilla.org)
mozilla-ublock-origin (fc, el7, el6)
OKCanvasBlocker (mozilla.org, gegen Canvas Fingerprinting)
OKCookieController (mozilla.org, part of Jondofox)
Private Tab (mozilla.org)
OKRefControl (mozilla.org, Referer Control)
UserAgentSwitcher (mozilla.org)
Link Redirect Fixer (mozilla.org)
Link_Cleaner (mozilla.org)
CSS Exfil Protection by Mike Gualtieri ( xpi von mozilla.org, https://addons.cdn.mozilla.net/user-media/addons/931864/css_exfil_protection-1.0.17-an+fx.xpi )
TrackMeNot (xpi), Firefox extension to protect web habits from tracking and profiling, protect against data profiling by search engines, "TrackMeNot is a lightweight browser extension that helps protect web searchers from surveillance and data-profiling by search engines. It does so not by means of concealment or encryption (i.e. covering one´s tracks), but instead by the opposite strategy: noise and obfuscation. With TrackMeNot actual web searches, lost in a cloud of false leads, are essentially hidden in plain view. User-installed TrackMeNot works with Firefox and Chrome browsers, integrates with all popular search engines and requires no 3rd-party servers or services.
TrackMeNot runs as a low-priority background process, that periodically issues randomized search-queries to popular search engines, e.g., AOL, Yahoo!, Google, and Bing. It hides users´ actual search trails in a cloud of ´ghost´ queries, significantly increasing the difficulty of aggregating such data into accurate or identifying user profiles. TrackMeNot serves as a means of amplifying users´ discontent with advertising networks, that not only disregard privacy, but also facilitate the bulk surveillance agendas of corporate and government agencies, as documented recently in disclosures by Edward Snowden and others. To better simulate user behavior TrackMeNot uses a dynamic query mechanism to ´evolve´ each client (uniquely) over time, parsing the results of its searches for ´logical´ future query terms with which to replace those already used. The practice of logging user search activities and creating individual search profiles - sometimes identifiable - has received attention in mainstream press, e.g. the recent front-page New York Times article on AOL´s release of collected data on individual searchers; also this front-page New York Times Business Section article describing the User-Profiling Practices of Yahoo!, AOL, Bing & Google.
We are disturbed by the idea that search inquiries are systematically monitored and stored by corporations like AOL, Yahoo!, Google, etc. and may even be available to third parties. Because the Web has grown into such a crucial repository of information and our search behaviors profoundly reflect who we are, what we care about, and how we live our lives, there is reason to feel they should be off-limits to arbitrary surveillance. But what can be done?
Legal approaches -- urging legislators to support limits on access, or courts to extend Fourth Amendment protection -- might be effective, but would require orchestrated efforts by many parties. Appeals to search companies themselves seem even less hopeful as their interests, at least on the surface, are in direct conflict with such limits. Both, at best, are long term prospects.
We have developed TrackMeNot as an immediate solution, implemented and controlled by users themselves. It fits within the class of strategies, described by Gary T. Marx, whereby individuals resist surveillance by taking advantage of blind spots inherent in large-scale systems1. TrackMeNot may not radically alter the privacy landscape but helps to place a particularly sensitive arena of contemporary life back in the hands of individuals, where it belongs in any free society.
Public awareness of the vulnerability of searches to systematic surveillance and logging by search engine companies was initially raised in the wake of a case, initiated August 2005, in which the United States Department of Justice (DOJ) issued a subpoena to Google for one week´s worth of search query records (absent identifying information) and a random list of one million URLs from its Web index. This was cited as part of its defense of the constitutionality of the Child Online Protection Act (COPA). When Google refused, the DOJ filed a motion in a Federal District Court to force compliance. Google argued that the request imposed a burden, would compromise trade secrets, undermine customers´ trust in Google, and have a chilling effect on search activities. In March 2006, the Court granted a reduced version of the first motion, ordering Google to provide a random listing of 50,000 URLs, but denied the second motion, namely, the request for search queries.
While viewed from the perspective of user privacy this seems a good outcome, yet it does bring to light several disquieting points. First, from court documents we learn that AOL, Yahoo!, and Microsoft have complied with the government´s request, though details are not given. Second, we must face the reality that logs of our online searches are in the hands of search companies and can be quite easily linked to our identities. Thirdly, it is clear we have little idea of, or say in, what can be done with these logs. While, in this instance, Google withheld such records from the Government, it would be foolish to count on this outcome in the future. Public awareness of the vulnerability of searches to systematic surveillance and logging by search engine companies, was initially raised in the wake of a case, initiated August 2005, in which the United States Department of Justice (DOJ) issued a subpoena to Google for one week´s worth of search query records (absent identifying information) and a random list of one million URLs from its Web index. This was cited as part of its defense of the constitutionality of the Child Online Protection Act (COPA). When Google refused, the DOJ filed a motion in a Federal District Court to force compliance. Google argued that the request imposed a burden, would compromise trade secrets, undermine customers´ trust in Google, and have a chilling effect on search activities. In March 2006, the Court granted a reduced version of the first motion, ordering Google to provide a random listing of 50,000 URLs, but denied the second motion, namely, the request for search queries.
While viewed from the perspective of user privacy this seems a good outcome, yet it does bring to light several disquieting points. First, from court documents we learn that AOL, Yahoo!, and Microsoft have complied with the government´s request, though details are not given. Second, we must face the reality that logs of our online searches are in the hands of search companies and can be quite easily linked to our identities. Thirdly, it is clear we have little idea of, or say in, what can be done with these logs. While, in this instance, Google withheld such records from the Government, it would be foolish to count on this outcome in the future. TrackMeNot is user-installed and user-managed, residing wholly on users´ system and functions without the need for 3rd-party servers or services. Placing users in full control is an essential feature of TrackMeNot, whose purpose is to protect against the unilateral policies set by search companies in their handling of our personal information.
We have developed TrackMeNot as an immediate solution, implemented and controlled by users themselves. It fits within the class of strategies, described by Gary T. Marx, whereby individuals resist surveillance by taking advantage of blind spots inherent in large-scale systems. TrackMeNot may not radically alter the privacy landscape but helps to place a particularly sensitive arena of contemporary life back in the hands of individuals, where it belongs in any free society.

Special thanks to the NYU Dept of Computer Science, the Media Research Lab, the Mozilla Foundation, Missing Pixel, the Portia Project, Babelzilla, Ernest Davis, Michael Zimmer, John Fanning, and Robb Bifano."

Installation, Download und Einzelheiten von
https://www.cs.nyu.edu/trackmenot/, https://trackmenot.io

Privacy Badger - "Privacy Bader - How does Privacy Badger work?
When you view a webpage, that page will often be made up of content from many different sources. (For example, a news webpage might load the actual article from the news company, ads from an ad company, and the comments section from a different company that´s been contracted out to provide that service.) Privacy Badger keeps track of all of this. If as you browse the web, the same source seems to be tracking your browser across different websites, then Privacy Badger springs into action, telling your browser not to load any more content from that source. And when your browser stops loading content from a source, that source can no longer track you. Voila!
At a more technical level, Privacy Badger keeps note of the "third party" domains that embed images, scripts and advertising in the pages you visit. Privacy Badger looks for tracking techniques like uniquely identifying cookies, local storage "supercookies," first to third party cookie sharing via image pixels, and canvas fingerprinting. If it observes a single third-party host tracking you on three separate sites, Privacy Badger will automatically disallow content from that third-party tracker.
In some cases a third-party domain provides some important aspect of a page´s functionality, such as embedded maps, images, or stylesheets. In those cases Privacy Badger will allow connections to the third party but will screen out its tracking cookies and referrers (these hosts have their sliders set to the middle,"cookie block" position).
Does Privacy Badger account for a cookie that was used to track me even if I deleted it? Yes. Privacy Badger keeps track of cookies that could be used to track you and where they came from, even if you frequently clear your browser´s cookies. Does Privacy Badger still work when blocking third-party cookies in the browser?
When you tell your browser to deny third-party cookies, Privacy Badger still gets to learn from third parties trying to set cookies via HTTP headers (as well as from other tracking techniques such as pixel cookie sharing and canvas fingerprinting). Privacy Badger no longer gets to learn from cookies or HTML5 local storage being set via JavaScript, however. So, Privacy Badger still works, it´ll just learn to block fewer trackers. Clearing history or already-set cookies shouldn´t have any effect on Privacy Badger.
How does Privacy Badger handle social media widgets?
Social media widgets (such as the Facebook Like button, Twitter Tweet button, or Google +1 button) often track your reading habits. Even if you don´t click them, the social media companies often see exactly which pages you´re seeing the widget on. Privacy Badger includes a feature imported from the ShareMeNot project which is able to replace the widgets with a stand-in version, so that you can still see and click them. You will not be tracked by these replacements unless you explicitly choose to click them. Privacy Badger currently knows how to replace the following widgets if they are observed tracking you: AddThis, Facebook, Google, LinkedIn, Pinterest, Stumbleupon, and Twitter. (The source code for these replacements is here; pull requests are welcome.)
Note, that Privacy Badger will not replace social media widgets unless it has blocked the associated tracker. If you´re seeing real social media widgets, it generally means that Privacy Badger hasn´t detected tracking from that variant of the widget, or that the site you´re looking at has implemented its own version of the widget. To avoid confusion, the replacement widgets are marked with the Privacy Badger badge next to the button. To interact with a replacement widget, simply click on it. Depending on the widget, Privacy Badger will either send you directly to the appropriate sharing page (for example, to post a tweet) or it will enable and load the real social widget (for example, the Facebook Like button, with personalized information about how many of your friends have "liked" the page). In the second case, you will still need to interact with the real widget to "like" or share the page."

https://privacybadger.org/#How-does-Privacy-Badger-work
https://privacybadger.org/
https://www.eff.org/files/privacy-badger-latest.xpi
OKsecretagent (u.a. anonymisierende Browser-Kennungen (User-Agents); Erweiterung von palemoon.org)
OKLibrefox: https://github.com/intika/Librefox/releases/download/Librefox-v2.1-v64.0.0/Librefox-2.1-Firefox-Linux-64.0.0.zip
kmozillahelper: Diesen Zombie deinstallieren!

OKUpdate MozillaFirefox-52.9.0 (OpenSuSE: Februar 2019, gecko-engine / firefox-extensions ) mit derzeit aktuellem firefox-68.6.0 (el6, April 2020, quantum engine / webextensions):

Stand: Februar 2019

Entpacke folgende Dateien aus firefox-68.6.0 (el6, rpm, Stand: April 2020) nach /usr/lib64/firefox/:

gtk2 (Verzeichnis)
fonts (Verzeichnis)
run-mozilla.sh
libmozavcodec.so
libmozavutil.so
libmozsqlite3.so
libssl3.so (aus rpm openssl-1.1.1a bis openssl-1.1.1e)

Entpacke folgende Dateien aus seamonkey (el6, rpm, Stand: September 2019) nach /usr/lib64/firefox/

liblgpllibs.so
libmozsandbox.so
plugin-container.so

Entpacke folgende Dateien aus seamonkey (el6, rpm, Stand: September 2019) nach /usr/lib64/firefox/chrome/icons/default

en-US.aff
en-US.dic

Entpacke folgende Dateien aus seamonkey (el6, rpm, Stand: September 2019) nach /usr/lib64/firefox/browser/

blocklist.xml

... damit immer noch nicht geupdatet: libxul.so (gecko, Stand: February 2019): seamonkey (el6, Stand: Semptmer 2019) komplett installieren oder Firefox-Quellcode patchen:

https://hg.mozilla.org/releases/mozilla-esr60 (diff)
https://hg.mozilla.org/releases/mozilla-esr68 (diff)
...

Eventuell sind noch IDs usw. auszutragen.
Editiere /usr/lib64/firefox/application.ini und /usr/lib64/firefox/platform.ini und setze dort die Werte mehr nach eigenen Vorstellungen.

Zahlreiche Werte innerhalb "about:config" werden mit jedem Start von Firefox von selbst durch die Konfigurationsdatei user.js aus dem Profil in /home/surfuser/.mozilla/firefox/profilename/ gesetzt.
user.js wird weiter unten aufgelistet.

OKFirefoxESR-52-patches 2019:
2019-11-30 Updated package firefox-esr52 52.9.0-5 Muflone
2019-06-22 Updated package firefox-esr52 52.9.0-4 Muflone
2019-06-13 Updated package firefox-esr52 52.9.0-3 Muflone
2018-08-11 Updated package firefox-esr52 52.9.0-2 Muflone
https://aur.archlinux.org/cgit/aur.git/?h=firefox-esr52

Update Mozilla Firefox Javascript
mozjs (el6)
https://fr2.rpmfind.net

Warnung: Firefox-ESR &=60; (el6), ff-60-ESR (el6), ff-68-ESR (el6), ... mit Engine Quantum und Google-Webextension läuft ohne mehr als wichtige Erweiterungen wie Request(Block)PolicyContinued !

OK[SOLVED by Gooken, 15.03.2020] Firefox updatet die Version einer Erweiterung unter Menüpunkt Addons nicht (z.B. nach der Installation voni rpm mozilla-adblockplus (fc30, fc29) aufgrund fehllender xpi-Datei im Paket), so dass Firefox immer noch mit der installierten Vorgängerversion arbeitet?
Die im Profil in einem Unterverzeichnis befindliche, zugehörige .xpi-Datei der Vorgängerversion löschen, alles von dieser Erweiterung aus /usr/share/mozilla/extensions/ nach /home/surfuser/.mozilla/extensions mit dem Befehl "cp -axf" kopieren und die Eigentums und Zugriffsrechte darauf setzen! Nun, nach einem Neustart von Firefox, wird die neue, korrekte Versionsnummer der Erweiterung unter Addons erstmals angezeigt, mit der Firefox fortan arbeitet.

OKAnonymisierende Browserkennungen für Erweiterungen wie secretagent:

"Privoxy/1.0"
"Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
"Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
"Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
"Mozilla/5.0 (compatible; Gooken; +http://www.gooken.de)"

OKProbleme auf Webseiten, irgendwelche unerwünschte Funktionseinschränkungen (inbes. bei Formularen)?
Meist sorgen die Extension mit ihren zahlreichen Einstellungsmöglichkeiten dafür, in unserem Fall meist noscript, ABP und RequestpolicyBlockContinued. Aber auch SecretAgent und RefControl usw. kommen hierfür infrage.
Die Einstellungen sollte man in der benannten Reihenfolge von Erweiterung zu Erweiterung dann nochmal durchgehen. Dabei wird die Webseite gelegentlich von selbst neu geladen.
Hilft alles nichts, deaktivere man die Erweiterungen in Menü->Addons -> Erweiterungen/Extensions vorü,bergehend entweder nach und nach oder einfach: allesamt.
JavaScript sollte dabei stets aktiviert sein (javascript.enable in about:config auf TRUE oder am besten per Javascript-AN/AUS-Buttom-Erweiterung).
Noch einmal die Webseite laden- fertig.
Nun müsste es aber mit dem Firefox-52.9.0-ESR klappen. Nach dem Verlassen der Webseite sollten die Erweiterungen natürlich wieder aktivert werden!

OKFast alle Dateien von ESR-52.9.0 bis auf libxul.so, einige wenige libraries und die Einstellungs-Maske omni.ja lassen sich mit neueren Firefox wie ESR-60.9.0 und ESR-68 austauschen.
OKkmozillahelper (Zombie-Prozess): Update mit kmozillahelper (rosa2014.1) oder mit "rpm -e --nodeps" deinstallieren.

OKWichtige Studie über die Sicherheit mit Firefox (gecko)
https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy-and-performance-buffs

OK[SOLVED: Erweiterungen und Einstellungen sorgen für unerwünschte Restriktionen auf einzelnen Webseiten: Kein möglicher Login etc.]
Hilft das "Rumfummeln" an den Ereweiterungen nicht weiter, empfiehlt sich die Anlage eines neuen (zweiten) Profils:
mit about:profiles ein neues (weiteres) Profil anlegen und vorü,bergehend zum default-Profile setzen,
anschließend Firefox neustarten.

Mehr zum Thema "Sicherheit mit Firefox (Gecko)":
weiter unten (auf dieser Webseite)!

Prozession 2010 bis 2026+ u.a. durch el6 (bzw. el7)
Der Computer - 1000% sicher, mausklick-schnell, alles lifetime für (fast) umsonst)

Er ließ sich auf mal nicht mehr helfen (alles intakt!)
2009/2010: Jahr des Computers, Jahr der Hard- und Software (CentOS el6 (Start 2010), Mandriva 2010.2) - ALLES RUND UM DEN COMPUTER IST GELAUFEN! (!!!)

... weitgehend flächendeckend und auch sicherheitstechnisch: nur noch Verfollständigen und Updaten (siehe Update-Listing von unserer Webseite "Universal Linux 2010"! CentOS- bzw. SL-Updates (el6) werden dabei von 2010 bis 2026 und (mit el7) länger angeboten. Entsprechende unverwüstliche und obendrein Strom sparende und mausklick-schnelle Linux-kompatible Lifetime-Hardware (*) für (fast) umsonst wird bei uns im -> Datenblatt Gerät für Gerät aufgelistet: All-in-one-Mainboard, zugehöriges Netzteil, alles strahlungsarm und supersilent, Ultraslim-WLED-TFT, SSD, Rom-Laufwerk (DVD-Brenner), Multifunktionsdrucker (Drucken-Scannen-Faxen-Kopieren), Maus/Tastatur, Gehäuse, ...
Dabei gings (und gehts) mit dem Computer an für sich bekanntlich kaum noch kaputter... (siehe Exkurs und unter News&Links). (*) Lifetime-Hardware: Über etwaige Reparaturfälle und Defekte werden wir auf der von uns empfohlenen Hardware im Datenblatt unter Mainboard künftig berichten, bislang (04.03.2019) Fehlanzeige, keine.

Installations- und Updatequellen von Enterprise Linux CentOS bzw. Scientific Linux (el6, el7)

http://mirror.eu.oneandone.net/linux/distributions/centos/6.10/isos/x86_64/
http://mirror.jgotteswinter.com/centos/6.10/isos/x86_64/
http://wftp.tu-chemnitz.de/pub/linux/centos/6.10/isos/x86_64/
http://ftp.halifax.rwth-aachen.de/centos/6.10/isos/x86_64/
http://ftp.rrzn.uni-hannover.de/centos/6.10/isos/x86_64/
http://mirror.de.leaseweb.net/centos/6.10/isos/x86_64/
http://mirror.softaculous.com/centos/6.10/isos/x86_64/
http://artfiles.org/centos.org/6.10/isos/x86_64/
http://mirror.cuegee.de/centos/6.10/isos/x86_64/
http://centos.bio.lmu.de/6.10/isos/x86_64/
http://ftp.hosteurope.de/mirror/centos.org/6.10/isos/x86_64/
http://mirror.daniel-jost.net/centos/6.10/isos/x86_64/
http://mirrors.cicku.me/centos/6.10/isos/x86_64/
http://mirror.yannic-bonenberger.com/centos/6.10/isos/x86_64/
http://centos.datente.com/media/6.10/isos/x86_64/
http://mirror.dataone.nl/centos/6.10/isos/x86_64/
http://centos.schlundtech.de/6.10/isos/x86_64/
http://ftp.plusline.de/centos/6.10/isos/x86_64/
http://ftp.fau.de/centos/6.10/isos/x86_64/
http://centos.mirrors.as250.net/6.10/isos/x86_64/
http://mirror2.hs-esslingen.de/centos/6.10/isos/x86_64/
http://mirror1.hs-esslingen.de/pub/Mirrors/centos/6.10/isos/x86_64/
http://mirror.rackspeed.de/centos.org//6.10/isos/x86_64/
http://mirror.ratiokontakt.de/mirror/centos/6.10/isos/x86_64/
http://mirror.netcologne.de/centos/6.10/isos/x86_64/
http://repo.de.bigstepcloud.com/centos/6.10/isos/x86_64/
http://mirror.euserv.net/linux/centos/6.10/isos/x86_64/
http://ftp.wrz.de/pub/CentOS/6.10/isos/x86_64/
http://centos.intergenia.de/6.10/isos/x86_64/
http://centos.mirror.net-d-sign.de/6.10/isos/x86_64/
http://mirror.imt-systems.com/centos/6.10/isos/x86_64/
http://mirror.23media.de/centos/6.10/isos/x86_64/

Nearby Countries

http://mirror.unix-solutions.be/centos/6.10/isos/x86_64/
http://centos.cu.be/6.10/isos/x86_64/
http://mirror.kinamo.be/centos/6.10/isos/x86_64/
http://centos.mirror.nucleus.be/6.10/isos/x86_64/
http://mirror.spreitzer.ch/centos/6.10/isos/x86_64/
http://linuxsoft.cern.ch/centos/6.10/isos/x86_64/
http://mirror.switch.ch/ftp/mirror/centos/6.10/isos/x86_64/
http://pkg.adfinis-sygroup.ch/centos/6.10/isos/x86_64/
http://mirror.plusserver.com/centos/6.10/isos/x86_64/
http://ftp.ciril.fr/pub/linux/centos/6.10/isos/x86_64/
http://mirror1.evolution-host.com/centos/6.10/isos/x86_64/
http://centos.crazyfrogs.org/6.10/isos/x86_64/
http://distrib-coffee.ipsl.jussieu.fr/pub/linux/centos/6.10/isos/x86_64/
http://centos.mirror.fr.planethoster.net/6.10/isos/x86_64/
http://ftp.rezopole.net/centos/6.10/isos/x86_64/
http://mirror.in2p3.fr/linux/CentOS/6.10/isos/x86_64/
http://mirrors.ircam.fr/pub/CentOS/6.10/isos/x86_64/
http://mir01.syntis.net/CentOS/6.10/isos/x86_64/
ftp://ftp.free.fr/mirrors/ftp.centos.org/6.10/isos/x86_64/
http://mirrors.standaloneinstaller.com/centos/6.10/isos/x86_64/
http://centos.mirrors.ovh.net/ftp.centos.org/6.10/isos/x86_64/
http://centos.mirror.ate.info/6.10/isos/x86_64/
http://fr.mirror.babylon.network/centos/6.10/isos/x86_64/
http://centos.quelquesmots.fr/6.10/isos/x86_64/
http://ftp.pasteur.fr/mirrors/CentOS/6.10/isos/x86_64/
http://mirrors.atosworldline.com/public/centos/6.10/isos/x86_64/
http://mirror.ibcp.fr/pub/Centos/6.10/isos/x86_64/
http://miroir.univ-paris13.fr/centos/6.10/isos/x86_64/
http://fr2.rpmfind.net/linux/centos/6.10/isos/x86_64/
http://centos.trisect.eu/6.10/isos/x86_64/
http://linux.cs.uu.nl/centos/6.10/isos/x86_64/
http://mirror.yourwebhoster.eu/centos/6.10/isos/x86_64/
http://mirror.colocenter.nl/pub/centos/6.10/isos/x86_64/
http://mirror.proserve.nl/centos/6.10/isos/x86_64/
http://mirror.i3d.net/pub/centos/6.10/isos/x86_64/
http://mirror.serverbeheren.nl/centos/6.10/isos/x86_64/
http://mirror.amsiohosting.net/centos.org/6.10/isos/x86_64/
http://mirror.1000mbps.com/centos/6.10/isos/x86_64/
http://mirror.widexs.nl/ftp/pub/os/Linux/distr/centos/6.10/isos/x86_64/
http://mirror.previder.nl/centos/6.10/isos/x86_64/
http://mirror.nl.leaseweb.net/centos/6.10/isos/x86_64/
http://mirror.denit.net/centos/6.10/isos/x86_64/
http://mirror.sitbv.nl/centos/6.10/isos/x86_64/
http://ftp.tudelft.nl/centos.org/6.10/isos/x86_64/ http://nl.mirror.babylon.network/centos/6.10/isos/x86_64/
http://mirror.cj2.nl/centos/6.10/isos/x86_64/
http://mirror.oxilion.nl/centos/6.10/isos/x86_64/
http://centos.ams.host-engine.com/6.10/isos/x86_64/
http://ftp.nluug.nl/ftp/pub/os/Linux/distr/CentOS/6.10/isos/x86_64/
http://mirror.netrouting.net/centos/6.10/isos/x86_64/
http://mirror.prolocation.net/centos/6.10/isos/x86_64/
http://centos.mirror1.spango.com/6.10/isos/x86_64/
http://mirror.schoemaker.systems/centos/6.10/isos/x86_64/
http://mirror.nforce.com/pub/linux/CentOS/6.10/isos/x86_64/
http://mirrors.supportex.net/centos/6.10/isos/x86_64/
http://mirrors.noction.com/centos/6.10/isos/x86_64/
http://centos.mirror.triple-it.nl/6.10/isos/x86_64/
http://centos.mirror.transip.nl/6.10/isos/x86_64/
http://mirror.fysik.dtu.dk/linux/centos/6.10/isos/x86_64/
http://ftp.klid.dk/ftp/centos/6.10/isos/x86_64/
http://mirrors.dk.telia.net/centos/6.10/isos/x86_64/
http://mirror.one.com/centos/6.10/isos/x86_64/
http://ftp.crc.dk/centos/6.10/isos/x86_64/
http://mirror.mhd.uk.as44574.net/mirror.centos.org/6.10/isos/x86_64/
http://centos.mirrors.nublue.co.uk/6.10/isos/x86_64/
http://mirrors.melbourne.co.uk/sites/ftp.centos.org/centos/6.10/isos/x86_64/
http://www.mirrorservice.org/sites/mirror.centos.org/6.10/isos/x86_64/
http://anorien.csc.warwick.ac.uk/mirrors/centos/6.10/isos/x86_64/
http://mirrors.clouvider.net/CentOS/6.10/isos/x86_64/
http://mirror.bytemark.co.uk/centos/6.10/isos/x86_64/
http://mirror.econdc.com/centos/6.10/isos/x86_64/
http://mirrors.vooservers.com/centos/6.10/isos/x86_64/
http://mirrors.ukfast.co.uk/sites/ftp.centos.org/6.10/isos/x86_64/
http://centos.serverspace.co.uk/centos/6.10/isos/x86_64/
http://centos.mirroring.pulsant.co.uk/6.10/isos/x86_64/
http://mirror.sov.uk.goscomb.net/centos/6.10/isos/x86_64/
http://mirror.vorboss.net/centos/6.10/isos/x86_64/
http://mirror.ox.ac.uk/sites/mirror.centos.org/6.10/isos/x86_64/
http://mirrors.coreix.net/centos/6.10/isos/x86_64/
http://mirror.sax.uk.as61049.net/centos/6.10/isos/x86_64/
http://mirror.cov.ukservers.com/centos/6.10/isos/x86_64/
http://repo.uk.bigstepcloud.com/centos/6.10/isos/x86_64/
http://mirror.as29550.net/mirror.centos.org/6.10/isos/x86_64/

...

...

Emulatoren: virtualbox (MS Windows bzw. verschiedene Betriebssysteme virtuell), qtemu und qemu (MS Windows und verschiedene Betriebssysteme virtuell), mingw (u.a. die dll) und wine(32) und wine64 mit wine-gecko und wine-gecko64 (MS Windows), dosemu-freedos (rosa2014.1, MS-DOS, PC-DOS), basilisk (Macintosh), puae und uae (Amiga), hatari (ATARI ST), micro64 and vice (VC64), dosbox und dosfstools (DOS und MS-DOS, FAT-USB-memory-stick-repair), dos2unix (Textdatei-Format-Konvertierung), macutils, macports, xroar (dragon 32, 64, Tandy coco emulator), yabause (saturn emulator), fbzx (Spectrum), caprice (Amstrad CPC), zboy (Nintendo Gameboy), ...
MS-Windows-Software wie MS Office auf Linux: https://www.codeweavers.com/store

Virtuelle Maschinen: kvm (Kernel Virtual Machine virtualization environment), XEN-virtual-machines xen mit xen-hypervisor und convirt (graphical Xen-management-tool), lib64xen3 (pclos, mga), VirtualBox (el6), qemu (el6), virt (libvirt (el6)), hyperv / hyperv-daemon (el6), kde-cdemu-manager, cdemu ...

Howto use Windows within Linux through Virtualbox, PC-WELT.de, 08.05.2019
Per virtualization it is possible to use software and apps for Windows for Linux too. We show, howto.
https://www.pcwelt.de/ratgeber/Windows-als-virtuellen-PC-in-Linux-weiternutzen-9790033.html
Virtualbox (el6, all Linux): VirtualBox-5.2-5.2.28_130011_el6-1.x86_64.rpm 12-Apr-2019 20:25 78M, VirtualBox-6.0-6.0.6_130049_el6-1.x86_64.rpm 16-Apr-2019 15:58 118M ( or VirtualBox-5.2-5.2.28_130011_Linux_x86.run ) from https://download.virtualbox.org/virtualbox/5.2.28 resp. https://download.virtualbox.org/virtualbox/6.0.6
and Virtualbox: UserManual.pdf, https://download.virtualbox.org/virtualbox/6.0.6/Oracle_VM_VirtualBox_Extension_Pack-6.0.6-130049.vbox-extpack, https://download.virtualbox.org/virtualbox/6.0.6/VBoxGuestAdditions_6.0.6.iso Aktuelle Verson von März 2020: https://download.virtualbox.org/virtualbox/6.0.18/


OKTransportverschlüsselung Teil 3, HTTPS mit TLS 1.3 in der Praxis, 11.06.18 | Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Peter Schmitz
TLS 1.3 verspricht mehr Sicherheit von verschlüsselten HTTPS-Verbiundungen. Leider ist die Implementierung voller Tücken und Überraschungen.
Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen.
Da die Verwundbarkeiten des TLS-Protokolls bis einschließlich Version 1.2 allgemein bekannt sind (siehe dazu den Bericht "TLS 1.3 - Viel heiße Luft oder ein großer Wurf?") ist davon auszugehen, dass das Herumschnüffeln an vermeintlich "verschlüsselten" HTTPS-Verbindungen öfter vorkommen dürfte als einem lieb sein mag. TLS 1.3 verspricht Abhilfe.
Leider ist die Implementierung voller Tücken und Überraschungen.
Es beginnt schon damit, dass ein völliger Verzicht auf TLS 1.2 als einen Fallback für Clients mit fehlender Unterstützung für TLS 1.3 vorerst nicht in Frage kommt.
Server-Unterstützung für TLS 1.3 mit einem TLS 1.2-Fallback einrichten
Die Umsetzung von TLS 1.3 setzt so Einiges an Handarbeit voraus.

Schritt 1: Ein Kernel-Upgrade installieren:

Der Einsatz von TLS 1.3 steht und fällt mit einem Linux-Kernel ab der Version 4.13 ("1600 LoC-Patch"). Linux-Kernel bis einschließlich Version 4.12 unterstützten nur maximal AES-128-GCM (gemäß RFC 5288) und scheiden damit aus. Die AEAD-Verschlüsselung, die TLS 1.3 automatisch erwartet, ist erst mit dem sogenannten 1600 LoC-Patch möglich. Mit diesem Patch kann Linux erstmals die Verschlüsselung für eine bereits bestehende Verbindung intern im Kernel (ab Version 4.13) handhaben. Der User-Space übergibt dem Kernel die Kryptoschlüssel für eine bereits aufgebaute Verbindung, sodass die Verschlüsselung transparent innerhalb des Kernels stattfindet. CentOS/RHEL in der Version 6 bleiben mit ihrem 2.6.x-er Kernel außen vor.

Schritt 2. Ein OpenSSL-Upgrade einspielen:

Linux-Distributionen richten standardmäßig "stabile" (sprich: veraltete) Versionen der OpenSSL-Bibliothek ein, die mit TLS 1.3 bisher nicht zu Recht kommen. OpenSSL muss in der Version 1.1.1 Beta 4 oder neuer vorliegen.

Schritt 3. Zertifikate von einer Zertifizierungsstelle (CA) beschaffen und einrichten:

Zertifizierungsstellen (CAs) gibt es wie Sand am Meer. Doch in der Vergangenheit waren SSL-Zertifikate ein schmerzhafter Kostenpunkt. Dank der kostenfreien SSL-Zertifikate von Let´s Encrypt hat sich endlich dieses Problem größtenteils erledigt. Die leistungsstarke API sorgt für eine schmerzlose Automatisierbarkeit auf allen Unix/Linux-Derivaten.

Schritt 4. Den Webserver konfigurieren:

Wer die benötigten SSL-Zertifikate installiert hat, kann sich im nächsten Schritt der Server-Konfiguration widmen. Die Details der Implementierung hängen von der Art und Versionsnummer des Webservers ab. Grundlegende Parameter zum Aktivieren der SSL-Verschlüsselung in Apache, Nginx, Lighttpd, HAProxy und AWS ELB lassen sich einem Online-Assistenten wie dem SSL Configuration Generator von Mozilla entnehmen. Leider halten sich die Fähigkeiten dieses Werkzeugs in argen Grenzen. Es fehlt hier u.a. die Unterstützung für TLS 1.3 und auch TLS 1.2 leidet unter mangelnder Beachtung (Diffie-Hellman gefälligst? Fehlanzeige). Die Übernahme von Konfigurationsparametern für die TLS-Verschlüsselung nach dem Fertiggericht-Prinzip gehen nach hinten los.

Sicherheitsbewussten Administratoren bleibt nichts anderes übrig als die fehlenden Parameter für den eigenen Webserver samt der passenden Syntax selbst zu eruieren. Zu den wichtigsten Ergänzungen bzw. Korrekturen zählen:

Aktivieren der Unterstützung für HTTP/2
Umlenkung von HTTP-Anfragen auf HTTPS
Unterbinden von Protokoll-Downgrades auf HTTP unter Verwendung von HSTS
Einrichtung von Browser-Anweisungen mit Hilfe von Sicherheits-Headern (HTTP Security Headers, verfügbar nur mit HTTPS): HTTPS-Sicherheitsheader sorgen für die Übergabe von Anweisungen durch den Webserver an einen (kompatiblen) Webbrowser, um sein Verhalten zu beeinflussen. Zum Schutz gegen Downgrade-Attacken und Cookie-Hijacking lässt sich unverschlüsselte Kommunikation mit dem so genannten HSTS-Header deaktivieren (HSTS steht für HTTP Strict Transport Security). Gegen Clickjacking-Attacken hilft ein X-Frame-Options-Header. Um das Aushebeln von deklarierten Mime-Typen zu verhindern, kommen X-Content-Type-Optionen zum Einsatz. Für den Schutz gegen Cross-Site-Request Forgeries (kurz: X-XSS) zeichnet der X-XSS-Protection-Header verantwortlich. Diese Einstellungen können die verfügbare Angriffsfläche stark reduzieren.
Deaktivieren verwundbarer Protokollversionen: Als sicher gelten derzeit nur TLS 1.2 und TLS 1.3
Optimieren der TLS 1.2-Konfiguration zur Härtung durch den Verzicht auf verwundbare Cipher-Suites: Als verwundbar gelten alle Cipher-Suites außer ECDHE- und DHE-basierter Varianten

Eine nicht zu unterschätzende Verwundbarkeit, die sich durch die Umstellung auf HTTPS nicht von selbst erledigt, stellt JavaScript-Code von externen Domains dar. Ein klassisches Beispiel sind Werbeeinblendungen. Mit einer aktivierten CSP-Richtlinie (kurz für Content Security Policy) können Website-Betreiber für eine erhöhte Sicherheit sorgen. Bei CSPs handelt es sich um Sicherheitsrichtlinien, welche unsichere Web-Inhalte aus externen Quellen und Verbindungen über HTTP unterdrücken können. So lassen sich nicht zuletzt auch Clickjacking- und andere Code-Injection-Attacken unterbinden.

Schritt 5. Konfiguration testen:

Zu guter Letzt gilt es, die Konfiguration mit einem Dienst wie der SSL Server Test von Qualys SSL Labs auf ihre Vollständigkeit hin zu überprüfen.
Encrypted Traffic Analytics

Eine robuste Transportverschlüsselung hat jedoch auch ihre Schattenseiten: Malware kann jetzt einfach unbemerkt durchsegeln.
Beim Einsatz von TLS bis einschließlich der Version 1.2 (insbesondere mit RSA-Ciphern) konnten IT-Fachkräfte den Datentransfer z.B. vor dem Eingang ins firmeneigene Datencenter auf bösartige Payloads hin überprüfen. Die Kommunikation wurde in diesem Fall durch sogenannte Middleboxes eingelesen, dechiffriert, analysiert und weitergeleitet. Mit TLS 1.3 gehört diese Art von Monitoring der Vergangenheit an. Denn beim Verbindungsaufbau über TLS 1.3 mit ephemeralen Diffie-Hellman-Schlüsseln schlägt die sogenannte "Deep-Packet Inspection" fehl, weil sich die Kommunikation in Echtzeit nicht ohne Weiteres dechiffrieren lässt — und schon erst recht nicht in Echtzeit. Das Bedürfnis an adäquaten Sicherheitsmaßnahmen für die Unternehmens-IT besteht jedoch weiter. So mussten sich die Anbieter von Sicherheitslösungen für Traffic-Analytics bei TLS 1.3 nach alternativen Wegen zur Gewährleistung der Integrität der internen Systeme umschauen. Die ersten konkreten Produkte sind bereits auf dem Markt. Alleine Cisco hat vier interessante Lösungen im Köcher:...
https://www.security-insider.de/https-mit-tls-13-in-der-praxis-a-714096/

Mausklick-schnell: Sicherheit beim Surfen mit TLS 1.3
Firefox-ESR >= 52.9 : Inhalte von lib64nss3 (mga7, pclos, fc, ...) oder nss (fc, ...) und >= libssl3.so.1.1.1a (certified openssl-1.1.1a, fc27, updated: openssl-1.1.1d (fc29)) nach /usr/lib64/firefox/libssl3.so ( Installationsverzeichnis )
OK http://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/linux4humans:/sle11_software:/firefox/openSUSE_Evergreen_11.4/x86_64/MozillaFirefox-52.9.0-10.2.x86_64.rpm
https://rpm.pbone.net/index.php3/stat/4/idpl/55298083/dir/opensuse/com/MozillaFirefox-52.9.0-4.5.x86_64.rpm.html
https://rpm.pbone.net/index.php3/stat/4/idpl/54051369/dir/opensuse_leap_15/com/MozillaFirefox-52.9.0-lp150.5.1.x86_64.rpm.html
https://slackware.pkgs.org/14.0/salix-x86_64/mozilla-firefox-52.9.0esr-x86_64-1gv.txz.html (slack14.0)
http://download.salixos.org/x86_64/14.0/salix/xap/mozilla-firefox-52.9.0esr-x86_64-1gv.txz (slack14.0)
https://fr2.rpmfind.net/linux/mageia/distrib/6/x86_64/media/core/updates/firefox-52.9.0-1.mga6.x86_64.rpm
Firefox-ESR-52.8.1 (el6, fr2.rpmfind.net) Tor-Browser (Firefox-ESR >= 52.9: Inhalte von lib64nss3 (mga7, pclos oder nss (fc, ...) und >= nss-3.41.0 (fc30) mit libssl.so.3 nach /home/toruser/tor*/Browser*/
Pale Moon >=: Inhalte von lib64nss3 (mga7, pclos oder nss (fc, ...) und libssl3.so.1.1.1d (fc29, openssl-1.1.1d)) bzw. libssl3.so.1.1.1a (von openssl-1.1.1a (fc27) nach /usr/lib64/palemoon/libssl3.so
OKPale Moon, beachte: noscript und RequestPolicy blocken in einigen Versionen von Pale Moon nur sehr unvollständig!
Dabei zeigt /usr/lib64/libcrypto.so.1.1 auf /usr/lib64/libcrypto.so.1.1.1a und /usr/lib64/libssl.so.1.1 auf libssl.so.1.1.1a.

So kontrollieren Sie Ihre Hardware mit Sensoren unter Linux, PC-WELT.de, 24.06.2019
Wie heiß der Prozessor wird oder ob sich der CPU-Lüfter noch dreht, lässt sich per Software herausfinden. Um alle verfügbaren Sensoren abzufragen, ist jedoch etwas Konfigurationsarbeit nötig.
[...] Ein defekter oder verschmutzter Lüfter kann die Temperatur von Prozessor oder Grafikkarte so weit in die Höhe treiben, dass das System instabil wird. Die CPU taktetet dann herunter, der Rechner reagiert nur noch zögerlich oder stürzt häufig ab. Dauerhaft zu hohe Temperaturen schaden außerdem den elektronischen Bauteilen, was nach einiger Zeit zu einem Komplettausfall führen kann. In PCs ist das Netzteil eine weitere Fehlerquelle. Defekte Kondensatoren beispielsweise halten die Spannungen nicht mehr stabil, was zu zahlreichen Fehlfunktionen führen kann.
Ob sich alle Werte im Normbereich befinden oder ob es Auffälligkeiten gibt, erfahren Sie unter Linux mit Tools, die die Sensordaten auslesen. Weitere Tools informieren Sie über Gesundheit und Temperatur der Festplatten.
Wie das funktioniert, zeigen wir am Beispiel Ubuntu , bei anderen Systemen kann das Vorgehen teilweise abweichen.
https://www.pcwelt.de/ratgeber/Linux-Hardware-mit-Sensoren-kontrollieren-10612225.html


Paranoide Rundum-Sicherheit total ohne besondere Einschränkungen für den Benutzer !

Seien Sie mit diesem System von Jahr 2010 bis 2026 (RHEL 6/CentOS 6 mit vielen Patches/Updates von Jonny Hughes, NY, bzw. SL6) bzw. 2027 (RHEL 7/CentOS 7) und länger (manch andere rpm-basierte Distributionen) live dabei auf den Daily-Update-Channels wie PRO LINUX, https://www.pro-linux.de/sicherheit/1/1/1.html !

Beschrieben wird hier das allumfassende "Universal-Linux" (rpm und deb) und, wem es immer noch nicht genügt, mit (einschließlich) Emulierbarkeit von Programmen ( neben Bootmanager grub zum Multiboot ) für


Umsonst oder fast umsonst und alles weg: Alle Probleme mit dem Computer los, noch nicht mal Lizenzgebühren, Reparatur und Wartung!

Die Beschreibung eignet sich fuuml;r alle UNIX-/Linux-Systeme. Gooken Internet-Suchmaschine zeigt Ihnen auf dieser Webseite Schritt für Schritt (Häkchen für Häkchen), was hierfür zu tun ist!

supportMöchten auch Sie den ersehnten Frieden mit dem Computer schließen, das System finden, das mausklick-schnell läuft, alles umfasst und außerdem die unglaublich hohe Sicherheit bietet? Wenn Ihnen unsere Projekte gefallen, dann freuen wir uns über Ihren Support! Um die zugehörige Bankverbindung von Gooken zu erfahren, klicken Sie bitte hier! Kontaktieren Sie uns: Die Projekte von Gooken stehen zum Sonderpreis für ein paar Septrillionen nach Vereinbarung zum Verkauf an (Stand: 2010), Einzelheiten siehe im Menü links unter "News&Links".


quot;Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden."
https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html

OK Linux schussfest von DVD booten, alternativ von USB-Speicherstift:
"Tails Linux installieren: Der Anti-NSA-PC, 23.04.2014
Kann die NSA also wirklich alles knacken, auch jede noch so ausgefeilte Verschlüsselung? Edward Snowden weiß darüber wohl mehr als die meisten anderen Menschen. Um seine Kommunikation zu schützen, beschloss er, die Linux-Distribution Tails zu installieren. CHIP zeigt den kostenlosen Anti-NSA-PC [...]. Schlicht und schnell: Unter Tails steckt ein gehärtetes Debian Linux",
http://www.chip.de/artikel/Tails-Linux-installieren-Der-Anti-NSA-PC_63845971.html

An­ony­mi­sie­rungs­-Dis­tri­bu­ti­on Tails 2.6 mit Tor-Brow­ser 6.0.5 frei­ge­ge­ben
http://www.pro-linux.de/news/1/23990/anonymisierungs-distribution-tails-26-mit-tor-browser-605-freigegeben.html

"Nur mit einem UNIX/Linux-System lässt sich Sicherheit erzielen", meint einer der kommenden Autoren. Mehr über ein von Edward Snowden empfohlenes Computersystem, ein Linux/UNIX-Derivat und Apps, erfahren Sie in unserer Sektion News&Links#Computer und unter News&Links#Alternativen .

Zugegeben: Linux ( außer Distributionen wie möglicherweise Debian ) hätte früher gar nicht in den Verkauf gelangen dürfen, Jahr 2010:
Riesige Müllberge voller Hardware und Pakete sicherheitstechnisch überholter Linux-Distributionen stehen auf der Halde bei Paket-Anbietern wie rpmfind.net bzw. Mirror fr2.rpmfind.net und pbone.net zum Download zur Verfügung. Die meisten Ausgaben werden seit langem nicht mehr up-to-date gehalten, während die Update-Liste von bspws. pro-linux.de täglich neue Pakete auflistet.
Die Installation von Linux bleibt äußerst riskant. Unmengen von recht eigenwillig benannten Paketen knallen einem an den Kopf.
In wer wei&szig; wievielen Fällen sind nicht alle der tausende und abertausende Paketabhängigkeiten angegeben und erfüllt.
Bei Fehlern mangelt es immer noch an vielen ( verständlichen ) Fehlerbeschreibungen geschweige für alle auffindbare und nachvollziebhare Anleitungen zur Fehlerbehebung. Suchmaschinen helfen da nur in der Regel weiter.
Schon beim Booten zapft das registrierungspflichtige Debian und das auf Debian basierende Tails mit Apparmor viele Prozesse an,
und aus irgendwelchen, "unbekannten" Gründen versagt bereits das Einloggen, sei es per Terminal als root oder in den Desktopmanager als herkömmlicher Benutzer.
Der Umfang einer konkreten Distribution zur Version darf und kann ohne weitere Ma&szilg;nahmen nicht so einfach gesprengt werden. Somit verliert man die Spitze der Aktualisierungen immer mehr aus den Augen.
Dann die Probleme mit der Grafikkarte, insbes. von Games mit OpenGL und direct rendering.
Bis Linux installiert, konfiguriert und einigermaßen sicher läuft und umsagte Sicherheit bietet, haben Hacker und Trojaner schon lange den Benutzer ausspioniert, das System zubombardiert und/oder auf den Kopf gestellt.
Und ohne vollständige Sicherung auf einem externen Medium geht hier in jedem Fall nichts.

Dennoch: Einmal richtig installiert möchte man nicht auf Linux verzichten! Dann klappt alles bestens!

Linux, Kommentar Newsgruppe alt.linux.suse, 2003:

Software::Distributionen::Debian
Debian stellt auf RPM um
, PRO-LINUX, 02.04.2019
Das RPM-Paketformat gilt schon lange als das führende Paketformat für Linux, an zweiter Stelle steht DEB, da sich Debian bisher gegen eine Umstellung auf RPM stemmte. Doch in zwei Jahren soll in Debian 11 eine komplette Umstellung erfolgen, DEB wird nur noch für die jetzt noch unterstützten Debian-Versionen gepflegt.
Dass Linux kein einheitliches Paketformat besitzt, ist für viele Software-Anbieter eine große Erschwernis. Doch auch innerhalb der Gemeinschaften wird die damit verbundene Duplikation der Arbeit als unnötig kritisiert. Nach über 25 Jahren, in denen sich das Debian-Paketformat DEB und das Red Hat-Paketformat RPM als dominierend erwiesen haben, soll das Schisma in absehbarer Zeit überwunden werden. https://www.pro-linux.de/news/1/26921/debian-stellt-auf-rpm-um.html

OKAppArmor - broaching the computer system or kernel-security-module?, Gooken, 06.07.019
Profiles of AppArmor are: passwd, Browser, D-Bus, Netzwerk, Task-Manager (cron), dhclient, dhcp, DAPRA-portmap, tmpwatch, procmail, skype, wireshark, ftpd, mysqld, postfix, sendmail, squid, sshd, useradd, vsftpd, xinetd, fingerd, ntalkd, cupsd, xfs, ping, nvidia_modprobe, dovecot, apache2, dnsmasq, ntpd, identd, smbd, traceroute, winbindd, lessopen, klogd, avahi-daemon, ...
AppArmor works during the system boot by default for Linux like Debian Linux Tails. The boot time even more than doubles by this.
The module itself can be intergrated as a kernel security module as a kernel-boot-paramter. Pre-configured profiles can be envoked for example in /etc/rc.local.
The developer contracted with Microsoft years ago. Linus Tovalds recommends such securiy module, that can be integrated beneath Module SELinux developed by the NSA, discussed in another report we published in News&Links and japanese Tomoyo Linux (rosa, mdv).
Like all other MAC (Mandatory Access Control for the control of process interaction), AppArmor isn´t necessary to bound in "secure=none" in our kernel-bootline.
Original program description from rpmfind.net: "AppArmor is a security framework that proactively protects the operating system and applications. This package provides the libapparmor library, which contains the change_hat(2) symbol, used for sub-process confinement by AppArmor, as well as functions to parse AppArmor log messages.
Base profiles. AppArmor is a file and network mandatory access control mechanism. AppArmor confines processes to the resources allowed by the systems administrator and can constrain the scope of potential security vulnerabilities. This package is part of a suite of tools that used to be named SubDomain."
"AppArmor is security Linux kernel module similar to the SELinux but it´s supposed to be easier to setup and maintain. There are many reasons for you to disable it, primary one is that its security features can get in the way of legitimate applications operation", https://www.techytalk.info/disable-and-remove-apparmor-on-ubuntu-based-linux-distributions/
Also see our report: serious hard News-Group-discussion about NSA´s SELinux.

AppArmor is a security module for Linux. It is a Mandatory Access Control (MAC) System controlling each application and program through profiles with access rights refining the common ones. Beneath the default profiles any profiles can be created. For each profile one of three modes has to be set.
https://wiki.ubuntuusers.en/AppArmor/

"I am so happy, that my linux run stable for the last 12 hours!"


More today:

Red Hat Enterprise Linux 7.1 erhält erweiterte Sicherheitszertifikation, Pro-Linux, 14.12.2017
Red Hat Enterprise Linux wurde jetzt in Version 7.1 ohne Modifikationen für das "General-Purpose Operating System Protection Profile" (OSPP) 3.9 zertifiziert. Damit kann Red Hat Enterprise Linux jetzt auch in sicherheitskritischen Bereichen eingesetzt werden.
https://www.pro-linux.de/news/1/25437/red-hat-enterprise-linux-71-erhält-erweiterte-sicherheitszertifikation.html

OK 30.03.2011, [espeak -v de "] sicherer, unter MS Windows 7 und Linux aller Art, auch Games, mausklick-schneller ("leichtläufiger"), nur 19 Watt verbrauchender Computer ASUS Mini-ITX220 64 Bit Intel Celeron CPU mit OpenGL- und SDL-Games abspielender onboard IGP Intel 4800×1200 (automatisch: 1366×768 Pixel, support of OpenGL, direct rendering, SDL), Onboard Intel-Soundchip, Onboard Atheros-Fast-Ethernet-LAN-Chip with an optional LAN-BIOS, gesockeltes, Crashfree Bios mit Bios EZ Flash Utility von Hersteller-DVD und/oder USB-Stift, am besten Flashdatei (.ROM) auf SSD nach /boot kopieren, Ersatzbios von biosflash.com für um die 10 Euro, 120 GB SSD mit nur 2 Watt Leistungsaufnahme unter über einer Millionen Betriebsstunden Funktionstüchtigkeit, 2 Speicherbänke mit bis zu 4 GB DDR-2-RAM, 18 Watt AOC 1943W ultraslim WLED-TFT, mit stabligem Stahlgehäuse und DVD-Brenner, stabiles (strahlungsarmes) Netzteil unter 20 Euro, stabiles Gehäuse 4,95 Euro, für insgesamt um die 200 € und über Changelog aktuell gehaltene Software-Pakete eines stets nach aktuellem Stand 100% sicheren, fehler- und wartungsfreien Computer-Referenzsystem alias "Universal-UNIX/Linux"-Betriebssystems (backported System) frei von Viren, Hackern, Trojanern, Spyware, Adware, einfach allen Bedrohungen, mit entpackt über 70 GB Software (einschl. Games) und jeder Menge Gabe zur Emulation und Virtualisierung aller anderen Betriebssysteme - "the world gave its best" - so gehts:

SL-Banner Scientificlinux 6 resp. CentOS 6 (mit vielen Patches/Updates von Jonny Hughes, NY): 2010 - (fast) alles ist gelaufen - 2010 (backported (Fedora (fc) - Backport): Updates für Jahr 2010-2026 bzw. lifetime) - Jahr preiswerter, schneller und energiesparender Lifetime-Hardware, Jahr der Mandriva, Jahr des CentOS 6 ( DVD CentOS 6 ( in der aktuellen nten-Revision 6.n, derzeit 6.9) für 4,95 € oder umsonst aus dem Internet ) und der für die nächsten 10 Jahre (bis Jahr 2026) hindurch über 50.000 durchgepatchten Paketversionen - und über hier präsentierte Einstellungen und Updates an Sicherheit allmählich kaum noch zu übertreffen Er weist die Eigenschaft der Zeitlosigkeit im Computerzeitalter auf, fehlerfrei und frei von Sicherheitsmanken und Störungen (* ab siehe python-stability-patch aus dem Jahr 2016), flächendeckend und ohne Bedarf an neuer Hardware und Updates für immer und ewig zu laufen. Nur die eine oder andere Spezialsoftware mag noch fehlen, und hier und da stehen noch Software und Updates mit dem sich hinzugesellenden Fedora Project bzw. dem daraus sorgsam hervorgehenden und (Fedora-) backported Enterprise Linux (el) bzw. CentOS el7, CentOS 6 (el6), fc -> EPEL (el6, el7) und alle zwei Jahre erscheinenden Rosa von Rosalabs an. Bis dahin konnte sich der Computer und Linux preislich ganz schön läppern (SuSE Home und Personal Edition, Ubuntu, Knoppix, USB-Speicherstife, Provider-Download-Limits, ...).
CentOS ist eine Linux-Distribution von Red Hat, die auf demselben Quellcode beruht wie Red Hat Enterprise Linux. Red Hat hatte das zuvor eigenständige Projekt im Januar 2014 übernommen, um es als freie und kostenlose Alternative zu Red Hat Enterprise Linux für alle anzubieten, die keinen kommerziellen Support von Red Hat benötigen. Auch wenn es dafür keine Garantie gibt, ist CentOS faktisch weitestgehend kompatibel mit Red Hat Enterprise Linux.
https://www.pro-linux.de/news/1/27054/centos-8-benötigt-noch-etwas-zeit.html
Neue Versionen von CentOS folgen in der Regel mit einem Monat Verzögerung nach einer neuen Version von Red Hat Enterprise Linux (RHEL) - wie zum Beispiel bei der Version 7.6.
Der einen Distribution mangelt es an Vollständigkeit von Software bzw. Paketen s für vieler Games wie in unserem Fall CentOS 6 und 7, SuSE und MS Windows und der anderen wie die hingegen weitgehend flächendeckende Mandriva 2010 erwies sich als mehr oder weniger überholt und somit updatebedürftig, eine wiederum andere Distribution scheint an einzelnen Stellen überhaupt nicht zu funktionieren, eine weitere wirkt unnötig aufgepumpt (Rosa, Mageia), eine andere lässt zum Teil aufgrund zeitlicher Befristung des Update-Supports das Enthalten eines Großteils der Updates des Listings von pro-linux.de missen (Debian, SuSE, Mandriva, Mageia), wiederum eine weitere bedarf des mühsamen Einkompilierens des Quellcodes aus den Quellpaketen (Gentoo) usw..

Was wir im folgenden ausführlich beschreiben:

Keine Hacker, keine Viren, keine Trojaner, keine Malware, keine Ransomware, keine Ad- und Spyware, keine gefärhrlichen Skripte, keine Spuren im Netz, ..., nichts, und selbst der Kernel (falls stable, stabil) und unter root laufende Programme (Prozesse) können einem mehr was anhaben:

OKWie soll das gehen? Im Grunde ganz einfach: Man besorgt sich im Prinzip "irgendeine" Linux-Distribution von DVD/CD, von USB-Stift oder als Download aus dem Internet etc., am besten eine nach PRO-Linux (http://www.pro-linux.de/1/1/sicherheit.html) aus dem Update-Listing der letzten zehn bis zwanzig Jahre hervorgehende Distribution und installiert sie nach sich von DVD/CD selbst aktivierender, automatischer Anleitung auf ein Installationsmedium (am besten eine mindestens 120 GB (wir empfehlen 240 GB) große Solid State Disk (SSD) mit einer mindestens 65 GB (100 GB) große Haupt- bzw. Wurzel- bzw. Root-Partition mit mindestens 2 GB SWAP-Partition, siehe bei uns unter /etc/fstab ) und die Installation einzelner Programm-Pakete mithilfe eines möglichst aussagekräftigen Paketmanagers, fundamental lediglich der Befehl rpm. Diese Linux-Distribution, wir empfehlen neben Debian Linux das (Fedora Core - ) backported und langzeit-supported RedHat bzw. CentOS bzw. Scientific Linux el6 und el7, gilt trotz mitunter großem Umfang natürlich nur als Einfallstor zur großen, weiten UNIX/Linux- und Emulations-Welt anderer und vor allem aktueller Linux-Distributionen, ihren aktuellen Updates und weiterer Software und Games. Emulieren bedeutet dabei, dass mithilfe von Emulatoren (wie Wine für Windows) und sogenannten Virtuellen Machinen wie Virtualbox, virt-manager, Xen und Qemu auch Software anderer Betriebssysteme unter dem Basis-Betriebsystem (aufgespieltes Linux) lauffähig gemacht werden kann. Bei UNIX/Linux kann entgegen Empfehlungen des BSI ruhig mehr oder weniger alles auf einmal auf dem Installationsmedium installiert werden. Wichtig ist hier nur, dass die Installation begleitend Sicherungen (auf einem externen Medium) vorgenommen werden und sich die Standard-GNU-C-Bibliothek (glibc) der Distribution upgraden lässt, so dass der Kernel auf zumindest LONGTERM-Kernel der Reihe 3 und 4 gleich mit.

Scientific Linux im Großen und Ganzen gleichkommendes "CentOS" steht für "Community Enterprise Operating System". Es basiert zu 100% auf dem Quellcode von Red Hat Enterprise Linux. Während Red Hat Enterprise Linux nur in Verbindung mit kommerziellem Support zu haben ist, kommt CentOS ohne kommerziellen Support. Typische CentOS-Anwender sind Organisationen und Privatleute, die ein stabiles Enterprise-Betriebssystem, aber keinen kommerziellen Support benötigen. Die stabilen Versionen von CentOS werden 10 Jahre lang mit Aktualisierungen versorgt, Scientifclinux um die 20 Jahre.

Sicherheitstechnische Maßnahmen, auf die wir im Einzelnen Punkt für Punkt (bzw. grünem Häkchen für Häkchen) gleich zu sprechen kommen, sind bereits während der Installation so früh wie möglich vorzunehmen, da bereits mit dem ersten Gang ins Netz immense Gefahren und enorme Bedohungen aufwarten! Bereits mit der allerersten Verbindung ins Netz ist mit massivem "Beschuss" durch Hacker und dergleichen zu rechnen!

Neben dem Installationsmedium sollte jetzt unbedingt an ein Sicherungsmedium gedacht sein. Wir empfehlen zwei SSD gleicher Größe bzw. 1:1-gleicher Partitionierung.

Kleine Installationsanleitung gefällig? Linux-Tuning zur Absicherung, https://wiki.kairaven.de/open/os/linux/tuxsectune, https://wiki.centos.org/HowTos/OS_Protection ( in unserem Bsp. im Bezug auf mdv2010.2 oder CentOS 6 mit vielen Updates/Patches von Jonny Hughes ). U.a. die Passwortumstellung von md5 auf sha256sum und die /etc/pam.d/system-auth ist mit Vorsicht zu genießen, indem man system-auth mit Kommando cp sichert und notfalls wiederherstellt.

Ü,ber about:config und die Abfrage von "http" lassen sich im Anschluss fast sämtliche dort abgespeicherte URL aus Firefox austragen.

OKHardening-Optionen zur Compilezeit
Mehrere Optionen zur Compilezeit stehen der folgenden Liste nach zur Verfügung. Sie verhelfen, die erzeugte Binärdateien gegen Speicher-Korruption (memory corruption attacks) abzusichern oder sorgen für zusätzliche Warnungen während des Compilierens. In Debian ist der Einsatz von "dpkg-buildflags" der empfohlene Weg. Zum Setzen der Buld-Flags,
siehe ReleaseGoals/SecurityHardeningBuildFlags fü,r weitere Informationen, https://wiki.debian.org/ReleaseGoals/SecurityHardeningBuildFlags.
Eine Schritt-für-Schritt-Anleitung findet sich auf HardeningWalkthrough, https://wiki.debian.org/HardeningWalkthrough.
Quelle: https://wiki.debian.org/Hardening
Fedora/CentOS etc: https://fedoraproject.org/wiki/Changes/Harden_All_Packages

OKErstmaliges Aufsetzen (Installation) von Betriebssystemen wie UNIX/Linux, generelles Vorgehen, vieles bereits mit dem Installationsmedium, empfohlen vom Saturn-Service-Center Essen:

Formatieren -> Partitionieren -> Verschlüsseln (FSE) > Formatieren -> Installieren -> Sichern (mit dd) und Aktualisieren -> Vollverschlüsseln (FSE) -> Sichern (mit dd) und Konfigurieren -> Defragmentieren (entfällt bei vielen UNIX/Linux Dateisystemen) -> Sichern (mit dd) und Aktualisieren (... insgesamter Zeitbedarf: ?)

Dabei gehen wir auf dieser Webseite als Erstes bereits auf das Konfigurieren ein, gefolgt vom Aktualisieren, Partitionieren und Vollverschlüsseln usw..

Alternativ: Jemand ist so freundlich und spielt mittels Befehl dd bereits alles vorinstalliert (und möglichst aktualisiert) aufs Medium (SSD (sdx), Festplatte (S-ATA: sdx oder IDE: hdx), USB-Speicherstift, CD/DVD, ...) auf: jede Menge Zeit gespart (Prozessor-Architektur (x86_64, i686, ...) beachten und /etc/X11/xorg.conf zunächst auf vesa bzw. fb setzen)! Der geniale Allround-Befehl zum Spiegeln (Mirror) lautet (bzw. ä,hnlich): "dd if=/dev/sda of=/dev/sdb".

Mit sdd anstelle dd wird auch ein Fortschrittsbalken angezeigt.

Editor im folgenden: nano

OKPartitionen auf die richtige Art einhängen
Wenn Sie ein Ext-Dateisystem (ext2, ext3 oder ext4) einhängen, können Sie verschiedene Optionen mit dem mount-Befehl oder in /etc/fstab verwenden. Dies ist zum Beispiel mein fstab-Eintrag für meine /tmp-Partition:

/dev/hda7 /tmp ext2 defaults,nosuid,noexec,nodev 0 2

Achten Sie auf den Abschnitt mit den Optionen. Die Option nosuid ignoriert komplett alle setuid- und setgid-Bits, während noexec das Ausführen von Programmen unterhalb des Einhängepunkts verbietet und nodev Gerätedateien ignoriert. Das hört sich toll an, aber:

nosuid ist nur auf ext2 oder ext3-Dateisysteme anwendbar und

kann leicht umgangen werden.

Die Option noexec, die insbesonders für die Home- und temporären Partitionen verhindert, dass Programme ausgeführt werden können, ließ sich in früheren Kernelversionen leicht umgehen:

alex@joker:/tmp# mount | grep tmp
/dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev)
alex@joker:/tmp# ./date
bash: ./date: Keine Berechtigung
alex@joker:/tmp# /lib/ld-linux.so.2 ./date
So 3. Dec 17:49:23 CET 2000

Neuere Versionen des Kernels verarbeiten aber die Option noexec richtig:

angrist:/tmp# mount | grep /tmp
/dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev)
angrist:/tmp# ./date
bash: ./tmp: Keine Berechtigung
angrist:/tmp# /lib/ld-linux.so.2 ./date
./date: error while loading shared libraries: ./date: failed to map segment
from shared object: Operation not permitted

However, many script kiddies have exploits which try to create and execute files in /tmp. If they do not have a clue, they will fall into this pit. In other words, a user cannot be tricked into executing a trojanized binary in /tmp e.g. when /tmp is accidentally added into the local PATH.

OKEntscheidender Vorteil von noexec: Potentielle "Wirtszellen" von Viren (ausführbare Dateien, darunter Wirtsdateien) bleiben absolut unwirksam! Viren können sich mit gesetzter Option noexec also gernerell nicht auf der Home-Partion verbreiten (während auf der Root-Partition bereits Zugriffsrechte chmod <=755 unter Eigentümer wie root die Verbeitung von Viren im Benutzermodus (usermode) verhindern)!

Seien Sie sich auch bewusst, dass manche Skripte darauf aufbauen, dass /tmp ausführbare Rechte hat. Bemerkenswerterweise hatte (oder hat?) Debconf Probleme bei dieser Sache, weitere Informationen enthält Fehler 116448.

Nachfolgend ein gründlicheres Beispiel. Eine Anmerkung dazu: /var könnte auch noexec enthalten, aber manche Software [26] verwahrt ihre Programme unterhalb von /var. Dasselbe gilt für die Option nosuid.

/dev/sda6 /usr ext3 defaults,ro,nodev 0 2
/dev/sda12 /usr/share ext3 defaults,ro,nodev,nosuid 0 2
/dev/sda7 /var ext3 defaults,nodev,usrquota,grpquota 0 2
/dev/sda8 /tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2
/dev/sda9 /var/tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2
/dev/sda10 /var/log ext3 defaults,nodev,nosuid,noexec 0 2
/dev/sda11 /var/account ext3 defaults,nodev,nosuid,noexec 0 2
/dev/sda13 /home ext3 rw,nosuid,nodev,exec,auto,nouser,async,usrquota,grpquota 0 2
/dev/fd0 /mnt/fd0 ext3 defaults,users,nodev,nosuid,noexec 0 0
/dev/fd0 /mnt/floppy vfat defaults,users,nodev,nosuid,noexec 0 0
/dev/hda /mnt/cdrom iso9660 ro,users,nodev,nosuid,noexec 0 0

https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

Unser konkreter Vorschlag für die Geräte-Konfigurationsdatei /etc/fstab und das Aktualisieren: noch weiter unten im Folgenden!

OKListing: Linux-Sicherheitsmeldungen ab Jahr 2000 auf PRO-LINUX.de
Nachstehend finden Sie alle aktuellen Sicherheitsmeldungen der wichtigsten Distributionen mit Angabe der Distribution, des Veröffentlichungsdatums und der behandelten Sicherheitslücke
https://www.pro-linux.de/sicherheit/1/1/1.html

OKAktuelle LWN.net-Webseiten für Sicherheit
Here are the most recent LWN.net security pages, with a comprehensive roundup of a week´s worth security-related information.


Date Contents
Apr 12, 2017 Network security in the microservice environment; Two Project Zero reports; ..
. Apr 05, 2017 ARM pointer authentication; Quotes; Exploiting Broadcom WiFi; ...
Mar 29, 2017 refcount_t meets the network stack; Quotes; ...
Mar 22, 2017 Inline encryption support for block devices; Shim review; ..
. Mar 15, 2017 A kernel TEE party; Quotes; Struts 2 vulnerability; ...
Mar 08, 2017 A new process for CVE assignment; Smart TV bugging quotes; Threat modeling ...
Mar 01, 2017 The case of the prematurely freed SKB; SHA-1 collision and fallout; ...
Feb 22, 2017 The case against password hashers; New vulnerabilities in dropbear, kernel, nagios-core, qemu, ...
Feb 15, 2017 A look at password managers; New vulnerabilities in kernel, libevent, mysql, php, ...
Feb 08, 2017 Reliably generating good passwords; New vulnerabilities in epiphany, graphicsmagick, gstreamer (and plugins), spice, ...
Feb 01, 2017 The Internet of scary things; New vulnerabilities in ansible, chromium, kernel, mozilla, ...
Jan 25, 2017 Security training for everyone; New vulnerabilities in fedmsg, firejail, java, systemd, ...
Jan 18, 2017 Ansible and CVE-2016-9587; New vulnerabilities in bind, docker, qemu, webkit2gtk, ...
Jan 11, 2017 SipHash in the kernel; New vulnerabilities in kernel, kopete, syncthing, webkit2gtk, ...
Jan 04, 2017 Fuzzing open source; New vulnerabilities in bash, httpd, kernel, openssh, ...
Dec 22, 2016 OWASP ModSecurity Core Rule Set 3.0; New vulnerabilities in apport, kernel, libupnp, samba, ...
Dec 14, 2016 ModSecurity for web-application firewalls; New vulnerabilities in jasper, kernel, mozilla, roundcube, ...
Dec 07, 2016 Locking down module parameters; New vulnerabilities in chromium, firefox, kernel, xen, ...
Nov 30, 2016 Django debates user tracking; New vulnerabilities in drupal, firefox, kernel, ntp, ...
Nov 16, 2016 Reference-count protection in the kernel; New vulnerabilities in chromium, firefox, kernel, sudo, ...
https://lwn.net/Security/

OKSeparate usr-Partition: /usr auf nur-lesend setzen
Wenn Sie (über /etc/fstab) auf /usr nur lesenden Zugriff erlauben, werden Sie nicht in der Lage sein, neue Pakete auf Ihrem Debian-GNU/Linux-System zu installieren. Sie werden es erst mit Schreibzugriff erneut einhängen müssen, die Pakete installieren und dann wieder nur mit lesendem Zugriff einhängen. Apt kann so konfiguriert werden, dass Befehle vor und nach dem Installieren von Paketen ausgeführt werden. Daher müssen Sie es passend konfigurieren.
Dafür müssen Sie /etc/apt/apt.conf bearbeiten und Folgendes einfügen:

DPkg
{
Pre-Invoke { "mount /usr -o remount,rw" };
Post-Invoke { "mount /usr -o remount,ro" };
};
( Das Anlegen einer separaten usr-Partition z.B. nach Einrichtung einer verschlüsselten Root-Partition wird hingegen nicht empfohlen, Anm., Gooken. )

Beachten Sie, dass das Post-Invoke mit der Fehlermeldung "/usr ist belegt" scheitern kann. Dies passiert vorwiegend, wenn Sie eine Datei benutzen, die aktualisiert wurde. Sie können diese Programme finden, indem Sie Folgendes ausführen:

# lsof +L1

Halten Sie diese Programme an oder starten Sie sie erneut und rufen dann Post-Invoke manuell auf. Achtung! Das bedeutet, dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X (falls Sie eine laufen haben) neu starten müssen, wenn Sie ein größeres Upgrade Ihres Systems durchführen. Sie müssen entscheiden, ob ein nur lesbares /usr zu Ihrem System passt. Vergleichen Sie auch diese discussion on debian-devel about read-only /usr.
Wir beabsichtigen im Kommenden, das System einschließlich Root-Partition (und USB-Speicherstifte und SD-Karten) hochwirksam mit LUKS vollzuverschlüsseln (FSE) und im Gegensatz zu /usr die gesamte Root-Partition wie die Home-Partition anschließend unbeschreibbar auf "read-only" (ro) zu setzen. Die Möglichkeit über /usr bzw. die separate usr-Partition sei dabei natürlich vorbehalten.

OKUpdate mit dem Kernel-Binary (rpm) oder Konfiguration, Patchen, Kompiliieren des Kernel-Source (rpm.src)
Wir gehen von der Installation einer rpm-basierten Linux-Distribution auf einem Laufwerk/Speichermedium aus, mit Blick auf unsere Sektion für Updates vorzugsweise RedHat, CentOS oder Scientific Linux, Fedora Core, PCLinuxOS, ROSA, Mageia oder Mandriva.
Nun gibt es zwei Möglichkeiten: Entweder man installiert einen vorkonfigurierten Kernel ("rpm -i --force kernel-....rpm") oder schneidert ihn selbst maß (Kernel-Konfiguration und Compilierung). Im zweiten Fall ist Folgendes zu tun (die Anleitung stammt aus unserer Update-Sektion und erfolgt daher in englischer Sprache):
Konfiguration, Patch, Kompilieren: Download und install vom Kernel angeforderte Pakete rpm, danach die Kernel-Quellen. Installiere oder entpacke nach /usr/src manuell mit dem Befehl "tar -xvjf kernel-source-package", rpm oder graphisch mit File-Roller. Ein neues Verzeichnis namens "linux-kernelversion-xxx" oder "kernel-source-xxx" wird innerhalb /usr/src erzeugt.
Linke dieses Verzeichnis mit einem Link (Link-Datei) namens linux: "ln -sf linux-xxx linux" resp. "ln -sf kernel-source-xxx linux".
Wechsle in dieses Verzeichnis linux linux resp. linux-xxx bzw. kernel-source-xxxx and führe den Befehl "menu oldconfig". aus. Damit wird die Datei .config zum Konfigurierren des Kernels erzeugt.
Führe nun "menu xconfig" ooder "menu gconfig" oder "make menuconfig" aus und konfiguriere die benötigten Kernel-Treiber usw. duch Setzen auf (CC) für die benötigten, (CC MM) für als Module vom Kernel und per Befehl wie modprobe einbindbaren und das leere Feld für solche mit Verzicht.
Für mit dracut ermöglichtes FSE (Full System Encryption einschließlich verschlüsselter Root-Partition) sind zwei Optionen zu ermöglichen, was in kernel-desktop (mdv2011), aber nicht kernel (el6):der Fall ist.


Kernel: Empfohlen sei kernel 4 (in unserem Beispiel kernel 4.20.13 (pclos) mit glibc (el8, pclos) oder kernel (rosa2016.1, el8, el7, el6: mit upstart (el6)), mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2) und dracut (mga6, Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) bzw. noch der Kernel 2.6.39.4).

Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren.

Alle Patches für 2.6.39.4-5.1 bis heute sind im Internet von http://repository.timesys.com/buildsources/k/kernel/kernel-2.6.39/ verfügbar, i.a. aber von kernel.org:
compiler-gcc5, add-timesys-bootlogo, dirty-cow, lantronix-ts1, no-setlocalversion, no-unused-but-set-variable, revert-nfsroot, timeconst.pl-eliminate-perl-warning, ltrx-image-rom und yaffs2.

Patch: patch (el6, fc27, mdv2010.1) muss installiert sein. Gebe danach folgenden Befehl ein: "patch -p1 < ../patchname.patch "

Zwei Möglichkeiten:
1) Bau des kernel-Paket-rpm aus den Quellen nach Anwendung der Patches: Konfiguriere die aus den Quellen stammende spec-Datei (Datei vom Typ spec), indem angewandte Patches eingetragen bzw. auskommentiert werden: https://www.howtoforge.de/anleitung/wie-man-einen-kernel-kompiliert-auf-fedora/. Führe dann den Befehl "rpm -ba" anstelle "rpmbuild -ba" kernel-xxx.spec aus, um das Kernel-Binärpaket zu erzeugen.
2) Konfiguration der Quellen und Kompilieren:
Kopiere die Date .config ausgehend von /usr/src nach include/config/auto.conf


Rufe den Befehl "menu xconfig" or "menu gconfig" oder "make menuconfig" auf und konfiguriere die Treiber und alles Benötigte (CC), als Module Benötigtes (CC MM) und solches mit Verzicht auf Einbindung, oder konfiguriere anhand einer mit "make oldconfig" vorgegebenen Konfiguration.

Für FSE (full system encryption) mit dracut sollten zwei Optionen ermöglicht (aktiviert) werden:
innerhalb des ersten Eintrags"General Setup"enable "Initial-RAM-filesystem and RAM-disk-support" und in "general drivers" "Maintain a devtmpfs at /dev/ with subitem" zum Automount von devtmpfs in /dev nach dem Mount (Einbinden) der Root-(Wurzel-)Partition".
Im Zweifelsfall setze man den Wert MM
(x), (*), (M) oder (CC), um ein Modul immerzu, auch unnachgefragt, zu laden
(A) oder (CC MM), (MM), um es auf Anfrage hin automatisch oder manuell nachzuladen oder
(-) oder ( ): zum Verzicht auf das Modul.

kernel-2.6.39-40.src.rpm, Beispiel:

Um den Betrieb einer iptables-basierten Firewall zu ermöglichen, sollten bestimmte Module eingebunden werden.
Öffne ein Terminal und gebe eines der folgenden Kommandos ein:
make menuconfig für die graphische Konfiguration mit Dialog-GUI,
male xconfig für tk-GUI oder
make gconfig für GTK oder
make config


Wähle nun Folgendes aus:

Networking options --->
[*] Network packet filtering (replaces ipchains)
IP: Netfilter Configuration --->
.
(M) Userspace queueing via NETLINK (EXPERIMENTAL)
(M) IP tables support (required for filtering/masq/NAT)
(M) limit match support
(M) MAC address match support
(M) netfilter MARK match support
(M) Multiple port match support

(M) TOS match support
(M) Connection state match support
(M) Unclean match support (EXPERIMENTAL)
(M) Owner match support (EXPERIMENTAL)
(M) Packet filtering
(M) REJECT target support
(M) MIRROR target support (EXPERIMENTAL)
.
(M) Packet mangling
(M) TOS target support
(M) MARK target support
(M) LOG target support
(M) ipchains (2.2-style) support
(M) ipfwadm (2.0-style) support

denke auch an viele weitere Optionen (Module) und speichere die Konfiguration schließlich ab.

kernel-firmware (binary blobs within /lib/firmware, rpm kernel-firmware (around 250 MB) and/or kernel-firmware-extra ):

For kernels before 4.18:
KERNEL Enable support for Linux firmware

Device Drivers --->
Generic Driver Options --->
-*- Userspace firmware loading support
[*] Include in-kernel firmware blobs in kernel binary
(/lib/firmware) Firmware blobs root directory

For kernels beginning with 4.18:
KERNEL Enable support for Linux firmware

Device Drivers --->
Generic Driver Options --->
Firmware loader --->
-*- Firmware loading facility
() Build named firmware blobs into the kernel binary
(/lib/firmware) Firmware blobs root directory

Führe nun die Komplierung vorbereitenden Befehle aus: "make dep && make clean && make mrproper" .
Gebe die Kernel-Version gleich am Anfang innerhalb makefile an vorgesehener Stelle an.
Patchen: patch -p1 < ../any_patch.patch
make -i rpm (Erzeuge eines binären (kompilierten) Kernel-Pakets (rpm), benötige Zeit: ca. vier Stunden), alternativ
make all # oder
make dep (Berücksichtigung der Abhängigkeiten)
make clean (Löschen nicht mehr benötigter, alter Daten)
make bzImage (Erzeugung des Kernel-Kerns vmlinuz, welcher sich später im Boot-Verzeichnis /boot finden sollte. Hierfür ist das Erzeugnis namens Datei bzImage-Versionsnummer in vmlinuz-Versionsnummer umzubennenen, benötigte Zeit: um die 30 Minuten) oder
make bzImage &,& make modules && make modules_install für alles in einem, einschlie&zlig;lich der Erzeugung und Installation der Kernel-Module /in /lib/modules/kernel-versionsnummer.
Kopiere das erzeugte bzImage (Datei) namens bzImage-Kernelversion aus einem der Unterverzeichnisse von /usr/src ( notfalls mit Befehl find suchen: "find /usr/src -maxdepth 6 -name bzImage*" ) in das Boot-Verzeichnis /boot, nachdem die Datei bzImage* in vmlinuz-Kernelversion umbenannt worden ist.
Starte den Befel mkinitrd, besser dracut, um das Initial-Ram-Disk-Archive initrd (initrd-Kernel-Versionsnummer), bei dracut initramfs (initramfs-Kernel-Versionsnummer), innerhalb des Boot-Verzeichnis /boot zu erzeugen ("dracut -f /boot/initramfs-Kernel-Vesionsnummer Kernel-Versionsnummer". Die Versionsnummern verhindern Überschreiben. dracut sollte dafür in /etc/dracut.conf vorher bestens konfiguiert sein, um bestimmte Module einzubinden, eine Konfigurationsdatei dracut.conf von dracut geben wir weiter unten an. Beachte, dass sehr viele, auch neuere Versionen von dracut überhaupt nicht funktionieren (wir wählten dracut (008, mdv2011))! ). Beim Kopieren bzw. Erzeugen in /boot sollte man etwaige alte Kernel-, initrd- bzw. initramfs-Versionen aus dem Verzeichnis /boot keinesfalls überschreiben!
Konfiguriere abschließend den Boot-Manager, bei uns namens Grub (grub oder grub2), in /boot/grub/menu.lst (grub1) entsprechend, editiere Zeilenumbrüche verhindernd /boot/grub/menu.lst (am besten mit dem Editor nano) und tausche die vmlinuz-kernel-versionen namentlich aus, bzw. trage sie in einem eigenen neuen Abschnitt für den neuen Kernel neu ein, und trage dort auch die neue (Datei) initramfs bzw. initrd (einschl. zugehöriger Kernel-Versionsnummer) namentlich an der Stelle für initrd ein.
done. Starte (boote) das System neu (System-Neustart). Klappt alles, kann man alte Kernel-Versionen austragen (löschen), falls nicht, boote eine alte Kernel-Version und lösche die neu erzeugte.

OKAbmelden von untätigen Benutzern
Untätige (idle) Benutzer stellen für gewöhnlich ein Sicherheitsproblem dar. Ein Benutzer kann untätig sein, da er Mittagessen ist, oder weil eine Verbindung aus der Ferne hängen blieb und nicht wieder hergestellt wurde. Unabhängig von den Gründen können untätige Benutzer zu einer Kompromittierung führen:

weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann.
because an attacker might be able to re-attach to a closed network connection and send commands to the remote shell (this is fairly easy if the remote shell is not encrypted as in the case of telnet).

In einige Systeme in der Ferne wurde sogar schon durch ein untätiges (und abgelöstes) Screen eingedrungen.

Die automatische Trennung von untätigen Benutzern ist gewöhnlich ein Teil der lokalen Sicherheitsrichtlinie, die durchgesetzt werden muss. Es gibt mehrere Arten, dies zu erreichen:

If bash is the user shell, a system administrator can set a default TMOUT value (see bash(1)) which will make the shell automatically log off remote idle users. Note that it must be set with the -o option or users will be able to change (or unset) it.

Installieren Sie Timeoutd und konfigurieren Sie /etc/timeouts passend zu Ihren lokalen Sicherheitsrichtlinien. Der Daemon achtet auf untätige Benutzer und beendet entsprechend ihre Shells.

Installieren Sie Autolog und richten Sie es so ein, dass es untätige Benutzer entfernt.

Vorzugswürdige Methoden sind die Daemonen Timeoutd oder Autolog, da letzten Endes die Benutzer ihre Standardshell ändern können oder zu einer anderen (unbeschränkten) Shell wechseln können, nachdem sie ihre Standardshell gestartet haben.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

Linux: TMOUT To Automatically Log Users Out
last updated May 18, 2011 in Categories BASH Shell, Linux

How do I auto Logout my shell user in Linux after certain minutes of inactivity?
Linux bash shell allows you to define the TMOUT environment variable. Set TMOUT to automatically log users out after a period of inactivity. The value is defined in seconds. For example,

export TMOUT=120

The above command will implement a 2 minute idle time-out for the default /bin/bash shell. You can edit your ~/.bash_profile, ~/.bashrc or /etc/profile file as follows to define a 5 minute idle time out:

# set a 5 min timeout policy for bash shell
TMOUT=300
readonly TMOUT
export TMOUT

Save and close the file. The readonly command is used to make variables and functions readonly i.e. you user cannot change the value of variable called TMOUT.
How Do I Disable TMOUT?

To disable auto-logout, just set the TMOUT to zero or unset it as follows:
DOLLARSIGN export TMOUT=0

or

DOLLARSIGN unset TMOUT

Please note that readonly variable can only be disabled by root in /etc/profile or ~/.bash_profile. https://www.cyberciti.biz/faq/linux-tmout-shell-autologout-variable/

Ooder weise SHELL_TIMEOUT (TMOUT) einen Wert in /etc/security/msec/level.secure zu:
SHELL_TIMEOUT=300

OK/etc/pam.d/system-auth ( in auf unserer Plattform getesteter Form ):
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth
auth required pam_deny.so
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_tally2.so deny=3 onerr=fail unlock_time=60
account sufficient pam_tcb.so shadow
account required pam_deny.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_tally2.so per_user
password required pam_cracklib.so try_first_pass retry=3 minlen=6 dcredit=1 ucredit=0
password sufficient pam_unix.so try_first_pass use_authtok sha512 shadow remember=2
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so

Mehr über pam-Module:
http://www.linuxdevcenter.com/pub/a/linux/2001/09/27/pamintro.html?page=2
https://linux.die.net/man/5/pam.d
...

Wenn Sie PAM benutzen, können Sie auch andere Änderungen am Login-Prozess, die auch Einschränkungen für einzelne Benutzer oder Gruppen zu bestimmten Zeiten enthalten können, durch Konfiguration der Datei /etc/pam.d/login vornehmen. Eine interessante Eigenschaft, die man auch abschalten kann, ist die Möglichkeit, sich mit einem leeren Passwort (Null-Passwort) anzumelden. Diese Eigenschaft kann eingeschränkt werden, indem Sie nullok aus folgender Zeile entfernen:

auth required pam_unix.so nullok

Unsere /etc/pam.d/login:
%PAM-1.0
auth required pam-securetty.so
auth required pam_tally2.so deny=3 even_deny_root unlock_time=2400
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include system-auth
-session optional pam_ck_connector.so

OKIn securetty
entfernen Sie oder fügen Sie Terminals hinzu, auf denen sich Root anmelden darf. Falls Sie nur lokalen Zugang zur Konsole erlauben wollen, benötigen Sie console, ttyX und vc/X (falls Sie die devfs-Schnittstelle verwenden). Sie sollten auch ttySX hinzufügen, wenn Sie eine serielle Konsole für den lokalen Zugang verwenden (wobei X eine ganze Zahl ist; es kann wünschenswert sein, mehrere Instanzen zu verwenden). Die Standardeinstellung in Wheezy beinhaltet viele tty-Konsolen, serielle Schnittstellen und virtuelle Konsolen sowie den X-Server und das console-Gerät. Sie können das ohne Probleme anpassen, wenn Sie nicht derartige viele Konsolen benutzen. Sie können die Anzahl der Konsolen und Schnittstellen in /etc/inittab überprüfen. Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im Text-Terminal-HOWTO.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

The primary entry types and their affects are as follows:
If /etc/securetty doesn´t exist, root is allowed to login from any tty
If /etc/securetty exist and is empty, root access will be restricted to single user mode or programs that are not restricted by pam_securetty (i.e. su, sudo, ssh, scp, sftp)
if you are using devfs (a deprecated filesystem for handling /dev), adding entries of the form vc/[0-9]* will permit root login from the given virtual console number
if you are using udev (for dynamic device management and replacement for devfs), adding entries of the form tty[0-9]* will permit root login from the given virtual console number
listing console in securetty, normally has no effect since /dev/console points to the current console and is normally only used as the tty filename in single user mode, which is unaffected by /etc/securetty
adding entries like pts/[0-9]* will allow programs that use pseudo-terminals (pty) and pam_securetty to login into root assuming the allocated pty is one of the ones listed; it´s normally a good idea not to include these entries because it´s a security risk; it would allow, for instance, someone to login into root via telenet, which sends passwords in plaintext (note that pts/[0-9]* is the format for udev which is used in RHEL 5.5; it will be different if using devfs or some other form of device management)
For single user mode, /etc/securetty is not consulted because the sulogin is used instead of login. See the sulogin man page for more info. Also you can change the login program used in /etc/inittab for each runlevel.
https://unix.stackexchange.com/questions/41840/effect-of-entries-in-etc-securetty

OKEin paar weitere Möglichkeiten mit PAM:
Verschlüssele Passwörter nicht mit DES (anfällig für brute-force-Dekodierungen).
Setze Limits für alle Benutzer, so dass sie keine Denial-of-Service-Angriffe starten (Anzahl der Prozesse, Speichergröße, etc).
Ermögliche stets Shadow-Passwörter (aus /etc/shadow)
Erlaube Benutzern nur den Login zu bestimmten Zeiten von bestimmten Orten.
In kurzer Zeit lassen sich viele Angriffe abwehren, ehe sie auftauchen. Benutze z.B. PAM, um den systemweien Zugriff auf .rhosts-files im Home-Verzeichnis auf folgende Art in /etc/pam.d/rlogin zu verhindern:

#
# Verbiete Benutzern (veraltertes) rsh, rlogin und rexec
#
login auth required pam_rhosts_auth.so no_rhosts

Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKpam_tcb.so: Wechsel von shadow-Passwörtern nach tcb in Linux
Für ein noch sicheres Linux-Passwort-System, die Migration von shadow-Passwörtern nach tcb ist die wenig Mühe wert. Vincent Danen erklärt, was zu tun ist.
"Shadow passwords have been a de facto standard with Linux distributions for years and as well as the use of md5 passwords. However, there are drawbacks to using the traditional shadow password method, and even md5 is not as secure as it used to be. One drawback to the shadow password file is that any application that requires looking up a single shadow password (i.e., your password) also can look at everyone else´s shadow passwords, which means that any compromised tool that can read the shadow file will be able to obtain everyone´s shadow password."

Installiere zuerst pam (bei uns (pclos)), u.a. mit pam-tcb (pclos) und imfalle einer Verschlüsselung mit Blowfish das Paket bcrypt.
Nun folge der Anleitung und Quelle: https://www.techrepublic.com/article/migrating-from-shadow-passwords-to-tcb-in-linux/
alternativ: Migrating to tcb, http://www.opennet.ru/man.shtml?topic=tcb_convert&category=8&russian=2

Von der Verschlüsselung mit Blowfish und dem Entfernen der shadow-Dateien haben wir im Folgenden noch abgesehen. Unsere geänderte Datei /etc/pam.d/system-auth lautet nach Durchführung der Schritte:
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_tcb.so
auth required pam_deny.so
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_tally2.so deny=3 onerr=fail unlock_time=1200
account sufficient pam_tcb.so shadow
account required pam_deny.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_tally2.so per_user
password required pam_cracklib.so try_first_pass retry=3 minlen=6 dcredit=1 ucredit=1
password sufficient pam_tcb.so use_authtok tcb write_to=tcb
password required pam_deny.so
session optional pam_mount.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_tcb.so

und /etc/pam.d/password-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.

auth required pam_env.so
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
auth sufficient pam_tcb.so
auth required pam_deny.so
account required pam_tcb.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_tcb.so try_first_pass use_authtok sha512 shadow
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_tcb.so

/etc/nsswitch.conf:
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
# compat Use compatibility setup
# nisplus or nis+ Use NIS+ (NIS version 3)
# nis or yp Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# db Use the local database (.db) files
# [NOTFOUND=return] Stop searching if not found so far
#
# For more information, please read the nsswitch.conf.5 manual page.
#

passwd: files
shadow: files +root +surfuser -ALL
group: files
hosts: files [success=return] dns [success=return]
networks: files
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
ipnodes: files
sendmailvars: files
automount: files
aliases: files
Einzelheiten zu /etc/nsswitch.conf: https://docs.oracle.com/cd/E24841_01/html/820-2980/ipconfig-42.html

Probiere auch eigenlich für tcb Vorgesehenes "shadow: tcb nisplus nis" und setze "nebenbei" außerdem die Reihenfolge für hosts: "hosts: files mdns4_minimal dns nis mdns4 wins"

Ersetze auch in allen anderen /etc/pam.d/* pam_unix.so mit pam_tcb.so. Der Rechner läuft einmal mehr mausklick-schnell und sicher..

OKBenutzerkonto-Sperre
While having strong passwords in place for user accounts can help thwart brute force attacks as mentioned previously in point 18 - Enforce strong passwords, this is only one way of slowing down this type of attack. A good indication of brute force attack is a user account that has failed to log in successfully multiple times within a short period of time, these sorts of actions should be blocked and reported. We can block these attacks by automatically locking out the account, either at the directory if in use or locally.

The pam_tally2.so PAM module can be used to lock out local accounts after a set number of failures. To get this working I have added the below line to the /etc/pam.d/password-auth file.

auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

This will log all failures to the /var/log/tallylog file and lock out an account after 3 consecutive failures. By default it will not deny the root account however we can also lock out root by specifying even_deny_root (though this may not be required if you have disabled root access as per point 3 - Disable remote root access and point 4 - Disable root console access). The unlock time is the amount of seconds after a failed login attempt that an account will automatically unlock and become available again.

Failed logins can be viewed as below, to view all failures simply remove the --user flag.

[[email protected] ~]# pam_tally2 --user=bob Login Failures Latest failure From bob 4 08/21/15 19:38:23 localhost

The failure count can be manually reset by appending -reset onto this command.

pam_tally2 --user=bob --reset

If a login is successful before the limit has been reached the failure count will reset to 0. For more details see the pam_tally2 manual page by typing ´man pam_tally2´.

It´s worth noting that the manual page advises to configure this with the /etc/pam.d/login file, however I found that under CentOS 7 this did not work and needed to use the /etc/pam.d/password-auth file instead. I also tried using /etc/pam.d/system-auth which I found documented elsewhere but this also failed, so this may differ based on your operating system.

You can also manually lock and unlock local user accounts rather than waiting for the failure limit to be reached.
Lock the user account ‘bob´.https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/#4
Quelle: https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/

OKDisable Root Console Access
The previous step disables remote access for the root account, however it will still be possible for root to log in through any console device. Depending on the security of your console access you may wish to leave root access in place, otherwise it can be removed by clearing the /etc/securetty file as shown below.

echo > /etc/securetty

This file lists all devices that root is allowed to login to, the file must exist otherwise root will be allowed access through any communication device available whether that be console or other.

With no devices listed in this file root access has been disabled. It is important to note that this does not prevent root from logging in remotely with SSH for instance, that must be disabled as outlined in point 3 - Disable remote root access above.

Access to the console itself should also be secured, a physical console can be protected by the information covered in point 13 - Physical security.

https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/

OKAdministrativen Fernzugriff verweigern
/etc/security/access.conf sollte ebenfalls so verändert werden, dass ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird. Auf diese Weise müssen Benutzer das Programm Su (oder Sudo) aufrufen, um Administratorenrechte zu bekommen, so dass es immer eine nachprüfbare Spur gibt.
Folgende Zeile ist zur /etc/security/access.conf hinzufügen, in Debians Standardkonfigurationsdatei ist ein Beispiel auskommentiert:

-:wheel:ALL EXCEPT LOCAL

Vergessen Sie nicht, in /etc/pam.d/ das pam_access-Module für jeden Dienst (oder die Standardkonfiguration) anzuschalten, wenn Sie wollen, dass Ihre Änderungen in /etc/security/access.conf berücksichtigt werden.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKAblauf der Passwort-Gültigkeit überüfen
In Linux werden die Passwörter zu den Benutzerkonten in der Datei ´/etc/shadow´ in verschlüsselter Form abgespeichert. Um den Ablauf der Gültigkeit zu überprüfen, verwende man das Kommando ´chage´.

#chage -l username
Um die Dauer der Gültigkeit eines Passwortes zu verändern, setze
#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName
Parameters
-M Set maximum number of days
-m Set minimum number of days

Quelle: https://www.tecmint.com/linux-server-hardening-security-tips/

OKCheck auf System- und Benutzerkonten mit leeren Passwörtern
Leere Passwörter haben unauthorisierten Zugriff zur Folge. Deshalb sollten alle Konten mit starken Passwörtern geschützt sein. Um auf leere Passwörter zu überprüfen, verwende das folgende Kommando:

cat /etc/shadow | awk -F: ´(DOLLARSIGN2==""){print DOLLARSIGN1}´

https://www.tecmint.com/linux-server-hardening-security-tips/

OKLimitierte Anzahl aktiver Prozesse (Quelle: Arch Linux, https://wiki.archlinux.org/index.php/security)
Die Anzahl lässt sich in /etc/security/limits.conf sowohl für alle Benutzer und Gruppen als auch bestimmte Benutzer und Gruppen limitieren, um Angriffe wie "Fork Bombs" und Denial-Of-Service-Attacks vorzubeugen. Im Beispiel wird für alle Benutzer die maximale Anzahl auf 100 gesetzt und nach Gebrauch des prlimit auf maximal 200 angehoben. Zu beachten ist, dass sich bei zu niedrig angesetzten Limits Funktionsstörungen einstellen können. Sichern Sie vor einer Änderung /etc/security/limits.conf !

* soft nproc 300
* hard nporc 320
# user soft nproc 200
# user hard nproc 250
# surfuser soft nproc 160
# surfuser hard nporc 180
toruser soft nproc 100
toruser hard nporc 120

OKlibrepository (el6), libsafec-check (fc30, fc29): Finds unsafe APIs Computer - mausklick-schnell !

OKBastille, msec, rkhunter, chkrootkit, clamav (clamscan, klamav), maldetect, checksec, seccheck, xsysinfo, smartd, nessus, tkcvs and cervisia, ...
Bevor Sicherheit weiterhin Haken für Haken manuell konfiguriert (eingestellt) wird, überlege man sich an dieser Stelle, ob Konfigurations-Programme wie bastille und die Sicherheits-Checks von msec (rosa2016.1, rosa2014.1) erforderliche Sicherheits-Einstellungen protokollieren, falls nicht bereits selbsttätig (automatisch) einen Teil der Arbeit abnehmen sollen.

OKRestriktrierter Zugriff auf Zeiger auf den Kernel innerhalb des proc-Dateisystems (Quelle: Arch Linux, https://wiki.archlinux.org/index.php/security)
Beachte: Hardened Linux setzt kptr_restrict meist auf 2 oder 1:
. "Enabling kernel.kptr_restrict will hide kernel symbol addresses in /proc/kallsyms from regular users without CAP_SYSLOG, making it more difficult for kernel exploits to resolve addresses/symbols dynamically. This will not help that much on a pre-compiled Arch Linux kernel, since a determined attacker could just download the kernel package and get the symbols manually from there, but if you´re compiling your own kernel, this can help mitigating local root exploits. This will break some perf commands when used by non-root users (but many perf features require root access anyway)."
/etc/sysctl.d/50-kptr-restrict.conf
kernel.kptr_restrict = 2

OKDer nächste Punkt fstab-Option hidepid für proc von Quelle Arch Linux, https://wiki.archlinux.org/index.php/security, erfolgt umso mehr auf eigene Gefahr:
hidepid
"Warnung: Für bestimmte Anwendungen wie Sandbox und auf Xorg können Probleme enstehen. Für unbound empfehlen wir bei daher unbound (rosa2014.1, rosa2016.1) und nicht el6.
. Der Kernel ermöglicht das Verstecken von Benutzer-Prozessen, auf die normalerweise Zugriff via /proc besteht, von unpriviligierten Benutzern, indem das (lokale) proc-Dateisystem mit hidepid und gid eingebunden (gemountet) wird.
Dadurch wird die Informationsammlung über laufende Prozesse für Eindringlinge, ob einige Daemonen mit besonderen Privilegien laufen, ob für Benutzer oder andere Benutzer sensitive Programme laufen und ob sie überhaupt Programme laufen lassen, verhindert. Weiterer Bonus: Programme sind nun geschützt vor sogenannten "lokalen Eavesdroppers."
Die vom Paket fürs Dateisystem beinhaltete proc-Gruppe verhält sich wie eine Whitelist mit authorisierten Benutzern, mit der Fähigkeit, aus anderen Benutzerprofzessen Informationen zu beziehen und zu lernen. . Sollten Benutzer oder Dienste Zugriff auf /proc/>pid<-Verzeichnisse benötigen, füge sie zur Gruppe gid hinzu:
Bespiel: Verberge Prozess-Information für alle Benutzer außer Benutzer der Gruppe proc:

/etc/fstab (denken Sie vor einer Änderung immer an die Sicherung!):
proc /proc proc nosuid,nodev,noexec,hidepid=2,gid=proc 0 0 "

OKEine weitere Vorbereitung unserer Sicherheitsmaßnahmen erfolgt nun anhand debian.org, https://www.debian.org/doc/manuals/securing-debian-howto/ch1.de.html bis https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html. Uns erscheint im Kommenden davon nur ein Gro&szlgi;teil sinnvoll.

OKVerwaltung der Dienste: systemd ab Jahr 2013, MCC -> "Dienste verwalten" oder chkconfig (bzw. ntsysv)
Insbesonders die mit jedem Bootvorgang zu startende /etc/rc.local muss noch hinzugefügt werden, gleiches gilt für ip6tables neben iptables. Zu diesem Zweck ist in /etc/init.d rc.local zu erstellen (ggfls. irgendeinen vorgebenen Daemon wie beispielsweise linfw3 aus /etc/init.d kopieren und entsprechend abändern). Unter start() ist lediglich "sh /etc/init.d/rc.local" einzutragen, unbenötigte Variablen und stop() und restart() für rc.local auszutragen und ggfls. die chkconfig-Konfiurationsnummer oben im einkommentierten Kommentar auf eine beliebige andere hin zu ändern.
Nun wird der Dienst vorsichtshalber registriert: "chkconfig --add rc.local".
Generell werden u.v.a. bei mdv und el6 so alle (zu aktivierenden) Dienste in MCC ->, Systemdienste sichtbar aufgelistet.
Nun kann man entweder die Haken in Systemdienste von MCC zur Aktivierung setzen oder die Runlevel für den jeweiligen Dienst von 0 bis 6 mittels chkconfig manuell setzen, i.a. 0-AUS 1-AUS 2-AUS 3-EIN 4-EIN 5-EIN 6-AUS.
Dienste kann man auch manuell starten: start (start), neustart (restart) und stop (stop), bei mdv und el6 und vielen anderen Distributionen mittels Kommando wie folgendem:
"sh /etc/init.d/linfw3 start".

Datenbankserver Dämon (Runlevel-Init-Script) mysqld (el6.remi): wie rc.local oben, aber vor dem Start in /etc/my.cnf die Bind-Addresse einkommentieren.
Reverse-Proxy nginx (el6): wie rc.local oben, vorher "cp -axf /usr/lib/perl5/strict.pm /usr/local/share/perl5" und "cp -axf /usr/lib/perl5/warnings* /usr/local/share/perl5/" kopieren.
Apache-Webservers httpd (el6): wie oben aber ggfls. Module konfiguriren, alte Apache-Module entfernen.
Druckerservers: cups (pclos)
LAN-Servers bzw. - Clients: samba-... (el6) nicht erforderlich für herkömmliche Einzelplatzrechner am DSL-Router
...
Vorher gilt es natürlich, die Konfigurationen der jeweiligen Server unter /etc in den zugehörigen Konfigurationsdateien vorzunehmen.

Auf den genauen Inhalt von /etc/rc.local (und eines weiteren Skripts in /usr/sbin/ voller ACL-Zugriffsrechte mit jedem Booten) kommen wir bald noch zu sprechen.

OKdbus (messagebus): Sicherung der service-Dateien
Der dbus vieler Versionen treibt ab und zu sein Unwesen, indem er gelegentlich einzelne service-Dateien aus /usr/share/dbus-1/services und /usr/share/dbus-1/system-services einfach löscht.
Daher sollten alle service-Dateien in einem Sicherungs-Verzeichnis gesichert werden.

Tausche aus: "Exec=kded" mit "Exec=kded4"
nano /usr/share/dbus-1/services/org.kde.kded.service
[D-BUS Service]
Name=org.kde.kded
Exec=/usr/bin/kded4

OKSetzen Sie ein Passwort im BIOS und Passwö,rter im Bootmanager (grub: Datei /boot/grub/menu.lst)
Bevor Sie irgendein Betriebssystem auf Ihrem Computer installieren, setzen Sie ein Passwort im BIOS. Nach der Installation (sobald Sie von der Festplatte booten können) sollten Sie zurück ins BIOS gehen und die Boot-Reihenfolge ändern, so dass Sie nicht von Diskette, CD-ROM oder sonstigen Geräten booten können, von denen dies nicht gehen sollte. Andernfalls benötigt ein Cracker nur physischen Zugang und eine Bootdiskette, um Zugriff auf Ihr ganzes System zu bekommen.
Es ist noch besser, wenn das System beim Booten immer ein Passwort verlangt. Dies kann sehr effektiv sein, wenn Sie einen Server laufen lassen, der selten neu gestartet wird. Der Nachteil dieser Vorgehensweise ist, dass das Neustarten einen menschlichen Eingriff benötigt, was zu Problemen führen kann, wenn das System nicht leicht zugänglich ist.
Hinweis: Viele BIOS-Varianten haben bekannte Master-Passwörter und es gibt sogar Programme, um Passwörter aus dem BIOS wieder auszulesen. Folglich können Sie sich nicht auf diese Maßnahme verlassen, um den Zugriff auf das System zu beschränken. Setze

- Supervisor Password
- User Access Level von Full Access, View Only oder Limited auf No Access - verhindert den Benutzerzugriff auf die BIOS-Setup-Utility, so dass keine Änderungen mehr an den Einstellungen vorgenommen werden können. Das BIOS ist nun geschützt.
- User Password
- Password Check von (BIOS-)Setup auf Always (immer)

Boot-process: If the message "Can not stat ( a named ) initscript" occurs during system boot, delete this initscript through all six runlevel and in directory init.d by
rm -df /etc/rc0.d/initscript-name
rm -df /etc/rc1.d/initscript-name
...
rm -df /etc/rc6.d/initscript-name
rm -df /etc/init.d/initscript-name

OKKernel-Module ein- bzw. ausbinden
Eine Auflistung aller Module unter Angabe ihrer Beziehungen erhält man mit dem Terminal-Befehl lsmod.
Um den Rechner einmal mehr mausklick-schnell zu halten, sind alle nicht benötigten Module aus /etc/rc.modules auszutragen, während ihre Einbindung am Schluss der Datei mit &quto;modprobe Modulname" erfolgt.
Unserer Beispiel-Hardware siehe unter Datenblatt nach sind also die Kontroll-Module it87 und i2c-dev auszutragen und der im Schlussteil des Exkurses angesprochene Dienst lm_sensors zu deaktivieren.

OKGehen Sie nicht ins Internet, bevor Sie nicht bereit sind
Während der Installation sollten Sie das System nicht sofort mit dem Internet verbinden. Dies hört sich vielleicht komisch an, aber die Installation über das Netzwerk ist eine gängige Methode. Da das System einige Dienste installiert und diese sofort aktiviert werden, könnten Sie Ihr System für Angriffe öffnen, wenn das System mit dem Internet verbunden ist und die Dienste nicht geeignet konfiguriert sind.

OKLassen Sie so wenige Dienste wie möglich laufen
Dienste sind Programme wie FTP- und Web-Server. Da sie auf eingehende Verbindungsanfragen, die den Dienst anfordern, warten müssen, können sich externe Computer mit Ihrem Computer verbinden. Dienste sind manchmal verwundbar (das heißt, durch einen bestimmten Angriff kompromittierbar) und stellen dadurch ein Sicherheitsrisiko dar: portmap (NFS), automount (NFS, Netzwerk-Dateisystem), named (DNS), ftpd, rexec, rlogin, telnet, inetd, lpd (Drucksystem), smbd und nmbd (Samba), ...
https://www.tecmint.com/remove-unwanted-services-from-linux/

OKEin Passwort für LILO oder GRUB einstellen
Jeder kann sehr einfach eine Root-Shell auf Ihrem System bekommen, indem er einfach <Name-Ihres-Bootimages> init=/bin/sh am Bootprompt eingibt. Nachdem die Passwörter geändert und das System neu gestartet wurde, hat die Person uneingeschränkten Root-Zugang und kann nach Belieben alles auf Ihrem System machen. Nach dieser Prozedur haben Sie keinen Root-Zugang mehr zu Ihrem System, weil Sie das Root-Passwort nicht kennen.

OKumask (siehe man umask): Empfohlene Werte:
/etc/fstab: Option umask 077 u.a. für root- und home-Partition
~/.bashrc: umask 077 # für alle Benutzer
~/.bashrc-profile: umask 077 # für alle Benutzer
/etc/profile: umask 022 # um den Benutzern Lese- und Schreibzugriff zu gewähren

OKEntfernen des Root-Prompts aus dem Kernel
Hinweis: Dies trifft nicht auf Kernel zu, die in Debian 3.1 enthalten sind, da die Wartezeit auf Null verändert wurde.
Linux 2.4-Kernel bieten kurz nach dem Laden des Cramfs einen Weg, Zugriff auf eine Root-Shell zu bekommen, also während das System bootet. Es erscheint eine Meldung, die dem Administrator erlaubt, eine ausführbare Shell mit Root-Privilegien zu öffnen. Diese Shell kann dazu benutzt werden, manuell Module zu laden, falls die automatische Erkennung fehlschlägt. Dies ist das Standard-Verhalten bei initrds linuxrc. Die folgende Meldung wird erscheinen. Da wir FSE einsetzen, empfiehlt sich die Entfernung von rd.shell aus den Bootoptionen von grub /boot/menu/grub, analog grub2.

OKEinschränkung des System-Neustarts von der Konsole aus
Wenn eine Tastatur an Ihr System angeschlossen ist, kann es jeder (ja, wirklich jeder) mit physischem Zugang zu Ihrem System neu starten, ohne sich an Ihrem System anmelden zu müssen, einfach indem er die Tastenkombination Strg+Alt+Entf drückt (auch als Affengriff bekannt). Dies könnte gegen Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht).
Dies ist schwerwiegender, wenn das Betriebssystem in einer virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch auf Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch über das Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer solchen Umgebung diese Tastenkombination ständig verwendet wird (um in einigen grafischen Benutzeroberflächen eine Login-Shell zu öffnen), so dass ein Systemadministrator sie virtuell auslösen kann und das System neu startet.
Es gibt zwei Möglichkeiten, dies einzuschränken:
mit einer Konfiguration, mit der nur bestimmte Benutzer das System neu starten dürfen,
diese Eigenschaft vollständig zu deaktivieren.
Wenn Sie dies einschränken wollen, müssen Sie in /etc/inittab sicherstellen, dass die Zeile, die ctrlaltdel enthält, shutdown mit der Option -a aufruft.
Standardmäßig enthält Debian diese Optionen:

ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

OKFertigen Sie vor Änderungen in Konfigurationsdateien immer eine Sicherung an!
The -a switch, as the shutdown(8) manpage describes, makes it possible to allow some users to shutdown the system. For this the file /etc/shutdown.allow must be created and the administrator has to include there the name of users which can boot the system. When the three finger salute combination is pressed in a console the program will check if any of the users listed in the file are logged in. If none of them is, shutdown will not reboot the system.
OKWenn Sie die Tastenkombination Strg+Alt+Entf deaktivieren möchten, müssen Sie nur die Zeile mit ctrlaltdel in /etc/inittab auskommentieren.
Vergessen Sie nicht, init q auszuführen, nachdem Sie diese Datei bearbeitet haben, damit die änderungen wirksam werden.

OKEinschränkung der Tastenkombination "Magische S-Abf"
Die Tastenkombination Magische S-Abf (Magic SysRq) erlaubt es Benutzern einer Konsole eines Linux-Systems, bestimmte systemnahe Befehle auszuführen, indem gleichzeitig Alt+S-Abf und eine bestimmte Taste gedrückt wird. Die Taste S-Abf wird auf vielen Tastaturen mit Druck bezeichnet.
Seit der Veröffentlichung von Etch ist die Tastenkombination Magische S-Abf im Linux-Kernel aktiviert, damit die Benutzer einer Konsole bestimmte Privilegien erhalten können. Ob dies auf Ihr System zutrifft, erkennen Sie daran, ob /proc/sys/kernel/sysrq existiert, und an dessen Wert.
Sie sollten diese Fähigkeit deaktivieren, wenn der Zugang zur Konsole nicht auf angemeldete Benutzer beschränkt ist, nämlich wenn die Konsole an ein Modem angebunden ist, es leichten physischen Zugang zum System gibt oder es in einer virtuellen Umgebung läuft und andere Benutzer auf die Konsole zugreifen können. Dafür müssen Sie /etc/sysctl.conf bearbeiten und folgende Zeile einfügen:

# Schaltet die Magische S-Abf-Taste ab
kernel.sysrq = 0

OKWeitere Einstellungsmöglichkeiten mit PAM: Den Benutzerzugang absichern: Benutzerauthentifizierung: PAM
PAM (Pluggable Authentication Modules) erlaubt Systemadministratoren, auszuwählen, wie Anwendungen Benutzer authentifizieren. Beachten Sie, dass PAM nichts machen kann, solange die Anwendung nicht mit Unterstützung für PAM kompiliert wurde. Die meisten Anwendungen, die mit Debian geliefert werden, haben diese Unterstützung eingebaut. Vor Version 2.2 hatte Debian keine Unterstützung für PAM. Die derzeitige Standardkonfiguration für jeden Dienst, der PAM benutzt, ist es, UNIX-Authentifizierung zu emulieren (lesen Sie /usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz, um mehr darüber zu erfahren, wie PAM-Dienste unter Debian arbeiten sollten).
Jede Anwendung mit PAM-Unterstützung stellt eine Konfigurationsdatei unter /etc/pam.d/ zur Verfügung, in welcher Sie ihr Verhalten einstellen können:
- welches Verfahren zur Authentifizierung benutzt wird
- welches Verfahren innerhalb einer Sitzung benutzt wird
- wie Passwörter überprüft werden
Die folgende Beschreibung ist weit davon entfernt, vollständig zu sein. Für weitere Informationen können Sie die Linux-PAM Guides lesen. Diese Dokumentation ist auf Ihrem System unter /usr/share/doc/libpam-doc/html/ verfügbar, wenn Sie libpam-doc installieren.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html, Kapitel 4.11

OKAktionen bei der Benutzeranmeldung: Bearbeiten von /etc/login.defs (vorher sichern!)
Der nächste Schritt ist es, die grundlegende Konfiguration und die Aktionen bei der Benutzeranmeldung zu bearbeiten. Beachten Sie, dass diese Datei kein Bestandteil der PAM-Konfiguration ist. Sie ist eine Konfigurationsdatei, die von den Programmen Login und Su berücksichtigt wird. Es ist also wenig sinnvoll, sie auf Fälle abzustimmen, in denen keines der beiden Programme wenigstens indirekt aufgerufen wird (Das Programm Getty, welches auf der Konsole läuft und die anfängliche Anmeldeaufforderung zu Verfügung stellt, ruft Login auf).

FAILLOG_ENAB yes

Wenn Sie diese Variable einschalten, werden fehlgeschlagene Anmeldeversuche protokolliert. Es ist wichtig, hier auf dem Laufendem zu bleiben, um jemanden zu ermitteln, der einen Brute-Force-Angriff versucht.

LOG_UNKFAIL_ENAB no

Wenn Sie diese Variable auf "yes"; setzen, werden unbekannte Benutzernamen protokolliert, wenn eine Anmeldung scheitert. Es ist zu empfehlen, sie auf "no" (den Standard) zu belassen, da anderenfalls das Passwort eines Benutzers aufgezeichnet werden könnte (falls er nämlich versehentlich anstatt seines Benutzernames sein Passwort eingibt). Falls Sie sie dennoch auf "yes" setzen, müssen Sie sicherstellen, dass die Protokolldateien angemessene Zugriffsrechte haben (zum Beispiel 640, mit einer passenden Gruppenzugehörigkeit wie adm).

SYSLOG_SU_ENAB yes

Dies schaltet das Mitprotokollieren von su-Versuchen im Syslog ein. Sehr wichtig auf ernsthaft betriebenen Maschinen, aber beachten Sie, dass dies auch die Privatsphäre verletzen kann.

SYSLOG_SG_ENAB yes

Das gleiche wie bei SYSLOG_SU_ENAB, aber für das Programm Sg.

ENCRYPT_METHOD SHA512

Wie bereits erklärt, reduziert eine Verschlüsselung von Passwörtern die Gefahr von Wörterbuchangriffen erheblich, da Sie längere Passwörter benutzen können. Diese Definition muss mit dem Wert in /etc/pam.d/common-password übereinstimmen.

OKAktionen bei der Benutzeranmeldung: /etc/pam.d/login bearbeiten (vorher sichern!)
Sie können die Datei zur Konfiguration des Anmeldevorgangs anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich zur Standardkonfiguration erhöhen. Diese Standardvorgabe setzt eine Wartezeit von drei Sekunden:

auth optional pam_faildelay.so delay=3000000

Wenn Sie den Wert von delay erhöhen, wird es schwieriger, sich durch bloßes Ausprobieren von Passwörtern (brute force) erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort eingegeben wird, muss ein möglicher Angreifer (oder ein normaler Benutzer!) viele Sekunden warten, bis er wieder eine Eingabeaufforderung erhält, wodurch das Durchprobieren von Passwörtern sehr zeitaufwendig werden kann. So müssen etwa Benutzer bei delay=10000000 zehn Sekunden warten, wenn sie das falsche Passwort eingeben.

In dieser Datei können Sie auch einrichten, dass das System dem Benutzer vor einer Anmeldung eine Nachricht anzeigt. Standardmäßig ist dies deaktiviert, wie Sie hier sehen können:

# auth required pam_issue.so issue=/etc/issue

Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit dieser Datei eine Standardnachricht, dass der Zugang zum System beschränkt und der Benutzerzugang protokolliert wird, anzeigen lassen. Ein solcher Hinweis kann in bestimmten Regionen und nach der jeweiligen Rechtsprechung notwendig sein. Um dies zu aktivieren, müssen Sie nur die entsprechende Mitteilung in die Datei /etc/issue [30] eintragen und das Kommentarzeichen in der Zeile in /etc/pam.d/login entfernen, um das Modul pam_issue.so zu aktivieren. In dieser Datei können Sie weitere Einstellungen vornehmen, die für Ihre Sicherheit relevant sein könnten, wie zum Beispiel:

Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das System zugreifen kann, indem Sie das Modul pam_time.so aktivieren und /etc/security/time.conf entsprechend konfigurieren (standardmäßig deaktiviert),

den Anmeldevorgang so einrichten, dass Benutzerbegrenzungen, die in /etc/security/limits.conf definiert sind, verwendet werden (standardmäßig aktiviert),

dem Benutzer Informationen über die vorangegangene Anmeldung anzeigen (standardmäßig aktiviert),

nach erfolgter Anmeldung den Benutzern eine Nachricht (/etc/motd und /run/motd.dynamic) anzeigen (standardmäßig aktiviert).

OKFtp einschränken: bearbeiten von /etc/ftpusers
Die Datei /etc/ftpusers enthält eine Liste von allen Benutzern, denen es nicht erlaubt ist, sich auf dem Rechner mit Ftp einzuloggen. Benutzen Sie diese Datei nur, wenn Sie wirklich Ftp erlauben wollen (wozu im Allgemeinen nicht geraten wird, da es Klartext-Passwörter benutzt). Wenn Ihr Ftp-Daemon PAM unterstützt, können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu erlauben oder zu verbieten.

FIXME (FEHLER): Ist es ein Fehler, dass ftpusers in Debian standardmäßig nicht die Benutzer mit Administratorenrecht (in base-passwd) beinhaltet?

Folgender Befehl ist ein bequemer Weg, alle Systemkonten zu /etc/ftpusers hinzuzufügen:

DOLLARSIGN awk -F : ´{if (DOLLARSIGN3<1000) print DOLLARSIGN1}´ /etc/passwd > /etc/ftpusers

OK/etc/security/access.conf (System mausklick-schnell; Datei vorher sichern!):
Wie in /etc/security/access.conf bereits in einkommentierter Form angegeben, nun übertragen auf root und einzelne Systembenutzer und lokale Benutzer:

# User "root" should be denied to get access from all other sources.
- : root : ALL
- : user : ALL
- : surfuser : ALL
- : toruser : ALL
- : surfuser: ALL
- : wheel:ALL EXCEPT LOCAL
- : toruser : ALL
- : lp : ALL # not for printer server
- : user : ALL
- : toruser : ALL
- : uuidd : ALL
- . messagebus: ALL
- : ftp : ALL
- : mail : ALL
- : pop3ad : ALL
- : bin : ALL
- : daemon : ALL
- : adm : ALL
- : sync : ALL
- : halt : ALL
- : news : ALL
# Gehe so für möglicherweise alle Benutzer vor, um sie vor Zugriff von außen zu schützen.
: ALL : ALL

OKVerhindere unbenötigte SUID- und SGID-Binärdateien
Alle Dateien mit gesetzten SUID/SGID-Bits können missbraucht werden, wenn die unter SUID/SGID ausführbare Datei ein Sicherheitsproblem oder Bug hat. Alle lokalen Benutzer und Benutzer mit Fernzugriff können diese Dateien missbrauchen. Finde solche Dateien heraus, indem das Kommando find angewandt wird wie folgt:
# Suche alle SUID-Dateien:
find / -perm +4000
# Suche alle SGID-Dateien
find / -perm +2000
# Oder kombiniere die Suche in einem einzigen Kommando:
find / ( -perm -4000 -o -perm -2000 ) -print
find / -path -prune -o -type f -perm +6000 -ls

Ananlysiere die dabei entstehenden Dateien.
https://www.cyberciti.biz/tips/linux-security.html

OKHow to Remove (Delete) Symbolic Links in Linux, linuxize.com, 09.05.2019
A symbolic link, also known as a symlink, is a special type of file that points to another file or directory. It is something like a shortcut in Windows. A symlink can point to a file or a directory on the same or a different filesystem or partition.
In this guide, we will show you how to remove (delete) symbolic links in Linux/UNIX systems using the rm, unlink, and find commands.
...
find /path/to/directory -maxdepth 1 -xtype l
https://linuxize.com/post/how-to-remove-symbolic-links-in-linux/

OKSafe-Linking: Making Linux exploitation harder, itweb.co.za, 22.05.2020
Businesses and users alike are constantly on the lookout for easier ways to do things, and shortcuts that help us work faster and with less effort. Unfortunately, bad actors are no different, and are always hunting for existing vulnerabilities or weaknesses, that can be exploited.
[...] A good example of this would be memory corruption attacks, which are often employed to exploit programs written in Linux, the most widely-used open source operating system in the world.
With this in mind, Check Point has created Safe-Linking, a security mechanism to protect the internal structure of the heap - or the portion of memory that is not set to a constant size before compilation and can be controlled dynamically by a programmer - from being tampered with.
[...] Simply put, Safe-Linking removes the address data for the program, so the bad actor can no longer be sure where in the system´s memory it will be loaded - making it much harder for them to launch an exploit against the program,” the company adds.
https://www.itweb.co.za/content/Kjlyrvw1ejVMk6am
https://reportcybercrime.com/safe-linking-making-linux-exploitation-harder/

Check Point schließt 20 Jahre alte Sicherheitslücke in Linux, trojaner-info.de, 26.05.2020
Das Check Point Research Team führt eine neue Schutzmaßnahme für das Betriebssystem ein, die sich Safe-Linking nennt. Uralte Schwachstelle endlich geschlossen.
Das Check Point Research Team führt eine neue Sicherheitsmethode ein, um Linux-Systeme um einiges sicherer zu machen. Den Sicherheitsforschern gelang es, eine 20 Jahre alte und bestens bekannte Sicherheitslücke endlich zu schließen.
https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/check-point-schliesst-20-jahre-alte-sicherheitsluecke-in-linux.html

[...] In our latest research, we created a security mechanism, called "Safe-Linking", to protect malloc()´s single-linked lists from tampering by an attacker. We successfully pitched our approach to maintainers of core open-source libraries, and it is now integrated into the most common standard library implementation: glibc (Linux) and its popular embedded counterpart: uClibc-NG.
https://www.terabitweb.com/2020/05/21/safe-linking-eliminating-a-20-year-old-malloc-exploit-primitive/

OKSetzen der Syncookies
Diese Option ist ein zweischneidiges Schwert. Auf der einen Seite schützt es Ihr System vor dem Überfluten mit syn-Paketen. Auf der anderen Seite verletzt es definierte Standards (RFCs).

net/ipv4/tcp_syncookies = 1

Wenn Sie das dauerhaft für den Kernel festlegen wollen, müssen Sie in /etc/network/options syncookies=yes festlegen (Debian). Jedes Mal, wenn /etc/init.d/networking ausgeführt wird (was typischerweise beim Booten geschieht), wird diese Option wirksam. Dagegen wird folgendes nur eine einmalige Wirkung bis zum nächsten Neustart haben:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies (Aufruf z.B. über /etc/rc.local)

oder setze dieses und andere Parameter zur Netz-Schnittstellenabsicherung in /etc/sysctl.conf:
net.ipv4.tcp_syncookies = 1

OKLösung des Problems der Weak-End-Hosts
Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken können Dienste so eingerichtet werden, dass sie Verbindungen nur zu einer bestimmten IP-Adresse zulassen. Normalerweise verhindert das den Zugang zu diesen Diensten, wenn an sie Anfragen über andere Adressen gestellt werden. Allerdings bedeutet das nicht, dass der Dienst an eine bestimmte Hardware-Adresse (Netzwerkkarte) gebunden ist (ein verbreiteter Irrtum).
Das ist kein Problem von ARP und auch keine Verletzung eines RFCs (es wird in RFC1122, Abschnitt 3.3.4.2 als weak end host bezeichnet). Vergessen Sie nicht, dass IP-Adressen nichts mit dem physischen Schnittstellen zu tun haben.
Im Kernel 2.2 (und davor) konnte dieses Problem so gelöst werden:

echo 1 > /proc/sys/net/ipv4/conf/all/hidden
echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden
echo 1 > /proc/sys/net/ipv4/conf/eth1/hidden
.....

Bei späteren Kernel kann das folgendermaßen gelöst werden:
Regeln für iptables
richtig konfiguriertes Routing oder
Patchen des Kernels

Along this text there will be many occasions, in which it is shown, how to configure some services (sshd server, apache, printer service...) in order to have them listening on any given address, the reader should take into account that, without the fixes given here, the fix would not prevent accesses from within the same (local) network.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKSchutz vor ARP-Angriffen
Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen.
Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe RFC826). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ...
Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison.
Allerdings gibt es immer eine Lösung:

Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie "statische" Einträge in Ihrem ARP-Speicher:

arp -s host_name hdwr_addr

Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert.
Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu arpwatch, karpski oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie snort oder prelude, einsetzen.
Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKDie Nutzung von Tcpwrappern
TCP wrappers were developed when there were no real packet filters available and access control was needed. Nevertheless, they´re still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at hosts_access.
Viele der unter Debian installierten Dienstewerden entweder durch den TCP-Wrapper Service (tcpd) aufgerufen oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert.
Einerseits werden Sie bei manchen Diensten (einschließlich telnet, ftp, netbios, swat und finger), die in /etc/inetd.conf konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst /usr/sbin/tcpd aufruft. Andererseits, selbst wenn ein Dienst nicht über den inetd-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind ssh, portmap, in.talk, rpc.statd, rpc.mountd, gdm, oaf (der GNOME-Aktivierungs-Daemon), nessus und viele andere.

Um herauszufinden, welche Pakete TCP-Wrapper benutzen[37], geben Sie Folgendes ein:

DOLLARSIGN apt-cache rdepends libwrap0

Beachten Sie bitte Folgendes, wenn Sie tcpchk (ein sehr nützliches Programm zur Überprüfung der TCP-Wrapper-Konfiguration und -Syntax) laufen lassen. Wenn Sie Stand-Alone-Dienste (alleinstehende Dienste, also solche, die direkt mit der Wrapper-Bibliothek verbunden sind) der host.deny- oder host.allow-Datei hinzufügen, wird tcpchk Sie warnen, dass er sie nicht finden kann, da er sie nur in /etc/inetd.conf sucht (die Handbuchseite ist an dieser Stelle nicht sehr genau).

Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Eindringlingen: Im Allgemeinen sollten Sie eine anständige Firewall als erste und TCP-Wrapper als zweite Verteidigungslinie haben. Der Trick besteht nun darin, ein SPAWN-Kommando [38] in /etc/hosts.deny einzutragen, das immer dann eine Mail an Root schickt, wenn ein Dienst abgewiesen wurde:

ALL: ALL: SPAWN (
echo -e "n
TCP Wrappers: Verbindungsaufbau abgelehntn
Von: DOLLARSIGN(uname -n)n
Prozess: %d (pid %p)n
Benutzer: %un
Host: %cn
Datum: DOLLARSIGN(date)n
" | /usr/bin/mail -s "Verbindung zu %d blockiert" root) &

Achtung: Das obige Beispiel kann sehr leicht zu DoS (Denial of Service, Verbindungsaufbau abgelehnt) führen, indem man versucht, sehr viele Verbindungen in kurzer Zeit aufzubauen. Viele E-Mails bedeuten viel Dateiaktivität, die lediglich durch das Senden von ein paar Paketen erreicht wird. ppers were developed when there were no real packet filters available and access control was needed. Nevertheless, they´re still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at hosts_access.
Viele der unter Debian installierten Dienste werden entweder durch den TCP-Wrapper Service (tcpd) aufgerufen,
oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert.
Einerseits werden Sie bei manchen Diensten (einschließlich telnet, ftp, netbios, swat und finger), die in /etc/inetd.conf konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst /usr/sbin/tcpd aufruft. Andererseits, selbst wenn ein Dienst nicht über den inetd-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind ssh, portmap, in.talk, rpc.statd, rpc.mountd, gdm, oaf (der GNOME-Aktivierungs-Daemon), nessus und viele andere.
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKAbsichern von FTP
Wenn Sie wirklich FTP benutzen müssen (ohne ihn mit sslwrap zu umhüllen oder innerhalb eines SSL- oder SSH-Tunnels), sollten Sie ftp in das Home-Verzeichnis der FTP-Benutzer mit chroot einsperren, so dass diese nichts anderes sehen können als ihr eigenes Verzeichnis. Andernfalls können sie die Wurzel Ihres Dateisystems durchforsten, als hätten sie Shell-Zugriff darauf. Sie können die folgende Zeile in Ihre proftpd.conf-Datei im globalen Abschnitt hinzufügen, um die chroot-Fähigkeiten zu nutzen:

DefaultRoot ~ # gftp: /usr/share/gftp/gftprc local_startup_directory=~ resp. local_startup_directory=/tmp2

Starten Sie ProFTPd neu, indem Sie /etc/init.d/proftpd restart eingeben, und prüfen Sie, ob Sie noch aus Ihrem Home-Verzeichnis heraus kommen können.
Um ProFTPd-DoS-Angriffe durch ../../../ zu verhindern, fügen Sie die folgende Zeile Ihrer /etc/proftpd.conf hinzu: DenyFilter *.*/
Vergessen Sie nicht, dass FTP Login- und Authentifizierungs-Passwort als Klartext sendet (dies ist kein Problem, wenn Sie einen anonymen, öffentlichen Dienst anbieten) und es gibt bessere Alternativen in Debian hierzu. Zum Beispiel sftp (aus dem Paket ssh). Es gibt auch freie Implementierungen von SSH für andere Betriebssysteme, zum Beispiel putty oder cygwin.
Wenn Sie dennoch einen FTP-Server verwalten, während Sie den Benutzern Zugriff via SSH gewähren, könnten Sie auf ein typisches Problem stoßen. Benutzer, die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP-Server zugreifen wollen, können versuchen, sich auf dem FTP-Server einzuloggen. Während der Zugriff verweigert werden wird, wird das Passwort trotzdem als Klartext über das Netz gesendet. Um dies zu verhindern, hat der ProFTPd-Entwickler TJ Saunders einen Patch erstellt, der verhindert, dass Benutzer den anonymen FTP-Server mit gültigen SSH-Zugangsdaten füttern. Mehr Informationen und den Patch finden Sie unter: ProFTPD Patches. Dieser Patch wurde auch an Debian gesandt, vergleiche Fehler #145669.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKtcp_wrapper for server

With this package you can monitor and filter incoming requests for the SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, and other network services.
It supports both 4.3BSD-style sockets and System V.4-style TLI. Praise yourself lucky if you don´t know what that means.
The package provides tiny daemon wrapper programs that can be installed without any changes to existing software or to existing configuration files. The wrappers report the name of the client host and of the requested service; the wrappers do not exchange information with the client or server applications, and impose no overhead on the actual conversation between the client and server applications.
Optional features are: access control to restrict what systems can connect to what network daemons; client user name lookups with the RFC 931 etc. protocol; additional protection against hosts that pretend to have someone elses host name; additional protection against hosts that pretend to have someone elses host address.

OKAbsichern von Squid
Squid ist einer der verbreitetsten Proxy/Cache-Server und es gibt ein paar Sicherheitsaspekte, die Sie beachten sollten. Squids Standard-Konfiguration lehnt alle Anfragen von Benutzern ab. Dennoch erlaubt das Debian-Paket Zugriff von "localhost", Sie müssen nur Ihren Browser richtig konfigurieren. Sie sollten Squid so konfigurieren, dass er Zugriffe von vertrauenswürdigen Benutzern, Computern oder Netzwerken erlaubt, indem Sie eine Zugriffs-Kontroll-Liste (ACL, Access Control List) in /etc/squid/squid.conf definieren. Mehr Informationen, wie Sie ACLs definieren, finden Sie im Squid User´s Guide. Ein gute deutsche Dokumentation ist das Squid-Handbuch. Beachten Sie, dass Debian eine minimale Konfiguration für Squid bereitstellt, die alles verhindert, mit der Ausnahme, dass localhost sich mit Ihrem Proxy-Server (der standardmäßig mit dem Port 3128 läuft) verbinden kann. Sie müssen Ihre /etc/squid/squid.conf-Datei wie gewünscht anpassen. Die empfohlene minimale Konfiguration (mit dem Paket vertrieben) sieht wie folgt aus:

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
(...)
# Erlaube nur cachemgr Zugriff von localhost
http_access allow manager localhost
http_access deny manager
# Erlaube nur purge Anfragen von localhost
http_access allow purge localhost
http_access deny purge
# Verbiete Anfragen zu unbekannten Ports
http_access deny !Safe_ports
# Verbiete CONNECT zu anderen als SSL-Ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
#Default:
# icp_access deny all
#
#Allow ICP queries from everyone icp_access allow all

Sie sollten Squid auch entsprechend Ihren System-Ressourcen konfigurieren einschließlich des Cache-Speichers (Option cache_mem), der Lage der zwischengespeicherten Dateien und der verwendeten Speichermenge auf der Platte (Option cache_dir).
Beachten Sie, dass es bei ungeeigneter Konfiguration vorkommen kann, dass jemand eine Mail über Squid weiterleitet, da die Protokolle HTTP und SMTP ein ähnliches Design haben. Squids Standardkonfiguration verweigert Zugriffe auf Port 25. Wenn Sie Verbindungen an Port 25 erlauben wollen, fügen Sie ihn einfach zu der Safe_ports-Liste hinzu. Dies ist aber NICHT empfohlen.
Passendes Aufsetzen und Konfigurieren des Proxy/Cache-Servers ist nur ein Teil der Absicherung Ihrer Site. Eine andere notwendige Aufgabe ist es, Squids Log-Dateien zu analysieren, um sicher zu gehen, dass alles so arbeitet, wie es soll. Es gibt ein paar Pakete in Debian GNU/Linux, die einem Administrator hierbei helfen können. Die folgenden Pakete sind in Debian 3.0 (Woody) und Debian 3.1 (Sarge) verfügbar:

calamaris - Log-Datei-Analysator für Squid- oder Oops-Proxy-Log-Dateien

modlogan - ein modularer Log-Datei-Analysator

sarg - Squid Analysis Report Generator

squidtaild - Squid-Log-Beobachtungsprogramm

Wenn Squid im "Accelerator Mode" betrieben wird, agiert er auch als Web-Server. Aktivieren dieser Option erhöht die Komplexität des Codes, was ihn weniger vertrauenswürdig macht. Standardmäßig ist Squid nicht dazu konfiguriert, als Web-Server zu arbeiten, Sie müssen sich darüber also keine Gedanken machen. Sie sollen sicher sein, dass es wirklich nötig ist, wenn Sie diese Eigenschaft nutzen wollen. Weitere Informationen über den "Accelerator Mode" in Squid finden Sie im Squid User´s Guide - Accelerator Mode.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKSafeguard against RPC-services
Deactivate RPC (or deinstall them), if unneeded.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKBoot-Bremse kernel oder haldaemon (hal, hald)?
Der haldaemon bzw. hal der Mandriva-Derivate sowie von CentOS 6 ist eine enorme Bremse beim Systemboot und Herunterfahren des Systems. Der Kernel (4.20.13) oder er macht beim Start um die 40 bis 70 Sekunden mehr oder weniger Pause.
Konfiguration von hal:

/etc/hal.conf
<!-- This configuration file controls the Hardware Abstraction Layer
daemon - it is meant that OS vendors customize this file to reflect
their desired policy.
-->

<haldconfig>

<!-- If true, then the device list is saved to disk such that
properties are kept between invocations of hald.
-->
<persistent_device_list>false</persistent_device_list>

<!-- Default value for storage.media_check_enabled for devices of
capability storage - this can be overridden by .fdi files.

Setting this to false results a whitelist policy, e.g. media
check is only enabled for storage devices with a .fdi file
saying so.

Conversely, setting it to true results in a blacklist policy
where media check is enabled by default but may be overridden
by a .fdi for devices causing trouble.
-->
<storage_media_check_enabled>true</storage_media_check_enabled>

<!-- Default value for storage.automount_enabled_hint for devices of
capability storage - this can be overridden by .fdi files.

Setting this to false results a whitelist policy, e.g. policy
agents should only automount storage devices with a .fdi file
saying so.

Conversely, setting it to true results in a blacklist policy
where policy agents should always automount unless this is
explicitly overridden by .fdi for devices causing trouble.
-->
<storage_automount_enabled_hint>true</storage_automount_enabled_hint>
https://www.thegeekdiary.com/linux-os-service-haldaemon/

Deprecated
As of 2011, Linux distributions such as Ubuntu,[5] Debian,[6] and Fedora and on FreeBSD,[7] and projects such as KDE,[8] GNOME and X.org are in the process of deprecating HAL as it has "become a large monolithic unmaintainable mess".[5] The process is largely complete, but some use of HAL remains - Debian squeeze (Feb 2011) and Ubuntu version 10.04 remove HAL from the basic system and boot process.[9] In Linux, it is in the process of being merged into udev (main udev, libudev, and udev-extras) and existing udev and kernel functionality. The replacement for non-Linux systems such as FreeBSD is devd.
Initially a new daemon DeviceKit was planned to replace certain aspects of HAL, but in March 2009, DeviceKit was deprecated in favor of adding the same code to udev as a package: udev-extras, and some functions have now moved to udev proper.
https://en.wikipedia.org/wiki/HAL_(software)

Disabling useless daemons in RHEL/Centos/Oracle 6 servers
HAL provides valuable attack surfaces to attackers as an intermediary to privileged operations and should be disabled unless necessary: # chkconfig haldaemon off.
www.softpanorama.org/Commercial_linuxes/RHEL/Daemons/removing_daemons_in_rhel6.shtml

Disabling useless daemons in RHEL/Centos/Oracle 6 servers
HAL provides valuable attack surfaces to attackers as an intermediary to privileged operations and should be disabled unless necessary: # chkconfig haldaemon off.
The hald - Hardware Access Layer Daemon - runs several processes in order to keep track of what hardware is installed on your system. This includes polling USB Drives and ´hot-swap´ devices to check for changes along with a host of other tasks.
You might see it running on your system as follows:
2474 ? S 0:00 \_ hald-runner
2481 ? S 0:00 \_ hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
2487 ? S 0:00 \_ hald-addon-keyboard: listening on /dev/input/event0
2495 ? S 41:47 \_ hald-addon-storage: polling /dev/hdc

If your system is static and the devices do not change, you can actually disable this service using a policy entry.
Create a file in your policy directory, for example /etc/hal/fdi/policy/99-custom.fdi. Add the text:

hald-addon-storage

Save and reload the hald using /etc/init.d/haldaemon restart.
And you will find that service no longer is polling your hardware.
Of course to turn it back on, remove that policy entry and restart the haldaemon again, it will be back in service.
Solution Credit: Linuxforums User cn77
www.softpanorama.org/Commercial_linuxes/RHEL/Daemons/removing_daemons_in_rhel6.shtml

udev-Regel für PS/2-mouse (optische Maus von Logitech®)
... folgt aus "udevadm info -a -p /devices/platform/i8042/serio1/input/input12"
/etc/udev/rules.d/10-ps2mouse.rules
KERNEL=="input12" SUBSYSTEM=="input" DRIVER=="" ATTR{uniq}=="" ATTR{properties}=="1" ATTR{phys}=="isa0060/serio1/input0" ATTR{name}=="ImExPS/2 Logitech Wheel Mouse" ATTR{modalias}=="input:b0011v0002p0006e0063-e0,1,2,k110,111,112,113,114,r0,1,6,8,amlsfw"
KERNELS=="serio1" SUBSYSTEMS=="serio" DRIVERS=="psmouse" ATTRS{resetafter}=="5" ATTRS{resolution}=="200" ATTRS{description}=="i8042 AUX port" ATTRS{firmware_id}=="PNP: PNP0f03 PNP0f13" ATTRS{protocol}=="ImExPS/2" ATTRS{rate}=="100" ATTRS{bind_mode}=="auto" ATTRS{resync_time}=="0" ATTRS{modalias}=="serio:ty01pr00id00ex00"

OKhaveged
The haveged project is an attempt to provide an easy-to-use, unpredictable random number generator based upon an adaptation of the HAVEGE algorithm. Haveged was created to remedy low-entropy conditions in the Linux random device that can occur under some workloads, especially on headless servers.

OKAbsichern des Druckerzugriffs (die lpd- und lprng-Problematik)
Stellen Sie sich vor, Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus, weil jemand eine DoS-Attacke gegen Ihren Drucker-Daemon durchführt. Unangenehm, oder?
In jeder UNIX-Druck-Architektur muss es einen Weg geben, um die Daten des Clients zu dem Druck-Server zu schicken. Traditionell machen dies lpr und lp so, dass das Client-Kommando die Daten in das Spool-Verzeichnis kopiert oder symbolisch verlinkt (weshalb diese Programme normalerweise SUID oder SGID sind).
Um jede Gefahr zu vermeiden, sollen Sie Ihren Druck-Server besonders sicher halten. Dies heißt, dass Sie Ihren Druckdienst so konfigurieren müssen, dass er nur Aufträge von vertrauenswürdigen Rechnern annimmt. Hierzu müssen Sie die Rechner, von denen Sie Druckaufträge entgegennehmen möchten, in die Datei /etc/hosts.lpd eintragen.
Allerdings akzeptiert der lpr-Daemon auch, wenn Sie dies getan haben, Verbindungen auf Port 515 auf jeder Schnittstelle. Sie sollten sich überlegen, ob Sie Verbindungen von Netzwerken/Rechnern, die nicht drucken dürfen, mittels Firewall blocken wollen (der lpr-Daemon kann nicht so konfiguriert werden, dass er nur auf eine bestimmte IP-Adresse lauscht).
Sie sollten Lprng gegenüber lpr vorziehen, da er so konfiguriert werden kann, dass er Zugangskontrolle über IP beherrscht. Und Sie können spezifizieren, auf welche Schnittstelle er sich binden soll (wenn auch etwas sonderbar).
Wenn Sie Ihren Drucker nur lokal auf Ihrem System benutzen, werden Sie diesen Dienst nicht über ein Netzwerk anbieten wollen. Sie sollten dann überlegen, ein anderes Druck-System, wie zum Beispiel das aus dem Paket cups oder PDQ, das auf den Zugriffsrechten des Gerätes /dev/lp0 beruht, einzusetzen.
Bei cups werden die Druckaufträge mit dem HTTP-Protokoll zum Server übertragen. Dadurch muss der Client nicht über spezielle Privilegien verfügen, aber dies erfordert, dass der Server auf irgendeinem Port lauscht.
Wenn Sie cups jedoch nur lokal benutzen möchten, können Sie ihn so konfigurieren, dass er nur auf der Loopback-Schnittstelle lauscht, indem Sie Folgendes in Ihrer /etc/cups/cupsd.conf ändern:

Listen 127.0.0.1:631 # ... funktioniert möglicherweise nicht, verwende stattdessen: "Port 631" und "Listen /var/run/cups/cups.sock".

Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei, wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern. Wenn Sie sie allerdings nicht benötigen, belassen Sie es am besten dabei, einfach nur den Port, auf dem gelauscht wird, einzuschränken. Cups liefert auch Dokumentation über den HTTP-Port. Wenn Sie diese potenziell nützlichen Informationen einem Angreifer von außerhalb nicht enthüllen wollen (und der Port offen ist), fügen Sie außerdem Folgendes hinzu:

>Location /<
Order Deny,Allow
Deny From All
Allow From 127.0.0.1 # oder probiere "Allow @LOCAL"
>/Location<

Die Konfigurationsdatei kann so angepasst werden, dass zusätzliche Fähigkeiten einschließlich SSL- und TLS-Zertifikate oder Verschlüsselung möglich werden. Die Handbücher finden Sie unter http://localhost:631/ oder http://cups.org.
FIXME: Add more content (the article on Amateur Fortress Building provides some very interesting views).
FIXME: Check if PDG is available in Debian, and if so, suggest this as the preferred printing system.
FIXME: Check if Farmer/Wietse has a replacement for printer daemon and if it´s available in Debian.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKAbsichern von SSH, des Mail-Dienstes, BIND, Apache, Finger und NIS deaktivieren
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

OKWichtige Zugriffsrechte mit jedem Systemstart, Bedeutung von Gruppen im UNIX-/Linux-Dateisystem
Sie können Dateien und Verzeichnisse mit unbeschränkten Zugriffsrechten einfach ausfindig machen und benötigen dazu noch nicht mal root-Rechte.
Das Kommando

find / -path /proc -prune -o -type f -perm 666

findet alle Dateien im gesamten Dateisystem, ausgenommen "/proc", die von allen gelesen und beschrieben werden dürfen. Ferner listet

find / -path /proc -prune -o -type f -perm 777

alle Dateien auf, die dazu noch ausführbar sind. Genauso findet

find / -path /proc -prune -o -type d -perm 777

Verzeichnisse, die zum Lesen und Schreiben offenstehen.

Anstatt für Dateien und Verzeichnisse uneingeschränkten Vollzugriff zu setzen, ist es besser, Gruppen für gemeinsam genutzte Dateien zu verwenden. Der Befehl

chgrp [Gruppe] [Datei/Verzeichnis]
https://www.pcwelt.de/ratgeber/Sechs-wichtige-Sicherheitstipps-Linux-Server-9940087.html#6

OKDDoS-Schutzdienst:
Der DDoS-Schutzdienst ist in der Lage, selbst die komplexesten DDoS-Angriffe abzuwehren.
https://en.wikipedia.org/wiki/Denial-of-service_attack#Distributed_attack
https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/
https://us.norton.com/internetsecurity-emerging-threats-what-is-a-ddos-attack-30sectech-by-norton.html
https://www.digitalattackmap.com/understanding-ddos/

OKLastverteilung:
Der Lastenausgleich geht häufig mit Ausfallsicherheitsmechanismen einher: Indem Sie einen Cluster mit der entsprechenden Kapazität aufbauen und die Anforderungen auf einzelne Systeme verteilen, können Sie die Ausfallsicherheit erhöhen Ausfallsicherheit, wenn der Ausfall eines Systems erkannt wird und die Anforderungen automatisch an ein anderes System gesendet werden.
https://de.wikipedia.org/wiki/Lastverteilung_(Informatik)
https://www.nginx.com/resources/glossary/load-balancing/

OKHMAC authentication
HMAC stands for keyed-hash message authentication code. A message authentication code protects against the modification of transmitted data by an attacker, who can read the data in real time. TLS use hash values (hence the H in HMAC) out of the numerous possibilities for the reliable authentication of messages.
https://en.wikipedia.org/wiki/HMAC

HMAC Authentication in Web API - Dot Net Tutorials
Understanding the Keys used in HMAC Authentication. Uses of HMAC Authentication in Web API. How does the HMAC Authentication work?
https://dotnettutorials.net/lesson/hmac-authentication-web-api/

What is HMAC authentication and how does it make VPN safer?
HMAC stands for hashed message authentication code and is an important factor in VPN security. Learn why strong HMAC auth matters for VPN security.
https://protonvpn.com/blog/hmac-authentication/

OKStation-to-Station (STS) protocol, Cipher Block Chaining:
CBC stands for Cipher Block Chaining, which is every message depending on the previous passes. So can yourself short interruptions of the channel can be quickly noticed. Diffie-Hellman key exchange:
https://en.wikipedia.org/wiki/Diffie-Hellman_key_exchange A symmetric encryption scheme is used, the key of which is the negotiation of Diffie-Hellman key exchanges with elliptic curves. The server and the app use intelligent math to negotiate and verify the secret key, which is then used to encrypt the data for the entire session. Station-to-Station (STS) protocol: https://en.wikipedia.org/wiki/Station-to-Station_protocol In public-key cryptography, the Station-to-Station (STS) protocol is a cryptographic key agreement scheme. The protocol is based on classic Diffie-Hellman, and provides mutual key and entity authentication. Unlike the classic Diffie-Hellman, which is not secure against a man-in-the-middle attack, this protocol assumes that the partieOKs have signature keys, which are used to sign messages, thereby providing security against man-in-the-middle attacks. In addition to protecting the established key from an attacker, the STS protocol uses no timestamps and provides perfect forward secrecy. It also entails two-way explicit key confirmation, making it an authenticated key agreement with key confirmation (AKC) protocol.
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#CBC


OKPretty Good Privacy
PGP encryption uses a serial combination of hashing, data compression, symmetric-key cryptography, and finally public-key cryptography; each step uses one of several supported algorithms. Each public key is bound to a username or an e-mail address. The first version of this system was generally known as a web of trust to contrast with the X.509 system, which uses a hierarchical approach based on certificate authority and which was added to PGP implementations later. Current versions of PGP encryption include both options through an automated key management server.
https://en.wikipedia.org/wiki/Pretty_Good_Privacy

OKPerfect Forward Secrecy
With Perfect Forward Secrecy, even if a dedicated opponent is somehow able to attack the computer or server during a session, they will not be able to decrypt traffic from past sessions. The provider uses namely with each connection a new secret key. Even if you remain connected to the Server for a long period of time, the provider automatically changes the key every 60 minutes. This key renewal process every 60 minutes guarantees "Forward Secrecy". So if an attacker succeeds in compromising the key, in the worst case scenario, he could track the data for up to 60 minutes. Then everything is secret again.
https://en.wikipedia.org/wiki/Forward_secrecy

OKShadowsocks SOCKS5 proxy (all servers) Shadowsocks Proxy can be used by the provider through the application (Mac OS X, Windows, Linux, iOS, Android, Windows 10 Mobile). In addition, there is an advantage that "shadow socks" can not even be blocked in highly restrictive networks.
https://shadowsocks.org/en/index.html

OKSmart DNS Proxy (all servers)
There are currently two common ways to circumvent geo-blocks of foreign video-on-demand services such as Hulu, Netflix or Vudu. The first way is to use SmartDNS services. The term SmartDNS hides on innovative technology that has been specifically designed to bypass the geo-blocking barrier. To configure the SmartDNS service, there is only a minimal change to the TCP/IP properties of the network connection. Then, the user can freely use many suspended streaming services regardless of their current whereabouts.
http://www.unblock.ch/smart-dns-anbieter/

OKDNS-Leak:
Eigene DNS-Server ohne Festplatten (RAM-Disk). Zusätzlich werden OpenDNS-Server (IPv6) verwendet (Auswahlmöglichkeit in den Einstellungen). Der Dienst schützt zuverlässig vor dem bekannten DNS-Leck.
https://www.hongkiat.com/blog/creating-ram-drives/
https://www.tomshardware.com/news/what-we-know-ddr5-ram,39079.html
https://www.opendns.com/about/innovations/ipv6/

OKIP-Leak:
Eine eigene Software verhindert zuverlässig Angriffe bekannter DNS-Leak-Methoden.

OKWebRTC-Leak:
Der Service schützt zuverlässig vor dem bekannten WebRTC-Leak-Problem.

OKSpeicherschutz-Funktion (Schutz vor Serverausfällen):
Diese Funktion ist in der Lage, den verfügbaren Arbeitsspeicher so aufzuteilen und laufende Programme so voneinander zu trennen, dass ein Programmierfehler oder Absturz eines einzelnen Programms nicht die Stabilität anderer Programme oder des Gesamtsystems beeinträchtigt (Speicherschutz-Mechanismus).
Serverausfall (Schutzmöglichkeiten):
Unterspannungsschutz (UVP)
Überspannungsschutz (OVP)
Kurzschlusssicherung (SCP)
Überlastschutz (OPP)
Überstromschutz (OCP)
Überhitzungsschutz (OTP)
Japanische 105°ree;C Kondensatoren (Lebensdauer vom Netzteil)
Brandmelder (im Serverraum eingebaut)
Diese Schutzfunktionen (Netzteil) können die meisten Serverausfälle verhindern.

OKAnmeldeverfahren, Zwei-Faktor-Authentifizierung (TOTP)
Two factor authentication can be implemented for SSH access or other application login, it will improve login security by adding a second factor of authentication, that is the password is typically known as something you know, while the second factor may be a physical security token or mobile device which acts as something you have. The combination of something you know and something you have ensures that you are more likely who you say you are.

There are custom applications available for this such as Duo Securityand Google Authenticator as well as many others. These typically involve installing an application on a smart phone and then entering the generated code alongside your username and password when you authenticate.
Google Authenticator can be used for many other applications than just SSH, such as for WordPress login with third party plugin support.
https://www.rootusers.com/23-hardening-tips-to-secure-your-linux-server/
4096 bit Verschlüsselung/Elliptische-Kurven-Kryptografie (Anmeldeverschlüsselungsarten)/
Zwei-Faktor-Authentifizierung/Verbindung (SSL/TLS Verschlüsselung)/Volle IPv6
Unterstützung/HMAC-Authentifizierung/Cipher Block Chaining/Diffie-Hellman-Schlüsselaustausch/STS-Protokoll (Station-to-Station)/Pretty Good Privacy/Perfect Forward
Secrecy/Verschlüsselungstool (Cloud Storage/Backup)/Failure Backup-Lösung/NAT-Firewall/
DDoS-Schutzdienst/Lastverteilung/DNS-Leak/IP Leak/WebRTC Leak/WebRTC Leak/
Windows Login Leak/Künstliche Intelligenz (NeuroRouting™)/Zero-Knowledge-Beweis/
Fiat-Shamir-Protokoll/Schnorr-Identifikation/SecureCore-Funktion (Sicherheitskern)/
4096 bit Verschlüsselung:
https://www.pcwelt.de/ratgeber/Verschluesselung_-_Was_ist_noch_unknackbar_-Sicherheits-Check-8845011.html
https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen-zu-Verschluesselung-und-Verfahren-3221002.html?seite=all
Diese sind für die Verschlüsselung empfehlenswert.
Hochsichere Elliptische-Kurven-Kryptografie (Anmeldeverschlüsselungsarten):
https://de.wikipedia.org/wiki/Elliptic_Curve_Cryptography
https://www.heise.de/select/ix/2017/3/1487529933065685
https://www.computerweekly.com/de/definition/Elliptische-Kurven-Kryptografie-Elliptic-Curve-Cryptography-ECC
https://www.globalsign.com/de-de/blog/ecc-101/
https://www.ssl247.de/certificats-ssl/rsa-dsa-ecc
Zwei-Faktor-Authentifizierung (TOTP):
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
https://www.pcwelt.de/ratgeber/Wichtige_Dienste_per_Zwei-Faktor-Authentifizierung_schuetzen-Sicherheit-8679969.html
https://www.security-insider.de/flexiblere-zwei-faktor-authentifizierung-an-vpns-a-700259/
https://www.security-insider.de/remote-access-vpn-mit-zwei-faktor-authentifizierung-a-389000/
http://www.itseccity.de/produkte-services/it-security/vpn-loesungen/ncp-engineering090315.html
Die Kundenkonten sind durch die Zwei-Faktor-Authentifizierung doppelt abgesichert und dadurch sehr schwierig zu hacken. Die Aktivierung der Zwei-Faktor-Authentifizierung ist freiwillig (Auswahlmöglichkeit im Kundenkonto). Wenn man die Zwei-Faktor-Authentifizierung aktiviert, benötigt man zum Login in die Desktopversion (PC) immer die Authenticator-App.
Authenticator-App:
a) FreeOTP Authenticator
b) Authy
c) Microsoft Authenticator
d) LastPass Authenticator
e) Google Authenticator
Die Zwei-Faktor-Authentifizierung ist sofort aktiv und scharf geschaltet. Bereits beim nächsten Login muss der 6-stellige Code, der beim Aufruf der Authenticator-App für das Kundenkonto angezeigt wird, in das dafür vorgesehene Feld (Authenticator-Code) eingegeben werden.

OKändert die Gruppe für Dateisystemobjekte. Für den Vollzugriff für Besitzer und Gruppe genügen dann bei Verzeichnissen die Rechte 770 sowie bei Dateien 660 bzw. 775 -> 770, 755 ->, 750, 641 ->, 640 usw..

Zur Gruppe von root sollten in diesem allgemeinen Fall zumindest folgende User angehören: Standardgruppe root, uuid, lp, lpadmin, tty, user und toruser.

Damit aber ist ein wenig Vorsicht geboten! Wir lassen die Zuweisung einzelner Benutzer zur Gruppe von root künftig daher weitgehend außer acht. Wer will, kann hier vorgestellte Eigentums-, Gruppen- und Zugriffsrechte auf diese Art und Weise noch weiter restriktrieren als hier im Exkurs vorgestellt!

/etc/rc.local
chmod 700 -R /etc/init.d # besser: sämtliche chown und chmod in /etc/permissions.secure in der vorgesehenen Form eintragen!
chmod 700 -R /etc/rc5.d
chmod 400 /etc/shadow*
chmod 400 path_to_keyfile_for_LUKS_encrypted_partitions
...


Wir führen bald viele empfohlenen Zugriffsrechte auf. Um an dieser Stelle für /etc/rc.local einen ersten Eindruck zu gewinnen.
Setze "unbedingt" noch in /etc/permissions.local "/usr/sbin/suexec root:root 0755" und nicht 4755 !
Sie sichern nicht nur, sie machen das Arbeitstempo des Rechners auch mausklick-schnell:

chown root:root / # besser: Sämtliche chown und chmod in anderer Form in /etc/permissions.secure eintragen!
chown root:root /*
chmod 111 /
chmod 755 /usr # 755 needed for caffeine only, else 751
chmod 751 /bin
chmod 751 /var # bzw. 750, wenn user zur Gruppe von root gehört
chmod 751 /sbin
chmod 751 /lib64
chmod 751 /usr/lib64
# chmod 751 -R /usr/lib64/python2.6
# chmod 751 -R /usr/lib/python2.6 # shall have got the same include as /usr/lib64/python2.6
chmod 751 /usr/lib64/kde4
chmod 751 /etc # bzw. chmod 750, falls oben aufgelistete Gruppen zu root gehören, das gleiche für /opt und /var und ein paar weitere Verzeichnisse und Dateien; wir gehen diesem Fall aber nicht weiter nach.
chmod 755 /etc/* # bzw. chmod 750, falls oben aufgelistete Gruppen zu root gehören; das Gleiche für /opt und /var und ein paar weitere Verzeichnisse und Dateien; wir gehen diesem Fall aber nicht weiter nach.
chmod 755 /etc/bashrc
chmod 755 /etc/group
chmod 755 -R /etc/font*
chmod 755 -R /etc/pango*
chown root:root /etc/nsswitch.conf
chmod 755 /etc/nsswitch.conf
chmod 755 /etc/ld.so.preload
chmod 755 /etc/sysconfig/network
chmod 755 /etc/sysconfig/network-scripts
chown root:root -R /etc/init.d
chown root:root -R /etc/rc*.d
chmod 700 -R /etc/init.d
chmod 700 -R /etc/rc0.d
chmod 700 -R /etc/rc1.d
chmod 700 -R /etc/rc2.d
chmod 700 -R /etc/rc3.d
chmod 700 -R /etc/rc4.d
chmod 700 -R /etc/rc5.d
chmod 700 -R /etc/rc6.d
chown root:root -R /etc/modprobe*
chmod 700 -R /etc/modprobe*
chown root:shadow /etc/shadow
chmod 400 /etc/shadow*
chown root:root /etc/passwd
chmod 644 /etc/passwd*
chown root:root /etc/fstab*
chmod 400 /etc/fstab*
chown root:root /etc/crypttab*
chmod 700 /etc/crypttab*
chown root:root /etc/mtab*
chown root:root /etc/hosts
chmod 644 /etc/hosts
chmod 644 /etc/mtab* # chmod 700: kdf arbeitet nicht
chmod 755 /etc/login.defs
chmod 755 -R /etc/firejail
chmod 755 -R /etc/resolv.conf
chmod 755 -R /etc/xdg*
chmod 750 /opt # if user is group of root, else 751
chmod 751 /lib
chmod 700 /root
chmod 751 /initrd
chmod 751 /misc
chmod 700 -R /boot-save # boot-save: copy of /boot/*
chown root:root /usr/bin
chown root:root /usr/sbin
chown root:root /usr/lib64
chown root:root /usr/lib
chown root:root /usr/libexec
chown root:root /usr/share
chown root:root /root
chmod 700 /usr/bin/xterm # terminals (außder der favorisierten)
chmod 700 /usr/bin/aterm
chmod 700 /usr/bin/byobu*
chmod 700 /usr/bin/terminator*
chmod 700 /usr/bin/quadkonsole*
chmod 700 /usr/bin/lxterminal*
chmod 700 /usr/bin/yakuake*
chmod 700 /usr/bin/aterm
chmod 700 /usr/bin/multi-aterm
chmod 700 /usr/bin/tcsh*
chmod 700 /usr/bin/rxvt*
chown root:firejail /usr/bin/firejail
chmod 04750 /usr/bin/firejail # Beachte, dass hierfür surfuser Mitglied der Gruppe firejail von firejail sein muss !
chmod 644 /etc/passwd
chmod 644 /etc/security/msec/*.secure
chmod 711 /home
chmod 700 /home/user
chmod 700 /home/surfuser
chmod 700 /home/uuidd
chmod 700 /home/toruser
chmod 700 -R /home/user/Dokumente

#
OK# from permissions (OpenSuSE, chkstat), level: secure with some changes, /etc/permssions.secure
/ root:root 111
/root/ root:root 700
/root/* root:root 700
/tmp/ root:root 1777
/tmp/.X11-unix/ root:root 1777
/tmp/.ICE-unix/ root:root 1777
/dev/ root:root 755
/bin/ root:root 751
/sbin/ root:root 751
/lib/ root:root 751
/etc/ root:root 751
/home/ root:root 711
/boot/ root:root 755
/opt/ root:root 751
/usr/ root:root 755
/usr/src root:root 700
/usr/local root:root 755
#
# /var:
#

/var/tmp/ root:root 1777
/var/log/ root:root 755
/var/spool/ root:root 755
/var/spool/mqueue/ root:root 700
/var/spool/news/ news:news 775
/var/spool/voice/ root:root 755
/var/spool/mail/ root:root 1777
/var/spool/cups root:sys 755
/var/spool/hylafax root:root 755
/var/spool/postfix root:root 755
/var/spool/MailScanner root:root 755
/var/adm/ root:root 755
/var/adm/backup/ root:root 700
/var/cache/ root:root 755
/var/cache/man/ man:root 755
/var/run/nscd/socket root:root 666
/run/nscd/socket root:root 666
/var/run/sudo/ root:root 700
/run/sudo/ root:root 700

#
# login tracking
#
/var/log/lastlog root:root 644
/var/log/faillog root:root 600
/var/log/wtmp root:utmp 664
/var/log/btmp root:utmp 600
/var/run/utmp root:utmp 664
/run/utmp root:utmp 664

#
# some device files
#

/dev/zero root:root 666
/dev/null root:root 666
/dev/full root:root 666
/dev/ip root:root 660
/dev/initrd root:disk 660
/dev/kmem root:kmem 640

#
# /etc
#
/etc/lilo.conf root:root 600
/etc/passwd root:root 644
/etc/shadow root:shadow 400
/etc/init.d/ root:root 755
/etc/hosts root:root 644
# Changing the hosts_access(5) files causes trouble with services
# that do not run as root!
/etc/hosts.allow root:root 644
/etc/hosts.deny root:root 644
/etc/hosts.equiv root:root 644
/etc/hosts.lpd root:root 644
/etc/ld.so.conf root:root 644
/etc/ld.so.cache root:root 644

/etc/opiekeys root:root 600

/etc/ppp/ root:root 750
/etc/ppp/chap-secrets root:root 600
/etc/ppp/pap-secrets root:root 600

# sysconfig files:
/etc/sysconfig/network/providers/ root:root 700

# utempter
/usr/lib/utempter/utempter root:utmp 2755

# ensure correct permissions on ssh files to avoid sshd refusing
# logins (bnc#398250)
/etc/ssh/ssh_host_key root:root 600
/etc/ssh/ssh_host_key.pub root:root 644
/etc/ssh/ssh_host_dsa_key root:root 600
/etc/ssh/ssh_host_dsa_key.pub root:root 644
/etc/ssh/ssh_host_rsa_key root:root 600
/etc/ssh/ssh_host_rsa_key.pub root:root 644
/etc/ssh/ssh_config root:root 644
/etc/ssh/sshd_config root:root 640

#
# legacy
#
# new traceroute program by Olaf Kirch does not need setuid root any more.
/usr/sbin/traceroute root:root 755

# games:games 775 safe as long as we don´t change files below it (#103186)
# still people do it (#429882) so root:root 755 is the consequence.
/var/games/ root:root 0755

# No longer common. Set setuid bit yourself if you need it
# (#66191)
#/usr/bin/ziptool root:trusted 4750

#
# udev static devices (#438039)
#
/lib/udev/devices/net/tun root:root 0666
/lib/udev/devices/null root:root 0666
/lib/udev/devices/ptmx root:tty 0666
/lib/udev/devices/tty root:tty 0666
/lib/udev/devices/zero root:root 0666

#
# named chroot (#438045)
#
/var/lib/named/dev/null root:root 0666
/var/lib/named/dev/random root:root 0666

# opiesu is not allowed setuid root as code quality is bad (bnc#882035)
/usr/bin/opiesu root:root 0755

# we no longer make rpm build dirs 1777
/usr/src/packages/SOURCES/ root:root 0755
/usr/src/packages/BUILD/ root:root 0755
/usr/src/packages/BUILDROOT/ root:root 0755
/usr/src/packages/RPMS/ root:root 0755
/usr/src/packages/RPMS/alphaev56/ root:root 0755
/usr/src/packages/RPMS/alphaev67/ root:root 0755
/usr/src/packages/RPMS/alphaev6/ root:root 0755
/usr/src/packages/RPMS/alpha/ root:root 0755
/usr/src/packages/RPMS/amd64/ root:root 0755
/usr/src/packages/RPMS/arm4l/ root:root 0755
/usr/src/packages/RPMS/armv4l/ root:root 0755
/usr/src/packages/RPMS/armv5tejl/ root:root 0755
/usr/src/packages/RPMS/armv5tejvl/ root:root 0755
/usr/src/packages/RPMS/armv5tel/ root:root 0755
/usr/src/packages/RPMS/armv5tevl/ root:root 0755
/usr/src/packages/RPMS/armv6l/ root:root 0755
/usr/src/packages/RPMS/armv6vl/ root:root 0755
/usr/src/packages/RPMS/armv7l/ root:root 0755
/usr/src/packages/RPMS/athlon/ root:root 0755
/usr/src/packages/RPMS/geode/ root:root 0755
/usr/src/packages/RPMS/hppa2.0/ root:root 0755
/usr/src/packages/RPMS/hppa/ root:root 0755
/usr/src/packages/RPMS/i386/ root:root 0755
/usr/src/packages/RPMS/i486/ root:root 0755
/usr/src/packages/RPMS/i586/ root:root 0755
/usr/src/packages/RPMS/i686/ root:root 0755
/usr/src/packages/RPMS/ia32e/ root:root 0755
/usr/src/packages/RPMS/ia64/ root:root 0755
/usr/src/packages/RPMS/mips/ root:root 0755
/usr/src/packages/RPMS/noarch/ root:root 0755
/usr/src/packages/RPMS/pentium3/ root:root 0755
/usr/src/packages/RPMS/pentium4/ root:root 0755
/usr/src/packages/RPMS/powerpc64/ root:root 0755
/usr/src/packages/RPMS/powerpc/ root:root 0755
/usr/src/packages/RPMS/ppc64/ root:root 0755
/usr/src/packages/RPMS/ppc/ root:root 0755
/usr/src/packages/RPMS/s390/ root:root 0755
/usr/src/packages/RPMS/s390x/ root:root 0755
/usr/src/packages/RPMS/sparc64/ root:root 0755
/usr/src/packages/RPMS/sparc/ root:root 0755
/usr/src/packages/RPMS/sparcv9/ root:root 0755
/usr/src/packages/RPMS/x86_64/ root:root 0755
/usr/src/packages/SPECS/ root:root 0755
/usr/src/packages/SRPMS/ root:root 0755
#
# /etc
#
/etc/crontab root:root 600
/etc/exports root:root 644
/etc/fstab root:root 400
/etc/ftpusers root:root 644
/var/lib/nfs/rmtab root:root 644
/etc/syslog.conf root:root 600
/etc/ssh/sshd_config root:root 600
# we might want to tighten that up in the future in this profile (remove the
# ability for others to read/enter)
/etc/cron.d root:root 755
/etc/cron.daily root:root 755
/etc/cron.hourly root:root 755
/etc/cron.monthly root:root 755
/etc/cron.weekly root:root 755

#
# suid system programs that need the suid bit to work:
#
/bin/su root:root 4755
# disable at and cron for users that do not belnong to the group "trusted"
/usr/bin/at root:trusted 4750
/usr/bin/crontab root:trusted 4750
/usr/bin/gpasswd root:shadow 4755
/usr/bin/newgrp root:root 4755
/usr/bin/passwd root:shadow 4755
/usr/bin/chfn root:shadow 4755
/usr/bin/chage root:shadow 2755
/usr/bin/chsh root:shadow 4755
/usr/bin/expiry root:shadow 4755
/usr/bin/sudo root:root 4755
/usr/sbin/su-wrapper root:root 0755
# opie password system
# /usr/bin/opiepasswd root:root 4755
#
/sbin/mount.nfs root:root 0755
#
#
/usr/bin/fusermount root:trusted 4750
# needs setuid root when using shadow via NIS:
#
/sbin/unix_chkpwd root:shadow 4755
/sbin/unix2_chkpwd root:shadow 4755

# squid changes
/var/cache/squid/ squid:root 0750
/var/log/squid/ squid:root 0750
/usr/sbin/pinger squid:root 0750
+capabilities cap_net_raw=ep
/usr/sbin/basic_pam_auth root:shadow 2750

# still to be converted to utempter /usr/lib/gnome-pty-helper root:utmp 2755

#
# mixed section: most of it is disabled in this permissions.secure:
#
# video
/usr/bin/v4l-conf root:video 4750

# turned off write and wall by disabling sgid tty:
/usr/bin/wall root:tty 0755
/usr/bin/write root:tty 0755
# thttpd: sgid + executeable only for group www. Useless...
/usr/bin/makeweb root:www 2750
# pcmcia:
# Needs setuid to eject cards (#100120)
/sbin/pccardctl root:trusted 4750
# gnokii nokia cellphone software
# #66209
/usr/sbin/mgnokiidev root:uucp 755
# mailman mailing list software
# #66315
/usr/lib/mailman/cgi-bin/admin root:mailman 2755
/usr/lib/mailman/cgi-bin/admindb root:mailman 2755
/usr/lib/mailman/cgi-bin/edithtml root:mailman 2755
/usr/lib/mailman/cgi-bin/listinfo root:mailman 2755
/usr/lib/mailman/cgi-bin/options root:mailman 2755
/usr/lib/mailman/cgi-bin/private root:mailman 2755
/usr/lib/mailman/cgi-bin/roster root:mailman 2755
/usr/lib/mailman/cgi-bin/subscribe root:mailman 2755
/usr/lib/mailman/cgi-bin/confirm root:mailman 2755
/usr/lib/mailman/cgi-bin/create root:mailman 2755
/usr/lib/mailman/cgi-bin/editarch root:mailman 2755
/usr/lib/mailman/cgi-bin/rmlist root:mailman 2755
/usr/lib/mailman/mail/mailman root:mailman 2755

# libgnomesu (#75823, #175616)
/usr/lib/libgnomesu/gnomesu-pam-backend root:root 4755

#
# networking (need root for the privileged socket)
#
/usr/bin/ping root:root 0755
+capabilities cap_net_raw=ep
/usr/bin/ping6 root:root 0755
+capabilities cap_net_raw=ep
# mtr is linked against ncurses. no suid bit, for root only:
/usr/sbin/mtr root:dialout 0750
/usr/bin/rcp root:root 4755
/usr/bin/rlogin root:root 4755
/usr/bin/rsh root:root 4755

# exim
/usr/sbin/exim root:root 4755

#
# dialup networking programs
#
/usr/sbin/pppoe-wrapper root:dialout 4750
# i4l package (#100750):
/sbin/isdnctrl root:dialout 4750
# #66111
/usr/bin/vboxbeep root:trusted 0755

#
# linux text console utilities
#
# setuid needed on the text console to set the terminal content on ctrl-o
# #66112
/usr/lib/mc/cons.saver root:root 0755

#
# terminal emulators
# This and future SUSE products have support for the utempter, a small helper
# program that does the utmp/wtmp update work with the necessary rights.
# The use of utempter obsoletes the need for sgid bits on terminal emulator
# binaries. We mention screen here, but all other terminal emulators have
# moved to /etc/permissions, with modes set to 0755.

# needs setuid to access /dev/console
# framebuffer terminal emulator (japanese)
/usr/bin/jfbterm root:tty 0755

#
# kde
# (all of them are disabled in permissions.secure except for
# the helper programs)
#
# needs setuid root when using shadow via NIS:
# #66218
/usr/lib64/kde4 root:root 751
/usr/lib/kde4/libexec/kcheckpass root:shadow 4755
/usr/lib64/kde4/libexec/kcheckpass root:shadow 4755
/usr/lib/kde4/libexec/kdesud root:nogroup 2755
/usr/lib64/kde4/libexec/kdesud root:nogroup 2755
/usr/lib/libexec/kf5/kdesud root:nogroup 2755
/usr/lib64/libexec/kf5/kdesud root:nogroup 2755

# bnc#523833
/usr/lib/kde4/libexec/start_kdeinit root:root 4755
/usr/lib64/kde4/libexec/start_kdeinit root:root 4755

#
# amanda
#
/usr/sbin/amcheck root:amanda 0750
/usr/lib/amanda/calcsize root:amanda 0750
/usr/lib/amanda/rundump root:amanda 0750
/usr/lib/amanda/planner root:amanda 0750
/usr/lib/amanda/runtar root:amanda 0750
/usr/lib/amanda/dumper root:amanda 0750
/usr/lib/amanda/killpgrp root:amanda 0750

#
# gnats
#
/usr/lib/gnats/gen-index gnats:root 4555
/usr/lib/gnats/pr-edit gnats:root 4555
/usr/lib/gnats/queue-pr gnats:root 4555


#
# news (inn)
#
# the inn start script changes it´s uid to news:news. Later innbind
# is called by this user. Those programs do not need to be called by
# anyone else, therefore the strange permissions 4554 are required
# for operation. (#67032, #594393)
#
/usr/lib/news/bin/rnews news:uucp 4550
/usr/lib/news/bin/inews news:news 2555
/usr/lib/news/bin/innbind root:news 4550

#
# sendfax
#
# restrictive, only for "trusted" group users:
/usr/lib/mgetty+sendfax/faxq-helper fax:root 4755
/var/spool/fax/outgoing/ fax:root 0755
/var/spool/fax/outgoing/locks fax:root 0755

#
# uucp
#
/var/spool/uucppublic/ root:uucp 1770
/usr/bin/uucp uucp:uucp 6555
/usr/bin/uuname uucp:uucp 6555
/usr/bin/uustat uucp:uucp 6555
/usr/bin/uux uucp:uucp 6555
/usr/lib/uucp/uucico uucp:uucp 6555
/usr/lib/uucp/uuxqt uucp:uucp 6555

# pcp (bnc#782967)
/var/lib/pcp/tmp/ root:root 0755
/var/lib/pcp/tmp/pmdabash/ root:root 0755
/var/lib/pcp/tmp/mmv/ root:root 0755
/var/lib/pcp/tmp/pmlogger/ root:root 0755
/var/lib/pcp/tmp/pmie/ root:root 0755

# PolicyKit (#295341)
/usr/lib/PolicyKit/polkit-set-default-helper polkituser:root 4755
/usr/lib/PolicyKit/polkit-read-auth-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-revoke-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-explicit-grant-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-grant-helper root:polkituser 2755
/usr/lib/PolicyKit/polkit-grant-helper-pam root:polkituser 4750

# polkit new (bnc#523377)
/usr/lib/polkit-1/polkit-agent-helper-1 root:root 4755
/usr/bin/pkexec root:root 4755

# dbus-1 (#333361)
/lib/dbus-1/dbus-daemon-launch-helper root:messagebus 4750
/lib64/dbus-1/dbus-daemon-launch-helper root:messagebus 4750
# dbus-1 in /usr #1056764)
/usr/lib/dbus-1/dbus-daemon-launch-helper root:messagebus 4750
/usr/lib64/dbus-1/dbus-daemon-launch-helper root:messagebus 4750

# policycoreutils (#440596)
/usr/bin/newrole root:root 0755

# VirtualBox (#429725)
/usr/lib/virtualbox/VirtualBox root:vboxusers 0755
# bsc#1120650
/usr/lib/virtualbox/VirtualBoxVM root:vboxusers 0750
/usr/lib/virtualbox/VBoxHeadless root:vboxusers 0755
/usr/lib/virtualbox/VBoxSDL root:vboxusers 0755
# (bnc#533550)
/usr/lib/virtualbox/VBoxNetAdpCtl root:vboxusers 0755
# bnc#669055
/usr/lib/virtualbox/VBoxNetDHCP root:vboxusers 0755
# bsc#1033425
/usr/lib/virtualbox/VBoxNetNAT root:vboxusers 0755

# open-vm-tools (bnc#474285)
/usr/bin/vmware-user-suid-wrapper root:root 0755

# lockdev (bnc#588325)
/usr/sbin/lockdev root:lock 2755

# hawk (bnc#665045)
/usr/sbin/hawk_chkpwd root:haclient 4750
/usr/sbin/hawk_invoke root:haclient 4750

# chromium (bnc#718016)
/usr/lib/chrome_sandbox root:root 4755

# ecryptfs-utils (bnc#740110)
/sbin/mount.ecryptfs_private root:root 0755

# wireshark (bsc#957624)
/usr/bin/dumpcap root:wireshark 0750
+capabilities cap_net_raw,cap_net_admin=ep

# singularity (bsc#1028304)
# these have been dropped in version 2.4 (see bsc#1111411, comment 4)
#/usr/lib/singularity/bin/expand-suid root:singularity 4750
#/usr/lib/singularity/bin/create-suid root:singularity 4750
#/usr/lib/singularity/bin/export-suid root:singularity 4750
#/usr/lib/singularity/bin/import-suid root:singularity 4750
/usr/lib/singularity/bin/action-suid root:singularity 4750
/usr/lib/singularity/bin/mount-suid root:singularity 4750
/usr/lib/singularity/bin/start-suid root:singularity 4750

/usr/bin/su root:root 4755
/usr/bin/mount root:root 4755
/usr/bin/umount root:root 4755

# cdrecord of cdrtools from Joerg Schilling (bnc#550021)
# in secure mode, no provisions are made for reliable cd burning, as admins
# will have very likely prohibited that anyway.
/usr/bin/cdrecord root:root 755
/usr/bin/readcd root:root 755
/usr/bin/cdda2wav root:root 755

# qemu-bridge-helper (bnc#765948, bsc#988279)
/usr/lib/qemu-bridge-helper root:kvm 04750

# systemd-journal (bnc#888151)
/var/log/journal/ root:systemd-journal 2755

#iouyap (bnc#904060)
/usr/lib/iouyap root:iouyap 0750

# radosgw (bsc#943471)
/usr/bin/radosgw root:www 0750
+capabilities cap_net_bind_service=ep

# gstreamer ptp (bsc#960173)
/usr/lib/gstreamer-1.0/gst-ptp-helper root:root 0755
+capabilities cap_net_bind_service=ep

#
# suexec is only secure if the document root doesn´t contain files
# writeable by wwwrun. Make sure you have a safe server setup
# before setting the setuid bit! See also
# https://bugzilla.novell.com/show_bug.cgi?id=263789
# http://httpd.apache.org/docs/trunk/suexec.html
# You need to override this in permissions.local.
# suexec2 is a symlink for now, leave as-is
#
/usr/sbin/suexec root:root 0755

# newgidmap / newuidmap (bsc#979282, bsc#1048645)
/usr/bin/newgidmap root:shadow 4755
/usr/bin/newuidmap root:shadow 4755

# kwayland (bsc#1062182)
/usr/bin/kwin_wayland root:root 0755
+capabilities cap_sys_nice=ep

# gvfs (bsc#1065864)
/usr/lib/gvfs/gvfsd-nfs root:root 0755

# icinga2 (bsc#1069410)

/run/icinga2/cmd icinga:icingagmd 2750

# fping (bsc#1047921)
/usr/sbin/fping root:root 0755
+capabilities cap_net_raw=ep

# usbauth (bsc#1066877)
/usr/bin/usbauth-npriv root:usbauth 04750
/usr/lib/usbauth-notifier root:usbauth-notifier 0750
/usr/lib/usbauth-notifier/usbauth-notifier root:usbauth 02755

# spice-gtk (bsc#1101420)
/usr/bin/spice-client-glib-usb-acl-helper root:kvm 04750

# smc-tools (bsc#1102956)
/usr/lib/libsmc-preload.so root:root 04755
/usr/lib64/libsmc-preload.so root:root 04755

# lxc (bsc#988348)
/usr/lib/lxc/lxc-user-nic root:kvm 04750

# firejail (bsc#1059013) /usr/bin/firejail root:firejail 04750 # Beachte, dass hierfür surfuser Mitglied der Gruppe firejail von firejail sein muss !

# authbind (bsc#1111251)
/usr/lib/authbind/helper root:root 04755

# fuse3 (bsc#1111230)
/usr/bin/fusermount3 root:trusted 04750

# 389-ds (bsc#1111564)
/usr/sbin/ns-slapd root:dirsrv 0750
/ root:root 111
/home root:root 711
/home/user user:user 700
/home/surfuser surfuser:surfuser 700
/home/toranonym toruser:torgroup 700
/usr/src root:root 700
/usr/lib64 root:root 751
/usr/lib64/kde4 root:root 751
/usr root:root 755
/bin root:root 751
/sbin root:root 751
/lib64 root:root 751
/lib root:root 751
/root root:root 700
/initrd root:root 751
/misc root:root 751
/boot-save root:root 000
/usr/games root:root 751
/net root:root 751
/secoff root:root 710
/sid-root root:root 700
/srv root:root 751
/sys root:root 751
/var root:root 751
/mnt root:root 755
/media root:root 711
/initrd root:root 751
/etc/security/msec/*.secure root:root 751
/usr/local root:root 755
/usr/local/Brother root:root 755
/GenuineIntel.bin root:root 710
/Module.symvers root:root 751
/usr/lib/cups root:sys 755
/usr/share/cups root:sys 755
/etc/cups root:sys 755
/smack root:root 700
/usr/share root:root 755
/usr/share/* root:root 755
/usr/libexec root:root 751
/usr/libexec/* root:root 755
/usr/lib64/kde4 root:root 751
/home/user/Dokumente user:user 700
/home/user/Dokumente/* user:user 700
/home/user/.kde4 user:user 700
/home/user/.kde4/* user:user 700
/home/user/.kde4/share/apps/kmail/mail secret:secret 700
/home/user/.kde4/share/apps/kmail/mail/*/*/* secret:secret 700
/home/surfuser/.mozilla surfuser:surfuser 100
/var/cache root:root 755
/var/cache/cups root:sys 775
/var/cache/cups/ppds.dat lp:sys 755
/var/cache/cups/job.cache root:sys 755
/var/cache/cups/help.index lp:sys 755
/var/cache/pdnsd pdnsd:pdnsd 755
/var/cache/pdnsd/pdnsd.cache pdnsd:pdnsd 755
/var/cache/coolkey root:root 755
/var/cache/urpmi root:root 755
/var/cache/apparmor root:root 755
/home/uuidd uuidd:uuidd 700
/usr/libexec root:root 755
/usr/lib/cups/filter root:sys 755 # Gruppe sys, abhängig von /etc/cups/cupsd.conf
/usr/lib/cups/filter/* root:sys 755
/usr/lib/cups/driver root:sys 755
/usr/lib/cups/driver/* root:sys 755
/usr/share/cups/ root:sys 755
/usr/share/cups/* root:sys 755
/usr/share/cups/model/ root:sys 755
/var/spool root:root 755
/var/spool/MailScanner root:root 755
/usr/lib/cups/filter/* root:sys 755
/usr/lib/cups/driver/* root:sys 755
/usr/share/cups/* root:sys 755
/etc/cups root:sys 755
/etc/cups/* root:sys 755
/var/cache/cups root:sys 775
/var/cache/cups/rss root:sys 775
/lib64/ld*.so root:root 755
/lib64/libc-*.so root:root 755
/usr/lib64/kde4 root:root 751
/usr/lib64/kde4/* root:root 755
/usr/share root:root 755
/usr/games root:root 751
/etc/security/msec/*.secure root:root 751
/usr/local root:root 755
/usr/share/* root:root 755


Aufruf, z.B. in /etc/rc.local: chkstat --set --no-fscaps /etc/permissions # rpm "permissions" von OpenSuSE (eignet sich auch bestens fü,r CentOS 6),
chkstat --set --no-fscaps /etc/permissions.secure # obige Konfiguration
chkstat --set --no-fscaps /etc/permissions.local # ... hier erst noch konfigurieren!

... doch wo gehört das hier mit capabilities nur hin (Zeile verrutscht!)?: +capabilities cap_net_bind_service=ep

OKCAPABILITIES capsh, getcap, setcap, ...
linux - Using capsh to drop all capabilities - Stack Overflow
root: All caps are assigned to root by default !
pub enum Capability { CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_KILL, CAP_SETGID, CAP_SETUID, CAP_SETPCAP Drops the capability for the current process via a call to cap_drop_bound.0x0000003fffffffff=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,37...
Capabilities:
capsh --print Current: = Bounding set = Securebits: 00/0x0/1'b0 secure-noroot: no (unlocked) secure-no-suid-fixup: no (unlocked) secure-keep-caps: no (unlocked) uid=10101(u0_a101) gid=10101...
/etc/permissions.secure :
...
/usr/sbin/pinger squid:root 0750
+capabilities cap_net_raw=ep
...
/usr/bin/ping root:root 0755
+capabilities cap_net_raw=ep
...
stackoverflow.com/questions/28811823/using-capsh-to-drop-all-capabilities

OK/etc/rc.local (complete, vollständig)
#!/bin/sh
#
### BEGIN INIT INFO
# Provides: rc.local
# X-Mandriva-Compat-Mode
# Default-Start: 2 3 4 5
# Short-Description: Local initialization script
# Description: This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don´t
# want to do the full Sys V style init stuff.
### END INIT INFO
sysctl -p /etc/sysctl.conf
auditctl -e0
echo 1 > /sys/devices/system/cpu/microcode/reload
# microcode_ctl -Qu
sh /usr/libexec/microcode_ctl/reload_microcode
hdparm -W1a0A0 /dev/sda # mausklick-schnelle SSD am S-ATA-Port, beachte die Anschlussnummer (1: sda, 2: sdb, ...)
echo deadline > /sys/block/sdb/queue/scheduler
echo 500 > /proc/sys/vm/dirty_writeback_centisecs
echo 20 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_ratio
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "" > /etc/securetty
# https://en.wikipedia.org/wiki/TCP_congestion-avoidance_algorithm # cat /proc/sys/net/ipv4/tcp_congestion_control
# modprobe tcp_htcp
modprobe sch_fq_codel
modprobe tcp_cubic
# modprobe tcp_bbr
# echo sch_fq_codel > /proc/sys/net/core/default_qdisc
echo cubic > /proc/sys/net/ipv4/tcp_congestion_control
macchanger --mac=ac:22:ca:00:00:c1 eth0
echo sch_fq_codel > /proc/sys/net/core/default_qdisc
xhost -
xhost +si:localuser:user
xhost -inet6:user@
xhost -nis:user@
xhost - 192.168.178.1
xhost - 192.168.178.40
echo 1 > /proc/sys/net/ipv4/conf/all/hidden # or net.ipv4.conf.all.hidden=1 within /etc/sysctl.conf
echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden
echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/shared_media
echo 1 > /proc/sys/net/ipv4/conf/eth0/secure_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/shared_media
touch /var/lock/subsys/local
modprobe usblp
modprobe usb_storage
ifconfig eth0 -multicast
ifconfig lo -multicast
ifconfig lo -broadcast
ip link set eth0 multicast off
ip link set lo multicast off
sh /etc/init.d/ip6tables restart # wenn iptables-ipv6 (el6) neben iptables (el6) installiert worden ist; Der gesamte Traffic innerhalb des neuen Adressraums IPv6 wird auf INPUT, OUTPUT und FORWARD mit Linfw3 geblockt, siehe Regeln innerhalb /etc/sysconfig/ip6tables. Anstelle dieses totalen Blocks können alle IPv4-Regeln von Linfw3 in /usr/local/LINFW3.sh nach /etc/sysconfig/ip6tables übernommen werden, indem ipt="iptables" mit ipt="ip6tables" ausgestauscht wird. Überprüfe außerdem, ob /sbin/ip6tables* richtig mit /sbin/ip6tables-multi verlinkt ist.
mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2
#sh /etc/init.d/syslog start
sh /etc/init.d/rsyslog start
cp -fp /etc/hosts.savenew /etc/hosts
cp -fp /etc/pdnsd-savenew.conf /etc/pdnsd.conf
# cp -fp /boot-save/ifcfg-eth0* /etc/sysconfig/network-scripts/
cp -fp /boot-save/70-persistent-net.rules /etc/udev/rules.d/
export RESOLV_HOST_CONF="/etc/hosts"
# sh /etc/init.d/incrond start
# sh /etc/init.d/noflushd start
# gpg-agent --daemon --use-standard-socket
# atieventsd
# dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 &
# NetworkManager --log-level=ERR
# preload
# ifup eth0
# acpid&
# dnssec-triggerd
# unbound -dv -c /etc/unbound/unbound.conf
# tcpd &
# sh /etc/init.d/xfs start
# sh /etc/init.d/psad start
# paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 192.168.178.1 -l --tcp-port 443 /dev/null
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 208.67.222.222 --tcp-port 443 -l /dev/null
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 213.73.91.35 --tcp-port 443 -l /dev/null
# cp -fp /var/cache/pdnsd.cache /var/cache/pdnsd-savenew.cache
# speechd
# artsd&
# killall plymouthdxhost -
# sh /etc/init.d/lpd start
# redshift -l 60:10 -t 6500K:6200K&
chkstat --set --no-fscaps /etc/permissions # rpm permissions form OpenSuSE
chkstat --set --no-fscaps /etc/permissions.secure
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.firefox &
#apparmor_parser -af /etc/apparmor/profiles/sbin.dhclient &
#apparmor_parser -af /etc/apparmor/profiles/usr.bin.man &
#apparmor_parser -af /etc/apparmor/profiles/usr.bin/passwd &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.sh &
# /usr/lib64/apparmorapplet&
# unshare apparmor-dbus &
# sh /etc/init.d/modules-disabled start# kernel.modules_disabled=1 after 90 seconds
echo "ALLOW_REBOOT=yes" >> /etc/security/msec/security.conf
echo "BASE_LEVEL=secure" > /etc/security/msec/security.conf
echo "ENABLE_STARTUP_MSEC=yes" > /etc/security/msec/security.conf
echo "ENABLE_STARTUP_PERMS=enforce" > /etc/security/msec/security.conf
msec -f secure # msec: rpm from Mandriva Linux and Rosalabs
# chmod 666 /dev/usb/lp0 # besser: Sämtliche chown und chmod in /etc/permissions.secure in der vorgesehenen Form eintragen!
chown pdnsd:pdnsd -R /var/cache/pdnsd
chmod 755 /var/cache/pdnsd/pdnsd.cache
chown root:root /etc/hosts
chmod 400 /usr/local/key
chmod 644 /etc/hosts
chmod 111 /
chmod 751 /etc
chmod 755 /etc/sysconfig/network
chmod 755 /etc/sysconfig/network-scripts
chmod 400 /etc/shadow*
chmod 400 /etc/fstab*
chmod 700 /etc/crypttab*
chmod 700 /etc/mtab*
chmod 711 /home
chmod 700 /home/user
chmod 700 /home/surfuser
chmod 700 -R /home/surfuser/.mozilla
chown root:root /home/surfuser/.mozilla/firefox/profile.default/user.js
chmod 755 /home/surfuser/.mozilla/firefox/profile.default/user.js
chown root:root /home/surfuser/.mozilla/firefox/prefs.js
chmod 755 /home/surfuser/.mozilla/firefox/prefs.js
chmod 700 -R /home/surfuser/.moon*
chmod 700 -R /usr/src
chmod 751 /etc/X11
chmod 751 /usr/lib64
chmod 751 /usr/lib64/kde4
chmod 700 /home/toruser
chmod 700 -R /home/user/Dokumente
chmod 700 /home/uuidd
chmod 400 /usr/local/ke*
chmod 755 /usr
chmod 751 /bin
chmod 751 /sbin
chmod 751 /lib64
chmod 751 /opt
chmod 751 /lib
chmod 700 /root
chmod 700 -R /etc/init.d
chmod 751 /initrd
chmod 751 /misc
chmod 700 -R /boot-save
chmod 644 /etc/passwd
chmod 751 /usr/games
chmod 751 /net
chmod 710 /secoff
chmod 700 /sid-root
chmod 700 /smack
chmod 751 /srv
chmod 751 /sys
chmod 700 /typo3i*
chmod 751 /var
chmod 700 /lost*found
chmod 710 /intel-ucode*
chmod 751 /initrd
chmod 710 /GenuineIntel.bin
chmod 751 /etc/security/msec/*.secure
chmod 751 /Module.symvers
rm -df /home/surfuser/.Xauth*.*
rm -df /home/surfuser/.xauth*
rm -df /home/toruser/.xauth*
rm -df /home/toruser/.Xauth*.*
rm -df /home/user/.kde4/share/apps/kmail/mail/Spam/cur/*
rm -df /var/spool/cups/a*
rm -df /var/spool/cups/b*
rm -df /var/spool/cups/c*
rm -df /var/spool/cups/d*
rm -df /var/spool/cups/e*
rm -df /var/spool/cups/f*
rm -df /var/spool/cups/g*
rm -df /var/spool/cups/h*
rm -df /var/spool/cups/i*
rm -df /var/spool/cups/j*
rm -df /var/spool/cups/k*
rm -df /var/spool/cups/l*
rm -df /var/spool/cups/m*
rm -df /var/spool/cups/o*
rm -df /var/spool/cups/p*
rm -df /var/spool/cups/q*
rm -df /var/spool/cups/r*
rm -df /var/spool/cups/s*
rm -df /var/spool/cups/u*
rm -df /var/spool/cups/v*
rm -df /var/spool/cups/w*
rm -df /var/spool/cups/x*
rm -df /var/spool/cups/y*
rm -df /var/spool/cups/z*
echo ´V´ > /dev/watchdog
sh /etc/init.d/dosetfacls start # script with setfacl from the next...
exit


OKErzeuge noch
/etc/init.d/dosetfacls


#!/bin/sh
#
# This is file /etc/rc.d/init.d/linfw3 and was put here
# by the linfw3 rpm
#
# chkconfig: 2345 92 36
#
# description: secure iptables based firewall against all hacker and trojans \
# evtl. change chkconfig Number!
#

# ********************************************************************
#
# File : DOLLARSIGNSource: /cvsroot/ijbswa/current/linfw3.init,v $
#
# Purpose : This shell script takes care of starting and stopping
# linfw3.
#
# Copyright : Written by Gooken
# http://www.gooken.de
#
#
#
# ********************************************************************/


# Source function library.
. /etc/rc.d/init.d/functions

start () {
# start daemon
setfacl -m u:-1:- /* # There is an unnamed (!) process starting from time to time by user so called "-1, root".... listed on the buttom of the listing from ps -aux (gamin, FAM?)
setfacl -m u:-1:- /mnt
setfacl -m u:-1:- /media
setfacl -m u:apache:- /home/user
setfacl -m u:apache:- /home/surfuser
setfacl -m u:apache:- /home/toranonym
setfacl -m u:apache:- /mnt
setfacl -m u:apache:- /media
setfacl -m u:surfuser:- /etc/shadow*
setfacl -m u:toranonym:- /etc/shadow*
setfacl -m u:surfuser:- /etc/fstab*
setfacl -m u:surfuser:- /etc/mtab*
setfacl -m u:surfuser:- /etc/crypttab*
setfacl -m u:toranonym:- /etc/fstab*
setfacl -m u:toranonym:- /etc/mtab*
setfacl -m u:toranonym:- /etc/crypttab*
setfacl -m u:surfuser:- /etc/init.d
setfacl -m u:surfuser:- /etc/init.d/*
setfacl -m u:toranonym:- /etc/init.d
setfacl -m u:toranonym:- /etc/init.d/*
setfacl -m u:surfuser:- /etc/rc0.d
setfacl -m u:surfuser:- /etc/rc1.d
setfacl -m u:surfuser:- /etc/rc2.d
setfacl -m u:surfuser:- /etc/rc3.d
setfacl -m u:surfuser:- /etc/rc4.d
setfacl -m u:surfuser:- /etc/rc5.d
setfacl -m u:surfuser:- /etc/rc6.d
setfacl -m u:surfuser:- /etc/rc.local
setfacl -m u:toranonym:- /etc/rc0.d
setfacl -m u:toranonym:- /etc/rc1.d
setfacl -m u:toranonym:- /etc/rc2.d
setfacl -m u:toranonym:- /etc/rc3.d
setfacl -m u:toranonym:- /etc/rc4.d
setfacl -m u:toranonym:- /etc/rc.local
setfacl -m u:surfuser:- /etc/security/msec
setfacl -m u:surfuser:- /etc/security
setfacl -m u:toranonym:- /etc/security
setfacl -m u:toranonym:- /etc/security/msec
setfacl -m u:surfuser:- /etc/crypttab*
setfacl -m u:surfuser:- /usr/bin/*
setfacl -x surfuser /usr/bin/bash*
setfacl -x surfuser /usr/bin/unshare
setfacl -x surfuser /usr/bin/firejail*
setfacl -x surfuser /usr/bin/firefox*
setfacl -x surfuser /usr/bin/gftp*
setfacl -x surfuser /usr/bin/tor*
setfacl -x surfuser /usr/bin/xauth*
setfacl -x surfuser /usr/bin/xargs*
setfacl -x surfuser /usr/bin/sg*
setfacl -x surfuser /usr/bin/palemoon*
setfacl -x surfuser /usr/bin/export
setfacl -m u:surfuser:- /usr/libexec
setfacl -m u:surfuser:- /usr/sbin
setfacl -m u:surfuser:--x /bin
setfacl -m u:surfuser:- /bin/*
setfacl -m u:surfuser:- /sbin
setfacl -x surfuser /bin/bash*
setfacl -x surfuser /bin/certtool
setfacl -x surfuser /bin/certutil
setfacl -x surfuser /bin/basename
setfacl -x surfuser /bin/bash.old
setfacl -x surfuser /bin/p11tool
setfacl -x surfuser /bin/pk12util
setfacl -x surfuser /bin/smime
setfacl -x surfuser /bin/shlibsign
setfacl -x surfuser /bin/sign*
setfacl -x surfuser /bin/ssltap*
setfacl -m u:surfuser:--x /home/surfuser
setfacl -m u:toranonym:- /home/surfuser
setfacl -m u:surfuser:- /usr/local
setfacl -m u:surfuser:- /opt
setfacl -m u:surfuser:--x /lib64
setfacl -m u:surfuser:--x /usr/lib64
setfacl -m u:surfuser:--x /lib
setfacl -m u:surfuser:--x /usr/lib
setfacl -m u:surfuser:- /misc
setfacl -m u:surfuser:- /net
setfacl -m u:surfuser:- /sid-root
setfacl -m u:surfuser:--x /etc
setfacl -m u:surfuser:- /intel-ucode
setfacl -m u:surfuser:--x /secoff
setfacl -m u:surfuser:- /smack
setfacl -m u:surfuser:- /srv
setfacl -m u:surfuser:- /--tcp-port
setfacl -m u:surfuser:- /initrd
setfacl -m u:surfuser:- /ttf
setfacl -m u:surfuser:- /none
setfacl -m u:surfuser:- /doc
setfacl -m u:surfuser:- /firejail
setfacl -m u:surfuser:- /root
setfacl -m u:surfuser:- /usr/lib64/kde4/*
setfacl -x surfuser /usr/lib64/kde4/libexec
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/*
setfacl -x surfuser /usr/lib64/kde4/libexec/kdesu*
return
}

case "DOLLARSIGN1" in start)
start
;;
*)
gprintf "Usage: %s {start|stop|restart|status} " "DOLLARSIGNLINFW3_PRG"
exit 1
esac

exit DOLLARSIGNRETVAL


Beachte: toranonym ist veraltert und wurde einst für Tor erstellt. Tor läuft nun aber wie generell Surfen mit dem Browser gleich mit unter surfuser. Dennoch kann man toranonym weiterhin zur Vergabe höherer Privilegien an viele Prozesse wie z.B. Chat (xchat, kvirc) und marble usw. verwenden. Gegebenenfalls braucht man aber nur surfuser, in diesem Fall zu erlaubenden Prozess einfach wieder mit Option x von setfacl zurücksetzen (freigeben). Weitere Prozesse sind dann hier und da gleich mit zu erlauben.

Ersetze DOLLARSIGN mit dem Dollar-Zeichen... und starte dieses Skript bei jedem Bootvorgang in /etc/rc.local mittels "sh /etc/init.d/dosetfacls start" !


Ein Runlevel-Init-Skript sollte höheren Runleveln bekannt gemacht werden (gilt nicht für die von uns, Gooken, erstellte Skripte dosetfacls und modules-disabled):

chkconfig --add rc.local && chkconfig --add a_runlevel_init_script

Vorteil: mit jeder Installlation neuer Pakete bleiben die ACL-Zugriffsrechte nach dem Booten immer erhalten! Das System wird dadurch einmal mehr sicher und mausklick-schnell.

Entleere /home/surfuser bis auf das Verzeichnnis .mozilla von Firefox, ."moonchild productions" von Pale Moon etc.!

OKChange File Attributes (chattr) zur Sicherung der Datenintegrität ( +i : Unveränderbarkeit )
man chattr
User-Extended-Attributes müssen für die zugehörige Partition als Option gesetzt sein!
Beachte aber, dass sich im Home-Verzeichnis fast ausschließlich Konfigurationsdateien befinden, denen eine automatische Änderung widerfahren kann, darunter für den Graphikserver X11/Xorg. Wir raten daher von chattr auf diesem Verzeichnis ab!

chattr +i -R /boot
chattr +i /etc/hosts* # Neben Root-Eigentumsrechten wichtiger Schutz vor Server-Pharming
chattr +i /etc/fstab
chattr +i /home/surfuser/.mozilla
chattr +i /home/surfuser/.mozilla/firefox/*.js
chattr +i /home/surfuser/.mozilla/firefox/profile.default/user.js
chattr +i /home/surfuser/torrc
chattr +i /home/surfuser/geoip*
chattr +i -R /home/user/.*
chattr +i -R /home/user/*
chattr -i -R /home/user/.dbus
chattr -i /home/user/.cache
chattr -i -R /home/user/.gnupg
chattr -i -R /home/user/.pulse*
chattr -i /home/user/.esd_auth*
chattr -i /home/user/.screenrc*
chattr -i /home/user/.Xauthority*
chattr -i /home/user/.Xdefaults*
chattr -i /home/user/.xsession*
chattr -i -R /home/user/.gconf*
chattr -i -R /home/user/.local*
chattr -i -R /home/user/.mcop*
chattr -i -R /home/user/.qt*
chattr -i -R /home/user/.kde*
chattr -i -R /home/user/.wine*
chattr -i -R /home/user/.MANY_GAMES_CONFIGS*
chattr -i -R /home/user/.config*

Hinzu kommen u.a. noch die grsecurity-Patches für den Kernel (bzw. seine root-Prozesse), Login-Passwortschutz und Sperrung aller System- und Benutzerkonten außer surfuser (und, falls separat, toruser), Sandbox Firejail (insbesonders zum Sperren der Shells bzw. Terminals) und Firewall Linfw3, Tor bzw. der Tor-Browser sowie FirefoxBrowser-Extensions wie Skriptfilter ABP, nologin und RequestPolicyBlockContinued, dazu im Einzelnen sp&aul;ter.

Set setfacl -m u:surfuser:- /usr/bin/* except for /usr/bin/bash, /usr/bin/export, /usr/bin/firefox, /usr/bin/firejail, /usr/bin/sg, /usr/bin/proftp*, /usr/bin/gftp*, /usr/bin/tor*, /usr/bin/xauth*, /usr/bin/xarg*, /usr/bin/tor and all communication programs, surfuser should be able to use.

OKrsyslog anstelle syslogd
Rsyslog is an enhanced multi-threaded syslogd supporting, among others, MySQL, PostgreSQL, syslog/tcp, RFC 3195, permitted sender lists, filtering on any message part, and fine grain output format control. It is quite compatible to stock sysklogd and can be used as a drop-in replacement. Its advanced features make it suitable for enterprise-class, encryption protected syslog relay chains while at the same time being very easy to setup for the novice user. o lmnet.so - Implementation of network related stuff. o lmregexp.so - Implementation of regexp related stuff. o lmtcpclt.so - This is the implementation of TCP-based syslog clients. o lmtcpsrv.so - Common code for plain TCP based servers. o imtcp.so - This is the implementation of the TCP input module. o imudp.so - This is the implementation of the UDP input module. o imuxsock.so - This is the implementation of the Unix sockets input module. o imklog.so - The kernel log input module for Linux. o immark.so - This is the implementation of the build-in mark message input module. o imfile.so - This is the input module for reading text file data.

Noch sind noch alle *syslog*-init-script-Dateien aus /etc/rc*.d/ und /etc/init.d/ mit dem Befehl "rm -df" zu löschen.

/etc/rsyslog.conf
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####

DollarsignModLoad imuxsock # provides support for local system logging (e.g. via logger command)
Dollarsignimklog # provides kernel logging support (previously done by rklogd)
#DollarsignModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#DOLLARSIGNModLoad imudp
#DOLLARSIGNUDPServerRun 514
# Provides TCP syslog reception
#DOLLARSIGNModLoad imtcp
#DOLLARSIGNInputTCPServerRun 514
#### GLOBAL DIRECTIVES ####
# Use default timestamp format
DOLLARSIGNActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#DOLLARSIGNActionFileEnableSync on
# Include all config files in /etc/rsyslog.d/
DOLLARSIGNIncludeConfig /etc/rsyslog.d/*.conf
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don´t log private authentication messages!
*.warn;mail.none;news.none;authpriv.none;cron.none /tmp/messages
# The authpriv file has restricted access.
authpriv.* /tmp/secure
# Log all the mail messages in one place.
mail.* -/tmp/maillog
# Log cron stuff
cron.* /tmp/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /tmp/spooler
# Save boot messages also to boot.log
local7.* /tmp/boot.log
# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#DOLLARSIGNWorkDirectory /var/lib/rsyslog # where to place spool files
#DOLLARSIGNActionQueueFileName fwdRule1 # unique name prefix for spool files
#DOLLARSIGNActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
#DOLLARSIGNActionQueueSaveOnShutdown on # save messages to disk on shutdown
#DOLLARSIGNActionQueueType LinkedList # run asynchronously
#DOLLARSIGNActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###
#
# INN
#
news.=crit /tmp/news/news.crit
news.=err /tmp/news/news.err
news.notice /tmp/news/news.notice
news.=debug /tmp/news/news.debug


OKMausklick-schnell: Kernel-Tuning mit sysctl
nano /etc/sysctl, ausfürhliche Beschreibung mit sysctl-gtk
# Kernel sysctl configuration file
# /etc/sysctl.conf
# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).
# Kernel sysctl configuration file for CentOS and Mandriva Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
# /etc/sysctl.conf
# additionally from http://joshrendek.com/2013/01/securing-ubuntu/ resp. http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
# Turn on execshild
# kernel.exec-shield = 1
# Controls the System Request debugging functionality of the kernel
kernel.sysrq =0
net.ipv6.conf.lo.use_tempaddr = 0
# Disables IP dynaddr
net.ipv4.ip_dynaddr = 1
# Disable ECN
net.ipv4.tcp_ecn = 1
# Controls source route verification
net.ipv4.conf.all.rp_filter =1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_congestion_control=cubic
# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq =0
# kernel.modules_disabled=0
# kernel.exec-shield=1
# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 0
# If the kptr_restrict value is 0, kernel addresses are provided without limitations (recommended).
# If the kptr_restict value is 1, addresses are provided if the current user has a CAP_SYSLOG
# capability.
# If the kptr_restrict value is 2, the kernel addresses are hidden regardless of privileges the
# current user has.

kernel.kptr_restrict=2
kernel.dmesg_restrict = 1
# kernel.yama.ptrace_scope=3
# If you set this variable to 1 then cd tray will close automatically when the
# cd drive is being accessed.
# Setting this to 1 is not advised when supermount is enabled
# (as it has been known to cause problems)
dev.cdrom.autoclose=1
dev.cdrom.autoeject=1
# removed to fix some digital extraction problems
# dev.cdrom.check_media=1
# to be able to eject via the device eject button (magicdev)
dev.cdrom.lock=0

# Disable netfilter on bridges.
#net.bridge.bridge-nf-call-ip6tables = 0
#net.bridge.bridge-nf-call-iptables = 0
#net.bridge.bridge-nf-call-arptables = 0
net.ipv4.ip_forward =0
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.tcp_max_syn_backlog =512
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.all.shared_media = 0
net.ipv4.conf.eth0.secure_redirects=1
net.ipv4.conf.eth0.shared_media=0

​# Increase system IP port limits
net.ipv4.ip_local_port_range = 2000 65000
# Increase TCP max buffer size setable using setsockopt()
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
net.ipv6.conf.eth0.disable_ipv6=1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.router_solicitations=0
net.ipv4.tcp_syncookies = 1
net.ipv6.conf.default.accept_ra_rtr_pref=0
net.ipv6.conf.default.accept_ra_pinfo=0
net.ipv6.conf.default.accept_ra_defrtr=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.default.dad_transmits=0
net.ipv6.conf.default.max_addresses=0
#
# ls /lib/modules/´uname -r´/kernel/net/ipv4/
# modprobe tcp_htcp
# modprobe tcp_cubic
# modprobe tcp_bbr
# net.core.default_qdisc=sch_fq_codel
net.ipv4.tcp_congestion_control=cubic
# BBR

# net.core.default_qdisc=fq
# net.ipv4.tcp_congestion_control=bbr

# Increase Linux auto tuning TCP buffer limits
# min, default, and max number of bytes to use
# set max to at least 4MB, or higher if you use very high BDP paths
net.core.somaxconn=65535
net.core.optmem_max=25165824
net.core.rmem_max =212992
net.core.wmem_max =212992
net.core.rmem_default =212992
net.core.wmem_default =212992
net.core.netdev_max_backlog = 1000
#
kernel.sysrq = 0
kernel.core_uses_pid = 1
# Optimization for port usefor LBs
# Increase system file descriptor limit
fs.file-max=65535
fs.protected_hardlinks=1
fs.protected_symlinks=1
fs.protected_regular=1
# fs.protected_fifos=1 # this might cause overflow of processes akonadi_maildir: system runs out of capacities
# fs.dir-notify-enable=0
# fs.mount-max=20
fs.suid_dumpable=0
# The kernel allocates aio memory on demand, and this number limits the
# number of parallel aio requests; the only drawback of a larger limit is
# that a malicious guest could issue parallel requests to cause the kernel
# to set aside memory. Set this number at least as large as
# 128 * (number of virtual disks on the host)
# Libvirt uses a default of 1M requests to allow 8k disks, with at most
# 64M of kernel memory if all disks hit an aio request at the same time.
# fs.aio-max-nr = 1048576
# Allow for more PIDs (to reduce rollover problems); may break some programs 32768
kernel.pid_max=65536
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 3294967295
kernel.shmall = 3294967295
kernel.randomize_va_space = 2

net.ipv4.tcp_fin_timeout =3600
net.ipv4.tcp_keepalive_time =7200
net.ipv4.tcp_keepalive_probes =7
net.ipv4.tcp_syn_retries =6
net.ipv4.tcp_retries1 =1
net.ipv4.tcp_retries2 =3
net.ipv4.tcp_retrans_collapse =1
net.ipv4.tcp_sack =1
net.ipv4.ip_default_ttl =64
net.ipv4.ipfrag_time =30
net.ipv4.ip_no_pmtu_disc =0
net.unix.max_dgram_qlen =10
vm.overcommit_memory =2
vm.overcommit_ratio=200
# or: vm.overcommit_kbytes=
vm.page-cluster =3
vm.oom_dump_tasks =0
vm.dirty_ratio=20
vm.dirty_writeback_centisecs=500
vm.dirty_background_ratio=5

kernel.ctrl-alt-del =1
kernel.panic =0
kernel.acct =4 2 30
# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3
kernel.printk =0 6 1 3
kernel.printk_ratelimit = 5 # period to wait in seconds
kernel.printk_ratelimit_burst = 60 # max. amount same time
kernel.shmall =-1
# If the kptr_restrict value is 0, kernel addresses are provided without limitations (recommended).
# If the kptr_restict value is 1, addresses are provided if the current user has a CAP_SYSLOG capability.
# If the kptr_restrict value is 2, the kernel addresses are hidden regardless of privileges the current user has.
kernel.kptr_restrict=2
# ptrace: process tracing
# kernel.yama.ptrace_scope=3
dev.raid.speed_limit_min =1000
dev.raid.speed_limit_max =200000
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_window_scaling=1
net.ipv4.tcp_timestamps=0
net.ipv4.conf.all.log_martians=1
net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.tcp_congestion_control=cubic
net.ipv4.conf.all.secure_redirects=1
net.ipv4.conf.all.shared_media=0
net.ipv4.conf.eth0.secure_redirects=1
net.ipv4.conf.eth0.shared_media=0

# The kernel allocates aio memory on demand, and this number limits the
# number of parallel aio requests; the only drawback of a larger limit is
# that a malicious guest could issue parallel requests to cause the kernel
# to set aside memory. Set this number at least as large as
# 128 * (number of virtual disks on the host)
# Libvirt uses a default of 1M requests to allow 8k disks, with at most
# 64M of kernel memory if all disks hit an aio request at the same time.
# fs.aio-max-nr = 1048576


http://www.linux-admins.net/2010/09/all-you-need-to-know-about-procsys.html
Example for ulimit, ulimit -a and sysctl -a, https://forum.altlinux.org/index.php?topic=4786.0

Verlinke

ln -sf /usr/sbin/sysctl /sbin/sysctl

.. und aktiviere sysctl in /etc/rc.local:

sysctl -p /etc/sysctl.config

OKktune: Tunen des Kernels bzw. mit Boot-Optionen ( /etc/init.d/ktune, falls nicht bereits in /boot/grub/menu.lst); mache es mausklick-schnell
/etc/sysctl.d/*
nano /etc/sysctl.d/01-disable-ipv6.conf
net.ipv6.conf.all.disable_ipv6 = 1

nano /etc/systcl.conf oder
nano /etc/sysctl.d/10-ptrace.conf
kernel.yama.ptrace.scope=3

nano /etc/sysctl.d/50-kptr-restrict.conf
kernel.kptr_restrict=2

nano /etc/sysctl.d/armci.conf
# Controls the maximum shared segment size, in bytes, siehe auch /etc/sysctl.conf
kernel.shmmax = 134217728

nano /etc/sysctl.d/libvirtd
The kernel allocates aio memory on demand, and this number limits the
# number of parallel aio requests; the only drawback of a larger limit is
# that a malicious guest could issue parallel requests to cause the kernel
# to set aside memory. Set this number at least as large as
# 128 * (number of virtual disks on the host)
# Libvirt uses a default of 1M requests to allow 8k disks, with at most
# 64M of kernel memory if all disks hit an aio request at the same time.
# fs.aio-max-nr = 1048576


Start ktune
sh /etc/init.d/ktune start

OKAktiviere SELinux
Security-Enhanced Linux (SELinux) ist ein zugriffskontrollenbasierter Sicherheitheitsmechanismus des Kernels.
SELinux stellt drei Basis-Modi bereit.

Enforcing: Dieser Modus erzwingt die Sicherheitsregeln.
Permissive: In diesem Modus erzwingt SELinux die Regeln noch nicht, es warnt und protokolliert Aktionen lediglich. Dieser Modus kann bei Problemen mit SELinux weiterhelfen.
Disabled: SELinux ist abgeschaltet.

Der Modus von SELinux mode wird mit den Befehlen ´system-config-selinux´, ´getenforce´ or ´sestatus´ abgefragt.

sestatus

Falls "disabled", erlaube SELinux mit:

setenforce enforcing

Alternativ kann SELinux auch mit der Datei ´/etc/selinux/config´ gemanaget werden. Dort kann man es aktivieren und deaktivieren.
https://www.tecmint.com/linux-server-hardening-security-tips/. Bootparameter in /boot/grub/menu:lst: "selinux=1"

AppArmor oder SELinux?, forum.ubuntuusers.de
Warum greift nicht auch Ubuntu zu SELinux, ... So sehe ich das auch....ich habe einfach kein Vertrauen mehr . Tom-L. Beiträge aus dem Jahr 2007 ( fünf Jahre vor Bekanntmachungen Snowdens ): 1181.
@glasen
Vielen Dank, werds mir morgen mal in Ruhe durchlesen.
@timmy11
Soso, die NSA aso. Hmm, da mache ich mir für meinen Teil mal weniger Sorgen... Ich meine, ok, wenns unsere Bundesregierung wäre... Bundestrojaner :lol:
Nee, aber mal Quatsch beiseite: Die Sicherheit gegen sog. unbefugte Dritte mag zwar vielleicht tatsächlich höher sein, wenn Institute wie die NSA involviert sind, aber den üblen Beigeschmack empfinde ich auch dabei.

timmy11
Vielleicht kann uns ja jemand vom Gegenteil überzeugen.
Für mich bedeutet Amerika (also die staatlichen Organisationen) erstmal: Ich will alles wissen und anzapfen.
Murdoc
Avatar von Murdoc
So sehe ich das auch....ich habe einfach kein Vertrauen mehr :(

Tom L.: Ich meine mal gelesen zu haben, dass SELinux offizieller Bestandteil des Kernels ist. Insoweit gehe ich davon aus, die sich Kernelentwickler (und zwar mehr als einer) den Quellcode vorab mal ganz genau angesehen haben.

glasen: Sorry, aber eure Paranoia ist ja nicht zum Aushalten.
Klar hat die NSA an der Entwicklung von SELinux mitgearbeitet, aber da es sich bei Linux um quelloffene und freie Software handelt, es ist unmöglich das die NSA sich irgendwelche Hintertürchen offengehalten hat.
Wenn es auch nur eine Zeile Code geben würde, die einem Peer-Review nicht standgehalten hätte, wäre SELinux niemals in die Kernelquellen aufgenommen worden!

Murdoc: Das glaube ich ja, aber dennoch haben sie sich alles sehr genau angesehen, und es gibt auch Kernel Exploits :-/

Wenn es der GEHEIMDIENST wirklich drauf anlegen würde, Backdoors in den Kernel zu bringen ... dann bestimmt nicht über ein Projekt wie SELinux, in dem sie sich offiziell einbringen, und den Leute mit gesunder Paranoia und Ahnung von der Materie (also nicht solche wie Du, Murdoc ;)) sehr genau anschauen, sondern über irgendwelche andere Kernelbestandteile.
comm_a_nder: Man Jungs, schnallt Eure Aluhüte nicht so eng, dann klappt es auch mit dem Denken.

Mosurft: Generell fühl ich mich bei der Verbindung SeLinux - NSA auch nicht so wohl, vor allem weil - so glaube ich - niemand jedes bisschen Quellcode analysieren und durchchecken kann, irgendjemand übersieht immer etwas, sonst gäbe es ja keine Sicherheitslücken, und gerade ein Geheimdienst hat natürlich ein großes Interesse daran, auf "Knopfdruck" alle PCs abchecken zu können...
Ich würde mal interessieren, wer SELinux auf seinem Ubunturechner laufen hat und wie es funktioniert! Und wenn jemandem SELinux nicht passt, was ist eigentlich mit Grsecurity? Hat das mal jemand ausprobiert?
Grüße Mo

comm_a_nder: Falls ich mich im Ton vergriffen haben sollte und Du Dich zu sehr persönlich angegriffen fühlst, tut es mir leid.
Zum Thema: Gerade die Teile der Software, die von der NSA dazugekommen ist, werden mir Sicherheit sehr genau analysiert wurden sein. Aber wie ich bereits sagte, gäbe es für die Jungs aus "Crypto City" mit Sicherheit wesentlich effizientere Wege, Code unauffällig in den Kernelsource wandern zu lassen.

Murdoc. Wenn wir schon paranoid unterwegs sind, dann stelle ich mal die Frage nach dem BIOS.
Jetzt, wo ASUS schon ein Minimal Linux zum Browsen anbietet, stellt sich die Frage, was das BIOS sonst noch so alles kann?

Mosurft: Wenn ich schon dem BIOS nicht traue, dann nutze ich besser gar keinen Computer...! ;) ...
forum.ubuntuusers.de/topic/apparmor-oder-selinux
Gooken.de:
Wie, auch nicht dem Bios Marke AWARD? Auf dem ITX-220 befindet sich ein aktivier- wie deaktivierbarer LAN-Chip und ein kleiner weiterer namens Coretemp, (angeblich) für die Temperatur-Regulierung. Diese belassen wir vorsichtshalber deaktivert. Der nächste Punkt: SELinux. Dieses ist wie unser Exkurs noch zeigen wird verdächtig überflü,ssig und gehört daher unserer Meinung nach als Bootparameter streng deaktivert.

Naja, lesen Sie zu dieser Thematik auch Mal unseren Teil News&Links.

Alle Intel-CPU-Generationen seit Celeron
"Wir können alles mitlesen", tagesschau.de, 04.01.2017
An der Aufdeckung der jüngst bekannt gewordenen Schwachstellen in zahlreichen Computerchips waren einem Zeitungsbericht zufolge auch Forscher der Technischen Universität Graz in Österreich beteiligt. "Wir waren selbst schockiert, dass das funktioniert", sagte Michael Schwarz von der TU Graz dem "Tagesspiegel".
Durch die Schwachstelle könnten alle Daten ausgelesen werden, die gerade im Computer verbreitet werden. "Wir können im Prinzip alles mitlesen, was sie gerade eintippen." Angreifer könnten so auch an Daten vom Onlinebanking oder gespeicherte Passwörter kommen. "Dazu müssen sie allerdings erst auf ihren Computer gelangen", schränkte Schwarz ein.
Wer die normalen Sicherheitshinweise befolge und keine unbekannten Anhänge öffne oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr.
https://www.tagesschau.de/ausland/intel-sicherheitsluecke-103.html

Schwere Lücke in allen Intel-CPUs entdeckt, PC-WELT, 03.01.2018
Eine schwere Sicherheitslücke steckt in Intel-Prozessoren der letzten 10 Jahre (die von uns vorgestellte ist nicht dabei, Anm., Gooken). Die Schließung kostet Performance.
https://www.pcwelt.de/a/schwere-luecke-in-allen-intel-cpus-entdeckt,3449263

Wie funktioniert diese Sicherheitslücke überhaupt?

Das Problem steckt im Prozessor der Geräte, genauer gesagt in einer bestimmten Funktion. Um die Prozessoren möglichst gut auszulasten, übernehmen sie in ruhigeren Zeiten Aufgaben, die möglicherweise erst später gebraucht werden. In dieser Technik haben Sicherheitsforscher eine Lücke entdeckt, die es möglich macht, auf alle Daten der Geräte zuzugreifen - auch auf persönliche Daten wie Passwörter.

Bin ich auch betroffen?

Fragt man Sicherheitsforscher, ist die Antwort klar: "Höchstwahrscheinlich ja". Das liegt zum einen daran, dass diese Sicherheitslücke sich in einer Technik befindet, die seit über 20 Jahren in viele Prozessoren eingebaut wird. Zum anderen hängt es damit zusammen, dass wir immer mehr Geräte nutzen, in denen Prozessoren eingesetzt werden. Von der aktuellen Lücke können vor allem klassische PCs und Notebooks, Smartphones und Tablets betroffen sein.

Wie funktioniert diese Sicherheitslücke überhaupt?

Das Problem steckt im Prozessor der Geräte, genauer gesagt in einer bestimmten Funktion. Um die Prozessoren möglichst gut auszulasten, übernehmen sie in ruhigeren Zeiten Aufgaben, die möglicherweise erst später gebraucht werden. In dieser Technik haben Sicherheitsforscher eine Lücke entdeckt, die es möglich macht, auf alle Daten der Geräte zuzugreifen - auch auf persönliche Daten wie Passwörter.

Welche Prozessoren haben das Problem?

Der Prozessorhersteller Intel hat das Problem für einen Großteil seiner Prozessoren eingeräumt. Daneben gibt es zwei weitere, große Prozessorhersteller: AMD und ARM. Bei AMD-Prozessoren ist die Lage noch unübersichtlich; das Unternehmen selbst hat am Mittwoch dementiert, dass es von den Problemen betroffen ist, Sicherheitsforscher dagegen haben auch AMD-Prozessoren auf ihrer Liste. ARM-Prozessoren, die vor allem in Smartphones und anderen mobilen Geräten eingesetzt werden, sind teilweise betroffen. Der Hersteller hat eine entsprechende übersicht ins Netz gestellt.

Ist mein Smartphone auch betroffen?

Das lässt sich noch nicht zuverlässig sagen - die Wahrscheinlichkeit ist aber hoch. In Smartphones werden bevorzugt ARM-Prozessoren eingesetzt, von denen viele Modelle anfällig für die Sicherheitslücke sind. Gerade für Android-Smartphones könnte das ein großes Problem sein, denn viele ältere Geräte werden von den Herstellern nicht mehr mit Updates versorgt, die Sicherheitslücke wird also bestehen bleiben.

Wie lässt sich das Problem beseitigen?

Per Software-Update lässt sich die Lücke nur zum Teil beseitigen. Die Sicherheitsforscher sehen zwei verschiedene Sicherheits-Szenarien für einen Angriff: "Meltdown" und "Spectre".

Das "Meltdown"-Problem lässt sich per Software-Update lösen, die "Spectre"-Sicherheitslücke dagegen nicht direkt. Dort kann ein Update erst dann helfen, wenn entsprechende Schadprogramme, die diese Lücke nutzen, im PC erkannt wurden.


Was sind "Meltdown" und "Spectre"?

Gibt es schon Updates?

Ja, Microsoft hat bereits ein Not-Update für Windows 10 bereitgestellt, dieses trägt die Kennummer KB4056890 und kann über die Update-Funktion des Betriebssystems installiert werden. Auch für Apple-Computern gibt es schon ein Update; die Lücke wurde Anfang September mit der Aktualisierung auf die Version 10.13.2 geschlossen. Wer alle aktuellen Updates eingespielt hat, ist damit erst einmal sicher vor Angriffen. ähnlich sieht es bei Linux aus, auch hier gibt es erste Updates, die das System sicher machen sollen. Werden PCs durch das Update langsamer?

Wahrscheinlich ja: Sicherheitsforscher sind in einer ersten Schätzung davon ausgegangen, dass ein Update PCs um bis zu 30 Prozent ausbremsen wird. Der Prozessor-Hersteller Intel widerspricht und geht von maximal zwei Prozent Geschwindigkeitsverlust aus. Wie sich die Updates in der Praxis bemerkbar machen, muss sich erst noch zeigen - Forscher gehen aber davon aus, dass die Updates im Laufe der Zeit besser werden und PCs kaum noch ausbremsen werden.

Muss ich Angst um meine persönlichen Daten haben?

Jein. Die Sicherheitslücke ist massiv und bietet Hackern bisher ungeahnte Möglichkeiten. Die Profis werden sich aber vor allem auf Rechenzentren mit Cloud-Daten stürzen. Die sind auch von der Sicherheitslücke betroffen. Dort werden teilweise Daten von Millionen Nutzern gespeichert, was sie als Angriffsziele viel interessanter macht als die PCs einzelner Nutzer.
https://www.tagesschau.de/ausland/prozessoren-101.html

Lesermeinung Gooken:
... fällt uns schwer, an sowas zu glauben...

OK... mögliche Abhilfen:
Datenbatt: von uns empfohlene Plattform: ITX-220: keine tabellarische Auflistung von derartigem Exploit bedrohter dem Mainboard zugehöriger spezieller Celeron-CPU durch Intel (1) und kein Auffinden den Exploit nach zugehörigem Intel-Werkzeug zur Systemanalyse (intel-sa00086.zip für Linux) kausalisierendens Modul MEI (2) (dieses lässt sich über das Kommando "modprobe mei" jedoch manuell, selbsttätig über /etc/modules oder bereits in dracut einbinden).
Is there a workaround/fix?
- There are patches against Meltdown for Linux ( KPTI (formerly KAISER)), Windows, and OS X. There is also work to harden software against future exploitation of Spectre, respectively to patch software after exploitation through Spectre, .https://meltdownattack.com/
- iucode-tool (pclos2018)
OK- CPU: mausklick-schnell und sicher: microcode_ctl (el6: microcode_ctl-1.17-33.23.el6_10.x86_64.rpm, fc29: 2.1-34, rosa2016.1 über el6) ggfls. entpacken und in Verzeichnisse kopieren) oder (derzeit noch mausklick-schneller) ucode-intel (OpenSuSE, gt;= 20190618-lp151.2.3.1.x86_64.rpm, ucode-intel-20190618-lp150.2.24.1.x86_64, ucode-intel-20190618-lp150.2.24.1.x86_64.rpm20190312-lp151.1.1, rpm), damit er als Befehl oder von der Konsole aus aktiviert wird, installiere zunächst microcode_ctl (el6, rpm -i --force), dann entpacktes micorode_ctl (microcode_ctl-1.17-33.23.el6_10.x86_64.rpm, rosa2016.1). In jedem Fall sollte ein aktuelles und das schnellste microcode_ctl installiert werden. Das Flashen der CPU mit dem Microcode muss noch über den Befehl "microcode_ctl -Qu" mit jedem Bootvorgang (z.B. von /etc/rc.local oder aus /usr/share/autostart/ heraus) erfolgen, andernfalls läuft die CPU wieder mit dem Werkscode vor dem Flashen.
Changelog rpm microcode_ctl
* Fr Dez 15 2017 Petr Oros poros@redhat.com - 1:1.17-25.2
- Update Intel CPU microde for 06-3f-02, 06-4f-01 and 06-55-04
- Add amd microcode_amd_fam17h.bin data file
- Resolves: #1527357

OKFirmware: Für Mausklick-Schnelle sorgt neben microcode_ctl (rosa2016.1, el6) erst aktuelle kernel-firmware (el6, aus dem Jahr 2020) mit kernel-headers (el6).

Deaktivierung des Kernel-Moduls MEI (Eintrag "blacklist mei" in /etc/modprobe.d/001blacklist). Security-Checks von Intel ü,berprüfen insbesonders dessen Aktivierung als auf Grundlage des Datenblatts alleinige Gefahrenquelle.

niue-muenzenFirewall Linfw3: Zur generellen Verhinderung von Auslesen durch Treiber, hier über Spectre und Meltdown: Zulassung des Netzverkehrs nur für den einzig zuzulassenden Benutzer namens "surfuser" mit Surf-Gruppe "surfgruppe" mit Zuweisung der Gruppe wie z.B. "nobody" zu dessen Primärgruppe! Linfw3 lässt also nur Benutzer "surfuser" mit dessen Gruppe "surfgruppe" (anstatt dessen Primärgruppe "nobody") fürs Online zu. Dabei wird mit Linfw3 selbst root (UID: root bzw. 0, GID: root bzw. 0) gesperrt.
Um paranoid zu sichern, damit die Verwirrung für den Kernel und CPU perfekt wird, alle Gruppennamen an Verzeichnissen und Dateien von surfuser (Benutzer mit Primärgruppe "nobody") noch auf "nobody" (anstelle surfgroup) setzen!

CPU: Sicher vor Meltdown, Spectre und Co?, PC-WELT.de, 28.05.2019
Die CPU-Sicherheitslücken Meltdown und Spectre halten die Linux-Kernel-Entwickler weiterhin auf Trab, zumal es je nach Prozessortyp 15 dokumentierte Varianten gibt. Schützt das aktuell genutzte Linux gegen bekannte Lücken? Wenn ja, gegen welche? Ein Blick auf die CPU-Flags gibt darüber Aufschluss.
Was können Meltdown und Spectre in Linux anrichten?
Es ist Sache der Kernel-Entwickler, Patches gegen die Spectre- und Meltdown-Lücken aufzunehmen. Danach folgt die Aufgabe für die Distributionsmaintainer, gepatchte Kernel-Versionen zeitnah per Update auszuliefern.
Am Ende steht die Verantwortung von Anwendern beziehungsweise Admins, die Aktualisierungen dann auch wirklich einzuspielen.
Von Seiten der Kernel-Entwickler gibt es mittlerweile immerhin eine einfache Methode, den Linux-Kernel nach erkannten und entschärfte CPU-Lücken abzufragen: Der Befehl

head /sys/devices/system/cpu/vulnerabilities/*

listet die erkannten Bugs in der verbauten CPU auf und gibt mit jeweils mit dem Stichwort "Mitigation" an, ob diese Lücken durch den Kernel gepatcht sind. Falls nicht, prangt hier ein "Vulnerable" (Verwundbar) hinter dem Namen des Bugs.
Achtung: Falls es die abgefragten Einträge überhaupt nicht gibt und head eine Fehlermeldung ausgibt, so ist der laufende Kernel definitiv zu alt und die Distribution verlangt dringend nach einem Update. Die nicht betroffenen ARM-CPUs antworten auf die Abfrage ebenfalls nicht.
https://www.pcwelt.de/tipps/CPU-Sicher-vor-Meltdown-Spectre-und-Co-10593390.html

Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....".

- Intel: Werkzeug für ME-Sicherheitslücken vorgestellt, 24.11.2017, https://www.pro-linux.de/news/1/25369/intel-werkzeug-f%C3%BCr-me-sicherheitsl%C3%BCcken-vorgestellt.html
- kernel-4.14 mit von kernel-4.15 reintegriertem KPTI-/KAISER-Patch
- "modprobe mei" oder besser: Ein- besser: Austrag von Kernel-Modul "mei" in /etc/modules
. - Update Firefox auf Version 63 bzw. 52.9.0-ESR (slack, OpenSuSE) - mit aus aktuellem Firefox aktualisierter nss (libnss*.so, libnspr4.so, libssl3.so) und "Security fixes to address the Meltdown and Spectre timing attacks - https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ - Require new nss 3.34 (fixed rhbz#1531031) - Disabled ARM on all Fedoras due to rhbz#1523912"
- Nvidia vs. Spectre: Neue Nvidia-Treiber schützen vor Spectre-CPU-Attacken, https://www.pcwelt.de/a/neue-nvidia-treiber-schuetzen-vor-spectre-cpu-attacken,3449339
NVIDIA graphics drivers (USN-3521-1, https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown?_ga=2.181440484.2145149635.1515760095-1741249263.1499327986)
- Webkitgtk+ (USN-3530-1)
- QEMU (USN-3560-1)
- libvirt (USN-3561-1)
- Cloud Images: Cloud images which address CVE-2017-5753 and CVE-2017-5715 (aka Spectre) and CVE-2017-5754 (aka Meltdown) are available for https://cloud-images.ubuntu.com from for the following releases: ...


OKSensoren und Chips des Mainboards einbinden:
Paket lm_sensors (pclos)
sensors-detect
modprobe für gefundene Module oder besser: Eintrag in /etc/modules (ITX-220: it87, coretemp, i2c-dev, mei, empfohlen: inaktiviert)
hingegen ggfls sicherer und mausklick-schneller. Einkommentierung oder ohne Eintrag in /etc/modules
LAN-Chip: ggfls. im BIOS mit CMOS-BIOS-Setup aktivieren (Grundeinstellung, empfohlen: inaktiviert)

OKquot;The Big Brother is watching you!"
Benutzerüberwachung und - Aktivitätenverfolgung
, 4.11.10, https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html
Wenn Sie wirklich paranoid sind, sollten Sie eine systemweite Einrichtung verwenden, um zu überwachen, was die Benutzer auf Ihrem System tun. In diesem Abschnitt werden einige Tipps vorgestellt, wie Sie verschiedene Werkzeuge verwenden.
Überwachung von Ein- und Ausgabe mittels eines Skripts, 4.11.10.1
- die Chronikdatei der Shell benutzen, 4.11.10.2
- Vervollständigung der Benutzerüberwachung durch Accounting-Werkzeuge, 4.11.10.3
- andere Methoden zur Benutzerüberwachung, 4.11.10.4
- Nachprüfung der Benutzerprofile, 4.11.11
- Umasks der Benutzer einstellen, 4.11.12
Abhängig von Ihren Benutzerrichtlinien möchten Sie ändern, wie Benutzer Informationen gemeinsam benutzen können. Dabei geht es um die Standardrechte von neu erstellten Dateien.
- Begrenzung des Zugangs zu Informationen anderer Benutzer, 4.11.13.1
- Nutzung und Anpassung von logcheck, 4.13.1

OKVerfolgung der Benutzeraktivitäten
If you are dealing with lots of users, then its important to collect the information of each user activities and processes consumed by them and analyse them at a later time or in case if any kind of performance, security issues. But how we can monitor and collect user activities information.
There are two useful tools called ´psacct´ and ´acct´ are used for monitoring user activities and processes on a system. These tools runs in a system background and continuously tracks each user activity on a system and resources consumed by services such as Apache, MySQL, SSH, FTP, etc. For more information about installation, configuration and usage, visit the below url.
Monitor User Activity with psacct or acct commands.
https://www.tecmint.com/linux-server-hardening-security-tips/

OKSystem-Buchhaltung mit auditd
auditd ermöglicht System-Audit. During startup, the rules in /etc/audit.rules are read by this daemon. You can open /etc/audit.rules file and make changes such as setup audit file log location and other option. With auditd you can answers the following questions:

System startup and shutdown events (reboot / halt).
Date and time of the event.
User responsible for the event (such as trying to access /path/to/topuser.dat file).
Type of event (edit, access, delete, write, update file &commands).
Success or failure of the event.
Records events that modify date and time.
Find out who made changes to modify the system´s network settings.
Record events that modify user/group information.
See who made changes to a file etc.


See our quick tutorial which explains enabling and using the auditd service.
https://www.cyberciti.biz/tips/linux-security.html

OKkauditd und auditd: Linux-Kernel-Audit-Subsystem und Linux-Audit-System
Who does audit the audit code?


"00:00:12 [kauditd] dbadmin 4182 1 4182 0 1 May18 00:02:19 /opt/vertica/spread/sbin/spread -c /home/dbadmin/DatabaseName/v_DatabaseName_node0001_catalog/spread.conf..."
https://forum.vertica.com/discussion/236239/vertica-service-not-starting-after-server-reboot

Kernel-interner audit-Daemon kauditd: URL, Webseiten-Inhalte: Fentstertitel, ... (online mit Browsern wie Firefox)
kauditd is a kernel process, which is a part of the Linux kernel responsible for the kernel audit events (and communicates with the auditd process). The special brackets surrounding it are telling you that this is not a regular (userland) process (launched through a command), but a kernel process (started/managed by the Linux kernel itself)
https://wiki.gentoo.org/wiki/SELinux/Tutorials/The_security_context_of_a_process

How to use Auditing System in Linux - Configure, Audit Logs and ...
Well, the Linux Auditing system is the answer for all the above questions. The Linux Auditing system allows an administrator to configure audit rules to monitor the system calls, network access, files etc…and generate a summary report - which can be later analyzed and investigated for suspicious activity.
https://techglimpse.com/how-to-use-auditing-system-in-linux-configure-audit-logs-and-generate-reports/

See our quick tutorial which explains enabling and using the auditd service.
https://www.cyberciti.biz/tips/linux-security.html

The Linux audit subsystem is not one of the best-loved parts of the kernel. It allows the creation of a log stream documenting specific system events - system calls, modifications to specific files, actions by processes with certain user IDs, etc. For some, it is an ideal way to get a handle on what is being done on the system and, in particular, to satisfy various requirements for security certifications (Common Criteria, for example). For others, it is an ugly and invasive addition to the kernel that adds maintenance and runtime overhead without adding useful functionality. More recently, though, it seems that audit adds some security holes of its own. But the real problem, perhaps, is that almost nobody actually looks at this code, so bugs can lurk for a long time.
The system call auditing mechanism creates audit log entries in response to system calls; the system administrator can load rules specifying which system calls are to be logged. These rules can include various tests on system call parameters, but there is also a simple bitmask, indexed by system call number, specifying which calls might be of interest. One of the first things done by the audit code is to check the appropriate bit for the current system call to see if it is set; if it is not, there is no auditing work to be done.
[...] In summary, the code is a giant mess. The way it works is nearly incomprehensible. It contains at least one severe bug. I´d love to see it fixed, but for now, distributions seem to think that enabling CONFIG_AUDITSYSCALL is a reasonable thing to do, and I´d argue that it´s actually a terrible choice for anyone who doesn´t actually need syscall audit rules. And I don´t know who needs these things.

It is telling, though, that this particular vulnerability has existed in the audit subsystem almost since its inception. The audit code receives little in the way of review; most kernel developers simply turn it off for their own kernels and look the other way. But this subsystem is just the sort of thing that distributors are almost required to enable in their kernels; some users will want it, so they have to turn it on for everybody. As a result, almost all systems out there have audit enabled (look for a running kauditd thread), even though few of them are using it. These systems take a performance penalty just for having audit enabled, and they are vulnerable to any issues that may be found in the audit code.
If audit were to be implemented today, the developer involved would have to give some serious thought, at least, to using the tracing mechanism. It already has hooks applied in all of the right places, but those hooks have (almost) zero overhead when they are not enabled. Tracing has its own filtering mechanism built in; the addition of BPF-based filters will make that feature more capable and faster as well. In a sense, the audit subsystem contains yet another kernel-based virtual machine that makes decisions about which events to log; using the tracing infrastructure would allow the removal of that code and a consolidation to a single virtual machine that is more widely maintained and reviewed.
The audit system we have, though, predates the tracing subsystem, so it could not have been based on tracing. Replacing it without breaking users would not be a trivial job, even in the absence of snags that have been glossed over in the above paragraph (and such snags certainly exist). So we are likely stuck with the current audit subsystem (which will certainly not be marked "broken" in the mainline kernel) for the foreseeable future. Hopefully it will receive some auditing of its own just in case there are more old surprises lurking therein.
Posted May 30, 2014 6:50 UTC (Fri) by bnorris (subscriber, #92090) [Link]
&g; As a result, almost all systems out there have audit enabled

DOLLARSIGN grep CONFIG_AUDIT /boot/config-´uname -r´
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y

( Sie möchten diese Zeilen ggfls. einkommentieren ...? )

> (look for a running kauditd thread)
None here.
&g; even though few of them are using it. These systems take a performance penalty just for having audit enabled, and they are vulnerable to any issues that may be found in the audit code.
I´m not an expert on the kaudit subsystem (in fact, I just learned of it), but it looks like kauditd is only spawned in response to a user-space request for it (e.g. from SELinux auditd). See kernel/audit.c:...
https://lwn.net/Articles/600568/ man auditd
man auditd.conf

Disable auditd temporarily (this will disable logging instantly but will not survive a reboot):


OKauditctl -e0 # z.B. in /etc/rc.local

Disable auditd permanently (this will require a reboot):

systemctl disable auditd

http://kb.ictbanking.net/article.php?id=632

OKkauditd - CentOS | Forum
kauditd. General support questions including new installations. How to disable kauditd? I tried to put audit=0 to the kernel line in grub, but no luck....
www.centos.org/forums/viewtopic.php?t=10899

Warum hatte er nur kein Glück damit? Bootparameter "audit=0" (Grub: /boot/grub/menu.lst) verhindert sehr wohl jeglichen Start des (auch mit SELinux von NSA möglicherweise in Verbindung stehenden) Kernel-Audit-Dämons kauditd: kein Kernel-Audit von Prozessen wie Firefox mehr!

OKDisable the OOM Killer (process oom_reaper), The Ubuntu Forum Community, Ubuntu Specialised Support, January 2nd, 2014
As the title suggests, regardless of the repercussions, how do you disable this "feature".
Please do not provide alternate suggestions such as "get more ram" or "tell the program to use less memory".
I´m running a Minecraft server that has its heap space and permgen configured to use nearly all of the available memory on the vps where it resides. I have a highly specific reason for doing this and no, it has never caused me any problems in the past.

Yes the OOM Killer is killing the process see: OOM killed process 659 (java) vm:4973220kB, rss:2066504kB, swap:0kB
Who ever thought killing processes that are consuming beyond a specific amount of memory was a good idea, you have caused me and, the users of my server immeasurable levels of frustration. I am no Linux guru, so any help would be appreciated so long as that help reads "To disable the oom-killer do X".
Thank you in advance.

Re: Disable the OOM Killer http://thetechnick.blogspot.com/2010...-on-linux.html http://www.oracle.com/technetwork/ar...r-1911807.html The OOM killer can be completely disabled with the following command. This is not recommended for production environments, because if an out-of-memory condition does present itself, there could be unexpected behavior depending on the available system resources and configuration. This unexpected behavior could be anything from a kernel panic to a hang depending on the resources available to the kernel at the time of the OOM condition.

sysctl vm.overcommit_memory=2 # mausklick-schnell echo "vm.overcommit_memory=2" >> /etc/sysctl.conf

[...] Re: Disable the OOM Killer
Hi, Psionic,
I was having the same difficulties. You report that the oom-killer is still killing your process, I suggest either properly fully disabling the oom-killer or lowering the overcommit ratio, as follows:

Disabling OOM Killer
According to: https://www.kernel.org/doc/Documenta...ups/memory.txt
Code:

You can disable the OOM-killer by writing "1" to memory.oom_control file, as:

# echo 1 > memory.oom_control # (unknown variable by sysctl, remark, Gooken)

Reducing Overcommit Ratio
According to https://www.kernel.org/doc/Documenta...mit-accounting
Code:

2 - Don´t overcommit. The total address space commit for the system is not permitted to exceed swap + a configurable amount (default is 50%) of physical RAM.
Depending on the amount you use, in most situations this means a process will not be killed while accessing pages but will receive errors on memory allocation as appropriate.
Useful for applications that want to guarantee their memory allocations will be available in the future without having to initialize every page.
The overcommit policy is set via the sysctl ´vm.overcommit_memory´.
The overcommit amount can be set via ´vm.overcommit_ratio´ (percentage) or ´vm.overcommit_kbytes´ (absolute value).
There´s a rather good article on this topic http://www.linuxdevcenter.com/pub/a/...ry.html?page=1
Of course, in general if you´re getting processes killed it means there´s a problem with using more memory than the system can cope with, and the symptoms are very likely to come out somewhere else. In my case the oom-killer was definitely picking the right process, even though it was the primary purpose of the whole computer: the program had a data-dependent bug and was allocating memory out of control.
I hope that helps.
Kind regards,
...
https://serverfault.com/questions/606185/how-does-vm-overcommit-memory-work

More about oom_reaper (oom_kill)
https://stackoverflow.com/questions/35791416/how-to-disable-the-oom-killer-in-linux
https://lwn.net/Articles/666024/
https://lwn.net/Articles/668126/
https://code.woboq.org/linux/linux/mm/oom_kill.c.html
https://www.oracle.com/technical-resources/articles/it-infrastructure/dev-oom-killer.html
https://superuser.com/q/1150215
https://ubuntuforums.org/showthread.php?t=2197016
https://askubuntu.com/q/1188024
https://unix.stackexchange.com/q/432171
https://blog.csdn.net/s_lisheng/article/details/82192613

OKDeaktivierung des rtkit-daemon (rpm rtkit)
Description: "RealtimeKit is a D-Bus system service that changes the scheduling policy of user processes/threads to SCHED_RR (i.e. realtime scheduling mode) on request. It is intended to be used as a secure mechanism to allow real-time scheduling to be used by normal user processes.".
https://fr2.rpmfind.net/
"I´s...a management daemon so to say. Instead of applications asking the kernel directly (and needing proper permissions for this, usually root) they ask the daemon. The daemon can hand out the realtime permissions then according it its configuration (/etc/dbus-1/system.d/org.freedesktop.RealtimeKit1.conf). It´s simply a helper process that allows applications to ask for realtime permissions through dbus...not really much more. But having such a helper process makes the whole procedure much more secure (no suid root needed for some programs), cleaner (dbus interface) and more flexible (one daemon to configure, not each program with an own configuration..if at all)."

For rtkit isn´t almost needed, as we got told in the internet above, and there are no real dependencies from it, it´ might not be a bad idea to deinstall it: "rpm -e --nodeps rtkit"

... dasselbe ggfls. mit Packagekit (el6), gvfsd (rpm: gvfs (el6) usw.: einfach deinstallieren! Je weniger (nicht benötigte) Daemonen (rpm) unter root laufen, desto mausklick-schneller und sicherer das System!

OKDeaktivierung von netns, migration/0, oom_reaper, kintegrityd,... ( einer von ihnen listet sogar den Titel der aktuell aufgerufenen Webseite auf !)
Kernel-Daemons lassen sich i.a. nicht deaktivieren! Ihre Deaktivierung gelingt ggfls nur ü,ber die Deaktivierung einzelner, nicht benötigter Kernel-Module mittels rmmod und delmod oder Kernel-Neukonfiguration (in .config).

OKnetns
Running strongSwan in Network Namespaces (netns) on Linux

Normally, the network stack (interfaces, routing tables, firewall rules etc.) is shared by all processes running on an operating system. With Linux network namespaces (netns) it´s possible to have multiple separate instances of the network stack.
Note: While basic support for network namespaces was added to the Linux kernel a long time ago, some features (e.g. CLUSTERIP support) might require a recent kernel.
The easiest way to work with network namespaces is to use the ip command of the iproute2 package. These commands will have to be executed as root (i.e. with sudo on most distros).
Network Namespace Basics
To create a new netns use the following command:

# ip netns add <network namespace name>

A list of all currently defined netns is provided by ip netns list.

Interfaces can be assigned to a netns with the ip link command:

# ip link set <interface name netns <netns name>

If you run ip link list afterwards such an interface won´t be seen as it is only available in the configured netns.

So to actually list the interface in a specific netns it´s required to be able to run commands in a specific netns. This can be done with the ip netns exec command. So to get a list of interfaces defined in a specific netns use:

# ip netns exec <netns name> ip link list

If only one physical interface is available, or if you don´t want to assign physical interfaces to the netns for other reasons, it´s possible to create virtual Ethernet interface pairs (veth, provided via CONFIG_VETH). These are like a bi-directional pipe (i.e. what´s written to one end comes out the other and vice-versa) of which one end is placed inside the netns and the other stays outside in the "default" or "global" namespace.

To create such a pair use:

# ip link add <interface name 1> type veth peer name <interface name 2>

This creates two connected Enthernet interfaces with the given names. One is assigned to a netns (via ip link) the other is not (it doesn´t matter which one and it´s also possible to assign both interfaces to two different netns to connect them). How the outer interface is used depends on the use case, it may be put inside a bridge, or used in routing rules to route traffic to and from a netns.

Since interfaces assigned to a netns are disabled they have to be enabled first, and they will probably also require an IP address, which can be done with:

# ip netns exec <netns name> ip addr add x.x.x.x/x dev <iface name>
# ip netns exec <netns name> ip link set dev <iface name> up

Similar to these commands routes or firewall rules may be added by running ip route or iptables inside a specific netns via ip netns exec <command.

Running a single instance of strongSwan inside a netns is straight-forward. Simply run ipsec commands via ip netns exec ipsec <command>.
But more interesting is probably running multiple instances of strongSwan in separate namespaces. Because all netns share the same file system this is a bit tricky.
Luckily, the ip netns exec command provides a helpful feature: Every file found in /etc/netns/<name>/ for a given netns is bind mounted over its corresponding counterpart in /etc (so it has to exist there). This can be used to provide different config files for each instance, but may also be used to redirect the so called piddir, where the charon and starter daemons create their PID files and UNIX sockets (the default is to use /var/run, which would conflict if multiple instances would use it).
To do so make sure strongSwan is configured with --sysconfdir=/etc and e.g. --with-piddir=/etc/ipsec.d/run. Then after building and installing strongSwan the piddirs can be created as follows:

# mkdir -p /etc/ipsec.d/run
# mkdir -p /etc/netns/<netns name 1>/ipsec.d/run
# mkdir -p /etc/netns/<netns name 2>/ipsec.d/run
https://wiki.strongswan.org/projects/strongswan/wiki/Netns

OKStrongSwan is an OpenSource IPsec-based VPN Solution for Linux * runs both on Linux 2.4 (KLIPS IPsec) and Linux 2.6 (NETKEY IPsec) kernels * implements both the IKEv1 and IKEv2 (RFC 4306) key exchange protocols * Fully tested support of IPv6 IPsec tunnel and transport connections * Dynamical IP address and interface update with IKEv2 MOBIKE (RFC 4555) * Automatic insertion and deletion of IPsec-policy-based firewall rules * Strong 128/192/256 bit AES or Camellia encryption, 3DES support * NAT-Traversal via UDP encapsulation and port floating (RFC 3947) * Dead Peer Detection (DPD, RFC 3706) takes care of dangling tunnels * Static virtual IPs and IKEv1 ModeConfig pull and push modes * XAUTH server and client functionality on top of IKEv1 Main Mode authentication * Virtual IP address pool managed by IKE daemon or SQL database * Secure IKEv2 EAP user authentication (EAP-SIM, EAP-AKA, EAP-MSCHAPv2, etc.) * Optional relaying of EAP messages to AAA server via EAP-RADIUS plugin * Support of IKEv2 Multiple Authentication Exchanges (RFC 4739) * Authentication based on X.509 certificates or preshared keys * Generation of a default self-signed certificate during first strongSwan startup * Retrieval and local caching of Certificate Revocation Lists via HTTP or LDAP * Full support of the Online Certificate Status Protocol (OCSP, RCF 2560). * CA management (OCSP and CRL URIs, default LDAP server) * Powerful IPsec policies based on wildcards or intermediate CAs * Group policies based on X.509 attribute certificates (RFC 3281) * Storage of RSA private keys and certificates on a smartcard (PKCS #11 interface) * Modular plugins for crypto algorithms and relational database interfaces * Support of elliptic curve DH groups and ECDSA certificates (Suite B, RFC 4869) * Optional built-in integrity and crypto tests for plugins and libraries * Smooth Linux desktop integration via the strongSwan NetworkManager applet This package triggers the installation of both, IKEv1 and IKEv2 daemons.
https://fr2.rpmfind.net

Block network access of a process, unix.stackexchange.com
It is possible to block the (outgoing) network access of a single process in different ways: by unshare / nsenter, ip-netns, iptables, apparmor and firejail.
https://unix.stackexchange.com/questions/68956/block-network-access-of-a-process

OKNotice: We use right above mentioned command "unshare" for starting firejail (for sandboxing firefox (including for example libtrace.so of different file-sizes the versions) by the command "unshare firejail..." etc)., psad (/etc/init.d/psad: prog="unshare psad"), uuidd (/etc/init.d/uuidd with prog="unshare uuidd" and "daemon.... unshare DOLLARSIGNDAEMON" within the start-function, apparmor-dbus out of /etc/rc.local, messagebus (/etc/init.d/messagebus with processname="unshare dbus-daemon", dbus), gpm (/etc/init.d/gpm with "daemon "unshare /usr/sbin/gpm" -m ... ), cups (/etc/init.d/cups with "daemon "unshare cups" ...), dm (again in /etc/init.d/dm), X (X11, ServerCmd=/usr/bin/unshare /usr/bin/X within (resp., to be more concrete, follow the linking of) /usr/share/config/kdm/kdmrc: enhance the command for execution of X with unshare: "ServerCmd=/usr/bin/unshare /usr/bin/X"), kdm (/usr/share/config/kdm/kdmrc with "Preloader=/usr/bin/unshare /usr/bin/preloadkde", haldaemon (/etc/init.d/haldaemon), udevd (in /sbin/start_udev with "else /usr/bin/unshare /sbin/udevd -d ..."), polkitd (/etc/xdg/polkit-gnome-authentification-agent-1.desktop: "exec=unshare /usr/libexec/polkit-gnome-authentication-agent-1" and /etc/xdg-polkit-kde-authentification-agent-1.desktop: "exec=unshare /usr/libexec/polkit-kde-authentification-agent-1 ), konsole and xterm, dolphin, drakconf.real resp. drakconf (MCC), network-ready-games like gl-117, trackballs, extremetuxracer, marsshooter, freedroidrpg, orbital, xonotic etc. in future (do them all just to be careful)! Some kernel-modules like for usblp for USB-printer by unshare (for example in /etc/rc.loca): unshare COMMA-ABOVE-FOR-EXECUTIONmodprobe usblpCOMMA-ABOVE-FOR-EXECUTION, graphic-card (just experimentel!): unshare COMMA-ABOVE-FOR-EXECUTIONi915COMMA-ABOVE-FOR-EXECUTION, mainboard (just experimentel): unshare COMMA-ABOVE-FOR-EXECUTIONlpc_ichCOMMA-ABOVE-FOR-EXECUTION, (less experimentel): unshare COMMA...modprobe videoCOMMA..., but still NOT functioning are those "unshared" ones for internal kernel-processs like kernel-daemon netns (/etc/rc.local): "unshare --net --mount -p pidof netns", oom_reaper (/etc/rc.local): "unshare --net --mount -p pidof oom_reaper", migration/0 (/etc/rc.local): "unshare --net --mount -p pidof migration/0". Also try firejail for a sandboxed network namespace by option net, netfilter, join-network=name|pid and netns, see man firejail, section join-network for good examples also doing fine with Linfw3 (through iptables-restore and iptables-save) or try slirp4netns (OpenSuSE 15.2)
rsyslog (runlevel-init-script /etc/init.d/rsyslog, line with daemon: .daemon --pidfile="DOLLARSIGNPIDFILE" unshare DOLLARSIGNexec -i "DOLLARSIGNPIDFILE&uqot; DOLLARSIGNSYSLOGD_OPTIONS

... dasselbe mit unshare ggfls. innerhalb /etc/init.d/cups!

Especially hardening the root- and suid-processes by unshare makes the computer secure (as quit all remaining riscs do depend from kernel-processes now) and, as we, believe it or not, really meant having recognized, very mouseclick-fast too!

OKÖffne bzw. starte alle Programme bzw. Anwendungen, die nicht im Netz kommunzieren sollen, vorsichtshalber immer mit unshare oder entsprechend konfiguriertem firejail, auch bereits innerhalb des K-Menüs, Kontextmenüs, Schnellstarters, Ordner Desktops und Terminals! Wende unshare auch auf firejail selbst an, wir geben den Aufruf von firejail als Sandbox für Browser wie Firefox mit unshare weiter unten noch ausführlich an!


OK, wir zeigen diesen Aufruf von Tor und Firefox mit Firejail über unshare ( ohne nähere Eröterung ) bereits an dieser Stelle:

OKsg surfgroup "unshare firejail --nice=19 --profile=/etc/firejail/firefox.profile /usr/lib64/firefox/firefox --no-remote &" && sg surfgroup "unshare firejail --nice=19 --profile=/etc/firejail/palemoon.profile tor -f /home/surfuser/torrc" && export RESOLV_HOST_CONF="/etc/hosts"

OKwatchdogd: How can I disable a watchdog, once it has been enabled?
Normally to shut down the watchdog driver you have to write a ´V´ character to /dev/watchdog which you could do from a root bash prompt just with:

echo ´V´ > /dev/watchdog

However, before you try to create your own watchdog driver take a look at the existing Linux watchdog daemon to see, if it can do the job. A good start is my page here: http://www.sat.dundee.ac.uk/~psc/watchdog/Linux-Watchdog.html
https://unix.stackexchange.com/questions/144588/how-can-i-disable-a-watchdog-once-it-has-been-enabled

OKIncrease kernel integrity with disabled Linux kernel modules loading
Increasing Linux kernel integrity
Disable loading kernel module on Linux systems
, linux-audit.com
The Linux kernel can be configured to disallow loading new kernel modules. This feature is especially useful for high secure systems, or if you care about securing your system to the fullest. In this article, we will have a look at the configuration of this option. At the same time allowing legitimate kernel modules to be loaded.
Disable kernel modules
Newer kernel modules have a sysctl variable named kernel.modules_disabled.
Sysctl is the tool which allows you to see and change kernel settings of a running system. The related /etc/sysctl.conf file is used to ensure that your settings are also used at the next boot of the system.
The sysctl key kernel.modules_disabled is very straightforward. If it contains a "1" it will disable loading new modules, where a"0" will still allow loading them.
Using this option will be a great protection against loading malicious kernel modules. For example, it may help to counter rootkits. Needless to say, but when someone was already been able to gain root access, you have a serious problem. Still, setting this security measure can be useful to achieve maximum hardening of your Linux system. An altered script or program has no chance of loading things you didn´t specifically approve.
[...] By default, the sysctl key is set to"0", which means new modules can be loaded. This is a safe default for systems but also allows malicious modules to be loaded.

# sysctl -a | grep modules
kernel.modules_disabled = 0

Now we disable loading new modules, by using the sysctl key and set it to"1". There are two ways of doing it, using sysctl directly or echo the value to a file on the pseudo file system /proc, which holds the kernel settings.

# echo 1 > /proc/sys/kernel/modules_disabled

Protection against re-enabling
You might think that loading a kernel module is as simple as re-enabling the option and then still load your kernel module. The kernel has a built-in protection, to avoid this from happening. Trying to set the value back to"0" will result in an"invalid argument" message.
Sysctl showing invalid argument when trying to set value
As can be seen, sysctl will say the value is set to"0". However, the value isn´t applied, as this key is read-only. Slightly confusing, and therefore always good to check the value again.

# sysctl kernel.modules_disabled
kernel.modules_disabled = 1

As expected, the value is still set to"1".
Disable module loading after boot time

By configuring the /etc/sysctl.conf file we can disallow the loading of kernel modules at boot time. Simply add the related line, with the value"1" as shown in the example. Caveat: Things might break
Depending on your environment, you might be careful with using this option. It may be working very well on servers, but not on desktop systems. The reason is the type of usage is different, especially when it comes with loading new kernel modules. For example inserting a USB drive, mouse or network functionality might break. So before deploying the option, make sure you test these common use cases.
Hybrid option
Instead of enabling the option directly via /etc/sysctl.conf, it might be better to activate this setting after booting and loading required modules.
Your startup script could be looking like:


#!/bin/sh/ # code by Gooken
sleep 45 # original text: 300, decrease this time, if working fine, if not, checkout lsmod and/or increase it!
# insmod <module>
modprobe usb_storage
modprobe vfat
modprobe fat
modprobe nls_iso8859_1
modprobe nls_cp437
modprobe glue_helper
modprobe dax
modprobe uinput
modprobe ahci
modprobe libahci
modprobe ecb
modprobe af_alg
modprobe algif_skcipher
modprobe lrw
modprobe cbc
modprobe aes_x86_64 # for USB, that might be LUKS-encrypted
modprobe twofish_common
modprobe twofish_x86_64_3way
modprobe twofish_x86_64
modprobe twofish_generic
echo 1 > /proc/sys/kernel/modules_disabled


Usually to get iptables working, these are the related modules: iptables, x_tables, iptable_filter.
Depending on your Linux distribution, the startup should be loaded as late as possible. If you have /etc/rc.local available, that is usually a safe bet.
Do you use this option already? Or found some other caveats? Like to hear your feedback in the comments.
https://linux-audit.com/increase-kernel-integrity-with-disabled-linux-kernel-modules-loading/

Mit anderen Worten: obige kleine Routine in ein Runlevel-Init-Skript (Vorlage wie nach modules-disabled umbenanntes Init-Skript linfw3 von Firewall Linfw3) aus /etc/init.d/ mitten in die Startfunktion start() schreiben und in /etc/rc.local zum regelmäßigen System-Boot mit "start &" als Hintergrundprozess aufrufen. Nicht benötigte Passagen könnnen vorher aus modules-disabled, hier zuvor linfw3, entfernt werden. Das Skript selbst wird nun nicht wie üblich mit chkconfig, über MCC (drakconf) oder systemd zum Aufruf veranlasst, sondern mit am besten aus der Datei /etc/rc.local heraus, und zwar mit dem Aufruf wie in unserem Beispiel "sh /etc/init.d/modules-disabled"

OKkernel.printk.* in /etc/sysctl.conf
kernel.printk =0 6 7 0 # The four values in printk denote: console_loglevel, default_message_loglevel, minimum_console_loglevel and default_console_loglevel respectively.
0=emerg, 1=alert, 2=crit, ...
kernel.printk_ratelimit = 5 # period to wait in seconds
kernel.printk_ratelimit_burst = 60 # max. amount same time
https://unix.stackexchange.com/questions/13019/description-of-kernel-printk-values

OKRegelmäßig Logs analysieren
Speichere logs in vorgesehene Log-Server. Damit wird verhindert, dass Eindringlinge auf einfache Art Modifikationen an Log-Dateien vornehmen. Hier noch einmal namentlich die in Linux üblichen Log-Dateien und ihre Verwendung:

/var/log/message - Hier protokolliert mehr oder weniger das gesamte System
/var/log/auth.log - Authentifizierung
/var/log/kern.log - Kernel-Logs.
/var/log/cron.log - Crond-Logs (cron job).
/var/log/maillog - Mailserver-Logs
/var/log/boot.log - System-boot-Log
/var/log/mysqld.log - Logdatei des MySQL-Datenbankservers
/var/log/secure - Authentifizierung
/var/log/utmp oder /var/log/wtmp : Protokolliert die records-Dateien
/var/log/yum.log: Yum-Logdatei
https://www.tecmint.com/linux-server-hardening-security-tips/

OKAllzu aufschlussreiche Systeminformation in Logdateien verhindern
Die Log-Level reichen von debug über info, warning bis emerg. Benutzer wie Prozesse können zuviel erfahren. Eine ausfürliche Protollierung rä,t sich nur je nachdem. Für Ausgaben wie dmesg verwende man ggfls. LogLevel warning:

/etc/init.d/rklogd
RKLOGD_OPTIONS="-c 4"

OKLogcheck
Das Paket logcheck ist in Debian auf drei Pakete verteilt ( CentOS el6 und mdv2010 nur ein Paket): logcheck (das Hauptprogramm), logcheck-database (eine Datenbank regulärer Ausdrücke für das Programm) und logtail (gibt Protokollzeilen aus, die noch nicht gelesen wurden). Der Satndard unter Debian (in /etc/cron.d/logcheck) ist, dass logcheck jede Stunde und nach jedem Neustart ausgeführt wird.
Wenn dieses Werkzeug in geeigneter Weise angepasst wurde, kann es sehr nützlich sein, um den Administrator zu alarmieren, wenn etwas ungewöhnliches auf dem System passiert. Logcheck kann vollständig angepasst werden, so dass es Mails über Ereignisse aus den Protokollen sendet, die Ihrer Aufmerksamkeit bedürfen. Die Standard-Installation umfasst Profile zum Ignorieren von Ereignissen und Verstößen gegen die Sicherheitsrichtlinie für drei unterschiedliche Einsatzbereiche (Workstation, Server und paranoid). Das Debian-Paket umfasst die Konfigurationsdatei /etc/logcheck/logcheck.conf, die vom Programm eingelesen wird, und die definiert, an welchen Benutzer die Testergebnisse geschickt werden sollen. Es stellt außerdem einen Weg für Pakete zur Verfügung, um neue Regeln in folgenden Verzeichnisses zu erstellen: /etc/logcheck/cracking.d/_packagename_ /etc/logcheck/violations.d/_packagename_, /etc/logcheck/violations.ignore.d/_packagename_, /etc/logcheck/ignore.d.paranoid/_packagename_, /etc/logcheck/ignore.d.server/_packagename_, und /etc/logcheck/ignore.d.workstation/_packagename_. Leider benutzen das noch nicht viele Pakete. Wenn Sie ein Regelwerk entwickelt haben, dass für andere Benutzer nützlich sein könnte, schicken Sie bitte einen Fehlerbericht für das entsprechende Paket (als ein wishlist-Fehler). Mehr Informationen finden Sie unter /usr/share/doc/logcheck/README.Debian.
logcheck konfiguriert man am besten, indem man nach der Installation die Hauptkonfigurationsdatei /etc/logcheck/logcheck.conf bearbeitet. Verändern Sie den Benutzer, an den die Berichte geschickt werden (standardmäßig ist das Root). Außerdem sollten Sie auch den Schwellenwert für Berichte festlegen. logcheck-database hat drei Schwellenwerte mit steigender Ausführlichkeit: Workstation (Arbeitsplatz), Server und paranoid. "server" ist der Standardwert, "paranoid" wird nur für Hochsicherheitsmaschinen empfohlen, auf denen so wenig Dienste wie möglich laufen. "workstation" eignet sich für relativ geschützte, nicht kritische Maschinen. Wenn Sie neue Protokoll-Dateien hinzufügen wollen, müssen Sie diese nur zu /etc/logcheck/logcheck.logfiles hinzufügen. Es ist für die standardmäßige Syslog-Installation eingerichtet.
Once this is done you might want to check the mails that are sent, for the first few days/weeks/months. If you find you are sent messages you do not wish to receive, just add the regular expressions (see regex(7) and egrep(1)) that correspond to these messages to the /etc/logcheck/ignore.d.reportlevel/local. Try to match the whole logline. Details on howto write rules are explained in /usr/share/doc/logcheck-database/README.logcheck-database.gz. It´s an ongoing tuning process; once the messages that are sent are always relevant you can consider the tuning finished. Note that if logcheck does not find anything relevant in your system it will not mail you even if it does run (so you might get a mail only once a week, if you are lucky).

OKKonfiguration, wohin Alarmmeldungen geschickt werden
Debian wird mit einer Standardkonfiguration für Syslog (in /etc/syslog.conf) ausgeliefert, so dass Meldungen je nach System in die passenden Dateien geschrieben werden. Das sollte Ihnen bereits bekannt sein. Falls nicht, werfen Sie einen Blick auf die Datei syslog.conf und deren Dokumentation. Wenn Sie ein sicheres System betreuen wollen, sollte Ihnen bekannt sein, wohin Protokoll-Meldungen geschickt werden, so dass sie nicht unbeachtet bleiben.
Zum Beispiel ist es für viele Produktiv-Systeme sinnvoll, Meldungen auch auf der Konsole auszugeben. Aber bei vielen solcher Systeme ist es wichtig, eine neue Maschine zu haben, die für die anderen als ein Loghost fungiert (d.h. sie empfängt die Protokolle aller anderen Systeme).
Sie sollten auch an Mails für Root denken, da viele Programme zur Sicherheitskontrolle (wie snort) ihre Alarme an die Mailbox von Root senden. Diese Mailbox zeigt normalerweise auf den ersten Benutzer, der auf dem System erstellt wurde (prüfen Sie dazu /etc/aliases). Sorgen Sie dafür, dass Roots Mails irgendwo hin geschickt werden, wo sie auch gelesen werden (lokal oder in der Ferne).
Es gibt noch andere Konten mit besonderen Funktionen und andere Aliase auf Ihrem System. Auf einem kleinen System ist es wohl am einfachsten, sicherzustellen, dass alle Aliase auf das Root-Konto verweisen, und dass Mails an Root in das persönliche Postfach des Systemadministrators weiter geleitet werden.

OKPrüfung der Integrität des Dateisystems
Sind Sie sich sicher, dass /bin/login auf Ihrer Festplatte immer noch dasselbe Programm ist, das Sie vor ein paar Monaten installiert haben? Was wäre, wenn es sich um eine gehackte Version handelt, die eingegebene Passwörter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt?
Die einzige Methode, um einen gewissen Schutz dafür zu haben, ist es, die Dateien jede(n) Stunde/Tag/Monat (ich ziehe täglich vor) zu prüfen, indem man deren aktuelle und alte MD5-Summe vergleicht. Zwei unterschiedliche Dateien können keine gleichen MD5-Summen haben (die MD5-Summe umfasst 128 Bits, so ist die Wahrscheinlichkeit, dass zwei unterschiedliche Dateien eine gleiche MD5-Summe haben etwa 1 zu 3,4e3803). So sind Sie sicher, solange niemand den Algorithmus gehackt hat, der die MD5-Summen auf Ihrer Maschine erstellt. Dies ist, nun ja, extrem schwer und sehr unwahrscheinlich. Sie sollten diese Überprüfung Ihrer Programme als sehr wichtig ansehen.
Weit verbreitete Werkzeuge hierfür sind sxid, aide (Advanced Intrusion Detection Environment, fortgeschrittene Umgebung zur Erkennung von Eindringlingen), tripwire, integrit und samhain. Das Installieren von debsums wird Ihnen helfen, die Integrität des Dateisystems zu überprüfen, indem Sie die MD5-Summen jeder Datei gegen die MD5-Summe aus dem Debian-Archiv-Paket vergleichen. Seien Sie aber gewarnt, dass diese Dateien sehr leicht von einem Angreifer geändert werden können. Außerdem stellen nicht alle Pakete MD5-Summen für die in ihnen enthaltenen Programme zur Verfügung. Weitere Informationen finden Sie unter Regelmäßiges Überprüfung der Integrität, Abschnitt 10.2 und Einen Schnappschuss des Systems erstellen, Abschnitt 4.19.
You might want to use locate to index the whole filesystem, if so, consider the implications of that. The Debian findutils package contains locate which runs as user nobody, and so it only indexes files which are visible to everybody. However, if you change it´s behaviour you will make all file locations visible to all users. If you want to index all the filesystem (not the bits that the user nobody can see) you can replace locate with the package slocate. slocate is labeled as a security enhanced version of GNU locate, but it actually provides additional file-locating functionality. When using slocate, the user only sees the actually accessible files and you can exclude any files or directories on the system. The slocate package runs its update process with higher privledges than locate, and indexes every file. Users are then able to quickly search for every file which they are able to see. slocate doesn´t let them see new files; it filters the output based on your UID.
Sie sollten auch bsign oder elfsign einsetzen. elfsign bietet die Möglichkeit, digitale Signaturen an ELF-Binaries anzufügen und diese Signaturen zu überprüfen. Die aktuelle Fassung verwendet PKI, um die Checksummen der Binaries zu signieren. Dies hat den Vorteil, dass festgestellt werden kann, ob das Binary verändert wurde und wer es erstellt hat. bsign verwendet GPG, elfsign benutzt PKI-(X.509)-Zertifikate (OpenSSL).
https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html

OKSichere Verschlüsselung mit NSS: Firefox: Kopiere die sichere libssl*, libnss* and libnspr4* vom Tor-Browser (ESR) oder einer aktuellen Firefox-Version in das Verzeichnis von Firefox (ESR, same version as tor-browser) /usr/lib64/firefox/ und führe chown root:root und chmod 755 auf diese Dateien aus. http://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/linux4humans:/sle11_software:/firefox/openSUSE_Evergreen_11.4/x86_64/MozillaFirefox-52.9.0-10.2.x86_64.rpm
https://slackware.pkgs.org/14.0/salix-x86_64/mozilla-firefox-52.9.0esr-x86_64-1gv.txz.html (slack14.0)
http://download.salixos.org/x86_64/14.0/salix/xap/mozilla-firefox-52.9.0esr-x86_64-1gv.txz (slack14.0)
https://fr2.rpmfind.net/linux/mageia/distrib/6/x86_64/media/core/updates/firefox-52.9.0-1.mga6.x86_64.rpm
https://rpm.pbone.net/index.php3/stat/4/idpl/54051369/dir/opensuse_leap_15/com/MozillaFirefox-52.9.0-lp150.5.1.x86_64.rpm.html
https://rpm.pbone.net/index.php3/stat/4/idpl/55298083/dir/opensuse/com/MozillaFirefox-52.9.0-4.5.x86_64.rpm.html
Firefox-ESR-52.8.1 (el6, fr2.rpmfind.net)

OKPale Moon, beachte: noscript und RequestPolicy blocken in einigen Versionen von Pale Moon nur sehr unvollständig!


OKSchutz vor ARP-Angriffen, 4.18.6, https://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html
Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen.
Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe RFC826). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ...
Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison.
Allerdings gibt es immer eine Lösung:

Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie "statische" Einträge in Ihrem ARP-Speicher:

arp -s host_name hdwr_addr

Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert.

Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu arpwatch, karpski oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie snort oder prelude, einsetzen.
Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft.

OKAbsichern von Diensten, die auf Ihrem System laufen
SSH, Squid, FTP, X-Window-System, Display-Manager, Druckerzugriff, Mail-Dienst, BIND, Apache, Finger, allgemeine chroot- und suid-Paranoia, Klartextpasswort-Paranoia, NIS deaktivieren, Abschalten von RPC-Diensten:
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html

Paketsignierung
https://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html

OKProgramme zur Fernprüfung der Verwundbarkeit, https://www.debian.org/doc/manuals/securing-debian-howto/ch8.de.html
Die Werkzeuge, um eine Fernprüfung der Verwundbarkeit durchzuführen, sind unter Debian (und CentOS/mdv2010): [67]
nessus
raccess
nikto (Ersatz für whisker)
Das weitaus vollständigste und aktuellste Werkzeug ist nessus, welches aus einem Client (nessus) mit graphischer Benutzungsschnittstelle und einem Server (nessusd), der die programmierten Attacken startet, besteht. Nessus kennt verschiedene entfernten Verwundbarkeiten für einige Systeme, einschließlich Netzwerkanwendungen, FTP-Servern, WWW-Servern, usw. Die neusten Sicherheitsplugins sind sogar in der Lage, eine Web-Seite zu analysieren und zu versuchen, interaktive Inhalte zu entdecken, die zu einem Angriff genutzt werden können. Es existieren auch Java- und Win32-Clients, die benutzt werden können, um sich mit dem Nessus-Server zu verbinden. Diese sind jedoch in Debian nicht enthalten.
nikto ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch einige Anti-IDS-Taktiken (die meisten davon sind keine Anti-IDS-Taktiken mehr). Er ist einer der besten verfügbaren CGI-Scanner zur Erkennung von WWW-Servern und kann nur bestimmte Angriffe gegen ihn starten. Die Datenbank, die zum Scannen benutzt wird, kann sehr leicht geändert werden, um neue Informationen einzufügen.

OKWerkzeuge zum Scannen von Netzwerken
Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts (aber nicht zur Gefahrenabschätzung). Diese Programme werden in manchen Fällen von Scannern zur Gefahrenabschätzung zu einem ersten "Angriff" gegen entfernte Rechner genutzt, um festzustellen, welche Dienste angeboten werden. Unter Debian sind im Moment verfügbar:

nmap, xprobe, p0f, knocker/knock, isic, hping2, icmpush, nbtscan (für die Prüfung von SMB und NetBIOS), fragrouter, strobe(aus dem Paket netdiag), irpas, ...

Während xprobe lediglich aus der Ferne das Betriebssystem erkennen kann (indem es TCP/IP-Fingerabdrücke benutzt, machen nmap und knocker beides: das Betriebssystem erkennen und die Ports eines entfernten Rechners scannen. Andererseits können hping2 und icmpush für ICMP-Angriffstechniken benutzt werden.
Nbtscan, das speziell für SMB-Netzwerke entworfen wurde, kann benutzt werden, um IP-Netzwerke zu scannen und diverse Informationen von SMB-Servern zu ermitteln einschließlich der Benutzernamen, Netzwerknamen, MAC-Adressen, ...
Dagegen kann fragrouter dazu verwendet werden, um Systeme zur Eindringlingserkennung zu testen und um zu sehen, ob das NIDS mit fragmentierten Angriffen umgangen werden kann.

OKVirtual Private Networks (virtuelle private Netzwerke, VPN), https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.de.html
Ein virtuelles privates Netzwerk (VPN) ist eine Gruppe von zwei oder mehreren Computern, die typischerweise zu einem privaten Netzwerk mit begrenztem öffentlichen Netzwerkzugang verbunden sind und sicher über ein öffentliches Netzwerk kommunizieren. VPNs können einen einzelnen Rechner mit einem privaten Netzwerk verbinden (Client-Server) oder ein entferntes LAN mit einem privaten Netzwerk (Server-Server). VPNs verwenden Verschlüsselung, starke Authentifikation von entfernten Benutzern oder Hosts und Methoden, um die Struktur des privaten Netzwerks zu verstecken.


VPN für mehr Schutz in offenen Netzen, netzpolitik.org, 30.04.2018
"VPN steht für Virtual Private Network. Mit einem VPN-Client lässt sich nicht nur weitgehend anonym surfen, sondern auch bei anderen Online-Aktivitäten die eigene Identität verschleiern. Das ist vor allem wichtig, wenn man in offenen WLANs unterwegs ist, wo der Betreiber den Datenverkehr mitüberwachen kann. VPN-Software leitet sämtlichen Verkehr zunächst vom eigenen Gerät verschlüsselt zum Server des Anbieters und von dort ins Netz. Auch kann man durch VPN-Server vorgeben, aus einem bestimmten Land zu sein, und dadurch Geoblocking umgehen.
Manche VPN-Anbieter versprechen ihren Nutzern, ihre Zugriffsdaten nicht zu speichern und dadurch ihre Anonymität zu wahren. Aber Obacht: Wenn der gesamte Internetverkehr durch einen VPN-Anbieter getunnelt wird, versetzt das diesen in eine besonders wichtige Lage und macht ihn zu einem attraktiven Ziel. Dass Anbieter von VPN-Diensten selbst nicht mitlesen, gilt bei weitem nicht für alle VPN-Anbieter, etwa den entsprechenden Dienst von Facebook. Auf keinen Fall sollte man daher Gratis-Lösungen nutzen. Im Umfeld von netzpolitik.org werden beispielsweise IPredator oder F-Secure verwendet. Am sichersten ist aber immer noch, den VPN über einen eigenen Server zu betreiben.
Staaten wie China, Russland und der Iran schränken die Nutzung von VPN-Diensten stark ein. Das sollte man vor einem Reiseantritt bedenken. Auch gilt es bei der Verwendung von VPN-Diensten und Tor-Browsern zu bedenken: Sobald man sich im Browser irgendwo einloggt, ist es - zumindest gegenüber dem verwendeten Dienst - vorbei mit der Anonymität.
"

https://netzpolitik.org/2018/kleines-einmaleins-der-digitalen-selbstverteidigung/

Debian (CentOS el6 bzw. mdv2010) enthält etliche Pakete, die zum Aufsetzen von verschlüsselten virtuellen privaten Netzwerken verwendet werden können:

vtun, tunnelv (Abschnitt non-US), cipe-source, cipe-common, tinc, secvpn, pptpd, openvpn, openswan (http://www.openswan.org/)

Das OpenSWAN-Paket ist wahrscheinlich die beste Wahl, da es nahezu mit allen zusammenarbeiten kann, die das IP-Security-Protokoll IPsec (RFC 2411) benutzen. Aber auch die anderen oben aufgeführten Pakete können Ihnen helfen, möglichst schnell einen sicheren Tunnel aufzusetzen. Das Point-to-Point-Tunneling-Protocol (PPTP) ist ein urheberrechtlich geschütztes Protokoll von Microsoft für VPN. Es wird unter Linux unterstützt, aber es sind einige schwere Sicherheitsprobleme bekannt.
Für weitere Informationen über IPsec und PPTP lesen Sie bitte das VPN-Masquerade-HOWTO, über PPP über SSH das VPN-HOWTO, das Cipe-Mini-HOWTO und das PPP- und SSH-Mini-HOWTO.

Ist Debian sicherer als andere Linux-Distributionen (wie Red Hat, SuSE, ...)?, https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html
Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden.

OKReaktion bei Benutzer-Untätigkeit, https://wiki.centos.org/HowTos/OS_Protection
Now that we´ve restricted the login options for the server, lets kick off all the idle folks. To do this, we´re going to use a bash variable in /etc/profile. There are some reasonably trivial ways around this of course, but it´s all about layering the security.

echo "Idle users will be removed after 15 minutes"
echo "readonly TMOUT=900" >> /etc/profile.d/os-security.sh
echo "readonly HISTFILE" >> /etc/profile.d/os-security.sh
chmod +x /etc/profile.d/os-security.sh

OKBeschränkungen für cron und at, https://wiki.centos.org/HowTos/OS_Protection
In einigen Fällen möchten Aadministratoren oder andere vertrauenswürdige Benutzer Cronjobs oder zeitgesteuerte Skripte mit at starten. Um das zu verhindern, erzeuge man in /etc die Dateien cron.deny und at.deny mit den Namen aller blockierten Benutzer. Eine einfache Möglichkeit besteht in dem Parsen von /etc/passwd mit folgendem Skript:

echo "Locking down Cron"
touch /etc/cron.allow
chmod 600 /etc/cron.allow
awk -F: ´{print DOLLARSIGN1}´ /etc/passwd | grep -v root > /etc/cron.deny
echo "Locking down AT"
touch /etc/at.allow
chmod 600 /etc/at.allow
awk -F: ´{print DOLLARSIGN1}´ /etc/passwd | grep -v root > /etc/at.deny

OKLockdown Cronjobs
Cron integriert ein Feature, mit dem angegeben werden kann, welche Benutzer erlaubt und welche nicht erlaubt sind, Cronjobs zu starten. Kontrolliert wird das mittels den Dateien /etc/cron.allow und /etc/cron.deny. Um einen Benutzer zu sperren oder zu erlauben, füge einfach dessen Namen in die Datei cron.deny bzw. cron.allow ein. Sollen alle Benutzer gesperrt werden, füge cron.deny die Zeile ´ALL´ hinzu.

# echo ALL >> /etc/cron.deny
Beispiele für Cron-Scheduling: https://www.tecmint.com/11-cron-scheduling-task-examples-in-linux/
Quelle: https://www.tecmint.com/linux-server-hardening-security-tips/

OK/proc/sys/* - Kernel-Parameter (Kernel-Flags) &Co.: Detaillierte Konfiguration
sysctl.conf - Variablen sind Dateien aus /proc/sys

OKSysctl, https://wiki.centos.org/HowTos/OS_Protection
Als nächstes verändere man /etc/sysctl.conf. Folgende Zeilen sollten enthalten sein: Wenn Sie mehrere Netzwerk-Schnittstellen haben, können einige davon Probleme verursachen. Daher sind sie auzutesten.
Weitere Einzelheiten hierzu entnehme man dem Paket kernel-doc in der documentation/networking/ip-sysctl.txt.

see /proc/sys or check actual settings by "sysctl -a"
/etc/sysctl.conf

# Kernel sysctl configuration file for Mandriva Linux / CentOS 6
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
net.ipv6.conf.lo.use_tempaddr = 0
# Disables IP dynaddr
net.ipv4.ip_dynaddr = 1
# Disable ECN
net.ipv4.tcp_ecn = 1
# Controls source route verification
net.ipv4.conf.all.rp_filter =1
net.ipv4.conf.default.rp_filter = 1
# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0
# Controls the System Request debugging functionality of the kernel
kernel.sysrq =0
# kernel.exec-shield=1
# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 0
kernel.dmesg_restrict = 1
# If you set this variable to 1 then cd tray will close automatically when the
# cd drive is being accessed.
# Setting this to 1 is not advised when supermount is enabled
# (as it has been known to cause problems)
dev.cdrom.autoclose=1
# removed to fix some digital extraction problems
dev.cdrom.check_media=1

# to be able to eject via the device eject button (magicdev)
dev.cdrom.lock=0
# Disable netfilter on bridges.
#net.bridge.bridge-nf-call-ip6tables = 0
#net.bridge.bridge-nf-call-iptables = 0
#net.bridge.bridge-nf-call-arptables = 0
net.ipv4.ip_forward =0
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.tcp_max_syn_backlog =512
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.log_martians = 1
​net.ipv4.ip_local_port_range = 2000 65000
# Increase TCP max buffer size setable using setsockopt()
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
net.ipv6.conf.eth0.disable_ipv6=1
net.ipv6.conf.default.router_solicitations=0
net.ipv4.tcp_syncookies = 1
net.ipv6.conf.default.accept_ra_rtr_pref=0
net.ipv6.conf.default.accept_ra_pinfo=0
net.ipv6.conf.default.accept_ra_defrtr=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.default.dad_transmits=0
net.ipv6.conf.default.max_addresses=0
#
# cat /proc/sys/net/ipv4/tcp_congestion_control
# ls /lib/modules/´uname -r´/kernel/net/ipv4/
# modprobe tcp_htcp
# modprobe tcp_cubic
# modprobe tcp_bbr
# net.core.default_qdisc=sch_fq_codel
net.ipv4.tcp_congestion_control=cubic
# BBR
# net.core.default_qdisc=fq
# net.ipv4.tcp_congestion_control=bbr
# Increase Linux auto tuning TCP buffer limits
# min, default, and max number of bytes to use
# set max to at least 4MB, or higher if you use very high BDP paths
net.core.rmem_max =212992
net.core.wmem_max =212992
net.core.rmem_default =212992
net.core.wmem_default =212992
net.core.netdev_max_backlog = 5000
#
kernel.sysrq = 0
kernel.core_uses_pid = 1
fs.file-max=65535
kernel.pid_max=65536
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 3294967295
kernel.shmall = 3294967295
kernel.randomize_va_space = 2
net.ipv4.tcp_fin_timeout =3600
net.ipv4.tcp_keepalive_time =7200
net.ipv4.tcp_keepalive_probes =7
net.ipv4.tcp_syn_retries =6
net.ipv4.tcp_retries1 =1
net.ipv4.tcp_retries2 =3
net.ipv4.tcp_retrans_collapse =1
net.ipv4.tcp_sack =1
net.ipv4.ip_default_ttl =64
net.ipv4.ipfrag_time =30
net.ipv4.ip_no_pmtu_disc =0
net.unix.max_dgram_qlen =10
vm.overcommit_memory =2
vm.overcommit_ratio=200
vm.page-cluster =3
vm.oom_dump_tasks =0
vm.dirty_ratio=20
vm.dirty_writeback_centisecs=500
kernel.ctrl-alt-del =1
kernel.panic =0
kernel.acct =4 2 30
# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3
kernel.printk =0 6 1 3
kernel.printk_ratelimit = 5
kernel.printk_ratelimit_burst = 60
kernel.shmall =-1
dev.raid.speed_limit_min =1000
dev.raid.speed_limit_max =200000
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_window_scaling=1
net.ipv4.tcp_timestamps=0
net.ipv4.conf.all.log_martians=1
net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.tcp_congestion_control=cubic
net.ipv4.conf.all.secure_redirects=1
net.ipv4.conf.all.shared_media=0
net.ipv4.conf.eth0.secure_redirects=1
net.ipv4.conf.eth0.shared_media=0


Teste sysctl.conf: sysctl -p /etc/sysctl.conf und starte das System neu (reboot).

OKGookens excellentes DNS-Sicherheits-Konzept vorweggenommen kurz und knapp (Einzelheiten siehe Exkurs weiter unten) aus "DNS-Surf-Maske" lokal (etc/hosts/) für grundlegende Domain-IP samt Ausschluss/Block, gefolgt von pdnsd (lokaler DNS-Proxy/Server mit einstellbarer Langzeitspeicherung) und schlie&slzig;lich tordns (anonymisierender DNS-Server vom Onion Router Tor, tor-resolve)

OKIPv6 deaktivieren, https://help.ubuntu.com/community/StricterDefaults
Ab Linux Kernel 2.6.28 ist IPv6 fester Bestandteil des Standard Kernels. Eine IPv6-Adresse ist unveränderbar und kann bei falscher Konfiguration zu Störungen im Netzwerkbetrieb und insbesondere bei DNS-Anfragen führen.
IPv6 ist auf Ubuntu (by default) zunächst ermöglicht. Die meistene Firewalls (darunter LINFW3) beziehen sich aber auf IPv4 und ignorieren IPv6. Soll IPv6 nicht genutzt und das Laden zur Bootzeit des Systems verhindert werden, verändere in /etc/modprobe/aliases bzw. /etc/modprobe.conf alias (Namen) net-pf-10 ipv6 nach alias net-pf-10 off und führe einen Neustart aus.

RedHat Enterprise Linux / CentOS / Fedora Core:
In der Datei /etc/modprobe.conf die Zeile:

alias net-pf-10 ipv6
in:
alias net-pf-10 off
alias ipv6 off

ändern und den Rechner neustarten.

RedHat Enterprise Linux / CentOS / Fedora Core / Mandriva:
In die Datei /etc/sysconfig/network den folgenden Eintrag hinzufügen/ändern in:

NETWORKING_IPV6="no"

und den Rechner neustarten.

OKIPv6 deaktivieren
Soll das IPv6-Protokoll nicht verwendet werden, sollte man es deaktivieren. Die meisten Anwendungen, Policies ("Politiken") und Server erforden nicht das IPv6-Protokoll. Verände die Netzwerk-Konfigurationsdatei wie folgt:

nano /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

https://www.tecmint.com/linux-server-hardening-security-tips/

OKIPv6 deaktivieren
Dieser Artikel beschreibt wie Sie unter Linux und Windows den IPv6 Support deaktivieren bzw. ausschalten können. Dies kann aus Sicherheitsgründen sinnvoll sein, solange man IPv6 noch nicht produktiv einsetzt. Damit kann verhindert werden, dass man eine IPv6 Adresse erhält, sobald ein IPv6 Router Advertisement Daemon in einem Netz verfügbar ist. Außerdem sind bestehende Firewall Rules oft nicht für IPv6 gültig. In diesem Fall hätte man dann unter Umständen Dienste per IPv6 zugänglich die man eigentlich mit einer IPv4 Regel unterbunden hat. Unter Linux gibt es das eigene Kommando "ip6tables" zur Verwaltung der IPv6 Firewall Rules.
1 Ubuntu
2 RHEL / CentOS
Ubuntu
In Ubuntu 10.04, 12.04, 14.04 und 16.04 ist IPv6 direkt in den Kernel kompiliert und wird nicht als Modul geladen. Die einfachste Methode um IPv6 zu deaktivieren ist den passenden sysctl Parameter zu setzen. Temporär kann dies mit folgendem Kommando erfolgen:

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

Um diese Einstellung dauerhaft vorzunehmen bietet es sich an auf die sysctl Funktionalitäten zurückzugreifen. Dafür einfach eine Datei namens /etc/sysctl.d/01-disable-ipv6.conf anlegen mit folgendem Inhalt:

net.ipv6.conf.all.disable_ipv6 = 1

Nach dem nächsten Reboot ist IPv6 dann deaktiviert.

Am besten kann dies mit dem Kommando "ip addr show" überprüft werden. Es darf dann keine Einträge mit dem Text "inet6" mehr geben.

ip addr show | grep inet6

RHEL / CentOS

Unter RHEL 6 / CentOS 6 kann die Deaktivierung von IPv6 ident wie unter Ubuntu via sysctl erfolgen (siehe oben).

In RHEL 4 / CentOS 4 ist IPv6 als Modul integriert. Um dieses zu deaktiveren einfach folgende Zeile in der Datei /etc/modprobe.conf hinzufügen:

install ipv6 /bin/false

Die Überprüfung, ob es geklappt hat, kann mit dem Kommando "ip addr show | grep inet6" oder alternativ mit dem Kommando

lsmod | grep -i ipv6

OKTCP-Wrapper, https://wiki.centos.org/HowTos/OS_Protection
Nun sollten wir uns /etc/sysctl.conf ansehen und einige Änderungen machen. Der TCP-Wrapper liefert eine einfache und schnelle Methode für die Zugangskontrolle. Beispiele für von TCP-Wrappern bewussten Anwendungen sind sshd und Portmap. Im Folgenden soll ein Beispiel für Einschränkungen gegeben werden, in dem alles außer ssh geblockt wird. Dieses Beispiel blockt alles außer SSH:

echo "ALL:ALL" >> /etc/hosts.deny
echo "sshd:ALL" >> /etc/hosts.allow

OKShared Memory (shm und tmpfs, siehe unsere /etc/fstab im noch Folgenden), https://help.ubuntu.com/community/StricterDefaults
Ohne nährere Spezifikation wird /run/shm mit Lese- und Schreibzugriff (read/write) eingebunden ("gemountet") und mit der Möglichkeit zur Ausführung (execute). In den letzten Jahren berichteten viele Mail-Listen von Schwachstellen (Exploits), in denen /run/shm für Angriffe auf gestartete Dienste wie httpd genutzt worden ist. Wie auch immer, gingen die meisten dieser Exploits aus unsicheren Webanwendungen hervor, mehr als aus der Verwundbarkeit von Apache oder Distributionen wie Ubuntu. Es gibt einige wenige Gründe, in spezieller Konfiguration /run/shm read/write zu mounten wie die Echtzeit-Konfiguration eines Touchpads von Synaptics für Laptops, während sich für Server ud Desktop-Installationen kein Vorteil ergibt. Dennch, um Readwrite zu ermöglichen, editiere die Geräte-Konfiguraitonsdatei /etc/fstab durch Hinzufügen folgender Zeile:

none /run/shm tmpfs defaults,ro 0 0

bzw. siehe http://joshrendek.com/2013/01/securing-ubuntu/ :

Ein allgemeiner Exploit-Vektor reicht durch das Shared-Memory, der die UID gestarteter Programme und bösartige Aktionen durchführen kann. Außerdem kann /run/shm als ein Platz für Dateien angesehen werden, nachdem ein Einbruch ins System stattgefunden hat.

Öffne /etc/fstab/ und setze:

tmpfs /dev/shm tmpfs defaults,ro 0 0

Ein Neustart (Reboot) des Systems ist nun erforderlich.

/run/shm ist danach im nur Lese-ReadOnly-Modus. Beachte, dass einige Programme dann nicht mehr arbeiten (z.B. Google Chrome). Gegebenenfalls belasse den Schreibzugriff, indem in /etc/fstab statt eben vorgestellter folgende Zeile hinzugefügt wird:

none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0

Nun wird /run/shm schreibbar eingebunden (gemountet), wenn auch ohne Erlaubnis für Ausführung von Programmen, dem Wechsel der UID laufender Programme und der Möglichkeit, block- oder zeichenbasierte Geräte zu erzeugen.

Statt das System neu zu starten, kann man /run/shm mit dem Kommando "mount -o remount /run/shm" auch neu einbinden (remounten)..

OKSSH-Einstellungen, https://help.ubuntu.com/community/StricterDefaults
Während der SSH-Daemon für die meisten Leute sicher genug ist, legen einige auf mehr Sicherheit wert, indem Veränderungen an der Konfiguration von sshd vorgenommen werden:

nano /etc/ssh/sshd

Neustart von sshd: :

service ssh restart (CentOS: sh /etc/init.d/sshd restart)
..., https://help.ubuntu.com/community/StricterDefaults .

OKKonfiguration von bastille, http://joshrendek.com/2013/01/securing-ubuntu/
Das Bastille-Hardening-Programm "sperrt" das Betriebssystem mit dessen Konfiguration für zunehmende Sicherheit und mindert dessen Anfälligkeit für Kompromisse. Bastille kann außerdem den Hardening-Grad des Systems ermessen.

File permissions module: Yes (suid)
Disable SUID for mount/umount: Yes
Disable SUID on ping: Yes
Disable clear-text r-protocols that use IP-based authentication? Yes Enforce password aging? No (situation dependent, I have no users accessing my machines except me, and I only allow ssh keys)
Default umask: Yes
Umask: 077
Disable root login on tty 1-6: Yes
Password protect GRUB prompt: No (situation dependent, I´m on a VPS and would like to get support in case I need it)
Password protect su mode: Yes
default-deny on tcp-wrappers and xinetd? No
Ensure telnet doesn´t run? Yes
Ensure FTP does not run? Yes
display authorized use message? No (situation dependent, if you had other users, Yes)
Put limits on system resource usage? Yes
Restrict console access to group of users? Yes (then choose root)
Add additional logging? Yes
Setup remote logging, if you have a remote log host, I don´t so I answered No
Setup process accounting? Yes
Disable acpid? Yes
Deactivate nfs + samba? Yes (situation dependent)
Stop sendmail from running in daemon mode? No (I have this firewalled off, so I´m not concerned)
Deactivate apache? Yes
Disable printing? Yes
TMPDIR/TMP scripts? No (if a multi-user system, yes)
Packet filtering script? Yes
Finished? YES! & reboot


OKProgramme deinstallieren (siehe auch unter Updaten): Wird sudo oder z. B. der rpcbind Portmapper, sshd SSH-Daemon, rsh, telnet, Avahi-Daemon oder der cups-browsed Daemon des CUPS Systems nicht benöt;tigt, kann man sie auch zunächst deaktivieren oder entfernen: "dpkg ..." , "rpm -e [nodeps]" Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune

OKQuota
Vorbereitung
Mit Quota kann der Speicherplatzverbrauch für einzelne Benutzer und/oder Gruppen limitiert werden, so dass ein"Volllaufen" eines Volumes bzw. einer Partition verhindert wird. Für die Quotaverwendung muss der Kernel entsprechend konfiguriert sein. Ist CONFIG_QFMT_V2 als Modul eingestellt, wird das quota_v2.ko Kernelmodul in /etc/modules eingetragen:

sudo echo quota_v2 >> /etc/modules

Für die Quotaverwendung werden die entsprechenden Pakete installiert:

sudo aptitude install quota quotatool

Wird kein Quota auf per NFS eingehängten Dateisystemen bzw. RPC Quota-Server verwendet, kann der RPC Remote Quota Server Dienst deaktiviert werden:

sudo systemctl disable quotarpc.service

In der /etc/fstab Datei werden die Mountoptionen des /fs Dateisystems mit den Optionen zur Nutzung von Journaling Quota ergänzt:

/etc/fstab

/fs /mountpoint ext4 optionen,usrjquota=aquota.usr/grpjquota=aquota.group,jqfmt=vfsv0|1

Man kann mit usrjquota Quota für Benutzer und/oder mit grpjquota Quota für Gruppen einrichten. Bei Volumes mit einer Größe > 4TB wird das Quotaformat vfsv1 verwendet.

Anschließend wird ein Neustart ausgeführt, falls das Dateisystem nicht mit dem folgenden Kommando neu eingehängt werden kann:

sudo mount -o remount /mountpoint

OKKernel-Konfiguration
Die Einstellungen beziehen sich auf Kernel 4.13 und 4.14 (derzeit 4.14.12). Generell sollte man alles deaktivieren, was nicht benötigt wird und benötigte Kernelmodule möglichst fest in den Kernel einbauen. Die Konfiguration ist auf einen Einzelplatzrechner mit "normaler" Benutzung für den Alltag ausgerichtet. Anwender mit speziellen Anforderungen oder Entwickler müssen natürlich davon abweichen und man sollte parallel einen Backup-Kernel installiert haben, falls Start und Betrieb des Kernels mit der Konfiguration fehlschlägt. Angaben mit K:string beziehen sich auf zusätzliche Parameter, die man auf der Kernel Kommandozeile bzw. in GRUB_CMDLINE_LINUX_DEFAULT der GRUB Konfiguration angibt. Einstellungen mit [?] weisen Probleme auf, sind fragwürdig oder Ansichtssache.
Wie man unter Debian einen eigenen Kernel konfiguriert, kompiliert und installiert, kann im Debian Administrationshandbuch ab Einen Kernel kompilieren nachgelesen werden.
Weitere Einzelheiten einschl. Module blockieren (alternativ direkt in den Skripten aus /etc/modules.d ) und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune; wie man die Kernel-Quellen konfiguriert und eincompiliert, beschreiben wir noch, z.B. unter Updaten.

Weitere Einzelheiten über quota und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune

OKDienste mit systemd
Entfernung und Deaktivierung
Alle nicht benötigten Dienste sollten deaktiviert werden. Entweder werden zum Dienst zugeh&oml;rige Pakete gleich komplett deinstalliert oder - sofern eine Deinstallation nicht erfolgen soll - mittels systemctl (alternativ: ntsysv, chkconfig oder MCC#Systemdienste (mdv2010) deaktiviert.


Weitere Sicherheitseinstellungen mit systemd (bzw. mittels "blacklist modulname" innerhalb der Konfigurationsdateien aus /etc/init.d) und Quelle: https://wiki.kairaven.de/open/os/linux/tuxsectune

OKat & cron
Zur Beschränkung, welche Benutzer außer root at, batch und cron Jobs erstellen und modifizieren dürfen, wird die /etc/at.allow und /etc/cron.allow Datei angelegt und in den beiden Dateien die Login-Namen der Benutzer zeilenweise aufgeführt, die eine entsprechende Berechtigung erhalten sollen.

OKGehärtetes Kompilieren
Flags, die man dem configure-Skript übergeben kann.


Executable

´CFLAGS= -g -O2 -fPIE -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´CPPFLAGS= -D_FORTIFY_SOURCE=2´
´CXXFLAGS= -g -O2 -fPIE -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´LDFLAGS= -fPIE -pie -Wl,-z,relro -Wl,-z,now´

Shared Library

´CFLAGS= -g -O2 -fpic -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´CPPFLAGS= -D_FORTIFY_SOURCE=2´
´CXXFLAGS= -g -O2 -fpic -fstack-protector-strong -Wformat -Wformat-security -Werror=format-security´
´LDFLAGS= -fpic -Wl,-z,relro -Wl,-z,now´

Geht Option "-fpic" nicht, benutze "-fPIC".

OKVerlinke den DNS-Resolver nslookup mit dem anonymisierenden tor-resolve
Auf Tor (The anonymizing Onion Router) kommen wir gegen Ende von Schritt 1 unseres Exkurses noch zu sprechen. Wird Tor bereits genutzt, kann das System gesichert werden, indem nslookup mit dem DNS-anonymisierenden Resolver tor-resolve verlinkt wird:
Mache zunächst eine Kopie von nslookup: cp -f /usr/bin/nslookup /usr/bin/nslookup-save
Verlinke nlookup mit tor-resolve: ln -sf /usr/bin/tor-resolve /usr/bin/nslookup. Dasselbe kann man mit den DNS-Resolvern host und dig machen.
Für Programme, die damit nicht klar kommen, lassen sich die IP-Domain-Paare in /etc/hosts eintragen und /etc/nsswitch.conf entsprechend angepasst, siehe /etc/hosts-Datei gegen Ende unseres Exkurs.
Beachte, dass die Ausgabe der drei Resolver nicht die gleiche ist. Dafür enthält sie stets die IP zur hinterfragten Domain.
Bereits jetzt kann man das Setzen von ACL-Zugriffsrechten erwägen. Wie das geht, beschreiben wir noch in der Sektion für setfacl.


OKGgfls. Deinstallieren / evtl. deinstall ( rpm -e packagename or rpm -e --nodeps packagename )
rpcbind (el6, mdv2010.2), sudo (el6, mdv2010.2), acpid (hald (pclos) führt bereits Rootprozess acpid aus), portmap (el6, mdv2010.2), dayplanner, lxde (mdv2010, Auslösung eines andauernd um in den Root-Modus gehen wollenden Prozesses von lxpanel), mmc-agent (mdv2010.2), tracker (mdv2010), codeina (mdv2010), xguest (mdv2010), wu-ftpd (mdv2010), anonftp (mdv), mdkonline (mdv2010), f-spot (does not work on the base of updated mono (rosa2014.1), funguloids (mdv2010.2), banshee (rosa,mdv) and amarok (rosa,mdv): unavailable for el6, both ones do not work, abrt (el6), qmmp (el6, mdv) does not work, generell alle Programme bzw. Prozesse, die nicht richtig laufen oder unaufgefordert in den Root-Modus wechseln wollen. Dies sind zum Glück aber nur einige wenige; alle möglichen Terminals und Konsolen auß den bzw. der favorisierten.

Nur Root-Prozesse stellen bald theoretisch noch eine ernstzunehmende Gefahr dar! Die Anzahl nicht vom Kernel über kthreadd aktivierter, laufender Root-Prozesse sollten sich in argen Grenzen halten,
OKbenötigte Root-Prozesse lauten lediglich:

init
X # xhost-Zugriffsschutz oder im Benutzermodus / Usermode nach https://wiki.gentoo.org/wiki/Non_root_Xorgund, X mit Option "--nolisten tcp" (voreingestellt oder in /etc/X11/xorg.conf unter ServerLayout; Abfrage über Tastendruck ESC+CTRL und Maus ü,ber Prozess X);
kdm: /usr/share/config/kdm/kdmrc

...
AllowNullPasswd=false
AllowRootLogin=false
AllowShutdown=None
AutoReLogin=false
...
ServerArgsLocal=-deferglyphs 16 -nolisten tcp
...

hald # macht acpid überflüssig
console-kit-daemon # nur fü Login erforderlich, timeout möglich
wpa-supplicant # Teil des NetworkManagers
psad # oder iptables: psd, Port-Scan-Detektor; starte nur mit sichernden Optionen wie --no-rdns, --no-whois und --no-snort-sids
udevd # Geräte und Schnittstellen, Option -d (voreingestellt)
kdm
syslogd
klogd
gpm
cupsd
dhclient # oder dhcpd etc.
pam_timestamp_c
master
spamd # probiere alternativ z.B. den stets im Benutzermodus laufenden bogofilter

OKVerwende nur net_applet aus NetworkManager und nicht nm-applet. Ersetze im möglicherweise fehlerhaften Skript /etc/init.d/NetworkManager innerhalb der Funktion start() alles außer letzte Zeile mit dem Aufruf "/usr/bin/NetworkManager --login-level=INFO".

Kommerzielle Module: Linux and the NSA
tgruene, 16.10.2013
Bei dem letzten Newslink über Oracles Versuch, dem DOD den Vorteil kommerzieller Software zu erkläeren, kam mir der Gedanke, dass auf einem.typischen Linuxrechner eine ganze Reihe Module laufen, fuer die kein Quellcode zur Verfuegung steht (die dafür von US-amerikanischen Firmen zur Verfügung gestellt werden und somit vermutlich auch gesetzestreue (aka NSA-freundliche) Hintertüren enthalten), seien es Nvidia/ATI-Treiber, Virtualbox oder unter Debian vermutlich fast der gesamte Inhalt von firmware-linux-nonfree.
Mich interessiert, wie gut der Kernel und die Module voneinander abgeschottet sind - wie leicht ist es, solch einem Modul z.B. einen Keylogger einzubauen, der meine Passwörter beim Tippen abfängt und übers Internet irgendwohin schickt? Dass die NSA meine Emails liest, ist unverschämt, stört mich aber an sich nicht weiter, sonst würde ich ja keine Emails an Leute schreiben, deren Schlüssel ich nicht kenne, doch meinen GPG-Schlüssel und die Passwörter abzuhören - dagegen habe ich ganz ordentlich etwas.

OKTerminal -> lsmod
/etc/modprobe.d/blacklist*
blacklist mei
blacklist it87 # Mainboard ASUS ITX-220
blacklist i2c_dev # ITX-220
blacklist coretemp # ITX-220
blacklist snd-usb-audio
blacklist snd_pcm_oss
blacklist snd_mixer_oss
blacklist snd_seq_oss
blacklist pata_acpi
blacklist rivatv
blacklist i82875p_edac
# do not use "Boot Protocol" drivers, we prefer usbhid
# and they cause problems when loaded together with usbhid (#37726, #40861)
blacklist usbkbd
blacklist usbmouse
# disable PC speaker by default
# pcspkr is the standard driver, while snd-pcsp is the ALSA driver
blacklist pcspkr
blacklist snd-pcsp
blacklist pcspkr
blacklist snd-pcsp
blacklist vhost
blacklist vhost_net
blacklist tpm_infineon
blacklist tmp_tis
blacklist tmp_tis_core
blacklist i82875p_edac
blacklist pcspkr
blacklist snd-pcsp
blacklist rivatv
blacklist i82875p_edac
blacklist pcspkr
blacklist it87
blacklist i2c_dev
blacklist coretemp
blacklist vhost_net
blacklist tpm_infineon
blacklist tmp_tis
blacklist tmp_tis_core
blacklist i82875p_edac
blacklist pcspkr
blacklist snd-pcsp
blacklist rivatv
blacklist i82875p_edac
blacklist pcspkr
# watchdog drivers
blacklist i8xx_tco
# framebuffer drivers
blacklist aty128fb
blacklist atyfb
blacklist radeonfb
blacklist i810fb
blacklist cirrusfb
blacklist intelfb
blacklist kyrofb
blacklist i2c-matroxfb
blacklist hgafb
blacklist nvidiafb
blacklist rivafb
blacklist savagefb
blacklist sstfb
blacklist neofb
blacklist tridentfb
blacklist tdfxfb
blacklist virgefb
blacklist vga16fb
blacklist matroxfb_base
# ISDN - see bugs 154799, 159068
blacklist hisax
blacklist hisax_fcpcipnp


OKPartitions-Check bei jedem System-Start (System-Boot)
Die Erkläuterung erfolgt eigentlich weiter unten und wurde an diese Stelle vorgezogen.
Unter den Annahme, dass die Partitionen bereits mit LUKS/dm-crypt verschlüsselt worden sind (wie das geht, beschreiben wir noch), empfiehlt sich aufgrund der bevorstehenden Menge an Updates (mit rpm-Paketen) der i.a. nur wenige Sekunden dauernde Check jeder nicht internen Partition vorsichtshalber bei jedem Systemstart. Das gilt auch für noch unverschlüsselte Partitionen.
Das Dateisystem der Partitionen sei z.B. ext4.

tune2fs -c 1 /dev/mapper/cryptedhomepartition


bzw.

OK
reiserfstune -m 1 /dev/mapper/cryptedroot_resp_home_resp_bootpartition


und

OK
tune2fs -d 7 /dev/mapper/cryptedroot_resp_home_resp_bootpartition


für die maximale Anzahl der Systemneustarts (im auch fehlerfreien Fall), hier der (von uns empfohlenen) Zahl eins bis zum nächsten automatisch erfolgenden (ausführlichen) Dateisystemcheck der Root-, Home- und unverschlüsselten Bootpartition usw mit e2fsck bzw. reiserfsck (wenn auch nicht die internen Kernel-Partitionen shm, tmp und proc).. Anstelle der Containerdatei "/dev/mapper/cryptedhomepartiton" kann hier natürlich auch jede nicht verschlüsselte ext- uind reiserfs-Partition durch die zugehörige Gerätedatei wie bspws. /dev/sda1 angegeben werden.

In der Geräte-Konfigurationsdatei /etc/fstab aktiviere man am Ende jeder Zeile für eine Partition noch "prioritätisch" ihren Check durch Angabe einer Zahl hinter der Zahl 0 für den deaktivierten Dump (Speicherauszug im Fehlerfall): "0 1" für die Root-Partition, "0 1" oder "0 2" für die Home-Partition usw..
Den Inhalt unserer fstab geben wir weiter unten noch einmal in aller Ausführlichkeit an.

OKApache-Webserver absichern in httpd.conf (analog: LAN/Samba samba und samba4 mit samba.conf, Datenbankserver/MySQL mit my.cnf und mysld.conf und weitere Server, Druckerserver (CUPS) siehe am Ende der Webseite )
Jetzt kommt der Webserver an die Reihe, fast immer ist ein Apache httpd 1.3 oder 2.0 installiert. Dessen Grundfunktionen werden durch etliche ladbare Module ergänzt.
Welche Module aktuell benutzt werden, steht bei Version 1.3 in der Datei /etc/apache/httpd.conf (bei CentOS 6 und CentOS 7: /etc/httpd/httpd.conf), etwa

LoadModule autoindex_module /usr/lib/apache/1.3/mod_autoindex.so
LoadModule dir_module /usr/lib/apache/1.3/mod_dir.so
LoadModule cgi_module /usr/lib/apache/1.3/mod_cgi.so
LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so
LoadModule proxy_module /usr/lib/apache/1.3/libproxy.so

Überflüssige Module kommentieren Sie hier # plus Leerzeichen am Zeilenanfang aus. Das hat neben dem Sicherheitsaspekt noch den netten Zusatzeffekt, dass der Apache mit weniger Modulen schneller arbeitet und weniger Speicher benötigt.

Nur Module, die tatsächlich benötigt werden, sollten geladen werden. Welche das sind, hängt von den Aufgaben Ihres Servers ab. Auf einem StandardWebserver sind fast immer überflüssig:
* lib_status (liefert eine serverinterne Statusanzeige)
* libproxy (damit dient der Webserver als Zwischenspeicher für Zugriffe auf weitere Server - ein enormes Sicherheitsrisiko!)
* mod_cgi (dient zum Ausführen sogenannter cgi-scripte, die heute kaum noch verwendet werden, ebenfalls ein Sicherheitsrisiko)
* mod_userdir (generiert für jeden auf dem System vorhandenen Benutzer ein eigenes Webserver-Verzeichnis)
Ein Apache 2.0 verwendet in Debian die Datei /etc/apache2/apache2.conf zur Konfiguration. Dort wiederum werden standardmäßig alle Module geladen, für die im Verzeichnis /etc/apache2/mods-enabled/ ein symbolischer Link vorhanden ist. Zum Ausschalten eines Moduls müssen Sie deshalb diesen Link löschen. Nach dem Ändern der Config-Dateien zeigt ein

apache -t
ob die Konfigurations-Syntax noch in Ordnung ist. Ein

/etc/init.d/apache restart
oder
/etc/init.d/apache2 restart # C6 (el6): sh /etc/init.d/httpd restart

startet dann den Server neu, damit die Änderungen auch wirksam werden.
Unter Suse ist es ein wenig anders. Dort werden die Apache-Module in der Datei /etc/sysconfig/apache2 geladen. Suchen Sie in der Datei nach der Zeile APACHE_MODULES und löschen Sie daraus die nicht gewünschten Einträge. Danach müssen Sie

SuSEconfig
von der Shell aus aufrufen. Anschließend starten Sie mit
rcapache2 restart
den Webserver neu. Genaue Infos zur Aufgabe jedes Moduls gibt es auf den Apache-Webseiten unter

http://httpd.apache.org/docs/1.3/mod/index-bytype.html und
http://httpd.apache.org/docs/2.0/mod/

Ähnliche Beiträge
Apache: Unerwünschte Referer stoppen, https://www.strassenprogrammierer.de/apache-unerwuenschte-referer-stoppen_tipp_441.html
Quelle: https://www.strassenprogrammierer.de/webserver-absichern-hacker_tipp_479.html

OKSicherer Apache/PHP/Nginx server
Editiere httpd.conf (CentOS: /etc/httpd/conf/httpd.conf) und füge hinzu:

ServerTokens Prod
ServerSignature Off
TraceEnable Off
Options all -Indexes
Header always unset X-Powered-By

Starte httpd/apache2 server neu.
mod_security muss erm&oumL;glicht sein für RHEL/CentOS-Server. Editiere noch php.ini
https://www.cyberciti.biz/tips/linux-security.html

Debian 7.0: Webserver absichern, https://debianforum.de/forum/viewtopic.php?f=37&p=914095

OKHackversuche gegen die Secure Shell unterbinden
Um zu verhindern, dass durch einen Hackversuch hunderte sshd-Tasks gleichzeitig gestartet werden, fügen Sie die Zeile

MaxStartups 3:30:10

in das Configfile /etc/ssh/sshd_config ein. Diese Beschränkung ist effektiv, aber kompliziert: Die Werte im Beispiel bedeuten, dass 2 (= 1. Wert minus 1) unauthenticated (also im Login-Stadium befindliche) sshd-Verbindungen immer erlaubt sind.
Ab der 3. Verbindung (= 1. Wert) wird mit einer Wahrscheinlichkeit von 30% (2. Wert) die Verbindung abgelehnt.
Die Wahrscheinlichkeit, dass eine Verbindung beendet wird, steigt linear an, bis bei 10 offenen Verbindungen (3. Wert) jeder weitere Verbindungsversuch zu 100% abgelehnt wird.

Achtung: Bereits eingeloggte Nutzer zählen nicht zu diesen Werten! Die Beispielwerte sollten für jeden kleineren bis mittleren Server ausreichend sein. Haben Sie viele SSH-Nutzer, können höhere Werte angebracht sein, zum Beispiel:

MaxStartups 10:30:50 6

Quelle: https://www.strassenprogrammierer.de/sicherheit-ssh-hacker_tipp_480.html

OKZugang für root bei SSH verbieten
Wenn wir im vorherigen Schritt alles richtig gemacht haben - und nur dann - gehen wir jetzt daran, den Zugang für root über SSH zu verbieten. Zur Sicherheit behalten wir die eine Session offen und testen das Ganze mit einer neuen Session. Erst wenn das funktioniert hat, können wir die erste Session wieder schliessen.
Wir ändern die Konfiguration von SSH mit:

nano /etc/ssh/sshd_config

Im Editor suchen wir die Zeile

PermitRootLogin yes

und ändern sie auf

PermitRootLogin no

Und um das Ganze noch mehr zu vernageln fügen wir noch ein paar Zeilen hinzu:

# Nur noch den user admin zulassen.
AllowUsers admin
# root oder benutzer in der Gruppe root generell sperren
DenyUsers root
DenyGroups root

Das Ganze können wir am Anfang der Datei einfügen. Sollen sich später noch andere Benutzer per SSH anmelden dürfen, kann man den Eintrag AllowUser erweitern. Neue Benutzer werden mit Leerzeichen getrennt hinzugefügt. z.B.:

AllowUsers admin benutzer1 benutzer2 benutzer3

Wichtig: Auf keinen Fall nach den Benutzernamen ein Komma einfügen. Aussperrgefahr!

Mit STRG-O und STRG-X speichern wir und beenden den Editor. Jetzt fehlt noch:

service ssh restart

Debian:

/etc/init.d/ssh reload

CentOS: sh /etc/init.d/sshd restart

Wir öffnen zur Kontrolle eine neue Sitzung (Session) und versuchen uns mit root anzumelden. Mit korrektem Kennwort sollten wir die Meldung bekommen:
Access denied
Quelle: https://www.rechenkraft.net/wiki/Root_Server_absichern_(Ubuntu_14.04)
https://linux-scout.de/sicherheit/debian-server-absichern-so-machen-sie-es-richtig/

OKAbsichern eines Linux-Servers
Aus Qloc Wiki
Hier finden Sie wichtige Grundlagen zur Absicherung eines Debian/Ubuntu Systems. Außer den hier aufgelisteten Tipps gibt es eine Reihe von weiteren Sicherheitsmaßnahmen, die Angriffe erschweren.
Generell gilt für alle öffentlich erreichbare Systeme, dass nur notwendige Dienste von außen erreichbar sein sollten. Dienste wie z.B. Webserver oder MySQL Server sollten bei Nichtverwendung entweder mit Hilfe von IPTables Regeln nicht erreichbar oder ganz deaktiviert werden.
Inhaltsverzeichnis

1 Sichere Kennwörter verwenden
2 SSH Port ändern
3 Einrichten von SSH-Schlüsseln
4 Nur die benötigten Ports offen lassen
5 Brute Force Attacken verhindern
6 Sicherheitsupdates installieren

Sichere Kennwörter verwenden

Ändern Sie regelmäßig Ihre Kennwörter (auf unserem System nicht erforderlich!) und beachten Sie folgende Punkte:

Kleinbuchstaben (a-z)
Großbuchstaben (A-Z)
Ziffern (0-9)
mindestens 12 Zeichen lang
keine Wörter enthalten
dasselbe Passwort nicht für mehrere Dienste nutzen
Passwörter nicht an Dritte weitergeben

SSH Port ändern
Eine Großzahl an Loginattacken auf SSH erfolgt auf den Standardport 22. Eine einfache und effektive Methode ist es, den SSH Port zu ändern.

Öffnen Sie dazu die SSH Konfiguration mit einem beliebigen Editor:

nano /etc/ssh/sshd_config

Ändern Sie den SSH Port von Port 22 auf einen Port, der nicht nicht durch einen anderen Dienst belegt wird.

Port 22 #z.B. Port 8335

Mit dem folgenden Befehl erhalten Sie eine Liste mit allen momentan verwendeten Ports und ausgeführten Diensten:

more /etc/services

Starten Sie den SSH Dienst nach dem Ändern des Ports mit dem folgenden Befehl neu:

/etc/init.d/ssh restart

bzw. (CentOS (el6) und andere ):

sh /etc/init.d/ssh restart

oder

service ssh restart

Einrichten von SSH-Schlüsseln

Um die Verbindung via SSH noch sicherer zu gestalten, kann man die sogenannten SSH-Schlüssel verwenden. Damit eine Verbindung aufgebaut werden kann müssen der vom Benutzer bereitgestellte Schlüssel bei der Verbindung und der auf dem Server liegende Schlüssel als Schlüsselpaar zusammengehören.

Melden Sie sich zunächst mit dem zu sichernden Benutzer auf Ihrem Linux Server an.
Laden Sie sich das Programm PuTTYgen herunter.
Klicken Sie auf Generate um ein SSH-Schlüsselpaar zu erstellen, hierfür sind die Standardeinstellungen genügend. Zum Generieren bewegen Sie Ihre Maus über das freie Feld.

Nach erfolgreichem Generieren des SSH-Schlüsselpaares speichern Sie den Privatekey auf Ihrem Rechner ab und verwahren Sie diesen sicher, da Sie sich nur mit diesem auf Ihren Server aufschalten können.
Optional
... können Sie einen Kommentar hinzufügen
... können Sie ein Passwort hinzufügen (empfohlen)

Anschließend verbinden Sie sich mit Ihrem Linux Server und betreten das Home-Verzeichnis des jeweiligen Benutzers

cd /home/>user<

oder

cd /root (nur root-Benutzer)

Legen Sie nun das Verzeichnis .ssh an und erstellen in diesem eine Datei mit dem Namen authorized_keys

mkdir .ssh && nano .ssh/authorized_keys

Kopieren Sie nun den Publickey aus PuTTYgen in Ihre Zwischenablage und fügen diesen in die Datei ein.
Mit STRG + O und STRG + X können Sie die Datei speichern und schließen.
Nun müssen noch die Dateiberechtigungen angepasst werden.

chown -R >user>:>gruppe> .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys

In der Datei /etc/ssh/sshd_config sollten wichtige Einstellungen vorgenommen werden.

....
PasswordAuthentication [no/yes] # Authentifizierung mit einem Passwort

PermitRootLogin [no/yes/without-password] # Authentifizierung mit dem root-Benutzer
...

PasswordAuthentication:
no: Die Authentifizierung mit einem Passwort ist für alle Benutzer untersagt
yes: Die Authentifizierung mit einem Passwort ist für alle Benutzer erlaubt
PermitRootLogin :
no: Die Authentifizierung mit dem root-Benutzer nicht erlaubt
yes: Die Authentifizierung mit dem root-Benutzer ist mit einem Passwort und einem Key erlaubt
without-password: Die Authentifizierung mit dem root-Benutzer ist nur mit einem SSH-Key erlaubt (empfohlen)
Abschließend starten Sie den ssh-Dienst neu

service ssh restart

Sie haben nun erfolgreich SSH-Keys auf Ihrem Server eingerichtet. Damit Sie sich nun mit Ihrem Server verbinden können, müssen Sie den Privatekey in PuTTY einbinden.

Hierzu wählen Sie ihre Verbindung und klicken auf Connection > SSH > Auth. Unter Private key file for authentification geben Sie den Dateipfad an. Wechseln Sie zurück auf den Menüpunkt Session und speichern Sie Ihre Verbindung.


Brute Force Attacken verhindern
Mit dem Paket fail2ban können Sie Ihren Server vor sogenannten Bruteforce Attacken schützen. Dabei wird die IP Adresse des Angreifers für eine festgelegte Zeit gesperrt. Mit den folgenden Befehlen installieren und konfigurieren Sie fail2ban:

[...] Öffnen Sie die Konfiguration von fail2ban mit einem beliebigen Editor

nano /etc/fail2ban/jail.conf

OKSetzen Sie lokale IP Adresse Ihres Servers, die Zeit wie lange eine IP geblockt werden soll und die Anzahl der Versuche, nach denen geblockt werden soll:

ignoreip = 127.0.0.1
bantime = 3600
maxretry = 3

Definieren Sie nun die erforderlichen Parameter um den SSH Dienst zu überwachen:

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 4

Hinweis: Sollten Sie den SSH Port geändert haben, ändern Sie bitte die folgende Zeile:

port = <SSH Port> (z.B. 8335)

Starten Sie zum Abschluss den Dienst fail2ban neu:

CentOS (el6) u.a.:

sh /etc/init.d/fail2ban restart

bzw.

/etc/init.d/fail2ban restart bzw.

service fail2ban restart
https://wiki.qloc.de/index.php/Absichern_eines_Linux_Servers

Berücksichige ggfls. zugehörige Module und Sicherheit erhöhende Server-Erweiterungen. Bereits an dieser Stelle sei natürlich noch auf die Server-Konfigurationsdateien verwiesen, mit denen sich i.a. viele weitere Sicherheits-Einstellungen (wie Zugriff, ACL-Zugriffsrechte, zu öffende Server-Ports (nun auf Client-Seite), Protokollierung und Bandbreite) vornehmen lassen.

Außerdem kann der Server nach seiner Konfiguration zur Erhöhung der Sicherheit in einem niedrigeren Runlevel (z.B. Runlevel 3) als üblicherweise Runlevel 5 und 6 gestartet werden und laufen: Kommando "init 3", mgetty bzw. mingetty: Terminal-Umschaltung ( ALT + CTRL + F1 bis F7), Konfigurationsdatei (falls dort möglich), systemd (sysctl) oder chkconfig (zum Setzen seines Starts in einem bestimmten Runlevel während des System-Boots).

- Apache: mod_evasive gegen DDoS, mod_cband als Traffic-Cop
- Fail2Ban für die https-vHosts bzw. die htaccess Authentifizierung
- 24/7 Monitoring mit SMS Alerting über ein SMS Gateway via monit
- Verschlüsselte Backups in 2 verschiedenen Rechenzentren
- SFTP heisst das Stichwort. Die Datentransfers laufen verschlüsselt über den sshd ab.
FTP ist kein verschlüsselter Dienst ist. Man kann also den kompletten Datenverkehrt (austausch von Passwörtern, die verschickten Daten) mitlesen. Also ist es nicht unbedingt das sicherste System. Das ist ähnlich wie mit POP3 oder IMAP.
Jedoch kann man das Ganze sicherer machen, indem man einen FTP-Server aufsetzt, der mit SSL-Verschlüsselung arbeitet. Eben so geht das auch mit POP3 und auch IMAP. Sobald du mit SSL-Verschlüsselung arbeitest, kann niemand den Austausch von Daten mitlesen.
Und zu guter letzt, kommt es natürlich auf die Konfiguration des FTP-Server an. Hier sollte man auf jeden Fall anonyme Accounts verbieten und den FTP-Server in einer CHROOT Umgebung laufen lassen. Dann hält man sich schon mal einen großen Teil des Ärgers vom Hals.
Ich hatte mir damals gedacht, dass man damit 2 Fliegen mit einer Klappe schlägt: Den sshd braucht man eh, also kann man die Dateitransfers auch darüber abwickeln und spart sich damit einen Angriffsvektor (ftpd). Gleichzeitig ist alles so toll verschlüsselt .
Normalerweise ist das Verbinden mit einem FTP-Server mit SSL nicht schwieriger als mit einem ohne.
Man wählt beim Client einfach aus, dass man sich mit SSL-Unterstützung verbinden will, und verbindet sich. Dann läuft alles so weiter, wie wenn man sich mit einem FTP-Server ohne SSL verbindet. Man wird höchstens noch mal gefragt, ob man das Zertifikat akzeptiert.
Über Port 22 läuft der SSH-Server. Auch hier gibt es die Möglichkeit Daten hochzuladen. Wobei hier der User der sich einloggt auf das System mehr zugreifen kann. Ausser man chrootet den Account.
Chrooten geht ja erst mit einem OpenSSH ab 4.9 oder so. Auf jeden Fall zu neu für eine Standard Debian Installation bzw. die regulären Paketquellen.
Lösen lässt sich das mit MySecureShell - Index, das chrootet den User in sein Home-Dir. Lässt sich einfach installieren und konfigurieren und läuft super.
https://serversupportforum.de/forum/security/28079-abschottung-wie-geht-es-nun-weiter-2.html

Chroot ( Befehl chroot ): ist fester Bestandteil von Befehlen bzw. Kommunikations-Protokollen wie mount, ssh, stfp und stellt die ernsthafte Bedrohung schlechthin dar! Abhilfe liefern Sandboxen und/oder/einschließlich die Sperrung der Shells des Benutzers (der Betrieb einer Sandbox jedoch leider nur, falls seitens eines Programms möglich, beispielsweise nicht mit Tor (dem Tor-Browser) mit angeblich wiederum einer eigenen Sandbox!). Darauf kommen wir noch zu sprechen.

Was tut chroot?
Chroot einrichten, Chroot-Jail (Chroot-Sandbox)
A chroot on Unix operating systems is an operation that changes the apparent root directory for the current running process and its children. A program that is run in such a modified environment cannot name (and therefore normally cannot access) files outside the designated directory tree. The term "chroot" may refer to the chroot system call or the chroot wrapper program. The modified environment is called a chroot jail.
Nehmen wir an, wir wollten den DNS-Server "named" chrooted installieren. Im folgenden wird das normale Dateisystem als &quto;n/" und das jail als "j/" bezeichnet.
https://wiki.debian.org/chroot
https://en.wikipedia.org/wiki/Chroot
Schritt für Schritt: https://www.linuxwiki.de/chroot

chroot - How to jail linux user, Stack Overflow
Is there something similar to chroot, but for users? We are about to grant access to our servers for a client and would like them to see only the directories we allow.
stackoverflow.com/questions/833247/how-to-jail-linux-user

Linux - Keeping users inside their home directory - Super User
If you use chroot like this, everything the user needs (executables, libraries, etc.) has to be within the chrooted directory. I´ve seen ftp-servers set up that way, with static executables copied into a bin directory.
https://superuser.com/questions/396282/keeping-users-inside-their-home-directory

How to configure ProFTPD to chroot users to /home directory or any ...
If you´re using ProFTPD user on a Linux server, you most certainly have wondered, how you can configure the FTP server to chroot (or jail) it´s users to a particular ...
https://www.pc-freak.net/blog/how-to-configure-proftpd-to-chroot-users-to-home-directory-or-any-other-selected-directory-2

OKFail2Ban, http://joshrendek.com/2013/01/securing-ubuntu/
Open up the fail2ban config and change the ban time, destemail, and maxretry /etc/fail2ban/jail.conf:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3600
maxretry = 2
destemail = [email protected]
action = %(action_mw)s

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 2

Now restart fail2ban.

sudo service fail2ban restart # resp. sh /etc/init.d/fail2ban restart
If you try and login from another machine and fail, you should see the ip in iptables.

# sudo iptables -L
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- li203-XX.members.linode.com anywhere
RETURN all -- anywhere anywhere

OKCoreboot - Flashen des BIOS: Linux-System als Ersatz für das herkömmliche BIOS, https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/
"Die Sicherheit eines Systems definiert sich bereits auf Hardware-Ebene. Allerdings ist es heute bspw. extrem schwierig WLAN-Chipsätze zu finden, für die Open-Source Treiber bereit stehen. Ausnahmen wie den AR9170 Chipsatz gibt es zwar, aber diese müssen zunächst ausfindig gemacht werden. Gleiches gilt für das BIOS. Idealerweise könnt ihr euer aktuelles BIOS durch Coreboot ersetzen - ein quell-offene, freies BIOS. Ansonsten besteht immer das Risiko für eine versteckte Backdoor, die bspw. von Geheimdiensten ausgenutzt werden kann.
Wirklich "sicher" können wir also in der Tat erst dann sein, wenn wir durchgehend Open-Source Hard- und Software einsetzen. [...]
Daher bin ich gezwungen für das Projekt "Linux härten" eine Ausnahme zu machen und möchte dies aber nochmal formulieren: Das Projekt schützt nicht vor der gezielter Überwachung durch Geheimdienste.
I...] Im ersten Beitrag der Artikelserie "Linux härten" hatte ich bereits aufgezeigt, weshalb ein "sicheres" System nur mit einem quelloffenen Betriebssystem auf Basis von Linux bzw. Unix möglich ist."
https://www.coreboot.org/Supported_Motherboards # u.a.
"Herkömmliche BIOS-Varianten sind nicht selten mit gewissen Softwarefehlern behaftet; diese sind oft nicht zu bereinigen, wenn nicht vom Hersteller ein Update zur Verfügung gestellt wird. Neben diesen unabsichtlichen Einschränkungen gibt es Ansätze, in Zukunft weitere Funktionen in der proprietären Firmware (BIOS bzw. UEFI) zu implementieren, die bewusste Beschränkungen der Funktionalität befürchten lassen. Beispielsweise Digitale Rechteverwaltung, deren Funktionalität in Teilen bewusst nicht offengelegt wird."
Quelle: https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/
https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil2/
https://de.wikipedia.org/wiki/Coreboot
https://www.golem.de/0912/72132.html

OKMit Coreboot lässt sich demnach die System-Bootzeit verkürzen.

OKBootzeit verk&uum;rzen: Nehme eine Einstellung in Grub in /boot/grub/menu.lst vor. Setze die Wartezeit bis zur automatischen Auswahl auf nur fünf oder drei Sekunden. Initskripte: Benutze systemd oder überarbeite mit dem Terminalbefehl chkconfig die aufgelisteten Runlevel-Init-Scripte (Dienste, Services) aus /etc/init.d/. Nehme so wenig wie möglich mit chkconfig --add in die Liste auf, indem unbenötige mit chkconfig --del aus der Liste ausgetragen werden! Behebe auf diese Art auch beim Booten gemeldete Loops (Abhängigkeiten) unter diesen Skripten! Mandriva und CentOS booten bei wenigen Listeneinträgen bis zur Desktop-Umgebung dann sogar schneller als Debian in erheblich weniger als einer Minute, auf Intel Celeron weit unter 20 Sekunden (!), von der Zeit für Partitionscheck, Passworteingabe und die noch zu bootende Desktopumgebung natürlich abgesehen!

OKKopiere für den Fall des Bedarfs des Bios-Setups oder Flashen per Funktionstaste die Datei (Typ ROM) zum Flashen des Bios von Hersteller-DVD zusätzlich auf die Boot-Partition /boot!

OKhal bzw. der haldaemon sorgt bei C6 (Centos 6) bzw. "zuvor" mdv (2010-2012) für erheblich verzögertes Booten, ca. um die 20 Sekunden. Der Bootvorgang ohne ihn und LUKS-Passwort-Login dauert bis zum KDE-Login in kdm ca. 15 Sekunden, mit ihm mehr als eine Minute. hal bzw. hald (haldaemon) kann durch erzeugen einer Datei haldaemon in /etc/sysconfig etwa mit dem Inhalt schneller arbeiten:

--child-timeout=15 # Begrenzung der Kindprozesse --daemon=no

In /etc/dbus-1/system.d/hal.conf verbiete man ein paar dort bislang erlaubte Methoden und Geräte wie ggfls. LightSensor und WakeOnLan und in einem weiteren Unterverzeichnis können ggfls. z.B. die Datein mit *dell-computer* einfach gelöscht werden..

OKKonfiguration der Netzwerkschnittstelle /etc/udev/rules.d/70-persistent-net.rules

# This file was automatically generated by the /lib/udev/write_net_rules
# program, run by the persistent-net-generator.rules rules file.
#
# You can modify it, as long as you keep each rule on a single
# line, and change only the value of the NAME= key.
# Drakx-net rule for eth0 (cb:ad:b3:81:1a:53)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="cb:ad:b3:81:1a:53",ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"

# PCI device 0x10ec:0x8168 (r8169)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="01:c0:ba:01:1b:13", ATTR{type}=="1", KERNEL=="eth*", NAME="eth1"

Unter ATTR... steht im ersten Eintrag die original MAC-Addresse, also immer noch nicht die erst später per macchanger in /etc/rc.local wärhend des Bootens neu zugewiesene, denn. mit dem Aufruf von macchanger sollte vorzugswweise auch die MAC-Adresse geändert werden (per Aufruf in /etc/rc.local jedesmal beim Booten/System-Neustart, hier allerdings erst nach dem Start von udev). Andernfalls (wovon wir abraten) verwende auch in diesem Fall die Orignal-Macadresse, selbstverständlich alles immer möglichst unter NAME eth0 !
Unter PCI-device folgt ein weiterer, zweiter (von udev autogenerierter) Eintrag, hier mit Bezug auf PCI des ITX-220, aber dann doch bitte immer unter Name eth1 !

OKifcfg-eth0

/etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=no
METRIC=5
MII_NOT_SUPPORTED=yes
USERCTL=yes
DNS1=127.0.0.1
RESOLV_MODS=yes
LINK_DETECTION_DELAY=6
IPV6INIT=no
IPV6TO4INIT=no
ACCOUNTING=yes
DHCP_CLIENT=dhclient -4 -cf /etc/dhcp/dhclient.conf eth0
NEEDHOSTNAME=no
PEERDNS=no
PEERYP=no
PEERNTPD=no
TYPE=Ethernet
IPADDR=0.0.0.0
MACADDR=e1:a0:b0:cd:a1:b8 # original oder einmal mehr "schwarz maskiert", hier über der eigentlichen (originalen) Hardware-Adresse (Ethernetkarte): /etc/rc.local. "macchanger --mac e1:a0:b0:cd:a1:b8 eth0" und setze in Firewalls wie Linfw3 "your IP" auf die aus dieser MAC-Adresse hervorgehende eigene neue, lokale (IP) f&uum;r (oder nach dem) nächsten Verbindungsaufbau zum Freischalten fürs Surfen etc.. Der noch so stabil laufende Rechner kann kurz dabei nach dem Umstellen in Firewall und Konfigurationsdateien vorübergehend schon mal "vom Glauben abfallen": (genauer gesagt abstürzen)...., erholt sich aber mit den Neustarts allmählich wieder.


OKNet-Aliases

/etc/networks

default 0.0.0.0
loopback 127.0.0.0
link-local 169.254.0.0 # In a computer network, a link-local address is a network address that is valid only for communications within the network segment (link) or the broadcast domain that the host is connected to. Link-local addresses are most often assigned automatically through a process known as stateless address autoconfiguration or link-local address autoconfiguration. Link-local addresses are not guaranteed to be unique beyond a single network segment. Routers therefore do not forward packets with link-local addresses.
For protocols that have only link-local addresses, such as Ethernet,[dubious - discuss] hardware addresses assigned by manufacturers in networking elements are unique, consisting of a vendor identification and a serial identifier. Link-local addresses for IPv4 are defined in the address block 169.254.0.0/16 in CIDR notation. In IPv6, they are assigned the address block fe80::/10, https://en.wikipedia.org/wiki/Link-local_address.


OKPreload-Beschleunigung
Das Tool Preload beschleunigt nicht den Bootvorgang, aber die Programmstarts oder Autostarts (unter "Startprogramme"), die Sie häufig oder regelmäßig nach jeder Anmeldung verwenden. Der einfache Dienst protokolliert die Programmvorlieben und lädt dann die Favoriten vorab in den Arbeitsspeicher. Der eigentliche Programmstart verläuft dadurch deutlich schneller. Preload ist in den Paketquellen verfügbar und etwa in Ubuntu mit


rpm -i --force preload bzw. sudo apt install preload

schnell nachinstalliert (Start z.B. über /etc/rc.local). Theoretisch können Sie in die Konfiguration des einfachen Tools manuell eingreifen ("/etc/preload.conf"), dies ist jedoch weder erforderlich noch inhaltlich ergiebig. preload bietet i.a. aber keine nennenswerten Vorteile.
https://www.pcwelt.de/ratgeber/Schneller_Linux-Start_ueber_Systemd_-_so_geht_s-Dienste_optimieren-8259105.html

OKrkhunter, chkrootkit, tiger, Lynis - Sicherheitscheck
Die Dürchführung eines "Audits" mit Lynis ist denkbar einfach:

su
lynis audit system --quick

Nach dem Durchlauf werdet ihr mit einem Gesamtergebnis, dem sogenannten "Hardening index", konfrontiert. Scrollt ihr im Terminal dann etwas weiter nach oben findet ihr vermutlich eine Menge an "Warnings" und "Suggestions", wie sich euer System absichern lässt.
https://www.kuketz-blog.de/linux-systemhaertung-basis-linux-haerten-teil2/

OKDeinstalliere X Windows auf Servern
X Windows ist auf Servern nicht erforderlich. Es gibt keinen Grund, X Windows auf einem Mail- und Apache-Webserver laufen zu lassen. Deaktiviere und entferne X Windows, um die Server-Sicherheit und Leistung zu verbessern.
Editiere /etc/inittab und setze den Runlevel auf 3. Nun entferne das X-Windows-System:

yum groupremove "X Window System"
On CentOS 7/RHEL 7 server use the following commands:
yum group remove "GNOME Desktop"
yum group remove "KDE Plasma Workspaces"
yum group remove "Server with GUI"
yum group remove "MATE Desktop"

https://www.cyberciti.biz/tips/linux-security.html

OKX11-Server-Zugriffskontrolle
von siehe bspws unter https://www.pcwelt.de/ratgeber/Linux-Zugriffsrechte-fuer-Verzeichnisse-1216203.html erläutert im Wesentichen das Konzept der Zugriffskontrolle, weitere Einzelheiten siehe unter "man chmod". Eine weitere Zugriffskontrolle bezieht sich auf den X11-Server im LAN: die X11-Server-Zugriffskontrolle. Der Kern des X-Protokolls mit X oder auch X-Server zur Steuerung der Graphikkarte, umfasst eine einfache, hostbasierte Authentifzierung. Mittels des Programms xhost lässt sich eine Liste erlaubter Hosts setzen. Nach einer ersten Abfrage über xhost gilt aber bereits by default: "access control enabled, only authorized clients can connect". X11 bietet Platz für Addons, sog. Extensions. X11-SECURITY-Extensions dienen zur Differenzierung von vertrauenswürdigen und nicht vertrauenswürdigen ("trusted" und "untrusted") X-Clients. Damit gelingt das Abhalten nicht vertrauenswürdiger Clients, Fensterinhalte anderer Clients zu lesen und die Eingaben und andere Teile an sich zu reißen etc.. Dokumeniert sind die Extensions im Paket xorg-docs. Möglicher Weise verhilft aber bereits MCC in der Sektion Sicherheit (draksec) wie bei mdv2010 bei der Sperre des X-Servers über zugehörige Sicherheitsabfragen mit Werten wie "KEINEN, BENUTZER, LOKAL, STANDARD UND ALLE".

OKX-Server absichern: Host-basierter ACL-Zugriffsschutz und Cookie-basierter Zugriff
Die von ISS Audit von BNL auf Nummer 1 gesetzte System-Verwundbarkeit bezieht sich auf "xhost +" oder ein offenes X-Display. "xhost +" ermöglicht jedem die Beobachtung von Tastaturanschlägen , das Entführen von Fenstern und das Einfügen von Befehlen in die Fenster. Als besonders bedrohlich erweist sich der Root-Zugang zur Maschine. Es gibt keinen vernünftigen Grund für die Ausführung von "xhost +". Die meisten Benutzer benutzen ssh für die Verbindungaufnahme zu anderen Maschinen als ihre Desktop und ssh-tunnelbasierten Verkehr auf X11, den Bedarf an "xhost +" nicht aufkommen zu lassen.. Um X11-Forwarding mit SSH zu ermöglichen, setze:

ssh -X host.domain

oder durch Hinzufügen in DOLLARSIGNHOME/.ssh/config:

Host *.bnl.gov
ForwardX11 yes

Die Variable DISPLAYsollte nicht gesetzt sein. ssh nimmt ihr Setzen vor wie:

echo DOLLARSIGNDISPLAY
localhost:12.0

X11-Forwarding muss durch den SSH-Server erlaubt werden. Überprüfe /etc/ssh/sshd_config auf die Zeile "X11Forwarding yes".
Unter Linux/UNIX kann das Kommando"xhost +" an verschiedenen auszuschaltenden Stellen auftauchen. Grundsätzlich lässt es sich mit "xhost -" daktivieren: . .

DOLLARSIGNHOME/.Xclients
DOLLARSIGNHOME/.Xclients.gnome
DOLLARSIGNHOME/.Xclients.kde
DOLLARSIGNHOME/.xinitrc
DOLLARSIGNHOMN/.xsession
/etc/X11/xinit/xinitrc
/usr/X11R6/bin/startx
/usr/X11R6/lib/X11/xdm/Xsession

"man xinit" gibt weitere Auskunft über mit dem Start von X11 ausgefürte Startup-Dateien.

Um zu überprüfen, ob das Problem "xhost +" gefixt ist, logge man sich in einen anderen UNIX-Rechner ein, deaktiviere den Kanal zur ssh-X11-Verschlüselung, indem die Umgebungsvariable DOLLARSIGNDISPLAY auf den Serverport 0 des Desktops zurückgesetzt wird. Starte anschließend xclock. Beispiel:

ssh youraccount@yourfavoritunixserver.phy.bnl.gov
setenv DISPLAY yourdesktop.phy.bnl.gov:0
xclock

Erscheint xclock auf dem Screen ist der X11-Zugang immer noch nicht mit der Zugangskontrolle gesperrt. In diesem Fall sollte eine professionelle Kontaktperson weiterhelfen. .

Xterminals
Um nach dem Setzen von "xhost -") den Zugang auf Tektronix-Xterminals zu versperren, rufe das "Setup"-Menü, (F3 Taste) auf. In der erscheinenden "Konfigurations-Zusammenfassung" wähle "X Environment" und setze dort quot;Enable Access Control / Erlaube Zugriffskontrolle" auf "Yes". Kehre zum Hauptmenü zurück und wähle "Save Settings to NVRAM". Das Teriminal wird nun alle X-Verbindungen zurückweisen, außer die von der via XDM verbundenen Maschine und solchen, die durch Tunnel zum eigenen XDM-Host, die erzeugt werden, wenn SSH auf anderen Maschinen läuft. Nachdem "xhost +" auf dem XDM-Host ausgeführt worden ist, ist die Zugriffskontrolle erneut außer Kraft gesetzt. Man vergewissere sich daher in jeder der bereits aufgelisteten Setup-Dateien.

Original-E-Mail von Ofer Rind zur Aktivierung der X11-Authentifizierung auf NCD-Xterminals:
-----------
- Disabling Xhost+ on an Xterminal
(NB: This was tried on both NCD and Textronix Xterminals and seemed to work; however, your mileage may vary. The description is for an NCD.) Press Alt-F3 to pull up the Xterminal control bar. Select "Change Setup Parameters" from the "Setup" menu. When the setup parameters window pops up, select "Access Control." This will expand the menu, revealing an option called "Enable Access Control." Turn this on by pressing the adjacent square. Then, at the bottom of setup window, press the "Apply" button to effect the change. This sometimes takes several seconds, be patient. When the arrow cursor returns, close the setup window and return to your previously scheduled program. X access control should now (hopefully) be enabled. NOTE that this access control can be superseded by a user who logs in on the Xterm and sets "xhost +".
Quelle: http://www.phy.bnl.gov/cybersecurity/old/xhost_plus.html

Unsere Eingabe zu diesem Thema X11-Zugriffskontrolle per Terminal und in /etc/rc.local:
xhost +si:localuser:´id -un´ >& /dev/null
bzw.

xhost -
xhost +si:localuser:lokaler-Benutzername
# lokaler-Benutzername: nur user, d.h. alle anderen Benutzer sind gesperrt, darunter Benutzer root,surfuser und toruser
xhost -si:localuser:root # bereits mit "xhost -"
xhost -si:localuser:toruser # bereits mit "xhost -"
xhost -si:localuser:surfuser # bereits mit "xhost -"
xhost -inet6:user@ # Das @-Zeichen muss bei inet6 (IPv6) im Unterschied zu si hinter dem Benutzernamen user stehen.
xhost -nis:user@ # nis: Secure RPC network

Diese xhost-Kommdos sollte man nicht unbedingt in /etc/rc.local hinzufügen sondern "man xhost" nach in einer separt zu erzeugenden Datei /etc/X0.hosts ablegen:

"The initial access control list for display number n may be set by the file /etc/Xn.hosts, where n is the display number of the server. See Xserver(1) for details."

Ausgabe von xhost (bei Problemen nach dem Anmelden wieder kurz mit "xhost +" zurücksetzen):
access control enabled, only authorized clients can connect
SI:localuser:lokaler-Benutzername


Diese Regel nicht für andere Nutzer setzen, auch NICHT root! Damit wird das System einmal mehr mausklick-schnell und sicher.

OKX-Server: Cookie-basierter Zugriff: MIT-MAGIC-COOKIE-1
When using xdm (X Display Manager) to log in, you get a much better access method: MIT-MAGIC-COOKIE-1. Above deals with the host-based accesss. A 128-bit "cookie" is generated and stored in your .Xauthority file. If you need to allow a remote machine access to your display, you can use the xauth command and the information in your .Xauthority file to provide access to only that connection. See the Remote-X-Apps mini-howto, available at
http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html.
OKAlso use ssh (see Section 6.4, above) to allow secure X connections. This has the advantage of also being transparent to the end user and means, that no unencrypted data flows across the network.
Cookie-based access
The cookie-based authorization methods are based on choosing a magic cookie (an arbitrary piece of data) and passing it to the X display server when it is started; every client that can prove having knowledge of this cookie is then authorized connection to the server.
These cookies are created by a separate program and stored in the file .Xauthority in the user´s home directory, by default. As a result, every program run by the client on the local computer can access this file and therefore the cookie that is necessary for being authorized by the server. If the user wants to run a program from another computer on the network, the cookie has to be copied to that other computer. How the cookie is copied is a system-dependent issue: for example, on Unix-like platforms, scp can be used to copy the cookie.
The two systems using this method are MIT-MAGIC-COOKIE-1 and XDM-AUTHORIZATION-1. In the first method, the client simply sends the cookie when requested to authenticate. In the second method, a user key is also stored in the .Xauthority file. The client creates a string by concatenating the current time, a transport-dependent identifier, and the cookie, encrypts the resulting string, and sends it to the server.
The xauth application is a utility for accessing the .Xauthority file. The environment variable XAUTHORITY can be defined to override the name and location of that cookie file.
The Inter-Client Exchange (ICE) Protocol implemented by the Inter-Client Exchange Library for direct communication between X11 clients uses the same MIT-MAGIC-COOKIE-1 authentication method, but has its own iceauth utility for accessing its own .ICEauthority file, the location of which can be overridden with the environment variable ICEAUTHORITY. ICE is used, for example, by DCOP and the X Session Management protocol (XSMP).
https://en.wikipedia.org/wiki/X_Window_authorization

Fetch the magic cookie entry relevant to your local display:
[garth@server1 ~]DOLLARSIGN echo xauth add xauth list DOLLARSIGN{DISPLAY#localhost}
xauth add server1.localdomain/unix:12 MIT-MAGIC-COOKIE-1 2928a6e16b7d6d57041dcee632764b72
Switch user to "oracle" and add the entry into your /home/oracle/.Xauthority file (by copying the ‘xauth add…´ line from above:

[garth@server1 ~]DOLLARSIGN sudo su - oracle
[oracle@server1 garth]DOLLARSIGN echo DOLLARSIGNDISPLAY
localhost:12.0
[oracle@server1 garth]DOLLARSIGN xauth add server1.localdomain/unix:12 MIT-MAGIC-COOKIE-1 2928a6e16b7d6d57041dcee632764b72
xauth: creating new authority file /home/oracle/.Xauthority

After this your X-session should work…try something like "xcalc" or "firefox" to test it first and you should be ready to go!
http://www.snapdba.com/2013/02/ssh-x-11-forwarding-and-magic-cookies/

OKAlso disable any remote connections to your X server by using the ´-nolisten tcp´ options to your X server. This will prevent any network connections to your server over tcp sockets.
Take a look at the Xsecurity man page for more information on X security. The safe bet is to use xdm to login to your console and then use ssh to go to remote sites on which you wish to run X programs.
http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKX11: Einstellungen für Graphikkarte optimieren, insbes. für Spiele
Die optimale Einstellung kommt System und Graphikkarte entgegen.
BIOS-Setup: Northbridge -> COMBO-Mode
Aufruf driconf (Hardware siehe unter Datenblatt)
Aktivieren:
1) Leistung
+ Synchronisation mit der vertikalen Bildwiederholung: Immer mit der Bildwiederholung synchronisieren, Anwendung wählt das minimale Bildintervall
+ Buffer object reuse: Enable reuse of all size of buffer objects
2 ) Bildqualität
+ Aktiviere S3TC Texturkomprimierung, auch wenn die nötige Softwareunterstützung fehlt
3) Fehlersuche
+ Aktiviere sofortige Leerung des Stapelpuffers nach jedem Zeichenaufruf
+ Aktiviere sofortige Leerung der GPU-Zwischenspeicher
+ Disable throttling on first batch after flush
+ Force GLSL extension default behavior to "warn"
+ Disable backslash-based line continuation in GLSL-source
+ Disable dual source blending
+ Perform code generation at shader link time



OK/etc/X11/xorg.conf, mausklick-schnell für IGP INTEL-GMA-945 und die optische Logitech- und Trackball-Maus am PS2-Port, Keyboard am USB-Anschluss: Hier, in dieser Konfigurationsdatei, kann man alle Bildschirm-Auflösungen bis auf die aktuell (und dauerhaft) gewählte austragen und die Frequenzbereiche sehr eng fassen. Einige graphische Spiele stimmen sich dann von selbst auf die übrig gebliebene Einstellung ab und das Bild samt Schriftbild ist und bleibt immer scharf, allerdings entfällt bei einigen Spielen nun der Fullscreen.
/etc/X11/xorg.conf

Section "ServerFlags"
Option "DontZap" "True" # disable <Ctrl> <Alt> <BS>(server abort)
#DontZoom # disable <Ctrl> <Alt> <KP_+> /<KP_->(resolution switching)
AllowMouseOpenFail # allows the server to start up even if the mouse does not work
Option "DontVTSwitch" "True"
EndSection

Section "Module"
Load "dbe" # Double-Buffering Extension
Load "v4l" # Video for Linux
Load "type1"
Load "freetype"
Load "extmod"
Load "glx" # 3D layer
Load "dri" # direct rendering
EndSection

Section "Files"
ModulePath "/usr/lib64/xorg/modules"
ModulePath "/usr/lib64/xorg/modules/extensions"
FontPath "/usr/share/fonts/X11/misc"
FontPath "/usr/share/fonts/X11/cyrillic"
FontPath "/usr/share/fonts/X11/100dpi/:unscaled"
FontPath "/usr/share/fonts/X11/75dpi/:unscaled"
FontPath "/usr/share/fonts/X11/Type1"
FontPath "/usr/share/fonts/X11/100dpi"
FontPath "/usr/share/fonts/X11/75dpi"
FontPath "/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType"
FontPath "built-ins"
EndSection

Section "Monitor"
Identifier "monitor1" HorizSync 45-55 # Some games require tolerance for fullscreen!
VertRefresh 50-70
DisplaySize 361 203
# Monitor preferred modeline (59.8 Hz vsync, 47.7 kHz hsync, ratio 16/9, 84 dpi)
ModeLine "1366x768" 85.5 1366 1436 1579 1792 768 771 774 798 +hsync +vsync

# modeline generated by gtf(1) [handled by XFdrake]
ModeLine "1280x720_60" 74.48 1280 1336 1472 1664 720 721 724 746 -HSync +Vsync

# modeline generated by gtf(1) [handled by XFdrake]
ModeLine "1280x720_50" 60.47 1280 1328 1456 1632 720 721 724 741 -HSync +Vsync
EndSection

Section "Device"
Identifier "device1"
VendorName "Intel Corporation"
BoardName "Intel 810 and later"
Driver "intel"
BusID "PCI:0:2:0"
Screen 0
Option "DPMS"
Option "ZaphodHeads" "VGA1"
Option "AccelMethod" "sna"

#Option "AccelMethod" "exa"

#Option "AccelMethod" "uxa"

#Option "AccelMethod" "glamour"
Option "MigrationHeuristic" "greedy"
# Option "EXAPixmaps" "off"
Option "DRI" "3"
#Option "DRI" "2"
Option "TearFree" "off"
Option "ColorTiling" "on"
Option "ColorTiling2D" "on"
Option "EnablePageFlip" "on"
#Option "ShadowPrimary" "on"
### Available Driver options are:-
### Values: <i> : integer, <f> : float, <bool> : "True"/"False",
### <string> : "String", <freq> : "<f>Hz/kHz/MHz",
### <percent> : "<f> %"
### [arg]: arg optional
# left by default https://www.mankier.com/4/intel
#Option "Backlight" # [<str> ]
#Option "XvPreferOverlay" # [<bool> ]
#Option "VideoKey" # [<bool> ]
#Option "ReprobeOutputs" # [<bool> ]
#Option "ZaphodHeads" # <str>
#Option "Accel" # [<bool> ]
#Option "ReprobeOutputs" # [<bool> ]
#Option "Present" # [<bool> ]
#Option "DebugFlushCaches" # [<bool> ]
#Option "DebugFlushBatches" # [<bool> ]
#Option "FallbackDebug" # [<bool> ]
#Option "CustomeEDID" # [<bool> ]
#Option "VSync" # [<bool> ]
#Option "PageFlip" # [<bool> ]
#Option "HWRotation" # [<bool> ]
#Option "DebugWait" # [<bool> ]
#Option "SwapbuffersWait" # [<bool> ]
#Option "Tiling" # [<bool> ]
#Option "LinearFramebuffer" # [<bool> ]
#Option "RelaxedFencing" # [<bool> ]
#Option "XvMC" # [<bool> ]
#Option "HotPlug" # [<bool> ]
#Option "Virtualheads" # <i>
#Option "Throttle" # [<bool> ]
#Option "NoAccel" # [<bool> ]
#Option "AccelMethod" # <str>
#Option "Backlight" # <str>
#Option "ColorKey" # <i>
#Option "VideoKey" # <i>
#Option "Tiling" # [<bool> ]
#Option "LinearFramebuffer" # [<bool> ]
#Option "SwapbuffersWait" # [<bool> ]
#Option "XvPreferOverlay" # [<bool> ]
#Option "HotPlug" # [<bool> ]
#Option "RelaxedFencing" # [<bool> ]
#Option "XvMC" # [<bool> ]
#Option "Throttle" # [<bool> ]
#Option "DelayedFlush" # [<bool> ]
#Option "TearFree" # [<bool> ]
#Option "PerCrtcPixmaps" # [<bool> ]
#Option "FallbackDebug" # [<bool> ]
#Option "DebugFlushBatches" # [<bool> ]
#Option "DebugFlushCaches" # [<bool> ]
#Option "DebugWait" # [<bool> ]
#Option "BufferCache" # [<bool> ]
#Option "TripleBuffer" # [<bool> ]
#Option "SWcursor" # [<bool> ]
#Option "kmsdev" # <str>
#Option "ShadowFB" # [<bool> ]
#Option "Rotate" # <str>
Option "fbdev" "on"
#Option "debug" # [<bool> ]
#Option "ShadowFB" # [<bool> ]
#Option "DefaultRefresh" # [<bool> ]
#Option "ModeSetClearScreen&Option # [<bool> ]
Option "AddARGBGLXVisuals" "true"
Option "DisableGLXRootClipping" "true"
EndSection

Section "Screen"
Identifier "screen1"
Device "device1"
Monitor "monitor1"
DefaultColorDepth 24

Subsection "Display"
Depth 24
Modes "1366x768" "1360x765" "1280x720" "1024x768"
EndSubsection
EndSection

Section "ServerLayout"
Identifier "layout1"
Screen "screen1&# File generated by XFdrake (rev )

# **********************************************************************
# Refer to the xorg.conf man page for details about the format of
# this file.
# **********************************************************************

Section "ServerFlags" Option "DontZap" "true" # disable <Ctrl> <Alt> <BS>(server abort)
#DontZoom # disable <Ctrl> <Alt> <KP_+> /<KP_->(resolution switching)
Option "AllowMouseOpenFail" "true" # allows the server to start up even if the mouse does not work
Option "DontVTSwitch" "true"
Option "DPMS" "true"
EndSection

Section "Module"
Load "dbe" # Double-Buffering Extension
Load "v4l" # Video for Linux
Load "type1"
Load "freetype"
Load "extmod"
Load "glx" # 3D layer
Load "dri" # direct rendering
EndSection
Section "Extensions"
# compiz needs Composite, but it can cause bad (end even softreset-resistant)
# effects in some graphics cards, especially nv.
Option "Composite" "Enable"
EndSection

Section "Files"
ModulePath "/usr/lib64/xorg/modules"
ModulePath "/usr/lib64/xorg/modules/extensions"
FontPath "/usr/share/fonts/X11/misc"
FontPath "/usr/share/fonts/X11/cyrillic"
FontPath "/usr/share/fonts/X11/100dpi/:unscaled"
FontPath "/usr/share/fonts/X11/75dpi/:unscaled"
FontPath "/usr/share/fonts/X11/Type1"
FontPath "/usr/share/fonts/X11/100dpi"
FontPath "/usr/share/fonts/X11/75dpi"
FontPath "/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType"
FontPath "built-ins"
EndSection

Section "Monitor"
Identifier "monitor1"
HorizSync 45-55
VertRefresh 55-65
DisplaySize 361 203
# Monitor preferred modeline (59.8 Hz vsync, 47.7 kHz hsync, ratio 16/9, 84 dpi)
ModeLine "1366x768" 85.5 1366 1436 1579 1792 768 771 774 798 -hsync +vsync

# modeline generated by gtf(1) [handled by XFdrake]
ModeLine "1280x720_60" 74.48 1280 1336 1472 1664 720 721 724 746 -HSync +Vsync

# modeline generated by gtf(1) [handled by XFdrake]
ModeLine "1280x720_50" 60.47 1280 1328 1456 1632 720 721 724 741 -HSync +Vsync
EndSection

Section "Device"
Identifier "device1" VendorName "Intel Corporation"
BoardName "Intel 810 and later"
Driver "intel"
BusID "PCI:0:2:0"
Screen 0
Option "DPMS"
Option "ZaphodHeads" "VGA1"
Option "AccelMethod" "sna"

#Option "AccelMethod" "exa"

#Option "AccelMethod" "uxa"

#Option "AccelMethod" "glamour"
Option "MigrationHeuristic" "greedy"

#Option "EXAPixmaps" "off"
Option "DRI" "3"
#Option "DRI" "2"
Option "TearFree" "off"
Option "ColorTiling" "on"
Option "ColorTiling2D" "on"
Option "EnablePageFlip" "on"
#Option "ShadowPrimary" "on"
### Available Driver options are:-
### Values: <i> : integer, <f> : float, <bool> : "True"/"False",
### <string> : "String", <freq> : "<f>Hz/kHz/MHz",
### <percent> : "<f> %"
### [arg]: arg optional
# left by default https://www.mankier.com/4/intel
#Option "Backlight" # [<str> ]
#Option "XvPreferOverlay" # [<bool> ]
#Option "VideoKey" # [<bool> ]
#Option "ReprobeOutputs" # [<bool> ]
#Option "ZaphodHeads" # <str>
#Option "Accel" # [<bool> ]
#Option "ReprobeOutputs" # [<bool> ]
#Option "Present" # [<bool> ]
#Option "DebugFlushCaches" # [<bool> ]
#Option "DebugFlushBatches" # [<bool> ]
#Option "FallbackDebug" # [<bool> ]
#Option "CustomeEDID" # [<bool> ]
#Option "VSync" # [<bool> ]
#Option "PageFlip" # [<bool> ]
#Option "HWRotation" # [<bool> ]
#Option "DebugWait" # [<bool> ]
#Option "SwapbuffersWait" # [<bool> ]
#Option "Tiling" # [<bool> ]
#Option "LinearFramebuffer" # [<bool> ]
#Option "RelaxedFencing" # [<bool> ]
#Option "XvMC" # [<bool> ]
#Option "HotPlug" # [<bool> ]
#Option "Virtualheads" # <i>
#Option "Throttle" # [<bool> ]
#Option "NoAccel" # [<bool> ]
#Option "AccelMethod" # <str>
#Option "Backlight" # <str>
#Option "ColorKey" # <i>
#Option "VideoKey" # <i>
#Option "Tiling" # [<bool> ]
#Option "LinearFramebuffer" # [<bool> ]
#Option "SwapbuffersWait" # [<bool> ]
#Option "XvPreferOverlay" # [<bool> ]
#Option "HotPlug" # [<bool> ]
#Option "RelaxedFencing" # [<bool> ]
#Option "XvMC" # [<bool> ]
#Option "Throttle" # [<bool> ]
#Option "DelayedFlush" # [<bool> ]
#Option "TearFree" # [<bool> ]
#Option "PerCrtcPixmaps" # [<bool> ]
#Option "FallbackDebug" # [<bool> ]
#Option "DebugFlushBatches" # [<bool> ]
#Option "DebugFlushCaches" # [<bool> ]
#Option "DebugWait" # [<bool> ]
#Option "BufferCache" # [<bool> ]
#Option "TripleBuffer" # [<bool> ]
#Option "SWcursor" # [<bool> ]
#Option "kmsdev" # <str>
#Option "ShadowFB" # [<bool> ]
#Option "Rotate" # <str>
Option "fbdev" "on"
#Option "debug" # [<bool> ]
#Option "ShadowFB" # [<bool> ]
#Option "DefaultRefresh" # [<bool> ]
#Option "ModeSetClearScreen" # [<bool> ]
EndSection

Section "Screen"
Identifier "screen1"
Device "device1"
Monitor "monitor1"
DefaultColorDepth 24

Subsection "Display"
Depth 24
Modes "1366x768" "1360x765" "1280x720" "1024x768"
EndSubsection
EndSection

Section "ServerLayout"
Identifier "layout1" Screen "screen1"
InputDevice "Keyboard0" "CoreKeyboard"
InputDevice "Mymouse1" "CorePointer"
Option "AIGLX" "true"
EndSection
# LOGITECH OPTICAL PS2-PORT-MOUSE
Section "InputDevice"
Identifier "Mymouse1"
Driver "mouse"

#Option "Device" "/dev/ttyS0"
Option "Protocol" "ImPS/2"

#Option "Device" "/dev/psaux"

#Option "Device" "/dev/ttyS0"

Option "Device" "/dev/input/mice"
Option "Emulate3Buttons" "true"
Option "CorePointer"

#Option "Protocol" "Auto"
#Option "Protocol" "ExplorerPS/2"

#Option "Protocol" "auto"

Option "ZAxisMapping" "4 5"
#Option "ZAxisMapping" "4 5 6 7"
EndSection

Section "InputDevice"
# generated from default
Identifier "Keyboard0"
Driver "kbd"
Option "CoreKeyboard"
Option "XkbRules" "xorg"
Option "XkbModel" "pc105"
Option "XkbLayout" "de"

EndSection

InputDevice "Keyboard0" "CoreKeyboard"
InputDevice "Mymouse1" "CorePointer"
EndSection
Section "InputDevice"
Identifier "Mymouse1"
Driver "mouse"

<BR>
#Option "Device" "/dev/ttyS0"
Option "Protocol" "ImPS/2"
#Option "Device" "/dev/psaux"

#Option "Device" "/dev/ttyS0"
Option "Device" "/dev/input/mice"
Option "Emulate3Buttons" "true"
Option "CorePointer"
#Option "Protocol" "Auto"
#Option "Protocol" "ExplorerPS/2"

#Option "Protocol" "auto"
Option "ZAxisMapping" "4 5"
#Option "ZAxisMapping" "4 5 6 7"
EndSection

Section "InputDevice"
# generated from default
Identifier "Keyboard0"
Driver "kbd"
Option "CoreKeyboard"
Option "XkbRules" "xorg"
Option "XkbModel" "pc105"
Option "XkbLayout" "de"
EndSection


OKAußerdem sollte man natürlich auch (täglich) Logs überwachen (z.B. mit logwatch) wie auch die letzten Logins in /var/log/lastlog
Mit Hilfe des Befehls lastlog lässt sich der Inhalt von /var/log/lastlog in ein angenehm lesbares Format umleiten.
https://www.stefanux.de/wiki/doku.php/linux/hardening

OKDienste sollten nicht als root laufen (oder höchstens als root starten und dann die Privilegien abgeben bzw. den eigentlichen Dienst unter einem eingeschränkten Benutzer laufen lassen)!
unnötige Dienste abschalten (Verringerung der Angriffsfläche): Auf offene Ports überprüfen
netstat -lnptu
Internetsuperserver
veralteter inetd noch nötig?
xinetd sicher konfigurieren
(gefährdete) Dienste absichern:
nur auf einer bestimmten IP lauschen, auf andere Ports wechseln
evtl. Port-knocking einsetzen (Beispiel SSH)
Bind mit chroot
sicheren FTP-Server einsetzen: vsftp oder pure-ftpd
unsichere Dienste nicht für kritische Aufgaben (Login) zulassen:
FTP
Telnet
veraltete r-Dienste (rsh, rlogin, …)
nur notwendige Benutzerkonten einrichten
regelmäßig die Passwörter der Benutzer auf unsichere Passwörter überprüfen
leere Passwörter nicht erlauben
Kernel absichern
eigenen (minimalen) Kernel bauen
Integritätschecker, z.B. tripwire als cronjob laufen lassen. Die Signaturen sollten auf einem sicheren Drittsystem gelagert werden bzw. read-only gemountet sein (z. B. auf einer CD oder Diskette mit Schreibschutz)
Die Benutzung von Shadow ist meist schon aktiviert (shadowconfig on)
Protokolle (Logfiles) sichern:
Loghost einrichten oder
Logfiles absichern: Mit Secure Logging von Core-Wisdom können Sie Logfiles auch in mySQL-Datenbanken ablegen oder per Fingerabdruck gegen Veränderung sichern.
msyslogd oder
logrotate → Log per mail
regelmäßig nach suid-Programme suchen:
automatisch mit Programmen:
sxid schickt eine tägliche Report über dazugekommene suid/sgid per mail zu
manuell:
root-suids:
find / -perm -4000 2>/dev/null
allgemein suids:
find / -perm +6000
sgid-programme:
find / -perm -2000 2>/dev/null
volle Ausgabe mit allen Rechten bekommt man mit:
ls -lad --full-time ´find / -perm +6000´
Banner (Versionsnummern etc.) von Diensten abschalten
in /etc/motd die Kernelversion nicht anzeigen lassen, stattdessen Warnungen für Angreifer
SSH: Im Sourcecode
Webserver:
Logfiles studieren
Monitoring betreiben
Quelle: https://www.stefanux.de/wiki/doku.php/linux/hardening

OKSVGA
SVGAlib-Programme laufen meist unter SUID-root, um Zugriff auf sämtliche Video-Hardware zu haben. Das macht sie so gefährlich. Sollten sie crashen, bleibt nur der Neustart des Systems, die Konsole zurückzu gewinnen. SVGA-Programme sollten daher nur unter Wahrung der Authentizität laufen. Besser ist, sie überhaupt nicht zu starten.
Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKGGI (Generic-Graphics-Schittstellen-Projekt)
Das Linux-GGI-Projekt versucht, zahlreiche Probleme von Linux mit dem Video-Interface zu lösen. GGI bewegt kleine Teile vom Video-Code in den Linux-Kernel, um Zugriffskontrolle über das Video-System zu gewinnen. Das bedeutet, CGI ermöglicht, zu jeder Zeit die Konsole wieder in einen guten Zustand zu bringen. Ebenso erlaubt ist ein sicherer sogenannter Attention-key, so dass kein trojanisches Login-Programm auf der Konsole l&aum;uft.
http://synergy.caltech.edu/~ggi/
Quelle: http://www.tldp.org/HOWTO/Security-HOWTO/password-security.html#AEN698

OKVerbiete das Aufspüren von USB-Speicherstiften ( empfohlen für Firmen etc. )
Es passiert doch immer wieder: Benutzer schließen USB-Speicherstifte an, um Daten zu stehlen.
Erzeuge eine Datei ´/etc/modprobe.d/no-usb´ und füge folgende Zeile hinzu, keine USB-Stifte mehr aufzuspüren:

install usb-storage /bin/true

https://www.tecmint.com/linux-server-hardening-security-tips/

Verbiete USB/firewire/thunderbolt-Geräte
echo ";install usb-storage /bin/true" >> /etc/modprobe.d/disable-usb-storage.conf
echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.conf
echo ";blacklist thunderbolt" >> /etc/modprobe.d/thunderbolt.conf

Benutzer können nun keine sensitiven Daten auf USB-Geräte und keine Malware, Virusse und Backdoors mehr auf das Linux-System kopieren.
https://www.cyberciti.biz/tips/linux-security.html

SSL v2, v3, Ende-zu-Ende, TLS v1.1, v1.2, ..., md5, sha128, sha256, twofish, blowfish, Rijdal, ...
OKDas sollten Sie über Verschlüsselung wissen (FAQ), PC-WELT, 03.01.2018
RSA und AES, Public und Private Key etc. Was steckt hinter diesen Verschlüsselungs-Begriffen? Eine FAQ.
https://www.pcwelt.de/ratgeber/Das-sollten-Sie-ueber-Verschluesselung-wissen-FAQ-PGP-AES-SSL-und-Co.-9848740.html

OKSichern Sie Ihr eigenes Wi-Fi-Netzwerk, PC-WELT.de, 03.01.2018
Heim- und kleine Firmennetzwerk-Router sowie Access Points (APs) werden in aller Regel einmal eingerichtet und dann sich selbst überlassen. Es lohnt sich aber, eine halbe Stunde Zeit zu investieren, um potenzielle Sicherheitslücken in Ihrem Netzwerk ausfindig zu machen und sie zu stopfen.
Da Wireless-Signale in alle Richtungen ausstrahlen, sollten Sie eine sichere Verschlüsselungsmethode auswählen, um Spione und Datendiebe auszusperren. Sicherheitslücken in älteren Sicherheitsprotokollen wie WEP bedeuten, dass diese in wenigen Minuten ausgehebelt werden können. Auch wenn die meisten neuen Router mittlerweile WEP gegen WPA oder WPA2 getauscht haben, sollten Sie insbesondere bei älteren Modellen diesen Status überprüfen.
Auch WPA gilt heutzutage nicht mehr als sicher, denn es setzt auf das unsichere TKIP-Verschlüsselungs-Protokoll. Achten Sie also unbedingt darauf, dass Ihr Router mit WPA2 und AES-Verschlüsselung arbeitet. Unterstützt Ihr Router diese Sicherheitsmechanismen nicht, wird es Zeit für einen Gerätewechsel.
Router-Grundlagen: 5 Tipps zur optimalen Einrichtung
Aus Gründen der Bequemlichkeit wird für Heim- und kleine Firmennetzwerke meist ein statisches Passwort für die Verschlüsselung übermittelter Daten benutzt. Das macht es Hackern aber leicht, das Netzwerk gewaltsam zu betreten. Genau genommen gibt es sogar verschiedenste Software-Lösungen, die Hackern genau das ermöglichen. Die Komplexität eines Passworts spielt dabei gar nicht die größte Rolle, sondern vielmehr die Zeichenlänge. Mindestens 20 Zeichen sollte ein sicheres Passwort umfassen - je länger es ist, desto schwieriger wird es zu knacken.
Auch gebräuchliche SSIDs wie "Home", "WLAN" oder "WLAN-Netzwerk" sollten Sie in etwas Einzigartiges ändern. Denn WPA/WPA2 benutzt die SSID als Bestandteil für den Verschlüsselungs-Passcode.
Das Befolgen unserer Tipps gibt natürlich keine Garantie dafür, dass Sie niemals ein Sicherheits-Debakel erleiden. Aber sie sind ein guter Anfang - und wer sie regelmäßig ausführt, bringt schon bald ein gutes Stück mehr PC-Sicherheit in seinen Alltag. Nicht das schlechteste in einer immer unsicherer werdenden Welt.
https://www.pcwelt.de/ratgeber/5-schnelle-Tipps-fuer-Ihre-Datensicherheit-9985465.html

OKSperren Sie Ihren PC, PC-WELT.de, 03.01.2018
Viele wissen es, die wenigsten tun es: Man sollte seinen PC niemals verlassen, ohne vorher eine Sperre eingerichtet zu haben - insbesondere an semi-privaten Orten wie dem eigenen Arbeitsplatz. Wenn man davon ausgeht, dass die meisten Büroarbeiter als Admins in ihren PCs eingeloggt sind, dauert es nur wenige Sekunden, um Mal- oder Spyware darauf zu installieren, die geschickt sämtliche Antivirenscanner umgeht.
https://www.pcwelt.de/ratgeber/5-schnelle-Tipps-fuer-Ihre-Datensicherheit-9985465.html

Linux, KDE (4.4.4-OpenSuSE, mdv2010, CentOS 6, ...), Abmelden (Sitzung beenden), Benutzer wechseln, Ein-/Ausschalter, Neustart, Arbeitsfläche sperren, Ruhezustand und Tiefschlaf:
systemsettings -> Anzeige -> Bildschirmschoner: nach X Minuten automatisch starten und nach Passwort fragen, um Bildschirmschoner zu beenden. Angleichung des Bildschirmschoners mit Screenlock: GL-Sonnenwind. systemsettings->Energieverwaltung -> Bildschirm nach Ruhezustand sperren und im aktivierten Profil: Reiter Bildschirm: Energiesparfunktionen für Bildschirm einschalten und Ausschalten nach Y (<X) Minuten

ggfls. Programm caffeine zur Umgehung des Bildschirmschoners und -sperre in Systemabschnitt-Kontrollleiste (Systemtray) einstellen und aktivieren!

OKEinen (warnenden) System-Banner erzeugen
Eine Warnung zum Begrüßungstext nach dem Login kann abhalten, in den Server einzudringen
/usr/lib/issue.net: Verfasse einen Text mit einer Warnung oder dergleichen.

OKHow to Spoof a MAC Address (eindeutige Hardware-Adresse der Ethernetkarte) Permanently "[...] A 48-bit MAC address (e.g., 08:4f:b5:05:56:a0) is a globally unique identifier associated with a physical network interface, which is assigned by a manufacturer of the corresponding network interface card. Higher 24 bits in a MAC address (also known as OUI or "Organizationally Unique Identifier") uniquely identify the organization which has issued the MAC address, so that there is no conflict among all existing MAC addresses.
While a MAC address is a manufacturer-assigned hardware address, it can actually be modified by a user. This practice is often called "MAC address spoofing." In this tutorial, I am going to show how to spoof the MAC address of a network interface on Linux.
Why Spoof a MAC Address?
There could be several technical reasons you may want to change a MAC address. Some ISPs authenticate a subscriber´s Internet connection via the MAC address of their home router. Suppose your router is just broken in such a scenario. While your ISP re-establishes your Internet access with a new router, you could temporarily restore the Internet access by changing the MAC address of your computer to that of the broken router.
Many DHCP servers lease IP addresses based on MAC addresses. Suppose for any reason you need to get a different IP address via DHCP than the current one you have. Then you could spoof your MAC address to get a new IP address via DHCP, instead of waiting for the current DHCP lease to expire who knows when.
Technical reasons aside, there are also legitimate privacy and security reasons why you wish to hide your real MAC address. Unlike your layer-3 IP address which can change depending on the networks you are connected to, your MAC address can uniquely identify you wherever you go. Call me a paranoid, but you know what this means to your privacy. There is also an exploit known as piggybacking, where a hacker snoops on your MAC address on a public WiFi network, and attempts to impersonate you using your MAC address while you are away.
[...] If you want to spoof your MAC address permanently across reboots, you can specify the spoofed MAC address in interface configuration files. For example, if you want to change the MAC address of eth0, do the following.
On Fedora resp. CentOS or RHEL:

nano /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
MACADDR=00:00:00:00:00:01

Alternatively, you can create a custom startup script in /etc/NetworkManager/dispatcher.d as follows, especially if you are using Network Manager. I assume that you already installed macchanger.

nano /etc/NetworkManager/dispatcher.d/000-changemac

#!/bin/bash

case "DOLLARSIGN2" in
up)
macchanger --mac=00:00:00:00:00:01 "DOLLARSIGN1"
;;
esac

... oder macchanger -r "DOLLARSIGN1"" Quelle: https://xmodulo.com/spoof-mac-address-network-interface-linux.html
Der Erfolg mit obigem Vorgehen hängt angeblich von der Hardware ab. Im Zweifelsfalle rufe "macchanger -r eth0" in einem Einwahlskript aus /usr/sbin oder /etc/sysconfig/network-scripts wie ifup oder ifup-eth weiter am Schluss nach der Einwahl auf oder manuell im Terminal nach der Einwahl.

Eine Abfrage der gerade gesetzten MAC- bzw. Fake-MAC-Adresse kann dabei erfolgen mit

macchanger -s eth0 oder

ifconfig

Mit ifconfig lässt sich die MAC-Adresse wie mit macchanger verändern.

macchanger: Um nun eine neue MAC-Adresse wirksam einzurichten, sind nach Wahl einer der zufälligen aus "macchanger -r eth0" drei Veränderungen vorzunehmen: /etc/rc.local (Eintrag "macchanger --mac neue-MAC-Adresse eth0"), /etc/sysconfig/network-scripts/ifcfg-eth0 nochmaliger Eintrag der neuen MAC-Adresse und Ändern der damit verbundenen, neuen eigenen (lokalen) IP-Adresse in LINFW3 (Dialog -> NONYESNO -> own IP), ggfls. System-Neustart.


OKEinstellungen in /etc/sysctl/network-scripts/ifcfg-eth0

DEVICE=eth0
# MACADRESS=....
BOOTPROTO=dhcp
ONBOOT=no # automized dial-in during boot
METRIC=5
MII_NOT_SUPPORTED=yes
USERCTL=yes # users are allowed to change these data listed here and to dial-in
DNS1=127.0.0.1
DNS2=203.13.81.14
RESOLV_MODS=yes
LINK_DETECTION_DELAY=6
IPV6INIT=no
IPV6TO4INIT=no
ACCOUNTING=no
DHCP_CLIENT=dhclient
NEEDHOSTNAME=no
PEERDNS=no
PEERYP=no
PEERNTPD=no

OKKonfigurationsdatei des Resolvers
Die Datei /etc/host.conf enthält spezielle Konfigurationsinformationen der Resolverbibliothek. Sie sollte je Zeile ein Konfigurations-Schlüsselwort enthalten, gefolgt von der entsprechenden Konfigurationsinformation.
/etc/host.conf


order hosts,bind
multi on
reorder on
nospoof on
spoofalert on


Quelle: man host.conf

OKNetworkManager-Konfiguration mit /etc/NetworkManager/NetworkManager.conf:

[main]
dns=none
plugins=keyfile
dhcp=dhclient
rc-manager=unmanaged

[ifupdown]
managed=false

[logging]
level=error
domains=none

Weitere (sichere) Konfigurationsm&oum;glichkeiten des NetworkManagers mit NetworkManager.conf siehe https://developer.gnome.org/NetworkManager/1.11/NetworkManager.conf.html

OKNIS deaktivieren
Der Netzwerk-Informations-Service NIS sollte nicht benutzt werden, da er Passwort-Sharing erlaubt, eine hohe Unsicherheit..Alternativen sind LDAP.

OKSicheres finger
Es gibt viele finger-Daemon, als besonders sicher gilt ffingerd. Hier kann die Anzahl der zur selben Zeit laufenden Prozesse und die Anzahl der darauf zugreifenden Hosts limitiert und das verfügbare Interface eingegrenzt werden.

OKSichere Nutzung von PCs unter Ubuntu (und andere, Anm., Gooken)- für kleine Unternehmen und Selbstständige v2.0 (PDF, 189KB, Datei ist barrierefrei⁄barrierearm), BSI, 01.08.2018
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_009.html

OKGuidance
EUD Security Guidance: Ubuntu 18.04 LTS

Created: 24 Jul 2018
Updated: 24 Jul 2018
https://www.ncsc.gov.uk/guidance/eud-security-guidance-ubuntu-1804-lts

OKpaxctld von grsecurity.net (Aufruf paxctld in /etc/rc.local mit "paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld"
https://wiki.gentoo.org/wiki/Project:Hardened/PaX_Quickstart
/etc/paxctld.conf (erlaubt ist s,r,p,m,E)
e,E - https://pax.grsecurity.net/docs/emutramp.txt
m,M - http://pax.grsecurity.net/docs/mprotect.txt
p,P - http://pax.grsecurity.net/docs/pageexec.txt
r,R - http://pax.grsecurity.net/docs/randmmap.txt
s,S - http://pax.grsecurity.net/docs/segmexec.txt
https://en.wikibooks.org/wiki/Grsecurity/Additional_Utilities

#gdb
/usr/bin/gdb srpm

# steam
# /usr/lib32/ld-linux.so.2 m
# /usr/lib64/ld-linux.so.2 m

# node
# /usr/bin/node m
# /usr/bin/perf m

# firefox
# /usr/lib64/firefox/firefox m
# /usr/lib64/palemoon/palemoon m

# tor-browser
# /home/toruser/tor*/Browser/firefox m

# /usr/lib64/thunderbird/thunderbird m

# oxide
/usr/lib/x86_64-linux-gnu/oxide-qt/oxide-renderer m

# valgrind
/usr/bin/valgrind m

# python
/usr/bin/python E
/usr/bin/python2.6 E
/usr/bin/python2.7 E
/usr/bin/python3.2mu E

# java
# /usr/lib/jvm/java-6-sun-1.6.0.10/jre/bin/java m
# /usr/lib/jvm/java-6-sun-1.6.0.10/jre/bin/javaws m
# /usr/lib/jvm/java-6-openjdk/jre/bin/java m
# /usr/lib/jvm/java-6-openjdk/jre/bin/java m
# /usr/lib/jvm/java-8-openjdk/jre/bin/java m
# /usr/lib/jvm/oracle-jdk-bin-1.8/bin/java m
# /usr/lib/jvm/oracle-jdk-bin-1.8/jre/bin/java m
# /usr/lib/jvm/zulu-8-amd64/bin/java m

# openrc
/lib/rc/bin/lsb2rcconf E

# tuned
# /usr/sbin/tuned m

# libreoffice
# Ubuntu doesn´t seem to carry this patch:
# https://bz.apache.org/ooo/show_bug.cgi?id=80816
# libreoffice will still run fine without the below line,
# but it will report an RWX mprotect attempt
# /usr/lib/libreoffice/program/soffice.bin m


OKSperren der vituellen Konsolen außer voreingestelltes tty7
/etc/inittab, einkommentieren mit #:
...
# Run gettys in standard runlevels
#1:2345:respawn:/sbin/mingetty tty1
#2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
...

OKPasswort vergessen und auf das System kann nicht mehr zugegriffen werden?
Die nötigen Schritte, um wieder Zugriff erhalten, hängen davon ab, ob Sie die vorgeschlagene Prozedur zum Absichern von lilo und BIOS durchgeführt haben oder nicht.
Wenn Sie beides eingeschränkt haben, müssen Sie im BIOS erlauben, von anderen Medien als der Festplatte zu booten, bevor Sie weitermachen können. Wenn Sie auch Ihr BIOS-Passwort vergessen haben, müssen Sie Ihr BIOS zurücksetzen. Dazu öffnen Sie das PC-Gehäuse und entfernen die BIOS-Batterie.
Sobald Sie das Booten von CD-ROM oder Diskette eingeschaltet haben, sollten Sie Folgendes ausprobieren:
Booten Sie von eine Rettungsdiskette und starten den Kernel.
Wechseln Sie mit Alt+F2 auf eine virtuelle Konsole.
Binden Sie die Partition ein, auf der sich Ihr /root befindet.
Editieren Sie (auf der Rettungsdiskette von Debian 2.2 befindet sich ae, Debian 3.0 enthält nano-tiny, der vi ähnelt) die Datei /etc/shadow und ändern Sie die Zeile:

root:asdfjl290341274075:XXXX:X:XXXX:X::: (X=irgendeine Ziffer)
in Folgendes ändern:
root::XXXX:X:XXXX:X:::

Dies entfernt das vergessene Root-Passwort, das sich im ersten durch Doppelpunkte abgetrennten Feld nach dem Benutzernamen befand. Speichern Sie die Datei ab, starten Sie das System neu und melden Sie sich als Root mit einem leeren Passwort an. Dies wird funktionieren, außer wenn Sie Ihr System etwas sicherer eingestellt haben, d.h. wenn Sie nicht erlauben, dass Benutzer leere Passwörter haben, oder dass Root sich auf einer Konsole einloggen kann.
https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html

Abhilfe: Verschlüsselung der Root-Partition (siehe unter System-Vollverschlüsselung (FSE))

OKPostfix - Verknappen der Information
Setze in

/etc/postifx/main.cf

smtpd_banner = DOLLARSIGNmyhostname ESMTP DOLLARSIGNmail_name (FreeBSD/GNU)

Also ohne Versionsnummer und ggfls. mit neuem Namen für das Betriebssystem.
https://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html

OKLifetime Hardware, Leiterbahnen: Gesicherter Kontakt auf Graphikkarten, Boards und Platinen
Fast schrieben wir zu guter Letzt: Ins (Computer-)Gehäuse sollte ein Stück Kreide gelegt werden. Trick: Damit bleiben die Kontakte elektronischer Geräte wie an dieser Stelle Mainboard samt Graphikchip bzw. Graphikkarte immer rostfrei und vor Feuchtigkeit geschü,tzt!

OKLöschen der Online-Konten bei Internet-Dienstanbietern
Phishing, Spam, Profil-Erstellung (Profiling), Datenhandel, behördliche Ermittlungen, organsierte Kriminalität, Geheimdienste, Datenkraken, riesengroße Serverfarmen, Werbenetzwerke, Social Bots, KI, Hacks, Doxxing, Honeypots, Man-In-The-Middle-Angriffe, ...: Bevor wir mit der Installation von "Universal Linux 2010" bzw. dem Updaten voll loslegen, sei noch an eine Löschung (Austragung) so vieler registierter Online-Accounts wie einem sinnvoll erscheinen gedacht: Soziale Medien (Social Media), Google, paypal, Online Shopping, Online Banking, ... Oft gar nicht so einfach: Gegebenfalls bedarf es der Anleitung. Für weiterhin bestehende Konten nehme man online übers (Anmelde-)Portal erforderliche Sicherheitseinstellungen durch.

OKRundumschutz mit iptables-Firewall Linfw3
Im Laufe des Exkurs weiter unten steht Linfw3 als Download zur Verfügung. Mit Linfw3 lassen sich sämtliche Hacker und sämtliche Trojaner blocken, wird nur dem (gemeinsamen) Benutzer surfuser zur Gruppe surfgruppe der passwortgeschützte Online-Zugang ermöglicht, d.h. auch nicht Superuser root bzw. uid 0, d.h. nur von ihm (surfuser) zur Gruppe (surfgruppe) gestarten Prozessen. Die Zugriffsrechte sind entsprechend lokal auf den jeweiligen Benutzer hin auf <=700 zu setzen ( automatisch per umask 077 in /etc/fstab oder manuell mit chmod oder graphisch per Kontextmenü). Vom surfuser gestartete (eigene) Programme kommen so ungehindert spielend leicht ins Netz, die einfache Freigabe zugehöriger Ports in Linfw3 vorausgesetzt: ein entscheidender Vorteil. Der nä,chste entscheidende Vorteil: sämtliche Passwörter außer zum Entsperren der LUKS-verschlüsselten root-Partition können nicht mehr geknackt werden - selbst sollten andere sie kennen. Sie bleiben fortan irrelevant. Die einzige Gefahr stellt dann nur noch das Chrooten dar, die die Einstellungen in msec wie "Verbiete Zugang für Root", "Verbiete Fremdzugriff für root/Verbiete Chrooten" und/oder Sandbox firejail zur Sperrung der Konsolen gezielt entgegnen. Auch lassen sich die Shells aller Benutzerkonten außer surfuser, aber einschließlich Superuser root (mit Setzung auf /sbin/nologin) völlig unzugänglich machen oder alle Benutzerkonten außer surfuser, aber einschließlich root, geschlossen sperren (in msec_gui oder per Befehl). ACL-Zugriffsrechte (Abfrage mit getfacl, Setzen mit setfacl) können das Starten von Prozessen durch vom surfuser gestartete Prozesse im Rahmen einer firejail umlagernden Zugriffsrechts-Sandbox auf paranoide Art zusätzlich entschieden begrenzen. Chroot ist Bestandteil von ssh, rsh, sftp und mount usw., mount von cryptsetup (LUKS). Daher verhilft außerdem System-Vollerschlüsselung (aller Partitionen einschließlich der Root-Partition) mit LUKS/dm-crypt. Für das Blocken von Skripten auf aufgebauten (geöffneten) Netz-Verbindungen sorgen dann Linfw3 durch Blocken von Root (uid0, gid 0) unter Benutzer surfuser der Gruppe surfgruppe und Firefox-Erweiterungen (Firefox-Extensions) wie von uns, Gooken, höchst wirksam konfiguriertes ABP, wer will zuzüglich noscript und unbedingt RequestPolicyBlockedContinued bzw. Firefox >= 64 mit entsprechendem Cross-Site-Tracking-, -Scripting- und generellem Tracking-Schutz. Nebenbei kann noch der Port-Scan-Detektor psad oder iptables-gestützt psd über Linfw3 gezielt vorbeugen: unschlagbar paranoid! Um noch paranoider als paranoid zu werden, macht darüber hinaus die Begrenzung der interaktiven Prozesskommunikation (MAC) von sich manch reden - wir meinen unnötiger Weise und raten zum Verzicht. Restrisiko liefern alles in allem dann nur noch die von root getarteten Kernel-Prozesse aus dem Hause Linus Tovalds - obwohl sie unter root (uid 0 und gid 0) laufend auf umsagte Art durch Linfw3 gleich mit geblockt werden können. Der hier wohl einzig gefährlich wirkende (zeitweise recht ausgelastete) root-Prozess X (X-Server, darunter der Grafikkartentreiber) wurde ja in vorausgehenden Punkten bereits mit dem Befehl xhost durch Setzen eigener ACL entschieden restrirktriert. Der mit der Option "-no-listen tcp" gestartete X-Server (X) lässt sich wie dort beschrieben sogar im Benutzermodus starten.
Auf weitere Eigenschaften von Linfw3, Firejail, ACL-Zugriffsrechte, umsagte Firefox-Erweiterungen, den in einer eigenen Sandbox laufenden Tor-Browser, TorDNS auf Basis des lokalen Cache-DNS pdnsd unter Einbezug lokaler /etc/hosts und weitere Einzelheiten dieses Prinzips kommen wir später (weiter unten) noch zu sprechen.

OKSecure Programming HOWTO, David A. Wheeler, 2015-09-19
This book provides a set of design and implementation guidelines for writing secure programs. Such programs include application programs used as viewers of remote data, web applications (including CGI scripts), network servers, and setuid/setgid programs. Specific guidelines for C, C++, Java, Perl, PHP, Python, Tcl, and Ada95 are included. It especially covers Linux and Unix based systems, but much of its material applies to any system. For a current version of the book, see http://www.dwheeler.com/secure-programs
https://dwheeler.com/secure-programs/Secure-Programs-HOWTO/index.html

SL-Banner OKSicheres "Universal Linux 2010" (backported System), Folgendes ist zu tun:

Noch so verschiedene Linux-Distributionen umfassen, wie die zunehmende Installation von Paketen erweist, ein und dasselbe Linux, zum einen das weiterentwickelte Linux, zum anderen das dem Backporten folgende. Dabei teilen Pakete sich in rpm-paketgestützte, deb-Debian-Distributionen und Tarballs von Slackware auf.
Ihr "Zusammenpuzzeln" verstöszlig;t also nicht gegen den Gedanken an dieses ein und dasselbe Linux.

Als wichtig erweist sich bei der Auswahl infragekommender Distributionen noch der architektonische Gedanke an Vollständigkeit (generell aller möglichen verfügbaren Software), Fehlerfreiheit (Sicherheit) und Aktualität.

U.a. folgende Möglichkeiten bieten sich an:

Entweder Sie installieren mit Ablauf der Updates jedesmal, möglicherweise alljährlich, eine aktuelle Linux-Distribution, wir empfehlen in erster Linie Debian Linux bzw. GNU Debian oder Debian Ubuntu gefolgt von SuSE Linux, Fedora Core (fc), das daraus sorgsam hervorgehende und (Fedora Core -) backportete ("zurück-portierte") Redhat oder dem weitgehend gleichkommendes CentOS, Rosa, Openmandriva (omv), PCWelt Ubuntu und Mint, oder Sie installieren von fr2.rpmfind.net und pkgs.org wie gesagt die bereits mit am meisten Software, darunter viele Top-Games auf Basis von OpenGL und SDL umfassende und stabil laufende Linux-Distribution Mandriva mdv2010.0 bzw. mdv2011, mga1, mga2 oder mga3, rosa (Rosalabs.ru), omv (OpenMandriva) oder eine nahezu beliebige rpm-basierte Distribution der letzten Jahre und besorgen sich ihr zugehörige Updates von pkgs.org und fr2.rpmfind.net. Imfalle mdv2010.0 erwägen Sie nach möglichst vollständiger Installation und Updaten außerdem die Installation der Code noch einmal optimierenden (geupdateten) Autumn- und Spring-Version mdv2010.1 und mdv2010.2 ( 65 GB, 15 DVD + 11 DVD Quellpakete ), darauf aufbauend die Updates von CentOS und EPEL (el6 und el7), ferner das Mandriva-Nachfolgeprodukt omv2015 von pkgs.org für den Erhalt eines fast alle Anforderungen erfüllenden universellen Linux.

Universal-Linux mit Kernel: kernel-4.14 (pclos, November 2018), glibc (el8, mga6, pclos), dracut (mga6, el6, mdv2011) und KDE (el7, el6 oder im Mix aus kde (mdv2010.2, 4.4.5/4.4.9, November/2011), kde (el6, 4.3.5, aktuell, 2018) und kde (4.4.4, OpenSuSE, Ende 2013)

Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....".

Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren.

PCLinuxOS bzw. pclos, ein Backport-System von Fedora Core, ROSA, Mageia und Mandriva, bietet dabei z.B. von https://ftp.nluug.nl/ftp/pub/os/Linux/distr/pclinuxos/pclinuxos/ oder http://ftp.pbone.net/mirror/www.pclinuxos.com/pclinuxos/apt/pclinuxos/64bit/RPMS.x86_64/ den aktuellen, sicheren Kernel mit aktueller Kernel-Firmware zum Download an. Wie empfehlen LONGTERMED kernel-4.14 bis kernel-4.14.12 oder höher mit kernel-firmware (pclos) und kernel-firmware-extra (pclos) und Konqueror (el6) mit integriertem Werbeblocker bzw. aktuellen Firefox (ESR, Extended Security Release bzw. die Backport-Unternehmens-Version) von http://ftp.scientificlinux.org/linux/scientific/6.9/x86_64/updates/security/ oder http://mirror.centos.org/centos/6/updates/x86_64/Packages/ mit im Folgenden noch aufgeführten Erweiterungen und AddOns.

Das aus Updates von mdv2010.1 hervorgehende Universal-Linux stützt hauptsächlich auf CentOS 6 (und auf Wunsch auch CentOS 7), denn CentOS liefert für außergewöhnlich lange Zeit Updates auf dem sicheren Backport-Konzept: Vor dem Installieren und beim Updaten sollte nicht die Paketversion (mit ihren Erweiterungen) sondern der sich in diesem Fall über 10 Jahre erstreckende Updatezeitraum sowie das Release immer möglichst derselben (fixierten) Paketversionen den entscheidenden Ausschlag für eine bestimmte Distribution bzw. zum Updaten geben. Einzelheiten ü,ber den entscheidenden Vorzug der Update-"Komponente" CentOS können der Sektion zum Updaten "Universal-Linux" entnommen werden.

SuSE:
Suse Doc: Deployment Guide - Backporting Source Code
SUSE uses backports extensively. The information in this section helps you understand, why it can be deceptive to compare version numbers in order to judge ...
www.suse.com/documentation/sled11/book_sle_deployment/data/sec_update_backports.html

Debian:
Debian richtet neues Backports-Repositorium ein - Pro-Linux
Mit dem neuen Repositorium "lenny-backports-sloppy" stehen Debian-Anwendern künftig aktualisierte Programme ohne große Risiken und Mühen zur Verfügung. www.pro-linux.de/news/1/16241/debian-richtet-neues-backports-repositorium-ein.html

Bereits mdv2010.1 (mdv2010.0, Update von mdv2010.0 auf mdv2010.1 und schließlich mdv2010.2) läuft stabil und weitgehend sicher. Mit Fedora Project bzw. CentOS 6 (bzw. el6) und CentOS 7 (bzw. el7) hat Linux darüber hinaus endlich aufgehört, mit jeder neu erscheinenden Distribution nach Ablauf der Versorgung mit Updates riesige Müllberge an Paketen zu hinterlassen. Die Besonderheit von mdv2010 begleitet von CentOS liegt in der Funktionstüchtigkeit (in den meisten Fällen der Maßstab für Sicherheit schlechthin) infolge der jahrzehntelangen Durchgepatchtheit oft derselben jeweiligen Paketversion, dessen Release durch die Zahl hinter dem Punkt am Ende des Paketnamens genannt ist. Sie, eine ganz bestimmte Version eines Releases, wird also auf Sicherheit und Funktonstüchtigkeit hin regelrecht fixiert und für weitere Releases (Patches) mehr als zehn Jahre hindurch fortlaufend "festgenagelt". Selbst mdk10.1 aus dem Jahr 2004 bewahrt auf diese Art und Weise manch Aktualität.

"Fedora Project bzw. CentOS ist binärkompatibel zu RHEL und daher ebenfalls ein Enterprise-Betriebssystem, also ein Betriebssystem, das auf die Bedürfnisse großer Unternehmen und staatlicher Organisationen ausgerichtet ist. Als Enterprise-Betriebssystem ist es deshalb auf Stabilität und lange Wartungszyklen ausgelegt. Man kann CentOS bis zu zehn Jahre nutzen, ohne Pakete bzw. Softwareversionen migrieren zu müssen, weshalb es für den kommerziellen Einsatz geeignet ist. Für RHEL bieten große Softwarehäuser wie Oracle oder SAP Zertifikate an, die garantieren, dass deren Software auf RHEL problemlos funktioniert, was analog für große Hardwarehersteller gilt. Enterprise-Betriebssysteme findet man daher meist auf Workstations und Servern, wo ein extrem stabiler Betrieb verlangt wird z. B. in der Wissenschaft, Forschung, Börse, Militär oder Raumfahrt. Im Gegensatz zu RHEL gibt es für CentOS von den meisten Software- und Hardwareherstellern weder Zertifikate noch Support. Aufgrund der Binärkompatibilität zu RHEL kann es aber oft von den Voraussetzungen, die für RHEL geschaffen werden, direkt profitieren.", Quelle: Wikipedia.de.

Die Installation von mdv2010 verläuft aufgrund manch unberücksichtigter Paketabhängikeiten leider ein wenig holprig. Geht etwas schief, mangelt es noch an einigen weiterhelfenden Fehlermeldungen. Pakete sind vor der Installation in solchen Fällen einzeln statt mit dem MCC-Paketmanager herunterzuladen. Alternativ bestellen Sie mdv2010.1 (oder irgendeine rpm-Distribution) bereits von uns in vorinstallierter Form aus mdv2010.1 mit von mdv2010.1 und mdv2010.2 geupdateten Paketen mit den u.a. nach pro-linux-de und Gentoo-GLSA im Internet aufgelisteten Aktualisierungen und aktuellen Updates von el6, el7, und rosa2014.1 auf SSD in Systemvollverschlüsselung (Full System Encryption bzw. FSE by dracut und LUKS/dm-crypt über das bereits installierte rpm cryptsetup). Das Treiberrepertoir des akutellen Kernels 4.20.13 (mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos), 4.14, 4.9 bzw. 2.6.39-4-5.1 von mdv2011 (auch für el6 und mdv2010) mit Patches bis Jahr 2016 von siehe unter Sektion Updates ist bereits enorm, im seltenen Fall mangelnder Hardwareerkennung verhelfen Herstellerseiten und integrierte Standardtreiber, bei Druckern PPD-Dateien als die gesuchten Treiber. Generell können Sie die Updates für mdv2010.1 aus dem Internet auch als Tarball oder von fr2.rpmfind.net bzw. pkgs.org von der Distribution CentOS und EPEL (beides el6 und el7 (mit Updategarantie von Jahr 2010 bis zum Jahr 2026) beziehen. Zu den Tarballs zählen Firefox (derzeit aktueller ESR (el6, OpenSuSE, rosa2014.1), das Extended Security Release von CentOS oder Rosalabs), Chrome und Thunderbird (aktuell bzw. aktuelles ESR el6-rpm (el6)).
Den Tarball eines aktuellen Firefox und Thunderbird entpacken Sie einfach in irgendein neues Verzeichnis wie z.B. /usr/lib64/firefox-bzw-beliebiger-verzeichnis-name und /usr/lib64/thunderbird-beliebiger-verzeichnisname und verlinken, falls erforderlich, die ausführbare Datei /usr/bin/firefox mit dem Befehl "ln -sf /usr/lib64/firefox-beliebiger-verzeichnisname/firefox-bin /usr/bin/firefox". Anschließend sind noch Eigentumsrechte mit dem Befehl "chown root:root /usr/lib64/firefox-bzw-beliebiger-verzeichnisname" und die Zugriffsrechte mit "chmod 755 -R /usr/lib64/firefox-bzw-beliebiger-verzeichnisname" zu setzen. Firefox lässt sich einmal installiert auf einfache Art und Weise sowohl über aktuelle Tarballs als auch frei aus dem Menü unter Info heraus mit Klick auf "auf Updates überprüfen" aktualisieren.


OKInstallation der Linux-Endverversion (durch Neuerwerb oder Aktualisierung)
Es ist gar nicht einzusehen, dass wir die noch einmal bezahlen, die uns mit ihrem Betriebssystem und Software durch Sicherheitsdefizite und Updatebedärfe und sonstige technische Unausgereiftheiten und Unvollständigkeiten dauernd verraten und verkauft haben, ohne von ihnen für ihre "Produkte" jemals irgendeine Garantie geboten bekommen zu haben, weder von Microsoft (EULA) noch von SuSE aus ürnberg ( Angabe auf der Verpackung: " keine Garantie und Haftung") !

Selten so ein überholungs-bedüftiges "Produkt" wie Software unserer Zeiten mehrere Jahrzehnte hindurch gesehen... !

OKWir verwandeln also ein ziemlich allumfassendes, aber sicherheitstechnisch wer weiß wie gefärlich marodes Linux, in unserem Bezug Mandriva Linux (mdv2010, mdv2011, mdv2012), in ein zumindest bis Jahr 2026 und somit hoffentlich für immer (über alle Zeiten) aktuelles, möglichst allumfassendes Linux, ohne eine aktuelle, neue Distribution besorgen und neu aufsetzen zu müssen. Das Tor steht nach Aktualiserung der glibc (und des Linux-Kernels) auf zum

"FINALEN UNIVERSAL-COMPUTER mit UNIVERSAL-LINUX" (Art Slackware) on the DAILY-UPDATE-PATCH-CHANNEL (fc, C6 resp. CentOS 6 el6/sl6) for the next computer decades, http://www.pro-linux.de/sicherheit/1/1/1.html und unzähligen Pakete, Aktualisierungen und Updates von pkgs.org, fr2.rpmfind.net, pbone.net und Download-Webseiten


(aus vielen Linux-Distributionen (bis zu 100 DVD und mehr) wie CentOS (Backport-System), Fedora Core, PCLinuxOS (Backport-System), mdv2011, mdv2012, Mageia, OpenMandriva (omv), Fedora, Rosa, ALT-Linux, Slackware und MAC- und Windows-Emulationen mit Emulatoren und virtuelle Maschinen (vmware, Xen)).

Vor dem Updaten des Systems mit vor allem CentOS el6 und ferner el7 besorgen Sie sich noch eine aktuell gepatchte Standard GNU C Library glibc. Getestet haben wir an dieser Stelle die glibc von CentOS 8, Version 2.28, pclos mit Version 2.31 und mga6 Version 2.22-29 vom 17. Juni 2018 (auch höher) für Kernel 4.20.13 (pclos) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version: 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos) und <=4.14.12 und Kernel 4.9 (pclos), je nachdem mit weiteren glibc-Hilfspaketen von mga6. Die glibc kann geschlossen mit aktuell gehaltenen Paketen von mga6 auf die aktuell durchgepatchte Version 2.22-29 vom 17.Juni 2018 geupgradet werden (pclos: 2.31). Außerdem bietet sich für unser Referenz-Linux noch die glibc (pclos) an, und auch diverse neuere glibc (fc, el8) von FedoraCore eignen sich möglicherweise an. Alle Pakete für mga6 sind wie bereits gesagt bei pgks.org und rpmfind.net erhältlich.

Um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n ! Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren.

Weiterer Vorteil von CentOS von pkgs.org: Dort befindet sich zum Downloaden immer auich das Paket mit dem Quellcode direkt unter dem zugehörigen binärcodierten. Die verhießene Installation von CentOS 6 und CentOS 7 auf Basis von Mandriva 2010.1,.2011 und 2012 erwies sich als ohne Weiteres möglich.

Kernel: Wir haben uns für Linux-Kernel 4.14 wegen el6 und dessen ausgezeichneter Abstimmung mit mdv aus dem zeitgleichen Jahr 2010 entschieden. Für die auf dem Upgrade der Standard Library glibc beruhende Ausweitung empfehlen sich im Einzelnen folgende Pakete:

glibc (el8: 2.28, pclos), compat-glibc (el6), glibc-common (el8, pclos) oder glib2.0-common (el6), glibc-i18ndata (pclos), glibc-headers (el8, el6), glibc-static (el6), glibc-utils (el8, pclos), glibc-profile (pclos), glibc-all-langpacks (el8), glibc-glibc_lsb (mga6, mga5, pclos, rosa2014.1), locales (pclos, mga7), locales-en (pclos, mga7), locales-de (pclos, mga7), ..., glib2 (el6), prelink (pclos, mga7, mga6), lib64stdc++ (pclos, mga6), libstdc++ (pclos, mga6), libsigc++ (pclos, mga6)

Wie gesagt, um Fehlermeldungen beim Booten zu umgehen, verlangt glibc (el8) nur noch die Entfernung der Zeile LC_TIME=de_DE.UTF-8 aus /etc/sysconfig/i18n. Gegebenenfalls sind noch die locales (pclos, mga7, mga6) nachzuinstallieren.



Mit lib64glib2 (rosa2014.1), lib64gio2 (rosa2014.1), lib64gobject2 (rosa2014.1) und lib64gmodule2 (rosa20104.1) ist hingegen ein wenig mehr Vorsicht geboten: der Miroplayer Miro und die MCC-Druckerverwaltung versagen danach möglicherweise den Dienst: glib2.0-common (el6) und glib2 (el6) kann man hingegen ohne Weiteres zusätzlich nachinstallieren!
Gewisse glibc erfordern ein erweitertes Filesystem. Gemeint ist hier nicht ein Dateisystem wie ext4, sondern die Verzeichnisbaum-Erweiterung mit neuen Verzeichnissen des Wurzelverzeichnis /sbin, /lib und /lib64.
OKDas Terminalprogramm "konsole" funktioniert danach im letzen Fall leider nicht mehr (der Cursor bleibt im linken oberen Eck stecken), weitere Maßnahmen wie die Installation des Pakets shadow-utils mit dem Kommando sg (rpm von mga3 oder höher) und den Vorzug anderer Terminals wie das als ganz besonders sicher geltende aber kein Unicode unterstützende aterm und Unicode unterstützdendes xterm zu erfordern. Das Terminalprogramm "konsole" funktioniert erst wieder, nachdem devpts in /etc/fstab gemountet ist. Der entsprechende Eintrag in die Gerätekonfigurationsdatei lautet:

none /dev/pts devpts mode=620,gid=5

mit gid für tty und in der Benutzerverwaltung der Benutzer tty mit zugehöriger Gruppe tty,wheel und lp. Empfohlen sei unter den Terminals allerdings xterm, denn ür xterm spricht Aufrufschnelligkeit, Unicode-Unterstützung und Farbneutralität zur verbesserten Lesbarkeit.

OKNun können viele Pakete von aktuellen (aktuell gepatchten) Distributionen bezogen werden wie fc, mdv2011, mdv2012, rosa2016, rosa2014, openmandriva2015, el6 und el7 aus aktuellem Scientificlinux alias CentOS (el6) mit EPEL (el6) und ferner NUX Desktop (el6.nux), LinuxTECH, Les RPM de Remi (el6.remi), Nau Linux (el6.nau), Scientificlinux (sl6, el6), Linux TECH, Atomic, repoforge (el6.rf, rpmforge), CERT Forensics Tools, PUIAS Computational (el6), KBS Extras Testing, Psychotic N., ATrpms, EL GIS, ELRepo, End Point, Ghettoforge (el6.gf), Google Chrome, KBS Extras, Lux, Russian Fedora (el6.ru), RPM Fusion, Scientific Linux Cyrillic Edition. Die einzelnen URL kö,nnen wieder der Update-Sektion entnommen werden.

Mageia Cauldron 6 (2016) bis Mageia 1 (2011) und aktuelles Fedora Core bis derzeit fc24 gesellen sich bei Bedarf teilweise noch hinzu, so dass den Aktualisierungsempfehlungen von pro-linux.de unter Sicherheit und Gentoo-GLSA ( https://security.gentoo.org/glsa/, https://www.pro-linux.de/sicherheit/1/1/1.html) nachgegangen werden kann. Die Anzahl der dort für CentOS aufgelisteten Aktualisierungen hält sich zunächst aber in Grenzen. Welche insbesonders von el6 (bzw. el7) stammenden Update-Pakete im Einzelnen infrage kommen, führen wir in der Sektion unter Updates noch auf.

Was wir hier mit dem Umstieg auf el6 und el7 beschrieben haben, müsste auch vielen anderen Distributionen möglich sein, ärgerlich wenn nicht. Somit steht ein nahezu unbegrenztes und sicher laufendes, aktuelles "Universal-(Slackware-)-Linux" der Kapazität von ca. 15 bis 100 DVD á 4.4 GB gepackten rpm und deb (Debian) zuzüglich aller möglichen Tarballs von überall her auf Basis des mdv2010.2 (bzw. mdv2011) und CentOS el6 und el7 zur Verfügung, darunter ausgesprochen viele Hardware-Gerätetreiber und Games. Auch alle möglichen Linux-Games laufen. Ein Auszug der allein für mdv2010 verfügbaren Software findet sich im "Datenblatt". Dort geben wir auch nochmal die zugrundeliegende energiesparende Hardware an, obwohl sich, wie abermals über den Paketnamen wie x86_64 für 64-Bit-Prozessoren und i686 für 32 Bit erkenntlich, vermutlich jedes Mainboard und alle möglichen Laufwerk- und Festplattentypen und SSD eignen. Zur Not verhelfen preiswerte PCI- und PCIe-Steckkarten für Graphik, Sound und Ethernet-LAN weiter, in unserem Fall bereits alles onboard. Das OpenSource-System lässt sich den Installationsprozess begleitend über Schritte dieses Exkurses wirksam absichern (System-Backup). Die zentrale Rolle spielt dabei sicherlich unsere iptables-Firewall Linfw3, nach der jegliches Hacken und das Aufkommen von Trojanern überhaupt nicht mehr möglich sind.

mdv2010 installiert sich wie gesagt hier und da noch ein wenig holprig. Bitte vergessen Sie zum Gelingen einer Installation nicht die regelmäßige 1:1-Datensicherung auf mindestens ein externes Speichermedium, insbesonders mittels des auch bei SSD zwar nicht am schnellsten, so doch mit am zuverlässigsten arbeitenden Befehls dd. Wie in allen Fragen im Einzelnen vorzugehen ist, beschreiben wir noch.


Seit dem Erscheinen von ScientificLinux sl6/el6 bzw. CentOS el6 im Jahr 2010 stellt der Computer (bis dato Jahr 2018) rundherum sehr zufrieden. Bald schon werden Sie sich davon überzeugen. Sicherer und vielseitiger gehts kaum noch mit dem Computer-Komplettsystem mit dem gestochen scharfen ultraslim 18W-WLED-Monitor von AOC (Bauart TÜV geprüft) für insgesamt um die 250 €, das insgesamt weniger als 40 Watt die Stunde verbraucht, Einzelkomponenten siehe das rein unverbindliche Datenblatt. Viele andere Modelle kommen ebenso in Frage. Wir haben auf unseren Linkseiten unter "News&Links" sogar den Rasperry Pi 3 und das 3W-Modell C.H.I.P. für 9 Euro ausfindig gemacht, viel Speicher und leistungsstark wie das Smartpone.
Und? Richtig was los: unglaubliche 38 Gigabyte Traffic Monat April 2015 auf unseren Webseiten über das früher am Kiosk für ein paar Euro erhätliche und auch ohne Defragmentierung und dergleichen höchst sichere Mandriva-Linux-Computersystem des Jahres 2010, das kaum noch Wünsche übrig lässt, weil es (fast) alles kann, 100% Sicherheit bietet und mit der Befolgung dieses Berichts außer unter mutwilliger Gewalteinwirkung nicht kaputt zu kriegen ist. Bitte melden Sie uns Ausnahmefälle:
Zeitlosigkeit im Computerzeitalter, keine Plattform ohne Sicherheit von Grund auf, herzlich Willkommen auf Gooken.de zur Sicherheit in der Informationstechnik als wesentlicher Faktor für das erfolgreiche Zusammenspiel von Informatik und Gesellschaft! Unsere Webseiten sind übrigends frei von Trackingskripten und dergleichen.

Ausgangssituation


Computer - es geht kaum kaputter. Wer einen "(miroschen) Suneater" hat, kennt wohl nur ein Thema: Sicherheit.
"Früher legten sogenannte Cyberkriminelle Rechner durch Computerviren lahm, heute räumen Datendiebe&Co ganze Bankkonten leer", schreiben die Zeitschriften selbst nach dem Jahrtausendwechsel. Sicherlich steht dabei "früher" auch für "heute", wo anfangen, wo aufhören? Kreditkartenbetrug, Lastschriften, Knacken von Chips, Werbe- und Betrüger-E-mails (Scams), Werbeanzeigen, Falschinformationen, Identitätsdiebstahl, Umleitung der Informationsflüsse, Online-Registrierungen, Tastaturfolien (Skumming), Freigaben von sabotierten Prozessen gegen Lösegeld, Abmahnungen, Mahngebühren, Profiling und Hollywoodfilme, Text-Manipulation, Cybermobbing (Art außerprozessliche verhängte Vorstrafen), Steuer-CDs, Anlageberatung, Schufa, Wirtschafts- und Industriespionage, Handy-Jagden, Lizenzen, Suchmaschinen-Ranking und Trackingskripte, unterlassene Sofortmeldungen bei Überschreitung kostenfreier Limits, Datenverluste, Verstöße gegen Urheber- und Patenrechte, Sabotagen, Gerichtssitze im Ausland, Kodierungen, Hacken und Phishing. Kriminelle können Daten löschen und ausspionieren, in Online-Shops Waren auf fremden Namen und Kosten anderer bestellen, Transaktionen beim Online-Banking manipulieren oder den Zugang zu Bankkonten sperren, Ihren Rechner zum Teil eines Botnetzes machen und ihn so für Cyberangriffe auf Unternehmen oder andere Institutionen sowie zum Versand von Spam-E-Mails einsetzen. Seit George Orwell ist bereits vom Big Brother die Rede, jemand, der unsere Gewohnheiten erfasst, uns zu beobachten und lenken. Was steht im Computerzeitalter nicht mit Computer in Verbindung? Welten werden für den Erfolg und Karriere zusammengebastelt ( zensiert durch Löschen und Sperren allen unliebsamen Materials und Dokumente), Daten geklaut, Seitenbetreiber abgemahnt, Konten geknackt, Unterschriften und Urkunden gefälscht, wissenschaftliche Ausarbeitungen für die eigene bezogen und hemmungslos übernommen, Hausaufgaben für andere gemacht, Rechner, Filme und Bilder manipuliert, Störungen verschiedener Hardwarekomponenten Praxis, zuschlagpflichtige Neuware gegen Garantie umgesetzt statt Geld zurück. Prostitution und Organhandel finden Verstärkung. Modernste Züge verspäten sich und entgleisen. Verwanzte Büros, überwachte Toiletten, Kameras in Bankfilialen, auf Straßen, Bahnhöfen und Flughäfen, vor Tankstellen und Geldautomaten: Die Augen und Ohren des Großen Bruders sind überall. Spacejets krachen vom Himmel, Flugzeuge stürzen ab, Schiffe kollidieren. Strompreise schnellen in die Höhe, Stromnetze brechen zusammen. Newsgruppenbeiträgen nach verstrahlt und vergiftet die Hardware, und in nur unzureichender Form wird da vor Unwetter gewarnt, Stimmen falsch ausgezählt, Informationen vorenthalten, mitgeschnitten, abgesaugt und blitzschnell weitergeleitet, gesammelt, über Positionierung und AGB manipuliert, ausgewertet und zensiert, Spam zurück. Drohnen drohen mit Beschuss, beschießen, Rechtsbewusstsein entschwindet, Prozesskosten treiben in die Höhe, Korruption macht sich breit wie der auf Halden gehörige, sonderentsorgte Computerschrott, von Abmahnungen gelebt, andauernd gebettelt: gläsern, gruselig und gefährlich wie der Suneater: so richtig verfressen und total kaputt.

Sicheres Desktop System - Linux härten Teil1 von Mike Kuketz, 25. Februar 2016
Sicherheit ist immer relativ - Linux härten
"Denn sie wissen nicht, was sie tun" - im Originaltitel heißt der Film aus dem Jahre 1955 "Rebel Without a Cause". Der deutsche Titel beschreibt für mich exakt die aktuelle Situation der IT-Sicherheit und Datenschutz. Es herrscht absolutes Chaos und so Recht mag eigentlich keiner mehr durchblicken. Die Frage lautet längst nicht mehr, ob wir noch die Kontrolle über unsere IT und Daten haben, sondern wie wir die Kontrolle wieder zurückerlangen können. Es ist mehr als beunruhigend: Krankenhäuser werden von Ransomware-Viren lahmgelegt, der neue Bundestrojaner ist einsatzbereit und der Erpressungs-Trojaner Locky verschlüsselt Dateien von Windows-Nutzern. Man muss nur ein paar Stunden warten und eine ähnliche Meldung wird wieder durch irgendeinen News-Ticker rauschen. Die allgemeine Reaktion: Schulterzucken, Ohnmacht oder Lösegeld bezahlen - danach weitermachen als wäre nichts passiert.
Die Ursachen hinter solchen Meldungen sind meist auf Schwachstellen in Soft- oder Hardware zurückzuführen."

https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/

Hersteller- und Händleradrsse des angeblich im Vergleich lebenden Mandriva sind uns bekannt. Wir geben sie im Folgenden noch an. Opensource und sogenannte Changelogs eines jeden Pakets verheißen uns aber mit Sicherheit eins: dass wir alle in solchen Fällen selber Schuld haben. CentOS el6 und el6 bieten sich hierfür als der Treffpunkt schlechthin an.

Lesermeinung und -diskussion auf netzpolitik.org, OpenSource Disconnect vs. proprietäres Ghostery
chromax 29. JUN 2015 @ 20:42
Woher weiß man denn, ob der OpenSource-Code auch der kompilierte ist? Auch keine Sicherheit…
Antworten
CrX 29. JUN 2015 @ 22:06
Die gestellte Frage ist akademischer Natur. Den Praktiker interessiert, ob irgendwo her bezogene ausführbare Dateien mit dem Quell-Code übereinstimmen.
Daher kompiliert man bevorzugt selbst Open-Source, wenn man dazu in der Lage ist.
Antworten
skoam 24. SEP 2015 @ 10:09
Das ist immer eine richtige Frage und die Antwort gab es bereits: Open Source kann man selbst kompilieren und anschließend den Build mit dem ausgelieferten ausführbaren Code vergleichen. Stimmen die Hash-Summen (md5sum/shasum/Dateigröße) nicht überein, gibt es ausführbaren Code, der nicht in den Quellen aufgeführt ist.

OK Linux läuft nicht? So lösen Sie jedes Treiber-Problem, PC-WELT.de, 04.07.2017
Linux läuft auf fast allen PCs und Notebooks, aber nicht jede Hardwareperipherie wird automatisch erkannt. Vor allem mit sehr neuen Geräten kann es Probleme geben.
[...] Linux-Distributionen bieten eine breite Hardwareunterstützung und laufen auf so gut wie jedem PC. Mit SATA, Ethernet, Grafikkarte und Monitor sowie Maus und Tastatur gibt es kaum Probleme. Diese Basisfunktionen sollten in jedem Fall gewährleistet sein.
Ältere Drucker, Scanner oder TV-Karten, für die es keine Treiber für Windows 7, 8 oder 10 gibt, lassen sich oft unter Linux weiternutzen. Bei sehr neuen oder seltenen Geräten ist die Unterstützung dagegen nicht immer gegeben. Vor der Installation sollten daher immer Tests der Hardwarekompatibilität stehen.
[...] Vor dem Kauf: Kompatible Linux-Hardware finden
Wer sich nicht selber um die passenden Linux-Treiber kümmern möchte, sollte bereits vor dem Kauf die Kompatibilität überprüfen. Meist genügt dafür eine ... Suche mit dem Gerätenamen in Kombination mit "Linux". ... Ebenfalls nützlich ist http://wiki.ubuntuusers.de/Hardware . Hier finden Sie Listen mit Hardware, die funktioniert, und Tipps zur Einrichtung. Informationen zu TV-Karten und Sticks sind bei Linux TV gesammelt.
Wer Linux auf einem Notebook installieren möchte, informiert sich vorab über http://tuxmobil.org oder Ubuntu Wiki . Es gibt auch einige Hersteller, die auf Notebooks mit vorinstalliertem Linux spezialisiert sind, beispielsweise Tuxedo Computers ..
https://www.pcwelt.de/ratgeber/So-bringen-Sie-Linux-trotz-Probleme-zum-Laufen-9789269.html

OKWarum Freie Software kein Sicherheitsproblem darstellt, Kommentar auf netzpolitik.org, 16.03.2016:
"Die Aussage, dass die Entwicklung durch Freie Software schneller und günstiger wird, ist sicher richtig. Aus wirtschaftlicher Sicht ist das einer der großen Vorteile von Freier Software. Softwareunternehmen können auf Bestehendem aufbauen. Dadurch muss nicht bei jeder Entwicklung das berühmte Rad neu erfunden werden, stattdessen kann man sich direkt auf das eigentlich Neue und Innovative konzentrieren. Unter anderem verhindert man damit, dass ähnliche Fehler wiederholt gemacht werden, stattdessen baut man auf bereits etablierte, gut getestet Bausteine auf und reduziert hierdurch sogar die Fehleranfälligkeit. Der ganz banale Schluss, dass schnellere Entwicklung zu mehr Software führt und mehr Software auch zu mehr Fehlern in Software, ist nicht überraschend. Genauso wenig sollte es aber überraschen, dass dies für jede Software gilt. Ganz unabhängig von der Lizenz. Trotzdem will am Ende wohl niemand auf die Steigerung der Produktivität durch bessere Werkzeuge, Lizenz- und Entwicklungsmodelle in der Softwareentwicklung verzichten.[...] Eine lückenlose Überprüfung von einzelnen Komponenten, welche nicht selber entwickelt wurden, stellt heute die größte Herausforderung dar, egal ob ein Unternehmen auf Freie-Software-Komponenten aufbaut oder proprietäre Komponenten von Drittanbietern einkauft. Freie Software hat an dieser Stelle vor allem zwei Vorteile. Dadurch, dass man nicht der einzige ist, der diese Software einsetzt, erhöht sich die Wahrscheinlichkeit, dass möglichst zeitnah Fehler auch wirklich entdeckt werden. Ein weiterer wichtiger Vorteil ist, dass man bei Freier Software oft sehr viel besser nachvollziehen kann, wer welchen PrograMCCode eingebracht hat. Gerade moderne Entwicklerplattformen wie zum Beispiel GitHub machen dies sehr einfach. Eine Transparenz, wie man sie bei proprietärer Software meist vergeblich sucht.[...] .Auch zeigt Freie Software seine Stärke gerade, nachdem eine Sicherheitslücke - wie aktuell DROWN - entdeckt wurde. Eine solche Entdeckung gerät bei Freier Software meist sehr schnell an die Öffentlichkeit, während Sicherheitslücken bei proprietärer Software oft eher verheimlicht werden, um dem Unternehmen nicht zu schaden. Die Art, wie es bei Freier Software gehandhabt wird, hat zwei positive Effekte. Zum einen bietet es Kriminellen weniger Spielraum, die Sicherheitslücke auf dem Schwarzmarkt zu vermarkten und auszunutzen. Zum anderen können verschiedene Parteien unabhängig den Fehler beheben und entsprechende Sicherheitsvorkehrungen treffen, während man bei proprietärer Software nur warten kann, bis der Hersteller den Fehler behebt und ein Update ausliefert.[...]. Abschließend lässt sich festhalten, dass Freie Software zwar nicht zwingend sicherer ist als proprietäre Software. Die Freiheit der Software - also die Möglichkeit diese für jeden Zweck zu verwenden, zu untersuchen, weiterzugeben und abzuändern - stellt aber eine notwendige Bedingung für Sicherheit dar. Man kann sich das wie bei einem Türschloss vorstellen. Jeder weiß wie ein solches Schloss aufgebaut ist. Viele unabhängige Experten konnten über viele Jahre das Konzept untersuchen und verbessern. Nur so war es möglich, sichere Schlösser zu entwickeln. Durch Geheimhaltung wurde noch nie langfristig und nachhaltig Sicherheit erzielt", https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/


Focus, Januar 2015: "Die "unechten" E-Mails von Betrügern und Cyber-Kriminellen sind uns zwar schon lange bekannt, es dauert oft jedoch nur Sekunden, in denen wir uns durch die ungeöffneten Mails klicken, und schon ist es passiert. Sobald sich die Betrüger-Mail öffnet, ahnen wir meistens schon, dass diese Mail nicht nur an uns ging. Lediglich durch das Öffnen der Mail können wir uns schon gefährliche Viren einfangen. Die Links in der E-Mail zu öffnen wäre der zweite Fehler. Durch Datenklau geraten die Cyber-Kriminellen an Millionen von E-Mailadressen und missbrauchen diese zu Ihren Zwecken (Abhilfe: Betriebssysteme, auf denen sich Viren nur im begrenztem Umfang aufgrund des Dateisystems kaum verbreiten können wie UNIX/Linux, Spam-Filter mit einfachem Virencheck und Virenscanner clamav). Datenklau ist längst für alle von uns ein Thema. Wir sind ständig online und somit für Cyber-Diebe potentielle Beute. Doch im Zeitalter der digitalen Medien werden die eigenen Daten auf Betriebssystemen wie MS Windows immer unübersichtlicher und somit schwieriger zu schützen. Unsere persönlichen Fingerabdrücke hinterlassen wir in E-Mails, Online-Einkäufen (Registrierungen, Tracking-Skripte), WhatsApp-Nachrichten und vielem mehr."

Neue Nvidia-Treiber 364.47 sorgen für Abstürze, PC-WELT.de, 10.03.2016
Nvidias neue Grafiktreiber 364.47 sorgen bei einigen Nutzern für massive Probleme. Das können die Betroffenen tun, http://www.pcwelt.de/news/Neue-Nvidia-Treiber-364.47-sorgen-fuer-Abstuerze-9943889.html


Bekanntlich trugen sich in AKW jede Menge etliche Milliarden schwere Störfälle, darunter (2013) sogar ein Supergau in Fukoshima zu. Mängellisten reißen nicht ab. Presseberichten nach erinnert die IT Sicherheitslage über ein unzureichendes System nach dem anderen an Notfälle, Katastrophen und unvorhersehbare Zahlungen. Die heutige allgemeine Lage gibt darüber hinaus nach siehe in unserem Menü links unter "News&Links" i.a. sogar noch mehr zu denken als allein nach Orwell und Huxley der Fall! Da Computertechnik heutzutage überall mitspielt (Einführung Na/ST), kann sie, ihre Hersteller, Händler und Kunden, i.a. über alle Zeiten auch für fast alles mitverantwortlich gemacht werden! Sie und somit die Computerfirmen dahinter tragen somit die eigentliche Teil- und Vollhaftung! Kontrolle bleibt zentrales Thema. Nach weiteren Vorstellungen unter News&Links stellt sich die Frage:

Regieren wir über Computer oder regieren Computer über uns?


Der (zumindest eigene) Computer soll den unter Suneater von Miro umschriebenen dunklen Mächten entkommen, ohne sich einzuschränken, doch wie? ... .

Grüne LED v.s rote LED, der Computer kann flirten und tanzen: Yes, I think I´m OK vs. yes I think I am (the) iditotic stupid (signalisiert die rote LED der Form eines hoffentlich nur ganz kurz im Abstand von mindestens zwei bis zehn Sekunden blinkenden Punktes mehr oder weniger periodisch, " . . .", die Rückfragen des Computeres "any complaints?", " more activity, please...", "Du, ich leb noch" und "I tell you...(Herzklopfen)"), nicht zu verwechseln mit den drei grünen LED über dem numerischen Tastenblock für "Hi!" and "B-y-e" und, falls allesamt auf einmal blinkend, "out of order" (kenel-panic), oder, die ganz einfach die nackte Wahrheit mitten ins Gesicht oder auch "hab dich nicht so" beim Touch-Screen (natürlich) "unten ... ohne..." (Maus und Tastatur) besagende Form.
Was nutzt ein Computersystem, dass sich bereits selbst als technisch unausgereift bezeichnet und sich somit im Grunde selbst bloß krank und doof findet wie mit der orangefarbenen bzw. roten LED des Computergehäuses signalisiert? Überflüssig soll vielmehr die Benutzern Kontrolle entreißende Selbstüberprüfung und Selbstwartung sein wie Kapazitäten beanspruchenden oder "nebenläufige" Prozesse, Bugs (Programmfehlern), Bot-Prozesse, Virenscan und Trojanerpozesse. Keine Wartung, keine Verwaltung, weder manuell noch selbsttätig, ist die Devise! Überhaupt: Berichte über MS Windows (Facebook und Google) finden Sie unter News&Links in der Sektion Computer und der Sektion über

Zerschlagungsfälle.


Dabei geht technisches Versagen natürlich immer vom menschlichen aus und umgekehrt.

"Der Weg ist das Ziel", mit solchen Ansichten stünde unser mit IT-Sicherheit zentral selbst beauftragte Vorgänger Konfuzius ( von der Firma ...) auf dem Gebiet der Sicherheit in der Informationstechnik die Jahrzehnte hindurch leider nicht alleine da. Gooken möchten die Vorzüge des Tausendsassas mit seinen mannigfachen Möglichkeiten the_wall_by_christo allein im Vergleich zur herkömmlichen Schreibmaschine aber nicht aufgeben. Der Tausendsassa verhilft zur schnellen Kommunikation, zur Einsparung von Platz und zur Minimierung des Ressoucenverbrauchs der ganzen Welt.

Computern beginnt, wo es aufhört


Dabei lassen sich dauerhaft nahezu alle (!) Bedärfe und sicherheitstechnischen Probleme des Computers (klassisches PC-Computer-Modell im engeren Sinn) seit dem Jahr 2004 bzw. 2010 lösen:

OKJe mausklick-schneller ein Computersystem arbeitet, desto freier von Hackern und Trojanern ist es ( in Abhängigkeit von der Schnelligkeit der Hardware ) i.a. auch.

Vorab: "Kein System ist so sicher wie Linux - und die Sicherheit ist noch ausbaufähig.", Linux-Spezial: Tools für mehr Sicherheit


OK
Zeit fürs Booten < 1 Sekunde


Natürlich wird dabei auch vor ergonomischen Kriterien und Kriterien der Green IT für Stromeinsparungen nicht Halt gemacht. Ein Eintrag von unserer Linkseite unter Links stellt sogar den kostenfreien Betrieb frei von Kosten für Strom vor. Überhaupt führen wir unter Datenblatt ergonomische und zugleich äußerst langlebige Hardware mit extrem niedrigen Stromverbrauch auf. Das reine Aufsetzen (Installieren) des Betriebssystems und irgendwelcher Sicherheitssoftware genügt wie wir alle wissen hier bei weitem noch nicht, den Computer als sicher einzustufen. Alles hierfür Erforderliche gehört also noch dringend besprochen. Gooken verhilft damit im entscheidenden Maß zur raschen Prävention, Diagnose und Reparatur von Computersystemen. Neben auf der Standard Query Language (SQL) gestützten Datenbanken erinnert Gooken in Sicherheitsfragen alles in allem an den von einer grünen LED signalisierten, ruhigen, störungsfreien Betrieb - entsprechend der ihn kennzeichnenden grünen Färbung der hierfür erforderlichen Maßnahmen. Nicht nur der Suspend-Mode funktioniert (acpid andernfalls auf mindestens 2.0.4 oder el6 updaten), in dem sich der Monitor tatsächlich abschaltet. Nach dem Klick auf Ruhezustand stellen sich außer Arbeitsspeicher alle Geräte unter dem fortlaufenden Blinken der grünen LED am Computergehäuse in binnen weniger als zwei bis drei Sekunden ab. Nach anschließendem Druck auf den PowerOn-Schalter des Computergehäuses

"bootet" das vorgestellte Mandriva (mdv 2010) in weniger als einer Sekunde in genau den Zustand unmittelbar vor dem Ruhezustand - .

Die grüne LED am Tower blinkt bei dem unserer Beschreibung zugrundeliegendem Mainboard ITX-220 (Einzelhieten siehe Datenblatt) im Ruhezustand. Nachteil: der Rechner stinkt aus dem Netzteil! Nach dem Aufwachen durch Druck auf den Einschaltknopf am Computer-Gehäuse steht nun die zuvor in systemsettings -> Energieverwaltung aktivierte Passwortabfrage inmitten des von der Bildschirmsperre her bekannten OpenGL-Bildschirmschoners "row dancing..." bevor.

Voraussetzung für Ruhezustand wie Tiefschlaf ist die Aktivierung von ACPI 2.0 im BIOS, 2 GB SWAP-Partition und das Ausbinden (umount) und Herausziehen der USB-Geräte wie USB-Speicherstift aus dem USB-Anschluss...

Hier noch einmal die Energiespar-Modi (Suspend-Modi) unter "Universal Linux 2010" im Einzelnen:
- Bereitschaft (blanked screen) - schwarzer Screen
- Bildschirm sperren (locked screen) - OpenGL-Bildschirmschoner mit Benutzer-Passwortabfrage - Schutz beim Verlassen des Computer-Arbeitsplatzes
- Aussetzen - abgeschalteter Monitor, Suspend Mode. Der Monitor wacht mit der Benutzeraktivität wie Bewegung mit der Maus oder Tastendruck wieder auf, gespart nach Datenblatt: 18 Watt Monitor-Leistung
- Ruhezustand - Zustandinformation in SWAP-Datei, Rechner "schaltet sich nahezu vollständig ab" , BIOS lässt grü,ne LED am Computer-Gehäuse blinken; Wiederherstellung erfolgt nach einfachem Druck auf den An-/Ausschalter des Computergehäuses. Die Benutzer-Passworteingabe vor der Wiederherstellung ist je nach Konfiguration in der Energieverwaltung aus systemsettings zur Aufnahme der Arbeit zwingend erforderlich, ebenso sind sämtliche Internet-Verbindungen geschlossen und abgebaut und somit erneut wiederherzustellen. Gespart werden in diesem Fall 19 Watt plus 18 Watt, insgesamt also um die 32 Watt von 37.
- Tiefschlaf - ähnlich Ruhezustand; Zustands-Daten auf Festplatte/SSD, gespart: um die 37 Watt von 37.


Folgender Terminalbefehl
sudo rtcwake -m off -s 60
ist gut geeignet, um zu testen, ob die Hardware mitspielt (x86-Hardware praktisch immer, ARM-Rechner nicht immer). Der Schalter "-m" bestimmt den ACPI-Modus. Mögliche Werte sind "standby", "mem", "disk" oder "off" (komplettes Ausschalten). Als zweiter Parameter ist hier "-s" ("seconds") mit einer nachfolgenden Zeitangabe in Sekunden angegeben. Der obige Testbefehl wird also das System herunterfahren und nach einer Minute neu starten (60 Sekunden). Obwohl mit Schalter "-t" ("time) auch exakte Zeitangaben möglich ist, empfehlen wir, den geplanten Neustart immer mit Parameter "-s" anzugeben. Es ist wenig Mühe, etwa zehn Stunden in Sekunden umzurechnen (10*3600=36 000).
Um Shutdown und Start zu automatisieren, kommt der Zeitplaner Cron ins Spiel: Nach dem Aufruf der Crontab-Editors mit
sudo crontab -e
schaltet folgender Eintrag
0 22 * * * /usr/sbin/rtcwake -m off -s 36000
den Rechner täglich um 22:00 Uhr ab und startet ihn nach 36 000 Sekunden (zehn Stunden) wieder - exakt um 8:00 Uhr.
https://www.pcwelt.de/ratgeber/Linux-Systemstart-beschleunigen-so-geht-s-8259105.html

Die wichtigsten Kriterien Ausstattung (Aufschluss zu einem "Universal-UNIX/Linux" und Gabe zu VM und zur Emulation von Software anderer Betriebssysteme), Software-Umfang (in Paketen und in GB), Hardwareunterstützung (Standardtreiber und Treiber), Laufeigenschaft, Sicherheit, Aktualität der Updates (Paket-Changelog), Dauer der Versorgung mit Updates (ein, zwei, vier oder unabsehbar viele Jahre), Distributions-Unabhängigkeit der Software bzw. Softwarepakete und einzuspielender Updates und Bedienbarkeit/Umgänglichkeit und Wartungsfreiheit erfüllen diesem Bericht nach vor Debian vor allem CentOS el7 und el6 auf Basis von Mandriva 2011 und 2010. Mandriva kann heutzutage nicht mehr am Kiosk und von vielen Händlern, sondern nur noch von einigen Händlern und aus dem Internet (von fr2.rpmfind.net) bezogen werden.

PC-WELT.de gesellt sich mit eigenen Kriterien hinzu:

Linux-Top-20: Was ist Ihr Lieblings-Linux?, PC-WELT.de, 11.02.2016
Sie haben die Nase voll von Windows? Wir helfen Ihnen bei der Qual der Wahl: Finden Sie Ihr persönliches Lieblings-Linux,
Die Top 20 der Linux-Distributionen
Lesermeinung von Gooken
OK Doch danach sollte es nicht gehen, sondern nach der Aktualisierungsfreudigkeit einer Linux-Distribution nach Listings wie von https://www.pro-linux.de/sicherheit/1/1/1.html ! Demnach ganz oben: Fedora, RedHat bzw. CentOS gefolgt von SuSE.

Fedora and Scientificlinux alias CentOS (ALT Linux) Updates, Linux for Security, and Top Seven by Susan Linton - Jan. 17, 2014 Comments (0)
Related Blog Posts
Microsoft Linux, Fedora 23 Beta a GO
Magical Mageia Review, Mint 17.3 Named Rosa
LinuxToday was another interesting day in the newfeeds, so much so I can´t pick just one. There were several headlines focusing on Fedora or Scientificlinux alias CentOS (bzw. ALT Linux) today. Linux.com has posted a top seven distro list for 2014 and Jack Wallen says CESG recommends Linux for security. That´s not all either. First up today, Jack Wallen over at TechRepublic.com published an article discussing the results of the United Kingdom´s Communications-Electronics Security Group (CESG) operating system security tests. The tests consisted of 12 categories of security focus such as Disk Encryption, Authentication, and Platform Integrity and Sandboxing. As if there was any question, Linux proved the most secure of all the desktop and mobile systems tested. So, be sure to check out Wallen´s article for more detail and relevant links.


rpmdrake


rpmdrake, der MCC-Paketmanager von Mandriva 2010 und in grün, hellgrün und weiß tabellarisierte Listings von fr2.rpmfind.net von Fabrice Bellet aus Frankreich sind sogar noch einfacher und schöner gestaltet als Synaptic und Aptitude von Debian bzw. dessen dunkelgrauen Online-Paketquellen.

Have a wine and playonlinux: MS Windows-"Ersatz": Windows-Emulation mit VirtualBox, xen, qemu und wine von mdv2010, MAC-OSX-Emulation mit basiliskii, uae Amiga usw.


Mit mingw (dlls, ...), wine, winecfg und zuguterletzt dem Frontend playonlinux von mdv2010 stellt die Emulation vieler Software und Spiele unter MS-Windows (98, XP, 7, ... ) und sogar MSOffice (97, XP, 2002, 2010) kaum noch ein Problem dar (obwohl wir mit dem bestens ausgestatttem mdv2010 davon unserer Grundüberzeugung nach kaum noch was brauchen werden... ).

Distributions-Installation
Wine: So nutzen Sie das "Ersatz-Windows" in Linux-Form, PC-WELT.de, 08.11.2015
Wine ist ein Nachbau der Windows-API, der eine Vielzahl von Windows-Programmen unter Linux lauffähig macht. Wo immer dies funktioniert, ist es gegenüber einer Virtualisierungslösung der direktere Weg: Wine: So nutzen Sie Wine als Ersatz für Windows.

Die graphische Benutzerobefläche von playonlinux bietet nach Gruppen wie Zubehör,, Entwicklung, Bildung, Spiele, Grafik, Internet, Unterhaltungsmedien, Büro und Anderes sortiert den Download und die direkte Installation u.v.a. folgender Software direkt aus dem Internet an:
MS Office, MS Word Viewer, Intenet Explorer, derzeit 6 bis 8, Google Picasa, WowApp, 7-Zip, Ultimateencoder, Amazon Kindle, Azuon, Cadstd Lite, PDU Spy, Photofiltre Studio X, Dreamweaver, Codeblocks, Flashplayer, Flash 8, Flash MX, Notepad++, Graph, Teach2000, Simultit, Rocket Reader, Huckel 95, Adobe Photoshop, Fireworks8, Microsoft Paint, usw. an, die vielen Games siehe unter Datenblatt!

PlayOnLinux ermöglicht auch die Installation beliebiger Setup-Dateien von Festplatte und CD/DVD.

Aktuelle Wine32 und Wine64 installieren sich zusammen mit Wine-Gecko mit der Installation der ersten Programme in unterschiedlichen Versionen.

Windows unter Linux betreiben - dank Virtualbox, PCWELT, 09.11.2016
Virtualbox bietet als unkomplizierte Desktop-Virtualisierungssoftware fortgeschrittene Einsatzmöglichkeiten - etwa unter Linux.
Auf Linux-Systemen bietet der Kernel eigene Virtualisierungsmöglichkeiten für verschiedene Gastsysteme. Trotz der großen Konkurrenz, in der auch die kommerzielle Vmware Workstation mit fortgeschrittener Hardwareunterstützung und 3D-Beschleunigung mitmischt, kann sich Virtualbox behaupten. Denn Virtualbox ist komfortabel in der Bedienung und stellt für Windows-und Linux-Gastsysteme Treiber in Form der Gasterweiterungen bereit. Diese bieten eine bescheidene Hardwarebeschleunigung für die virtuellen Grafiktreiber, damit in der virtuellen Maschine Oberflächen wie beispielsweise Gnome und Unity anständig laufen.
Für Linux-Anwender, die gerade von Windows umgestiegen sind, gibt es einen interessanten Aspekt: Windows-Programme, die in Wine nicht richtig funktionieren, bereiten in einer virtuellen Maschine keine Probleme, weil hier ein komplettes Windows läuft.
http://www.pcwelt.de/ratgeber/OS-Virtualisierung-Windows-unter-Linux-mit-Virtualbox-146057.html

OK Sichern Sie Ihre Online-Services mit einer Zwei-Faktor-Authentifizierung
Sie können sich das Passwortmanagement mit einem Passwortmanager erleichtern. Für noch mehr Sicherheit schalten Sie die Zwei-Faktor-Authentifizierung für Google, Facebook und jeden anderen Dienst, der das anbietet, ein.
Für die Zwei-Faktor-Authentifizierung müssen Sie einen kurzen Zahlencode zusätzlich zu Ihrem Passwort eingeben, um Zugang zu Ihrem Konto zu erhalten. Den Code erhalten Sie üblicherweise über eine SMS oder über eine Smartphone-App. Facebook zum Beispiel bietet innerhalb seiner Smartphone-App seinen eigenen Code-Generator an.
Die Zwei-Faktor-Authentifizierung ist nicht so bequem wie ein normales Login, aber sie stellt eine deutliche Hürde für jeden Angreifer dar. Twitter bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Derzeit hat Twitters Authentifizierung aber noch einige Probleme.
Falls die Zwei-Faktor-Authentifizierung Ihnen nicht genug ist, überprüfen Sie Ihre Mail-Adressen zum Zurücksetzen Ihrer Online-Konten. Denken Sie daran eine oder mehrere Mail-Adressen für die Zurücksetzung Ihrer Passwörter zu nutzen. Geben Sie diese Mail-Adresse niemals für private Mails her und achten Sie darauf, dass diese nicht Ihren anderen Konten ähneln. Dieser Artikel stammt von unserer Schwesterpublikation PC-World."

DSL-Router erweisen sich oft als passive Schutzengel, wenn es um das Abwehren von Hackern geht. Doch Sie können auch aktiv zum Schutz über Ihren Router beitragen. Auch wenn es sich komisch anhört: Als DSL-Nutzer ist man nie direkt mit dem Internet verbunden. Dafür sorgt der Router, der sich zwischen Ihren Computer und jegliche Gefahr aus dem Internet stellt. Dank der sogenannten NAT-Funktion (Network Address Translation) benutzt man beim Surfen stets zwei verschiedene IP-Adressen: Der Router erhält bei der Einwahl eine öffentliche IP-Adresse vom Zugangsanbieter. Alle Geräte in Ihrem Netzwerk hinter dem Router haben hingegen eine private IP-Adresse, typischerweise "192.168.xxx.xxx". Fordert ein PC eine Internetseite an, gibt NAT dies mit der öffentlichen IP-Adresse ans Internet weiter. Anschließend erhält NAT die Seite und leitet sie an die private Adresse des PCs im lokalen Netzwerk weiter. NAT tauscht also ständig private IP-Adressen gegen die öffentliche und umgekehrt. Mit dem Erfolg, dass die IP-Adresse des PCs im Internet nicht auftaucht, was ihn für direkte Angriffe unempfindlich macht. Zudem verwirft der Router ankommende Datenpakete, die nicht angefordert wurden. So erhöhen Sie Ihre WLAN-Geschwindigkeit

OK Schützen Sie Ihren Router
Ihr Router zu Hause ist vermutlich die wichtigste Verbindung ins Internet in Ihrem Alltag. Denn von zu Hause aus erledigen die meisten ihre Bankgeschäfte oder greifen auf andere, persönliche Daten zu. Trotzdem verwenden die meisten Anwender beim Netzwerk-Passwort bestenfalls Standard-Passwörter oder - noch schlimmer - greifen auf das voreingestellte Passwort des Routers zurück. Für die sicherste Heimverbindung nutzen Sie auf jeden Fall eine WPA2-Verschlüsselung und ein zufällig generiertes Login-Passwort, das aus mindestens 30 Zeichen besteht. Je länger und zufälliger das Passwort, desto schwieriger ist es zu knacken. Sie können sich kein 30-Zeichen-Passwort merken? Speichern Sie es doch in Ihrem neuen Passwort-Manager. Auf Router kommen wir in einem weiteren Bericht noch zu sprechen.

OK Verzichten Sie auf Java (sofern möglich)
Oracles Java ist nicht länger eine zwingend notwendige Software für PC-Nutzer. Das ist gut so, denn Java ist und bleibt die Quelle für eine Vielzahl von Sicherheitsrisiken. Einige Sicherheitsexperten verlangen daher von Oracle, Java komplett neu zu entwickeln. Im Januar 2013 wurde zudem die Empfehlung ausgesprochen, dass alle PC-Nutzer Java deaktivieren - es sei denn, sie brauchen es für gewisse Anwendungen zwingend und unumgänglich. Die beste Möglichkeit herauszufinden, ob Sie auch ohne Java auskommen, ist, es einmal komplett von Ihrem System zu löschen. Ernsthaft! Machen Sie das am besten jetzt gleich in der Systemsteuerung von Windows. Wenn in Ihrem Alltag eine Webseite oder Software Java benötigt, werden Sie ohnehin wieder dazu aufgefordert, es neu zu installieren. Die Chancen stehen allerdings gut, dass Sie um diese Variante herum kommen.
Download: Java Runtime Environment

OK Lösen Sie sich von Mailkonten-Verkettung
Noch ein Schwachpunkt in der Online-Sicherheit: Mail-Konten, die Passwort-Wiederherstellungs-Nachrichten erhalten, falls Sie unerwartet nicht mehr auf Ihren Account zugreifen können. Solche "Recovery Accounts" sind des Hackers Lieblingsziele. Der beste Schutz dagegen ist es, sich eine besonders schwer zu erratende Wiederherstellungsadresse auszudenken - etwa myrec0v3ry_ZMf43yQKGA@outlook.com - und sie ausschließlich für akute Recovery-Notfälle zu verwenden. Die schlimmste Lösung dagegen ist es, alle Ihre Mail-Konten für den Wiederherstellungsfall miteinander zu verknüpfen. Wenn also Ihre Outlook-Adresse das Wiederherstellungskonto für Ihren Gmail-Account ist, der wiederum die Wiederherstellungsadresse für Ihr Amazon-Konto ist, und so weiter. Einem Hacker genügt in so einem Fall ein einziger Raubzug und er hat Zugriff auf all Ihre Daten.

OK Unterstützen Sie Ihre Antivirus-Software mit einem Anti-Malware-Scanner
Um Ihr Windows (oder Linux) so sicher wie möglich zu halten, sollte Ihr PC am besten mit zwei Sicherheitsprogrammen ausgestattet sein: Einer Antivirus- und einer Anti-Malware-Software. Antiviren-Programme wie AVG Free oder Avast laufen dabei "rund um die Uhr" und scannen eingehende Daten und Dateien, sowie Webseiten auf bösartige Inhalte. Doch diese Programme fangen oder entfernen deshalb nicht auch zwingend alles. Daher ist es eine gute Idee, wenigstens hin und wieder ein Anti-Malware-Programm zu starten, das weitaus größere Chancen hat, aktive Probleme zu finden. Versuchen Sies zum Beispiel mit MalwareBytes Anti-Malware Free (oder einer beliebigen, anderen Software) und benutzen Sie das Programm am besten wöchentlich.

OK Verdecken Sie Ihre Webcam
Malware war damals schon schlimm genug, als sie nach dem Zufallsprinzip Ihre Word-Dokumente an all Ihre E-Mail-Kontakte verschicken konnte. Doch heutzutage kann es noch schlimmer werden, denn Computer haben dank Webcams und Mikrofonen nun auch Augen und Ohren und können Sie sehen und belauschen. Zum Glück gibt es einen einfachen Schutz gegen spitzelnde Webcams: Klebeband. Kleben Sie einfach ein kleines Stück davon über die Linse. Wenn Sie Ihre Webcam aktiv benötigen, ziehen Sie es einfach kurzzeitig ab und kleben es im Anschluss wieder fest. Wenn Sie Bedenken haben, an der Kameralinse mit Klebeband zu hantieren, legen Sie einfach ein Stück Papier zwischen Klebefläche und Linse. Das sieht zwar nicht mehr so schick aus, hat aber einen unschlagbaren Vorteil: Papier und Klebeband sind absolut immun gegen Hacker-Attacken.

PCWELT.de, 25.03.2016: "Desktop-Firewalls sind alles andere als einfach zu handhaben, und sie gingen mit ihren häufigen Meldungen den meisten Anwendern auch bald auf die Nerven. Außerdem gewöhnten sich die meisten Nutzer an die vielen Tools, die selbstständig Kontakt mit dem Internet herstellten. In der Regel waren es ja Update-Programme, die nach neuen Sicherheits-Patches suchten - was ja eine durchaus erwünschte Aktion ist. Viele wechselten auch zu DSL und setzten einen DSL-Router ein. Dieser kann alleine schon durch seine NAT-Funktion sehr effektiv Angriffe aus dem Internet abwehren. Außerdem zeigten sich gängige Desktop-Firewalls gegenüber Trojanern und anderen Schädlingen oft machtlos. Denn hatte ein Trojaner das Antivirenprogramm bereits ausgetrickst, dann konnte er auch recht simpel die Firewall umgehen. Entweder er zerstörte die Firewall gleich weitgehend oder er verpackte seine Daten in den Datenstrom einer erlaubten Online-Anwendung, meist in die des Internet Explorers. An dieser Verwundbarkeit von Desktop-Firewalls hat sich bis heute wenig geändert. Zur Abwehr von Viren, die bereits auf dem PC sind, tragen sie eher wenig bei. Diese Aufgabe muss auf einem Desktop-PC die Antiviren-Software leisten.

1982 - Wikipedia: "Außenseiter-Politik des StarWars ohne Außerirdische", siehe auch News&Links und Meinung M. Zielinskis 1985: Es ist der Einzelne, der tendenziell immer weniger gegen die Heerschaaren aus eisernen Zinnsoldaten darstehende "Geschäfts"-Interessensgruppen und Lobbies des Westens auszurichten vermag.

Wohl wissend, wovon wir sprechen, werden Sie trotzdem schon bald alle roten Markierungen dieser Seite los und dabei unter "News&Links" Zeuge einer Art achten Weltwunders der inmitten des Computerzeitalters 100% Sicherheit bietenden Computersysteme, auf denen es auf Festplatte, noch besser Solid State Disk (SSD), an so gut wie keiner Software unterschiedlichster Rubriken mangelt! "News&Links" tragen nicht nur zum richtigen allgemeinen Verständnis vom Umgang bei sondern infomieren auch über die grundsätzlich hinterbliebenen Restrisiken aufgrund der zunehmenden ungeheuren Bedrohung. Zögern Sie keine Sekunde, bewahren Sie sich Ihre Glaubwürdigkeit, denken Sie an sich, indem Sie rechtzeitig handeln, möglichst jetzt, ehe es wiedermal zu spät ist!



Theoretische Grundlagen


Gooken bietet

Kernel PCLinuxOS (4.20.6) bzw. rosa2016.1, el8, el7, el6, mdv2010: kernel-4.14 (PCLinuxOS), kernel-rsbac (hardened Kernel), kernel-uml (geschützter User-Modus-Kernel), xen-Kernel (XEN-Virtuelle-Maschinen), lirc-kernel (Infrarot-Treiber), kernel-tmb (Laptop), kqemu-kernel (kquemu-Treiber für Standard-Kernel), vpnclient-kernel (vpnc-Treiber), fglrx-kernel, em8300-kernel, broadcom-wl-kernel, hfsmodem-kernel, madwifi-kernel (WLAN-Treiber), libafs-kernel, kernel-rt (SMP-Realttek/Atheros-LAN-BIOS-ETHERLAN-Chip-Treiber), fusion-kernel (fusion-Treiber), kernel-netbook, kernel-openvz (SMP: Multiprozessoren), libafs-kernel, kernel-kerrighed (mit kerrighed-Support), obencbm-kernel (VC64), psb-kernel, actuator-kernel (actuator-Treiber), lzma-kernel (lzma-driver), m560x-kernel, broadcom-wl-kernel, nvidia-current-kernel, nvidia96xx-kernel, nvidia173-kernel, netfilter-rtsp-kernel, fortune-kernel, vhba-kernel (vhba-Treiber), em8300-kernel, r5u870-kernel, r5u870-kernel-laptop, squashfs-lzma-kernel, vboxadditions-kernel, virtualbox-kernel, aktueller Kernel-4.14.12 (von fr2.rpmfind.net oder kernel.org), ...

Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....".

Beachte, dass das Booten (Hochfahren) des Systems zwecks Transparenz größenteils nicht mit dem viel Firmware beinhaltenden Kernel, sondern mit den offenen Runlevel-Init-Skripten (aus etc/rc.runlevel-nummer0-6), i.a. gesteuert vom Skripit init, erfolgt, rpm: initscripts (el6, mdv) und utillinux (el6,mdv).

uml-kernel: User-Mode-Linux ist ein sicherer Weg, Linux-Versionen und -Prozesse zum Laufen zu bringen. Starte fehlerhafte Sftware, experimentiere mit neuen Linux-Kerneln oder Distributionen und stöber herum in Linux-Interna, alles ohne die installierte Linux-Version zu gefährden. User-Mode-Linux stellt eine virtuelle Maschine zur Verfügung, die mehr Hardware- und viriuelle Sofware-Resourcen mit sich bringt als der aktuelle, phsikalische Computer. Die Abspeicherung auf der virtuellen Maschine erfolgt vollständig in einer einzigen internen Datei. Eine Zuweisung der virtuellen Maschine an diverse Hardware kann nach Beliebem erfolgen. Aufgrund des limitierten Zugriffs kann der Computer keinerlei Schaden annehmen. Alles was UML erfordert, ist ein uml-Kernel und ein entsprechendes aus dem Internet von http://uml.devloop.org.uk/ erhätliches root-fs-Dateisystem der Größe von ca. 1GB; Start erfolgt duch Eingabe #./smb-kernel-name ubda=name-of-root_fs rw mem=256m und Stop mit #halt.

Filesystem Hierarchie Standard (FHS): Der Filesystem Hierarchy Standard (FHS) ist eine Richtlinie für die Verzeichnisstruktur unter Unix-ähnlichen Betriebssystemen. Der Standard richtet sich an Softwareentwickler, Systemintegratoren und Systemadministratoren. Er soll die Interoperabilität von Computerprogrammen fördern, indem er die Lage von Verzeichnissen und Dateien vorhersehbar macht. Mandriva Linux strebt eine Konformität zum Filesystem Hierarchie Standard (FHS, paket fhs) an.

Nur einige Linux-Distributionen erfüllen den LSB-Standard. Die Linux Standard Base (LSB) ist eine Arbeitsgruppe der Linux Foundation, die Ende der 1990er ins Leben gerufen wurde. Die LSB definiert Standards für Binärschnittstellen, Programmbibliotheken und andere Betriebssystembestandteile mit dem Ziel, die Kompatibilität zwischen den verschiedenen Linux-Distributionen, z. B. mit Hinblick auf die Lauffähigkeit von Programmen, zu verbessern. Bis heute erfüllt nur ein kleiner Teil der Linux-Distributionen die Anforderungen der LSB, auch sind die Anforderungen noch nicht umfassend genug, um eine vollständige Betriebssystemplattform zu definieren. Ziel der LSB ist, mit Standards und Richtlinien eine einheitliche binärkompatible Plattform für Softwareinstallationen unter Linux zu erzeugen. Sie macht u. a. Vorgaben, welche grundlegenden Programme und Softwarebibliotheken auf einem LSB-konformen System vorhanden sein müssen und legt gemäß dem Filesystem Hierarchy Standard eine Verzeichnisstruktur fest. Die Basis der LSB Standards waren die POSIX- und die Single-Unix-Spezifikationen, welche erweitert wurden. Inzwischen weicht der LSB-Standard in einigen Aspekten jedoch Linux-spezifisch von den Open Group-Unix-Standards ab. Die erste Version 1.0 der LSB umfasste ältere, schon weiter verbreitete Standards. Anfang Januar 2004 wurde die LSB das erste Mal der Internationalen Organisation für Normung (ISO) vorgelegt. Die darauffolgende Version 2.0 unterstützte mehr Architekturen. Die LSB 3.0 zeichnet sich durch Aktualisierungen der bereits bestehenden Standards aus. Anfang November des gleichen Jahres wurde dann bekannt, dass die ISO die LSB als internationalen Standard anerkannt hatte. Die anerkannte Version ist die Version 2.0.1. Neuere Versionen der LSB sollen folgen.

mdv2010.0 nach Eingabe des Kommandos

lsb_release -a

LSB Version: lsb-4.0-64...
Distributor ID: MandrivaLinux
Description: Mandriva Linux 2010.2
Release: 2010.2
Codename: Adelie (Napoleon, Anm. die Red.)

Intro


Mit mdv2010 erzielt man nicht nur Flächendeckung mit nahezu aller möglichen Software, es kann sich auch sehen lassen:

Fensterverwaltung (die hält, was sie verspricht): immer-Vordergrund, immer-Hintergrund, merken, erzwingen von Positionen, Größen usw., Deckkraft, Umrandungen, Arbeitsflächen-Zuweisung, Fensterheber, ausgiebiges Menü für Fensterverhalten: Bildschirmecken, Effekte, Fensterwechsel, Aktionen, Aktivierung, spezifische Einstellungen, ...

Resourcen schonende (fast meint man, begünstigende) 3D-KDE-Desktop-Effekte in stufenweise regelbarer Animationsgeschwindigkeit für die Arbeitsfläche auf Basis des Kernel-Desktops: kiba-dock, drak3d, 3ddesktop, compiz, 3D-Fentergalerie, 3D-Fensterstapel, Animation Arbeitsfläche Würfel, seitliche Vorschaubilder: Minibilder (Fenster-)Vorschau (minimierter Fenster), (zentraler) Fensterkasten mit Minibildern,Vorschaubild in der Fensterleiste, Wabernde Fenster, zentriertes Einblenden der Fenster vom Desktop-Mittelpunkt aus, Bilder pro Sekunde anzeigen, in Fenster hineinzoomen, Fenster zeigen (verkleinert Fenster auf der Arbeitsfläche), Umranden der Fenstergeometrie bei Größenänderung, Zoom, Transparenz, Gleiten, Fenster-Explosion beim Schließen, Auseinanderfallen, Verblassen, Fenster hervorheben, hereingleitende Aufklappfenster, Mausspur, Mausposition finden, Minimieren-Animation, Schatten, Schweben, Abdunklung der Elternfenster, Abdunklung Anmeldung (System-Login) und Abmeldung (System-Logout), Spot bei der Abmeldung, Einblenden (von Fenstern aus dem Unendlichen), Lupe, Schatten (von Fenstern), Wunderlampe (Formgebung von Fenstern beim Maximieren minimierter Fenster), Wabern, Schnee (lässt Schnee auf Arbeitsfläche fallen), Schärfen der Arbeitsfläche, Schweben, Auto-Kurzeinblendung Fadenkreuz zum Zentrieren ..., auf Basis von composite: spotlighter (einstellbares Desktop-Spotlight), ardesia (Desktop-Sketching auf Basis von spotlighter), curtain (auf- und zuziehbarer Desktop-Vorhang von rechts nach links), direct rendering, openGL oder xrender, wählbarer Textur-Filter, vsync-Option, weiche Skalierung, gruppierte Auswahl der Bezugs-Fenster, Bildschirmecke für Fenster-Maximierung, Rand für Arbeitsflächen-Wechsel, virtuelle Arbeitsflächen, Formfaktor, Dashboard

desktop-effects


Tastatursteuerung für KDE-Desktop-Effekte: Mauszeiger in linke obere Ecke oder STRG+F9: Vorschau mit Minibildern geöffneter Fenster, ALT+TAB: fließender Fensterwechsel oder Auswahl per Mausklick, STRG+ALT+Scrollrad: Einstellung der Transparenz eines Fensters, STRG+Pfeiltasten: Würfel-Drehung der Arbeitsflächen: ...

Plasmoids bzw. Plasma (Applets) u.a. für den Desktop und die Kontrollleiste (beachte, dass im Unterschied zur rpm-Paket-Software von mdv2010 zur Zeit noch nicht alle davon laufen und so einige ihre dargestellten

Arbeitsfläche, rechte obere Ecke mit Halbmond-Plasmoid: Werkzeugkasten mit Kontrollleiste hinzufügen, Tastenkürzel einrichten, Einstellungen für Aktivitä,ten-Ordner-Ansicht, Vergrößern/Verkleinern von Schrift und Symbolen und Miniprogramme entsperren

Rechter Mausklick auf Arbeitsfläche: Kontextmenü für zahlreiche Schnell-Einstellungen

mdv-plasmoids


Informationen aus dem Internet beziehen...): Daisy (freie Programmauswahl ringförmig und normal), Lancelot (Desktop-Menü), Schnellstarter (mehrreihige Icon-Kompression mit optionalem Mini-Pull-down-(up)-Menu), Einheitenumrechnung, LCD-Wetterstation, Wettervorhersage, cweplasmoid-debuginfo, Weltzeituhr mit Zeitzonen, Akkuüberwachung, Geburtstagserinnerung, Bilderrahmen, Comic, Eieruhr, Farbabtastung, Taschenrechner, Mondphasen, Springball, Vergrößerung, Social Desktop, Schnelllader, DVB-Player, ToDo-Listen, Remember the milk, Systemmonitor, Guitar-Tuner, Vorschau, Widget-Dashboard, Translatoid (Sprachübersetzer), Geburtstags-Erinnerer, Flickr, Facebook, Aquarium, Daisy (Desktop-Icons reihum), DVB-Signalmesser, Farbauswahl, Microblogging, Magischer Ordner, Sonnensystem, Playwolf, Mountoid, Launchbutton, I-hate-the-cashew, Klicker, todolist, wallpaper-flymode, wallpaper-Changer, kopete-contacts, lastmoid, Deutsche Bahn, (Fußball-)Bundesliga, Facebook, Flickr, bsun (wandernde Sonne), FrustML bzw. sorry (Mensch-Ärger-Dich-nicht), Astrokalender, Fancy Tasks (Programm-Schnellstarter ähnlich cairo-dock), Koala (ähnlich Tamagocchi), Augen, binäre Uhr, Drop2Tag, Chemie, 15-Steine, Lastmoid, Matrix, Musiktitel-Anzeige, Microblogging, Plasmoio (SMS), bchocobob (ähnlich bsun), Tomatoid, Rechtschreibprüfung, Tafel, Knewsticker, WorkContext (nepomuk), ...

Gadgets, Apps-Installer, ...

gai-bgswitchertvib4leds1leds2pager1sun1va5horizontalverticallogichargeothellogi8k_docksherman1sherman2verticalgwlanbc1bc2album1album2connectedpal1pal2pal3fortune
Gai, The General Applet Interface Library von http://fr2.rpmfind.net oder http://gai.sourceforge.net : gai-pal, gai-album, gai-bgswitcher, gai-blobs, gai-clock, gai-mailcounter, gai-nebulus, gai-sun, gai-othello, gai-pager, gai-terrain, gai-visual-audio, gi8k, gwlan, vpn, bluecombo, FishTime, shermans-aquarium, TV in a box (tvib), usermon, ...



Cairo-Dock Cairo-Dock von fr2.rpmfind.net oder http://www.glx-dock.org/

OKkrunner: Intelligente KDE Semantische Desktopsuche per einfachem Mausklick mit Suchtext-Direkteingabe für alles Mögliche auf Basis von ginkgo (mdv, mga) bzw. semantic view (el6) beim Abspeichern von Dokumenten und weiteren Dateien, akonadi und nepomuk usw. und alles auf MySQL: Suche von Adressen, Namen, Namenseinträgen, kopete-Kontakte, Kontakte, kontacts, Anwendungen, Programme beenden, Rechner, Rechtschreibprüfung, Webbrowser-Verlauf, Hilfen, Bildern, Videos, Textdateien, beliebige Dateien (ginkgo), E-Mail, News (Usenet), Programm-Schnellstart, Befehlsausführungen, Datum und Zeit, Desktop-Sitzungen (Benutzerwechsel), Einheiten-Umwandler, Lesezeichen finden und aufrufen, Medienwiedergabe steuern, Nepomuk-Desktopsuche, Orte (Öffnen von Dateien und Adressen, ginkgo), Plasma-Umgebung (Interaktion mit Plasma-Shell), TechBase (KDE-auf KDE-TechBase suchen), Konqueror-Sitzungen, Geräte, Kate-Sitzungen, kget (Verknüpfungen mit Downloadmanager kget herunterladen), Konsole-Sitzungen, Fenster- und Arbeitsflächen (inhaltlich), Wikipedia (auf Wikipedia suchen), Wikitravel (auf Wikitravel suchen), Wörterbuch, zuletzt geöffnete Dokumente, Übersetzer (übersetzt mit Google-Übersetzer), Sonderzeichen (erstellt Sonderzeichen) usw., ähnlich Cortana und daher mit Eignung für das KDE-Startmenü oder die Taskleiste zum einfachen Start per Mausklick: krunner (el6, mdv, ...) (ALT+F2).

rpm-Beschreibung: "Ginkgo (KDE (mdv2010.2, mga, rosa) is a graphical front-end for managing data semantically. Ginkgo lets you create and explore links between your personal data such as e-mails, contacts, files, Web pages. It harnesses the Nepomuk framework."

Aufruf: Klick auf ein Verzeichnis oder eine Datei ->, Kontextmenü unter "Annotate" ginkgo: Datensatz-Text-Eingabefelder

[SOLVED by Gooken 21.10.2016: drkonqi: Eine oder mehrere akonadi_resource arbeiten nicht oder können nicht gefunden werden]
Zunächst gilt es, sich zu erkundingen, ob akonadi (el6) installiert ist( rpm -qi akonadi)
Es gibt drei rpm-Pakete voll mit akonadi_resourcen wie ical, birthdays, kcal, knut, kolabproxy, localbookmarks, mbox, microblog, nntp, notes, vcard, vcarddir, nepomuktag, strigi, kabc, kcal and imap: akonadi-kde (mdv2010.2) und kdepim-runtime (el6) mit kdepim-runtime-libs (el6).
Entpacke akonadi-kde (mdv2010.2) und kopiere die nicht arbeitende akonadi-resources von usr/bin/ (Verzeichnis siehe Paket) nach /usr/bin.
Die andere Richtung von kdepim-runtime (el6) nach akonadi-kde (mdv2010.2) kann sich in eingen Fällen als richtig erweisen.
If you want to start nepomuk-semantic-desktop-search (krunner):
1 eventually start the strigidaemon: /usr/bin/strigidaemon&
2 start desktopsearch-KDE-control-modul ( by systemsettings or krunner: enter "nepomuk", in order to select it) -> 3 select files to index / Dateiindizierung (Verzeichnisse auswählen) -> 4 activate both, nepomuk and strigi / Nepomuk-Semantik-Dienste und Strigi-Datei-Indexer zugleich aktivieren..
3 Sollte die Fehlermeldung von drkonqi ( wie "akonadi_ical_resource can not be executed successfully" ) immer noch erscheinen, starte akonaditray und trage die zugehörige Resource aus der Resource-Liste einfach aus. Viele Resourcen können ausgetragen werden, aber maildis, maildir und mailtrans werden immerzu von kmail benötigt.

Unter Einstellungen (Zangensymbol) -> Module empfiehlt sich nun gegebenenfalls die Deaktivierung von Wikipedia, Wikitravel und Google Übersetzer.

mdv-screenlets Desktop-Screenlets, Abb.: großangelegte GUI-Screenlet-Verwaltung mit über 100 Screenlets zuzüglich downloadbaren und Screenlet-Daemon, Screenlet vorder- und hintergründig, skalierbare Größe, Widget-Eigenschaft, weitere Eigenschaftenen u.v.m wie: wachsende Pflanze ( ab und zu ist ihr Wasser zu geben), Slideshow, Pager, Control (Hinzufügen weiterer Screenlets), Radio, Meter, Stocks, Speech, Sensors, RingsSensors, Ruler, Convert, Example of howto create a screenlet, CopyStack, Clear Weather von weather.com, ...

Weitere Einzelheiten können Sie unter siehe Menü links unter Datenblatt entnehmen.

TrayAbb.: Systemabschnitt der Kontrollleiste (Plasmoid) aus Krandr (Bilschirmauflösung), kmix, Stardict (Dictionary), Klipper (Zwischenablage), Parcellite (zusätzliche-Verwaltung der Zwischenablage), NetworkManager, angeschlossene Wechselmedien (USB-Anschluss) und verschlüsselte Partitionen, kgpg, korganizer (Terminplaner mit Erinnerungs- und Alarmfunktion und Kalender), Printer-Applet (Druckaufträge), Nepomuk (semantische Suche) und i - Systeminformation kwrited (Systemmeldungen), hier nicht gestartet: Notizbuch knotes oder tomboy, tvbrowser, etc., Uhr mit Datum und Kalender und Bildschirmsperre- sowie Ein-Ausschalter-Plasmoid; ein beschleunigtes Laden des Systemabschnitt-Plasmoids erfolgt nach Deinstallation von draksnapshot


Durchschnittlich wurde Mandriva in einem Test aus dem Jahr 2014 mit 4.65 von 5 möglichen Sternen basierend auf derzeit 204 Kundenmeinungen. bewertet. Die Erfahrungen.com Redaktion recherchiert regelmäßig und gründlich Bewertungsergebnisse aus allen verfügbaren Quellen des Internets. Diese Quellen werden sorgfältig von Hand verlesen und Bewertungen werden mit stochastischen Mitteln ausgewertet."


Damit mit mdv2010 wirklich nichts schief gehen kann, halten Sie während der Installation stets eine aktuelle 1:1-Spiegelung (aller Partitionen) auf einem anderen Medium parat! Nach der Installationsphase läuft mdv2010 einwandfrei.

mdv2010.0: alien, dpkg (el6) mit debbuild (el6) und debmirror (el6), apt, dselect, dash; Bootstrap aus dem Paket debootstrap für mdv2010.0 erzeugt obendrein ein grundlegendes Debian-System. Als Paketmanager steht neben den rpm-basierten Debians dpkg, apt und alien zur Verfügung, kommt allerdings auch ohne aus. Debians Paketmanager wie Synaptic und Aptitude versinken im Vergleich zu perfekt laufenden Paketmanagern von mdv2010 in Abbrüchen, Fehlermeldungen und Unübersichtlichkeit. Debians deb-Dateien werden von einer Mirrorseite gedownloadet und in ein Verzeichnis (unter man bootstrap namens sid-root) entpackt, in das man über den Befehl chroot /sid-root /bin/bash und dselect chrooten kann (vorausgesetzt, der Benutzer erlaubt das Chrooten zuwider unserer Emfehlungen). mdv2010.0-final selbst lässt kaum Software, die auch unter Debian im Angebot ist, missen, siehe http://fr2.rpmfind.net/linux/RPM/mandriva/2010.0/x86_64/. Uns gefiel das zeilenweise gefärbte Listing von fr2.rpmfind mit lauter Paketen von Mageia Caudron und Mandriva zum Auswählen am besten. Vollständig ist es auch.
Den Computer mehr als Tausendsassa denn Suneater abrundend lassen sich mit mdv endlich alle möglichen unter Datenblatt aufgelisteten Pakete bzw. Programme und Treiber etlicher Rubriken neben schier unendlich vielen Tarballs auf einmal auf SSD oder Festplatte installieren, während bei anderen Betriebssystemen vor dieser Mannigfaltigkeit auf Festplatte i.a. abgeraten wird, da jedes Programm ein gewisses Sicherheitsrisiko darstellt (Quelle: BIS). Dieses entfällt bei mdv, macht man bei der Installation nichts falsch.
Die seit vielen Jahren ausliegende, auf einer einzigen Seite merklich kurz ausfallende Errata-Liste des komfortablen mdv2010.0 liegt in einsichtiger Form direkt im Internet auf Mandriva Errata 2010.0 aus. Dabei sind nicht sämtliche der wenigen dort aufgeführten Punkte durchzuführen, um Stabiltät und Fehlerfreiheit zu erhalten. Update-Pakete von mdv2010 beheben ihre Umstände.

Die Anschrift von Mandriva ist sogar direkt auf der Hompeage von Mandriva www.mandriva.com angegeben.

Mandriva S.A (zuvor Mandrake), Paris, St. Etienne, Frankreich, Tel...., ..., Gründer und Vorsitzender bis mdv2006: Gael Duval, Personalsärke: 70 Mann

"Mandriva Linux, the brainchild of Gael Duval, who wanted to focus on ease of use for new users. Duval became the co-founder of Mandrakesoft".
Die meisten Pakete von mdv2010.0 entstammen Mandrivas Angaben nach Fedora (doch eine Ausgabe von Fedora auf DVD aus dem selben Jahr 2010 erschien uns vergleichsweise recht spärlich...).


"Mandriva Linux 2010 final - Perhaps the Best Linux Release All Year - Mandriva Linux 2010 final was recently released and brings lots of nice improvements to an already nice system. Mandriva has a long and distinguished history in the Linux distribution arena. They began over a decade ago using Red Hat as their base and quickly became the preferred choice of the new Linux user. This release hopes to offer some amenities to appeal to users of newer trends in technology such as semantic desktop and netbook support. The Mandriva Linux installer sets the standard in user-friendly Linux installers. For those familiar with Mandriva this release brings some great improvements. The best two so far have been the increased stability and performance. In the several days since a fresh install only one application crash has occurred here, and this application is known to be unstable across distributions. This new-found stability comes with even better speed as well. Not only does Mandriva boot quicker (speedboot: this kernel-parameter can be set in /boot/grub/menu.lst or lilo.conf, speedboot=yes and security=tomoyo ) but also desktop performance has improved noticeably. Applications open and function faster, including the three heavyweights koffice, OpenOffice.org and Firefox. There is virtually no graphic artifacting and redraws are immediate. In addition, the 2010 graphics are just beautiful. (source: http://www.makeuseof.com/tag/mandriva-linux-2010-perhaps-the-best-linux-release-all-year/).


mdv bietet zahlreiche Desktop- und Fenstermanager. Das Design und die Desktop-Effekte von mdv2010 kann man mit der großen Auswahl aus Arbeitsfläche, Erscheinungsbild und Arbeitsflächen-Design-Details aus den Systemeinstellungen (systemsettings und/oder gnome-control-center) heraus sowohl selbst erzeugen als auch frei wählen. Bereits mit dem Einschalten des Computers erscheint unter grub, spätestens grub2, auf Wunsch ein beliebiges Bootsplash auf dem ganzen Computermonitor. Farbschema (qt-curves usw.) können auch direkt von der CD vom Monitorhersteller importiert werden. Letzte Grautöne wie noch aus GTK von el6 finden bei mdv2010 die erwünschte Farbenfreude. Hinzu gesellen sich zahlreiche Emojis, Plasmoide, Smartphone-Apps und zahlreiche 3D-Desktop-Effekte, die sogar die Ressourcen schonen. mdv arbeitet damit auch auf vielen älteren Prozessoren weiterhin mausklickschnell (leichtläufig). Compiz reiht die sechs Arbeitsflächen in Würfeldarstelung oder in das speziell vom Mandriva-Team programmierte Metisse ein. Den Desktop-Hintergrund bildet dabei ein beliebiges Wallpaper (Bild), Diashow, Weltkarten, Wetterkarten, Mandelbrot usw. oder ein Bild vertikal oder horizontal on-the-fly. Insbesonders OpenGL, SDL, schnelles Direct-Rendering und Pulseaudio gewährleisten Ausnutzung von Graphik und Sound. Schwerpunkt bildete für Mandriva zusammen mit dem fast zeitgleich erscheindenden und bis zum Jahr 2026 aktualisierenden Scientificlinux alias CentOS 6.7 (el6) und 7.1 (el7) die gegenwärtige wie künftige Hardwareunterstützung.

Erik Bärwaldt, wiki.mandriva.com:
"Mandriva ist im Linux-Umfeld seit mehr als einem Jahrzehnt ein fester Begriff. 2010 steht die bereits dritte Version des Jahres 2010 mit über 5.000 aktualisierten Paketen zum Download bereit.
Mandriva Linux [1], eine der ältesten und bedienerfreundlichsten Linux-Distributionen überhaupt, geriet im vergangenen Jahr in heftige Turbulenzemeldet.
Mandriva 2010.2 fällt zeitlich aus dem Rahmen. Üblicherweise liefert das französische Unternehmen halbjährlich eine neue Version, die 2010.2-Variante weicht als drittes Release im Jahr 2010 vom bisherigen Veröffentlichungszyklus ab. Das Betriebssystem verzichtet denn auch auf revolutionären Neuerungen und präsentiert sich vornehmlich als fehlerbereinigte und aktualisierte Fassung der "Spring"-Version. Die Entwickler geben an, über 5000 Pakete auf den neuesten Stand gehoben zu haben. ...
Neben der Versionsvielfalt glänzt Mandriva wie bisher durch verschiedenste Desktop-Umgebungen. Als Standard-Desktop verwendet das System KDE, daneben lassen sich auch Gnome und LXDE auswählen. Als etwas exotischere Variante bietet die Distribution zudem den Xfce-Desktop an. Damit lässt sich das Betriebssystem sowohl auf alter als auch brandneuer Hardware problemlos betreiben. Zusätzliche 64-Bit-Varianten der Free- und Powerpack-Edition erlauben, die Vorteile entsprechender Prozessoren voll auszunutzen.
Hardware und Treiber
Mandriva steht seit jeher im Ruf, eine der besten Hardware-Erkennungsroutinen im Linux-Umfeld zu besitzen. Auch die Version 2010.2 macht hier keine Ausnahme, sondern gestattet sich selbst auf brandneuen Notebooks keinerlei Blöße. So erkannte es im Test auf einem ansonsten etwas kapriziösen Lenovo-Thinkpad nicht nur die integrierte Webcam erkannt und sprach sie korrekt an; auch der biometrische Sensor für die Authentifizierung und ein eingebauter Smartcard-Leser funktionierten ohne Nacharbeit. Wie üblich erkennt Mandriva 2010.0 die Hardware ohne Probleme. Auch den passenden Treiber zur Ansteuerung der Grafikkarte wählt das System aus und stellt das Display auf die korrekte Farbtiefe, Auflösung und Bildwiederholfrequenz ein. Eine weitere Besonderheit finden Sie im Untermenü Hardware | Konfigurieren der 3D Desktop Effekte des Mandriva-Kontrollzentrum: Hier aktivieren Sie per Mausklick nicht nur das allseits bekannten Compiz Fusion, sondern daneben auch den wenig bekannten 3D-Manager Metisse [4]. Diese eher unbekannte Oberfläche ist das Ergebnis eines Forschungsprojekts, an dem sich das Unternehmen Mandriva direkt beteiligt [5]. ... Auch die distributionseigenen grafischen Drak-Tools, die der bequemen und einfachen Systemverwaltung dienen, wurden technischen Neuerungen angepasst.
Die nicht nur bei Serveradministratoren geschätzte Sicherheit von Linux wahrt Mandriva konsequent auch auf dem Desktop. Während man sich bei weniger ausgereiften Linux-Distributionen durch einen Dschungel an unterschiedlichen Sicherheitseinstellungen kämpfen muss, bietet Mandriva mit MSEC im Rahmen des Kontrollzentrums alle relevanten Modifikationsoptionen unter einer einheitlichen Oberfläche an (Abbildung 3). So einfach sichern Sie Ihr System unter Mandriva ab.
Diese einmalige, auch für Einsteiger ohne tiefere Vorkenntnisse leicht zu bedienende Oberfläche sorgt ohne umständliche Suche und Konfiguration auf der Kommandozeile für einen rundum sicheren Desktop. Ergänzt wird das MSEC-Framework durch eine Kindersicherung (Abbildung 4), die Sie ebenfalls im Mandriva-Kontrollzentrum im Untermenü Sicherheit | Kindersicherungen finden. Sie bietet neben den üblichen Black- und Whitelists von Internet-Adressen auch eine Feinjustierung des Netzzugangs sowie eine Zeitsteuerung für die Netznutzung an. Obendrein können Sie in einem eigenen Reiter benutzerspezifisch einzelne Anwendungen sperren. Damit erfreut Mandriva 2010.2 mit der wohl am einfachsten zu bedienenden und gleichzeitig funktionell umfangreichsten Kindersicherung, die es derzeit unter Linux im Lieferumfang einer Distribution gibt.
Mit Mandriva 2010.2 legt die französisch-brasilianische Softwareschmiede wieder ein ausgezeichnetes Betriebssystem vor. Aufgrund der kontinuierlichen Weiterentwicklung mit dem Fokus auf Bedienerfreundlichkeit und eigenentwickelte, logisch durchdachte Werkzeuge weist Mandriva die Desktop-Konkurrenz auch im Linux-Lager in die Schranken. Dabei demonstrieren die Entwickler eindrucksvoll, dass Bedienerfreundlichkeit nicht - wie bei anderen Betriebssystemen - zu Lasten der Sicherheit gehen muss und umgekehrt nicht nur Sysadmins die Sicherheit des Desktops oder Servers adäquat konfigurieren können. Die Distribution eignet sich damit bestens sowohl für Einsteiger ohne Vorkenntnisse als auch für Profis, die ein Betriebssystem für den zuverlässigen Servereinsatz benötigen und sich nicht mit mangelnder Hardwareunterstützung und ständigen Workarounds herumschlagen wollen."


3D-Desktop - ressourcenschonende Effekte der Fensterverwaltung, Quelle: Linux+ Extra Pack 2007
Unter den zahlreich verfügbaren Effekten des dreidimensionalen Desktops von Mandriva Linux ab 2007 sind einige wirklich beeindruckend. So wird es dem Benutzer ermöglicht, den Desktop zu wechseln, indem er einfach einen 3D-Kubus dreht. Die einzelnen Desktops können auch flach angeordnet werden, statt über einen 3D-Kubus gelegt zu werden.
Beim Durchlaufen der Liste der geöffneten Fenster wird eine in Echtzeit aktualisierte Miniaturansicht des Fensters angezeigt. So wird die gesuchte Applikation veranschaulicht.
Die Animationseffekte und die Verformungen der Fenster werden bei den meisten Interaktionen des Benutzers mit diesen angewendet. Beispielsweise ist das Aufklappen, das Vergrößern und das Minimalisieren der Fenster animiert. Das Verschieben und das Ändern der Größe wird durch die Richtung und ide Intensität der Mausbewegung beeinflusst. Wenn der Mauszeiger in die obere rechte Ecke plaziert wird, werden alle Fenster nebeneinander verkleinert auf dem Desktop angezeigt. Dieses erlaubt, alle offenen Fenster zu veranschaulichen und eines davon auszuwählen. Ebenfalls ist es möglich, die Fenster transparent erscheinen zu lassen. Der Grad der Transparenz lässt sich über das Scrollrad der Maus regulieren. Natürlich gibt es auch eher dekorative Funktionalitäten, beispielsweise eine Regen- und Schneeanimation. Mandriva Linux 2007 ist die erste stabile Distribution, die sowohl Xgl als auch AIGLX unterstützt und bietet damit eine umfassende Hardwareunterstützung an.


Metisse Mandrivas Metisse: 3D mal anders
Benjamin Quest
"Nach langer kreativer Durststrecke bringt Mandriva uns ein kleines Schmankerl, um unseren drögen PC auf Vordermann zu bringen: Der neue Desktop Metisse ist laut Aussagen seiner Entwickler kein 3D-Desktop, sondern eher eine neue Herangehensweise an den klassischen Desktop. Entwickelt wurde Metisse von dem mit öffentlichen Mitteln geförderten In-Situ-Projekt.
In Metisse sind bereits viele Ideen des Projekts, wie Copy-and-Paste Between Overlapping Windows, bei dem das Fenster, das im Weg ist, eben einfach ausweicht, eingeflossen. Das besondere an Metisse ist zunächst einmal die Unterteilung des Desktops in neun Bereiche und das immer im Bilde bleibende Navigationsfeld.
Mit neuen Konzepten will Mandriva den Metisse-Desktop etablieren.
Der Übergang zwischen den einzelnen Bereichen gestaltet sich sehr viel natürlicher als dies bei der normalen Anordnung der einzelnen Desktops unter KDE oder Gnome vonstatten geht. Weiterhin verzichtet Metisse auf die 3D-Spielereien der anderen 3D-Desktop-Lösungen, ohne jedoch auf Augenzucker gänzlich zu verzichten. Fenster können gedreht oder geschwenkt werden, transparent gemacht werden oder auch teilweise zur Seite wegklappen. Ein Video sagt in diesem Fall wohl mehr als 1000 Worte. Eine genaue Auflistung der Funktionen findet ihr auch hier. Auf meinem leicht betagten Laptop liefen alle Effekte und Funktionen der Live-CD ohne Treiberwirren oder Einstellungsorgien (ATI Mobility Chip, der vom fglrx-Treiber nicht unterstützt wird, 2,53GHz Pentium, 512MB RAM) flott und ohne große CPU-Lastspitzen. Funkmaus und Touchpad liefen auf Anhieb friedlich nebeneinander, die Bildschirm-Auflösung war auch korrekt eingestellt.
Mit Metisse präsentiert Mandriva eine echte Überaschung. Ich bin gespannt wann andere Distributionen Metisse für sich entdecken; meiner Meinung nach lohnt es sich sehr. Auf einem rotierenden Würfel habe ich mich jedenfalls weitaus weniger zurechtgefunden. Derzeit läuft Metisse allerdings wohl nur unter Gnome mit voller Funktionalität, allerdings ist die vollständige Einbindung von Metisse für KDE 4 in Aussicht gestellt.

Chapeau, Mandriva!
Benjamin"


Mandriva for free: Mandriva Lx 2014 1,6GB free download. Da wir bei mdv2010 verbleiben möchten, haben wir diese Version noch nicht getestet. Linux von USB-Speicherstift: SSD und Festplatte bleiben unberührt, lassen sich aber separat einbinden (mounten): Mandriva-One (mdv2010.2-final, i586) zum Booten direkt von Ihrem USB-Speicherstift ab USB 2.0 und



Smartphones und Handies


Inmitten aus unserer Sektion für "News&Links": Im Vergleich mit dem iPhone 6: Dieses Smartphone kann etwas, was kein anderes kann, Focus, 01.11.2014
Für zwölf Dollar bekommen Sie bald ein Smartphone, das etwas kann, was kein anderes kann. Ein neues amerikanisches Startup versucht, Branchengrößen wie Apple oder Samsung Marktanteile abzugreifen - mit ungewöhnlichen Features. "Smartphone-Sucht ist real. Sie ist überall. Dein Handy versaut deine Dates, lenkt dich beim Konzert ab, stört dich im Kino, verstopft die Bürgersteige. Doch jetzt gibt es eine Lösung. Mit dieser Versprechung bewirbt ein User namens "The NoPhone Team" bei der Crowdfunding-Plattform Kickstarter sein Projekt. Dahinter steckt ein Handy, das etwas kann, was kein anderes Smartphone kann. Nämlich nichts. Perfekte Hosentaschenattrappe: Das "NoPhone" ist ein Hosentaschenersatz für ein echtes Smartphone. "Mit dem dünnen, leichten und komplett drahtlosen Design gibt es jedem das Gefühl von geschmeidigem, kalten Plastik in der Tasche", schreiben die Macher auf der Kickstarter-Seite. "Hol es raus und halte es einfach." Die wichtigsten Features laut den Herstellern: Kein Akku, keine nervigen Updates, splitterfest, wasserdicht. Und das Projekt des "NoPhone" kommt an. 5.000 Dollar wollte das No Phone Team eintreiben, über 18.000 Dollar kamen zusammen. Das Telefon, dass weder Telefonieren noch SMS schreiben oder im Internet surfen kann, soll zwölf Dollar kosten. Das "NoPhone" gibt es auch in einer zweiten Version, mit Selfie-Funktion. Diese Variante hat einen Spiegel im Display und wird mit den Worten beworben: "Zeig deinen Freunden dein neustes Selfie, wenn diese direkt hinter dir stehen.".


Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: Smartphones sind die perfekten Überwachungsgeräte
Sicherheitsforscher packt aus: So kann Ihr Smartphone Sie ausspionieren - obwohl Sie alles abgeschaltet haben
, STERN.de, 08.02.2018
Über GPS und Co. können uns Smartphones permanent überwachen. Zum Glück kann man die Funktionen aber abschalten. Ein Forscher erklärt nun, wie man diese Sicherheitsmaßnahmen trotzdem aushebelt - und warum das kaum zu verhindern ist.
Zwei Kameras, mehrere Mikrofone, ein GPS-Modul und Unmengen private Daten der Nutzer: Smartphones sind die perfekten Überwachungsgeräte.
https://www.stern.de/digital/smartphones/so-kann-ihr-smartphone-sie-ausspionieren---obwohl-sie-alles-abgeschaltet-haben-7855612.html
https://www.stern.de/digital/computer/erpressungs-trojanern--so-schuetzen-sie-sich-vor-ransomware-6725356.html
https://www.stern.de/digital/online/datenraub--mit-diesen-7-tipps-schuetzen-sie-sich-davor-8521708.html
https://www.stern.de/tv/datenhack--warum-wurde-es-dem-taeter-so-leicht-gemacht-und-wie-kann-man-sich-schuetzen--8521650.html
https://www.stern.de/digital/smartphones/so-kann-ihr-smartphone-sie-ausspionieren---obwohl-sie-alles-abgeschaltet-haben-7855612.html
https://www.stern.de/digital/online/der-mann--der-uns-schwierige-passwoerter-einbrockte--bereut-seine-entscheidung-7577534.html
https://www.stern.de/digital/computer/erpressungs-trojanern--so-schuetzen-sie-sich-vor-ransomware-6725356.html
https://www.stern.de/digital/online/iphone-privatsphaere--mit-diesen-einstellungen-schuetzen-sie-ihre-daten-8522116.html
https://www.stern.de/tv/datenhack--warum-wurde-es-dem-taeter-so-leicht-gemacht-und-wie-kann-man-sich-schuetzen--8521650.html
https://www.stern.de/tv/gute-passwoerter-und-co---so-schuetzen-sie-sich-bestmoeglich-vor-hackerangriffen-8524324.html

Die mit solchen Geräten verpassten Ohrfeigen sind schallend! Gooken rät ab unter Berufung auf SAR-Werte, den italienischen Gerichtsfall Macolini und Erfahrungsberichte mit Fällen, bei denen möglicherweise Metastasen nach dem Telefonieren mehrere Minuten wie eine schallende Ohrfeige auf der Hörerseite des Handies aufs Ohr und den umgrenzenden Kopfbereich drückten sowie Fällen, bei denen beim Telefonieren selbst im Umkreis eines Handytelefonats von drei Metern magnetische Felder spürbar wahrgenommen wurden und Explosionsgefahr bestimmter Akkus, Einzelheiten zu allen Fällen siehe unter News&Links! Soweit Smartphones generell.

Auf dieser Webseite ganz unten und abermals unter News&Links#computer#smartphones können Sie mehr ü,ber Linux-Smartphones erfahren! Fast alle der hier aufgeführten und mit Häkchen markierten Maßnahmen sind auch für Smartphones relevant. Allerdings muss man dabei wohl in Apps denken...


U.a. aus unserer Sektion News&Links#Computer#Smartphones: CHIP, 26.10.2016: Android-Sicherheit sollten Sie nicht dem Zufall überlassen, sondern mit den passenden Apps vorsorgen. Mit diesen Apps brauchen Sie keine Angst haben vor NSA, Datendieben, Viren und Co. Wir zeigen Ihnen, mit welchen Apps Sie Ihr Android-Handy perfekt schützen.

Datensicherung für Smartphones - so gehts: Geht Ihr Smartphone verloren, sind gleichzeitig alle Daten weg. Hier sind die besten Backup-Lösungen für Android, iOS und Windows.

ifixit: Diese Smartphones lassen sich leicht reparieren - FOCUS Online: Die Haltbarkeit von technischen Geräten ist ein Thema, das viele Deutsche umtreibt. Gefühlt halten viele Maschinen immer kürzer durch und müssen ständig durch neue ersetzt werden. Doch der Verbraucher hat es oft selbst in der Hand zum Beispiel bei reparaturfreundlichen Telefonen.

OK So sichert man mobile Endgeräte im Unternehmen ab: http://www.pcwelt.de/ratgeber/So-sichert-man-mobile-Endgeraete-im-Unternehmen-ab-FAQ-9582121.html

10.000 mAh starker Monster-Akku von Smartphone-Hersteller OUKITEL, Focus Online 02.07.2015
Viermal stärker als das Galaxy S6: Dieses Smartphone hat eine Woche Akkulaufzeit

10.000 mAh starker Monster-Akku: Viermal stärker als das Galaxy S6: Dieses Smartphone hat eine Woche Akkulaufzeit. Die Zeiten, in denen uns mitten am Tag das Smartphone ausgeht, könnten bald der Vergangenheit angehören. Denn der Hersteller OUKITEL plant das erste Smartphone, das auf eine Akkulaufzeit von einer Woche ...

Samsungs Smartphone-Sparte in der Krise, Tagesschau, 03.03.2015
Bislang hatte Samsung vom Smartphone-Boom profitiert, und sich in diesem Segment vor Apple an der Weltspitze etabliert. Jetzt gilt der Markt unter vielen Experten als gesättigt. Für den Konsumenten entscheidende technische Fortschritte seien kaum noch zu erwarten: Die Telefone können ja schon fast alles, was man braucht - oder auch nicht braucht (... ähnlich wie der Computer unter Linux wie mdk2004/mdv2010, Anm. die Red. ).

Siehe Linkseite unter "News&Links": Das kleine Display verdirbt die Augen, es stammt von den Perversen (Apple), strahlt wie verrückt, verursacht schwere Unfälle und bedarf bereits für dessen Umgebung unabsehbar vieler Sicherheitsvorkehrungen und Einzelmaßnahmen, während technische Neuheiten nicht mehr zu erwarten sind: Gooken widmet sich vornehmlich dem Desktop-PC. Vor dem Gebrauch von Smartphones und Handies wird auf unserer Linkseite unter "News&Links" in der Sektion für Computer ganz besonders gewarnt. Die vermeintliche Abhilfe unter Ausschluss der Bedrohung mit Crypto-/Supercomputern sei gleich an dieser Stelle dennoch anhand eines Berichts der Tagesschau vom 28.07.2014 nicht vorenthalten: Smartphones mit Verschlüsselungsfunktion (Krypto-Smartphones) sollen das Ausspionieren verhindern oder zumindest erheblich erschweren. Nach Angaben eines Sprechers des Bundesinnenministeriums sind bereits 3000 Krypto-Smartphones in der Bundesverwaltung verteilt worden. Diese Zahl solle noch ausgeweitet werden. Die Ausstattung mit gesicherten Mobiltelefonen kommt voran. Laut Innenministerium sind bereits 3000 Krypto-Smartphones verteilt worden. Namen wurden nicht genannt. Der Verfassungsschutz forderte zudem eine höhere Kommunikationsdisziplin. Der Präsident des für Spionageabwehr zuständigen Bundesamts für Verfassungsschutz, Hans-Georg Maaßen, warb in der "Frankfurter Allgemeinen Zeitung" für die verstärkte Nutzung von Krypto-Telefonen und mehr Kommunikationsdisziplin. "Vieles kann und sollte im persönlichen Gespräch geklärt werden, ohne Telefon", sagte Maaßen der Zeitung| Der Ruf nach besser geschützten Telefonen war laut geworden, weil vermutlich Telefone von dem US-Nachrichtendienst NSA abgehört wurden. Krypto-Mobiltelefone verschlüsseln SMS und Sprache noch im Gerät selbst. Zwar können die Signale immer noch abgefangen werden, diese sind aber komplex verschlüsselt. Allerdings funktionieren die Krypto-Telefone nur, wenn auch der Angerufene ein derartiges Gerät hat. Daher ist eine vergleichsweise große Anzahl dieser Telefone nötig.

Xiaomi-Notebook
Linux-Notebook von Xiaomi im nächsten Jahr erwartet, PC-WELT.de, 29.10.2015, http://www.pcwelt.de/prolinux/Linux-Notebook-von-Xiaomi-im-naechsten-Jahr-erwartet-Xiaomi-Notebook-9838974.html
Xiaomi ist nicht nur drittgrößter Smartphone-Hersteller weltweit sondern vertreibt auch Smart-TVs, Router und IoT-Haushaltsgeräte. Die Gerüchte um ein Linux-Notebook des Herstellers konkretisierten sich Anfang September. Jetzt wurden weitere Einzelheiten bekannt.


ZDNet / Mobile: Warum Open-Source-Handies die besseren Smartphones sind, von Jack Wallen am 24. September 2009
Open Source bringt dem Mobilmarkt eine ganze Menge Vorteile. Angefangen bei Kosteneinsparungen, über die höhere Sicherheit bis hin zu mehr Anpassungsmöglichkeiten und einer produktiveren Applikationsentwicklung.
Stimmen Sie mit der Meinung des Autors überein, dass Open-Source-Geräte die besseren Smartphones sind? Oder wird Apple, vielleicht sogar Microsoft mit Windows Mobile 7, den Kampf um die Markanteile gewinnen? Schreiben Sie einen Kommentar zum Artikel.


Erweiterte Hardwareunterstützung


Vorab: Kernel 4.20.13 (PCLinuxOS) mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos) bietet erweiterte Haredwareunterstützung. Aber auch Warten lohnt sich. Sogenannte "alte" Hardware muss nicht schlecht sein, ihre Treiber sind meistens verfügbar. Gängigste Treiber befinden sich bereits im Kernel und Kernel-Modulen. Sollten den Kernel-Modulen welche fehlen, kann man fehlende Teile meist über Pakete (rpm, deb) nachinstallieren. CPUs des Mainboards weisen Standard-Maschinenbefehlssätze auf, die in Paketnamen nach dem Prozessortyp wie x86_64, i686, ppc, ppc64, ppc64le, aarch64, s390, s390x, arm, armhfp, sparc usw. unterschieden werden, und auch das gesockelte BIOS (BIOS-Chip) auf dem Mainboard kann man meist nachbestellen. Für die Graphikkarte verwende man notfalls den UNIX/Linux-Standardtreiber fbdev oder vesa. Und auch die Einrichtung von TFT-Monitoren erweist sich wie Postscript-Drucker über PPD-Dateien aus Paketen aus dem Internet von openprinting.org wie auch von Herstellern oder Treiber-CD als ganz besonders einfach. Hierfür füge man übers MCC unter "Drucker einrichten" lediglich einen neuen Drucker hinzu und verlinke während der Abfrage mit der PPD-Datei. USB erweist sich ja zumindest als abwärtskompatibel. Klemmt der (W)LAN-Chip, verhilft eine einfache Standard-PCI- oder PCIe-Ethernet-Steckkarte bis zum Erscheinen des Treibers, dasselbe gilt für Graphikkarten und den Onboard-Soundchip.

Hardware unter Linux, PC-WELT.de, 11.06.2019
Frage: Ist gewährleistet, dass sich die Hardware in meinem PC oder Notebook und die Peripheriegeräte uneingeschränkt auch unter Linux nutzen lassen?
Antwort: Kurz gesagt: Nein. Die lange Version der Antwort lautet: Es kommt darauf an. Hardwarehersteller bieten in der Regel kaum Unterstützung für Linux. Unproblematisch sind Basiskomponenten wie Grafik-, SATA- oder Ethernet-Chipsatz. Wenn Sie beim Discounter um die Ecke jedoch einen Drucker, Scanner, USB-TV-Stick oder WLAN-Stick erwerben, sind auf der beigelegten CD meist keine Linux-Treiber zu finden. Und selbst wenn, passen sie nur im seltenen Fällen zum installierten System. Auch bei Notebooks gibt es oft Einschränkungen. Manchmal lässt sich die Helligkeit des Bildschirms nicht über die vorgesehenen Tastenkombinationen steuern oder die Stromsparmodi funktionieren nicht wie unter Windows.
Deswegen hilft es nur, sich vor dem Kauf im Internet oder beim Händler über die Linux-Tauglichkeit eines Notebooks oder Peripheriegerätes zu informieren. Es gibt auch Händler, die sich auf Hardware für Linux spezialisiert haben, beispielsweise Tuxedo .
https://www.pcwelt.de/ratgeber/5-Fragen-und-Antworten-fuer-Linux-Anfaenger-10589209.html

PC-WELT.de, 01.09.2015: "Vor dem Kauf: Kompatible Linux-Hardware finden
Wer sich nicht selber um passende Linux-Treiber kümmern möchte, sollte bereits vor dem Kauf die Kompatibilität überprüfen. Meist genügt dafür eine Google-Suche mit dem Gerätenamen in Kombination mit dem Wort "Linux". Für Linux gibt es auch durchsuchbare Hardware-Datenbanken. Ebenfalls nützlich ist http://wiki.ubuntuusers.de/Hardware . Hier finden Sie Listen mit Hardware, die funktioniert, und Tipps zur Einrichtung. Informationen zu TV-Karten und Sticks sind bei Linux TV gesammelt.
Wer Linux auf einem Notebook installieren möchte, informiert sich vorab über http://tuxmobil.org oder Ubuntu Wiki . Es gibt auch einige Hersteller, die auf Notebooks mit vorinstalliertem Linux spezialisiert sind, beispielsweise Tuxedo Computers . Allerdings sind die Geräte meist etwas teurer als Windows-Notebooks."


Mit dem Upgrade der glibc von mdv2010 auf el8, mga6, mga7, pclos oder rosa2014.1 (bzw. glibc (el8, mga6, mga7, pclos, rosa2014.1) und weitere glibc-Paekte (el8, mga6, mga7, pclos, el6)) steht ein noch größeres Repertoire an Treiberpaketen und Tarballs für auch aktuelle Hardware zur Verfügung.

Vor allem folgende Firmen liefern Hardware mit Linux-Treibern:
Graphikkarte: Intel, Nvidia, AMD
Drucker und Scanner: Epson, HP, Intel, Samsung, Brother und Canon http://openprinting.org für Ghostscript- und die PPD-Dateien bei Postscript-Druckern

OK Hardwaredatenbanken und Ratgeber:
http://openprinting.org für Ghostscript- und die PPD-Dateien bei Postscript-Druckern
https://de.opensuse.org/Portal:Hardware
http://wiki.ubuntuusers.de/Hardware
http://linuxtv.org/wiki/index.php/Hardware_Device_Information
http://community.linuxmint.com/hardware
http://tuxmobil.org/
https://wiki.ubuntu.com/HardwareSupport/Machines/Laptops
http://www.tuxedocomputers.com
http://wiki.ubuntuusers.de/Drucker
http://www.pcwelt.de/ratgeber/Uefi-statt-Bios-Das-muss-man-beim-Linux-Boot-beachten-Von-USB-und-DVD-9715238.html
http://wiki.ubuntuusers.de/Scanner


Einen ausführlichen Bericht über Hardware-Support liefert folgender Artikel: http://www.pcwelt.de/ratgeber/So-bringen-Sie-Linux-trotz-Probleme-zum-Laufen-9789269.html.

Zur Not kann man sich Treiber auch selber bauen. Anleitungen finden sich im Internet. Für Drucker gab es zumindest früher einmal cups-ddk.

X-Server-(Graphikkarten)-Troubleshooting: siehe unter Updaten

Printer-Troubleshooting: siehe unter Datenblatt

Sicherheitsschwächen


Gooken selbst ist ein neben um inhaltliche Vollständigkeit erstmalig um Strukturierung und konsistente wissenschaftliche Hochschulnormen bzw. Lösungen bemühter Treffpunkt mit starkem Praxisbezug für immerwährende IT Sicherheit, dem Computerfirmen nachziehen bzw. wenigstens so zu tun. Gooken möchte Ihnen verdeutlichen, wie sich eine wissenschaftliche Sicherheitslösung in der Computerwelt voller Gefahren und Risiken konzipiert. Vorgestellt wird das standardisierte Konzept einer Firmendatenbank und der IT Sicherheit nach dem auf Niveau, Standards, Prototypen und Checklisten basierten Ansatz mit dem Verzicht auf betriebsfremde (nicht im Lieferumfang enthaltene) Mittel. Hiermit ergibt sich eine rapide Einsparungen an Hardware und Stromrechnung strapazierenden Festplattenscans bei einem Bedarf an Updates und Upgrades auf je nach verwendetem Dateisystem annähernd sage und schreibe null! Für nur zehn Euro bleiben sämtliche Kosten für Anschaffung, Registrierung, Schulung, Beratung, Wartung und Umstellung einschließlich Lizenzgebühren erspart. Ihre Erfüllung stärkt außerdem die rechtliche Position im Computerzeitalter und Glaubwürdigkeit gegenüber Mitmenschen.

Im Einzelnen wird ihr UNIX-Rechner mit der Befolgung der Schritte und Einzelpunkte auf einfache Art und Weise (weitgehend) immun gegen (...schon mal so ein Rot in ihren Unterlagen gesehen?...):

Null Problemo: "If you do not know, how to go on, you have two possibilities: either you explode, or you cry for help. / Wenn man nicht mehr weiter weiß, hat man zwei Möglichkeiten: entweder man explodiert oder schreit nach Hilfe" (Magnum, TV-Serie, Januar 2016).

suneater_miro proprietäre Software (Verdunklung, Klärung von Fragen zur Haftung erst durch Opensource), Schutzgelderpressung gegen Freischaltung plötzlich gesperrter Computer (Bericht siehe unter Links), Kostenfallen (hier insbesonders bei: Abrechnung über Handy und SMS, Übersehen Kleingedrucktens, AGB), Verbrecherkult, Verletzung von Urheber- und Patentrechten, Manipulation durch bevollmächtigte Systemadministratoren an Software, Dateien und Konfigurationen/Einstellungen, Inkonsistenz (wissenschaftliches Vorgehen zugunsten immerwährender Gültigkeit, Haltbarkeit), Interessenskonflikte zulasten des Verbrauchers, milliardenschweres Investment in Spionagetechnik und -software kommender Versionen (Opensource: Changelog), Infiltrierung sozialer Netzwerke, Auslagerung, Veruneinheitlichung, Zerstreuung und Einschränkung des Sicherheitskonzepts, virtuelle Erpressung durch Datenverschlüssleung auf Festplatten gegen Lösegeld, Beschuss mit Drohnen nach Kreuzverhören und technischen Datenerfassungen, Explosion (überlastete Netzteile, Abhilfe: Einsatz der unter Datenblatt empfohlenen stromsparenden Anschlussgeräte ), Brand (Netzteil, poröses Gehäuse-Lautsprecherkabel und siehe Linkseite), Verstrahlung bzw. Strahlung u.a. durch WLAN (siehe Linkseite), hoher SAR-Wert (Handy), CRT-Monitor, Brenner und Netzteil, Konterminierung (durch Bestandteile diverser Chipsätze), Scanprogramme (Kapazität belastende und Hardware strapazierende Festplattenscans: mit dem von uns vorgestellten Konzept lediglich nach umfassenden Software-Installationen zu empfehlen), suspekte Browser, Browser-Addons- und Plugins (Gegenmaßnahme Konqueror), Defragmentierung (bei Verwendung vieler UNIX-Dateisysteme nicht erforderlich), spärliche Ausstattung mit Software aus Sicherheitsgründen (Abhängigkeits-Tests, Opensource, weitere von uns empfohlene Maßnahmen), 32-Bit-System benötigt 32-Bit-Programme, Verwendung von Magnet-Festplatten statt SSD, schlechte Hardwareerkennung (vs. standardisierte Treiber, verbesserte Hardwareerkennung, weitreichende Kernelversionen wie kernel >= 2.6.30), Registry-Errors (UNIX-Systeme: ohne Registry), Bedarf an Neustarts (Start einzelner Services und Daemonen, je nach System keine Neustarts erforderlich), Bedarf an Upgrades (mit UNIX-Systemen lässt sich mit ./configure- bzw. ./config-Befehl und optional --prefix=/usr zumindest theoretisch vieles aus Tarballs und ZIP-Archiven heraus eincompilieren), wildwüchsige (uneinheitliche) Sicherheitssoftware (Umstellung, Gewöhnungsbedärfe; unsere Sicherheitskonzept mit UNIX-Systeme begleitender Sicherheitssoftware), Instabiles Laufzeitverhalten (Abstürze und Hang-ons, Software-Alpha-Betastadien,keine Abstürze: das näher von uns vorgestellte Betriebssystem mdv2010...), unerwünschte Freigabe ermächtigender Root-Rechte durch Speicherüberläufe (Software sollte laufen und Kommunikationssoftware ggfls. aktualisiert werden), Freak (Browser patchen oder Firefox oder Konqueror verwenden, Bericht siehe Linkseite), ddos-Angriffe (die meist auf Verbreitung von Trojanern basierenden Denial-of-Service-Attacks DOS), Hacker (keine Hacker über STATE NEW-Linienblöcke), in Firewalls eingeschlagene Löcher (Blockrate von iptables), Eindringen und Vandalismus (Linfw3, iptables), Viren (Zugriffsrechte UNIX-Dateisystemen), Missbrauch durch Virenscanner (standardisierter Opensource-Virenscanner clamav), Würmer (analog Viren), Rootkits (rkhunter) bzw. Trojaner, darunter Staatstrojaner (siehe Linkseite) und Botnets (wir beheben alle Punkte und auch diese: CMD-, PID- und/oder UID- und/oder GID-Owner gefolgt von gezielter Portfreigabe von Source- und Destination-Ports mit iptables: keine Trojaner!), Dialer (DSL-Modem, ...), Driveby-Downloads (unvorhersehbare Downloads, Abhilfe: von uns vorgestelltes System mdv2010), veralterter Browser mit SSL3.0 (statt TLS), Canvas Fingerprinting (siehe unter online check), Inaktualität der Alarmmeldungen und Warnungen, Hoax (Falschmeldungen: Quelle bzw. Absender überprüfen), Falschalarme, ausbleibende Fehler- und Warnmeldungen, anomale Einlogversuche (Login Anomaly Detection Systeme wie LADS, Verzögerungszeiten nach Falscheingaben, benutzerweise Auflistung erfolgter Logins und Loginzeiten mit noch aufgeführten Unix-Befehlen), Risiken des WLAN (Verzicht auf wireless oder erforderliche Einzelmaßnamen), fehlerhafte, fehlerbehaftete und sicherheitstechnisch bedenkliche Dateisysteme (wir empfehlen unter zusätzlicher Leistungssteigerung der ohne hin schnellen SSD mit Performance-Werten siehe unter Links Sektion "Alternativen" auch für SSD), kopierrestriktrierte Dateisysteme, Systemabhängigkeiten (lösen Paketmanager wie urpmi, drakrpm, alien, dpkg und yum), Funktionsumfang, Anpassungen und Enwicklungsstadien, die eigene Firma (Firmen) als dunkles Buch mit sieben Siegeln (mehr Licht ins Dunkle bringt hingegen die von uns vorgestellte PHP-MySQL-Firmenverwaltung und -datenbank Mycompanies), Handyjagd durch Funknetze, Bedarf an Updates und Upgrades (bei noch erwähnter Erfüllung des hinreichenden Kriteriums der Funktionstüchtigkeit und somit Freiheit von Buffer-Overflows sind Updates, Patches und Bugfixes nur noch für Kommunikationssoftware erforderlich!), Auslesen sensibler Daten über den Microcontroller des USB-Speicherstifts, USB-Hubs statt USB-Verlängerungskabel , Einstellung des Kundensupports (lifetime Sicherheitsupdates über Folgeversion "Punkt 1", ggfls. "Punkt 2" zur Version "Punkt 0" von rpmfind.net auf alle mdk/mdv) für alt gewordene Betriebssystem-Ausgaben (mit den hier vorgestellten Angeboten und Maßnahmen irrelevant), Bedarf an vielen Treibern (mit Kernel 2.6.30 für Computerhardware kaum noch das Thema), Probleme mit Audio- und Graphikkartentreiber (IGP: all-in-one-onboard), Neuaufsatz des Systems, schlechte Abstimmung von Software- und Hardwarekomponenten, rechtliche Irrelevanz, unlauterer Wettbewerb, Zwangsregistrierungen, aggressives Marketing, mangelnde Zuständigkeit, unbekannte Autoren, Produkt-Fertigungsfehler direkt auf der Oberfläche der Installations-CD-/DVD, Brennfehler, Zugäglichkeit der Stromversorgung (Stromzähler, Kabel, ... ) und Stromausfall (unterbrechungsfreie Stromversorgung, UPS), Probleme des BIOS beim Flashen und Zurücksetzen, ausbleibende Warnungen des BIOS vor Überhitzung der CPU und des Gehäuseinneren, Start- und Bootprobleme, Steckenbleiben beim Booten (siehe Linkseite), Steckenbleiben der USB-Speicherstifte (verbessertes Ein- und Ausbinden, sicheres (!) Ausbinden und niemals vorher, gezielte Reparatur, Verkürzung der Signallaufzeiten, Betriebssystemkern und -module), Auslesen sensibler Daten über USB über den USB-Microcontroller (siehe Linkseite), intransparente Bootvorgänge, lange Bootzeiten, Schwachstelle Mensch (benannt nach einem Newsgruppenbeitrag, siehe LInkseite), Nachtsichtgeräte, Beobachtungssatelliten (siehe unter Links), Richtmikrofone (Untergeschosse, siehe unter Links), Abhören von Flugzeugen aus, Verbreitung for free: u.a. Wikipedia, spanische Fliegen, Video- und Sprachaufzeichnungen, Evalulierungsprogramme auf solchen und anderen Aufzeichnungen in protokollierende Dateien, Manipulation von Texten, Bildern und Filmen, Bedarf an suspekter Zusatzsoftware wie bspws. für ftp-Transfer, schlecht deutbare Prozess- und Dateinamen (weitgehende Teilstandardisierung mit UNIX/Linux), Entartung des Dateinamens (Überlänge, Sonderzeichen etc.), Zusatzbedärfe an externen Graphik-, Sound- und Ethernetkarten (Konzept des All-In-One-Mainboards, idealer Weise bereits mit CPU, Kühler und Speicherbausteinen) und typische Risiken von Magnetfestplatten (Einsatz langlebiger, schockresistenter, extrem stromeinsparender und superschneller Solid State Drive (SSD) als obendrein wertvoller Beitrag zur Entlastung des Netzteils und zur Reduzierung der Brand- und Explosionsgefahr in geschlossenen Räumen), Veränderung von Webseiten seitens Webshoster, Manipulation von Verzeichnissen und Dateien von außen wie bspws. Dateien aus /etc/msec (FDE, FSE: Full Disk Encryption, Full System Encryption, Dateiverschlüsselung), Installation von Schadsoftware mit dem Öffnen von Anhängen in E-mail, Installation von Software aus ungekennzeichneten Fremdquellen, Installation durch beliebige Benutzer, hinterherhinkende Sicherheit, spärliche sicherheitstechnische Ausstattung, Ablage von Daten auf Fremdrechnern, Cloud-Computing (Abspeicherung bei Zweiten und Dritten: Wir raten zum Verzicht, externe Festplatte, USB-Speicherstift), Root-Rechte verschaffende Speicherüberläufe (Buffer-Overflows infolge Programmfehler und Bugs als Folge mangelnder Qualitätssicherung), Ansprüche an Schnelligkeit und Hardware-Flexibilität bemessen an den Anforderungen moderner Supercomputer, falscher Kabelanschluss, langesames Internet (Ursache: Datenmüll auf MSWin-Rechnern, Bandbreite, DSL-Tarif, ...), Spionage, Zeroemission (u.a. mit speziellen PCMCIA-Karten Monitorbilder rekonstruierende auffangbare Monitorstrahlungen, Verhinderung mit Spezialeditoren wie Zero-Emission-Pad), Abhören des WLAN, Knacken verschlüsselnder Keys im WLAN, Fremdzugang im WLAN-Access-Point, Funkwanzen (auf USB-Karte oder in Bauteilen, kleiner Mann im Ohr), Mangel an Test- und Erfahrungsberichten (Datenblatt und Testforen im Internet siehe Linkseite), Begrenztheit der Betriebsstunden im Batteriebetrieb, Unnahbarkeit (Unkonfiguierbarkeit, Unter- bzw. Überfrachttung) des Betriebssystemkerns, unzureichende Verschlüsselung (online: TLS, SSH, ipsec (freeswan, ...)), Einsatz nicht hochschulwissenschaftlich erschlossener (kryptographischer) Verschlüsselungsmethoden, unzureichend verschlüsseltes Instant Messaging (OTR, ...), Anschreien wegen interner Totalzerstörung (wie "Sie können den Computer jetzt ausschalten!" unter MS SE), Setzen unsicherer Paßwörter, unvorhersehbare Ablaufen von Paßwörtern, Verwaltung unzähliger Paßwörter (kwallet und relevation), Auffindbarkeit von passwortdateien (steghide), fahrlässiges Versäumnis wichtiger Termine, Unpünktlichkeit, Vergessen des Drumherums (autogestartete Terminplaner und Countdown-Zeitzähler mit Sofort-Erinnerungsfunktion, ntp-Dämon), Brennfehler, Inportabilität, unvermaschte Netze (Ausfallsicherheit), sicherheitsgefährdende Sicherheitssoftware, Fehlen wichtiger Software, unzureichender Systembefehlssatz, Suche wichtiger Funktionstasten (i.a. F8), plötzliches Abhandenkommen bzw. Löschen von Dateien seitens unbekannter Stellen, unerwünschte Fernwartung, willkürliche Veränderungen diverser Grundeinstellungen und Konfigurationen, Erforderlichkeit einer Registry, Registry-Errors, Entarten und Verwaisen der Registryeinträge, (Kapazitäten beanspruchende) Zombies, Firmenwerbung, Rootkits, Popups, Ad- und Spyware, Onlineregistrierungen und Freischaltungen von Software, Spionagenetze, mangelnde Rückverfolgbarkeit des Weges über hier ganz besonders interessierende etwaige ausländische Knoten im Netz (tcptraceroute-Befehl siehe News&Links#Computer), DoS-Attacken, Click-Ping-Verfolgung, fehlender Schutz mit ABE, Surfverhalten abspeichernde und verbreitende Cookies und Third-Party-Cookies, (Browsereinstellungen auf Sitzungscookies oder keine Cookies erlaubt), Supercookies (LSO Flashobjekte, DOM Speicherobjekte, eBay Langzeitverfolgung), Auskunft gebende Browser-Chronik, ABE, Cross-side-scripting, Hijacking, bedenkliche Plugins, Spam (Spamassassin), Spameinträge (Captcha), Scam (fallvergleichende Datenbanken), Phishing (bookmarks, Lesezeichen, Favoriten, sequentielle Freigabe mit Privoxy-Trust, Zertifizierung der DNS), gefälschte Absenderadressen in E-mail (Deaktivieren des Browser-Caches, Header-Rückverfolgung im E-mail-Quelltext, Sender-ID, digitale Unterschriften durch digitale Signaturen: Mit Hilfe des öffentlichen Signaturschlüssels kann jederzeit festgestellt werden, wer der Urheber der Daten ist und ob die Daten während der Übermittlung verfälscht wurden), dnsflood (dnsflood-protection), Zensur (durch DNS-Server), DVD-/CD-Oberflächen-Fertigungsfehler wie unsere MS 98SE, Abspeicherungen u.a. des ISP und der IP auf DNS-Servern für weitere Auswertungen, nicht vertrauenswürdige Freemailer, Inhaltsänderungen des Webhosters (nicht vorhandene bzw. überlesene AGB), ausbleibende Lieferungen nach online-Bestellungen insbesonders bei zu niedrigem Streitwert oder Auslandslieferung, stark eingeschränkte Darstellung von Webseiten, Keylogger, in Webseiten integrierte Tracking- und Spionageskripte, unzureichende Benutzerhandbücher und fragwürdiger Kundensupport, Les- und Schreibbarkeit der Daten auf Festplatte durch fehlende, inkonkrete oder unvollständige Protokollierung (Changelog, Logbücher bzw. Logdateien, Unlesbarkeit der Logdateien, mangelnde Rotation portokollierender Logdateien (logrotate), undurchsichtige Programmfehler-Rückverfolgung (bug-tracer, strace Kommando, Start mit Terminal/Konsole), fehlende Updates begleitende Changelog, fehlende Markierung bzw. Freigabe der Software im Alpha- und Betastadium, Bedienungsfehler, Tempobremsen beim Surfen online oder auf Platte, beschädigte Festplattensektoren und Dateisysteme, Bedarf an Reparatursoftware, lange Reparaturzeiten für fehlerhafte und beschädigte Dateisysteme (größer als wenige Sekunden), kapazitative Restriktionen der Dateisysteme beim Kopieren, aufwendige Konfiguration des DSL-Internetzugangs, niedrige Bandbreiten bzw. Durchsatz, unfreiwillige Verbindungsabbauten, Protokollierung der Zeiten online, Identifikation über IP und/oder Useragent des Browsers, Suchmaschinen-Profiling, -Registrierungen, -Weiterleitungen, eindeutige UA-Browserkennung (siehe unser Online-Check) und/oder IP, statische IP-Adressen des neuen Adressraumes ipv6, Durchlauf riesengroßer Serverfarmen und Werbenetze, niedriges Suchmaschinenranking im Falle des Verzichts der Integration von Trackingskripten in Webseiten, Identitätsdiebstahl, Art außerprozessliche Urteilssprechungen und möglicher Weise lebenslängliche und unzulänglich begründete Verhängung von Vorstrafen (Cybermobbing), Wartung, natürliche Speicherverfallszeiten, Lahmlegen des Rechners (des Harddrives) durch Erhöhung der Anzahl "selbsttätiger" Schreiboperationen auf Festplatte, inergonomische Delays (Verzögerungszeiten und Waitstates zulasten des Prinzips des "all-at-once-by-mouseclick"), ausbleibendes Löschen u.a. temporärer Dateien, Zukleistern des Bildschirms in Comicsprache, unzureichende Dokumentierung des Quellcodes, Teiloffenlegung der Quellen über verschiedene Versionen (Changelog, diff), Bevormundung (Einstellungsmöglichkeiten, Ausgestaltbarkeit, Eigenwilligkeit, Verbote), stupide, langweilige Graphik und monotones Design (Vielzahl der Fenstermanager, 3D-Desktop
(Würfel und Metisse), Nutzung von gpl-Funktionen, eigenhändige Maßschneiderung, ...), Inkreativität der Anwender, Überforderung von Behinderten und Kindern (Fenstermanager wie LXDE und XFCE4, squid-guard, Eingabehilfen und andere Hilfsprogramme für Behinderte wie speech, mouse-tweaks und dasher, ...), Editoren (Programmieren) ohne Syntaxhighlighting, Fehlen sicherheitstechnische Tools umfassende Softwareentwicklungsumgebungen (IDE), Temperaturabhängigkeit und Luftfeuchtigkeit (SSD), Auf- und Abwärtskompatiblitätsprobleme, Abrauchen der CPU aufgrund Übertaktung, mangelnde Standardisierung von Verschlüsselungsmechanismen, Protokollen, Schnittstellen und Schichten (u.a. wissenschaftlich betriebene Kryptographie, Kommunikationsprotokolle, iptables, SQL, ...), uneinheitliche Hardwareschnittstellen (der Ansatz erfolgt hier bekanntlich über USB), komplizierte oder eigenwillige Handhabungen wie über Anordnungen in Menüs, Schaltflächen und -symbole, geheime Tasten, Sondertasten (Installation, Konfiguration und Bedienung), mangelnde Austauschbarkeit der Hardware (Sockelung des BIOS und Slots für Steckkarten), Einbruch, Diebstahl, Raub, Brand ( Bewegungs- oder Glasbruchmelder, Schließkontakte oder Brandschutzsysteme ), Manipulation von innen (passwortschutz, Verschluss, Babyphone, Bewegungsmelder, Lichtschranken, Chassis Intrusion Detection, Sperrschlösser, Verschlüsselung), Verschleiß, Probleme beim Drucken, Scannen, Faxen und Kopieren, Riß, Datenkabel-Zuleitung bei Flachbettscannern, unscharfe, unproportionale und fehlerhafte Monitordarstellungen, Eye-Movement-Recording, Fingerabdrücke auf dem Touchscreen, Maschinenschreiben ohne separate Tastatur, Bedarf an Ersatzteilen, die aufwendige Suche danach, belegte Hotlines, fehlende oder ungültige Kontaktadressen der Hersteller, Unantastbarkeit des Herstellers und Kundensupports (effektive Newsgruppen wie alt.linux.suse), Werkschließung, Insolvenz des Herstellers, Sprechstunden, Öffnungszeiten, Rechtsirrelevanz, Handeln unter Fahrlässigkeit und Vorsatz, Teil- und Vollhaftung, Auslandsklagen, Klagen gegen Giganten, Weiterreichung und Bezug fremder Kundendaten durch Aufkäufe und Übernahmen, Auf- und Zukaufware, dunkle Herkunft bzw. Quellen, unlauterer Wettbewerb, Rechtsschutz, Bedeutung als Arbeitgeber und Steuerzahler, Abmahnungen (disclaimer), online-Betrug (AGB), Risiken und Gefahren des Online-Bankings (Auszug von Banken formulierter sicherheitstechnischer Anleitungen), personalisierte Werbung, technische Rekonstruktion unerteilter Einzugsermächtigungen bzw. Lastschriften (möglicher Weise unter Einräumung einer nur kurzen Stornofrist), 1000-Watt-PC, <= 65-Watt-CPU, Herzschlag, Vereinnahmung der Wissenschaft durch Firmen mit inkonsistenten Produkten, Einarbeitungszeiten, hohe Schulungs-, Reparatur-, Betriebs- und Anschaffungskosten (über vom Arbeitgeber vorgenommene Abschreibungen wenige Jahre alter, aber trotzdem ergonomisch laufender Hardware), Abschreibungen, Kosten für Provider (LAN-Anschluss, WLAN-Access-points, UTMS von USB, Provider-Kostproben), Lizenzgebühren, Reaktion von Hersteller und Handel im Garantiefall (vertraglich vs. tatsächlich), Absaugerei im Netz, Ressourcenverschwendung, Entsorgungsprobleme (Papier- und CD/DVD-Schneider, Entsorgungsstellen, ...) ...


( ... schließlich im Westen Nix Niue ... )


... das Unmögliche möglich zu machen, mit diesem Exkurs auf mehr oder weniger einen Schlag alle (!) Probleme mit dem Computer loszuwerden, auch dauerhaft! Der Computer läuft dann mausklick-schnell (ohne Verzögerungen, "leichtläufig"), seelenruhig, absolut risikofrei und ohne irgendwas für ihn tun zu müssen, d.h. frei von Reparatur und Wartung! Andere Stellen außer Provider, Freemailer und gegebenenfalls samt FTP-Webhoster wissen noch nicht mal, ob Sie überhaupt einen Computer bzw. eine IP und DNS haben, geschweige welches Betriebssystem, welche Software und welche Dateien! Zunächst aber in roter Markierung Pressestimmen über weitere allgemeine sicherheitstechnische Bedrohungen. Noch mehr Warnungen und zwar aller Art können Sie unseren Linkseiten unter News&Links entnehmen:

Datenschutz
Windows 10: Deaktivierte Funktionen senden Daten an Microsoft
, http://www.pcwelt.de/news/Windows-10-Deaktivierte-Funktionen-senden-Daten-an-Microsoft-Datenschutz-9781744.html,

MS Windows: Raus aus dem Patch-Debakel: Kaputte Updates: So retten Sie Ihren Computer vor dem Super-Gau, Focus online, 27.02.2015, (weitere Einzelheiten hierzu können Sie auf unserer Linkseite unter Links in der Sektion Computer entnehmen, Anm., die Red.)

Hinzu kommt die Stellungnahme von prism.break.org mit der Entscheidung für die beiden erwähnten Alternativen: Recht behalten (Nachtrag vom 07.09.2013):

Überwachung des Internetknotens: DE-CIX verklagt BND, Tagesschau, 22.04.2015
Der BND wird sich wohl vor Gericht für seine Überwachung des Frankfurter Netzknotens DE-CIX verantworten müssen. Dessen Betreiber will ihn verklagen. Kritiker werfen aber auch der Regierung Tricksereien vor. Am DE-CIX werden etwa drei Terabit Daten pro Sekunde verarbeitet, das entspricht 600 CD-Roms. Zu den Kunden gehören praktisch alle großen Internetunternehmen, etwa die Deutsche Telekom, Vodafone und Verizon, weitere Einzelheiten siehe unter Links, Sektion "NSA, GHCQ & Co.".

In einer Reportage der Tagessschau vom 06.09.2013 habe Snowden nach die NSA dafür sorgen können, dass verbreitete Verschlüsselungssysteme bestimmte Schwächen aufweisen, die ein Ausspähen ermöglichten. So seien zusammen mit Partnern aus der Softwareindustrie Hintertüren in die Programme eingebaut worden. Auf diese Weise könnten Informationen abgegriffen werden, bevor der Nutzer sie verschlüssele und über das Internet verschicke, heißt es in den Berichten weiter. Zudem seien Supercomputer gebaut worden, um die verschlüsselten Codes zu entziffern. Das milliardenschwere NSA-Programm mit dem Codenamen "Bullrun" gehöre zu den größten Geheimnissen der Behörde. Nur sehr wenige Mitarbeiter hätten Zugang zu den Top-user-Informationen - und nur die Partnerbehörden in Großbritannien, Kanada, Australien und Neuseeland wüssten davon. Auch der britische Geheimdienst GCHQ sei beim Codeknacken sehr erfolgreich. Unter Links finden sie ein Sammelsurium mit weiteren darauf Bezug nehmenden Reportagen von tagesschau.de.

Tagesschau, 10.03.2014, Zitat Snowden: "Imfalle der Verschlüsselung von Hardware und Verbindungen fällt die Sammung der im Rahmen eines Proflings von Ihnen anfallenden Daten erheblich schwerer." Besten Beweis lieferten für ihn hierfür seine bislang vertraulich behandelten, eigens von ihm verschlüsselt per E-Mail übersandten Dokumente (die E-mail selbst lässt sich mit pgp-gpg sowohl inhaltlich verschlüsseln als auch über pop3s und smtpss (TLS) die für den E-mail-Verkehr aufgebaute Verbindung, Anmerkung, die Red.).

PC-WELT.de, 12.07.2016: "Mailvelope ist eine Browser-Erweiterung, die wie unter Kmail den Austausch verschlüsselter E-Mails unter Verwendung des Verschlüsselungsstandards OpenPGP ermöglicht. Bei einer Mail mit End-zu-End-Verschlüsselung wird die Mail auf Ihrem Rechner verschlüsselt und erst dann wieder entschlüsselt, wenn sie beim Empfänger angekommen ist. Der Schlüssel für das Entschlüsseln der Nachricht findet sich ausschließlich auf dem Empfänger-PC. Eine solche sichere Art der Verschlüsselung ist für das Mailen nicht weit verbreitet. Denn sie setzt das aufwendigere Schlüsselmanagement mit einem Paar aus öffentlichem und privatem Schlüssel voraus. Mithilfe des öffentlichen Schlüssels des Empfängers codieren Sie die Mail und er decodiert sie mit seinem privaten Schlüssel.

So gehts: Installieren Sie zuerst die Erweiterung in Ihrem Browser (Firefox, Chrome). Nach einem Neustart des Browsers erscheint die Erweiterung in der Symbolleiste als Icon. Importieren Sie im folgenden Schritt die öffentlichen Schlüssel Ihrer Kontakte ( bei uns Menüpunkt pgp-key aus dem Menü links oder erhältlich über die Angabe der Empfänger-E-Mail-Adresse von den von Mailvelope, kgpg und kleoptara aus abfragbaren Schlüsselservern Anm., Gooken) sowie Ihr eigenes Open-PGP-Schlüsselpaar. Wenn Sie noch kein eigenes Schlüsselpaar haben, erstellen Sie dieses mit Mailvelope. Klicken Sie für die Einrichtung auf das Mailvelope-Symbol und wählen Sie "Optionen -> Einrichten". Ein Assistent hilft auf der nächsten Seite sowohl beim Erstellen Ihres Schlüssels als auch beim Import von externen Schlüsseln.
Wollen Sie anschließend eine Mail verschlüsselt versenden, klicken Sie einfach wie gewohnt auf den Verfassen-Knopf im Browser. In dem Fenster für die neue Nachricht taucht nun auch ein Knopf für eine Mailvelope-Nachricht auf, den Sie anklicken. Dort verfassen Sie die zu verschlüsselnde Nachricht und fügen über "Verschlüsseln" einen Empfänger hinzu, für den Sie zuvor einen öffentlichen Schlüssel importiert hatten."

Browsen: Deshalb sollte man in der Adressleiste des Browsers immer vor dem Aufruf der Seite (manuell) von http:// auf https:// umschalten! Speichern Sie unter Lesezeichen nur verschlüsselte Seiten ab. Beachten Sie, dass dabei seitens des Webservers bzw. Webhosters leider nicht immer ein ssl-Zertifikat vorhanden ist!

OKWLAN-Router
Router-Sicherheitstest 2020: AVM, Asus & Co. im Vergleich
, PC-Magazin.de, 16.6.2020
Welchen Anteil haben verbreitete WLAN-Router am Schutz des heimischen Netzwerks und seiner Nutzer? PC Magazin und das Sicherheitslabor AV-Comparatives sind dieser Frage in einem umfangreichen Test nachgegangen.
https://www.pc-magazin.de/vergleich/router-sicherheitstest-2020-3201633.html

OKViele WLAN-Router von Sicherheitslücke bedroht: Nutzer sollten bestimmte Funktion besser abschalten, CHIP, 28.05.2020
IT-Spezialisten haben eine schwerwiegende Router-Sicherheitslücke entdeckt, die offenbar eine ganze Reihe von Netgear-Geräten betrofft. Über die Lücke können sich Angreifer unbemerkt Kontrolle über die Router verschaffen und dem Nutzer so manipulierte Updates unterjubeln. Wie Sie sich davor schützen können, lesen Sie hier. Worauf es beim Kauf eines neuen Routers ankommt, erklären wir Ihnen im Video.
Die Sicherheitsforscher des IoT-Labs der FH Oberösterreich sind auf eine eklatante Sicherheitslücke beim Netgear-Router Nighthawk R7000 gestoßen; offenbar sind auch viele weitere Modelle gefährdet. Das Problem: Der Router bezieht Firmware-Updates zwar verschlüsselt - dabei wird von den Geräten offenbar jedoch nicht das jeweilige Serverzertifikat geprüft. Dadurch ist es Angreifern grundsätzlich möglich, manipulierte Updates der Firmware auf dem Router zu installieren. So können sich die Cyber-Kriminellen potentiell Kontrolle über die Router der Nutzer verschaffen.
Sind einzelne Dateien beziehungsweise der Update-Server selbst gerade nicht verfügbar, kann es sogar dazu kommen, dass die Router bei der Installation gänzlich unverschlüsselte Protokolle nutzen, um die Updates zu installieren, was Angreifer ihre Attacken noch leichter durchführen lässt. Hinzu kommt, dass digitale Signaturen vor dem Update-Prozess nicht überprüft werden. Das führt dazu, dass die Router auch manipulierte Updates installieren, ohne dass dies vom Gerät erkannt wird. Sowohl der automatische Update-Prozess als auch das Update via Assistent im Web Interface sind offenbar von der Schwachstelle betroffen.
Eine offizielle Lösung seitens des Herstellers gibt es bisher nicht: Wie die Forscher der FH Oberösterreich schreiben, habe sich Netgear seit Ende Januar nicht mehr zu dem Problem geäußert, geschweige denn einen Work-Around via Update ausgerollt.
https://www.chip.de/news/Viele-WLAN-Router-von-Sicherheitsluecke-bedroht-Nutzer-sollten-bestimmte-Funktion-besser-abschalten_182735284.html

OKRouter-Sicherheit: Virenforscher warnt vor Angriffen über den Browser, Spiegel Online, 26.05.2015
Über manipulierte Websites lässt sich die Konfiguration diverser Router ändern, warnt ein Virenforscher. Weil die Geräte fortan Anfragen auf gefälschte Internetangebote umleiten, haben Kriminelle die Chance, Passwörter mitzuschneiden. Einmal falsch geklickt, schon macht der Router Ärger: Eine raffinierte neue Attacke nutzt die Schwachstellen gängiger Modelle aus, Unbekannte stellen dafür mit Schadsoftware verseuchte Webseiten ins Netz. Der unter dem Pseudonym Kafeine bekannte Sicherheitsexperte beschreibt auf seinem Blog das Problem, das mindestens 40 Modelle bekannter Hersteller gefährdet, darunter Geräte von Asus, Belkin, D-Link, Linksys, Netgear und Zyxel. Fritzbox-Router tauchen nicht auf der Liste auf. Die Angriffe, die Kafeine beobachtet hat, verlaufen nach folgendem Muster: Nutzer von Googles Chrome-Browser werden zu einem Server umgeleitet, der Schadcode enthält. Dieser versucht, das Router-Modell des Nutzers zu bestimmen, um dann die DNS-Einstellungen des Geräts zu ändern. Das Domain Name System, kurz DNS, wird oft als Adressbuch des Internet bezeichnet, denn es funktioniert ganz ähnlich: Gibt der Nutzer im Browser eine bestimmte Web-Adresse ein, geht die Anfrage an den Router, der dann mithilfe eines DNS-Servers die passende IP-Adresse nachschlägt. Gelingt es einem Angreifer, sich mithilfe eines manipulierten Adressbuchs in diese Kette zu schalten, kann er dem Router andere IP-Adressen unterjubeln und den Nutzer so auf gefälschte Websites lotsen. Kriminelle könnten etwa die Startseite einer Bank nachahmen, um die Log-in-Daten abzugreifen, die auf der gefälschten Seite eingetippt werden.Fast eine Millionen Zugriffe an einem Tag: Unbekannten Angreifern ist kürzlich offenbar eine solche Umleitung von Seitenaufrufen gelungen - und das massenhaft: Ein von Kafeine beobachteter DNS-Server konnte in diesem Monat bisher täglich rund 250.000 Zugriffe verzeichnen. An einem Tag - dem 9. Mai - waren es sogar fast eine Million Zugriffe, schreibt der Virenforscher. Die Angreifer gehen clever vor: Als sekundären DNS-Server nutzen sie Googles öffentlichen DNS-Dienst, was bedeutet, dass die Betroffenen auch dann Seiten erreichen, wenn der Server der Angreifer einmal den Dienst verweigert. Bemerkenswert ist, dass offenbar nicht nur Router gefährdet sind, deren Fernwartungsfunktion aktiviert ist. Der beschriebene Angriff erfolgt Kafeine zufolge durch eine sogenannte Cross-Site-Request-Forgery (CSRF), mit der ein Browser gezwungen werden kann, Aktionen auf fremden Webseiten auszuführen. Ziel des Angriffs ist die Administrations-Oberfläche des Routers. Auch wenn sie von der Fernwartung abgekoppelt und eigentlich nur im lokalen Netzwerk verfügbar ist, lässt sie sich attackieren, da Router im Gegensatz zu Internetseiten oft nicht gegen CSRF-Attacken geschützt sind, schreibt "Computerworld".

Wie kann man sich schützen?

Die von Kafeine veröffentlichte Liste betroffener Geräte ist vermutlich nicht vollständig. Nutzer sollten daher - unabhängig davon, ob ihr Router zu den genannten gehört - prüfen, ob die Firmware Ihres Routers auf dem neuesten Stand ist und sie gegebenenfalls aktualisieren. Die Cyberkriminellen machen sich mit diesem Angriff nämlich vor allem die Bequemlichkeit der User zunutze: Einen Router konfigurieren viele Nutzer nur einmal, danach kümmern sie sich nicht mehr darum. Wie wichtig regelmäßige Firmware-Updates gerade für diese Schnittstelle ins Internet sind, hat erst vor einigen Tagen die NetUSB-Lücke gezeigt.

OKPasswörter von 500.000 WLAN-Routern geleakt: Das sollten Nutzer jetzt unbedingt beachten, CHIP, 21.01.2020
FritzBox Firmware Update: So einfach geht die Aktualisierung
Hacker nutzen WLAN-Router und Server, um Botnets aufzubauen. Nun wurden die IP-Adressen und Passwörter von über einer halben Million Geräten frei zugänglich im Netz veröffentlicht. Doch es gibt Maßnahmen, die jeder Nutzer jetzt ergreifen kann. Zum Beispiel ein Update. Wie Sie Ihre Fritzbox am besten updaten, erklären wir Ihnen im Video.
https://www.chip.de/news/Passwoerter-von-500.000-WLAN-Routern-geleakt-Das-sollten-Nutzer-jetzt-unbedingt-beachten_179776444.html

OKRouter updaten: Bundesamt warnt vor Sicherheitslücken, PC-WELT.de, 07.01.2020
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Besitzer von D-Link-Routern vor einer Schwachstelle.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell die Bürger mit zwei technischen Sicherheitshinweisen der Risikostufe 3 und Risikostufe 4 vor Schwachstellen in WLAN-Routern des Herstellers D-Link. Die erste Schwachstelle ermögliche die Offenlegung von Informationen. Die zweite Lücke ermögliche das Ausführen von beliebigem Programmcode.
https://www.pcwelt.de/news/Router-updaten-Bundesamt-warnt-vor-Sicherheitsluecken-10732250.html

Typische Probleme am Router lösen, PC-WELT.de, 10.09.2019
Wenn selbst bei schnellem DSL Streams stocken oder Internettelefonate abbrechen, helfen die richtigen Einstellungen am Router.
https://www.pcwelt.de/a/typische-probleme-am-router-loesen,3449919

Kein Zugriff auf 192.168.1.1? So klappt das Router-Login, PC-WELT.de, 18.03.2019
Trotz Eingabe der IP-Adresse 192.168.1.1 oder 192.168.2.1 im Browser klappt das Router-Login nicht? Wir bringen Sie in 7 Schritten ins Router-Menü.
https://www.pcwelt.de/ratgeber/192-168-1-1-so-klappt-das-Router-Login-9638280.html

JonDoBrowser: Anonymer Firefox-Ersatz mit Macken, CHIP, 14.09.2012
Die JonDos GmbH wirft dem Firefox vor, immer mehr datenschutzschädliche Funktionen einzubauen. Deshalb haben die Entwickler jetzt den anonymen JonDoBrowser als kostenlose Beta veröffentlicht, http://www.chip.de/news/JonDoBrowser-Anonymer-Firefox-Ersatz-mit-Macken_57527151.html.

Jondofox - Firefox mit Kondom
Download von: http://www.heise.de/download/product/jondofox-58547/download
Eine Vorstellung von Sicherheitsbrowsern: erfolgt auf News&Links#Alternatives#The-Green-LED#BrowserCharts Der Pfad zu profiles ist ins Installationsscript von Jondofox ggfls manuell einzutragen: /home/surfuser/.mozilla/firefox. Die Intergration erfolgt abschließend mit dem Start von firefox. Nicht auf OpenSource fundierte Erweiterungen sollten dabei wie generell niemals installiert werden. Auch gilt https-everywhere wie gesagt nicht als unbedenklich.

Freak: "Freak"-Sicherheitslücke: Auch Windows betroffen, 06.03.2015,
Mit einem sogenannten "Freak"-Angriff wird es Dritten möglich, eigentlich geschützten Datenverkehr zu entschlüsseln und womöglich persönliche Daten mitzulesen. Diese Betriebssysteme und Browser sind betroffen.
Am vergangenen Dienstag wurden Informationen über die sogenannte "Freak"-Sicherheitslücke öffentlich gemacht. Durch diese können Dritte Daten aus eigentlich geschützten SSL-/TLS-Verbindungen abgreifen. Damit dies aber tatsächlich möglich wird, müssen bestimmte Kombinationen aus benutztem Webbrowser und verwendetem Betriebssystem gegeben sein. Grundsätzlich sind Android-, iOS-, Windows-Phone-, Windows-, Mac- und Linux-Nutzer gefährdet. Zum Ausnutzen der Lücke müssen zudem Webseiten mit einer geschwächten Verschlüsselung angesurft werden, wie


"freakattack.com"

berichtet. Dort finden Interessierte auch eine Auflistung der 10.000 beliebtesten betroffenen Websites. Zudem kann bei einem dortigen Test überprüft werden, ob die eigene Browser- und Betriebssystemkombination anfällig ist Wie dort auch berichtet wird, sollten Nutzer häufig nach Aktualisierungen für ihren benutzten Webbrowser suchen. Es sei zu erwarten, dass die verbreitetsten Browser auf diesem Wege schnell für eine Beseitigung der Lücke sorgen. Webseitenbetreiber werden zudem dazu aufgefordert, den Support von "TLS export cipher suites" möglichst schnell zu deaktivieren (weitere Berichte zum Thema "Freak" können Sie unserer Linkseite unter Links in der Sektion "Computer" entnehmen, Anm. die Red.)

Wie die Technik-Website "heise.de" berichtet, sind nach dem Stand von Donnerstagabend unter anderem folgende Browser betroffen: Android-Browser, Blackberry Browser, Chrome (Android, OS X), Dolphin (Android, iOS), iCab (iOS), Internet Explorer (Windows, Windows Phone), Mercury (Android, iOS), Opera/Opera mini (Android, iOS, Linux, OS X), Safari (iOS, OS X, Windows), UC Browser (Android).

Chrome (iOS, Linux, Windows), Firefox (Android, Linux, OS X, Windows), Opera (Windows) und Puffin (iOS) seien demnach allerdings sicher (und wie gewohnt Konqueror (Linux) gleich mit, Anm., die Red.).

In einem Interview der Tagesschau mit CCC aus dem Jahr 2014 verwies der CCC insbesonders auf Opensource als Mittel, die Verschlüsselung wie von E-mail nicht zu gefährden, wie durch gezielte Beimischung von Software zur Verschlüselung u.a. seitens NSA der Fall.

Internet-Gang raubt Banken eine Milliarde Dollar, Focus, 15.02.2015
So läuft ein Bankraub in der Internet-Ära: Eine Gang soll in Computersysteme von Kreditinstituten eingebrochen sein und sogar Kontostände manipuliert haben. Zudem hätten sie Geldautomaten beliebige Beträge auszahlen lassen können.

Focus pdf Datenschutz 2014: Antivirus-Programme versprechen Rundumschutz für den Computer und wollen das Surfen im Netz sicherer machen. Doch sie können nicht einmal die Hälfte aller Cyberangriffe abwehren.

Firefox-Erweiterung Ghostery anstelle Disconnect besitzt wie gesagt eine Funktion, um eine Zusammenfassung der geblockten Trackinginhalte an die Firma Evidon aus N.Y. zu senden, den Hersteller von Ghostery. Diese "Ghostrank" genannte Funktion ist standardmäßig bei der Installation nicht aktiv. Evidon gibt an, dass die Ghostrank-Daten nur anonymisiert übertragen werden. Trotzdem empfehlen wir zunächst, die Ghostrank-Funktion deaktiviert zu lassen.

Focus online - Datenschutz pdf 2015: Verseuchter Computer - Wenn mein Computer nicht mehr auf mich hört
Hersteller von Antiviren-Software geben mittlerweile ganz offen zu: Aufgrund der immer schnelleren Entwicklungszyklen von Viren, Würmern und Trojanern erkennen ihre Programme im Schnitt nur noch 40 bis 50 Prozent der aktuell kursierenden Schadsoftware! Der Computer kann schneller als Ihnen lieb ist zur Viren- und Spammail-Schleuder mutieren und damit zur Durchbrechung weiterer Sicherheitsbarrieren bei Dritten eingesetzt werden. Möchten Sie jemand dagegen gezielt schädigen oder aushorchen, kann er alle Hürden umgehen, indem er einfach einen USB-Stick in die Hand gibt. Nutzen Sie externe Laufwerke nur von Personen, denen Sie wirklich vertrauen. Ansonsten können Sie nur duch das Anschließen des Sticks ihre Windows-Firewall ganz entsorgen.

Beim normalen Surfen mit MS Windows und MAC, focus 31.08.2014
Gefahr im Internet: der unsichtbare Drive-by-Download
Infizierungen über Drive-by-Downloads sind besonders perfide. Während man vergnüglich im Internet surft, können Schädlinge über infizierte Webseiten - auch seriös wirkende Sites - auf den eigenen Computer geladen werden, ohne dass man selbst davon etwas mitbekommt. Was einfach klingt, ist technisch allerdings raffiniert umgesetzt: Bei Drive-by-Downloads werden Sicherheitslücken auf dem Rechner ausgenutzt. Der Infizierungsprozess erfolgt dann voll automatisch: Mit Hilfe von so genannten Exploit-Packs - einer Sammlung von Programmen, die Sicherheitslücken in legitimer Software auf Computern ausnutzen - werden Schadprogramme auf dem Gerät des Webseitenbesuchers installiert. Da die Angriffe selbst über den Browser laufen, nutzen Cyberkriminelle entweder Schwachstellen im Browser, in Ergänzungsmodulen zum Browser oder in Drittanbieter-Software, die vom Browser zur Bearbeitung geladen wird, wie beispielsweise PDF-Reader oder Flash-Player. Nutzer sollten vor allem auf das Programm Java achten, denn über 90 Prozent der von Kaspersky Lab im Jahr 2013 entdeckten Versuche zur Ausnutzung von Programm-Schwachstellen entfielen auf Oracle Java, ohne das komplexe Internetseiten im Browser nicht betrachtet werden können. Weitere Schwachstellenprogramme sind Windows- und Adobe-Produkte. Eine wichtige Rolle spielt auch das Zeitfenster der Infizierung. Wenn eine stark frequentierte Seite als Virenschleuder fungiert, wird die Infizierung meistens schneller bemerkt und vom Betreiber behoben. Mac-Nutzer aufgepasst! Mobile Nutzer auch? Für Cyberkriminelle haben sich Drive-by-Downloads vor allem im PC-Bereich als der beliebteste Verbreitungsweg von Malware etabliert. Aber auch der Mac bleibt nicht verschont. Rein zahlenmäßig existieren für Apple-Rechner im Gegensatz zu herkömmlichen PCs weit weniger Bedrohungen, dennoch gab es auch hier Beispiele für die hinterlistigste aller Cyberattacken . So konnte der Schädling Flashfake vor allem über Drive-by-Downloads weltweit mehr als 700.000 Macs infizieren. Drive-by-Downloads für Smartphones und Tablets sind in "freier Wildbahn" noch nicht aufgetaucht. Im vergangenen Jahr gab es zwar eine Machbarkeitsstudie für Android-Geräte, jedoch wurde der Code nicht veröffentlicht. Allerdings ist es nur noch eine Frage der Zeit, bis der Drive-by-Download auch mobil macht. Da beim Drive-by-Download keine aktive "Mithilfe" des Anwenders zur Infektion benötigt wird, läuft die Infektion komplett intransparent und automatisiert ab. Das macht es dem Anwender unmöglich, einen Drive-by-Download zu erkennen und abzuwenden, von FOCUS-Online-Experte Marco Preuss

Bericht von Nicolas Fennen, veröffentlicht am 11.06.2013 auf netzpolitik.org um 14:52h mit 51 Antworten:
Im Rahmen des PRISM-Programms hat der amerikanische Militärnachrichtendienst NSA direkten Zugriff auf die Server bestimmter Firmen, darunter Google, Facebook, Skype und Apple. Aber auch ohne direkten Zugriff auf Server lässt sich sagen, dass proprietäre Software generell anfälliger für Spionage ist als freie Software, da der Blick auf den exakten Code meist nicht möglich ist und so geheime Hintertüren im Code im Verborgenen bleiben.

prism-break.org: "Proprietäre Software setzt hundertprozentiges Vertrauen in den Anbieter voraus, weil gerade was sie angeht die Moral i.a. nicht die Verbreitung personenbezogener Informationen verhindert. Selbst wenn der Hersteller sich für Integrität verbürgt, weist proprietäre Software unveränderlich mehr Fehler und Sicherheitsschwächen auf, da vergleichsweise weniger Augen den Code überprüfen als bei Software aus offenen Quellen der Fall."

Wer den mit eigenem Werbeblocker versehenen und als sicher geltenden Opensource-Browser Konqueror (4.4.5/4.4.9)

nutzt, meidet auf Dauer Risiken anderer Browser und ihrer Plugins und Addons, indem man seinen Werbeblocker während des Surfens ähnlich wie das Firefox-Erweiterung AdblockPlus "trainiert". Aufgrund der Wirksamkeit der mit ihm gefällten sicherheitstechnischen Maßnahmen muss er für Bild-Wiedergaben angepasst werden: Anpassungen des Werbeblockers und der UA-Kennung erweisen sich hierfür ggfls als erforderlich.


SSL Certificate SHA-1 to SHA-2 Transition
Due to the discovery of vulnerabilities in the SHA-1 algorithm and the continual increase in computing power, the feasibility of breaking the SHA-1 hash will increase over time. Internet browsers and Certificate Authorities (CAs) have already started to phase out SHA-1 in favour of the new SHA-2 algorithm. However, recent announcements from Google about depreciating support for SHA-1 based certificates with an expiry date in 2016 or later means that you will have to take action now to make sure your SSL setup is not affected by the accelerated transition. This article offers you more information on how this will effect your SSL setup and how you can move to SHA-2 certificates. As of 2014, SHA-1 is still acceptable, but with the continual increase in computing power, the security of SHA-1 will become a concern in the future.
As your security partner, QualitySSL has already made SHA-256 the default hash algorithm for all new QualitySSL Certificates since September 2014.

Important Dates
As part of their SHA-2 migration plan, Google, Microsoft and Mozilla have announced that they will stop trusting SHA-1 SSL certificates. Google will begin phasing out trust in SHA-1 certificates by the end of 2014, while Microsoft and Mozilla will begin phasing out trust for SHA-1 certificates in 2016.
November 2014 - SHA-1 SSL Certificates expiring any time in 2017 will show a warning in Chrome 39.
December 2014 - SHA-1 SSL Certificates expiring after May 31, 2016 will show a warning in Chrome 40.
January 2015 - SHA-1 SSL Certificates expiring any time in 2016 will show a warning in Chrome 41.
January 1, 2016 - Microsoft ceases to trust Code Signing Certificates that use SHA-1.
January 1, 2017 - Mozilla Firefox and Microsoft ceases to trust SSL Certificates that use SHA-1.

SHA-2 Compatibility
The good news is that most commonly used operating systems, browsers, mail clients and mobile devices already support SHA-2. We have put together a compatibility list for known SHA-2 support, as there are some older operating systems such as Windows XP SP2 that do not currently support SHA-2.
The following list gives an overview of operating systems/browsers that currently support SHA-2:
Apple iOS 3.0+
Android 2.3+
Blackberry 5+
Internet Explorer 6+ (with Win XP SP3+)
Safari with Mac OS X 10.5+
Firefox 1.5+
Netscape 7.1+
Mozilla 1.4+
Opera 9.0+
Konqueror 3.5.6+
Mozilla based browsers sine 3.8+
OpenSSL 0.9.8o+
Java 1.4.2+ based products
Chrome 26+
Windows Phone 7+



OK Leistungsmerkmale: Konqueror (4.4.5/4.4.9/4.4.4/empfohlen: 4.3.5 (el6)) warnt vor gewissen Webseiten auf die Seine: Konqueror von David Faure, Simon Hausmann, Michael Reiher und um die 30 weiteren Autoren unterstützt die Internet-Standards. Ziel ist die vollständige Erfüllung offizieller Normen von Organisationen wie W3 und OASIS und die Unterstützung von de facto-Standards zur Benutzerfreundlichkeit, die im Internet entstanden sind. Neben Leistungsmerkmalen wie Webseiten-Symbolen (favicons), Webkürzel, Sprachübersetzung Babelfish und XBEL-Lesezeichen enthält Konqueror 4.4.5/4.4.9 auch die folgenden Funktionen: Surfen im Internet, unterstützte Standards, zusätzliche Anforderungen, auf DOM (Level 1, teilweise Level 2) beruhendes HTML 4.01, Cascading Style Sheets (CSS 1, teilweise CSS 2), ECMA-262 Edition 3 (entspricht ungefähr JavaScript 1.5), JavaScript ist global aktiviert, lässt sich aber deaktivieren, abgesicherte Java®-Unterstützung, JDK 1.2.0 (Java 2) kompatible VM (Blackdown, IBM oder Sun), Java hier global aktivieren, Netscape Communicator® Plugins (zur Anzeige von Flash®, Real®Audio, Real®Video usw.), secure Sockets Layer (SSL-Verschlüsselung) (TLS/SSL v2/3) für sichere Kommunikation bis 168-Bit OpenSSL und (wer will, alternativ) gnutls, bidirektionale Unicode-Unterstützung (16-Bit), automatische Vervollständigung für Formulare, Bildformate, Übertragungs-Protokolle HTTP 1.1 (einschließlich gzip/bzip2-Kompression), FTP und vieles mehr ... .

Ärgerlich nur, dass man ihn im Ggs. zu Firefox >= 6 nicht oder nicht so einfach über Info aus Menü auf den neusten Stand bringen kann ohne den Bedarf an weiten Dateien von KDE gleich mit, bzw. geht das denn, gleich 50 MB neustes kde-baseapps auf irgendeine Vorgängerversion?

Beachten Sie unsere Linkseite "wonderful Linux"; prism-break.org bringts 2014 auf einen Nenner: "Apple, Google und Microsoft sind mutmaßlich ein Teil von PRISM. Ihren proprietären Betriebssystemen kann hinsichtlich der Absicherung der persönlichen Daten vor der NSA nicht vertraut werden.

prismbreak.org: Bleiben uns zwei freie Alternativen: GNU/Linux und BSD.

GNU/Linux hat eine viel größere Gemeinschaft als BSD, um beim Wechsel und Austesten zugehöriger Programme zu helfen. Es empfiehlt sich die Suche nach einer geeigneten GNU/Linux-Distribution, die den Anforderungen entspricht."

PC-WELT.de, 19.10.2015: "BitBox BitBox ist ein Browser-in-the-Box - also eine virtuelle Umgebung um sicherer und komfortabler im Internet zu surfen. Die virtuelle Maschine mit getrenntem Webbrowser schützt Sie vor Gefahren. Beispielsweise der vom Antiviren-Spezialisten Comodo umgerüstete Chromium-Browser namens Comodo Dragon. Rein äußerlich ähnelt der Google Chrome, Dragon soll aber stabiler sein und dank Privacy Mode hartnäckige Cookies stoppen. Außerdem, verspricht Comodo, prüft Dragon SSL-Zertifikate genauer. Wer seinen Browser am liebsten ganz vom Rest des PCs abschotten mag, greift wohl eher zu BitBox - einem Browser-in-the-Box. Die Entwickler (hinter BitBox steht das Bundesamt für Sicherheit in der Informationstechnik BSI) haben ihren Browser in eine eigens angepasste Linux-Umgebung in einer virtuellen Umgebung gepackt. Linux hat einige Vorteile gegenüber Windows - unter anderem gibt es kaum Schädlinge für das kostenfreie Betriebssystem. Aus diesem Grund greifen Profis gerne auf Virtual Box zurück und installieren ein komplettes Linux - oft Ubuntu - in diese virtuelle Maschine. Das virtuelle Ubuntu nutzen Sie dann nur als Surfsystem oder sogar noch spezifischer nur zum Online-Banking. Einen Virenschutz benötigen Sie für Ubuntu übrigens nicht. Tipp: Der alternative Weg, um Ubuntu neben Windows zu installieren lautet Wubi.exe. Die kleine Datei installiert Ubuntu neben Windows auf der Platte. Beim Systemstart wählen Sie dann aus, welches System Sie starten möchten. Auf diese Weise benötigen Sie kein Virtual Box. "

Tagessschau, 11/2013: Auch Wikileaks sieht nach den jüngsten Enthüllungen noch Möglichkeiten für funktionierende Verschlüsselung. Man brauche freie und offene Software. Nicht jede Verschlüsselung sei sicher, nicht alle Firmen vertrauenswürdig. Wikileaks hoffe auf konkrete Gegenmaßnahmen. Zum Beispiel folgenden Anspruch: Wenn ein Anwalt am Telefon Vertraulichkeit haben wolle und kein verschlüsseltes Telefon benutze, dann solle das als fahrlässig gelten.

Pro MC-basierte SSD: "Eine Festplatte ist viel zu unsicher, um ihr Daten anzuvertrauen. Auch wenn sich seitdem bei den Speichermedien viel verbessert hat, wer hat noch nie davon gehört oder es - schlimmstenfalls - selbst erlebt; die Daten sind weg. Gründe dafür gibt es viele" (Quelle: poshtar@datensicherx.com, 13.05.2014)).

Tagesschau, 10.03.2014; (klarer Fall: alles spricht auch beim Desktop-PC für eine SSD, Anm., die Red.! Allerdings sollten auf der SSD mindestens 4GB Speicher frei gelassen werden, um ihre sehr schnellen Zugriffszeiten wie auch bei Magnetfestplatten der Fall nicht unnötig zu reduzieren)

Snowden: "Wenn Sie ihre Hardware und Ihre Netzwerkverbindungen verschlüsseln, dann wird es sehr viel schwerer, Ihre Daten in Massenüberwachungsprogrammen zu sammeln. Natürlich werden sie bei einer gezielten Überwachung weiterhin geknackt werden, aber vor ungezielter Massenüberwachung sind sie viel sicherer." Bester Beweis liefere die Geheimhaltung der Information seiner eigens von ihm übers Internet verschlüsselt versandten E-mail, von derem Inhalt heute noch nur der Empfänger wisse.

Stern.de, April 2014: Immer wieder werden Sicherheitslücken in der weitverbreiteten Flash-Player-Software von Adobe entdeckt. Cyberkriminelle haben eine Schwachstelle für Angriffe ausgenutzt. Dazu verwendeten sie eine Webseite mit speziell präparierten Inhalten, die dem Computer einen Trojaner unterjubelten. Mit diesem Trojaner wiederum waren die Kriminellen in der Lage, sensible Informationen wie Paßwörter und Kreditkartendaten auszuspähen. Adobe stuft die Sicherheitslücke als "kritisch" ein, das ist die höchste Warnstufe und rät zur Aktualisierung. Dasselbe gelte für Java.

Immer mehr Datendiebstahl, Tagesschau, 08.04.2014
Fälle von u.a. auf Sicherheitsschwächen in openSSL beruhrenden Datendiebstahl werden immer häufiger bekannt. Allein im vergangenen Jahr sollen nach einer Berechnung von IT-Sicherheitsexperten bei Online-Angriffen Daten von mehr als einer halben Milliarde Internet-Nutzer gestohlen worden sein. Dabei seien 552 Millionen Identitäten betroffen gewesen. Das sind nach Angaben einer Sicherheitssoftware-Firma rund sechs Mal mehr als 2012.

Einschub Identity Theft, Identitätsdiebstahl: Besonders negativ und (gezielt) rufschädigend können sich Fake-Accounts in sozialen Netzwerken auswirken. Die wichtigste präventive Gegenmaßnahme für Benutzer zu verhindern, dass andere Benutzer im Internet unter eigener Identität unterwegs sind, besteht neben dem Rechtsweg nach Focus PDF Datensicherheit in der Anlage eines eigenen, minimal mit sensiblen Daten beanspruchten Accounts (Kontos) in den davon verbreitetsten sozialen Netzwerken wie Facebook und Twitter, der in regelmäßen Abständigen zu entsprechenden Kontrollzwecken aufgesucht werden sollte.

Bei MS Windows kam es nach Focus online zum sogenannten Patch-Debakel, sprich kaputten Updates. Demnach war der Computer nach Einspielung von Updates vor dem Super-Gau zu retten, 27.02.2015, Bericht von Markus Mandau, hier klicken.

Ende Legende: Microsoft stellt Internet Explorer ein, Focus, 18.03.2015
Neuer Browser nach 20 Jahren: Ende Legende: Microsoft stellt Internet Explorer ein
Nach zwei Jahrzehnten ist Schluss mit einer Legende des Internets: Microsoft arbeitet derzeit an einem neuen Browser, der den Internet Explorer ablösen soll. Sein vorläufiger Name ist "Spartan" - und er soll mit dem Vorgänger nichts mehr zu tun haben.

Tagesschau, 28.04.2014: Sicherheitslücke im Microsoft-Browser
USA raten von Internet Explorer ab
In Microsofts Internet Explorer, Marktanteil über 50% (2012, Studie Web-Analysten von Net Applications), ist am Wochenende und weiter nach dem Zeitpunkt der Einstellung des Supports für XP (08.04.2014) eine (weitere) Sicherheitslücke entdeckt worden, die noch immer besteht. Die US-Regierung rät dazu, vorerst andere Browser zu verwenden. Auch AOL kämpft gegen Hacker - Millionen Nutzer müssen Paßwörter ändern. Die Schwierigkeiten in den Explorer-Versionen sechs bis elf seien so groß, dass Hacker enorme Schäden verursachen könnten, warnte das Heimatschutzministerium. Probleme seit dem Wochenende bekannt. Microsoft hatte am Wochenende die Probleme eingeräumt und arbeitet weiter daran, diese zu beheben. Die Schwachstelle besteht nach Angaben des Unternehmens aus einem fehlerhaft programmierten Zugriff auf den Speicher. Über eine präparierte Website, die die Nutzer mit dem Internet Explorer ansteuern, könnten sich Angreifer Zugang zum Rechner verschaffen, dort schadhafte Codes ausführen und möglicherweise sogar die Kontrolle über den Computer übernehmen. Die Schwachstelle wird bereits aktiv ausgenutzt. Die Sicherheitslücke ist die erste gravierende dieser Art, seit Microsoft Anfang des Monats die Unterstützung von Windows XP (Marktanteil 2012 über 50 % lt. .NetApplications) eingestellt hatte. Deshalb könnte sie auf PCs mit dem 13 Jahre alten Betriebssystem auch dann weiterbestehen, wenn Microsoft das Problem behoben hat.

Unter News&Links#Computer wird beschrieben, wie man den Internet Browser in MS Windows auf Basis einer umsonst zur Verfügung gestellten Debian-Sandbox absichern kann, Anm., Gooken.

Tagesschau, 31.07.2014: Bei USB-Sticks bedarf es zur Vermeidung des Auslesens sensibler Daten durch Ansteuerung des Microcontrollers (Prozessors) derzeit sicherlich noch der Einführung eines neuen Sicherheitsstandards, wie aus einem Bericht von der Linkseite unter Links hervorgeht. Bislang kann man auf diese Art alle Daten des fremden Rechners auslesen, auch Paßwörter und E-Mail-Inhalte oder andere Geräte wie die Webcam fernsteuern. Das Computer-Betriebssystem des fremden Rechners nimmt den Angriff nicht als Softwareattacke wahr, sondern glaubt, nur Tastenbefehle einer neuen Tastatur zu verarbeiten.

AOL schaltet US-Behörden ein: Auch der Internetkonzern AOL bekämpft zurzeit eine Sicherheitslücke - und hat nun die US-Bundesbehörden für eine Untersuchung eingeschaltet. Die Ermittlungen seien eingeleitet worden, nachdem immer mehr gefälschte E-Mails von AOL-Adressen verschickt worden seien, erklärte das Unternehmen. Es stehe bereits fest, dass sich Hacker Zugang zu den Daten einer "bedeutenden Zahl von Nutzern" verschafft und von deren Accounts E-Mails verschickt hätten. Den Angaben zufolge hackten Unbekannte die E-Mail- und Post-Adressen von AOL-Nutzern sowie deren Adressbuchkontakte. Auch verschlüsselte Paßwörter und verschlüsselte Sicherheitsfragen, die gestellt werden, wenn ein Nutzer sein passwort vergisst, seien gehackt worden. AOL gehe davon aus, dass diese Kontaktinformationen zum Versenden gefälschter Mails genutzt worden seien. Betroffen seien etwa zwei Prozent der E-Mail-Adressen von AOL. Das Problem mit gehackten Mail-Fächern besteht seit mindestens zwei Monaten.

Ton um Technologiekonzerne wird schärfer: US-Ärger über Chinas Regeln wächst, Tagesschau, 03.03.2014
China macht ausländischen Tech-Konzernen das Leben immer schwerer - vor allem US-Firmen. Wegen Sicherheitsbedenken bleiben sie bei Geschäften außen vor, ein Anti-Terror-Gesetz soll die Regeln verschärfen. Aus Washington kommt Widerstand.

Interview Tagesschau.de, 21.08.2014: "Betroffenen Unternehmen sollen Angriffe auf ihre IT-Systeme beim Bundesamt für Informationstechnik (BSI) melden. Was halten Sie von dieser Meldepflicht?", Schreiber, Berufshacker und Geschäftsführer der SySS GmbH: "Sie ist das Beste aus dem gesamten Entwurf. Wir haben eine Gefahr, von der wir nicht wissen, wie groß und wie gefährlich sie ist. Ich berate Unternehmen über das Vorgehen bei Sicherheitsvorfällen und ich weiß, welche Unternehmen bereits von Hackern besucht worden sind. Es gibt vermutlich kaum ein deutsches Unternehmen, das nicht schon gehackt worden ist. Aber es gibt keine zentralen Zahlen. Wir müssen wissen, wie groß die Gefahr ist, um ihr auch begegnen zu können. Die Vorfälle zu zählen und zu bewerten ist hier die einzig richtige Entscheidung. Es werden sich vermutlich viele Unternehmen melden. Ich fürchte, dass dabei rauskommt, wie sehr die deutsche IT-Infrastruktur in chinesischer Hand ist. Das Resultat ist dann, dass wir die Gefahr kennen und ihr entsprechend begegnen können. Das Problem bislang ist, dass man nicht darüber spricht. Stellen Sie sich vor, Sie sind Geschäftsführer einer großen Bank und müssen an die Presse gehen und sagen, chinesische Hacker haben Zugriff auf unsere Kontobewegungen. Dann schaden Sie doch ihrem Image, Sie kriegen keine Kunden mehr. Mir fehlt ein Aspekt, der in der Wirtschaft sehr üblich ist: Dass man sich gegen Cyberschäden versichern muss. Wenn ich ein Haus oder ein Auto habe, muss ich auch eine Versicherung abschließen. Versicherungen haben einen großen Charme: Sie können mit Risiken sehr gut umgehen, das können Behörden nicht. Ich fände es eine gute Ergänzung, wenn wir eine Versicherungspflicht gegenüber Schadensfällen im IT-Sektor hätten. Sie haben ein Betriebssystem auf dem Computer, das in den USA gepflegt wird, auch wenn es sich physikalisch in Europas Grenzen befindet. Wir brauchen ein europäisches Betriebssystem, eins für PC und eins für Smartphones. Da ist die Politik gefordert. Behörden könnten beispielsweise verboten bekommen, Betriebssysteme zu nutzen, die aus den USA ferngewartet werden. Weiter machen könnte man bei Ärzten. Wenn Sie eine Untersuchung haben, werden die Befunde meistens auf Windows-Systemen gespeichert. Jeden Monat werden diese von den USA aus upgedatet. Wir haben keine Ahnung, was dort mit den Daten passiert. Unsere Systeme sind nicht hundertprozentig unter unserer Kontrolle. Wir kommen in richtig viele Systeme rein. Wir kommen durch Firewalls, wir können Webshops knacken, Kundendaten ausspähen. Wir kommen in Banken und Versicherungen rein. Ich habe 35 festangestellte Hacker unter Vertrag, die nichts anderes machen als hacken."

( Wir sind wiedermal neugierig geworden. Herr Schreiber und all seine Mitarbeiter seien zum Hacken unseres Rechners zwecks Test der von uns hier vorgestellten Maßnahmen aus der Ferne eingeladen, versenkt wie unser Rechner nahe der " Microsoft-Armee" bzw. destruktiven Hardt-Höhe längst wäre.... Während der Installation von mdv-Linux 2010 stand er vor der von uns erst später im MCC unter Sicherheit vorgenommenen Einstellung der

OK Sicherheitsebene auf "3- secure- Serverbetrieb"

msec -f secure


und vor dem Setzen

allow_root_login = no


und insbesonders

allow_remote_root_login = no


OK in /etc/security/msec/level.secure mit Aktivierung über "msec -f secure" in /etc/rc.local (aufpassen, dass rc.local startet!) noch unter massiven Beschuss, als wolle man alles Mögliche lahmlegen, sie bis dahin zum Kunststück zu machen. Danach, nach Setzen von (und Überschreiben aller Dateien level.*)

ACCEPT_BOGUS_ERROR_RESPONSES=no
ACCEPT_BROADCASTED_ICMP_ECHO=no
ACCEPT_ICMP_ECHO=no

ALLOW_AUTOLOGIN=no
ALLOW_CURDIR_IN_PATH=no
ALLOW_REBOOT=yes
ALLOW_REMOTE_ROOT_LOGIN=no # Ein entfernter root-Zugang mittels sshd ist nicht möglich.
ALLOW_ROOT_LOGIN=no # chrooten ist untersagt! Auf einem Rettungsstift bzw. Rettungssystem bedarf es bei LUKS-verschlüsselter Partition des Befehls cryptsetup, den Wert auf "yes" zu setzen, um sich per Terminal ins vorliegende System wieder als Superuser root erstmals einloggen zu können. Selbst wenn die Passwörter bekannt sind, gibt es bei konsequenter Anwendung von Linfw3 und Beachtung weiterer der hier aufgefürhten Punkte bald unseres Wissens keinen Zugang von außen mehr, schlimmstenfalls nur sehr eingeschränkten und nur auf letztlich unbedeutende Daten!
ALLOW_SUDO_TO_WHEEL=no
ALLOW_USER_LIST=no
ALLOW_XAUTH_FROM_ROOT=no
ALLOW_XSERVER_TO_LISTEN=no
ALLOW_X_CONNECTIONS=no
AUTHORIZE_SERVICES=no
BASE_LEVEL=secure
CHECK_CHKROOTKIT=yes
CHECK_FIREWALL=manual
CHECK_GROUPS=yes
CHECK_ON_BATTERY=no
CHECK_OPEN_PORT=no
CHECK_PASSWD=yes
CHECK_PERMS=daily
CHECK_PERMS_ENFORCE=yes
CHECK_PROMISC=manual
CHECK_RPM_INTEGRITY=manual
CHECK_RPM_PACKAGES=manual
CHECK_SECTOOL=manual
CHECK_SECTOOL_LEVEL=4
CHECK_SECURITY=yes
CHECK_SGID=yes
CHECK_SHADOW=yes
CHECK_SHOSTS=manual
CHECK_SUID_MD5=yes
CHECK_SUID_ROOT=yes
CHECK_UNOWNED=yes
CHECK_USERS=yes
CHECK_USER_FILES=manual
CHECK_WRITABLE=yes
CREATE_SERVER_LINK=no
ENABLE_AT_CRONTAB=yes
ENABLE_CONSOLE_LOG=no
ENABLE_DNS_SPOOFING_PROTECTION=yes
ENABLE_IP_SPOOFING_PROTECTION=yes

ENABLE_LOG_STRANGE_PACKETS=yes
ENABLE_MSEC_CRON=yes
ENABLE_PAM_ROOT_FROM_WHEEL=no
ENABLE_PAM_WHEEL_FOR_SU=yes
ENABLE_PASSWORD=yes
ENABLE_STARTUP_MSEC=yes
ENABLE_STARTUP_PERMS=enforce
ENABLE_SULOGIN=no
EXCLUDE_REGEXP="*root* *.gpg *.asc"
FIX_UNOWNED=yes
IGNORE_PID_CHANGES=no
LOG_RETENTION=4
MAIL_EMPTY_CONTENT=no
MAIL_USER=root
MAIL_WARN=no
NOTIFY_WARN=yes
PASSWORD_HISTORY=4
PASSWORD_LENGTH=8,1,1
ROOT_UMASK=077
SECURE_TMP=no
SHELL_HISTORY_SIZE=100
SHELL_TIMEOUT=600
SYSLOG_WARN=yes
TTY_WARN=yes
USER_UMASK=077
WIN_PARTS_UMASK=077


ist bis dato ausgesprochen Ruhe, keine Vorfälle, keine Bluescreens, keine Störfälle, nichts: bereits mit der Installation von Anfang an vorzunehmen! Um sie zu wahren, haben wir noch auf eine Protokollierung der Hackerangriffe mit bis zu fünf Intrusion-Attempts pro Sekunde durch ihre Deaktivierung in Linfw3 teilweise verzichtet. Bildschirm über Meldungen von kwrited und Protokolldatei wären proppenvoll. Auch die Anzahl der Spam pro Tag lag zeitweise bei über 50, Anm. Gooken ). Einmal "msec secure" eigegeben bzw. in MCC ausgewählt ... und schon steht der Suneater weitgehend außen vor!

OK /etc/rc.local # sh /etc/rc.local from any runlevel-init-script within /etc/init.d/:
#!/bin/sh
#
### BEGIN INIT INFO
# Provides: rc.local
# X-Compat-Mode
# Default-Start: 2 3 4 5
# Short-Description: Local initialization script
# Description: This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don´t
# want to do the full Sys V style init stuff.
### END INIT INFO
sysctl -p /etc/sysctl.conf
echo 1 > /sys/devices/system/cpu/microcode/reload #
# 1 SSD-Optimierung
#
hdparm -W1a0A0 /dev/sda
echo deadline > /sys/block/sda/queue/scheduler
echo 500 > /proc/sys/vm/dirty_writeback_centisecs
echo 20 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_ratio
touch /var/lock/subsys/local
#
# 2 Services / Dienste
#
# sh /etc/init.d/incrond start # IDS Intrusion Detection Access Detection
# sh /etc/init.d/noflushd start
# gpg-agent --daemon --use-standard-socket
# dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 & sh /etc/init.d/rsyslog start # or better by chkconfig --add rsyslogd (if present)
sh /etc/init.d/xfs start
#sh /etc/init.d/psad start
# artsd&
# acpid&# better deinstall root-process acpid as hald (pclos) already does its function!
# killall plymouthd
# export RESOLV_HOST_CONF="/etc/hosts"
# atieventsd
# dhclient -4 -cf /etc/dhcp/dhclient.conf eth0 &
# NetworkManager --log-level=ERR
# preload
# ifup eth0
# acpid&
# dnssec-triggerd
# unbound -dv -c /etc/unbound/unbound.conf
# cat /proc/sys/net/ipv4/tcp_congestion_control
# ls /lib/modules/´uname -r´/kernel/net/ipv4/
modprobe tcp_cubic
modprobe sch_fq_codel
# modprobe tcp_bbr
echo cubic > /proc/sys/net/ipv4/tcp_congestion_control
macchanger --mac=ac:97:b8:bb:0c:cc eth0
echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects # echo or ( better ) within /etc/sysctl.conf "net.ipv4.conf.all.secure_redirects=1" and so on:
echo 0 > /proc/sys/net/ipv4/conf/all/shared_media
echo 1 > /proc/sys/net/ipv4/conf/eth0/secure_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/shared_media
# tcpd &
# sh /etc/init.d/xfs start
# sh /etc/init.d/psad start
# paxctld -c /etc/paxctld.conf -d -p /var/run/paxctld
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 192.168.178.1 -l --tcp-port 443 /dev/null
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 208.67.222.222 --tcp-port 443 -l /dev/null
# dnscrypt-proxy --daemonize --user=pdnsd --local-address 127.0.0.2:53 -r 213.73.91.35 --tcp-port 443 -l /dev/null
# speechd
auditctl -e0
chkstat --set --no-fscaps /etc/permissions
chkstat --set --no-fscaps /etc/permissions.secure
chkstat --set --no-fscaps /etc/permissions.local
#
# 3 securityfs mounten
#
mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2
#
# 4 apparmor - protection shield for kernel, dbus and apps # mehr dazu u.a. auf https://wiki.kairaven.de/open/os/linux/apparmor #
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.firefox &# mehr dazu u.a. auf https://wiki.kairaven.de/open/os/linux/apparmor_firefox
#apparmor_parser -af /etc/apparmor/profiles/extras/sbin.dhclient &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.bin.man &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.bin/passwd &
#apparmor_parser -af /etc/apparmor/profiles/extras/usr.lib.firefox.sh &
# /usr/lib64/apparmorapplet&
apparmor-dbus&
#
# 5 msec (MCC) - Sicherheitsoptionen
#
echo "ALLOW_REBOOT=yes"
echo "BASE_LEVEL=secure" >> /etc/security/msec/security.conf
echo "ENABLE_STARTUP_MSEC=yes" > /etc/security/msec/security.conf
echo "ENABLE_STARTUP_PERMS=enforce" > /etc/security/msec/security.conf
msec -f secure
#
# 6 ACL for X-Windows
#
xhost -
xhost +si:localuser:user
xhost -si:localuser:root
xhost -si:localuser:toruser
xhost -si:localuser:surfuser
xhost -inet6:user@
xhost -nis:user@
xhost - 192.168.178.1
sh /etc/init.d/mount-disabled start # set kernel.modules_disabled=1 after 600 seconds
rm -df /home/surfuser/.Xauth*.* rm -df /home/surfuser/.xauth* rm -df /home/toranonym/.xauth* rm -df /home/toranonym/.Xauth*.* rm -df /home/user/.kde4/share/apps/kmail/mail/Spam/cur/* rm -df /var/spool/cups/a* rm -df /var/spool/cups/b* rm -df /var/spool/cups/c* rm -df /var/spool/cups/a*
rm -df /var/spool/cups/b*
rm -df /var/spool/cups/c*
rm -df /var/spool/cups/d*
rm -df /var/spool/cups/e*
rm -df /var/spool/cups/f*
rm -df /var/spool/cups/g*
rm -df /var/spool/cups/h*
rm -df /home/surfuser/.xauth*
rm -df /home/toruser/.xauth*
rm -df /home/user/kde4/share/apps/kmail/mail/Spam/cur/*
exit


OK Unixboard.de: "Sorge dafür, dass Systemuser keine Shell mehr haben ( alle Systemuser einschließlich mysql, uuid und aktueller User, aber je nachdem (meist) noch ohne User root (root bei el6 erst ab Jahr 2026) und ohne unseren User surfuser, indem alle anderen Benutzer in /etc/passwd von /bin/bash auf /sbin/nologin gesetzt werden, Anm., Gooken. Beachte: Terminals arbeiten danach nicht mehr außer das wohl umfassendste und wie beschrieben in /etc/fstab reservierte namens Konsole und die sechs großen Screen-Terminals vor dem jeweiligen Einloggen CTRL+ALT+F1-F6, F7; Konsole ermöglicht natürlich weiterhin auch den Zugang (Login) für den Superuser root ). Sollte eine Einstellung des Zugriffs nicht mehr mit dem Terminal möglich sein, gehe den Weg über MCC (Benutzerkonten aus der Systemkonfiguration), die Shell-Login-Eigenschaft für einzelne Systembenutzer wieder auf /bin/bash zurückzusetzen.

OK Installiere die hardened-Pakete, sichere Server-Tools korrekt ab und sorge dafür, dass nach außen nur Services erreichbar sind, die auch erreichbar sein müssen. Setze dann korrekte Limits in der limits.conf, patche den Kernel mit einem Stack-Smashing-Guard und das System ist ausreichend gesichert. Wenn du ganz paranoid bist, setzt du noch ein IDS ein, das unliebsamen Traffic ausfiltert (z.B. Traffic, der NOPs oder Shellcodes enthält, der nicht mit dem angeprochenen Protokoll korrespondiert etc.). Dann noch Tripwire oder AIDE rauf, um änderungen im Dateisystem zu merken und regelmäßige Checks der Dateien. SSH-Login begrenzt du natürlich auf Key-Authentifizierung und mittels ACLs (SELinux, tomoyo oder acl, Anm., Gooken) sorgst du dafür, dass User nur die Daten sehen können, die sie auch nutzen müssen. Temp-Verzeichnisse des Webservers mountest du mit noexec (Option noexec in /etc/fstab hinzufügen), so dass über den Webserver keine Programme eingeschleust werden können, selbst wenn es in CGI-Skripten Fehler gibt, die sowas ermöglichen könnten. Dass die CGI-Skripte selbst nicht auf Dateien ausserhalb des DocumentRoot zugreifen können sollten, versteht sich eigentlich von selbst und ist Aufgabe der Skripte. Um z.B. auf Directory-Traversal-Lücken und ähnliche typische Lücken zu prüfen, kann man ja Skipfish u.ä. nutzen, bevor die Skripte auf dem Server landen. Fertig ist ein einigermaßen gut gesicherter Server. Solange der Linux-Kernel aber ständig neue Sicherheitslücken offenbart, wirst du eine Kiste mit Linux eh nie wirklich sicher bekommen. Daher sind "schnelle" Updates das A und O bei einem Server.

Wenn ein Hacker erstmal eine Shell auf dem Server bekommen hat, ist eh meist alles verloren. Da hilft auch eine chroot-Umgebung nichts mehr. Erspar dir also lieber die Mühe und nutze die Standards für Server-Sicherung.

Natürlich sollte ein root-Login via SSH nicht direkt möglich sein. Das versteht sich aber eigentlich von selbst. Die Dummheit von Usern, wie z.B. das Verlieren von SSH-Keys, kann man nie wirklich ausschliessen. Das sollte aber kein Grund sein, Bruteforce-Möglichkeiten wie einen Passwort-Login beim SSH aufzumachen, wenn du schon so paranoid bist. Im übrigen ist mir kein anständiger Webhoster bekannt, der seinen Usern einen Shell-Zugang bietet. Jene Hoster, die Shell-Accounts bieten, verwenden zumindest eine restricted Shell, die nur den Aufruf bestimmter Befehle ermöglicht. Die Rechtevergabe im Dateisystem wird dann über ACLs gemacht. Wenn du sicherstellen willst, dass Webskripte nicht an ein Systemverzeichnis kommen, solltest du den Webserverprozess chrooten, aber nicht alle User. Du könntest ihn auch in einer VM laufen lassen, woraus man wesentlich schwieriger als aus einem chroot ausbrechen kann. Alternativ verwendest du SELinux und schränkst dann über Rollen die Rechte ein. Damit kannst du dann auch ganz "einfach" dafür sorgen, dass der Webserver auch keine Programme aufrufen kann. Für solche Anwendungsfälle wurde es ja schliesslich gemacht.

[...] Eine kleine Ergänzung noch zu den sehr, sehr sinnvollen Hinweisen von bitmuncher: Eine Möglichkeit der Isolierung bietet zum Beispiel OpenVZ. Hierbei kannst du für jeden User eine virtuelle Instanz aufsetzen. Da nur das Betriebssystem virtualisiert wird, ist der Overhead mit ca. 2% sehr gering. Es gibt eine Reihe ähnlicher Techniken, aber mit OpenVZ arbeite ich, daher kenne ich die anderen, aktuellen nicht so genau. Für Webhosting wäre es dann zum Beispiel sinnvoll, einen Server, der als Reverse-Proxy fungiert einzusetzen. Nachteil ist natürlich, dass du n+1 Webserver laufen lassen müsstest. Ob das unbedingt Apache ist oder eine der leichtgewichtigeren Alternativen steht auf einem anderen Blatt. Ich nutze im Moment lighttpd + fastCGI PHP, wobei die PHP-Instanzen jeweils mit einem eigenen User laufen. Vergleichbares bietet Apache natürlich auch. Und insgesamt ist mir die Konfiguration vom Apache eingängiger. Ich bin allerdings auch mit der aufgewachsen.
EDIT: Gerade gesehen, bitmuncher hatte es schon am Rande angeschnitten."
http://www.unixboard.de/threads/linux-kernsystem-absichern-durch-chroots-und-gute-rechtevergabe.46522/

OKSystem- und Benutzerkonten sollten gesperrt und mit einem Passwort versehen sein und

OKviele, wenn nicht die meisten unbenutzten Konten aus /etc/passwd lassen sich sperren: MCC->Benutzerverwaltung-> Benutzer bearbeiten -> Registerkarte Sperren oder per Terminalkommando:

passwd -l user

bzw.

passwd -u user

alle Benutzer außer surfuser und toruser

Benutzer user lässt sich also ebenfalls sperren, wenn er über den KDE-Anmeldemanager immer automatisch in KDE eingeloggt wird. Nachteil: Die Bildschirmsperre lässt sich danach nicht mehr aufheben. user lässt sich aber mit /sbin/nologin versehen.

OK Nun gilt es, außer für surfuser (und toruser) sämtliche Konten mit Passwort und den Login /sbin/nologin zu versehen und au&slig;er Konto root zu sperren. Hierfür ist Benutzerverwaltung aus MCC zu wählen, auf den Benutzer zu klicken und ein Haken an entsprechender Stelle "Sperre Benutzerkonto" zu setzen, alternativ mit entsprechendem Befehl manuell übers Terminal. Will man mit Tor anonym surfen, muss der Login für toruser auf /bin/bash gesetzt sein. In diesem Fall kann auch surfuser mit /sbin/nologin verbunden und/(oder) gesperrt werden. Sogar der aktueller Benutzer (man selbst, in unserem Beispiel user) kann je nach Einstellung von pam.d gesperrt. werden.

cat /etc/passwd # ( damit nicht zulasten der Funktionstüchtigkeit des Drucker-Programms cups ist mit den folgenden Einstellungen ein wenig Vorsicht geboten!):


root:x:0:0:root:/root:/sbin/nologin # "Versenkter Terminal-Root-Login" - allen entkommen(!), olala, toll, ..., wohlgemerkt: ein Rücksetzen auf /bin/bash kann nur über die Benutzerverwaltung von MCC oder nach Mount per USB-Rettungsstift und desgleichen mit Rücksetzen in /etc/passwd erfolgen.
toruser:x:506:504:torgroup:/home/toruser/sbin/nologin # Für die Benutzung des Tor-Browsers ist natürlich von /sbin/nologin wieder auf /bin/bash zurückzusetzen. Starten Sie den Tor-Browser und ggfls. auch andere Online-Programme als User toruser mit Gruppe torgroup, alle weitere Programme zusätzlich unter firejail-Option "shell none" innerhalb der Konfigurationsdatei aus /etc/firejail. Zumindest der Browser und ftp-Clienten (ftp, sftp, ...) sollte mit Sicherheit aber weiterhin mit Benutzer surfuser und Gruppe surfgruppe gestartet werden. Das Einstellen des Shell-Zugriffs lässt sich wie gesagt statt übers Terminal am besten über MCC (die Systemkonfiguration) im Teil Benutzerverwaltung durchführen. Sollte Firefox nicht ordnungsgemä&slig; laufen, verzichte man bis zur gelungenen Rekonfiguration Firejails auf dessen Start: Start ohne Firejail ! In diesem Fall empfehlen wir das von uns u.a. für Firefox, Konqueror und kmail vorkonfigurierte Firejail firejail-0.9.50-1-etc-tested-pclos2017.x86_64 für aktuelle firejail-0.9.52-1 (pclos2017) aus unserer Sektion Updaten
Wie genau nun der Onion-Router- und Browser Tor mit zugehörigem Benutzerkonto unter Linfw3 zu installieren und einzurichten ist, erfahren Sie hier (bitte hier klicken).

# Nun wird alles außer surfuser (und je nach Regelung in pamd für den automatischen Desktop-Login auch der (jeweilige) normale user, hier namens toruser)auf /sbin/nologin gesetzt (falls noch nicht gesperrt, dann ggfls.: zusätzlich): MCC oder nano /etc/passwd:
bin:x:1:1:bin:/bin:/sbin/nologin
-1:x:-1::::/sbin/nologin# alle unbekannten Benutzer blocken (sie oder Programme mit Programmfehlern könnten sich gerade einloggen. Sollte sich das Arbeitstempo des Computers dabei verlangsamt haben, lags daran!)
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/sbin/nologin
shutdown:x:6:0:shutdown:/sbin:/sbin/nologin
halt:x:7:0:halt:/sbin:/sbin/nologin
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/var/spool/news:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/var:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
nobody:x:65534:65534:Nobody:/sbin/nologin
polkituser:x:16:16:system user for policykit:/sbin/nologin
haldaemon:x:17:17:system user for hal:/sbin/nologin
user:x:501:501:user:/home/user:/sbin/nologin
mysql:x:71:71:system user for mysql:/var/lib/mysql:/sbin/nologin
clamav:x:72:72:system user for clamav:/var/lib/clamav:/sbin/nologin
surfuser:x:500:500:surfuser:/home/surfuser:/bin/bash
uuidd:x:20:0:uuidd:/home/uuidd:/sbin/nologin
anonymous:x:510:504:anonymous:/home/anonymous:/sbin/nologin
user:10000:10000:user:/home/user:/sbin/nologin# does not work on mdv-USB-stick, so set /bin/bash
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
popa3d:x:93:93:system user for popa3d:/var/empty:/sbin/nologin
toruser:x:415:415:system user for tor:/:/sbin/nologin
openvpn:x:420:421:system user for openvpn:/var/lib/openvpn:/bin/true
ossec:x:82:114:system user for ossec-hids:/var/lib/ossec:/sbin/nologin
usbmux:x:90:90:system user for usbmuxd:/proc:/sbin/nologin

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
sync:x:5:0:sync:/sbin:/bin/sync
messagebus:x:13:101:system user for dbus:/sbin/nologin
avahi:x:14:102:system user for avahi:/var/avahi:/sbin/nologin
avahi-autoipd:x:15:103:system user for avahi:/var/avahi:/sbin/nologin
rpm:x:18:18:system user for rpm:/var/lib/rpm:/sbin/nologin
tkit:x:19:107:system user for rtkit:/proc:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
htdig:x:70:108::/var/lib/htdig:/sbin/nologin
postfix:x:73:73:system user for postfix:/var/spool/postfix:/sbin/nologin
apache:x:74:74:system user for apache-conf:/var/www:/sbin/nologin
gdm:x:75:75:system user for gdm:/var/lib/gdm:/sbin/nologin
halevt:x:76:76:system user for halevt:/var/lib/halevt:/sbin/nologin
mpd:x:77:81:system user for mpd:/var/lib/mpd:/sbin/nologin
saned:x:78:78:system user for saned:/home/saned:/sbin/nologin
squid:x:79:79:system user for squid:/var/spool/squid:/sbin/nologin
prelude-manager:x:80:112:system user for prelude-manager:/var/lib/prelude-manager:/sbin/nologin
vdr:x:81:113:system user for vdr:/var/lib/vdr:/bin/nologin
ossec:x:82:114:system user for ossec-hids:/var/lib/ossec:/sbin/nologin
dansguardian:x:83:115:system user for dansguardian:/var/lib/dansguardian:/sbin/nologin
torrent:x:84:84:system user for bittorrent:/var/lib/bittorrent:/sbin/nologin
mythtv:x:85:85:system user for mythtv:/var/lib/mythtv:/sbin/nologin
freevo:x:86:86:system user for freevo:/usr/share/freevo:/sbin/nologin
gnump3d:x:87:87:system user for gnump3d:/var/cache/gnump3d:/sbin/nologin

partimag:x:88:117::/home/partimag:/sbin/nologin
torrent:x:84:84:system user for bittorrent:/var/lib/bittorrent:/sbin/nologin
audit:x:404:404:RSBAC security auditor:/dev/null:/sbin/nologin
firebird:x:418:418:system user for firebird:/var/lib/firebird/data:/sbin/nologin
usbmux:x:90:90:system user for usbmuxd:/proc:/sbin/nologin
asterisk:x:91:91:system user for asterisk:/var/lib/asterisk:/sbin/nologin
ups:x:92:92:system user for nut:/var/state/ups:/sbin/nologin
boinc:x:421:422:system user for boinc-client:/var/lib/boinc:/sbin/nologin
postgres:x:399:399:system user fo postgresql8.4:/var/lib/pgsql:/sbin/nologin
rrdcached:x:398:398:system user for rrdtool:/var/lib/rrdcached:/sbin/nologin
puppet:x:397:397:system user for puppet:/var/lib/puppet:/sbin/nologin
smolt:x:393:393:system user for smolt:/usr/share/smolt:/sbin/nologin

clam:x:388:498:Clam Anti Virus Checker:/var/lib/clamav:/sbin/nologin
znc:x:387:497:Account for ZNC to run as:/var/lib/znc:/sbin/nologin
toranon:x:386:496:TOR anonymizing user:/var/lib/tor:/sbin/nologin
icecast:x:385:385:icecast streaming server:/usr/share/icecast:/sbin/nologin
munge:x:383:494:Runs Uid ´N´ Gid Emporium:/var/run/munge:/sbin/nologin
nm-openconnect:x:382:493:NetworkManager user for OpenConnect:/:/sbin/nologin
zabbix:x:381:492:Zabbix Monitoring System:/var/lib/zabbix:/sbin/nologin
ident:x:98:491::/:/sbin/nologin
unbound:x:380:490:Unbound DNS resolver:/etc/unbound:/sbin/nologin
cacti:x:379:379::/usr/share/cacti:/sbin/nologin
pulse:x:378:488:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
dockerroot:x:172:172:Docker User:/var/lib/docker:/sbin/nologin
amandabackup:x:33:6:Amanda user:/var/lib/amanda:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
clam-update:x:171:483:clamav-unofficial-sigs user account:/var/lib/clamav-unofficial-sigs:/sbin/nologin
vtl:x:170:481:VTL daemon:/opt/mhvtl:/sbin/nologin
chilli:x:208:208::/usr/share/chilli:/sbin/nologin
usbmuxd:x:501:100:usbmuxd:/home/usbmuxd:/sbin/nologin
vnstat:x:207:207:vnStat user:/var/lib/vnstat:/sbin/nologin
ez-ipupd:x:201:480:Dynamic DNS Client:/var/cache/ez-ipupdate:/sbin/nologin
ricci:x:140:140:ricci daemon user:/var/lib/ricci:/sbin/nologin
qemu:x:502:100:qemu:/home/qemu:/sbin/nologin
luci:x:141:141:luci high availability management application:/var/lib/luci:/sbin/nologin
lighttpd:x:499:479:lighttpd web server:/var/www/lighttpd:/sbin/nologin
zope:x:94:94:system user for zope:/var/lib/zope/default:/sbin/nologin
fax:x:95:95:system user for mgetty:/var/spool/fax:/sbin/nologin
ntp:x:96:96:system user for openntpd:/var/empty:/sbin/nologin

secoff:x:400:400:RSBAC security officer:/secoff:/sbin/nologin
audit:x:404:404:RSBAC security auditor:/dev/null:/sbin/nologin
redis:x:505:508:redis:/home/redis:/sbin/nologin
...


OK chkstat von permissions (OpenSuSE 13.2) und msec (rosa2014.1, mdv2010.2) in /etc/security/msec/perm.secure (überschreibe damit alle /etc/security/msec/perm.*) und automatisches Aktivieren in /etc/rc.local mit "msecperms -q" , Vorsicht Zugriffsreche können bewirken, dass der Drucker streikt und der Ton ausfällt wie jedesmal nach dem Booten der Fall! Daher nicht jedesmal booten (mit # einklammern) und von Konsole aus aufrufen, alsa ggfls. neustarten.

Datei_oder_Verzeichnis Benutzer.Gruppe Zugriffsrecht force ACL

/ root.root 0111 force
/bin/ root.root 751 force
/bin/mount root.root 4755 force
# ... an dieser Stelle erste Ziffer beginnend mit Zahl 4: setuid-/setgid- bzw. suid-Bit für User, 2: 2xxx suid für Gruppe, 1: 1xxxx t für Other; suid bewirkt, dass ausführbare Programme mit den Rechten des Eigners der aufgerufenen Datei ausgeführt und nicht wie üblich mit den Rechten des die Datei ausführenden Benutzers, was unprivilegierten Benutzern einen kontrollierten Zugriff auf priviligierte Ressourcen verschafft. Klarer Nachteil ist, dass diese setuid-Programme eines höher priviligierten Anwenders wie Root aufgrund ihrer Privilegien ein Sicherheitsrisiko darstellen. Ein Programmfehler in diesem Programm kann leicht das ganze System kompromittieren. Sie sind daher auch häufig das Ziel von lokalen Angriffen. Daher werden im Allgmeinen Mechanismen bevorzugt, die ohne setuid auskommen; weitere Einzelheiten siehe unter "man chmod". In der letzten Spalte lassen sich ggfls. noch acl (Zugriffsrechte einzelner Benutzer, Gruppen und Other) gemäß Kommando setfacl setzen und getfacl abfragen, siehe man setfacl und man getfacl, https://wiki.ubuntuusers.de/ACL/ und Erklärung aus msec-gui oder kurzes Beispiel f&uum;l;r ACL: setfacl -m u:user:- Verzeichnis_oder_Datei1, g:groupname2:rwx Verzeichnis_oder_Datei2, u:....
ACL können auch Masken enthalten. Die root-Partiton sollte für setfacl in /etc/fstab stets die zusätzliche Option acl erhalten. Gesetzte ACL werden in Verzeichnislisten kurz mit "+" nach den Zugriffsrechten präsentiert. Rücknahme einer ACL: setfacl -x a_user Pfad_zu_Verzeichnis_oder_Datei

OK /bin/umount root.root 4755 force
/boot/ root.root 700 force
/root root.root 700 force
/dev root.root 751 force
/etc/ root.root 751 force
/etc/fstab root.root 700 force # chmod 700 -R /etc/init.d
/etc/init.d root.root 700 force
/etc/init.d/functions root.root 600 force
/etc/init.d/* root.root 700 force
/etc/rc*.d root.root 700 force
/etc/passwd root.root 644 force
/etc/shadow root.root 400 force
/home/ root.root 711 force
/home/user/usr root.root 700 force
/home/user/usr/* root.root 700 force
/home/user/.a* user.user 700 force
/home/user/.b* user.user 700 force
/home/user/.d* user.user 700 force
/home/user/.e* user.user 700 force
/home/user/.f* user.user 700 force
/home/user/.g* user.user 700 force
/home/user/.h* user.user 700 force
/home/user/.i* user.user 700 force
/home/user/.j* user.user 700 force
/home/user/.k* user.user 700 force
/home/user/.l* user.user 700 force
/home/user/.m* user.user 700 force
/home/user/.n* user.user 700 force
/home/user/.o* user.user 700 force
/home/user/.p* user.user 700 force
/home/user/.q* user.user 700 force
/home/user/.r* user.user 700 force
/home/user/.s* user.user 700 force
/home/user/.u* user.user 700 force
/home/user/.v* user.user 700 force
/home/user/.w* user.user 700 force
/home/user/.x* user.user 700 force
/home/user/.y* user.user 700 force
/home/user/.z* user.user 700 force
/home/user/a* user.user 700 force
/home/user/b* user.user 700 force
/home/user/d* user.user 700 force
/home/user/e* user.user 700 force
/home/user/f* user.user 700 force
/home/user/k* user.user 700 force
/home/user/l* user.user 700 force
/home/user/m* user.user 700 force
/home/user/M* user.user 700 force
/home/user/n* user.user 700 force
/home/user/N* user.user 700 force
/home/user/o* user.user 700 force
/home/user/.kde4/share user.user 500 force
/home/user/.kde4 user.user 500 force
/home/user/.kde4/share/apps user.user 700 force
/home/user/.kde4/share/apps/kmail user.user 700 force
/home/user/.kde4/share/apps/kmail/mail user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/* user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/inbox user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/inbox/* user.user 700 force
/home/user/.kde4/share/apps/kmail/mail/outbox/* user.user 700 force
/home/user/Dokumente user.user 700 force
/home/surfuser surfuser.surfuser 700 force
/home/surfuser/.mozilla surfuser.surfuser 300 force
/home/surfuser/.mozilla/* surfuser.surfuser 700 force
/home/surfuser/JAP* surfuser.surfuser 400 force
/include root.root 751 force
/lib/ root.root 751 force
/lib64 root.root 751 force
/media root.root 711 force
/mnt/ root.root 750 force
/opt root.root 751 force
/proc root.root 555 force
/sbin/ root.root 751 force
/sbin/init root.root 750 force
/sbin/udevd root.root 750 force
/sys root.root 751 force
/sys/* root.root 751 force
/tmp/ root.root 1777 force
/usr root.root 755 force
/usr/* root.root 755 force
/usr/bin/ping root.root 0755 force
/usr/bin/rlogin root.root 4755 force
/usr/bin/cc root.root 750 force
/usr/bin/finger root.root 750 force
/usr/bin/g++* root.root 750 force
/usr/bin/gcc* root.root 750 force
/usr/bin/kdm root.root 750 force
/usr/bin/ssh root.root 750 force
/usr/bin/telnet root.root 750 force
/usr/bin/users root.root 750 force
/usr/bin/w root.root 750 force
/usr/bin/who root.root 750 force
/usr/bin/gpasswd root.shadow 0755 force
/usr/bin/passwd root.shadow 0755 force
/usr/bin/rlogin root.root 0750 force
/usr/bin/uucp uucp.uucp 6555 force
/usr/bin/uustat uucp.uucp 6555 force
/usr/bin/newrole root.root 0755 force
/usr/bin/uux uucp.uucp 6555 force
/usr/bin/rsh root.root 0700 force
/usr/bin/chfn root.shadow 0700 force
/usr/bin/chage root.shadow 0700 force
/usr/bin/chsh root.shadow 0700 force
/usr/bin/v4l-conf root.video 0755 force
/usr/bin/wall root.tty 0755 force
/usr/bin/write root.tty 0755 force
/usr/games root.root 751 force
/usr/include root.root 751 force
/usr/etc root.root 751 force
/usr/java root.root 751 force
/usr/lib64 root.root 751 force
/usr/lib64/kde4/libexec/kcheckpass root.shadow 4755 force
/usr/lib64/kde4/libexec/kdesud root.nogroup 2755 force
/usr/lib64/kde4/libexec/start_kdeinit root.root 4755 force
/usr/lib root.root 751 force
/usr/lib/cups root.root 775 force
/usr/lib/cups/filter root.root 775 force
/var/spool/cups root.sys 711 force
/var/cache/cups root.sys 775 force
/usr/libexec/rtkit-daemon root.root 750 force
/usr/libexec/polkit-1/polkitd root.root 750 force
/usr/libexec/postfix/master root.root 750 force
/usr/man root.root 751 force
/usr/share/docs root.root 755 force
/usr/libexec root.root 751 force
/usr/local root.root 751 force
/usr/local/bin root.root 751 force
/usr/src root.root 700 force
/usr/src/rpm root.root 700 force
/usr/src/rpm/SOURCES root.root 700 force
/usr/src/* root.root 700 force
/usr/share root.root 751 force
/usr/share/* root.root 755 force
/usr/sbin/ root.root 751 force
/usr/sbin/mtr root.dialout 0750 force
/usr/sbin/lockdev root.lock 2755 force
/usr/sbin/pppoe-wrapper root.dialout 4750 force
/usr/sbin/chroot root:root 4700 force
/usr/sbin/gpm root.root 750 force
/usr/sbin/init root.root 750 force
/usr/sbin/sendmail.postfix root.root 711 force
/usr/sbin/prelink root.root 750 force
/usr/sbin/mingetty root.root 750 force
/usr/share/doc root.root 755 force
/usr/share/man root.root 755 force
/usr/ssl root.root 751 force
/usr/tmp root.root 1775 force
/usr/uclibc root.root 751 force
/usr/X11R6 root.root 751 force
/var/tmp root.root 1775 force
/etc/rc.d/init.d/ root.root 700 force
/etc/rc.d/init.d/* root.root 700 force
/etc/shutdown.allow root.root 640 force
/etc/sysconfig root.root 755 force
/etc/syslog.conf root.root 640 force
/etc/updatedb.conf root.root 644 force
/etc/printcap root.lp 640 force
/bin/ping root.root 4750 force
/bin/rpm rpm.rpm 750 force
/dev/ root.root 751 force
/etc/conf.modules root.root 640 force
/etc/cron.daily/ root.root 750 force
/etc/cron.hourly/ root.root 750 force
/etc/cron.monthly/ root.root 750 force
/etc/cron.weekly/ root.root 750 force
/etc/crontab root.root 640 force
/etc/dhcpcd/ root.root 750 force
/etc/dhcpcd/* root.root 640 force
/etc/ftpaccess root.root 640 force
/etc/ftpconversions root.root 640 force
/etc/ftpgroups root.root 640 force
/etc/ftphosts root.root 640 force
/etc/ftpusers root.root 640 force
/etc/gettydefs root.root 640 force
/etc/hosts.allow root.root 644 force
/etc/hosts.deny root.root 644 force
/etc/hosts.equiv root.root 640 force
/etc/httpd/modules.d/*.conf root.root 640 force
/etc/httpd/conf/*.conf root.root 640 force
/etc/httpd/conf/addon-modules/* root.root 640 force
/etc/httpd/conf/vhosts.d/* root.root 640 force
/etc/httpd/conf/webapps.d/* root.root 640 force
/etc/init.d root.root 700 force
/etc/init.d/* root.root 700 force
/etc/inetd.conf root.root 640 force
/etc/inittab root.root 640 force
/etc/ld.so.conf root.root 640 force
/etc/mandrake-release root.root 644 force
/etc/modules.conf root.root 640 force
/etc/motd root.root 644 force
/etc/rc.d/ root.root 755 force
/etc/rc.d/init.d/functions root.root 600
/etc/rc.d/init.d/mandrake_consmap root.root 644
/etc/rc.d/init.d/xprint root.root 700
/etc/securetty root.root 640
/etc/security root.root 700 force
/etc/security/msec root.root 500 force
/etc/security/msec/* root.root 500 force
/etc/sendmail.cf root.root 640 force
/etc/ssh/ssh_config root.root 644 force
/etc/ssh/ssh_host_*key root.root 600 force
/etc/ssh/ssh_host_*key.pub root.root 644 force
/etc/ssh/sshd_config root.root 640 force
/etc/X11 root.root 710 force
/etc/X11/xorg.conf root.root 400 force
/etc/shadow root.shadow 0640 force
/etc/hosts root.root 0644 force
/etc/hosts.allow root.root 0644 force
/etc/hosts.deny root.root 0644 force
/etc/hosts.equiv root.root 0644 force
/etc/ld.so.conf root.root 0644 force
/etc/ppp/ root.dialout 0750 force
/etc/ssh/ssh_host_rsa_key root.root 0600 force
/etc/ssh/ssh_host_rsa_key.pub root.root 0644 force
/usr/sbin/traceroute root.root 0755 force
/etc/crontab root.root 0600 force
/etc/ftpusers root.root 0644 force
/etc/syslog.conf root.root 0600 force
/bin/ping root.root 4750 force
/home/* current.current 751
/usr/lib/cups root.root 775 force
/usr/lib/rpm/rpm? rpm.rpm 750 force
/usr/sbin/sendmail.sendmail root.root 2711
/usr/sbin/traceroute root.root 4750 force
/var/ root.root 751 force
/var/lib/rpm/Packages rpm.rpm 640 force
/var/lib/pcp/tmp root.root 0755 force
/var/lib/pcp/tmp/pmlogger root.root 0755 force
/var/lib/pcp/tmp/pmie/ root.root 0755 force
/var/lock/subsys root.root 750 force
/var/log/ root.root 751 force
/var/log/* root.root 640 force
/var/log/btmp root.utmp 600 force
/var/log/wtmp root.utmp 664 force
/var/log/Xorg.0.log root.root current
/var/log/lp-errs lp.lp 600 root
/var/log/*/* root.root 600 force
/var/log/*/*/* root.root 600 force
/var/log/*/. root.root 700 force
/var/log/*/*/. root.root 700 force
/var/log/intraline/. root.root 750 force
/var/log/mailman/ root.root 2770 force
/var/log/mailman/* root.root 660 force
/var/log/ConsoleKit root.root 751 force
/var/log/ConsoleKit/history root.root 644 force
/var/log/squid squid.root 0750 force
/var/spool root.root 0755 force
/var/spool/mqeue root.root 0700 force
/var/spool/news news:news 0755 force
/var/spool/uucp uucp:uucp 0755 force
/var/spool/mail root.root 1777 force
/var/cache/man root.root 1777 force
/var/log/lastlog root.root 0644 force
/var/log/lastlog root.root 0644 force
/var/log/faillog root.root 000 force
/var/log/wtmp root.utmp 0664 force
/var/log/btmp root.root 0600 force
/var/run/utmp root.utmp 0664 force
/var/spool root.root 0755 force
/var/www root.root 751 force
/bin root.root 751 force
/sbin root.root 751 force
/srv root.root 751 force
/sys root.root 751 force
/lib root.root 751 force
/lib64 root.root 751 force
/etc root.root 751 force
/proc root.root 555 force
/secoff root.root 710 force
/var root.root 711 force
/misc root.root 710 force
/media root.root 755 force
/opt root.root 711 force
/mnt root.root 755 force
/dev/ root.root 751 force
/dev/zero root.root 666 force
/dev/null root.root 666 force
/dev/full root.root 666 force
/dev/ip root.root 660 force
/dev/initrd root.disk 660 force
/dev/kmem root.kmem 640 force
/etc/opiekeys root.root 600 force
/etc/ppp/ root.dialout 750 force
/etc/ppp/chap-users root.root 600 force
/etc/ppp/pap-users root.root 600 force
/etc/sysconfig/network/providers/ root.root 700 force
/usr/sbin/utempter root.utmp 2755 force
/usr/lib/utempter/utempter root.utmp 2755 force
/etc/ssh/ssh_host_key root.root 600 force
/etc/ssh/ssh_host_key.pub root.root 644 force
/etc/ssh/ssh_host_dsa_key root.root 600 force
/etc/ssh/ssh_host_dsa_key.pub root.root 644 force
/etc/ssh/ssh_host_rsa_key root.root 600 force
/etc/ssh/ssh_host_rsa_key.pub root.root 644 force
/etc/ssh/ssh_config root.root 644 force
/etc/ssh/sshd_config root.root 640 force
/usr/bin/suidperl root.root 755 force
/usr/sbin/papd root.lp 0755 force
/var/games/ root.root 0755 force
/usr/bin/ziptool root.root 0750 force
/lib/udev/devices/net/tun root.root 0666 force
/lib/udev/devices/null root.root 0666 force
/lib/udev/devices/ptmx root.tty 0666 force
/lib/udev/devices/tty root.tty 0666 force
/lib/udev/devices/zero root.root 0666 force
/var/lib/named/dev/null root.root 0666 force
/var/lib/named/dev/random root.root 0666 force
/usr/bin/opiesu root.root 0755 force
/usr/bin/wodim root.root 0755 force


Nicht setzen: innerhalb /var/spool (andernfalls kann infolge zahlreicher Besitzerwechsel postfix beieinflusst werden, so dass sogar der Mauszeiger stillsteht).

OK ACL: setfacl (alternatively resp. additionally configure files of sandbox firejail within /etc/firejail; setfacl bezieht sich im Unterschied zu firejail aber nicht auf das gestartete Programm bzw. eine Programmgruppe oder wie bei MAC auf einen Prozess (Domäne), sondern diesmal unabhängig vom Programm auf einen in setfacl angegebenen Benutzer oder eine Gruppe. Wir empfehlen von diesen drei Möglichkeiten allesamt, insbesonders aber ACL.):
Voraussetzung für ACL: gesetzte Mount-Option "acl" in /etc/fstab (zuzüglich "user_xattr").
Wir erhalten bei idealen ACL (ACL-Setzungen) bis zur gestrichelten Linie bereits ein e linfw3 perfekt ergänzende, den Computer rundherum total absichernde Sandbox mit Blockade auf fast allem, was Linux an Verzeichnissen und Dateien zur Verfügung stellt, ohne die Programme unnötig zu restriktrieren. Zu beachten ist, dass mit der Installation Dateien in Verzeichnissen wie /bin, /sbin, /usr/libexec, /usr/bin, /usr/share und /usr/sbin übeschrieben werden, so dass deren ACL-Zugriffsrechte sich zurücksetzen und daher erneut zu setzen sind. ACL für Samba und Httpd (Webserver Apache) und andere Server fehlen an dieser Stelle und sind daher ggfls. noch hinzuzufügen:

Setze setfacl -m u:surfuser:- innerhalb /usr/bin auf alle Dateien außer den ausführbaren Executables (setfacl -x surfuser /usr/bin/executable):
bash*
dbus*
firejail*
firefox*
gftp*
X*
kde*
konqueror*
knemo*
sg*
und alle weiteren Programme (executables bzw. Befehle aus /usr/bin) mitsamt von ihnen benötigten Befehlen, die über surfuser gestartet werden sollen. Auf die Freigabe des dbus* kann verzichtet werden, soll der Konqueror nicht zum Surfen genutzt werden. Gehe genauso für die Dateien innerhalb /bin, /sbin, /usr/sbin und /usr/libexec usw. vor, aber niemals auf Dateien innerhalb /lib, /usr/lib, /usr/lib64 usw.

Für die weiteren Programme wie tor-browser und tor, xchat usw. empfiehlt sich die Anlage eines weiteren surfuser wie toruser mit Gruppe torgroup mit erhebliche mehr ACL-Zugriffsrechten, da der Tor-Browser im Unterschied zu Firefox pur keine allzu großen Einschränkungen duldet. Vielmehr ist Tor (Tor-Browser) im Besitz einer eigenen Sandbox.

Mit anderen Worten (beachte: setfacl-Einstellungen für surfuser sind in /usr/bin gerade eben bereits durchgeführt worden) :

setfacl -m u:surfuser:- /usr/libexec/gam_server # Eine Bremse weniger; außerdem bietet sich der Austasch von gamin (mdv2010) mit gamin (fc29, pclos2017).an. Kopiere /usr/libexec/gam_server /usr/lib/.
setfacl -m u:surfuser:- /usr/libexec/gam_server
setfacl -m u:toruser:- /usr/libexec/gam_server
setfacl -m u:root:- /usr/libexec/gam_server
setfacl -m u:surfuser:- /usr/lib/gam_server
setfacl -m u:toruser:- /usr/lib/gam_server
setfacl -m u:root:- /usr/lib/gam_server
setfacl -m u:root:- /usr/libexec/gam_server
setfacl -m u:-1:- /usr/libexec/gam_server # -1: alle unbekannten Nutzer
setfacl -m u:surfuser:- /usr/lib/gam_server # Bei Verwendung von gamin (fc26) oder gamin-server (OpenSuSE 13.2) ...
setfacl -m u:root:- /usr/lib/gam_server #
setfacl -m u:-1:- /usr/lib/gam_server #
setfacl -m u:user:- /usr/bin/nspluginscan* # ... noch eine Bremse weniger
setfacl -m u:user:- /usr/bin/application-browser* # ... und noch eine Bremse weniger
setfacl -m u:surfuser:- /usr/bin/nspluginscan*
setfacl -m u:surfuser:- /usr/bin/application-browser*
setfacl -m u:-1:- /opt # -1: alle unbekannten Nutzer
setfacl -m u:surfuser:- /boot # ... falls nicht bereis auf read-only (ro) gesetzt
setfacl -m u:user:- /boot # ... falls nicht bereis auf read-only (ro) gesetzt
setfacl -m u:surfuser:- /*
setfacl -m u:toruser:- /mnt # Tor-Browser
setfacl -m u:toruser:- /media
setfacl -m u:toruser:- /home/user
setfacl -m u:toruser:- /home/surfuser
OKsetfacl -m u:toruser:- /usr/bin/su
setfacl -m u:toruser:- /bin/su
setfacl -m u:toruser:- /bin/mount
setfacl -m u:toruser:- /usr/bin/mount
setfacl -m u:toruser:- /usr/bin/rsh
setfacl -m u:toruser:- /usr/bin/rlogin
setfacl -m u:toruser:- /usr/bin/ssh
setfacl -m u:toruser:- /bin/ssh # ... und wie gesagt nicht vergessen, ü,ber diesen Benutzer toruser Programme (bzw. Prozesse) mit Firejail unter Verwendung der Option "shell none" aus der Konfigurationsdatei in /etc/firejail zu starten.
setfacl -m u:toruser:- /opt
setfacl -m u:toruser:- /sbin
setfacl -m u:toruser:- /usr/local
setfacl -m u:toruser:- /etc/fstab*
setfacl -m u:toruser:- /etc/mtab*
setfacl -m u:toruser:- /etc/crypttab*
setfacl -m u:toruser:- /usr/libexec/gam_server
setfacl -m u:toruser:- /usr/bin/knotify*
setfacl -m u:toruser:- /usr/bin/nspluginscan*
setfacl -m u:toruser:- /usr/libexec/mysql*
setfacl -m u:toruser:- /usr/bin/mysql*
setfacl -m u:toruser:- /etc/shadow*
setfacl -m u:surfuser:--x /home/surfuser
setfacl -m u:surfuser:--x /usr/bin
setfacl -m u:surfuser:--x /usr/sbin
setfacl -m u:surfuser:- /usr/sbin/*
setfacl -x surfuser /usr/sbin/dnsmasq
setfacl -x surfuser /usr/sbin/unbound
setfacl -m u:surfuser:--x /bin
setfacl -m u:surfuser:--x /sbin
setfacl -m u:surfuser:--x /usr/games
setfacl -m u:surfuser:--x /usr/libexec
setfacl -m u:surfuser:--x /usr/lib64
setfacl -m u:surfuser:--x /lib64
setfacl -m u:surfuser:--x /sbin
setfacl -m u:surfuser:--x /usr/libexec
setfacl -m u:surfuser:--x /lib/modules
setfacl -m u:surfuser:--x /lib
setfacl -m u:surfuser:--x /home
setfacl -x surfuser /bin
setfacl -x surfuser /etc
setfacl -x surfuser /sbin
setfacl -x surfuser /home
setfacl -x surfuser /run
setfacl -x surfuser /tmp
setfacl -x surfuser /proc
setfacl -x surfuser /secoff
setfacl -x surfuser /dev
setfacl -x surfuser /current
setfacl -m u:surfuser:- /bin/*
setfacl -x surfuser /bin/arch #
setfacl -x surfuser /bin/basename #
setfacl -x surfuser /bin/bash
setfacl -x surfuser /bin/cp # gegebenenfalls ohne cp
setfacl -x surfuser /bin/grep* # ggfls. lässt sich grep blocken
setfacl -x surfuser /bin/cut #
setfacl -x surfuser /bin/mktemp #
setfacl -x surfuser /bin/ps #
setfacl -x surfuser /bin/sed # ggfls. lässt sich sed blocken
setfacl -x surfuser /bin/sort #
setfacl -x surfuser /bin/strace #
setfacl -x surfuser /bin/hostname #
setfacl -x surfuser /bin/uname # ggfls. lässt sich uname blocken
setfacl -m u:surfuser:- /bin/su
setfacl -m u:surfuser:- /usr/bin/su
setfacl -m u:surfuser:- /usr/libexec/mysql*
setfacl -m u:root:r-x /etc/resolv.conf # nach der Konfiguration von dnsmasq
setfacl -m u:surfuser:- /mnt # Standard-Mountpunkt
setfacl -m u:surfuser:- /media # blocke USB-Geräte wie USB-Speicherstifte, USB-Digitalkamera usw.
setfacl -m u:user:- /home/surfuser
setfacl -m u:surfuser:- /home/user
setfacl -m u:surfuser:- /home/user/.kde4/share/apps/kmail/mail # verhindere von surfuser das Lesen und Schreiben empfangener, entworfener und gesendeter E-Mails
setfacl -m u:root:- /home/user
setfacl -m u:root:- /home/surfuser
setfacl -m u:surfuser:- /home/uuid*
setfacl -m u:root:- /home/user/.wine
setfacl -m u:root:- /home/surfuser/.wine
setfacl -m u:surfuser:- /root.gnupg
setfacl -m u:surfuser:- /etc/*
setfacl -x surfuser /etc/acpi*
setfacl -x surfuser /etc/alternatives
setfacl -x surfuser /etc/bash*
setfacl -x surfuser /etc/cups*
setfacl -x surfuser /etc/default*
setfacl -x surfuser /etc/dbus*
setfacl -x surfuser /etc/dnsmasq*
setfacl -x surfuser /etc/resolv.dnsmasq*
setfacl -x surfuser /etc/firejail*
setfacl -x surfuser /etc/firefox*
setfacl -x surfuser /etc/firebird*
setfacl -m u:user:r-x /etc/fstab
setfacl -x surfuser /etc/font*
setfacl -x surfuser /etc/host*
setfacl -x surfuser /etc/ld.so*
setfacl -x surfuser /etc/nsswitche*
setfacl -x surfuser /etc/profile*
setfacl -x surfuser /etc/pam*
setfacl -x surfuser /etc/pango*
setfacl -x surfuser /etc/passwd*
setfacl -x surufser /etc/alternatives*
setfacl -x surfuser /etc/sysconfig
setfacl -x surfuser /etc/services*
setfacl -x surfuser /etc/tor*
setfacl -m u:surfuser:r-x /etc/resolv.conf
setfacl -x surfuser /etc/tor
setfacl -m u:user:- /usr/lib64/firefox
setfacl -m u:user:- /usr/lib64/thunderbird
setfacl -m u:surfuser:- /usr/local # oder
setfacl -m u:surfuser:- /usr/local/LINFW3
setfacl -m u:surfuser:- /usr/lib/modules*
setfacl -m u:surfuser:- /root
setfacl -m u:surfuser:- /initrd
setfacl -m u:surfuser:- /srv
setfacl -m u:surfuser:- /smack
setfacl -m u:surfuser:- /net
setfacl -m u:surfuser:- /misc
setfacl -m u:surfuser:- /var/lib/rpm
setfacl -m u:surfuser:- /opt
setfacl -m u:surfuser:- /secoff
setfacl -m u:surfuser:- /sid-root
setfacl -m u:surfuser:- /cgroup
setfacl -m u:surfuser:- /lost+found
setfacl -m u:surfuser:- /sbin
setfacl -m u:surfuser:r-x /lib64
setfacl -m u:surfuser:- /lib
setfacl -m u:surfuser:- /usr/*
setfacl -x surfuser /usr/lib
setfacl -x surfuser /usr//lib64
setfacl -x surfuser /usr/bin
setfacl -x surfuser /usr/libexec
setfacl -x surfuser /usr/share
setfacl -x surfuser /usr/ssl
setfacl -x surfuser /usr/tmp
setfacl -x surfuser /usr/var
etfacl -m u:surfuser:- /usr/src
setfacl -m u:surfuser:- /usr/sbin
setfacl -x surfuser /usr/sbin/traceroute*
setfacl -m u:surfuser:r-x /usr/lib
setfacl -m u:surfuser:r-x /usr/lib64/kde4
setfacl -m u:surfuser:rwx /usr/lib64/tor-browser # sandboxed tor-browser for chown -R surfuser:surfuser -R /usr/lib64/tor-browser
setfacl -m u:surfuser:- /usr/libexec # miroplayer. setfacl -m u:surfuser:r-x /usr/libexec
setfacl -m u:surfuser:- /usr/share/* ##
setfacl -x surfuser /usr/share/app*
setfacl -x surfuser /usr/share/font*
setfacl -m u:surfuser:r-x /usr/lib64/kde4
setfacl -x surfuser /usr/share/app*
setfacl -x surfuser /usr/share/cups*
setfacl -x surfuser /usr/share/font*
setfacl -x surfuser /usr/share/freetuxtv*
setfacl -x surfuser /usr/share/gnome-translate*
setfacl -x surfuser /usr/share/gftp*
setfacl -x surfuser /usr/share/gvfs*
setfacl -x surfuser /usr/share/icon*
setfacl -x surfuser /usr/share/java*
setfacl -x surfuser /usr/share/konqueror*
setfacl -x surfuser /usr/share/locale*
setfacl -x surfuser /usr/share/miro*
setfacl -x surfuser /usr/share/merkaartor*
setfacl -x surfuser /usr/share/mime*
setfacl -x surfuser /usr/share/net*
setfacl -x surfuser /usr/share/pidgin*
setfacl -x surfuser /usr/share/pixmap*
setfacl -x surfuser /usr/share/tor*
setfacl -m u:surfuser:- /usr/games/*
setfacl -x surfuser /usr/games/gtkatlantic*
setfacl -x surfuser /usr/games/maniadrive*
setfacl -x surfuser /usr/games/eternallands*
setfacl -x surfuser /usr/games/brutalchess*
setfacl -x surfuser /usr/games/eboard*
setfacl -x surfuser /usr/games/xboard*
setfacl -x surfuser /usr/games/openmortal*
setfacl -x surfuser /usr/games/secondlife # and so on for all games to play online
setfacl -m u:surfuser:- /usr/bin # ...
setfacl -x surfuser /usr/bin/blogilo
setfacl -x surfuser /usr/bin/blogtk
setfacl -x surfuser /usr/bin/basename
setfacl -x surfuser /usr/bin/bash*
setfacl -x surfuser /usr/bin/choqok
setfacl -x surfuser /usr/bin/ciao_get*
setfacl -x surfuser /usr/bin/clear
setfacl -x surfuser /usr/bin/cp # ggfls. ohne cp
# setfacl -x surfuser /usr/bin/dbus* # ggfls ohne
setfacl -x surfuser /usr/bin/dirname
setfacl -x surfuser /usr/bin/dnsmasq*
setfacl -x surfuser /usr/bin/env*
setfacl -x surfuser /usr/bin/firefox* # sandboxed Firefox (!!!), ähnlich Chrome, außerdem bietet sich zusätzlich noch Sandbox firejail an (!)
setfacl -x surfuser /usr/bin/freetuxtv
setfacl -x surfuser /usr/bin/frostwire
setfacl -x surfuser /usr/bin/firejail
setfacl -x surfuser /usr/bin/gdb
setfacl -x surfuser /usr/bin/glinuxsms
setfacl -x surfuser /usr/bin/gtk-gnutella
setfacl -x surfuser /usr/bin/gconf*
setfacl -x surfuser /usr/bin/gdict*
setfacl -x surfuser /usr/bin/jovie*
setfacl -x surfuser /usr/bin/kiax*
setfacl -x surfuser /usr/bin/kphone*
setfacl -x surfuser /usr/bin/linphone*
setfacl -x surfuser /usr/bin/ekiga*
setfacl -x surfuser /usr/bin/ktts*
setfacl -x surfuser /usr/bin/kaddressbookmigrator
setfacl -x surfuser /usr/bin/kbookmarkmerger
setfacl -x surfuser /usr/bin/keditbookmarks*
setfacl -x surfuser /usr/bin/konversation*
setfacl -x surfuser /usr/bin/kwrite
setfacl -x surfuser /usr/bin/gedit
setfacl -x surfuser /usr/bin/xfce4-dict*
setfacl -x surfuser /usr/bin/gftp*
setfacl -x surfuser /usr/bin/gnome-translate*
setfacl -x surfuser /usr/bin/id
setfacl -x surfuser /usr/bin/java*
setfacl -x surfuser /usr/bin/konqueror* # sandboxed Konqueror, außerdem bietet sich zusätzlich noch firejail an (!)
setfacl -x surfuser /usr/bin/konversation
setfacl -x surfuser /usr/bin/kopete*
setfacl -x surfuser /usr/bin/klaunch*
setfacl -x surfuser /usr/bin/kcm*
setfacl -x surfuser /usr/bin/kcheckrunning*
setfacl -x surfuser /usr/bin/kcachegrind*
setfacl -x surfuser /usr/bin/kcookiejar4*
setfacl -x surfuser /usr/bin/kded*
setfacl -x surfuser /usr/bin/kdeinit*
setfacl -x surfuser /usr/bin/kdekillall*
setfacl -x surfuser /usr/bin/kdepasswd*
setfacl -x surfuser /usr/bin/kdestroy*
setfacl -x surfuser /usr/bin/kde_generate_export*
setfacl -x surfuser /usr/bin/knemo
setfacl -x surfuser /usr/bin/konqueror
setfacl -x surfuser /usr/bin/kopete*
setfacl -x surfuser /usr/bin/krunner*
setfacl -x surfuser /usr/bin/kwrite*
setfacl -x surfuser /usr/bin/kvirc*
setfacl -x surfuser /usr/bin/kate*
setfacl -x surfuser /usr/bin/marble
setfacl -x surfuser /usr/bin/merkaartor
setfacl -x surfuser /usr/bin/miro
setfacl -x surfuser /usr/bin/mplayer # mplayer-browser-plugin
setfacl -x surfuser /usr/bin/new*
setfacl -x surfuser /usr/bin/nettle*
setfacl -x surfuser /usr/bin/pavuk
setfacl -x surfuser /usr/bin/perl # needed for drakfax or keep perl blocked
setfacl -x surfuser /usr/bin/pidgin*
setfacl -x surfuser /usr/bin/ping* # especially for server
setfacl -x surfuser /usr/bin/putty
setfacl -x surfuser /usr/bin/rhythmbox*
setfacl -x surfuser /usr/bin/sg
setfacl -x surfuser /usr/bin/tor*
setfacl -x surfuser /usr/bin/tvbrowser
setfacl -x surfuser /usr/bin/vlc # vlc-browser-plugin
setfacl -x surfuser /usr/bin/wget
setfacl -x surfuser /usr/bin/whereis
setfacl -x surfuser /usr/bin/whois
setfacl -x surfuser /usr/bin/xauth
setfacl -m surfuser:- /usr/bin/xauth_switch_to_sun-des*
setfacl -x surfuser /usr/bin/xchat
setfacl -m u:surfuser:- /usr/libexec/* #check, if following exceptions are complete
setfacl -x surfuser /usr/libexec/accessx*
setfacl -x surfuser /usr/libexec/at-spi*
setfacl -x surfuser /usr/libexec/certmonger*
setfacl -x surfuser /usr/libexec/cheese*
setfacl -x surfuser /usr/libexec/clang*
setfacl -x surfuser /usr/libexec/clean*
setfacl -x surfuser /usr/libexec/dbus-daemon-launch*
setfacl -x surfuser /usr/libexec/docker*
setfacl -x surfuser /usr/libexec/fprintd*
setfacl -x surfuser /usr/libexec/gconf*
setfacl -x surfuser /usr/libexec/gedit-2*
setfacl -x surfuser /usr/libexec/ikiwiki*
setfacl -x surfuser /usr/libexec/kde4*
setfacl -x surfuser /usr/libexec/nm*
setfacl -x surfuser /usr/libexec/openldap* # maybe openssh too
setfacl -x surfuser /usr/libexec/pulse*
setfacl -x surfuser /usr/libexec/squid*
setfacl -m u:surfuser:- /usr/libexec/kde4/ksendbugm*
setfacl -m u:surfuser:- /usr/libexec/ktelnet*
setfacl -m u:surfuser:- /usr/libexec/test*
setfacl -m u:surfuser:- /usr/libexec/kdesu*
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/kdesud
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/krootimage
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/knetattach
setfacl -m u:surfuser:- /usr/lib64/kde4/libexec/lnusertemp*
setfacl -m u:adm:- /
setfacl -m u:uuid:- /etc/shadow
setfacl -m u:messagebus:- /etc/shadow
setfacl -m u:surfuser:r-x /usr/lib64/mozilla/plugins/*
setfacl -m u:surfuser:r-x /usr/lib64/netscape/plugins/*
setfacl -m u:surfuser:- /var/*
setfacl -x surfuser /var/lib
setfacl -x surfuser /var/tmp
setfacl -m u:surfuser:- /var/run/*
setfacl -x surfuser /var/run/tor
setfacl -m u:surfuser:- /var/lib/*
setfacl -x surfuser /var/lib/dbus*
setfacl -m u:surfuser:- /var/spool/*
setfacl -m u:surfuser:- /var/spool/cups # only for print-server
setfacl -m u:surfuser:- /home/surfuser/.gnupg
setfacl -m u:surfuser:- /home/user/.gnupg
setfacl -m u:surfuser:- /home/surfuser/.history
setfacl -m u:surfuser:- /home/surfuser/.*history
setfacl -m u:surfuser:- /home/surfuser/.local/share/systemd
setfacl -m u:surfuser:r-x /home/surfuser/.local/share/applications
setfacl -m u:surfuser:- /home/surfuser/.xinitrc
setfacl -m u:surfuser:- /home/surfuser/.xprofile
setfacl -m u:surfuser:- /home/surfuser/.config/autostart
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/autostart
setfacl -m u:surfuser:- /home/surfuser/.conifg/plasma-workspace
setfacl -m u:surfuser:- /home/surfuser/.conifg/plasma-workspace
setfacl -m u:surfuser:- /home/surfuser/.config/plasma-workspace*
setfacl -m u:surfuser:- /home/surfuser/.config/lxsession*
setfacl -m u:surfuser:-/home/surfuser/ /.fluxbox/startup
setfacl -m u:surfuser:-/home/surfuser/ /.config/openbox/autostart
setfacl -m u:surfuser:- /home/surfuser/config/openbox/.autostart
setfacl -m u:surfuser:- /home/surfuser/config/openbox/.environment*
setfacl -m u:surfuser:- /home/surfuser/.gnomerc
setfacl -m u:surfuser:- /home/surfuser/.xserverrc
setfacl -m u:surfuser:r-x /home/surfuser/.profile*
setfacl -m u:surfuser:r-x /home/surfuser/.antigen
setfacl -m u:surfuser:r-x /home/surfuser/.bash*
setfacl -m u:surfuser:r-x /home/surfuser/.zsh*
setfacl -m u:surfuser:r-x /home/surfuser/.zlogin*
setfacl -m u:surfuser:r-x /home/surfuser/..zprofile*
setfacl -m u:surfuser:r-x /home/surfuser/..tcsh*
setfacl -m u:surfuser:r-x /home/surfuser/.csh*
setfacl -m u:surfuser:r-x /home/surfuser/.profile
setfacl -m u:surfuser:r-x /home/surfuser/.caffrc
setfacl -m u:surfuser:r-x /home/surfuser/.dotfiles
setfacl -m u:surfuser:r-x /home/surfuser/.mailcap
setfacl -m u:surfuser:r-x /home/surfuser/.exrc
setfacl -m u:surfuser:r-x /home/surfuser/.vim*
setfacl -m u:surfuser:r-x /home/surfuser/.gvim*
setfacl -m u:surfuser:r-x /home/surfuser/.ssh*
setfacl -m u:surfuser:r-x /home/surfuser/.cert*
setfacl -m u:surfuser:r-x /home/surfuser/.gnome2-keyrings*
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/apps/kwallet
setfacl -m u:surfuser:- /home/surfuser/.kde/share/apps/kwallet
setfacl -m u:surfuser:- /home/surfuser/.local/share/kwallet*
setfacl -m u:surfuser:- /home/surfuser/.config/keybase*
setfacl -m u:surfuser:- /home/surfuser/.netrc*
setfacl -m u:surfuser:- /home/surfuser/.gnupg
setfacl -m u:surfuser:- /home/surfuser/.kde4
setfacl -m u:surfuser:- /home/surfuser/.kde4/share
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/apps
setfacl -m u:surfuser:- /home/surfuser/.kde4/share/apps/kmail
setfacl -m u:surfuser:- /home/user/.kde4/share/apps/kmail
setfacl -m u:surfuser:- /home/user/.kde4/share/apps
setfacl -m u:surfuser:- /home/user/.kde4/share
setfacl -m u:surfuser:- /home/user/.kde4
setfacl -m u:surfuser:- /home/redis
setfacl -x surfuser /usr/java # tvbrowser
setfacl -m u:redis:- /home/surfuser
setfacl -m u:root:- /home/surfuser
setfacl -m u:surfuser:- /etc/security
setfacl -m u:root:- /home/user
setfacl -m u:root:- /home/user/games/*
setfacl -m u:user:- /etc/security
setfacl -m u:adm:- /home/surfuser
setfacl -m u:adm:- /home/user
setfacl -m u:adm:- /mnt
setfacl -m u:adm:- /media
setfacl -m u:haldaemon:- /home/surfuser
setfacl -m u:messagebus:- /home/surfuser
setfacl -m u:postfix:- /media
setfacl -m u:postfix:- /mnt
setfacl -m u:postfix:- /tmp
setfacl -m u:haldaemon:- /tmp
setfacl -m u:pdnsd:- /home/user
setfacl -m u:pdnsd:- /usr/libexec
setfacl -m u:pdnsd:- /bin
setfacl -m u:pdnsd:- /sbin
setfacl -m u:pdnsd:- /usr/bin
setfacl -m u:pdnsd:- /usr/sbin/*
setfacl -x:pdnsd /usr/sbin/pdnsd*
setfacl -m u:pdnsd:- /mnt
setfacl -m u:pdnsd:- /media
setfacl -m u:pdnsd:- /etc/fstab*
setfacl -m u:pdnsd:- /etc/mtab*
setfacl -m u:pdnsd:- /etc/crypttab*
setfacl -m u:-1:- /tmp # -1: unbekannte Nutzer
setfacl -m u:-1:- /home/user
setfacl -m u:-1:- /home/surfuser
setfacl -m u:-1:- /media
setfacl -m u:-1:- /mnt
setfacl -m u:-1:- /
setfacl -m g:-1:- /
-------------------------------------------------------------------------------------------------------------------------------------------
Bis hierhin genügt vom Rundumschutz einer hochwirksamen Sandbox zu sprechen! ...and/or some single rules to think about, who have already taken into effect by above ones:
-------------------------------------------------------------------------------------------------------------------------------------------
setfacl -m u:surfuser:- /usr/bin/su*
setfacl -m u:surfuser:- /bin/su*
setfacl -m u:surfuser:- /usr/bin/knotify4 # ... und noch eine weitere Bremse weniger... Dieser gelegentliche Zombie-Prozess knotify4 kann für zuvor mdv2010 zudem mit Archivmanager file-roller aus kdebase4-runtime (4.4.5) mit kdebase4-runtime (4.4.4-3.1.5, OpenSuSE aus dem Jahr 2012/2013, noch aktueller (el6)) ausgetauscht werden. Stelle auch ~/.kde4/share/config/knotifyrc richtig ein, update mit knotfiy4 und libnotify (OpenSuSE Thumbledeweed, 15.2, 15.1)! Hilft trotzdem nichts, "chmod 000 /usr/bin/knotify". Erklingt beim Systemstart keine Willkommensmelodie, lege man in /usr/share/autostart eine Desktop-Datei mit "exec=mplayer .../willkommensmelodie.wav" an.
setfacl -m u:-1:- / # -1: alle unbekannten Nutzer
setfacl -m u:-1:- /usr/bin/knotify4 # -1: alle unbekannten Nutzer
setfacl -m u:-1:- /usr # -1: alle unbekannten Nutzer
setfacl -m u:surfuser:- /usr/bin/msyql*
setfacl -m u:surfuser:- /usr/bin/kmail
setfacl -m u:surfuser:- /usr/bin/akonadi*
setfacl -m u:surfuser:- /usr/bin/nepomuk*
setfacl -m u:surfuser:- /usr/bin/ls* # but command ls is needed by frostwire
setfacl -m u:surfuser:- /usr/bin/python* # python has to be enabled for Miro (miroplayer)
setfacl -m u:surfuser:- /usr/bin/perl*
setfacl -m u:surfuser:- /usr/bin/dolphin*
setfacl -m u:surfuser:- /usr/bin/ssh # enable, if you use SSH
setfacl -m u:surfuser:- /bin/rm # incredible, but this is really possibe!
setfacl -m u:user:- /bin/rm
setfacl -m u:surfuser:- /usr/bin/rm
setfacl -m u:user:- /usr/bin/rm # Beim Entpacken mit Archivierern wie file-roller angelegte temporäre Verzeichnisse werden dann nicht mehr gelöscht.
setfacl -m u:surfuser:- /bin/ls # but enable access for forstwire (rosa2014.1)
setfacl -m u:surfuser:- /bin/uname # or you might want to allow uname
setfacl -m u:surfuser:- /usr/bin/uname #
setfacl -m u:surfuser:- /bin/cat # or allow cat setfacl -m u:surfuser:- /bin/cd # Do you really think, this is possible? setfacl -m u:surfuser:- /usr/bin/cd #


Angaben mdv2010.0 (MCC, drakconf, Sektion: Systemsicherheit und Prüfung) über Ebene "3 - secure": "Dieses Profil ist auf maximale Sicherheit ausgerichtet, so dass es selbst den Remote-Zugang zum System limitiert. Diese Ebene ist für Server und auf Sicherheit bedachte Systeme gedacht.". Die zahlreichen einzelnen Sicherheitsfunktionen kann man direkt dem MCC entnehmen.

Verzeichnis- und Dateiattribute


OK Synopsis
chattr [ -RVf ] [ -v version ] [ -p project ] [ mode ] files...
Beschreibung
chattr verändert die Datei-Attribute eines Linux Dateisystems.
Formate eines symbolischen Modus sind +-=[aAcCdDeijsStTu].
Wichtigste Optionen:
i: Integrität: Die Datei bleibt unversehrt. Modifikationen sind nicht möglich.
-R: rekursiv: Verzeichnisse samt Inhalte
c: compress, Komprimierung
u: unlöschbar, undeleteable
Beispiel: chattr +iuS textdatei.txt
Auflisten: lsattr


OK Kernel-Sicherheitsmodule zur interaktiven Zugriffsrechtsregelung auf Prozesse (MAC, Mandatory Access Control) sind apparmor, tomoyo, selinux und smack. Häufig wird apparmor empfohlen. Um ein Sicherheitsmodul zu starten, bedarf es noch des Eintrags als Bootparameter in /boot/grub/menu.lst : security=apparmor und apparmor=1

AppArmor gives you network application security via mandatory access control for programs, protecting against the exploitation of software flaws and compromised systems.
Das AppArmor-Projekt
AppArmor ist in SUSE Linux enthalten und ist ein Sicherheitswerkzeug, entwickelt, um Sie mit einem einfach zu benutzenden, starken Sicherheitsrahmenwerk für ihre Anwendungen zu versorgen. AppArmor schützt das System und die Anwendungen aktiv vor externen und internen Bedrohungen, sogar vor Zero-Day-Attacken, indem es ein gutartiges Programmverhalten erzwingt und die Ausnutzung unbekannter Programmschlupflöcher verhindert. AppArmor Sicherheitsrichtlinien, auch "Profile" genannt, definieren komplett, auf welche Systemmittel eine Anwendung zugreifen darf und welche Rechte sie dabei besitzt. Einige Standardprofile sind schon in AppArmor enthalten und benutzen eine Kombination aus fortgeschrittenen statischen Analysen und lernbasierten Werkzeugen. AppArmor-Profile können gerade für sehr komplexe Anwendungen innerhalb weniger Stunden erfolgreich erstellt werden.
https://de.opensuse.org/AppArmor

Ein Linux Sicherheitsmodul (MAC) zur Definition von Zugriffsrechten für die Prozess-Interaktion: AppArmor
Einleitung

AppArmor ist ein Modul des Linux Security Modules (LSM) Sicherheitsrahmenwerks, das für einzelne Anwendungen über das AppArmor Kernelmodul, AppArmor Anwendungrichtlinien (Anwendungsprofile) und das securityfs-Dateisystem Zugriffsrechte auf Dateien und Verzeichnisse, Netzwerk Berechtigungen und Rechte für root-Privilegien ("capabilities") mit Regeln beschränkt bzw. reguliert. AppArmor zählt zu den Mandatory Access Control (MAC) Sicherheitssystemen zur Kontrolle von Zugriffsrechten, wobei zuerst die Kontrolle der Benutzer- und Zugriffsrechte des Linux Discretionary Access Control (DAC) Sicherheitssystems angewendet wird, bevor die AppArmor Berechtigungsregulierung greift.
AppArmor dient primär der Absicherung von Prozessen mit Netzwerkzugriff und den von ihnen aufgerufenen Prozessen. Es können aber genauso gut andere Anwendungen reguliert werden, die lokal in ihren Berechtigungen beschränkt werden sollen.
Ausführliche Anleitung und weitere Einzelheiten: https://wiki.kairaven.de/open/os/linux/apparmor
Firefox-AppArmor-Profil: https://wiki.kairaven.de/open/os/linux/apparmor_firefox
I2P im chroot mit AppArmor: https://wiki.kairaven.de/open/anon/chrooti2p

OK
kernel (hd0,1)/vmlinuz-4.20.13-pclos1 BOOT_IMAGE=4.20.13-pclos1 root=UUID=2193ab...resume=UUID=2193ab... rootfstype=ext4 elevator=deadline security=none speedboot=yes intel.audio=1 intel.modeset=1 intel.dpm=1 apparmor=0 selinux=0 audit=0 nosmp iomem=strict hibernate=protect_image disable=IPV6 KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.multipath=0 rd.dm=0 rd.lvm=0 rd.md=0 rd.luks.allow-discards rd.luks.uuid=... desktop=kde tz=Europe/Berlin video=VGA-1:1366x768 vga=795


Setze dabei resume=UUID=... auf die UUID aus root=UUID=... (UUID der Luks-verschlüsselten Root-Partition) ! Und setze gegebenfalls außerdem den Bootparameter noinitrd.

OKkernel.yama.ptrace_scope=3
# 0 - Default attach security permissions.
# 1 - Restricted attach. Only child processes plus normal permissions.
# 2 - Admin-only attach. Only executables with CAP_SYS_PTRACE.
3 - No attach. No process may call ptrace at all. Irrevocable.

echo "kernel.yama.ptrace_scope=3" > /etc/sysctl.d/10-ptrace.conf

Boot-Paramter-Liste von kernel-desktop-2.6.39:
http://redsymbol.net/linux-kernel-boot-parameters/2.6.39/


Nichtsdestotrotz lief unser Computersystem am besten (mausklick-schnell, Sicherheit usw.) unter apparmor. Beachte, dass wird mit den aufgeführten Kernel-Optionen "rsbac_softmode" und "rsbac_um_no_excl" zusätzlich den rsbac-Kernel (mdv2012, kernel-rsbac-desktop-3.1.1-1) verwenden.

Im Unterschied zu an Verzeichnis- und Datei-Zugriffsrechten ansetzenden ACL restriktriert MAC unter msec von mdv2010 (bzw. el6, rosa2014.1) (obendrein) die Prozess-Interaktion, d.h. den (unerwünschten) Zugriff eines Prozesses auf einen anderen:

MAC Tomoyo-Linux, Zugriffsrechte für die Prozess-Interaktion, Teil von msecgui / msec:


OK "TOMOYO Linux ist ein Mandatory-Access-Control-System für Linux. Hierbei handelt es sich nicht, wie der Name vermuten lässt, um eine Linux-Distribution, sondern um eine Betriebssystem-Erweiterung.
TOMOYO Linux wird seit 2003 entwickelt und wird von NTT Data gesponsert mit Toshiharu Harada als Projektmanager.
TOMOYO steht für Task Oriented Management Obviates Your Onus on Linux ("aufgabenorientierte Verwaltung reduziert Bürden auf Linux").
TOMOYO verwendet, wie SELinux, die LSM-Schnittstelle. Sie läuft als Kernelmodul und steuert direkt die Zugriffsrechte der einzelnen Prozesse auf höchster Systemebene. Durch diesen Präventivschutz sollen Anwendungen vor noch unbekannten Sicherheitslöchern, sogenannten Zero-Day-Exploits, geschützt werden. Welchen Zugriff ein Programm benötigt, um normal zu arbeiten, bestimmen Profile mit individuellen Sicherheitsrichtlinien. Für standardmäßig verwendete Software auf einem GNU/Linux-System werden vorgefertigte Profile mitgeliefert. Anwender und Systemadministratoren können auch eigene Profile für Anwendungen erstellen. Eine weitere Möglichkeit ist der Einsatz von lernfähigen Filtern, während sich ein Programm im Normalbetrieb befindet", Quelle: https://de.wikipedia.org/wiki/TOMOYO_Linux;
Aktivierung: /boot/grub/menu.lst: Option security=none auf security=tomoyo setzen, Verwaltung und Import der Profile aus /etc/tomoyo: msec-gui/msec (rosa2014.1, mdv2010.2), Klick auf Import oder manuell.

Mobil-System iOS, Tagesschau, 28.04.2014
Apple schließt Sicherheitslücke
Der US-Elektronikkonzern Apple hat mit einem Software-Update eine Sicherheitslücke in dem Betriebssystem seiner iPhones und iPads geschlossen. Der Fehler erlaubte es Angreifern unter Umständen, Daten abzufangen, die mit dem sicheren SSL-Protokoll übermittelt werden. Die Lücke wird mit der am Wochenende bereitgestellten neuen System-Version iOS 7.0.6 gestopft. Die meisten Geräte werden automatisch aktualisiert. Sicherheitsexperten wiesen allerdings darauf hin, dass die Software OS X, mit der Apples Mac-Computer laufen, eine ähnliche Schwachstelle aufweise. Der Konzern kündigte an, "sehr bald" ein Update für diese Geräte bereitzustellen. Es gab keine Angaben darüber, ob die Lücke ausgenutzt wurde. Die gesicherte Kommunikation über SSL stand laut Unterlagen des Informanten Edward Snowden auch im Visier des US-Geheimdienst NSA. Gestern hatte Apple vor einem möglichen Datenklau aufgrund der Sicherheitslücke gewarnt. Falls ein Angreifer Zugriff auf das gleiche Netzwerk wie der Nutzer hätten - beispielsweise durch die Nutzung einer ungeschützten WLAN-Verbindung in einem Restaurant - könnte er Zugriff auf E-Mails und andere Kommunikationsvorgänge erhalten, die eigentlich verschlüsselt sein sollten, warnte der Konzern.

Auch die folgenden Probleme haben sich mit UNIX/Linux-Systemen wie mdv2010-final nach den Maßnahmen unseres Exkurses erübrigt:

Zu den (typischen) Problemen anderer Betriebssysteme und erforderlichen Einzelmaßnahmen nach Quelle Focus 01/2015 zählen:
Überflüssige Neustarts, langsames Internet und unerwartete Abstürze: Ein Computer kann ein echtes Folterwerkzeug sein. Dabei lassen sich die meisten Fehler, nervtötende Macken und Probleme mit einfachen Methoden beheben. FOCUS Online zeigt, wie es geht.
Wenn der PC zickt, kann das viele Ursachen haben. Wir zeigen Ihnen die häufigsten Fehler und störenden Einstellungen und erklären, wie Sie sie beheben.
1) Der PC ist zu langsam (mdv2010: stets mausklick-schnell bzw. leichtläufig)

Der Computer startet in Zeitlupe und Programme reagieren schneckenträge: Je länger ein PC im Einsatz ist, desto langsamer wird er. Das kann viele Gründe haben. Um Ihren Computer wieder flott zu kriegen, sollten Sie deshalb die größten Temposünder ermitteln.

OK Unnötige Daten entfernen (mdv2010: keine Anlage unnötiger Daten erkenntlich; man installiere so viel Anwendungen wie man will, am besten so gut wie alle auf einmal; das temporäre Verzeichnis /tmp wird mit dem Hochfahren von selbst entleert)

OK Zunächst sollten Sie überprüfen, ob Ihre Festplatte zu voll ist. Denn viele Anwendungen legen bei der Arbeit temporäre Daten an, ohne sie anschließend zu löschen. Auch bei der Deinstallation von Programmen bleiben häufig Informationen in der Registry zurück, die der Nutzer nicht bemerkt. Zur Grundreinigung Ihres Computers können Sie ein Optimierungsprogramm nutzen, beispielsweise den kostenlosen CCleaner.

OK Grafikprogramme, Spiele und Zusatzsoftware: Im Laufe der Zeit sammelt sich auf jedem Computer eine ansehnliche Sammlung verschiedener Programme an. Wird eines davon nicht mehr verwendet, sollten Sie es löschen, um mehr Speicherplatz zu haben. Die Liste aller Programme finden Sie über das Startmenü in der Systemsteuerung unter der Rubrik "Programme und Funktionen". Hier können Sie alle Programme per Rechtsklick deinstallieren.

OK Programme aus dem Autostart entfernen (mdv2010: keine oder nur geringe Auswirkungen autogestarteter Dienste und Programme)

Beim Autostart werden häufig Anwendungen aufgerufen, die nicht benötigt werden. Um diese Tempobremsen zu entfernen, müssen Sie in die Suche lediglich "msconfig" eingeben. Anschließend rufen Sie mit einem Doppelklick die Datei msconfig.exe auf und wechseln in den Systemstart. Dort können Sie alle unnötigen Anwendungen aus dem Autostart löschen, indem Sie das Häkchen vor der Anwendung entfernen.

2) Träge Downloads (mdv2010 mit Konqueror: hier unbekanntes Phänomen)

Die Internetverbindungen werden schneller, doch die Ladebalken sind bisweilen schneckenträge. Mit einigen einfachen Tricks können Sie Ihren Downloads Beine machen.

OK Parallel laufende Updates unterbrechen

Wenn Downloads für Sie eine Geduldsprobe sind, sollten Sie zunächst prüfen, ob Sie neben dem aktuellen Download noch andere Programme aktiv sind, die im Hintergrund Daten hochladen. In diesem Fall wird die verfügbare Bandbreite nämlich zwischen dem Download und dem Update aufgeteilt. Möglich ist das beispielsweise bei Programmen wie Steam oder Windows. Um den Vorgang ein paar Bits schneller zu machen, sollten Sie während eines Downloads laufende Updates vorübergehend pausieren.

OK Router neu positionieren

Ein falsch aufgestellter Router kann dafür sorgen, dass das WLAN zu langsam ist. Vor allem große metallische Gegenstände oder Wasserrohre können das Funksignal beeinträchtigen. Im Idealfall sollten Sie den Router frei auf einem Möbelstück, beispielsweise einem kleinen Tisch oder Schrank aufstellen.

Genügt Ihnen die WLAN-Geschwindigkeit beim Download trotzdem noch nicht, gewinnen Sie in der Regel einen ordentlichen Temposchub, indem Sie eine LAN-Verbindung nutzen.

Tempotest

Schleicht ihr Download trotzdem dahin, können Sie Ihre Internetgeschwindigkeit testen. Eine Möglichkeit dafür ist beispielsweise Speedmeter.de. Liegt die Geschwindigkeit mehr als 50 Prozent unter dem von Ihnen gebuchten Telefontarif sollten Sie Ihren Anbieter kontaktieren.

Ein instabiles WLAN und plötzlich verschwundene Dokumente lassen viele Nutzer hilflos zurück. Ein Gang zum Fachmann ist aber oft überflüssig. Denn auch hier gibt es Tipps und Tricks, mit denen Sie die Probleme einfach selbst lösen können.

3) WLAN verliert die Verbindung (mdv2010: uns unbekanntes Phänomen)

Die Lieblingsserie bricht an der spannendsten Stelle ab und der Facebook-Chat wird vorzeitig beendet. Eine stabile WLAN-Verbindung aufzubauen, kann eine Herausforderung sein. Wenn der Empfang gut ist, aber die Verbindung trotzdem wiederholt abbricht, sollten Sie überprüfen, ob der Treiber ihrer Netzwerkkarte auf dem aktuellen Stand ist - und ihn gegebenenfalls aktualisieren.

In manchen Fällen kennt auch Ihr Computer die Ursache für den Verbindungsfehler und kann ihn selbstständig beheben. Dazu müssen Sie einen Rechtsklick auf das WLAN-Symbol ausführen und die Fehlerbehebung auswählen.

Deshalb versagt Ihr WLAN in bestimmten Räumen:

4) Downloads verschwinden (mdv2010: unbekanntes Phämen; kein Bedarf an Virenscannern)

Nutzer, die sich das neueste Virenschutzprogramm oder ein spannendes PDF aus dem Netz herunterladen, staunen manchmal nicht schlecht. Denn während Sie den Download während des Ladevorgangs beobachten können, ist das fertige Dokument plötzlich verschwunden. In der Regel werden finden Sie diese Dateien in der Benutzerkontensteuerung im Ordner "Downloads".

Liegt sie dort nicht, können Sie über die Suche den Speicherort herausfinden. Dazu müssen Sie lediglich in das Suchfenster des Startmenüs den Namen der verschwundenen Datei eingeben. Klicken Sie sie mit der rechten Maustaste an und lassen öffnen Sie den Dateipfad.

5) Der PC startet automatisch neu (nach mdv2010 noch schöner!)

Generell gilt: Wenn der Computer einen Neustart durchführen will, sollte man ihn lassen. Denn in der Regel schließt er damit die Installation wichtiger Updates oder neuer Programme ab.

Neustart verhindern (mdv2010: keine Neustarts erforderlich)

OK Wer aber in Ruhe arbeiten möchte und beispielsweise während einer Präsentation keinen automatischen Neustart haben möchte, kann ihn einfach deaktivieren. Windows-7-User müssen dazu im Startmenü einen Rechtsklick auf "Computer" ausführen. Dort finden Sie unter "Eigenschaften", den Punkt "Erweiterte Systemeinstellungen". Hier können Sie in den "Starten und Wiederherstellen Einstellungen" den Haken bei "Automatisch Neustart durchführen" entfernen.

OK Automatische Updates abstellen (mdv2010, MCC: über Software-Aktualisierung nicht erforderlich)

Automatische Windows Updates können Sie über das Startmenü in den "Systemeinstellungen" unter "System und Sicherheit" abstellen. Da über die automatischen Windows-Updates aber regelmäßig Sicherheitslücken geschlossen werden, sollten Sie diese Einstellungen aus Sicherheitsgründen nicht dauerhaft nutzen.

OK Computer reinigen (mdv 2010: i.a. ist keine Wartung erforderlich, Datenblatt: Hardware verbraucht nur wenig Strom und hält ewig)

Führt der Computer ständig grundlos Neustarts durch, kann ein Defekt der Hardware vorliegen. Oft reicht es, das Gerät gründlich zu reinigen. Denn Staub im Lüfter oder anderen kritischen Stellen kann zu einer Überhitzung des Geräts führen. In diesem Fall führen viele Computer aus Sicherheitsgründen automatische Neustarts durch. Hilft die Säuberung des Geräts nicht, empfiehlt sich der Gang zum Experten.

OK Tipps und Tricks
Diese 10 Dinge sind auf Windows Server 2012 R2 verboten, PCwelt.de, 11.09.2015
http://www.pcwelt.de/ratgeber/Diese-10-Dinge-sind-auf-Windows-Server-2012-R2-verboten-Tipps-und-Tricks-9800243.html

Wenn der Rechner nicht tut, was er soll, ist die Hilflosigkeit beim Nutzer meist groß. Doch nicht immer müssen Sie Rat beim Experten suchen. In vielen Fällen kann schon ein kleiner Trick, etwa der Neustart des Computers, kleinere Fehler beheben.


Die entscheidende Idee: "PC-Kühlbox" durch Airodynamik


stammt eigentlich gar nicht mal von uns. Sie beruht nun darauf, von Anfang an alles richtig zu machen. Hier geht es nicht gleich um Software, sondern um die beispielsweise unter Datenblatt noch einmal im Einzelnen OKbeschriebene, energiesparende und das stabile Netzteil zusätzlich entlastende Hardware, gleich beim Gehä,use sei angefangen. Um für optimale Luftzirkulation zu sorgen, das Gehäuse also regelrecht in eine um die konsant 2 bis 10 °ree;C warme Luft abkühlende Kühlbox zu verwandeln, bedarf es eines, besser zweier Gehäusekühler: einen für den Zufluss der Luft vorne am Gehäuse unten und bestenfalls eines weiteren für den Abfluss der Luft an der Rückseite des Gehäuses seitlich neben dem Mainboard weiter oben, während luftdruchlässige Teile des Gehäuses zum Beispiel mit Plastikfolie und Klebeband abgedichtet werden. Die Metallwände des Gehäuses haben nämlich die Eingenschaft, die Kühlung zu verstärken. Wer will, kann für die Luftzufuhr - und abfluss noch eine halbzylinderförmige Leitschiene lägs des Gehäuses zwischen den Kühlern über dem Mainboard führen, jedenfalls frei nach einem Vorschlag vom Serversystem von fr2.rpmfind.net. Die Bildschirm-Aufl&ösung und Bildwiederholungsrate stelle man noch auf "automatisch feststellen" innerhalb eines möglichst großen Bereiches von 59 bis 95 Hz oder höher. Nun kann der (onboard bzw. externe) Grafikchip Augen schonend zeigen, was er insbesonders bei OpenGL und SDL-basierten Computerspielen auch bei extremer Belastung "drauf hat", und auch die Innenteile halten nun länger, wenn nicht ewig.

Mandriva Linux 2010 und Rettungsstysem von Partition (oder USB-Stift/DVD): Die ruhige Kugel


OKBenötigt wird vor allem:




Linux Tipps & Tricks - mdv2010 (el6): SSD schonend und mausklick schnell (leichtläufig) (Fortsetzung)
Die Lesegeschwindigkeit typischer DVD-Laufwerke liegt zwischen vier und zehn MB pro Sekunde. Sticks oder Festplatten am USB-2.0-Port liefern Daten mit etwa 35 MB/s, bei USB 3.0 sind bis zu 450 MB/s erreichbar. Zum Vergleich: Eine durchschnittliche Festplatte bietet etwa 130 MB/s. Für die praktisch erreichbare Geschwindigkeit ist auch die Zugriffszeit entscheidend. Der Flash-Speicher in USB-Sticks oder SSDs erlaubt eine direkte Adressierung der Speicherzellen, was Zugriffszeiten von etwa 0,3 Millisekunden ermöglicht. Bei Festplatten sind es meist um die neun Millisekunden.
Unter Linux lässt sich die Lesegeschwindigkeit in MB/s auf der Kommandozeile über folgenden Befehl ermitteln: "hdparm -t /dev/sda"
"Timing cached reads" ohne Zugriff auf die eigentlichen Datenträger: Diese Werte spiegeln die Leistungsfähigkeit des Systems wieder. Diese Messung ist ein Indiz dafür, wie schnell das Laufwerk sequentielle Daten, ohne jeglichen Dateisystem Overhead, liest: "hdparm -tT /dev/sda"
Ein weiterer Test nutzt ebenfalls die beiden Optionen -t und -T, setzt dazu aber noch die Option --direct ("Use O_DIRECT to bypass page cache for timings"), was zum direkten Lesen unter Umgehung des Page Caches führt. In der Regel nutzt man diesen Test, da dieser nur den Datenfluss misst, den die SSD erreicht, um bestimmte Daten in zwei respektive drei Sekunden zu lesen. Der Befehl lautet "hdparm -tT --direct /dev/sda"
Ob der Kernel die SSD als solche bereits erkennt, kann man sehr einfach in einem Terminal überprüfen. Dazu gibt man den folgenden Befehl ein: cat /sys/block/sda/queue/rotational
Der Wert 0 bzw. null steht für Kernel erkennt SSD. Wert ungleich null: HIer empfiehlt sich das Vorgehen von https://wiki.ubuntuusers.de/SSD/Scheduler/ .
Demnach kann der IO-Scheduler ausgewählt werden: noops, deadline oder CFQ. cat /sys/block/sda/queue/scheduler zeigt in eckigen Klammern den gerade aktiven. Im allgemeinen. bzw. nach obigen Geschwindigkeitstests wähle man insbesonders deadline, auf gleiche Art ferner noops, indem in Grub (analog grub2) in /boot/grub/menu.lst die Option elevator=deadline hinter den Kernel-Optionen kernel=... und ro bzw. rw eingetragen wird.
Erscheint als Ausgabe eine Null bzw. 0, so erkennt der Kernel die SSD bereits als SSD. Andernfalls können die nachfolgenden Änderungen helfen. Die Firmware-Version und TRIM-Support (dicard) verrät der Befehl: "hdparm -iv /dev/sda" bzw. bei Verschlüsselung mit LUKS hdparm -i /dev/mapper/Containerdatei

OK SSDs unter Linux verwenden: http://www.pcwelt.de/ratgeber/Linux-Special-SSDs-unter-Linux-6593528.html. Wir empfehlen die vollständige Installation von Linux auf SSD. Wichtig erscheint uns neben der Aktivierung des BIOS-Modus AHCI und mit "hdparm -I /dev/sda | grep -i TRIM" zu ergründenden Fähigkeit der SSD zum trim (option discard) das Setzen der Option noatime,nodiratime,data=writeback, evtl. einschl. discard für den Eintrag zur Root-, Home- und Temporären Partition in /etc/fstab für Dateisysteme (des Kernels 4.20 mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos)) wie ext3, ext4, btrfs und die Installation von hdparm mit sdparm von el7. commit steht dabei für die Zeit zum Auslesen aus dem Cache und Schreiben auf die SSD. Sie sollte nicht über 600 Sekunden liegen. discard und data=writeback eignen sich auch für die SWAP-Partition. In /etc/crypttab setze man einer Anleitung von Debian nach außerdem die Option "allow-discards" für dm-crypt (gesagt, getan) und /etc/lvm/lvm.conf die Option "allow-discard" für LVM (LVM haben wir ja nicht), bei Btrfs-Dateisystemen zusätzlich die mount-Option "ssd" in /etc/fstab.

Imfalle des meist Performance verbessernden TRIM-Supports der SSD ( Abfrage siehe oben mit hdparm ) sollte man discard nicht nur wie angegeben als Option in fstab und allow-discards nicht nur in crypttab setzen sondern für ext4-Partitionen auch dauerhaft mittels tune2fs:

tune2fs -o discard /dev/Gerätedatei bzw. (bei LUKS) tune2fs /dev/mapper/Containerdatei


OK Damit erhöht sich die Wahrscheinlichkeit, dass der SSD-Trim per "discard" auch wirklich beim Booten aktiviert ist und bleibt.

OK Universal-Linux SCHUSSFEST: Die root- und home-Partition kann man unter gewissen Bedingungen in /etc/fstab und /boot/grub/menu.lst (anloag grub2) außerdem von UNIX/Linux ro (read-only) mounten lassen, danach aber bis zur erneuten Setzung von "rw" in /etc/fstab nichts mehr installieren, nichts mehr in /etc konfigurieren und nichts mehr updaten, Einzelheiten und Bedingungen nach https://wiki.debian.org/ReadonlyRoot (wie immer ohne Gewähr, Anm., Gooken). Diese Sicherheits-Maßnahme ist sicherlich bereichernd, wenn auch ein wenig mit "paranoid" zu werten:

"Read-only rootfs: Theory and Practice - Chris Simmonds, 2net
Configuring the rootfs to be read-only makes embedded systems more robust and reduces the wear on flash storage. In addition, by removing all state from the rootfs it becomes easier to implement system image updates and factory reset.
In this presentation, I show how to identify components that need to store some state, and to split it into volatile state that is needed only until the device shuts down and non-volatile state that is required permanently. I give examples and show various techniques of mapping writes onto volatile or non-volatile storage. To show how this works in practice, I use a standard Yocto Project build and show what changes you have to make to achieve a real-world embedded system with read-only rootfs. In the last section I consider the implications for software image update. Expect a live demonstration">
https://www.youtube.com/watch?v=Nocs3etLs9

https://wiki.debian.org/ReadonlyRoot :
Preconditions Root-Partition read-only (ro)
The FHS allows mounting all underneath /bin, /lib, /sbin and /usr read-only. But you can extend this much more by using different filesystems for some trees and take care for special files.
Locations that must be writable are /etc, /home, /srv, /tmp, /var. The hierarchies below /dev, /proc, /selinux and /sys are already handled by special filesystems.
For /tmp you can use a tmpfs filesystem or its own filesystem. For /var it´s prefered to use its own filesystem. An example can look like this:
Device file Filesystem Mount point RO/RW
/dev/sda1 ext2 / ro
/dev/sda2 ext3
/var rw

tmpfs /tmp rw
/var/local/home bind mount /home rw
/var/local/srv bind mount /srv rw
You can use a filesystem without a journal for /, because you don´t write there and you don´t need the journal. This can be an ext4, too, hence you can take advantage of the improvements of ext4. Create the filesystem with mke2fs -t ext4 -O ^has_journal /dev/sda1 or remove the journal with tune2fs -O ^has_journal /dev/sda1.
Special files in /etc
You have to take care for some files in /etc. These are
adjtime
because it´s modified on boot up; see bug 156489
Solution for mdv and el6,el7: Change the hwclock-command in /etc/init.d/reboot and /etc/init.d/halt from "hwclock --systohc" to "hwclock --systohc --adjfile=/var/local/adjtime".
Solution for Debian Wheezy:
Create a symlink from /etc/adjtime to /var/local/adjtime and
(1) add the option --noadjfile to HWCLOCKPARS in /etc/init.d/hwclockfirst.sh and /etc/init.d/hwclock.sh
or
(2) fix /etc/init.d/hwclockfirst.sh by replacing -f by -L in "if [ -w /etc ] && [ ! -f /etc/adjtime ] && [ ! -e /etc/adjtime ]; then"; see 520606.
alsa: init.d/alsa-utils
All versions before alsa-utils/1.0.27.2-1 (@2013-10-25 concerns wheezy version) of alsa-utils package startup script creates /.pulse files, leading to multiple error messages "Failed to create secure directory" when pulseaudio is installed.
Relevant bug: 712980
blkid.tab
because it´s modified at runtime by libblkid1
Solution:You can´t create a symlink from /etc/blkid.tab to /var/local/blkid.tab because, unfortunately, libblkid1 will not honor this symlink. It will replace it on every write by a file, if the filesystem is mounted for writing (e.g. while doing an apt-get install). To work around this you must set the environment variable BLKID_FILE to /var/local/blkid.tab. You should do this in /etc/environment to set the variable for everybody, who might do mounting.
courier imap
Courier IMAP uses a text file (/etc/courier/shared/index) for fast user lookups, if running as a mail server for virtual mailboxes (the default configuration of authenticating against pam is unaffected by this).
If using virtual mailboxes with shared accounts the file will need to be moved elsewhere, the directory /var/cache/courier/shared/ would be suitable but will need to be manually created.
Once that is done update /etc/courier/imapd and change IMAP_SHAREDINDEXFILE to IMAP_SHAREDINDEXFILE=/etc/courier/shared/index .
See http://www.courier-mta.org/imap/README.sharedfolders.html for information upstream provide about this setting.
cups
CUPS stores any kind of state files under /etc (classes.conf, cupsd.conf, printers.conf subscriptions.conf) and upstream is against any modification.
Relevant bug: 549673
lvm
Lvm stores a backup of current and archives of previous metadata in /etc/lvm/{backup,archive}. That causes any operation altering the metadata (vgreduce, vgextend, lvcreate, lvremove, lvresize, ...) to fail if / is not remounted read-write during the operation.
Solution: The location of the backup and archives is specified in /etc/lvm/lvm.conf. Set backup_dir = "/var/backups/lvm/backup" and archive_dir = "/var/backups/lvm/archive", create /var/backups/lvm and move /etc/lvm/backup and /etc/lvm/archive there.
Note: Lvm normally creates a backup during boot. This no longer happens as it is smart enough to see that /var is not yet mounted (or still read-only). But unless you use cluster lvm you will always already have a current backup from the last time you changed the metadata. So no harm done.
Relevant bugs: 372207 562234 (for etckeeper behavior WRT LVM files see 462355)
mtab used by mount
Solution: Create a symlink from /etc/mtab to /proc/self/mounts
mount.cifs (before smbfs 2:3.4.3-1) doesn´t honour this symlink and replace it with a real file; see 408394
mtab is in /etc for historical reasons as per FHS 2.3.
network/run
Used by ifupdown up to Squeeze
Solution: ifupdown links /etc/network/run to /run/network in postinst if /etc/network/run is not a directory.
rm -rf /etc/network/run
dpkg-reconfigure ifupdown
Alternatively: Create a symlink from /etc/network/run to /lib/init/rw/etc-network-run (network/run is accessed by ifupdown init scripts before /var might be mounted, therefore, the abuse of /lib/init/rw)
Systems running Wheezy will be automatically moved to using /run/network no matter what their existing configuration was.
Relevant bug: 389996
nologin
modified on boot up by the initscripts bootmisc.sh and rmnologin
This should already be a symlink to /var/lib/initscripts/nologin
In wheezy the init scripts directly modify /var/lib/initscripts/nologin
resolv.conf
If you have only a static nameserver configuration, then there´s no problem. Otherwise you should use the package resolvconf.
passwd, shadow
These files might be modified by the user with the tools chfn, chsh and passwd. If you are the only user of you system, you can remount the filesystem read/write, before using these tools. Otherwise you might think about using NIS or LDAP.
samba/dhcp.conf
If the dhcp3-client (AKA isc-dhcp-client) package is installed, every time a DHCP connection is established, /etc/dhcp3/dhclient-enter-hooks.d/samba creates /etc/samba/dhcp.conf, no matter if it is used or not in /etc/samba/smb.conf.
Relevant bug: 629406
suck
suck puts files in /etc/suck which are modified by suck at runtime; see 206631 To work around this problem, you have to move /etc/suck/sucknewsrc* to a new directory /var/local/suck, create a symlink /etc/suck/suckkillfile to /var/local/suck/suckkillfile and set etcdir in get-news.conf to /var/local/suck (this sets the -dd option of suck)
udev
If the udev rules 75-cd-aliases-generator.rules and 75-persistent-net-generator.rules are enabled, udev will try to update the files 70-persistent-cd.rules and 70-persistent-net.rules in /etc/udev/rules.d/ if needed. It is recommended to create the files once with all the rules needed and then disable the /etc/init.d/udev-mtab init script. While the root is readonly, new rules are added to /dev/.udev/rules.d/.

Copy /var/lock or /var/lock/* to the mini-partition for /var. Do this also for /tmp or set kernel-partition /tmp to read-write. Copy /var/log/* to it too and link it to /tmp: "ln -sf /tmp /var/log/*".

Link the konqueror-browser-cache to /tmp: This means linking some cache-files of /home/user/.kde4 resp. /home/surfuser/.kde4 with the temporary /tmp one.

Enable readonly root
To make your root filesystem is mounted readonly you must edit your /etc/fstab and set the mount option ro.
# /etc/fstab: static file system information.
#
# file system mount point fs-type options dump pass
/dev/hda1 / ext2 defaults,noatime,ro,errors=remount-ro 0 0
/dev/hda4 /var ext3 defaults 0 2
The option noatime is useful while the disk is mounted read/write while updates.
https://wiki.debian.org/ReadonlyRoot, http://xpt.sourceforge.net/techdocs/nix/sysmng/sm08-ReadOnlyRootFileSystem/, http://www.linuxfromscratch.org/hints/downloads/files/readonly_rootfs.txt und http://www.logicsupply.com/explore/io-hub/how-to-build-a-read-only-linux-system/.,
ext4 partition READ ONLY mounten - forum.ubuntuusers.de
forum.ubuntuusers.de/topic/ext4-partition-read-only-mounten

Nächster Schritt: Deaktivieren des Journallings (reiserfs: Option nolog) und
der Dateisystem-Checks beim Booten (fsck, reiserfck, e2fck,...) mit tune2fs (ext4) bzw. reiserfstune bzw. fs-check-Paramter fü,r root-Partition auf 0 in /etc/fstab..

Nun ist in /etc/rc.sysinit noch eine kleine Korrektur vorzunehmen:
"if remount_needed ; then
action "Remounting root filesystem in read-write mode: " mount -n -o remount,rw /
fi"
nach
"if remount_needed ; then
action "Remounting root filesystem in read-write mode: " mount -n -o remount /
fi"
siehe https://bbs.archlinux.org/viewtopic.php?id=135943

Schließlich sollte für grub (entsprechend grub2) noch die Kernel-Option "ro" in /boot/grub/menu.lst in etwa nach der Stelle "root=UUID..." nachgetragen werden.

Nach dem möglichst vollständigen Updaten empfiehlt sich also au&slig;erdem noch das Deaktiveren des für Wiederherstellung den letzten fehlerfreien Zustand einer Partition in Logs abspeichernden Journallings wie bei reiserfs mittels Option "nolog":


Never mind or nevertheless: Möglicherweise funktioniert das Setzen von "read-only" für die Wurzel- bzw. Root-Partition nach den eben vorgestellten Schritten immer noch nicht. Folgender Artikel hilft dann mit Sicherheit weiter:
"DESCRIPTION: A read-only root file system has many advantages over read-write when the computer unexpectedly powers off. However, some parts of the file system still need read-write access. This hint will show how to split the file system into multiple partitions to achieve data stability."
http://xpt.sourceforge.net/techdocs/nix/sysmng/sm08-ReadOnlyRootFileSystem/single/

Read Only RootFS Partition
Lukas Schauer, Mar 3, 2014 · 2 revisions
Home
Hardware
Installationsanleitung
Read Only RootFS Partition
https://github.com/lukas2511/FlederSchranke.wiki.git
"Da ich nicht wollte, dass mir irgendetwas meine RootFS-Partition mit Logs o.Ä. vollschreibt, habe ich diese Read-Only gemountet.
Um trotzdem noch Logs für die Lichtschranke und die Wetterdaten zu schreiben habe ich eine MicroSD-Karte verbaut und /etc/fstab folgendermaßen angepasst:"

https://github.com/lukas2511/FlederSchranke/wiki/Read-Only-RootFS-Partition

Das Sicherheitsniveau von Software ist nicht nur von Stabilität gekennzeichnet, sondern auch von der Fehlerfreiheit und Freiheit von Warnungen während des Eincompilierens ihrer Quellen. Der Compiler gibt dabei Fehler und Warnungen aus.
Kernel-2.6.32 (el6) weist dabei noch so einige Fehler auf, viele beruhen auf kmem.h, während sich auf dem von uns vorgestellten System kernel-4.14 (PCLinuxOS) fehlerfrei und weitgehend frei von Warnungen eincompilieren ließ! Nur der dirty-cow-patch in mm.h und memory.c (aus dem Internet) sollte bei kernel-2.6.39.4-5.1 (mdv2011) noch durchgeführt werden. Aktuelle Patches von Jahr 2012 bis 2016 für 2.6.39 sind von siehe unter Updates erhältlich.

Nach der Installation des kernel-4.19 (pclos) gehe noch seinen Anforderungen nach und installiere davon noch nicht erfüllte wie kmod (pclos): "rpm -qi --requires kernel-4.19....".

Neuer Kernel: konfigurieren und installieren


OKDownloade und installiere alle für den Kernel erforderlichen Pakete. Welche das sind, erfährt man über "rpm -qi --requires kernelpaketname". Downloade und entpacke das Kernel-Quellpaket nach /usr/src mit "tar -xvjf kernel-source-package" oder file-roller. Ein neues Verzeichnis namens "linux-kernelversion-xxx" oder "kernel-source-xxx" wird in /usr/src erzeugt.
Linke dieses Verzeichnis mit einer Link-Datei namens linux: "ln -sf linux-xxx linux" resp. "ln -sf kernel-source-xxx linux".
Wechsele in das Verzeichnis linux resp. linux-xxx resp. kernel-source-xxxx und rufe "menu oldconfig" auf, die eine Datei namens .config zur Konfiguraiton des Kernels erzeugt.
Gebe "menu xconfig" oder "menu gconfig" oder "make menuconfig" ein und konfiguriere die Kernel-Eigenschaften und -treiber, die benötigt werden (CC), im Zweifelsfall zumindest wahlweise als Modul (CC MM) und wähle dabei diejenigen ab, auf die verzichtet werden soll.
Setze außerdem die Kernel-Version am Anfang des makefile.

OK Ein Menü erscheint nach dem Aufruf. Für FSE (Full System Encryption) mit dracut, müssen zwei Optionen aktiviert sein wie bei kernel-desktop (mdv2011) aber nicht kernel (el6) bereits der Fall:
Innerhalb des ersten Menüeintrags "General Setup" aktiviere "Initial-RAM-filesystem and RAM-disk-support"und in "General Drivers" die Option "Maintain a devtmpfs at /dev/ with subitem "automount devtmpfs at /dev, after the kernel mounted the rootfs".

USA
Gemeinschaft::Organisationen
59.900,50 US-Dollar für Arbeitsstunden und 2.403,12 US-Dollar für Auslagen
Grsecurity soll Anwaltsgebühren zahlen

Nach einer Niederlage gegen Bruce Perens vor Gericht im Dezember kündigte Open Source Security Inc., die Firma hinter den Grsecurity-Kernel-Patches, die nächste Instanz an. Nun wurde das Unternehmen - noch vor der Entscheidung der nächsten Instanz - zur Zahlung Perens´ Anwaltsgebühren verurteilt.
Bereits seit geraumer Zeit warnen Entwickler und OpenSource-Advokaten vor Teilen der von Grsecurity vertriebenen Patches. So äußerte sich unter anderem Linus Torvalds abfällig über die Patches des Projektes und bezeichnete Grsecuritys Patches als "Müll" und deren Entwickler als "Clowns". Ebenfalls keine gute Meinung über die Sicherheitserweiterung des Kernels vertritt Bruce Perens, der die Kunden des Unternehmens warnte, dass sie sich mit der Verwendung von Grsecurity unter Umständen der mittelbaren Urheberrechtsverletzung sowie des Vertragsbruchs schuldig machen. Perens Motivation zu dieser Aussage lag darin begründet, dass Grsecurity-Gründer Brad Spengler seinen Kunden untersagt hatte, die mittlerweile kostenpflichtigen Patches weiterzugeben, und sie bei Zuwiderhandlung mit Vertragskündigung bedrohte. Im August 2017 hatte die "Open Source Security Inc.", die Grsecurity vertreibt, Perens wegen Verleumdung und Geschäftsschädigung verklagt.
Am 22. Dezember gab das Gericht dem Gesuch von Perens auf Niederschlagung der Anklage recht und verwarf den Vorwurf der Verleumdung, ließ aber den Weg für die nächste Instanz offen, was auch passierte. Im Januar legte Open Source Security Berufung gegen die Entscheidung beim US-amerikanischen Berufungsgericht ein und einem Monat später folgte Perens und sein Anwaltsteam mit einem Antrag, die Kosten für den Rechtsstreit - insgesamt mehr eine halbe Million US-Dollar - nach dem kalifornischen Anti-SLAPP-Gesetz ersetzt zu bekommen. Open Source Security wies den Betrag als überhöht zurück. Am Wochenende stimmte jedoch Richterin Laurel Beeler dem Antrag zu.
Die von Perens´ Anwälten angebrachten Gebühren halte Beeler zwar laut einem Bericht von The Register für überhöht, eine Zahlung von 259.900,50 US-Dollar für Arbeitsstunden und 2.403,12 US-Dollar für Auslagen für durchaus angebracht. Ferner verwarf Beeler den Antrag der Anwälte, die Zahlung der Gebühren zu verschieben, bis die Beschwerde bearbeitet wurde. Die Kostennote seit demnach rechtskräftig und müsse beglichen werden.
"Leider ist dies ein Rückschlag für uns", sagte Rohit Chhabra, Gründer der Anwaltskanzlei Chhabra und Anwalt von Open Source Security, in einer E-Mail an "The Register". Das Unternehmen sei aber zuversichtlich, den Streit letztlich gewinnen zu können.
https://www.pro-linux.de/news/1/25985/grsecurity-soll-anwaltsgeb%C3%BChren-zahlen.html


"I too trust grsecurity/pax, my Debian wouldn"t be in harmony with me and my world without them... Anyone else to pitch in and help/lobby/solve our queries?"
http://forums.debian.net/viewtopic.php?t=103302

Wir halten die grsecurity-Linux-Kernel-Patches und paxctld für unverzichtbar, wie allein aus der ausführlichen Konfiguration der zahlreichen Einzelpunkte nach dem Einspielen der Patches hervorgehend, Anm., Gooken:

http://rpmfind.rediris.es/rpm2html/suse-8.2/secumod-1.6e-91.x86_64.html
Nice description, but as far, as I know this kernelmodule does following.
The system is been protected by disallowing several things

- ´texec´ : TPE protection (Trusted Path Execution, more on this later)


- ´procfs´ : procfs protection

- ´hardlink´ : hardlink create protection

- ´symlink´ : symlink follow protection

- ´rawdisk´ : rawdisk protection

- ´pipe´ : Pipe (FIFO) protection

- ´trace´ : process trace protection

- ´systable´ : syscall table checking

- ´logging´ : if you want logging, turn this on

- ´persist´ : by default this is set to 0, so the module can be unloaded, but you may set it to 1 to make it unremovable

- ´capbits´ : set the capbits value. You have to supply a certain mode for the capbits variable.

Hardlink/symlinkprotection protects the system from making this links for users.
Persist sets a capability that the module cannot be unloaded.
Capbits are kernelbits, that define certain rights even for root - in normal
case root could do allmost anything.
Like in all cases you have to know, what you do, because with that module
loaded some processes will not have the full rights they need.
For example I tried a /proc protection module and hotplug freezed after that
(not funny).
There is no real desription of anything reguarding that module and I don´t
know, which bits to set and which not!
Another thing is the opensource thing within that modules, because you can only use them on SuSE (with some disadvantages you can use the
firewallscript on Debian and Red Hat).
It is allways a nice thing to make more a secret of a thing, than
describing, how it works.
Philippe
https://archive.cert.uni-stuttgart.de/suse-security/2003/09/msg00202.html

OKgrsecurity-patch - Components (merklich ähnlich secumod), en.wikipedia.org
Kernelquelle im Unterverzeichnis von /usr/src/kernel-version/, "patch -p1 < ../grsecurity.patch"
PaX
A major component bundled with grsecurity is PaX. Among other features, the patch flags data memory, the stack, for example, as non-executable and program memory as non-writable. The aim is to prevent memory from being overwritten, which can help to prevent many types of security vulnerabilities, such as buffer overflows. PaX also provides address space layout randomization (ASLR), which randomizes important memory addresses to reduce the probability of attacks that rely on easily predicted memory addresses.
Role-based access control
Another notable component of grsecurity is that it provides a full role-based access control (RBAC) system. RBAC is intended to restrict access to the system further than what is normally provided by Unix access control lists, with the aim of creating a fully least-privilege system, where users and processes have the absolute minimum privileges to work correctly and nothing more. This way, if the system is compromised, the ability of the attacker to damage or gain sensitive information on the system can be drastically reduced. RBAC works through a collection of roles. Each role can have individual restrictions on what it can or cannot do, and these roles and restrictions form an access policy which can be amended as needed.
A list of RBAC features
: Domain support for users and groups
Role transition tables
IP-based roles
Non-root access to special roles
Special roles that require no authentication
Nested subjects
Support for variables in the configuration
And, or, and difference set operations on variables in configuration
Object mode that controls the creation of setuid and setgid files
Create and delete object modes
Kernel interpretation of inheritance
Real-time regular expression resolution
Ability to deny ptraces to specific processes
User and group transition checking and enforcement on an inclusive or exclusive basis
/dev/grsec entry for kernel authentication and learning logs
Next-generation code that produces least-privilege policies for the entire system with no configuration
Policy statistics for gradm
Inheritance-based learning
Learning configuration file that allows the administrator to enable inheritance-based learning or disable learning on specific paths
Full path names for offending process and parent process
RBAC status function for gradm
/proc/<pid>/ipaddr gives the remote address of the person who started a given process
Secure policy enforcement
Supports read, write, append, execute, view, and read-only ptrace object permissions
Supports hide, protect, and override subject flags
Supports the PaX flags
Shared memory protection feature
Integrated local attack response on all alerts
Subject flag that ensures a process can never execute trojaned code
Full-featured, fine-grained auditing
Resource, socket, and capability support
Protection against exploit bruteforcing
/proc/pid filedescriptor/memory protection
Rules can be placed on non-existent files/processes
Policy regeneration on subjects and objects
Configurable log suppression
Configurable process accounting
Human-readable configuration
Not filesystem or architecture dependent
Scales well: supports as many policies as memory can handle with the same performance hit
No run-time memory allocation
SMP safe
O(1) time efficiency for most operations
Include directive for specifying additional policies
Enable, disable, reload capabilities
Option to hide kernel processes


Chroot restrictions
grsecurity restricts chroot in a variety of ways to prevent various vulnerabilities and privilege escalation attacks, as well as to add additional checks:
No attaching shared memory outside chroot
No kill, ptrace (architecture-independent), capget, setpgid, getpgid and getsid outside chroot
No sending of signals by fcntl outside chroot
No viewing of any process outside chroot, even if /proc is mounted
No mounting or remounting
No pivot_root
No double chroot
No fchdir out of chroot
Enforced chdir("/") upon chroot
No (f)chmod +s
No mknod
No sysctl writes
No raising of scheduler priority
No connecting to abstract unix domain sockets outside chroot
Removal of harmful privileges via cap


Miscellaneous features
Among other things, it can be configured to audit a specific group of users, mounting/unmounting of devices, changes to the system time and date, and chdir logging. Some of the other audit types allow the administrator to also log denied resource attempts, failed fork attempts, IPC creation and removal, and exec logging together with its arguments.
Trusted path execution is another optional feature that can be used to prevent users from executing binaries not owned by the root user, or world-writable binaries. This is useful to prevent users from executing their own malicious
binaries or accidentally executing world-writable system binaries that could have been modified by a malicious user. grsecurity also hardens the way chroot "jails" work. A chroot jail can be used to isolate a particular process from the rest of the system, which can be used to minimise the potential for damage should the service be compromised. There are ways to "break out" of a chroot jail, which grsecurity attempts to prevent.
There are also other features that increase security and prevent users from gaining unnecessary knowledge about the system, such as restricting the dmesg and netstat commands to the root user.[13]
List of additional features and security improvements:
/proc restrictions that do not leak information about process owners
Symlink/hardlink restrictions to prevent /tmp races
FIFO restrictions
dmesg restriction
Enhanced implementation of trusted path execution
GID-based socket restrictions
Nearly all options are sysctl-tunable, with a locking mechanism
All alerts and audits support a feature that logs the IP address of the attacker with the log
Stream connections across Unix domain sockets carry the attacker´s IP address with them (on 2.4 only)
Detection of local connections: copies attacker´s IP address to the other task
Automatic deterrence of exploit brute-forcing
Low, medium, high, and custom security levels
Tunable flood-time and burst for logging

https://en.wikipedia.org/wiki/Grsecurity


Beachte: Eine Aktivierung einiger Optionen kann schwere Fehlfunktionen des Kernels verursachen!

OKpaxctld (rpm von http://www.grsecurity.net) installieren

Speichere nun die neu erzeugte Datei .config. ab.
Es bestehen nun drei Möglischkeiten, nach einem Patch der Kernel-Quellen:
make -i rpm (um das binäre Paket zu erzeugen. Dauer auf unserem System: um die vier Stunden!),
make bzImage (erzeugt die Datei bzImage ohne die Kernel-Module und somit nur den Kernel-Kern vmlinuz: Dauer: um die 30 Minuten) oder
make bzImage &&make modules &&make modules_install für die Installation von vmlinuz einschließlich der Kernelmodule.

Kopiere die Datei bzImage nach /boot und benenne sie in die Datei vmlinuz-kernelversion um.
Erzeuge initrd und/oder wie im Falle des FSE (insbes. bei Verwendung einer verschlüsselten Root-Partition) initramfs mittels mkinitrd bzw. dracut. Einzelheiten für dracut entnehmen sie Manual man und unter FSE
Schließlich ist noch grub auf vmlinuz-kernelversion, initrd-kernelversion.img bzw. initramfs-kernelversion.img hin anzupassen. Zu diesem Zweck editiere /boot/grub/menu.lst und passei die Einträge f&uum;r vmlinuz-kernel-version und unter initrd an.
So einfach ist das also, fertig.

In unserer /grub/menu.lst, analog für grub2, befindet sich nun aufgrund nach gentoo-Schnatterente durchgefürhten FSE (Full System Encryption mit LUKS) der Eintrag:
title dracut-mga6-044-Linux
password --md5 DOLLARSIGN213Axb2212...


kernel (hd0,1)/vmlinuz-4.20.13-pclos1 BOOT_IMAGE=4.20.13-pclos1 root=UUID=... rootfstype=ext4 elevator=deadline security=none speedboot=yes intel.audio=1 intel.modeset=1 intel.dpm=1 apparmor=0 selinux=0 audit=0 nosmp iomem=strict hibernate=protect_image disable=IPV6 KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.multipath=0 rd.dm=0 rd.lvm=0 rd.md=0 rd.luks.allow-discards rd.luks.uuid=... desktop=kde tz=Europe/Berlin video=VGA-1:1366x768 vga=795
initrd (hd0,7)/initramfs

"0 aus (hd0,7) steht für sda, 1 für sdb usw. und 7 für die Boot-Partition sda8, "deadline" für den zur Optimierung der SSD empfohlenen Elevator bzw. Scheduler, Einzelheiten folgen in Kürze unter den hierfür benötigten echo-Befehlen.

Abfrage der Trim-Eigenschaft einer SSD zwecks TRIM mit discard-Option ext4 aus /etc/fstab:

hdparm -I /dev/sda | grep -i trim


Partitionierung mit MCC-"Partitionsmanager oder gparted auf parted,
unsere Partitionen auf SanDisk SSD 120 GB:
OK LUKS-(cryptsetup)-verschlüsselte Extra-Partition (für sensible Daten usw. bzw. zur freien Verwendung, mit Anlage einer Key-Datei, daher automatische Entschlüsselung): 29 GB
OK LUKS-(cryptsetup)-verschlüsselte root-Partition, "schnatterschnatter", aber keine Ente: 50 GB
OK LUKS-(cryptsetup)-verschlüsselte (urandom- beim Booten selbst ver- und entschlüsselnde) SWAP-Partition: 1,9 GB (2 GB RAM)
OK Boot-Partition (unverschlüsselt, daher unter /root in einem eigenen Verzeichnis nochmal zu sichern, um die Dateiumfänge direkt oder mit md5sum bzw. sha1sum gelegentlich zu vergleichen): 203 MB
OK KNOPPIX-Partition für Knoppix-verschlüsselte Knoppix (Rettungssystem von DVD aus dem Jahr 2010, Debian Ol´ Wheezy, aktualisiert auf den Stand Jahr 2016, unter vielem anderen mit gparted, Kopierbefehl dd und zuzüglich installiertem LUKS(cryptsetup) zum Bearbeiten der anderen Partitionen): 894 MB
OK LUKS-(cryptsetup)-verschlüsselte (und mit einer Key-Datei von der Root-Partition bereits beim Booten entschlüsselte) Home-Partition: 34 GB

Vorteil: einfache Handhabung, ohne Logical Volume Management (LVM)!

1:1 auf einem (hier demselben) Sicherungsmedium, einer weiteren SanDisk 120 GB.

/etc/crypttab
# <target name> <source device> <key file> <options>
cryptohome UUID=.... /somewhere/keyfile luks,data=ordered,allow-discards
cryptswap /dev/sda_certain_number /dev/urandom swap,check=/bin/true,data=ordered,allow-discards

/boot/grub/menu.lst:
setkey y z
setkey z y
setkey Y Z
setkey Z Y
setkey equal parenright
setkey parenright parenleft
setkey parenleft asterisk
setkey doublequote at
setkey plus bracketright
setkey minus slash
setkey slash ampersand
setkey ampersand percent
setkey percent caret
setkey underscore question
setkey question underscore
setkey semicolon less
setkey less numbersign
setkey numbersign backslash
setkey colon greater
setkey greater bar
setkey asterisk braceright
timeout 10
password --md5 ...
default 0
title drc008win1smp
password --md5 DOLLARSIGN.../


kernel (hd0,1)/vmlinuz-4.20.13-pclos1 BOOT_IMAGE=4.20.13-pclos1 root=UUID=... rootfstype=ext4 elevator=deadline security=none speedboot=yes intel.audio=1 intel.modeset=1 intel.dpm=1 apparmor=0 selinux=0 audit=0 nosmp iomem=strict hibernate=protect_image disable=IPV6 KEYMAP=de LANG=de_DE.UTF-8 rd.luks=1 rd.multipath=0 rd.dm=0 rd.lvm=0 rd.md=0 rd.luks.allow-discards rd.luks.uuid=... desktop=kde tz=Europe/Berlin video=VGA-1:1366x768 vga=795
initrd (hd0,7)/initramfs-4.20.13


Die Root-Partition erwies sich dabei für"Universal Linux 2010" mit fast allem Drum und Dran als recht ausgelastet, wir empfehlen mindestens 60 GB zulasten der Extra-Partition.

OK Wir setzten in /etc/fstab für ext4, reiserfs (dasselbe ohne discard), reiser4fs (mit discard), btrfs (Kernel 4.20 mit mkinitrd (pclos, rosa, mga2), nash (pclos, rosa, mga2), dracut (mga6: Version: 044, el6: Version 004 (leads into manual LUKS-password request even in the case of existing password-key-file!, mdv2011: Version 008)) und glibc (el8, pclos), kernel-desktop-2.6.39.4-5.1), ...:

Reihenfolge jedes Eintrags in der Gerätekonfigurationsdatei /etc/fstab: 1 Gerätedatei (Partition oder Laufwerk))/Gerät/UUID/Kernelpartition 2 Mountpunkt 3 Dateisystem 4 Mount-Optionen 5 Speicherabzug (Dump) 6 fsck (Selbstscheck beim Booten), i.e.:

OKroot-partition: UUID=... / ext4 notail,noatime,nodiratime,barrier=flush,data=writeback,nouser,async,user_xattr,mode=500,commit=0,umask=077,iocharset=utf-8,acl 0 # Entschlüsselung per USB-Stift oder manuelle Passworteingabe
Bootpartition (hier wegen dracut): UUID=... /boot ext4 noatime,nodiratime,noexec,nouser,ro,async,mode=500,umask=077,user_xattr,data=writeback,commit=0,iocharset=utf-8,acl 0 3
OKHome-Partition: /dev/mapper/cryptohome /home ext4 rw,nosuid,nodev,noexec,auto,noatime,nodiratime,discard,async,data=writeback,commit=0,nouser_xattr,barrier=1,journal_checksum,mode=700,umask=077,errors=remount-ro,iocharset=utf-8 0 # cryptsetup-Passwort vorzugsweise in Datei (--key-file=pfad_keyfile/key.asc mit chown root:root key.asc und chmod 400 key.asc). Damit ist die Partition nur noch über die Root-Partition mit dem Key-File zugänglich)
OK/dev/cdrom /media/cdrom auto umask=0,users,noauto,iocharset=utf8,ro,exec 0 0
OKproc /sid-root/proc proc notail,noatime,nodiratime,rw,noexec,nodev,nouser,nosuid,data=writeback,mode=555 0 0 # mausklick-schnell, exec or noexec
OKnone /proc proc notail,noatime,nodiratime,rw,noexec,nodev,nouser,nosuid,data=writeback,mode=555 ,hidepid=2,gid=user,surfgroup,torgroup,sys 0 0
OK# usbfs /proc/bus/usb usbfs rw,relatime,devgid=43,devmode=664,noexec,nosuid 0 0 # falls nicht bereits während des Bootens eingebunden; beachte: der MCC-Partitionsmanager usw. vermisst danach /proc/bus/usb
OKsysfs /sid-root/sys sysfs notail,noatime,nodiratime,rw,noexec,nouser,nosuid,nodev,data=writeback,mode=555 0 0
OKTemporary, tmp ins RAM:
OKtmpfs /tmp tmpfs noatime,nodiratime,noexec,ro,nodev,nouser,nosuid,mode=1777,size=8M 0 0 # originales temporäres Verzeichnis /tmp, das mit der Verwendung der firejail-Option "private-tmp" in den Konfiguraitonsdateien unter /etc/firejail verdeckt wird.
OKshm /tmp tmpfs noatime,nodiratime,noexec,rw,nodev,nosuid,nouser,mode=1777 0 0
OKtmpfs /tmp2 tmpfs noatime,nodiratime,noexec,ro,nodev,nouser,nosuid,mode=1777,size=128M 0 0 # Ein weiteres temporäres Verzeichnis für die Up- und Downloads etc.
OKshm /tmp2 tmpfs noatime,nodiratime,noexec,rw,nodev,nosuid,nouser,mode=1777 0 0
#SWAP:
OK/dev/mapper/cryptswap swap swap defaults,discard,data=writeback 0 0
OKnone /dev/pts devpts rw,mode=620,gid=5
OKUUID=... /var/local ext4 rw,noatime,nodiratime,nosuid,aync,nodev,noexec,user_xattr,acl,barrier=1,data=writeback,commit=0,mode=755,umask=077,commit=180,iocharset=utf8 # in der Gröszlig;e von um die 1 GB nur benötigt, um die Root-Partition read-only zu mounten
OKbinfmt /proc/sys/fs/binfmt_misc binfmt_misc rw,noatime 0 0 # binfmt_misc ist eine Fähigkeit des Linux-Kernels, beliebige ausführbare Dateien zu erkennen und einem bestimmten Programm im User-Mode zu übergeben, wie beispielsweise einem Interpreter oder einem Programmstarter, der das Programm in den Arbeitsspeicher lädt. Es handelt sich um ein optionales Kernel-Modul, durch welches im Prinzip jede Datei als Programm ausgeführt werden kann. Dadurch grenzt es sich gegenüber anderen Techniken, zum Beispiel dem Shebang-Mechanismus, ab. Die ausführbaren Formate werden in einer zentralen datenbankartigen Form in einem virtuellen Dateisystem, der sogenannten Registrierung, gespeichert, welches ähnlich wie devfs, procfs oder sysfs arbeitet. Standardmäßig wird dieses Dateisystem unter /proc/sys/fs/binfmt_misc eingebunden, https://de.wikipedia.org/wiki/Binfmt_misc
OKsecurityfs /sys/kernel/security /mnt/any_mountpoint securityfs rw,noatime 0 0 # lsm, secure fs für kernel-security-modules wie apparmor und tomoyo; ... oder hänge es innerhalb /etc/rc.local ein: "mount -t securityfs -o rw,noatime /sys/kernel/security /mnt2"
# /etc/fstab des USB-Speicherstifts mit mdv2010.2 lautet bei uns übrigens: /dev/sda1 / unionfs 0 1

hier wg. reiserfs und ext3 root- und home-Partition noch ohne Option discard ... und in /etc/crypttab:
OKcryptedhomepartitionname UUID=... pathtokeyfile/keyfile luks,data=writeback,allow-discards
OKcryptedswap /dev/sdaNUMBER /dev/urandom swap,check=/bin/true,data=writeback,allow-discards

/dev/mapper/usbstick1 /media/mnt_usb vfat rw,nosuid,nodev,uhelper=hal,users,noexec,uid=10001,utf8,shortname=mixed,flush,umask=077 0 1 # Eintrag in /etc/crypttab genügt; LUKS-verschlüsselter USB-Speicherstift mit Eintrag der (per mount -l aufgelisteter) UUID und cryptusb in /etc/crypttab, der sich wie obige verschlüsselte Home-Partition cryptohome obendrein nach Erzeugung eines key-files mit folgendem Eintrag in /etc/crypttab beim System-Boot jedesmal automatisch per key-file mounten (einbinden) lässt: "cryptsetup luksAddKey /dev/sdc1 Pfad_zum_keyfile/keyfile". Natürlich kann das Key-File von crypttohome auch für den USB-Stift genutzt werden. Die lästige Passwortabfrage zur Entschlüsselung bleibt nun jedesmal beim System-Start erspart. Dennoch muss ein USB-Stift i.a. nicht wie hier in /etc/fstab verzeichnet sein, nur bei Problemen mit dem Hotplug.

SSD: commit=0: mausklick-schnell

Die Zahlenpaare am Ende vieler Zeilen wie "0 1" stehen übrigends für dump und fsck (filesystem check), hier einmal "no" und einmal "yes", wobei die Zahl prioritisiert: 0 für no (kein Check), 1 für root-Partition, 2 all other (Partitionen) und 3 all less important (Partitionen) (Quelle: Internet). Damit kann ein Journalling-Dateisystem wie reiserfs und ext3 bereits nach dem Booten (eigentlich) keine Defekte mehr aufweisen. Sollten wir uns hier trotzdem getäuscht haben, verhilft bei reiserfs die manuelle Eingabe von "reiserfsck --rebuild-tree Gerätedatei". Verhilft selbst das nichts, spiele man eine Sicherung auf.

Option defaults setzt sich dabei zusammen aus dem sicherheitsrelevanten async,nouser,rw,suid,dev,exec,auto.
umask: dient zum generellen Setzen der Zugriffsrechte in der Rolle des Subtrahenden: Setze umask 022 für 755 (abwärts) bzw. umask 077 für 700 abwärts für Root- und Home-Partition in /etc/fstab, /etc/profile, /etc/login.defs, /home/user/.bash_profile, /home/surfuser/.bash_profile, /root/.bash_profile, ROOT_UMASK=077 in /etc/security/msec/level.secure und USER_UMASK=077; Option acl: Unterstützung der Support POSIX Access Control Liste.

man mount: "All I/O to the filesystem should be done synchronously. In case of media with limited number of write cycles (e.g. some flash drives) "sync" may cause life-cycle shortening." Mit anderen Worten: für SSD Option async setzen!

OK/etc/fstab: UUIDs anstelle Geräte-Partition eintragen
Die UUIDs können mittels Terminal-Kommando "blkid" aufgelistet werden (gilt nicht für interne Kernel-Partitionen).

OKAHCI-Modus: BIOS-Einstellungen für SSD
Rufen Sie das Bios- / Firmwaresetup auf und kontrollieren Sie, ob der AHCI-Modus (Advanced Host Controller Interface) für den SATA-Adapter aktiv ist. Alternativ ist auch die Einstellung "RAID" möglich.
Sie finden die Option meist in Menüs wie "Advanced -> Integrated Peripherals", "SATA Configuration" oder "PCH Storage Configuration". Bei älteren Hauptplatinen gibt es neben "AHCI" die Option "IDE". Damit lassen sich Funktionen, die den Datendurchsatz der Festplatten erhöhen, nicht nutzen. Wird nur "IDE" angeboten, müssen Sie bei diesem PC auf die SATA-Optimierung verzichten.
Auf einer Übersichtseite ("System Status" oder ähnlich) finden Sie meist Informationen, an welchen SATA-Port die Festplatten angeschlossen sind. Auf neueren Hauptplatinen gibt es nur SATA-Ports mit schnellen sechs GBit/s (SATA III) und Sie können jeden Port verwenden. Bereist SATA II und SATA I tragen zum enormen Geschwindigkeitsboost (mausklick-schnell) bei.

OK Das Rettungssystem Knoppix (Debian Linux 2010, hier Wheezy ol´ stable i386 (32-Bit) aus dem Jahr 2010 mit eigenem Partitionsmanager gparted, Partitions-Kopierbefehl dd, Browser iceweazel und vielen Werkzeugen) von DVD befindet sich hier auf einer eigenen kleinen Partition mindestens der Größe 250 MB (wir wählen 750 MB), die aber nicht in fstab aufgeführt wird. Sie ist vielmehr in /boot/grub/menu.des Bootmanagers Grub eingetragen wie folgt:

title Rescue
password....
root(hd0,4)
kernel /boot/isolinux/linux knoppix keyboard=de lang=de_DE.UTF-8 desktop=kde tz=Europe/Berlin
initrd /boot/isolinux/minirt.gz
boot

Knoppix bootet in nur wenigen, um die 10 Sekunden von SSD und führt in dieser Zeit eine Passwortabfrage zum Login und zur Entschlüsselung seiner Partition durch. Nach dem Booten sollte man auf ihr noch LUKS/dm-crypt (Paket cryptsetup) zum Zugriff auf all die anderen LUKS-verschlüsselten Partitionen von debian.org nachinstallieren! Akutalisere auch glibc. Wer will, kann dieses Knoppix in ein aktualisiertes und/oder komfortables Debian Linux auf einer allerdings größeren Partition verwandeln.

Der Browser-Cache von Konqueror sollte zur Erhöhung der SSD-Lebensdauer und für in diesem Exkurs umsagte Mausklick-Schnelle auf das in obiger /etc/fstab im RAM (shared memory,shm) erzeugte temporäre Verzeichnis /tmp verweisen:

OKrm -dfr /home/user/.kde4/cache-localhost und ln -sf /tmp /home/surfuser/.kde4/cache-localhost, dasselbe geht im Prinzip mit allen temporären Verzeichnissen wie /var/tmp und /home/surfuser/tmp, /home/user/.kde4/tmp, /home/user/.kde4/socket-localhost, /home/user/.kde4/tmp, /home/user/.kde4/tmp-localhost und

ln -sf /tmp/kde-user /home/user/.kde4/tmp-localhost.localdomain und ln -sf /tmp/kde-surfuser/.kde4/tmp-localhost.localdomain . Das erspart auf Dauer jede Menge Putzarbeit und verhilft einmal mehr zur Mausklick-Schnelle..

Die beiden hier nicht aufgeführten tmp wie /home/user/.kde4/socket-localhost.localdomain und /home/user/.kde4/socket-localhost.localdomain sollten allerdings nicht verlinkt werden: Probleme beim Starten von KDE!

Außerdem verlinken wir /home/alluser/.cache mit dem Shared Memory /tmp mittels:

OKln -sf /tmp /home/alluser/.cache2 && rm -dfr /home/alluser/.cache &&rename /home/alluser/.cache2 /home/alluser/.cache /home/alluser/.cache2.

Make it once more SSD friendly and mousecklick-fast, link the cache of the konqueror to the /tmp part of the RAM (shm, see fstab of our main report howto create such /tmp): rm -df /home/username/.kde4/cache-localhost.localdomain and ln -sf /tmp /home/username/.kde4/cache-localhost.localdomain

Bleachbit (el6, cleaner), Warnung: Dieses Programm kann auf den Partitionen schweren Schaden zufügen!

Es ist noch einmal kurz darauf zu achten, dass gnutls (el7) mit libtasn1 (el7) installiert ist, damit Firefox gnutls fehlerfrei einsetzen kann.

Doch weiter im Text zur Konfiguration der SSD: Option discard funktioniert nicht bei jedem Kernel und jeder SSD. Bei den Optionen für Mountbefehle in /etc/fstab findet man im Internet zum Teil Vorschlääge, die Optionen commit und barrier zu setzen. commit ist die Rate, mit der das Schreibintervall gesetzt wird. Es ist per Default auf 5s eingestellt. Es gilt als sicherheitsrelevant, diesen Wert nicht zu erhöhen. barrier ist ein Feature von ext4 und ext3, bei dem zuerst (zusammenhängende) Daten vor einer Barriere geschrieben werden, und erst daraufhin (zusammenhängende) Daten dahinter. barrier=0 erhöht leicht die Performance für den Preis der Datensicherheit. ro für "read-only" darf so noch nicht gesetzt werden: "skipping journal replay" wäre die Folge. data=writeback bedeutet in englisch: "Data ordering (data=ordered) is not preserved, data may be written into the main file system after its metadata has been committed to the journal.", Optionen siehe http://www.mjmwired.net/kernel/Documentation/filesystems/ext4.txt#169. Beachte: reiserfs akzeptiert nicht alle aufgelisteten Optionen wie beispielsweise barrier, errors und discard, dafür Option nolog. Verschiedene Optionen lassen sich mit "mount -o options Gerätedatei Mountpunkt" prüfen, bevor sie in /etc/fstab gesetzt werden.

In /etc/rc.local (falls diese nicht beim Booten startet, in irgendein Bootscript /etc/init.d in Sektion start(), am besten von dort mit dem Aufruf "sh /etc/rc.local" ) zur Optimierung der SSD (an beispielsweise dem ersten S-ATA-Anschluss, nach UNIX/Linux also sda) nach einer Abfrage mit "hdparm -I /dev/sda" und "man hdparm" steht:

OK hdparm -W1a0A0 /dev/sda (auch andere Paramter von hdparm können zur Optimierung beitragen)
echo deadline > /sys/block/sda/queue/scheduler
echo 500 > /proc/sys/vm/dirty_writeback_centisecs
echo 20 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_ratio
touch /var/lock/subsys/local


Die sicherheitstechnisch eigentlich vorzuziehende Option "W0" anstelle des "W1" bewirkt die Abschaltung des Write-Cache der SSD. Damit besteht mehr Schutz bei Systemabstürzen. Weitere Parameter von hdparm entnehme man "hdparm -h" und den Manpages unter man hdparm. Allerdings wird i.a. "W1" für write-cacheing für mehr Performance empfohlen.

OK Browser-Cache ins RAM auslagern
Wir können aber noch mehr ins RAM auslagern. Ich zeige mal am Beispiel Firefox, wie wir das Caching oder auch größere Teile unserer Daten, die beim Browsen anfallen, ins RAM auslagern. Hierzu nutzen wir /shm, ein shared memory Directory, dass zwar im RAM wohnt, sich ansonsten aber wie ein normales Verzeichnis verhält. In der Firefox-Adresszeile geben wir about:config ein und bestätigen die Warnung. Durch einen Rechtsklick ->Neu ->String erstellen wir einen neuen Eintrag namens
: browser.cache.disk.parent_directory
Nach einem Doppelklick auf den neu erstellten String weisen wir ihm folgenden Wert zu:
/shm
Nun erstellen wir in der Konsole noch das Directory
: Nach einem Firefox Neustart wird zukünftig ins RAM gecached. Analog ist bei anderen Browsern vorzugehen, bei Konqueror einfach Verzeichnis: /home/username/.kde4/localhost-cache auf /shm verweisen.
, Quelle: http://wiki.siduction.de/index.php?title=Solid_State_Disks_(SSDs)_unter_Linux_optimal_nutzen&printable=yes

Mit (insbesonders auf SSD vorinstalliertem) UNIX/Linux wie mdv2010 lässt sichs rundherum eine "ruhige Kugel schieben". Für die Installation von mdv2010.2 erweist sich eine zweite SSD bzw. magnetische Festplatte für die begleitende Sicherung der ersten als durchaus wichtig, während sich die Risiken bei der Installation von mdv2010.0 in Grenzen halten. Denn obwohl bei mdv2010 eigentlich nur noch der Mensch versagen kann und im laufenden Betrieb von selbst Fehler auf Festplatte behoben werden, kann es bei der Installation aufgrund nicht immer gelöster Paket-Abhängigkeiten vereinzelt durchaus noch zu Störungen und Fehlern kommen, und nicht immer gibt mdv2010 in solchen Fällen warnende oder weiterhelfende Fehlermeldungen von sich. Ruhigen Gewissens können nun mit einer

OK
partitionsweisen 1:1-Sicherung auf einer zweiten, mindestens genaus großen SSD oder Festplatte mittels im folgenden noch beschriebenen Befehl dd


von einer mit bspws. mandriva-seed erstellten Rettungs-Version auf USB-Speicherstift, Mindi, Mondo usw. oder sowas wie Knoppix von DVD oder einer ca. 250 MB kleinen, weiteren Partition und bei richtiger Konfiguration von LINFW3, auf die wir noch zu sprechen kommen, beliebig viele der unter dem Auszug unter "Datenblatt" aufgeführten Pakete installiert werden, ohne dass das Computersystem an Sicherheit und Leistung (Schnelligkeit) einbüßt.

OK Um ein für alle Mal Ruhe mit dem (bald ehemaligen) Katastrophenprodukt namens Computer zu haben, installiere man aus einem ungeheuren Potential von über 65 GB an Binärpaketen am besten gleich so viele Pakete von mdv2010 auf SSD wie noch irgendwie für sinnvoll zu halten!

Alle Installationspakete sind zugänglich zu halten. Für den Fall, dass installierte Software danach nicht mehr richtig startet, sind meist in /usr/bin verzeichnete Programme vom Terminal (konsole, lxterminal, gnome-terminal oder xterm) aus zu starten, um Fehlermeldungen zu erhalten, im akuten Fall mit Präfix strace: "strace start-executable-datei". Man teste in der Installationsphase und nach Updates und Upgrades immer wieder auszugsweise Programme. Eine Fehlermeldung gibt dann Auskunft, welche Pakete wieder (mit rpm -e ) deinstalliert werden müssen oder (mit rpm -U --force, rpm -U --force oder rpm -U --nosignature --force --nodeps zu downgraden sind. Lässt sich mdv nicht mehr booten, weil der X-Server klemmt, drücke man einfach die Taste i für den Interaktiven Modus und starte alles außer den Displaymanager dm. Die X-Server von mdv2010 und mdv2010.1 laufen auf unserer Plattform mit dem Intel-Treiber x11-driver-video-intel-xxx.rpm siehe Datenblatt. Allerdings bedarf es für die Version des X-Servers von mdv2010.1 obendrein der Installation nahezu ungeahnter Bibliothekspakete von mdv2010.1 und mdv2010.2. Um nichts falsch zu machenl installiere man ihn daher erst ganz am Schluss - nach dem Einspielen möglichst aller Bibliothekspakete (lib64....rpm) zu den Programmpaketen von mdv2010.1 und mdv2010.2!

Die unendlich vielen Designs von UNIX/Linux und von http://kde-look.org gefallen Ihnen nicht, darunter unserer Meinung nach MS-Windows mehr oder weniger gleichkommende Designs? Hier besteht die Möglichkeit, selber eins zu entwerfen und uns allen auf http://kde-look.org vorzustellen.

Wir, Gooken, nehmen gerade in dieser Sache mannigfaltige Zertifizierungen des Online-Bankings 2011 und 2012 der norisbank (Deutschen Bank) durch diverse Stellen wie Stiftung Warentest und trotz Tagesschau nach auch dagegen sprechender milliardenschwerer Investionen staatlicherseits im Umlauf natürlich gern zur Kenntnis! In solchen Fällen vermag der UNIX-Befehl "tcptraceroute" dem Benutzer manch Aufschluss zu geben (as00.estara.com). OpenSSL gehört hingegen nach Tagesschau vom 08.04.2014 von
openssl.org, wie immer für UNIX-Systeme mö glich aus erster Quelle und somit unmittelbar, auf eine Version >= 1.0.2d nach dem 07.04.2014 geupdated ... und liegt daher unserer DVD-2 mdv2010.0-updates bei!

... siehe die "News&Links" auf unserer Linkseite: So geht das in Rotfärbung des Textes weiter, als wär das nicht alles schon viel zu viel...

In diesem zweischrittigem Exkurs wird gezeigt, dass Computertechnik und Computerzeitalter nicht für gefährlichen Nonsens stehen müssen, obwohl sie aller Vorausicht nach im geschäftlichen Sinn so gemeint sind und obwohl im Rahmen eines Wettlaufs von sicherheitsgefährdender mit schützender Technologie und den Menschen dahinter bekanntlich nichts als wirklich sicher gilt. Das Ziel dieses Exkurses besteht darin, nur die in den Schritten näher spezifierten Schwachpunkte stehen zu lassen, gegen die sich von vornherein nichts ausrichten lässt. Notebooks und Smartphones und dergleichen werden erst auf unserer Linkseite unter Links erwähnt. Was sogenannte vor Manipulation geschützte Chips angeht, ist nach Angaben aus CHIP10/2004 alles bloß eine Frage der Technik, denn die Kombination aus Raster-Elektronen-, Raster-Auger- und Raster-Sonden-Mikroskop knacke jeden Chip. Obendrein ist mit Selbstzerstörung eines Systems zu rechnen. Nicht nur das Knacken oder Cracken, sondern auch Interna lassen sich nur mit Sachverstand unter erheblichen Zeitaufwand erfassen, so dass wir uns nach wie vor gezwungen sehen, einigen wenigen gutachterlichen Stellen und Presseorganen unser ganzes Vertrauen entgegen zu bringen. Beispielsweise bringen einige Drucker infolge Kollision der Sicherheitsinteressen nicht nur den Ausdruck sondern außerdem noch mit bloßem Auge nicht mehr erkennbare Inschriften zu Papier. Ähnliches gilt immer auch für Software. Ziel kann nur sein, einige wenige, möglichst vertrauenswürdige Stellen mit der binären Kodierung der Quellcodes, ihrer Überprüfung und der Herstellung zugehöriger Installationspakete zu beauftragen wie in UNIX/Linux seitens verschiedener Anbieter bzw. Distributionen auf Installations-CD/DVD Paketmanager von jeher der Fall.

Bald schon sehen wir, dass sich mit der Befolgung des hier vorgestellten Konzepts auf der Welt mit Computer in etwa dieselbe (Un-)Sicherheit einstellt wie auf der vorausgehenden Welt ohne Computer, wozu der Mensch sicherlich im gewohnt negativen Maß beiträgt. Ein zentrales Problem ist und bleibt beispielsweise die Frage nach der sicheren Ablage des obersten (letzten) Schlüssels (passwortes bzw. Keys für alle weiteren). Abhilfe verschaffen hier wohl erst Bank-Schließfächer, biometrische Ansätze von unserer Linkseite und passwortmanager.

Effektiver Passwortschutz


Vorweg: Mit Linfw3 (Surfen mit Benutzer "surfuser" unter "surfgruppe", d.h. unter Sperrung von Root (uid 0 bzw. gid 0) ) und aller anderen Benutzer) und den uns vorgestellten Maßnahmen kann selbst imfalle des Bekanntwerdens und/oder Hackens von Passwörtern und ungeachtet deren Beschaffenheit generell kein Passwort des Systems geknackt werden, weder von außen übers Netz noch intern über Software noch unmittelbar am Computer (beim Entschlüsseln von Partitionen imfalle der Ablage des Schlüssels auf einem portablen USB-Stift oder besser Speicher-/Chipkarte zum Mitnehmen oder Fingerabdruck-Scanner).

OK Passwortschutz vorgestellten Systems:
BIOS-Passwort
Grub-md5-Passwortschutz für alle bootfähigen Partitionen und Speichertest in /boot/grub/menu.lst
Ein eigenes (unportierbares) Passwort für die stets mit dracut eingebundene LUKS-verschlüsselte Partitionen im Rahmen des FSE (Systemvollverschlüsselung) mit Schlüssel (Passwort) für die root-Partition auf USB-Speicherstift
Sicherung dieser LUKS-root-partition nun mit manueller Passwort-Direkteingabe auf mindestens einem separaten Speichermedium imfalle des Verlust der Daten von USB-Stift etc.
Rest (siehe unter exemplarischer /etc/fstab) als sha2-key-Datei von Benutzer:Gruppe root:root mit chmod 400 in einem Verzeichnis auf der Root-Partition
ACL-gesperrter su-login für "surfuser" Desktopmanager: u.a. kdm KDE-login-Benutzer-Passwort (ggfls. vereinfachender automatischer Login ohne Passwordeingabe)
Keys (Passwörter) für die zusätzliche Verschlüsselung beliebiger einzelner E-Mail und Verzeichnisse und Dateien mit gnupg (kgpg) im üblichen, mit setfacl surfuser unzugänglich gemachtem Verzeichnis .gnupg
Passwörter für mit LUKS-verschlüsselte USB-Speicherstifte
Passwort-Manager zur erneut über gnupg zweifach passwortgeschützten Ablage alle anderen Passwörter: revelation (el6, el7, rosa2014.1, rosa2016.1, fc 2X)
/etc/shadow (Passwortdatei): chown root:root mit chmod 400
gesperrte Bash-Logins für alle Benutzer außer surfuser: siehe /etc/passwd, ggfls. Einsatz von Sandbox firejail unter der Verwendung der Option "shell none"

OK Experte erklärt: Hacker würden 227 Millionen Jahre für dieses Passwort brauchen, FOCUS Online, 09.05.2018
Passwörter wie 12345 oder 54321 sind nicht besonders sicher - logisch. Aber wie findet man ein Passwort, das besonders schwer knackbar ist? Cyberexperten beschreiben einen Weg. So soll ein Passwort entstehen, für dessen Bruch Hacker 227 Millionen Jahre brauchten.
https://www.focus.de/digital/videos/geheimnis-liegt-in-drei-worten-experte-erklaert-hacker-wuerden-227-millionen-jahre-fuer-dieses-passwort-brauchen_id_7744168.html xmailx

Snowden verrät: Mit diesem einfachen Trick machen Sie ihr Passwort unknackbar, Focus, 11.04.2015
Innerhalb einer Sekunde könnte ein Hacker fast jedes 0815-Passwort knacken. Das meint Edward Snowden. Doch der Whistleblower gibt auch Tipps, wie man sein passwort für Computer so gut wie unknackbar machen kann. Des Rätsels Lösung: eine Passphrase. Denn unter den meistgenutzten Paßwörtern sind einfache Varianten wie "12345678", "passwort" oder der Vorname des Nutzers. Edward Snowden hält Paßwörter mit acht Zeichen für sehr unsicher. "Solche üblichen Paßwörter mit acht Zeichen können in weniger als einer Sekunde von Computerprogrammen geknackt werden," sagte er nun in einem TV-Interview. Aber Snowden gibt auch ein Tipp, wie Nutzer ihr passwort so gut wie unknackbar machen. Dazu sollten "Passphrasen" verwendet werden - das sind Paßwörter aus mehreren Wörtern, im deutschen auch Mantra genannt. Lange, einzigartige Sätze wie

angelamerkelist110%SEXY


die leicht zu merken sind und verschiedene Zeichen kombinieren, seien für Hackerprogramme nicht zu entschlüsseln.

Eine ähnliche "unknackbare" Methode zur passworterzeugung beschreibt PC-WELT.de auf http://www.pcwelt.de/ratgeber/So-erstellen-und-merken-Sie-sich-wirklich-sichere-Passwoerter-ohne-Zusatz-Tools-9940466.html .

OK Passwortschutz gilt bei der sog. Zwei-Faktor-Authentifizierung sicher. Der Begriff entstammt vermutlich dem Online-Banking per PIN und Chipkarte. Hierbei ist ein User nicht nur im Besitz eines passwortes oder einer PIN, sondern auch eines nach der Eingabe des passwortes per SMS aufs Handy zugesandten Codes, welcher im nächsten Schritt des Logins einzugeben ist.

Passwörter befinden sich bei Linux in /etc/shadow. Passworteinträge dieser (hoffentlich) nur Root zugänglichen Datei werden über Einträge der Benutzer, zugehöriger Gruppen und "x" usw. aus /etc/passwd angesteuert.

Vorbereitungen


Alle hochsensible Daten wie Login- und Personaldaten sowie privat erstellte Dokumente sollten künftig nicht auf angeschlossenen Speichermedien sondern nur auf nicht angeschlossenen, sichernden Speichermedien und auf verschlüsselten USB-Speicherstiften aufbewahrt werden! Somit ist die Sicherheit generell schon mal gewährleistet!


Mehr Internet-Sicherheit

OKpam_shield (el6): "pam_shield ist ein PAM-Module, das iptables verwendet, um Skript-Kiddies zu sperren, die sich einen Login zum Computer verschaffen möchten und dabei Passwörter erraten (hacken). pam_shield hilft, sich vor einem öffentlichen Zugang zum offenen Internet zu schützen. .Einstellungen werden in /etc/security/shields.conf vorgenommen. Einzelne IP können der Protokolldatei wie /var/log/messages entnommen werden. Ihre Sperre erfolgt entweder automatisch oder manuell mittels Befehlen wie shield-trigger add 122.22.76.1 durch Aufnahme in die zugehörige Datenbank und ihre Löschung mit del anstelle add.
OKfail2ban (el6): Fail2ban scannt die log-Dateien (Protokolle) wie /var/log/pwdfail ooder /var/log/apache/error_log und vebannt IP, die zu viele Passwort-Fehler verbuchen. Firewall-Regeln werden geupdatet um diese IP-Adressen mit Reject zu blocken.

OKDenyHosts ist ein Python-Skript, das die sshd-Server-Log-Messages analysiert, um den das System angreifenden Host zu bestimmen. Außerdem bestimmt dieses Programm das gemeinte Benutzerkonto. Der Häufigkeit der Versuche jedes Hosts wird nachgegangen und mit der Entdeckung eines jeden Hosts und wiederholt angreifenden Hosts die Datei /etc/hosts.deny geschützt, um einen kommenden Break-In-Attempt von dem Host zu verhindern. Zum System-Administrator können dann E-Mail-Berichte gesendet werden. .

OKplcc-32 rpm-Beschreibung cmospwd (el6): "CmosPwd decrypts password stored in cmos used to access BIOS SETUP. Works with the following BIOSes * ACER/IBM BIOS * AMI BIOS * AMI WinBIOS 2.5 * Award 4.5x/4.6x/6.0 * Compaq (1992) * Compaq (New version) * IBM (PS/2, Activa, Thinkpad) * Packard Bell * Phoenix 1.00.09.AC0 (1994), a486 1.03, 1.04, 1.10 A03, 4.05 rev 1.02.943, 4.06 rev 1.13.1107 * Phoenix 4 release 6 (User) * Gateway Solo - Phoenix 4.0 release 6 * Toshiba * Zenith AMI With CmosPwd, you can also backup, restore and erase/kill cmos."
Das Beste, was man zunächst machen kann, ist die Aufkündigung des Internetzugangs (wovon wir i.a. trotzdem nicht ausgehen...) und die Anschaffung eines Ersatznetzteils und Ersatz-BIOS-Chips gepaart mit dem Backup der Firmware des aktuell verwendeten BIOS in eine Datei vom Typ bin(ary) bzw. rom. Ein speziell dafür erhältliches Utility, das bei Funktionsstörungen des BIOS direkt zum Sichern und Flashen des ROM benutzt werden kann, befindet sich i.a. auf der Treiber-CD des Mainboards, andernfalls ist es wohl aus dem Internet zu beziehen. Unter UNIX (Linux) eignet sich flashrom. flashrom ist eine Utility zum Aufspühren, Lesen, Schreiben, Verifizieren und Löschen von Flash-Chips. Verwendung findet sich für Abbilder von Flash-BIOS/EFI/Coreboot/Firmware von Mainboards und Netzwerkkarten (NICs), SATA-Controller-Karten und andere externe Geräte mit programmierbaren Flash-Chips. Lässt sich der Computer nach dem Einschalten überhaupt nicht starten, sollte das SRAM des BIOS kurz über Reset zurückgesetzt und von zugehöriger Installations-DVD oder statt vom Desktop vom selbst angelegten Medium aus geflasht werden. Notfalls sind Chip und/oder das Netzteil einfach auszutauschen. Dem Flashen und Austauschen des BIOS kommen Mainboard-Architekturen unterschiedlich entgegen. Zudem kann die Verfügbarkeit einer zum Chipsatz des Mainboards kompatiblen, auf Ersatz gehaltenen RAM-Speicherbank nicht schaden. Außerdem können unter Unix (Linux) Speichertests wie memtest den Arbeitsspeicher (RAM) kurz nach dem Anschalten des Computers überprüfen. Zum Schutz vor Funkwanzen sollte im BIOS unter begleitenden Maßnahmen am Mainboard "Chassis Intrusion Detection" aktiviert sein und so wenig USB-Karten wie möglich gesteckt sein. Die Vorlage eines auf Werkseinstellungen zurückgestellten BIOS kann derartiges andeuten. Typische Bauformen von Funkwanzen legen eine kurzen Musterung der Hardware nahe. Auf Platinen befindet sich meist eine genaue Typangabe des Herstellers. Trotz angeblicher Funkentsörung (FCC) kommt es in solchem Fäll möglicher Weise zu hörbaren Art "Rückkopplungen". Mit Geschick gelingt bereits mit einem Radio das Auffangen zugrundeliegender Störfrequenzen.

Coreboot
"coreboot is a Free Software project aimed at replacing the proprietary BIOS (firmware) found in most computers. This package contains various utilities used to develop and configure systems with coreboot.
Idealerweise könnt ihr euer aktuelles BIOS durch Coreboot ersetzen - ein quell-offene, freies BIOS. Ansonsten besteht immer das Risiko für eine versteckte Backdoor, die bspw. von Geheimdiensten ausgenutzt werden kann.
Innovationen in Coreboot
Durch den Einsatz von Coreboot kann der Bootvorgang erheblich beschleunigt werden. Auf einigen Systemen beträgt die Boot-Zeit weniger als eine Sekunde. Des Weiteren erlaubt Coreboot Fernzugriff und ist speziell für Cluster-Systeme konzipiert.
Funktion für den Bootvorgang
Coreboot selbst ist lediglich ein Minimal-Code, um das Mainboard mit all seinen Geräten zu starten. Unmittelbar danach erfolgt eine Übergabe an eine sogenannte Payload (engl. für Nutzlast), die dann das System weiter hochfährt. Coreboot enthält selbst keinen Kernel. Ein Großteil des Coreboot-Codes dient dazu, das RAM benutzbar zu machen, den PCI-Bus und die serielle Schnittstelle zu initialisieren, letztere als Ausgabegerät zur Fehlersuche.
Nach der Systeminitialisierung durch Coreboot springt die Payload an, die das weitere Hochfahren des Systems übernimmt. Die bekanntesten sind FILO (ein minimalistischer Bootloader), Etherboot, eine IEEE-1275-konforme Open-Firmware-Implementierung (dazu gehören OpenBIOS, SmartFirmware sowie Open Firmware selbst), Memtest86, GRUB2, SeaBIOS, Plan 9 und ein Linux-Kernel. Prinzipiell sind als Payload auch verschiedene andere Bootloader, Betriebssysteme und Standalone-Software einsetzbar.
Der Linux-Kernel ist ab der Version 2.6 so groß (>1 MiB), dass er in den meisten üblichen Flash-ROMs (4 Mbit bzw. 512 KiB) keinen Platz findet. Da Coreboot keine Gerätetreiber enthält, kann die Festplatte nicht direkt ausgelesen werden und eine Payload mit Gerätetreibern (z. B. FILO oder GRUB2) übernimmt das Laden von der Festplatte. Da neuere Mainboards oft aufgelötete Flash-ROMs verwenden, ist ein Austausch durch größere Chips nicht immer praktikabel. Die größten verfügbaren Flash-ROMs bewegen sich in der Größenordnung von 4 bis 8 MiB, was sogar für eine komplette Linux-Distribution mit graphischer Oberfläche ausreicht."
https://de.wikipedia.org/wiki/Coreboot
"Welcome to coreboot
coreboot is an Open Source project aimed at replacing the proprietary BIOS (firmware) found in most computers. coreboot performs a little bit of hardware initialization and then executes additional boot logic, called a payload. With the separation of hardware initialization and later boot logic, coreboot can scale from specialized applications that run directly from firmware, run operating systems in flash, load custom bootloaders, or implement firmware standards, like PC BIOS services or UEFI. This allows for systems to only include the features necessary in the target application, reducing the amount of code and flash space required.
coreboot currently supports over 230 different mainboards. Check the Support page to see if your system is supported."

https://www.coreboot.org/Welcome_to_coreboot
https://www.coreboot.org/Supported_Motherboards

Grundsatz


Zur Umsetzung softwaretechnisch basierter IT-Sicherheit stehen uns diversen Handels- und Herstellerangaben nach jedenfalls ausgesprochen viele Produkte zur Verfügung. Daher ist die Frage zu stellen, welche Sicherheitssoftware überhaupt erforderlich ist. Nun, derart entsetzlich viel, dass ganz bestimmt keine!

Microsoft Windows war wie bereits angesprochen für Hacker-Profis noch nie das große Problem.

Wer früh Erfahrungen mit sog. Betriebssystemen MS Windows wie 95 oder SE gesammelt hat, wird die bemessen zu Anforderungen spärliche sicherheitstechnische Ausstattung von Installations-CD/DVD festgestellt haben. Diese erfuhr im Bereich des proprietären (kohlrabenschwarzen) Codes über die Jahrzehnte nach und nach manch sicherheitstechnische Bereicherung. Linux siehe Kommentar aus alt.linux.suse: "I am so happy, that my linux run stable for the last 12 hours!". Einigermaßen, aber auch nur einigermaßen stabil liefen auf meinem Rechner erst SuSE8.2 aus dem Jahr 2004 (!) und das mit den Servicepacks SP1 bis SP3 den Umfang einer Installations-CD sprengende, 750 MB Updates umfassende MS XP, das durch und durch stabil und somit weitgehend schussfest vorkommende mdv aus dem Jahr 2007, welches sogar auf die Erforderlichkeit von Updates zu verzichten schien. Zugunsten eines möglichst abgestimmten und komponentenweise bereits tausendfach bzw. ausgiebig erprobten und flächendeckenden Prototyps verzichtet der Exkurs daher auf alle suspekten Angebote, indem er sich, ohne an Aussagekraft für Betriebssysteme zu verlieren, ganz einfach einer umfassenden UNIX/Linux-Hochschuldistribution direkt von Installations-CD/DVD zuwendet.. Überhaupt: Das Betriebssystem für Supercomputer und somit generell Computer unserer Zeit heißt u.a. Linux. Opensource ermöglicht jeden beliebigenTiefengang. Microsoft erwarb in den 80er Jahren vorübergehend Xenix. Auch MAC-OS der frühen 90er Jahre von der Firma Apple basiert ja auf UNIX.

32-Bit-Programme laufen auch auf 64-Bit-Systemen, ein 32-Bit-System benötigt hingegen 32-Bit-Programme. Derzeit liegen noch lange nicht alle Programme in einer 64-Bit-Variante vor. Die 64-Bit-Version von Windows bringt deshalb einen Emulator (WOW64) mit, die 32-Bit-Software ausführen kann. Linux wie mdv liegt auch ohne Emulator jeweils vollständig längst getrennt nach Paketen x86_64 (64 Bit) und i586 (32 Bit) kompiliert vor: mdv2010.0.x86_64, mdv2010.0.i586.rpm und dem Quellcode für beide Versionen.

Das Portable Operating System Interface (POSIX-Standard) ist ein gemeinsam von der IEEE und der Open Group für Unix entwickeltes standardisiertes Application Programming Interface, das die Schnittstelle zwischen Anwendungssoftware und dem Betriebssystem darstellt. Die internationale Norm trägt die Bezeichnung ISO/IEC/IEEE 9945. Linux erfüllt diesen Standard weitgehend. Immerhin, seit SuSE 7.3 läuft Linux nahezu sicherheitstechnisch vollausgestattet auf Journalling-Dateisystemen wie Reiserfs. Überhaupt bleiben UNIX und verschiedene darauf aufbauende Linuxdistributionen sich, als umfassten sie eine Norm, weitgehend treu, wie allein über die inhärente Grundverzeichnisstruktur der Fall aus immer Wurzelverzeichnis / bzw. root mit den Unterverzeichnissen boot, bin und sbin für die ausführbaren Systemdateien, lib mit den zugehörigen Bibiliotheken, der klassische Mountpunkt /mnt (alternativ Mountpunkt /media ein vorhandenes, aber nicht genutztes Verzeichnis oder irgendein neu angelegtes), Konfigurationsdateien etc, Anwendungsdateien usr, /usr/bin und /usr/lib, darunter neben opt für frei optionale, umfassende Softwarepakete bzw. Anwendungen, Treiber usr/lib/modules, Benutzerverzeichnisse unter ~ bzw. /home, Gerätedateien (Gerätetreiber-Schnittstellendateien) /dev, /var für von Anwendungen angelegte Dateien wie Logdateien, Systemlogdateien /var/log, /sys, /proc wie processes zur Angabe der Details gestarteter Prozesse und nicht zu vergessen Opensource ausmachende Quellen unter /usr/src, . "Punkt". Die Konsole bzw. das Terminal, standardmäß xterm, mehr noch konsole (interessant auch yakuake), gilt mit seinen Möglichkeiten als ganz besonders herausragend: Alle Systembefehle des zugehörigen Befehlsinterpreters bash und Programme können direkt von dort aus aufgerufen werden. Sogar die sogenannte "No Security Agency" (NSA) selbst benutzt Linux, wenn auch mit eigenem "NSA-Security-Enhanced-Linux-Kernel" selinux mit zugehörigem Mandatory Access Control (MAC), ein Sicherheitsmodul (LSM) zur Nutzung des Sicherheits-Frameworks des Linux-Kernels.

Eine illustrierte Einführung für MAC der Form LSM (Kernel-Sicherheitsmodule) zuzurechnendens Tomoyo-Linux wie für mdv-2010 erhalten Sie hier.


Zu den von uns favorisierten Linux-Distributionen zählt die ein riesengroßes Repertoire aus Treibern und Software umfassende Mandriva-final und Gentoo. Gentoo bezeichnet sich selbst als Meta-Distribution. Der Quellcode wird erst auf dem Rechner des Anwenders kompiliert, was eine beinahe unendliche Anpassung und Rückverfolgbarkeit der Programmlogik ermöglicht. Das komplexe Mandriva kommt dem mit unseren rundherum besten Erfahrungen zusammen mit zugehöriger Quellcode-DVD (DVD 3) unserer Meinung nach in etwa gleich.

Rund ums Thema Verschlüsselung zu denken gibt auch folgender Bericht aus dem Jahr 2001 von der Cambridge University Computer Laboratoriy über sog. Zero Emission: "Bereits seit Jahrzehnten machen sich internationale Geheimdienste die Tatsache zunutze, dass alle elektronischen Geräte, also auch PCs, verräterische ("kompromittierende") Strahlung abgeben. Aus diesen lässt sich noch viele Meter entfernt, auch durch Mauern hindurch, das Monitorbild des Computers reproduzieren. Nur den wenigsten Benutzern ist diese Gefahr bewusst. Die heute am weitesten verbreitete Methode, um die gefährliche Abstrahlung zu entschärfen, sind teure Spezialcomputer. Diese mit Aluminium verkleideten Computer kosten ein mehrfaches der ungeschützten Ausführung und müssen regelmäßig gewartet werden. Man nennt diese Rechner auch TEMPEST-sicher (TEMPEST: Transient Electromagnetic Pulse Emanation Standard). Interessant ist, dass einige Anbieter solcher Hardware die Adressen der Käufer an geheimdienstnahe Organisationen weiterleiten. Weitere Gegenmaßnahmen sind strahlungsabschirmende Zelte sowie spezielle Störsender. Zusammen mit unserem Partner (Partner von Steganos), der Universität Cambridge (Großbritannien), bieten wir Ihnen jetzt die Möglichkeit, diese Strahlung per Software zu entschärfen ("Soft-Tempest"). Der speziell entwickelte Freeware-Texteditor Zero Emission Pad unterstützt als weltweit erster i.a. auch unter Unix (Linux) emulierbare Editor die strahlungshemmende Anzeige (zum Patent GB 9801745.2 angemeldet)."

Thema: Cloud Computing und Ablage auf Fremdrechnern, Sueddeutsche.de, 21.12.2014: Wenn die Daten auf fremden Servern liegen, sind die eigenen Kontrollmöglichkeiten begrenzt. Der Informatiker zählt Angriffe auf den Cloud Provider zu den Sicherheitslücken. Auf der Basis vieler Betriebssyteme mangele es selbst im Jahr 2014 immer noch an qualifizierten IT-Sicherheitskräften...
Wir rechnen sogar nach dem Erhalt von Sicherheit auf Clouds mit der Weitergabe abgespeicherter Datenmengen seitens der Betreiber u.a. an Consulting-Firmen, Anm. die Red..

De-Mail - So einfach wie E-Mail, so sicher wie Papierpost.
Das de-Mail-Konzept ermöglicht sicheren elektronischen Nachrichtenverkehr zwischen Privatpersonen, Unternehmen und Behörden. Mit De-Mail können elektronische Nachrichten so einfach verschickt werden, wie Sie es von E-Mail gewöhnt sind. Im Gegensatz zur E-Mail können bei De-Mail aber sowohl die Identität der Kommunikationspartner als auch der Versand und der Eingang von De-Mails jederzeit zweifelsfrei nachgewiesen werden. Die Inhalte einer De-Mail können auf ihrem Weg durch das Internet nicht mitgelesen oder gar verändert werden. Denn abgesicherte Anmeldeverfahren und Verbindungen zu den De-Mail-Anbietern sorgen ebenso wie verschlüsselte Transportwege zwischen den De-Mail-Anbietern für einen vertraulichen Versand und Empfang von De-Mails. De-Mail erhöht so die Sicherheit der elektronischen Kommunikation im Vergleich zur herkömmlichen E-Mail und hilft, Spam und Phishing zu vermeiden. (Quelle: BSI 2014)

OK Wie kann man Pishing Mails erkennen?, http://www.email-verzeichnis.de/sicher-mailen/phishing-mails-erkennen#more-796
In früheren Tagen waren die Mails grammatikalisch extrem schlecht und strotzten vor Rechtschreibfehlern. Teilweise waren sie gleich in einer anderen Sprache verfasst. In Ausnahmefällen kursieren diese Texte nach wie vor und sind entsprechend einfach zu identifizieren. Allerdings haben die meisten Kriminellen diesbezüglich nachgebessert und verfassen inzwischen fehlerfreie Texte. Der beste Ansatzpunkt ist deshalb die Ansprache: Banken und andere Dienstleister sprechen Einen in Mails mit dem eigenen Namen an. Nicht so Pishing Mails: Da diese die Namen oft nicht kennen, verwenden sie allgemeine Ansprachen wie "Sehr geehrte Frau". Allerdings gab es bei Pishing Mails rund um PayPal im Herbst 2014 wiederholt Fälle, bei denen die Absender den Namen verwenden konnten. Offenbar hatten sie die Datensätze erworben - wo und wie genau, ist bislang unklar. Die direkte Ansprache mit Namen ist deshalb auch kein eindeutiges Zeichen mehr, dass es sich um keine Pishing Mail handelt (mehr zum Phishig bei PayPal). Behelfen muss man sich deshalb über den Inhalt: Hier wird stets in einem drängenden, fast panikartigen Ton dazu aufgefordert, hoch sensible Daten über einen Link, den man in der Mail findet, in eine Maske einzugeben. Nur so könne man sein Konto entsperren oder davor schützen, ausgeplündert zu werden, heißt es. Man solle in jedem Fall den Link in der Mail nutzen. Zudem gebe es nur eine sehr kurze Zeitspanne, in der man aktiv werden müsse. Dieser Inhalt sollte immer stutzig machen. Wer unsicher wird, sollte in der Folge zum Telefonhörer greifen und die Bank oder den sonstigen vermeintlichen Absender anrufen, um sich zu versichern, ob die Mail der Wahrheit entspricht. In 99,9 Prozent der Fälle ist dies aber nicht nötig: Neben dem Inhalt verraten auch zwei andere Informationen, dass es sich um eine Pishing Mail handelt. Der Absender hat zum einen keine offizielle Email-Adresse, zum anderen ist die URL hinter dem Link in der Nachricht ebenfalls nicht Teil der offiziellen Internetpräsenz, sondern lautet beispielsweise paypal-web441254.com. Niemals würden offizielle Stellen auf diese Art und Weise sensible Informationen abfragen.

Was ist nach dem Erhalt einer Pishing Mail zu tun?

Hat man eine solche Mail bekommen, so lautet die erste Regel, dass man niemals auf den Link klicken darf! Zudem sollte man die Mail an die Organisation weiterleiten, von der sie angeblich stammt, um sie darüber zu informieren. Fast alle Unternehmen haben hierfür einen speziellen Service eingerichtet. Anschließend löscht man die Mail einfach. Sollte man der Versuchung erlegen gewesen sein, doch auf den Link zu klicken und womöglich sogar sensible Daten einzugeben, so muss man das betreffende Konto sofort sperren lassen (Rufnummern zur Sperrung von Kredikarten). Ratsam ist zudem, wenigstens einen Virenscanner über das eigene System laufen zu lassen. Tatsächlich sollte man eigentlich sogar die Festplatte formatieren und das System neu aufsetzen, um ganz sicher zu gehen, dass man sich durch die Pishing Mail nicht doch auch einen Schädling auf die Festplatte geholt hat. Regelmäßige Backups z.B. auf einer externen Festplatte sind deshalb Pflicht.

E-mail vom 05.05.2010 von info@gooken.de
"Hallo, Absender wie gehts? Lust, Verschlüsselung von E-mail auszuprobieren? Lade doch mal meinen PGP-Key liks aus dem Men&uum; oder von einem Schlüsselserver wie hkp://subkeys.pgp.net unter info@gooken.de herunter (copy and paste in eine beliebige Textdatei) und füge ihn bzw. zugehörige "Textdatei" in Deinen E-mail-Klienten ein. Dazu brauchst Du noch ein pgp-Prgramm wie kleopatra oder kgpg auf pgp, für das Du den Key abermals importierst. Nun können wir E-mail nicht nur auf verschlüsseltem Weg senden sondern auch die E-mails selbst (inhaltlich) ver- und entschlüsseln!

Betrüger-E-mails erkennt man übrigens. an: der hohen Spam-Wahrscheinlichkeit, der Konzeption von Links innerhalb des Nachrichten-Quelltexts ohne vertraute Absender- oder Providernamen, passwortabfragen, Aufführung und Abfrage vertraulicher Informationen, mitgeschickte Anhänge, abstruse Links, Offerten und Geldsummen, Rechtschreibfehler, Übergröße Vergleich mit derartige Spam aufgreifende Datenbanken im Internet, fehlende Signierung/Signatur, inseriös wirkende Absenderadresse, Entlegenheit der Herkunft und des Herkunftslands, ... . Der Spam-Filter sollte auf solche Fälle abgestimmt werden.

MfG, Gooken (auf der Suche nach E-mail inhaltlich verschlüsselnden Sendern und Adressaten)"

Zur Verhinderung eines einfachen, aber effektiven Keyloggings bzw. Audits (Mitschnitts) der Befehlseingaben über Tastatur ist aus Sicht des Benutzers auf das Fehlen des Eintrags "script -f pathtologfile/keylogfile.log" in /etc/profile zu achten. Um Bash-Historyeinträge vorsichtshalber mit einem Zeitstempel zu versehen, ist in /etc/profile " export HISTTIMEFORMAT=´%F %T ´ " zu setzen.

DNS umsetztendes Programm "Unbound" besteht aus modularen Komponenten mit modernen Eigenschaften, solchen wie erweiterte Sicherheits-Validierung (DNSSEC) Validation und einer Resolver-Bibliotheks-API für Clients. Ursrprünglich für Posix-kompatible Unix-gestützte Betriebssysteme geschrieben läuft es u.a. auf FreeBSD, OpenBSD, NetBSD und Linux.

Unser Online-Check aus dem Menü links hebt die Aussagekräftigkeit von IP und Browserkennung (Useragent) des Browsers hervor. In IPv6 verbleibt die IP obendrein i.a. unveränderbarer statischer Natur! Mit mdv2010 können Sie noch mit einer sich i.a. ändernden IPv4-Adresse kommunizieren und im Internet surfen. Der Networkmanager bietet einen ipv6 nach ipv4- Tunnel. Außerdem hat man hin MCC->Netzwerk->networkcenter die Möglichkeit, neben tcp-timestamp (Zeitstempel) und tcp-windows-scaling IPv6 an- und abzuschalten. Abschalten empfiehlt sich.


Doch von vorn:

OK Als rund um Software wichtig erweist sich generell zunächst nur die reine Funktionstüchtigkeit ausgewiesener Hauptbestandteile eines Programms und somit Stabilität als Laufeigenschaft ungeachtet inhärenter Sicherheitsschwächen, denn vor allem Bugs ermöglichen das Erlangen von Root-Rechten bzw. das Kausalisieren Art Root-Rechte verschaffender Speicherüberläufe (Bufferoverflows). Hierfür nehmen Paketmanager eine Überprüfung der Abhängigkeiten vor, die Paketmanager wie urpmi notfalls über den Bezug benötigter Pakete durch den Download aus dem Netz von selbst auflösen können. Anschließend kann man über CVS wie tkcvs noch eine Versionskontrolle durchführen.

mdv2010 mausklick-schnell (leichtläufig): Bevor wir uns fragen, was alles installiert werden soll, fragen wir uns doch, was runter muss: CPU- und Speicher und somit Resourcen killende Dämonen im Hintergrund. Um sie zu erkunden, verhilft der Prozessmanager, Aufruf mit ESC und STRG. Dabei ist uns ein Riesenkiller ins Netz gegangen (packagekit mit urpmi-dispatcher) mit 43 Prozent Speicherbelegung: runternehmen, ggfls. von el6 nachinstallieren. Der nächste Ressourcenschlucker ist gelegentlich nspluginscan, den wir mit chmod 000 /usr/bin/nspluginscan auf 000 runterfahren, ggfls., je nach Einstellungen in Dolphin unter Vorschau, auch Symbole für Bilder und sonstige Dateien im Dateimanager anfertigende kio_thumbnail. msec_find checkt je nach Konfiguration in MCC periodisch, nur beim Booten oder gar nicht. In MCC unter Sicherheit, periodische Checks kann man vieles von daily auf weekly, noch besser auf "manual", stellen, es sei denn, ihr Mainboard hat mehr als einen #SMP (CPU). Der Prozess "prelink" ist der nächste Kandidat. Ihn sollte man allerdings gewähren lassen, denn er räumt eigenen Angaben nach Festplatte und Speicher auf und beschleunigt den Bootzugang:

"prelink ist ein Programm, dass sogenannte ELF shared libraries und ELF dynamically linked Binaries so modifiziert, dass sich die vom dynamischen Linker benötigte Zeit für Speicherplatzzuweisungen beim Systemstart erheblich reduziert. Aufgrund einiger weniger Speicherplatzzuweisungen wird außerdem der Sjpeicherplatzverbrauch eingeschränkt, insbesonders die Anzahl sogenannter unshareable Pages. Die Prelinking-Information wird nur beim Systemstart imfalle der ausbleibenden Veränderung der abhängigen Bibliotheken benötigt; andernfalls werden Programmen normal Speicher zugewiesen."

OK Mausklick-schnell: Auf unserem "Universal Linux 2010" laufen lediglich folgende über MCC aktivierte Dienste: NetworkManager, acpid, alsa, cups, dnsmasq, gpm, ip6tables, iptables, jexec, linfw3, lm_sensors, partmon, postfix, sound, sysstat, udev-post, uuidd und gelegentlich ntpd und httpd.
Das wären sie auch schon..Auch der Dienst network ist also deaktiviert worden, und zwar mit dem Befehl "chkconfig --level 2345 network off".

Möglicherweise gibt es für die CPU ein Microcode-Update. Für das von uns unter Datenblatt vorgestellten Mainboard mit Intel®-CPU eigente sich microcode_ctl (fc, rosa, el6), ucode-intel (OpenSuSE) und ucode-intel-blob (OpenSuSE). Nach dem Surfen etc. empfiehlt sich noch das Killen aller mit "surfuser" gestarteten Prozesse: "killall -u surfuser". Ein paar Paketen wie tracker verdienen ein wenig unser Misstrauen, welche das sind, siehe unter UNIX-Sitzung.Reiserfs arbeitet schnell, es sei denn, genannte Prozesse schlucken Kapazitäten. Mit unserer Entscheidung für eine SSD und Wahrung des im Benutzerhandbuch des Mainboards angegebenen RAM-Hauptspeichertakts mit entsprechenden RAM-Bausteinen wirds perfekt- bereits mit dem von uns im Datenblatt angegebenen SMP #1 Mainboard 19 Watt mit DDR2 Mhz 533 (aufwärts) ( wir bekamen die astreinen Nonames-533Mhz assembled in Germany obendrein vorher schon umsonst..., während 1 GB DDR2 von Kingston gerade mal mit 333 Mhz lief...) tatsächlich mausklick-schnell (leichtläufig). Die Installation von hdparm (el7, ggfls. auch el6) und sdparm (el7, el6), verhilft dazu bei Betrieb einer SSD außerdem im erheblichen Maß.


OKSSD-Festplatten sind noch besser als die Hersteller angeben
Publiziert am 18. Juni 2014, 08:38 von admin, http://www.ahrens.de/ssd-festplatten-sind-noch-besser-als-die-hersteller-angeben/24906
SSDs sind der bessere Ersatz für eine magnetische Festplatte, denn sie haben keine beweglichen Teile und sind deshalb beim Lesen bis zu 100-mal so schnell und beim Schreiben bis zu 20-mal so schnell. Die Frage ist nur, wie lange die das mitmachen…
In einem Langzeittest von Techreport machen die Amerikaner das, was man mit Standard-SSDs für Desktop-PCs und Notebooks eigentlich besser nicht tun sollte: Sie füllen die Laufwerke kontinuierlich mit Daten und löschen diese dann wieder. Dies Verfahren erzeugt reichlich Stress für die Flash-Zellen und die Programm-Algorithmen, die über das sogenannte "wear levelling" eine möglichst lange Lebensdauer des Speichers sicherstellen sollen. Bereits seit August 2013 läuft der Test, und insgesamt wurden nun auf dreien der Laufwerke mehr als 1.024 Terabyte geschrieben. Den Wert von 1 Petabyte erreichten eine Corsair Neutron GTX mit 240 GByte, eine Samsung 840 Pro mit 256 GByte und eine Kingston HyperX 3K mit 240 GByte. Die Kingston-SSD war zweimal vertreten und überstand den Langzeittest nur, wenn sie mit komprimierbaren Daten beschrieben wurde. Der Sandforce-Controller der HyperX schrumpfte das vom PC angelieferten Petabyte zu 716 Terabyte zusammen. Das zweite Exemplar der Kingston-SSD, das mit nicht komprimierbaren Inhalten gefüllt wurde, gab nach 728 TByte auf. Beim Test wurden regelmäßig die Smart-Daten der Laufwerke (eine eigentlich unpassende Bezeichnung- da läuft nix mehr) ausgelesen; an diesem Mechanismus, der noch aus der Festplatten-Ära stammt, orientieren sich auch die meisten Sata-Treiber und Betriebssysteme. Daher meldete das verwendete Windows 7 auch 3 TByte vor dem Ableben der Kingston-SSD einen Datenträgerfehler. Danach war das Laufwerk nicht mehr ansprechbar. Weil alle getesteten Laufwerke mehrere hundert TByte Datentransfer überlebten, kann man die Angaben zur Lebensdauer von PC-SSDs durch deren Hersteller nur als extrem konservativ bezeichnen. Typischerweise sind von der Garantie 20 bis 40 GByte Schreibvolumen pro Tag abgedeckt, die über einen Zeitraum von 3 bis 5 Jahren ständig ausgeschöpft werden dürfen. Das ergibt im günstigsten Fall bei 40 GByte und fünf Jahren gut 71 TByte, im Test von Techreport kamen alle SSDs fast auf das zehnfache Datenvolumen. Sie sind also nicht nur in Sachen Geschwindigkeit super, sondern auch bezüglich der Lebensdauer zehnmal so gut, wie die Hersteller versprechen. Einen noch ausführlicheren Bericht zum Test finden Sie bei Golem.

Die zahlreichen msec-Security-Checks in MCC, insbesonders der Check mit sectools sollte von "daily", "monthly" usw. auf "manual" gesetzt werden, um "Nebenläfigkeiten" von Hintergrundprozessen zu begrenzen..

OKLinux ist zwar schneller als Windows, und zwar mdv2010 auf SSD mausklick-schnell (leichtläufig), was einmal mehr für dessen Architektur und Optimierung von Code spricht, aber auch Pinguin-PCs verfallen manchmal in den Schnarchmodus. Welche Ressourcen, d.h. welche CPU und Speicherplatz verschlingende Prozesse laufen eigentlich im Hintergrund, gar irgendwelche ein wenig Ressourcen verbrauchende Zombies, so dass Updates hierfür mehr oder weniger erforderlich sind? Möglicherweise ist die Festplatte oder eine Partition zu voll, Einzelheiten siehe Wenn Linux zu langsam ist. Wir studieren die Hintergründe am besten über ALT&ESC, pstree, Systemüberwachung oder

ps -All


Daraufhin habe ich auf meinem Rechner zeitweise 43 Prozent meiner Ressourcen verbrauchendes packagekit deinstalliert und hinteher geupdatet.

Sogar das Tempo des Browsers beim Surfen kann erhöht werden: Drücke die Tasten STRG und ESC und wähle den Browser-Prozess aus (konqueor für konqueror usw.) -> Rechtsklick und Schieben des Schieberegler zur Einstellung der Prozesspriorität mindestens eine Stufe nach rechts, alternativ eignen sich hierfür die Terminal-Befehle nice und renice für eine Priorität zwischen -20 und 19, voreingestellt 0 (Quelle: Focus Online, 07.11.2015);

Bremsklotz und Spionage: "Benutzer "root,-1" des gefährlich (ausbremsenden) (System-)Prozess für "Anmeldung unter root uid:0" namens unbekannt mit wechselndem Prozess-Identifier (PID) und geheimer CPU-Auslastung statt in % ausformuliert"?


Vorab: Das könnte wirklich helfen: setfacl -m u:root:- /usr/libexec/gam_server.

http://stackoverflow.com/questions/13655110/how-to-kill-a-process-whose-pid-keeps-changing:
Such a process is called a "comet" by systems administrators.
The process group ID (PGID) doesn´t change on fork, so you can kill it (or SIGSTOP it) by sending a signal to the process group (you pass a negated PGID instead of a PID to kill).
answered Dec 1 ´12 at 1:18
caf
161k18208340
What if it calls setpgid/setsid each time too? :-) - R.. Dec 1 ´12 at 2:28
The only reason, I can see, why you wouldn´t see it is, that the forked child has not been created yet but the parent has progressed far enough in it´s death that it is no longer listed.
Unfortunately I don´t think it´s possible to kill this kind of process without some guessing. To do so would require knowing the next pid in advance. You can guess the next pid but not be certain that no other pid gets it assigned.

OK Mouseclickfast und sicher, einfach der ultimative Geschwindigkeits-Boost neben SSD-Technik unter siehe Datenblatt wäre sein generelles Verhindern. Gooken empfiehlt den damit im Zusammenhang stehenden gam_server (gamin) auf fc25 und gamin-server (OpenSuSE 13.2, gam_server nach /usr/libexec) zu updaten oder, wie bei einigen Distributionen der Fall, zu entfernen und keinesfalls durch Klick auf das NetworkManager (el6) with networkmanager-applet (mdv2010.2) die Verbindung zum ISP aufzubauen, sondern den Aufbau der Verbindung mit "ifup eth0" immer über unseren surfuser (ohne Angabe der surfgruppe), wer will nach einem Eintrag heraus aus dem K-Menü wie im folgenden am Konqueror beschrieben, unter hohen Prioritäten für Dolphin, Kontact, Kmail, Kopete, Office, ein paar OpenGL und SDL-Games. Weitere bzw. neue Erkenntnisse bleiben an dieser Stelle leider noch abzuwarten.

Beispiel:

renice -n 18 ´pidof konqueror´


oder der permanente (in Taskleiste und Arbeitsbereich verlinkbare) Start per Login als surfuser der Gruppe surfgruppe aus dem K-Menü also mittels kmenuedit und in der Befehlszeile, unserem noch folgendem Beitrag über Linfw3 folgend, der Eintrag

"knemo && sg surfgruppe konqueror && renice -n 18 ´pidof konqueror´ && kded4"


Ergebnis, wir haben die Priorität auf 18 von -20 bis +20 gesetzt und Dienste (Services) wie die Cookieverwaltung für surfuser aktiviert: Konqueror, sagenhaft ( heutzutage kann man sich überall zu Besuch beamen wie Spock von Raumschiff Enterprise, wenn auch unter der Einsicht, dass ausgerechnet Google vorher schon zu Besuch war...). Bei Firefox bieten sich weitere Möglichkeiten an wie auf unserer Linkseite oder von dort Links folgend beschrieben.

rpm-description: "Run command in a restricted environment. Chrootuid makes it easy to run a network service at low privilege level and with restricted file system access. At Eindhoven University, they use this program to run the gopher and www (world-wide web) network daemons in a minimal environment: The daemons have access only to their own directory tree, and run under a low-privileged userid. The arrangement greatly reduces the impact of possible loopholes in daemon software."

OK Oder zusätzlich auf Basis einer suid-Sandbox für online-Programme und alle nicht vertrauenserweckenden und - wüdigen Prozesse bzw. Programme, mehr oder weniger auch allesamt, hier firejail (rosa2014.1, ram80, pclos: ver. 0.9.48-1pclos (vendor: none): https://sourceforge.net/projects/firejail/), siehe bei uns unter Updates (mdv2010.2)), das Sie auch von hier downloaden können:

firejail (ram80, rosa2014.1, rosa2016.1, pclos2017, vendor: none) oder
Download derselben Version von uns vorkonfiguriert aus unserer Sekton für Updates als Tarball

"knemo && sg surfgruppe "unshare firejail --private=/home/surfuser konqueror" && renice -n 18 ´pidof konqueror´ && kded4"


oder mit "--profile" erweitert:

"knemo && sg surfgruppe "unshare firejail --profile=/etc/firejail/konqueror.profile --private=/home/surfuser konqueror" && renice -n 18 ´pidof konqueror´ && kded4"


Natürlich sei an entsprechenden Eintrag ins K-Menü bzw. den Schnellstarter oder im Desktop-Ordner für den Aufruf per einfachem Mausklick gedacht. Shell-Skripte werden auf gleiche Weise übrigens mit dem Eintrag "xterm -e sh /Pfadangabe/shellscript.sh" oder ""konsole -e sh /Pfadangabe/shellscript" aufgerufen.

Ganz besonders einfach zu handhaben und interessant an firejail ist neben dem default.profile und unter /etc/firejail etlichen Programmen (bzw. Prozessen) vorgefertigten Profilen zur Option --profile auch die Option --private von firejail, die die Sandbox in einem neuen oder angegebenen Home-Verzeichnis vollstädig (restlos) abschottet. Selbst die von dort aufgerufene Bash versagt dann den Dienst, während die Handhabung unbeeinträchtigt bleibt. Das online zu startende Programm wird innerhalb des Aufrufs von firejail im Zusammenhang mit linfw3 beim Blocken aller Backdoor-Programme und aller Trojaner mit --profile=/home/surfuser versehen.

OK
Firejail - die IT-Sicherheits-Traumsoftware


Firejail is a SUID sandbox program, that reduces the risk of security breaches by restricting the running environment of untrusted applications using Linux namespaces.

firejail - version 0.9.48

Usage: firejail [options] [program and arguments]

Options:
-- - signal the end of options and disables further option processing.
--allow-debuggers - allow tools such as strace and gdb inside the sandbox.
OK--allow-private-blacklist - allow blacklisting files in private
home directories.
--allusers - all user home directories are visible inside the sandbox.
--apparmor - enable AppArmor confinement.
--appimage - sandbox an AppImage application.
--audit[=test-program] - audit the sandbox.
--bandwidth=name|pid - set bandwidth limits.
--bind=dirname1,dirname2 - mount-bind dirname1 on top of dirname2.
--bind=filename1,filename2 - mount-bind filename1 on top of filename2.
--blacklist=filename - blacklist directory or file.
-c - execute command and exit.
--caps - enable default Linux capabilities filter.
OK--caps.drop=all - drop all capabilities.
--caps.drop=capability,capability - blacklist capabilities filter.
--caps.keep=capability,capability - whitelist capabilities filter.
--caps.print=name|pid - print the caps filter.
--cgroup=tasks-file - place the sandbox in the specified control group.
--chroot=dirname - chroot into directory.
--cpu=cpu-number,cpu-number - set cpu affinity.
--cpu.print=name|pid - print the cpus in use.
--csh - use /bin/csh as default shell.
--debug - print sandbox debug messages.
--debug-blacklists - debug blacklisting.
--debug-caps - print all recognized capabilities.
--debug-check-filename - debug filename checking.
--debug-errnos - print all recognized error numbers.
--debug-protocols - print all recognized protocols.
--debug-syscalls - print all recognized system calls.
--debug-whitelists - debug whitelisting.
--defaultgw=address - configure default gateway.
--dns=address - set DNS server.
--dns.print=name|pid - print DNS configuration.
--env=name=value - set environment variable.
--force - attempt to start a new sandbox inside the existing sandbox.
--fs.print=name|pid - print the filesystem log.
--get=name|pid filename - get a file from sandbox container.
--help, -? - this help screen.
--hostname=name - set sandbox hostname.
--hosts-file=file - use file as /etc/hosts.
--ignore=command - ignore command in profile files.
OK--interface=name - move interface in sandbox.
OK--ip=address - set interface IP address.
--ip=none - no IP address and no default gateway are configured.
--ip6=address - set interface IPv6 address.
--iprange=address,address - configure an IP address in this range.
OK--ipc-namespace - enable a new IPC namespace.
--join=name|pid - join the sandbox.
--join-filesystem=name|pid - join the mount namespace.
--join-network=name|pid - join the network namespace.
--join-or-start=name|pid - join the sandbox or start a new one.
--list - list all sandboxes.
--ls=name|pid dir_or_filename - list files in sandbox container.
--mac=xx:xx:xx:xx:xx:xx - set interface MAC address.
--machine-id - preserve /etc/machine-id
--mtu=number - set interface MTU.
--name=name - set sandbox name.
--net=bridgename - enable network namespaces and connect to this bridge.
OK--net=ethernet_interface - enable network namespaces and connect to this Ethernet interface.
--net=none - enable a new, unconnected network namespace.
OK--netfilter[=filename] - enable the default client network filter.
--netfilter6=filename - enable the IPv6 network filter.
OK--netns=name - Run the program in a named, persistent network namespace.
--netstats - monitor network statistics.
OK--nice=value - set nice value.
OK--no3d - disable 3D hardware acceleration.
OK--noblacklist=filename - disable blacklist for file or directory .
OK--noexec=filename - remount the file or directory noexec nosuid and nodev.
OK--nogroups - disable supplementary groups.
OK--nonewprivs - sets the NO_NEW_PRIVS prctl.
--noprofile - do not use a security profile.
OK--nosound - disable sound system.
OK --novideo - disable video devices.
OK--nowhitelist=filename - disable whitelist for file or directory .
--output=logfile - stdout logging and log rotation.
--overlay - mount a filesystem overlay on top of the current filesystem.
--overlay-named=name - mount a filesystem overlay on top of the current filesystem, and store it in name directory.
--overlay-tmpfs - mount a temporary filesystem overlay on top of the current filesystem.
--overlay-clean - clean all overlays stored in DOLLARSIGNHOME/.firejail directory.
OK--private - temporary home directory.
OK--private=directory - use directory as user home.
OK--private-home=file,directory - build a new user home in a temporary
filesystem, and copy the files and directories in the list in the new home.
OK--private-bin=file,file - build a new /bin in a temporary filesystem and copy the programs in the list.
OK--private-dev - create a new /dev directory. Only dri, null, full, zero,tty, pst, ptms, random, snd, urandom, log and shm devices are available.
OK--private-etc=file,directory - build a new /etc in a temporary filesystem, and copy the files and directories in the list.
OK--private-tmp - mount a tmpfs on top of /tmp directory.
OK--private-opt=file,directory - build a new /opt in a temporary filesystem.
--profile=filename - use a custom profile.
--profile-path=directory - use this directory to look for profile files.
--protocol=protocol,protocol,protocol - enable protocol filter.
--protocol.print=name|pid - print the protocol filter.
--put=name|pid src-filename dest-filename - put a file in sandbox container.
--quiet - turn off Firejail´s output.
OK--read-only=filename - set directory or file read-only..
--read-write=filename - set directory or file read-write..
OK--rlimit-fsize=number - set the maximum file size that can be created by a process.
OK --rlimit-nofile=number - set the maximum number of files that can be opened by a process.
OK--rlimit-nproc=number - set the maximum number of processes that can be created for the real user ID of the calling process.
OK --rlimit-sigpending=number - set the maximum number of pending signals for a process.
OK--rmenv=name - remove environment variable in the new sandbox.
--scan - ARP-scan all the networks from inside a network namespace.
OK --seccomp - enable seccomp filter and apply the default blacklist.
Enable seccomp filter and blacklist the syscalls in the default list. The default list is as follows: mount, umount2, ptrace, kexec_load, kexec_file_load, open_by_handle_at, init_module, finit_module, delete_module, iopl, ioperm, swapon, swapoff, syslog, process_vm_readv, process_vm_writev, sysfs,_sysctl, adjtimex, clock_adjtime, lookup_dcookie, perf_event_open, fanotify_init, kcmp, add_key, request_key, keyctl, uselib, acct, modify_ldt, pivot_root, io_setup, io_destroy, io_getevents, io_submit, io_cancel, remap_file_pages, mbind, get_mempolicy, set_mempolicy, migrate_pages, move_pages, vmsplice, perf_event_open and chroot.
OK--seccomp=syscall,syscall,syscall
Enable seccomp filter, blacklist the default list and the syscalls specified by the command.
Example: firejail --seccomp=utime,utimensat,utimes firefox
--seccomp.drop=syscall,syscall,syscall
Enable seccomp filter, and blacklist the syscalls specified by the command.
Example: firejail --seccomp.drop=utime,utimensat,utimes
--seccomp.keep=syscall,syscall,syscall - enable seccomp filter, and whitelist the syscalls specified by the command.
--seccomp.<errno>=syscall,syscall,syscall - enable seccomp filter, and return errno for the syscalls specified by the command.
--seccomp.print=name|pid - print the seccomp filter for the sandbox identified by name or PID.
OK--shell=none- run the program directly without a user shell.
--shell=program - set default user shell.
--shutdown=name|pid - shutdown the sandbox identified by name or PID.
--tmpfs=dirname - mount a tmpfs filesystem on directory dirname.
--top - monitor the most CPU-intensive sandboxes.
--trace - trace open, access and connect system calls.
--tracelog - add a syslog message for every access to files or directories blacklisted by the security profile.
--tree - print a tree of all sandboxed processes.
--version - print program version and exit.
--veth-name=name - use this name for the interface connected to the bridge.
--whitelist=filename - whitelist directory or file.
--writable-etc - /etc directory is mounted read-write.
--writable-var - /var directory is mounted read-write.
--writable-var-log - use the real /var/log directory, not a clone.
OK --x11 - enable X11 sandboxing. The software checks first if Xpra is installed, then it checks if Xephyr is installed. If all fails, it will attempt to use X11 security extension.
--x11=none - disable access to X11 sockets.
--x11=xephyr - enable Xephyr X11 server. The window size is 800x600.
OK--x11=xorg - enable X11 security extension.
--x11=xpra - enable Xpra X11 server.
--x11=xvfb - enable Xvfb X11 server.
--zsh - use /usr/bin/zsh as default shell.

Examples:
DOLLAR firejail firefox
start Mozilla Firefox
DOLLAR firejail --debug firefox
debug Firefox sandbox
DOLLAR firejail --private --sna=8.8.8.8 firefox
start Firefox with a new, empty home directory, and a well-known DNS-server setting.
DOLLAR firejail --net=eth0 firefox
start Firefox in a new network namespace
DOLLAR firejail --x11=xorg firefox
start Firefox and sandbox X11
DOLLAR firejail --list
list all running sandboxes


License GPL version 2 or later
Homepage: http://firejail.wordpress.com

Firejail-Options für /etc/firejail/*.inc-Konfigurationsdateien, eine Beschreibung erfolgt in "man firejail":
caps.drop all
ipc-namespace
netfilter
no3d
OKnogroups
OKnonewprivs
OKnoroot
nosound
protocol unix,inet,inet6
OKseccomp
OKshell none
tracelog
quiet
OKprivate-dev
OKprivate-bin
OKprivate-etc
OKprivate-tmp
...


Firejail besitzt in /etc/firejail übrigends Profile für:
0ad.profile
2048-qt.profile
140 25. Jun 14:30 7z.profile
1225 25. Jun 14:30 abrowser.profile
704 20. Mai 23:55 akregator.profile
489 25. Jun 14:30 amarok.profile
568 20. Mai 23:55 arduino.profile
499 25. Jun 14:30 ark.profile
347 25. Jun 14:30 atom-beta.profile
342 25. Jun 14:30 atom.profile

535 25. Jun 14:30 atool.profile

410 25. Jun 14:30 atril.profile

267 25. Jun 14:30 audacious.profile
357 25. Jun 14:30 audacity.profile
458 25. Jun 14:30 aweather.profile
1742 20. Mai 23:55 baloo_file.profile
785 20. Mai 23:55 bibletime.profile
271 25. Jun 14:30 bitlbee.profile
488 25. Jun 14:30 bleachbit.profile
488 8. Mai 23:07 bleachbit.profile
595 20. Mai 23:55 blender.profile
492 25. Jun 14:30 bless.profile
492 8. Mai 23:07 bless.profile
535 25. Jun 14:30 brasero.profile
535 8. Mai 23:07 brasero.profile
338 25. Jun 14:30 brave.profile
878 20. Mai 23:55 caja.profile
407 25. Jun 14:30 cherrytree.profile
66 25. Jun 14:30 chromium-browser.profile
695 25. Jun 14:30 chromium.profile
393 25. Jun 14:30 claws-mail.profile
268 25. Jun 14:30 clementine.profile
598 20. Mai 23:55 clipit.profile
340 25. Jun 14:30 cmus.profile
564 25. Jun 14:30 conkeror.profile
262 25. Jun 14:30 corebird.profile
379 25. Jun 14:30 cpio.profile
178 25. Jun 14:30 cryptocat.profile
524 20. Mai 23:55 Cryptocat.profile
582 25. Jun 14:30 cvlc.profile
99 25. Jun 14:30 cyberfox.profile
245 20. Mai 23:55 Cyberfox.profile
304 25. Jun 14:30 deadbeef.profile
366 25. Jun 14:30 default0.profile
366 25. Jun 14:30 default2.profile
607 25. Jun 14:30 default-firefox.profile
371 25. Jun 14:30 default-gftp.profile
367 25. Jun 14:30 default.profile
397 25. Jun 14:30 deluge.profile
526 20. Mai 23:55 dia.profile
450 25. Jun 14:30 dillo.profile
755 20. Mai 23:55 dino.profile
4812 25. Jun 14:30 disable-common0.inc
7239 25. Jun 14:30 disable-common-gftp.inc
3788 25. Jun 14:30 disable-common.inc
3788 11. Mai 15:08 disable-common.inc.rpmsave
7239 25. Jun 14:30 disable-common-kmail.inc
91 25. Jun 14:30 disable-devel-firefox.inc
1470 25. Jun 14:30 disable-devel.inc
725 25. Jun 14:30 disable-firefox.inc
187 25. Jun 14:30 disable-passwdmgr.inc
567 25. Jun 14:30 disable-programs-firefox.inc
4949 25. Jun 14:30 disable-programs.inc
538 25. Jun 14:30 display.profile
770 25. Jun 14:30 dnscrypt-proxy.profile
327 25. Jun 14:30 dnsmasq.profile
831 25. Jun 14:30 dolphin.profile
831 8. Mai 23:07 dolphin.profile
370 25. Jun 14:30 dosbox.profile
529 25. Jun 14:30 dragon.profile
448 25. Jun 14:30 dropbox.profile
562 25. Jun 14:30 elinks.profile
276 25. Jun 14:30 emacs.profile
229 25. Jun 14:30 empathy.profile
535 25. Jun 14:30 enchant.profile
505 25. Jun 14:30 engrampa.profile
376 25. Jun 14:30 eog.profile
374 25. Jun 14:30 eom.profile
609 25. Jun 14:30 epiphany.profile
356 25. Jun 14:30 evince.profile
476 25. Jun 14:30 evolution.profile
630 25. Jun 14:30 exiftool.profile
402 25. Jun 14:30 fbreader.profile
367 25. Jun 14:30 feh.profile
223 25. Jun 14:30 file.profile
514 25. Jun 14:30 file-roller.profile
553 20. Mai 23:55 filezilla.profile
230 20. Mai 23:55 firefox-esr.profile
1819 20. Mai 23:55 firefox.profile
2985 25. Jun 14:30 firejail.config 898 25. Jun 14:30 flashpeak-slimjet.profile
300 25. Jun 14:30 flowblade.profile
544 20. Mai 23:55 fontforge.profile
429 25. Jun 14:30 fossamail.profile
220 20. Mai 23:55 FossaMail.profile
481 25. Jun 14:30 franz.profile
817 25. Jun 14:30 gajim.profile
601 20. Mai 23:55 galculator.profile
543 20. Mai 23:55 geany.profile
621 25. Jun 14:30 gedit.profile
582 25. Jun 14:30 geeqie.profile
36 20. Mai 23:55 gimp-2.8.profile
295 25. Jun 14:30 gimp.profile
418 25. Jun 14:30 git.profile
383 25. Jun 14:30 gitter.profile
833 25. Jun 14:30 gjs.profile
555 20. Mai 23:55 globaltime.profile
653 25. Jun 14:30 gnome-2048.profile
654 25. Jun 14:30 gnome-books.profile
503 25. Jun 14:30 gnome-calculator.profile
431 25. Jun 14:30 gnome-chess.profile
526 25. Jun 14:30 gnome-clocks.profile
499 25. Jun 14:30 gnome-contacts.profile
612 25. Jun 14:30 gnome-documents.profile
543 20. Mai 23:55 gnome-font-viewer.profile
627 25. Jun 14:30 gnome-maps.profile
627 8. Mai 23:07 gnome-maps.profile
329 25. Jun 14:30 gnome-mplayer.profile
552 25. Jun 14:30 gnome-music.profile
663 25. Jun 14:30 gnome-photos.profile
669 25. Jun 14:30 gnome-weather.profile
493 25. Jun 14:30 goobox.profile
704 25. Jun 14:30 google-chrome-beta.profile
670 25. Jun 14:30 google-chrome.profile
76 25. Jun 14:30 google-chrome-stable.profile
732 25. Jun 14:30 google-chrome-unstable.profile
452 25. Jun 14:30 google-play-music-desktop-player.profile
493 25. Jun 14:30 gpa.profile
542 25. Jun 14:30 gpg-agent.profile
530 25. Jun 14:30 gpg.profile
543 25. Jun 14:30 gpicview.profile
458 25. Jun 14:30 gpredict.profile
55 25. Jun 14:30 gtar.profile
370 25. Jun 14:30 gthumb.profile
501 25. Jun 14:30 guayadeque.profile
535 20. Mai 23:55 gucharmap.profile
424 25. Jun 14:30 gwenview.profile
153 25. Jun 14:30 gzip.profile
425 25. Jun 14:30 hedgewars.profile
632 25. Jun 14:30 hexchat.profile
546 25. Jun 14:30 highlight.profile
544 20. Mai 23:55 hugin.profile
1224 25. Jun 14:30 icecat.profile
445 25. Jun 14:30 icedove.profile
99 25. Jun 14:30 iceweasel.profile
508 25. Jun 14:30 img2txt.profile
302 25. Jun 14:30 inkscape.profile
509 25. Jun 14:30 inox.profile
192 25. Jun 14:30 iridium-browser.profile
631 25. Jun 14:30 iridium.profile
479 25. Jun 14:30 jd-gui.profile
479 8. Mai 23:07 jd-gui.profile
326 25. Jun 14:30 jitsi.profile
475 25. Jun 14:30 k3b.profile
475 8. Mai 23:07 k3b.profile
700 25. Jun 14:30 kate.profile
617 20. Mai 23:55 kcalc.profile
219 25. Jun 14:30 keepass2.profile
400 25. Jun 14:30 keepass.profile
630 25. Jun 14:30 keepassx2.profile
630 8. Mai 23:07 keepassx2.profile
673 25. Jun 14:30 keepassxc.profile
673 8. Mai 23:07 keepassxc.profile
427 25. Jun 14:30 keepassx.profile
665 25. Jun 14:30 kino.profile
665 8. Mai 23:07 kino.profile
356 25. Jun 14:30 kmail.profile
356 21. Apr 13:50 kmail.profile
526 20. Mai 23:55 knotes.profile
545 20. Mai 23:55 kodi.profile
288 25. Jun 14:30 konversation.profile
709 20. Mai 23:55 ktorrent.profile
558 20. Mai 23:55 leafpad.profile
122 25. Jun 14:30 less.profile
400 25. Jun 14:30 libreoffice.profile
131 25. Jun 14:30 localc.profile
131 25. Jun 14:30 lodraw.profile
131 25. Jun 14:30 loffice.profile
131 25. Jun 14:30 lofromtemplate.profile
345 25. Jun 14:30 login.users 131 25. Jun 14:30 loimpress.profile
506 25. Jun 14:30 lollypop.profile
506 8. Mai 23:07 lollypop.profile
131 25. Jun 14:30 lomath.profile
131 25. Jun 14:30 loweb.profile
131 25. Jun 14:30 lowriter.profile
349 25. Jun 14:30 luminance-hdr.profile
556 20. Mai 23:55 lximage-qt.profile
579 20. Mai 23:55 lxmusic.profile
263 25. Jun 14:30 lxterminal.profile
533 25. Jun 14:30 lynx.profile
562 20. Mai 23:55 mate-calc.profile
42 20. Mai 23:55 mate-calculator.profile
533 20. Mai 23:55 mate-color-select.profile
579 20. Mai 23:55 mate-dictionary.profile
213 20. Mai 23:55 mathematica.profile
491 25. Jun 14:30 Mathematica.profile
213 8. Mai 23:07 mathematica.profile
387 25. Jun 14:30 mcabber.profile
545 25. Jun 14:30 mediainfo.profile
533 25. Jun 14:30 mediathekview.profile
551 20. Mai 23:55 meld.profile
301 25. Jun 14:30 midori.profile
526 25. Jun 14:30 mousepad.profile
363 25. Jun 14:30 mpv.profile
717 25. Jun 14:30 multimc5.profile
717 8. Mai 23:07 multimc5.profile
734 25. Jun 14:30 mumble.profile
734 8. Mai 23:07 mumble.profile
890 25. Jun 14:30 mupdf.profile
514 25. Jun 14:30 mupen64plus.profile
774 25. Jun 14:30 mutt.profile
859 25. Jun 14:30 nautilus.profile
859 8. Mai 23:07 nautilus.profile
674 20. Mai 23:55 nemo.profile
658 25. Jun 14:30 netsurf.profile
774 25. Jun 14:30 nolocal.net 652 20. Mai 23:55 nylas.profile
554 25. Jun 14:30 odt2txt.profile
542 25. Jun 14:30 okular.profile
284 25. Jun 14:30 openbox.profile
294 25. Jun 14:30 openshot.profile
591 25. Jun 14:30 opera-beta.profile
611 25. Jun 14:30 opera.profile
584 20. Mai 23:55 orage.profile
1601 25. Jun 14:30 palemoon.profile
371 25. Jun 14:30 parole.profile
660 20. Mai 23:55 pcmanfm.profile
439 25. Jun 14:30 pdfsam.profile
439 8. Mai 23:07 pdfsam.profile
541 25. Jun 14:30 pdftotext.profile
363 25. Jun 14:30 pidgin.profile
483 25. Jun 14:30 pithos.profile
483 8. Mai 23:07 pithos.profile
412 25. Jun 14:30 pix.profile
503 25. Jun 14:30 pluma.profile
707 25. Jun 14:30 polari.profile
507 25. Jun 14:30 psi-plus.profile
439 25. Jun 14:30 qbittorrent.profile
452 25. Jun 14:30 qemu-launcher.profile
418 25. Jun 14:30 qemu-system-x86_64.profile
560 20. Mai 23:55 qlipper.profile
405 25. Jun 14:30 qpdfview.profile
448 25. Jun 14:30 qtox.profile
222 25. Jun 14:30 quassel.profile
626 25. Jun 14:30 quiterss.profile
813 25. Jun 14:30 qupzilla.profile
533 25. Jun 14:30 qutebrowser.profile
426 25. Jun 14:30 ranger.profile
353 25. Jun 14:30 rhythmbox.profile
574 20. Mai 23:55 ristretto.profile
360 25. Jun 14:30 rtorrent.profile
885 25. Jun 14:30 scribus.profile
885 8. Mai 23:07 scribus.profile
100 25. Jun 14:30 seamonkey-bin.profile
1293 25. Jun 14:30 seamonkey.profile
355 25. Jun 14:30 server.profile
562 25. Jun 14:30 simple-scan.profile
506 25. Jun 14:30 skanlite.profile
267 25. Jun 14:30 skypeforlinux.profile
243 25. Jun 14:30 skype.profile
624 25. Jun 14:30 slack.profile
349 25. Jun 14:30 snap.profile
131 25. Jun 14:30 soffice.profile
844 25. Jun 14:30 spotify.profile
464 25. Jun 14:30 ssh-agent.profile
287 25. Jun 14:30 ssh.profile
603 25. Jun 14:30 start-tor-browser.profile
386 25. Jun 14:30 steam.profile
546 25. Jun 14:30 stellarium.profile
126 25. Jun 14:30 strings.profile
322 25. Jun 14:30 synfigstudio.profile
301 25. Jun 14:30 tar.profile
62 25. Jun 14:30 telegram.profile
208 20. Mai 23:55 Telegram.profile
62 12. Apr 20:18 telegram.profile
208 8. Mai 23:07 Telegram.profile
37 25. Jun 14:30 thunar.profile
725 20. Mai 23:55 Thunar.profile
540 8. Mai 23:07 Thunar.profile
446 25. Jun 14:30 thunderbird.profile
335 25. Jun 14:30 totem.profile
628 25. Jun 14:30 tracker.profile
618 25. Jun 14:30 transmission-cli.profile
460 25. Jun 14:30 transmission-gtk.profile
457 25. Jun 14:30 transmission-qt.profile
591 25. Jun 14:30 transmission-show.profile
441 25. Jun 14:30 uget-gtk.profile
780 25. Jun 14:30 unbound.profile
235 25. Jun 14:30 unrar.profile
223 25. Jun 14:30 unzip.profile
223 25. Jun 14:30 uudeview.profile
702 25. Jun 14:30 uzbl-browser.profile
609 20. Mai 23:55 viewnior.profile
581 20. Mai 23:55 viking.profile
292 25. Jun 14:30 vim.profile
273 25. Jun 14:30 virtualbox.profile
189 20. Mai 23:55 VirtualBox.profile
69 25. Jun 14:30 vivaldi-beta.profile
540 25. Jun 14:30 vivaldi.profile
534 25. Jun 14:30 vivaldi-stable.profile
398 25. Jun 14:30 vlc.profile
547 25. Jun 14:30 w3m.profile
521 25. Jun 14:30 warzone2100.profile
992 25. Jun 14:30 webserver.net 69 25. Jun 14:30 weechat-curses.profile
408 25. Jun 14:30 weechat.profile
689 25. Jun 14:30 wesnoth.profile
497 25. Jun 14:30 wget.profile
497 8. Mai 23:07 wget.profile
746 25. Jun 14:30 whitelist-common.inc
284 25. Jun 14:30 wine.profile
676 20. Mai 23:55 wire.profile
203 25. Jun 14:30 Wire.profile
609 25. Jun 14:30 wireshark.profile
609 8. Mai 23:07 wireshark.profile
288 25. Jun 14:30 xchat.profile
497 25. Jun 14:30 xed.profile
922 20. Mai 23:55 Xephyr.profile
531 25. Jun 14:30 xfburn.profile
555 20. Mai 23:55 xfce4-dict.profile
657 20. Mai 23:55 xfce4-notes.profile
676 25. Jun 14:30 xiphos.profile
487 25. Jun 14:30 xmms.profile
225 25. Jun 14:30 xonotic-glx.profile
602 25. Jun 14:30 xonotic.profile
602 8. Mai 23:07 xonotic.profile
225 25. Jun 14:30 xonotic-sdl.profile
352 25. Jun 14:30 xpdf.profile
450 25. Jun 14:30 xplayer.profile
512 25. Jun 14:30 xpra.profile
512 8. Mai 23:07 xpra.profile
450 25. Jun 14:30 xreader.profile
1128 20. Mai 23:55 Xvfb.profile
336 25. Jun 14:30 xviewer.profile
154 25. Jun 14:30 xzdec.profile
54 25. Jun 14:30 xz.profile
530 20. Mai 23:55 youtube-dl.profile
393 25. Jun 14:30 zathura.profile
470 25. Jun 14:30 zoom.profile


OK/etc/firejail/palemoon.profile:
...
# For Pale Moon and Tor
################################
# Generic GUI application profile
################################
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-programs.inc
include /etc/firejail/disable-passwdmgr.inc
noblacklist /usr/bin/palemoon
noblacklist /usr/bin/tor
noblacklist DOLLARSIGN{HOME}/.moon*
noblacklist DOLLARSIGN{HOME}/keys
noblacklist DOLLARSIGN{HOME}/lock
noblacklist DOLLARSIGN{HOME}/state
noblacklist DOLLARSIGN{HOME}/cached*
noblacklist DOLLARSIGN{HOME}/ca-bundle.crt
noblacklist DOLLARSIGN{HOME}/.thumbnails
noblacklist DOLLARSIGN{HOME}/control_auth_cookie
noblacklist DOLLARSIGN{HOME}/cached-microdesc-consensus
noblacklist DOLLARSIGN{HOME}/.thumbnails
noblacklist DOLLARSIGN{HOME}/control_auth_cookie
noblacklist DOLLARSIGN{HOME}/.cache
read-only DOLLARSIGN{HOME}/torrc
noblacklist DOLLARSING{HOME}/tmp
read-only DOLLARSIGN{HOME}/cached-certs
read-only DOLLARSIGN{HOME}/cached-microdescs
read-only DOLLARSIGN{HOME}/geoip
read-only DOLLARSIGN{HOME}/geoip6
read-only DOLLARSIGN{HOME}/torrc
read-only DOLLARSIGN{HOME}/.pale*/moon*/profile.yourprofile/user.js
noblacklist DOLLARSIGN{HOME}/tmp
blacklist DOLLARSIGN{HOME}/ca-bundle.crt
blacklist DOLLARSIGN{HOME}/.local
blacklist DOLLARSIGN{HOME}/.pulse
blacklist DOLLARSIGN{HOME}/.kde
blacklist DOLLARSIGN{HOME}/.kde4
blacklist DOLLARSIGN{HOME}/.gftp
blacklist DOLLARSIGN{HOME}/.config
blacklist DOLLARSIGN{HOME}/.pki
blacklist DOLLARSIGN{HOME}/.mcop
blacklist DOLLARSIGN{HOME}/.fontconfig
blacklist DOLLARSIGN{HOME}/.dbus
blacklist DOLLARSIGN{HOME}/.bash*
blacklist DOLLARSIGN{HOME}/.abrt
blacklist DOLLARSIGN{HOME}/.gconf*
blacklist DOLLARSIGN{HOME}/.xsession-errors
blacklist DOLLARSIGN{HOME}/.profile
blacklist DOLLARSIGN{HOME}/Desktop
blacklist DOLLARSIGN{HOME}/.mozilla
blacklist /mnt
blacklist /media
blacklist /etc/cups
blacklist /usr/local
blacklist /usr/sbin
blacklist /sbin
blacklist /usr/libexec
blacklist /usr/games
blacklist /lib
blacklist /home/toranonym
blacklist /home/user
blacklist /opt
blacklist /usr/lib
blacklist /usr/lib/python*
blacklist /usr/lib64/python*
blacklist /usr/lib/perl*
blacklist /usr/lib64/perl*
blacklist /etc/shadow
blacklist /etc/shadow-
blacklist DOLLARSIGN{HOME}/.wine
blacklist DOLLARSIGN{HOME}/.gnupg
blacklist DOLLARSIGN{HOME}/.mozilla
blacklist /usr/src
blacklist /usr/games
blacklist /etc/init.d
blacklist /etc/rc0.d
blacklist /etc/rc1.d
blacklist /etc/rc2.d
blacklist /etc/rc3.d
blacklist /etc/rc4.d
blacklist /etc/rc5.d
blacklist /etc/rc6.d
blacklist /usr/local
blacklist /etc/rc.d
blacklist /etc/fstab
blacklist /etc/mtab
blacklist /etc/crypttab
blacklist /etc/shadow
blacklist /etc/shadow-
blacklist /etc/passwd
blacklist /boot
blacklist /usr/bin/*
blacklist /bin/*
ipc-namespace
caps.drop all
nodbus
nodvd
nogroups
netfilter
nonewprivs
noroot
protocol unix,inet,netlink
seccomp
shell none
no3d
nosound
nou2f
#private-bin which,firefox
private-dev
private-tmp
private-etc passwd,group,hostname,hosts,fonts,nsswitch.conf,xdg,resolv.conf,pango
#private-etc


OK/etc/firejail/firefox.profile (Auszug):
...
# This file is overwritten during software install.
# Persistent customizations should go in a .local file.
include /etc/firejail/firefox.local
# Firejail profile for Mozilla Firefox (Iceweasel in Debian)
noblacklist ~/.mozilla
noblacklist ~/.cache/mozilla
blacklist ~/.config/qpdfview
blacklist ~/.local/share/qpdfview
blacklist ~/.pki
blacklist /usr/bin
blacklist /usr/sbin
blacklist /usr/src
blacklist /opt
blacklist /sbin
blacklist /usr/libexec
blacklist /bin
blacklist /usr/games
blacklist /etc/init.d
blacklist /etc/rc0.d
blacklist /etc/rc1.d
blacklist /etc/rc2.d
blacklist /etc/rc3.d
blacklist /etc/rc4.d
blacklist /etc/rc5.d
blacklist /etc/rc6.d
blacklist /etc/rc.d
blacklist /etc/fstab
blacklist /etc/mtab
blacklist /etc/crypttab
blacklist /etc/shadow
blacklist /etc/shadow-
blacklist /etc/passwd
blacklist /boot
blacklist /usr/local
blacklist ~./kde4
blacklist ~./config
blacklist ~./gconf
blacklist ~./gconfd
blacklist ~./local
blacklist ~./mcop
blacklist ~./pulse-cookie
blacklist ~./thumbnails
blacklist ~./Desktop
blacklist /home/secret
blacklist /home/toranonym
noblacklist /usr/bin/xargs
noblacklist /usr/bin/xauth
noblacklist /usr/bin/export
noblacklist /usr/bin/firefox
noblacklist /usr/bin/sg
noblacklist /usr/bin/gftp
noblacklist /usr/bin/gftp-gtk
noblacklist /usr/bin/gftp-text
noblacklist /usr/bin/tor
noblacklist /bin/certtool
noblacklist /bin/certutil
noblacklist /bin/basename
noblacklist /bin/bash.old
noblacklist /bin/p11tool
noblacklist /bin/pk12util
noblacklist /bin/smime
noblacklist /bin/shlibsign
noblacklist /bin/signtool
noblacklist /bin/signver
noblacklist /bin/ssltap
read-only /home/surfuser/.mozilla/firefox/default.profile/user.js read-only /home/surfuser/torrc read-only /home/surfuser/.mozilla/firefox/prefs.js #blacklist ~/."moonchild productions" include /etc/firejail/disable-common0.inc include /etc/firejail/disable-programs.inc include /etc/firejail/disable-devel.inc OKcaps.drop all
# caps.drop=CAP_AUDIT_CONTROL,CAP_AUDIT_WRITE,CAP_AUDIT_READ
OKipc-namespace
OKnetfilter
OKnogroups
OKnonewprivs
OKnoroot
OKprotocol unix,inet,netlink
OKseccomp
OKshell none
nosound
noautopulse
notv
# tracelog
OKno3d
OKnodbus
OKnodvd
OKnosound
OKnou2f
# ... see firejail --help, BEACHTE: Nicht alle Firejail-Optionen funktionieren für Firefox! mkdir ~/.mozilla
whitelist ~/.mozilla
mkdir ~/.cache/mozilla/firefox
whitelist ~/.cache/mozilla/firefox
whitelist ~/dwhelper
mkdir ~/.pki
whitelist ~/.pki
disable-mnt # or use blacklist /mnt and blacklist /media
private-dev # This might not always work with firefox
# experimental features
# private-bin sh,which,env,dbus-send,dbus-launch
# private-etc passwd,group,hostname,hosts,localtime,nsswitch.conf,resolv.conf,xdg,pango,fonts,firefox,mime.types,mailcap,asound.conf,pulse
private-etc passwd,group,hostname,hosts,resolv.conf,nsswitch.conf,fonts,mailcap,pulse
# private-dev # - prevents video calls going out
private-tmp
noexec DOLLARSIGN{HOME}
noexec /tmp
noexec /tmp2


"SECure COMPuting with filters (like seccomp within firejail)
===========================================
Introduction
------------
A large number of system calls are exposed to every userland process with many of them going unused for the entire lifetime of the process. As system calls change and mature, bugs are found and eradicated. A certain subset of userland applications benefit by having a reduced set of available system calls. The resulting set reduces the total kernel surface exposed to the application. System call filtering is meant for use with those applications.
Seccomp filtering provides a means for a process to specify a filter for incoming system calls. The filter is expressed as a Berkeley Packet Filter (BPF) program, as with socket filters, except that the data operated on is related to the system call being made: system call number and the system call arguments. This allows for expressive filtering of system calls using a filter program language with a long history of being exposed to userland and a straightforward data set.
Additionally, BPF makes it impossible for users of seccomp to fall prey to time-of-check-time-of-use (TOCTOU) attacks that are common in system call interposition frameworks. BPF programs may not dereference pointers which constrains all filters to solely evaluating the system call arguments directly.
What it isn´t
-------------
System call filtering isn´t a sandbox.It provides a clearly defined mechanism for minimizing the exposed kernel surface. It is meant to be a tool for sandbox developers to use. Beyond that, policy for logical behavior and information flow should be managed with a combination of other system hardening techniques and, potentially, an LSM of your choosing. Expressive, dynamic filters provide further options down this path (avoiding pathological sizes or selecting which of the multiplexed system calls in socketcall() is allowed, for instance) which could be construed, incorrectly, as a more complete sandboxing solution.
Usage
-----
An additional seccomp mode is added and is enabled using the same prctl(2) call as the strict seccomp. If the architecture has CONFIG_HAVE_ARCH_SECCOMP_FILTER, then filters may be added as below:
...", https://www.pro-linux.de/news/1/25207/sicherheits-audit-von-dnsmasq.html, https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt

Der Aufruf von Firejail erweist sich im Großen und Ganzen also als recht einfach. Aufgelistete Profile führten unserer Meinung aber nicht zur gewünschten Darstellung der Programm-Benutzeroberflächen zugehöriger Profile.
Daher möchten wir an dieser Stelle noch einmal ernsthaft zeigen, wie, mit welcher Konfiguration wir die Ausführung von Programmen aller Art mit Firejail so gut hinbekommen haben. Benötigt seien für alle unter Firejail zu startende Programme nur die drei Konfigurationsdateien (Profile) firefox.profile, kmail.profile und default.profile und von daher noch die inc.-Dateien aus /etc/firejail disable-common0.inc bzw. disalbe, disable-programs.inc und disable-devel.inc.

OKPale Moon, beachte: noscript und RequestPolicy blocken in einigen Versionen von Pale Moon nur sehr unvollständig!


OK/etc/firejail/palemoon.profile
#### Especially for Pale Moon (Browser):
blacklist /mnt
blacklist /media
blacklist /etc/cups
blacklist /usr/local
blacklist /usr/sbin
blacklist /sbin
blacklist /usr/libexec
blacklist /usr/games
blacklist /lib
blacklist /home/toruser
blacklist /home/secret
blacklist /opt
blacklist /usr/lib
blacklist /usr/lib/python*
blacklist /usr/lib64/python*
blacklist /usr/lib/perl*
blacklist /usr/lib64/perl*
blacklist /etc/shadow
blacklist /etc/shadow-
blacklist DOLLARSIGN{HOME}/.wine
blacklist DOLLARSIGN{HOME}/.gnupg
ipc-namespace
caps.drop all
netfilter
nonewprivs
noroot
protocol unix,inet,inet6
seccomp
#nogroup
OKshell none
#private-bin which,firefox
private-dev
private-tmp
private-etc passwd,group,hostname,hosts,fonts,nsswitch.conf,xdg,resolv.conf,pango
# ... not all firejail-options should be activated, in order to avoid capacity- and serious hard system-errors!
#### end Pale Moon (/etc/firejail/palemoon.profile)