Arch Linux

Sicherheit Linux für unerfahrene User

[gelöscht]

Nur woher die Manpower nehmen, wenn nicht stehlen? 🙂

wirr

Du brauchst nur einen um selinux zu bändigen, oder doch nicht 😃
http://devopsreactions.tumblr.com/post/82078906895/selinux

Smon

Dann mach den ersten Schritt, Dirk. Stell den Userspace Support für SELinux in einem Paket in Arch Linux bereit.
Vll sieht Thomas dann mehr Sinn darin, seine Zeit in kernelseitigen Support für SELinux zu investieren.

LessWire

SELinux - maßgeblich entwickelt / gepflegt vom NSA - da greift man immer gerne zu.
Schon fast rührend, wie ausgerechnet die sich um eure Datensicherheit kümmern. 😉

Dirk

LessWire schriebSELinux - maßgeblich entwickelt / gepflegt vom NSA - da greift man immer gerne zu.

Wie TOR, das auch zu mindestens 60 Prozent von der US-Regierung finanziert und entwickelt wird.

LessWire

Klar, zumindest aus deren Sicht darf es niemals eine sichere Verschlüsselung / Anonymisierung geben. Es wird sie auch nie geben, es ist nur eine Frage des Aufwands so gut wie jeden Algorithmus zu knacken bzw. entsprechende Datenpakete abzufangen. Der Aufwand könnte allerdings sehr gross werden, da ist es besser, möglichst frühzeitig die Hände im Spiel zu haben. 😉

tapsiturtle

Smon schriebDann mach den ersten Schritt, Dirk. Stell den Userspace Support für SELinux in einem Paket in Arch Linux bereit.
Vll sieht Thomas dann mehr Sinn darin, seine Zeit in kernelseitigen Support für SELinux zu investieren.

Es gibt ja bereits jemanden der daran arbeitet: Siosm Nur das bis jetzt alles im AUR ist. Ich finde es auch schade das Sicherheitsfunktionen deaktiviert wurden. Leider habe ich auch zu wenig Ahnung und Zeit um mir das alles zurecht zu bauen, deshalb hatte ich eigentlich gehofft das die Pakete von Siosm irgendwann mal in die offizielle Repositorien übernommen werden.

Smon

https://aur.archlinux.org/packages/systemd-selinux/
https://aur.archlinux.org/packages/libselinux/
Beide out-of-date!

selinux-systemd ist schon seit 2 Versionen out-of-date. Warum wundert es mich nicht, dass es nicht im offiziellen ist ..

gaslicht

SELinux - maßgeblich entwickelt / gepflegt vom NSA - da greift man immer gerne zu.
Wie TOR, das auch zu mindestens 60 Prozent von der US-Regierung finanziert und entwickelt wird.

Klar, zumindest aus deren Sicht darf es niemals eine sichere Verschlüsselung / Anonymisierung geben.

Die Geheimdienste/Militärs sind sehr wohl an guter Verschlüsselung interessiert. Sie würden das nur eben ungern mit dir teilen. Und das Problem sind die Geheimdienste nie gewesen, es waren immer die Regierungen die diese Geheimdienste mit diesen Befugnissen ausstatteten und auf die Menschheit losließen.
Also entweder fängst du selbst an Hard und Software zu entwickeln , oder du unterstützt jene die das in deinem Sinne tun. Und wenn das nicht in deinem Spektrum ist könntest du noch auf die Straße gehen und dich mit mit den Steineschmeißern am 1.Mai solidarisieren, oder Blockupy unterstützen. Aber buhuhu NSA GCHQ BSI buhhuhu… ändert so ungefähr null und ist auch noch schlecht für dein Selbstwertgefühl.

Hat jemand der Interesse an SELinux hat Siosm mal kontaktiert und gefragt wie es bei ihm steht? Vielleicht braucht er einfach nur etwas Hilfe. Vielleicht weiß er aber auch seit ein paar Wochen das seine Arbeit demnächst auch noch einen gepatchten/selbst gebauten Kernel voraussetzt…

No offence intended!

[gelöscht]

LessWire schriebSELinux - maßgeblich entwickelt / gepflegt vom NSA - da greift man immer gerne zu.
Schon fast rührend, wie ausgerechnet die sich um eure Datensicherheit kümmern. 😉

Na dann zeig die Sicherheitslücken in SELinux. Kann ja nicht so schwer sein. 🙂

Smon

gaslicht schrieb Vielleicht weiß er aber auch seit ein paar Wochen das seine Arbeit demnächst auch noch einen gepatchten/selbst gebauten Kernel voraussetzt…

Wage ich zu bezweifeln, dass hat Thomas am 26. März das erste mal angesprochen. Erster betroffener Kernel war 3.14 im testing, 3.14-4 im "normalen".

libselinux war schon über einen Monat davor out-of-date.

gaslicht schriebUnd wenn das nicht in deinem Spektrum ist könntest du noch auf die Straße gehen und dich mit mit den Steineschmeißern am 1.Mai solidarisieren, oder Blockupy unterstützen. Aber buhuhu NSA GCHQ BSI buhhuhu… ändert so ungefähr null und ist auch noch schlecht für dein Selbstwertgefühl.

Eben. Jeder mag gewaltbereite Sozialisten. Vor allem die Nationalen gewaltbereiten Sozialisten sind heutzutage besonders beliebt ...

gaslicht

Smon schrieb
gaslicht schrieb Vielleicht weiß er aber auch seit ein paar Wochen das seine Arbeit demnächst auch noch einen gepatchten/selbst gebauten Kernel voraussetzt…
Wage ich zu bezweifeln, dass hat Thomas am 26. März das erste mal angesprochen. Erster betroffener Kernel war 3.14 im testing, 3.14-4 im "normalen".

libselinux war schon über einen Monat davor out-of-date.

Ja ich hab das ja auch nur in den Raum geworfen. Da war nix recherchiert dran, waren ja auch keine Quellen verlinkt. Irgendwas scheint ihn daran zu hindern da weiter zu machen. Mein Vorschlag war nun, wenn sich jemand interessiert, dann könnte er dort ansetzen; herausfinden warum es nicht weiter geht.

Smon schrieb
gaslicht schriebUnd wenn das nicht in deinem Spektrum ist könntest du noch auf die Straße gehen und dich mit mit den Steineschmeißern am 1.Mai solidarisieren, oder Blockupy unterstützen. Aber buhuhu NSA GCHQ BSI buhhuhu… ändert so ungefähr null und ist auch noch schlecht für dein Selbstwertgefühl.
Eben. Jeder mag gewaltbereite Sozialisten. Vor allem die Nationalen gewaltbereiten Sozialisten sind heutzutage besonders beliebt ...

[offtopic]
Das war doch nur der überzogene Vorschlag; man muss die ja nun nicht mögen, aber die machen aus ihrem Herzen keine Mördergrube 😉
[moreofftopic]
Das war doch bisher bei jedem von außen forcierten Putsch so. Und in (spätestens) 5Jahren regen sie sich dann plötzlich ganz offiziell über das Verhalten dieser Regierung auf und fahren ihre NATO-Panzer dort hin. Kennen wir jetzt zu genüge. Naja, wobei in der Ukraine läufts viel perfider, da stellt man die NATO-Panzer gleich am Anfang rein und akzeptiert die gewaltbereiten Nationalisten ganz offiziell als Regierung. Spannend bleibts…[/offtopic]

Und nochmal mehr ontopic:
Was versteht TE nun unter Sicherheit? Ein Archlinux ist erstmal ziemlich sicher, halt so sicher wie die eingesetzte Software (war da nicht grad was mit SSL/TLS)…
Im Grunde kannst du nicht davon ausgehen das dein System auf irgendeine Weise als sicher zu betrachten ist. Selbst wenn es keinen Angriff von Dritten auf dein System gibt, du musst deinem Browserprogrammierer einfach mal vertrauen das er nicht im Hintergrund dein /home auf seinen Server backupt. Und sei es nur versehentlich weil irgendwas total dumm programmiert wurde.
Und selbst als sicher eingestufte Software kann durch dich so falsch eingesetzt werden das dadurch dein System kompromittiert werden kann. Der letzte Unsicherheitsfaktor ist eben der User. (Es gibt Programmierer die sagen das eine Software dann wirklich gut ist wenn sie nicht falsch eingesetzt werden kann.)

Und das sollte man nicht mit Android vergleichen. Die Unsicherheit von Android und Android-Apps hat Google dort hinein programmiert der Linux-Kernel ist da herzlich wenig beteiligt. Das ist Google-user-space …
als möglicher Start für deine Recherche: http://de.wikipedia.org/wiki/Android_(Betriebssystem)#Kritik und http://www.zdnet.de/41553061/android-architektur-wieviel-linux-steckt-in-googles-os/
Ähnliche Kritik besteht auch an anderen Google-Produkten. Der Google-Browser Chrome zum Beispiel war auch dafür bekannt Datenhygiene nicht so ernst zu nehmen.

Solltest du nun also dein System prüfen wollen, dann kann ein erster Schritt, wie schon ganz am Anfang geschrieben, auf laufende Prozesse und offene Ports prüfen sein. Das sind Standards die man immer mal wieder brauchen kann. Und diese zu beherrschen kann dir auch bei ganz anderen alltäglichen Computerproblemen helfen. Auch in den Logs in /var/log und mittels journalctl kann man prüfen wie es dem System so geht. dmesg liefert dir was der Kernel so relevant fand.

Aber es fängt eben damit an das du entscheidest welche Software in deinem System zum Einsatz kommt, geht damit weiter wie wie du sie konfigurierst und endet nicht damit wie du sie einsetzt.

shibumi

Ich spiel ab und zu auf einem Gentoo-Server mit SELinux und das ist ein Krampf. Muss aber zugeben das ich mich mit SELinux bisher wenig beschäftigt hab.

TBone schrieb Wer fähig ist, SELinux _sinnvoll_ zu nutzen, ist auch fähig, sich den Kernel selbst zu bauen.

Aber ich geb da Tbone Recht. Allerdings soll arch ja eine "experten"-distri sein. Also sollte die distri voraussetzen das die user das drauf haben nicht andersrum. Sonst landen wir ganz schnell bei grafischen installer ala ubuntu und so einen scheiss...

Und bitte hört auf mit dem TOR-NSA-ALLES_SICHERHEITSLÜCKE gelaber 😛 das hatten wir schonmal in einem anderen thread.

Goshawker

@shibumi: Ich kann nur dieses finden: "Arch Linux ist daher eine perfekte Distribution für erfahrene Anwender — und solche, die es werden wollen..."
Also nix Experten Distri! (oder muss ich jetzt Arch wieder von der Platte putzen...???)

Ovion

Also nach allem, was ich so gehört habe, kann man SELinux als durchschnittliche Einzelperson gar nicht sinnvoll nutzen, weil das Ding ein Monster ist, dass dazu entwickelt wurde, amerikanischen Geheimdienstrichtlinien zu genügen. Das fällt runter zu "dein Distributor shippt eine sinnvolle Policy" (Redhat macht das afaik) oder "verabschiede dich von Hobbys". Gerade bei Arch dürfte bei weitem nicht die Manpower vorliegen (gerade auch mit'm AUR), eine sinnvolle SELinux-Policy zu maintainen (man bedenke, dass man hier auch entsprechend gepachte Versionen von sudo über die coreutils bis hin zu vim braucht. Der Aufwand für sinnvolles SELinux ist riesig. Da sind andere Module die bessere Anlaufstelle, die sind nicht ganz so mächtig und haben ihre flaws, aber die sind immerhin benutzbar ( extrem mächtig und unbenutzbar vs. nur mächtig, aber benutzbar – da dürfte der effektive Sicherheitsgewinn bei zweitem höher sein).
Insbesondere muss man ja auch merken, was für Prozesse sowas kaputt macht. Ich hab nicht wirklich Lust drauf, in eine 20k-Zeilen-SELinux-config eintauchen zu müssen, weil irgendein Subprozess auf meinem System kaputt geht. (EDIT: und die config bei SELinux ist für jedes Objekt in einer eigenen Datei beim Objekt, die config ist also auch noch über's gesamte System verstreut. ich wünsche viel Spaß.)

EDIT:
Ich hab auch mal die Theorie gelesen, dass SELinux der versuch der NSA ist, solche Systeme auf Linux klein zu halten, indem sie Mandatory Access Control unter Linux mit SELinux einfach um drei Jahre in der Benutzbarkeit zurückwerfen. 😃

F4r3l

Wenn ich mir den aktuellen SSL Bug ansehe, was nützt es mir dann wenn mein System sicher ist 🙁

efreak4u

Nichts... Aber Bugs gibt es nunmal und wird es immer geben. Die meisten sind ja keine Absicht.

Henrikx

Fefe bringt die Sache zum OpenSSL Bug gut auf den Punkt.

fefe schrieb[l] Bloomberg behauptet, die NSA habe Heartbleed schon seit Jahren exploited. Die Quellenlage scheint mehr als dünn zu sein, und ich halte das auch für eher unwahrscheinlich, weil selbst heute bei weitem noch nicht alle auf OpenSSL 1.0.1 umgestellt haben. Der Bug ist überhaupt erst seit OpenSSL 1.0.1 dabei. Vor zwei Jahren hätte das ein paar Nerds betroffen, niemanden relevanten. Vor zwei Jahren einen Exploit gehabt haben, das mag sein.

Aber die Kernbotschaft, egal ab wann Geheimdienste das exploited haben, ist: Geheimdienste arbeiten gegen ihre eigene Bevölkerung, nicht für sie. Die Geheimdienste wussten davon und haben nichts gesagt.

Oh und eine Sache noch: Das sieht jetzt hier aus wie eine Bankrotterklärung von Open Source. Das stimmt nicht. Der Bug wurde von zwei Leuten gleichzeitig gefunden und gemeldet. Einmal von einer Security-Firma, die eine Testsuite für SSL-Bugs programmiert hat. Die hätte das auch bei einem Nicht-Open-Source-SSL gefunden. Aber der andere Finder war ein Google-Angestellter, der einen Quellcode-Audit gemacht hat. Den hätte es so bei einem Nicht-Open-Source-SSL nicht gegeben. Wir haben hier also die Chancen direkt verdoppelt, solche Bugs zu finden. Wer weiß, was in Kommerzsoftware noch so für Untiefen lauern.

fefe schriebÜbrigens stört mich an der Debatte ein bisschen, dass so wenig Leute daraus Konsequenzen ziehen. Wir benutzen alle die ganze Zeit Open Source Software, ohne dafür zu zahlen, und wir benutzen Kommerzsoftware und bezahlen dafür. Dann wundern wir uns, dass die Hersteller von Kommerzsoftware Geld haben, um davon Audits machen zu lassen, aber die Open Source-Leute warten müssen, bis Google mal vorbeikommt.

Eine mögliche Konsequenz aus dem aktuellen Geschehen könnte sein, dass man mal einen Fonds macht, in den Benutzer von Open Source-Software einzahlen, und mit dem dann Qualitätssicherungsmaßnahmen bezahlt werden, für die Freiwillige bei den jeweiligen Projekten nicht die Motivation aufbringen. Das meint natürlich Security-Audits, aber es meint auch sowas wie ordentliche Testsuiten basteln; Dokumentation bereitstellen.

Dirk

Henrikx schriebFefe bringt die Sache zum OpenSSL Bug gut auf den Punkt.

Nur ist Fefe leider ein überbewerteter, selbstverliebter Fanatiker, der seine Meinung als die einzig richtige Meinung ansieht.

runiq

Dirk schrieb
Henrikx schriebFefe bringt die Sache zum OpenSSL Bug gut auf den Punkt.
Nur ist Fefe leider ein überbewerteter, selbstverliebter Fanatiker, der seine Meinung als die einzig richtige Meinung ansieht.

Was hat das damit zu tun, dass er in diesem Fall recht hat?

« Vorherige Seite Nächste Seite »