Hallo zusammen, ich bräuchte einmal euren Rat zu zu ergreifenden Sicherheitsmaßnahmen unter Linux:
Mit welchem technischen Werkzeug kann ich unter einem Linux (hier: Debian 12) die offenen USB-Ports definieren und die sonstigen schließen lassen?
Wie ließe sich organisatorisch gesehen die 3-2-1-Backup-Regel am besten verständlich umsetzen?
Kann ich die Anmeldung an meinen Benutzer vornehmlich via Sicherheitskey (z.B. Solokey, Nitrokey, Yubikey, etc.) abwickeln? Wenn positiv, wie?
VG Lukas
USBGuard, eine Anleitung findet sich hier: https://www.privacy-handbuch.de/handbuch_91a.htm
Ich verwende momentan U2F, zusätzlich zum Passwort.
Das Passwort kann m.M.n. hier entsprechend weniger Komplex sein, wenn du U2F scharf geschaltet hast.
Dafür gibt es bei Nitrokey eine Anleitung, die sollte auch für alle anderen Schlüssel funktionieren, die das - Fido U2F - unterstützen.
Hier: https://docs.nitrokey.com/de/nitrokey3/linux/desktop-login
Ich verwende für die Konfiguration /etc/pam.d/common-auth, und es wird bei mir überall ordentlich unterstützt - im Datei und Netzwerkmanager (PolicyKit), su, login (lightdm/gdm/… oder Konsole).
Hierbei würde Ich ggf. auch empfehlen, die man page zu pam_u2f zu lesen, sobald es installiert ist, falls du den selben Stick für mehrere Rechner mit dem selben hostnamen nutzen möchtest: man pam_u2f
Ebenso nutze Ich als „authfile“ eines unter /etc, damit Nutzer selbst keine Keys hinzufügen können, als Sicherungsmaßnahme. Ist in der Anleitung wohl auch so empfohlen.
Ob es eine Methode für „passwortlosen“ Login gibt, weiß Ich nicht.
Zu den Backups gibt es eigentlich viele Empfehlungen → Forensuche oder auf jemandes Empfehlung warten. 
Die Regel besagt ja nur 3 Backup (Versionen) auf zwei unterschiedlichen von einander getrennten Medien, wobei ein Medium außer Haus gelagert wird.
Im einfachsten Fall also: Originaldateien, die auf eine zweite Festplatte im Rechner gesichert werden und auf eine externe Festplatte (oder Cloud), die dann natürlich nach dem Backup an einem anderen Ort außerhalb des Rechnerortes gelagert werden muss.
Wie du das bewerkstelligst, gibt es natürlich zahlreiche Möglichkeiten und Programme.
Ich sichere mein Ubuntu Arbeitslaptop recht umfangreich, dort sind auch noch zusätzlich zwei interne Festplatten verbaut.
Für sofortige Backups (mindestens täglich) benutze ich:
Für die außer Haussicherung gibt es insgesamt 4 externe USB Platten, die paarweise gewechselt werden:
Sind die Backups auf den beiden externen Festplatten gemacht, werden sie bei der nächsten Gelegenheit mit den beiden anderen außer Haus lagernden Festplatten getauscht.
Ich benutze so viele verschiedene Programme, um mich nicht auf ein Programm verlassen zu müssen.
Schwachpunkt meiner Strategie ist, dass die außer Haus Backups nicht immer ganz taufrisch sind, da es oft Überwindung kostet einfach auch nur die USB Platten anzustöpseln. Auch das Austauschen mit den außer Haus Festplatten läuft doch recht unregelmäßig.
Deswegen ziehe ich noch in Erwägung meine allerwichtigsten Daten verschlüsselt auf einem Cloudspeicher zu sichern.
Da ich Geschäftsdaten sichere, habe ich bei Borgbackup und bei BackInTime eine Archivdatensicherung, d.h. die Daten der letzten 2 Stunden, letzten 7 Tage, der letzten 4 Wochen, der letzten 6 Monate und der letzten 10 Jahre eingestellt.
An und zu schaue ich mir die Backups auch an, um sicher zu gehen, dass alles läuft und mache auch probehalber Wiederherstellungen auf einem Zweitrechner. Das halte ich für ziemlich wichtig, zum Einen um eine Routine in der Stresssituation eines Datenverlustes zu haben und zum Anderen habe ich auch immer wieder kleine Fehler gefunden, z.B. vergessen, neue Datenablageorte mit ins Backup aufzunehmen.