Ich möchte gerne Manjaro Linux mit Hilfe der Artikelserie „Sicheres Desktop System – Linux härten“ von Mike Kuketz sicherer machen, wofür mir eine gute deutsche Anleitung fehlt, damit ich es auch darauf umsetzen kann.
Denn genau dafür fehlen nämlich auch gute deutsche Anleitungen für die meistgenutzten Linux-Distributionen, was ein Laie umsetzen kann oder der auch von der Linux-Welt nicht so viel Ahnung hat. (Windows-Umsteiger)
Vielleicht könnt ihr mir dabei helfen oder gäbe es da auch noch eine Linux-Distribution, was den Unterbau von Arch Linux und Manjaro Linux samt der grafischen Oberfläche XFCE und das Rolling-Release-Modell hat, was von Hause aus schon sicherer ist und natürlich softwareseitig gepflegt wird?
Wäre vielleicht Artix Linux oder TROMjaro eine Alternative zu Manjaro Linux?
Wahrscheinlich wäre es da besser, wenn man Manjaro Linux einfach nutzen und sicherer machen würde, denn mit Manjaro Linux kam ich bisher am besten klar, was die anderen Linux-Distributionen (ZorinOS und MX Linux) angehen, die ich bisher auch schon mal ausprobiert hatte.
Artix Linux und TROMjaro habe ich bisher noch nicht ausprobiert gehabt und soweit ich weiß, soll das INIT-System Systemd auch nicht so gut sein.
Nach Möglichkeit wäre natürlich FOSS oder besser noch FLOSS am besten, was wohl noch schwieriger werden wird umzusetzen, wie ich auch bei meinen Recherchen rund um das GNU Projekt feststellen musste und was ich an sich wirklich gut finde und auch am liebsten nutzen würde wollen.
Jedenfalls habe ich Lynis, AppArmor und Firejail schon mal bei mir installiert und Lynis auch im Terminal ausgeführt gehabt, wo auch bei der Analyse der Hardening Index 66 herauskam, wie im folgenden Screenshot zu sehen ist:
Die Firewall ist aktiviert und ein Malware Scanner (ClamTk) ist installiert.
PS: Ist mein Beitrag hier in dieser Kategorie Sicherheit richtig oder wäre es bei Betriebssysteme besser aufgehoben, wobei ich mir nicht so sicher bin?
Leider gibt es keinen Standard, der allgemeingültig beschreiben würde, welche Schritte beim Härten nötig sind. Die folgenden gehören fast immer dazu, auch wenn sie noch so abgedroschen klingen mögen…
Die nachfolgend aufgeführten Punkte beschreiben Maßnahmen die sich recht einfach auf jeglicher Linux Distribution umsetzen lassen. Für die einzelnen Maßnahmen wie Verschlüsselung mit LUKS oder Firewallkonfiguration findet man haufenweise Material im Netz. Auch zu Firejail etc. gibt es genug zu finden.
Zu Lynis:
Der interessante Teil der Bildschirmausgabe ist für mich dieser:
Dann kann man, wenn man möchte, sich den Empfehlungen widmen und eruieren welche für das eigene System sinnvoll scheinen. Hierzu ist die detaillierte Logdatei (/var/log/lynis.log) wesentlich geeigneter als der Ergebnisbildschirm. Dort kann man sehen wo und warum man Punkte „liegengelassen“ hat.
z.B.:
Test: Check file permissions for /usr/bin/gcc
Action: checking symlink for file /usr/bin/gcc
Result: file /usr/bin/gcc is not a symlink
Binary: found /usr/bin/gcc (world executable)
Hardening: assigned partial number of hardening points (2 of 3). Currently having 183 points (out of 273)
Result: at least one compiler could be better hardened by restricting executable access to root or group only
Suggestion: Harden compilers like restricting access to root user only [test:HRDN-7222] [details:-] [solution:-]
Dein Hardening Index von 66 ist völlig normal für eine arch-basierte Distro. Mein EndeavourOS hat 67% der Punkte erreicht.
Die Anzahl der Punkte würde ich jetzt nicht überbewerten und die exemplarische Empfehlung aus dem obigen Beispiel würde ich auch nicht umsetzen, weil sie aus meiner Sicht auf meinem System die Sicherheit nicht verbessert, weil User und Root dieselbe Person sind.
Sprich Punktejagd zum Selbstzweck brauch ich nicht.
btw
Und Debian, Arch, Suse und Redhat (die zusammen die Basis für die überwältigende Mehrheit aller Linux-Distros darstellen) sind alle auf dem Holzweg?
Von exotischen Distributionen würde ich, gerade als Einsteiger, die Finger lassen. Was nutzt Dir bei Problemen ein Supportforum wo alle paar Monate jemand postet?
MX Linux, ist z.B. Systemd frei (gut man kann es aktivieren), aber bei weitem kein Exot und bei Leibe auch kein Forum in dem nur alle Nase lang jemand postet
Na hoffentlich müsst, oder wollt ihr eure Distri nicht des öfteren mal neu aufsetzen, mit dem Aufwand den man damit rein buttert
Dürfte man sonst ja keine anderen Hobbies mehr haben…
Wenn Du auf den Arch-Unterbau verzichten kannst ist openSuse tumbleweed vielleicht genau was Du suchst. Rolling Release, XFCE und recht restriktive Sicherheitseinstellungen. Ein Forenmitglied bei EndeavourOS berichtet, mit tumbleweed einen Lynis-Score von 87 erzielt zu haben.
Kannst du mir mal bitte dazu ein paar Links schicken, wo es gut und auch möglichst in Deutsch erklärt wird?
Okay, also das sieht bei mir so aus:
Ich verstehe nicht, was an einem erforderlichen Systemneustart so schlimm sein soll und selbst wenn es schlimm sein sollte, wie kann ich es ändern?
Zum einen fehlen mir die Informationen und das Wissen darüber, was daran so schlimm sein soll oder warum etwas empfohlen wird und zum anderen, wie man dies ändern kann? Also eben gute und deutsche Erklärungen dafür.
Ich empfinde es als ziemlich kompliziert und wünsche mir dafür einfachere Möglichkeiten zur Umsetzung und am liebsten auch über eine grafische Oberfläche, wo man alles an- und abwählen, aktivieren und deaktivieren und erlauben und blockieren kann.
Das würde auch dessen Umsetzung ungemein vereinfachen oder etwa nicht?
Ich bediene ungern das Terminal, weil ich diese ganzen Befehle schon mal gar nicht kenne und wie gehabt lieber über eine grafische Oberfläche arbeite.
Von daher bin ich auch für unkomplizierte Lösungen, die auch jeder umsetzen kann.
Okay, dann weiß ich bescheid und ich bewerte es auch nicht über.
Mir geht’s natürlich auch nicht um „Punktejagt zum Selbstzweck“.
Ich habe nicht behauptet, dass diese genannten Distros von dir auf dem Holzweg sind. Dies haben meine Recherchen dahingehend ergeben, wofür ich nichts kann und beweise mir auch gerne das Gegenteil, wenn du anders informiert bist.
Bei OpenOS auf der Internetseite zu dieser Distro steht: „Die Distribution ist mit Arch Linux weitgehend kompatibel, verwendet jedoch nicht das umstrittene systemd als init-System, sondern überlässt der Anwenderin bzw. dem Anwender die Wahl zwischen OpenRC, runit, S6 und Dinit.“)
Hier sind noch ein paar Links zum Thema Alternative Init-Systeme zum Initi-System Systemd, was wegen dem letzteren jedem zu denken geben sollte:
Red Hat würde ich auch schon mal gar nicht nutzen wollen, weil sie mit mindestens einem US-Geheimdienst zusammengearbeitet haben, was für mich nicht gut ist und ich auch nicht unterstützen möchte. Und systemd ist auch noch von Red Hat, weshalb ich auch von systemd weg möchte.
Das verstehe ich mit den exotischen Distros, aber ausprobieren kann ich es ja trotzdem mal.
Naja das Thema geht hier viel mehr um Sicherheit, auch wenn ich Manjaro Linux (wahrscheinlich wegen dem INIT-System Systemd) nicht immer ganz so stabil bei mir läuft, wo bei mir früher auch Windows etwas stabiler lief und deshalb alle paar Monate Manjaro Linux komplett neu machen muss, was schon nervig ist. Jedoch ist dies ein anderes Thema.
Also ich habe nicht vor meine Distro öfters mal neu aufzusetzen, was mich wie gehabt bei Manjaro Linux schon stört, wenn ich alles manchmal komplett neu machen muss. Aber das ist wie gehabt ein anderes Thema.
Und nein, damit möchte ich bestimmt nicht meine Zeit verbringen.
Für mich wäre wie gehabt ein Linux gut, was den Unterbau von Arch Linux hat und (ähnlich) wie Manjaro Linux ist und eben von Hause aus schon sicherer ist.
Es muss nicht weiß ich wie sicher sein, aber auf jeden Fall sicherer als jetzt und wenn es an den Hardening Index Wert von ca. 90 herankommt, wäre es schon mal gut und das System auch noch gut und stabil läuft, ohne zu große Einschränkungen.
Ja, vielleicht. Sofern ich damit klar kommen sollte und auch mit dem anderen Paketmanagement RPM. Jedoch kann ich es auch mal ausprobieren.
Was sagt ihr denn allgemein zu Artix Linux, weil es auch im Gegensatz zu TROMjaro bisher nur zweimal angeklickt worden ist, wodurch scheinbar kaum bis gar kein Interesse daran besteht?
Artix Linux spricht mich irgendwie am meisten von allen genannten Distros an, was scheinbar auch von vielen Leuten unterschätzt wird, wie es auch zu mindestens in den Kommentaren auf Distrowatch heißt.
Ja, dass verstehe ich. Jedoch brauche ich aktuelle Software wie z.B. Firefox, Thunderbird und LibreOffice und allgemein möglichst keine alte Software.
Dann kann ich auch Debian oder ähnliches nutzen, was ich bisher auch noch nicht ausprobiert habe und was nicht ganz meinen Vorstellungen entspricht.
Also dann probiere ich mal bei Gelegenheit Artix Linux, TROMjaro, openSuse tumbleweed und Debian aus, worüber ich euch dann auch zur gegebener Zeit berichten kann und ich danke euch für eure Antworten, auch wenn ich in puncto Sicherheit bisher noch nicht wirklich weiter gekommen bin. Jedoch schaue ich mir auch mal bei Gelegenheit das Linux Hardening Guide an.
Links habe ich keine parat, meine üblichen Anlaufstellen sind das EndeavourOS-Wiki und hauptsächlich das Arch-Wiki. Davon ausgehend suche ich dann weiter, nutze allerdings zu 99,9% englischsprachige Seiten. Die verschlüsselte Installation mit LUKS wird doch eigentlich immer in den Installationsanleitungen der jeweiligen Distribution beschrieben.
Hast Du unmittelbar vor dem Start von Lynis System-Updates eingespielt? Manche Updates z.B. neue Kernelversionen erfordern einen Neustart des Systems um wirksam zu werden.
Erscheint die Warnung auch nach Neustart?
Die Zielgruppe von Lynis sind sicher nicht in erster Linie Privatanwender sondern Systemadministratoren. Und für die Administration von Linux ist das Terminal nun mal das beste Werkzeug. Ohne Basiskenntnisse (viel mehr habe ich auch nicht) ist es natürlich sehr schwierig die Empfehlungen von Lynis zu deuten und ggf. umzusetzen.
Ich bezweifle stark, daß Deine Stabilitätsprobleme am INIT-System liegen. Was passiert denn mit Deinem System, daß Du alle paar Monate neu aufsetzene musst?
Meine Installation „rollt“ seit ca. 20 Monaten ohne Neuinstallation durch.
ich habe Artix nicht angeklickt, weil ich es dem Namen nach kenne, von TROMjaro habe ich noch nie etwas gehört und habe aus reiner Neugier geklickt.
Artix scheint eine grundsolide Distribution zu sein und sicher einen Versuch wert, wenn Du systemd meiden willst. Inwiefern Artix für Einsteiger geeignet ist, kann ich nicht bewerten.
Okay, dann muss ich wohl selbst versuchen an gute und auch deutsche Anleitungen diesbezüglich heran zu kommen.
Es gibt bestimmt vieles oder alles eh schon im englischsprachigen Raum, was gut beschrieben und vielleicht auch dokumentiert worden ist, aber man muss erst einmal die guten Informationsquellen kennen, damit man sich auch richtig darüber informieren kann.
Also bei Arch-Wiki und bei Manjaro-Wiki kann ich mich natürlich ebenfalls informieren, wobei ich zu mindestens beim letzteren nicht unbedingt immer fündig werde, wenn ich ein Problem bei mir unter Manjaro Linux gefunden haben sollte. Zumal ich auch sonst nirgendwo, außer hier im Kuketz Forum, in einem Forum angemeldet bin.
Also LUKS kann ich unter Manjaro Linux schon mal gar nicht installieren, weshalb ich die Artikelserie von Mike Kuketz eh nicht vollständig ohne weiteres umsetzen kann. Weshalb ich zu mindestens schon mal Firejail, AppArmor und Lynis installieren konnte, wo jetzt nur noch die Umsetzung mit möglichst guten und deutschen Anleitungen fehlt, damit ich es auch weiter umsetzen kann.
Außerdem gibt es kein auch grsecurity (RBAC) und PaX für Manjaro Linux.
Es gibt zwar auch ein Programm namens pax, aber das ist glaube ich etwas anderes. (pax | Portable Archive Interchange | the POSIX standard archive tool for cpio and tar formats)
Nein, nicht das ich wüsste. Jedoch sicher bin ich mir da jetzt auch nicht mehr. Allerdings habe ich mit Lynis noch einmal Manjaro Linux analysiert gehabt und dabei kam auch das gleiche Ergebnis heraus. Aber woran das liegt, weiß ich auch nicht.
Ja, meistens bei größeren und auch bestimmten Updates ist ein Neustart erforderlich.
Das weiß ich nicht, aber das kann ich dann mal bei Gelegenheit überprüfen.
Ja, dass glaube ich auch wegen Lynis. Nichtsdestotrotz sehe ich mich schon als fortgeschrittener PC-Nutzer auch dazu in der Lage, komplexe und auch schwierigere Dinge umzusetzen, wenn ich eben die entsprechenden guten und deutschen Anleitungen dafür habe und worin ich mich auch mit der Zeit einlesen kann. Jedoch sollte es nicht zu komplex und schwierig sein, weil ich es auch einfach, verständlich und unkompliziert mag, was Laien wie mich z.B. umsetzen können.
Ich würde mich schon ein stückweit als Systemadministrator sehen, auch wenn ich kein Profi darin bin, aber ich glaube auch überdurchschnittliche Kenntnisse, Informationen und Wissen darüber zu verfügen.
Ja, dass glaube ich auch mit dem Terminal als bestes Werkzeug unter Linux und das verlangt schon sehr viel technisches Verständnis und Wissen ab.
Für mich ist es jedoch nichts und wenn dann nur für die einfachsten Dinge, die nötig, einfach und unkompliziert wirklich für jeden umsetzbar sind.
Ja, wahrscheinlich wird es eher weniger am INIT-System von systemd liegen.
Ich glaube, dass es eher mit den Manjaro Linux Updates zu tun hat und vor allem, wenn es um archlinux-keyring und manjaro-keyring geht oder auch eher weniger um gnome-keyring und python-keyring.
Bei mindestens einem der ersten beiden Keyrings kann es beim Updaten zu einem Fehler bei der Konfiguration kommen, weshalb auch Manjaro Linux spätestens ab da an anfängt mehr oder weniger herum zu spinnen, sodass es kurz hängen bleibt und dann wieder funktioniert, was mir besonders beim Musik hören oder Videos schauen auffällt.
Oder auch bei der Audio- oder Videotelefonie über Jitsi in Firefox. Da kann sogar der ganze Desktop einfrieren, wodurch ich auch nichts mehr anklicken kann, auch wenn ich den Mauszeiger ggf. noch bewegen kann. Nur darf ich nichts klicken, weil dann nämlich auch gar nichts mehr geht.
Manjaro Linux bleibt auch einfach mal so hängen, wo er nicht mehr reagiert, obwohl ich es erst neu gemacht hatte und es schaltet sich einfach aus, um dann wieder neu zu starten und ich weiß nicht woran es liegen könnte. Was ich auch doof finde, dass keine Fehlermeidung angezeigt wird, weshalb dies geschehen ist und so kann ich nur mutmaßen, woran es denn gelegen hat.
Ich werde eh noch ein weiteren Beitrag hier im Forum erstellen, wo ich den sehr langen Text zum Thema schon fast fertig habe, weshalb ich vielleicht zusätzlich noch meine Schwierigkeiten sowohl am PC als auch am Handy und allgemein in meinem Netzwerk habe, was mit gehackt werden zu tun hat. Wo ich gespannt bin, wie die Leute hier darauf reagieren werden, da es vielleicht auch unter Umständen zur Diskussionen und Kontroversen führen könnte.
Jedoch dazu in nächster Zeit mehr in meinem neuen und 4. Beitrag in der Kategorie Datenschutz.
Jedenfalls alleine schon durch dieses Arch User Repositories (AUR) in Pamac (Pacman), was ich wegen einigen Programmen nutzen muss, die es bei den offiziellen Repositories nicht gibt. Es war eh schon nicht einfach für mich gewesen von Windows auf Linux im Bezug auf die Windows-Programme zu wechseln, wodurch ich fast kein Windows-Programm hier auf Linux nutzen kann und deshalb auch nach Alternativen suchen musste, wo ich dann auch fündig geworden bin.
Es wäre schön, wenn es hier ohne Fehler und Probleme auf meinem alten PC laufen würde.
Ansonsten musste ich anfänglich auch ebenfalls wegen Updates ein paar Mal Manjaro Linux neu machen, weil sich der XFCE-Desktop verabschiedet hat und deshalb auch nicht mehr geladen worden ist, also damit meine ich auch mein Hintergrundbild, die (System)Symbole (Verknüpfen) usw. darauf.
Aus diesen Gründen und weil ich vielleicht von Hacktivisten gehackt werde, habe ich so meine Schwierigkeiten am PC mit Manjaro Linux und am Handy mit LineageOS. Manjaro läuft nicht so stabil, wie es bei mir unter Windows auch war.
Jami funktioniert bei mir wegen Updates und der Umstellung auf Qt Anfang diesen Jahres nicht mehr und sonst scheinen manche Sachen bei Manjaro Linux noch nicht ganz so ausgereift zu sein oder auch fehleranfällig.
LibreWolf könnte ich zwar über die AUR beziehen, aber nach 1,5 Stunden installieren und kompilieren habe ich es dann auch abgebrochen und weil das ganze Unterfangen mein PC an die Grenzen seiner Leistung gebracht hat, was echt eine Zumutung ist, obwohl ich diesen Browser gerne neben Firefox ausprobieren würde wollen.
Okay, alles klar.
Ja, dass glaube ich auch wegen Artix Linux und das dies ein Versuch wert ist, wenn ich denn Artix Linux über den USB-Stick zu laufen bekommen würde, wo ich wohl nochmal in deren Wiki und/oder Forum nachschauen muss.
Irgendwie lässt sich Artix Linux auch nicht so einfach wie z.B. Manjaro Linux über ein USB-Stick ausprobieren.
Ja, ich möchte sysdemd meiden und Artix Linux ist von der Größe her auch nur 1,6 GB groß, wo Manjaro Linux 2,6 GB und TROMjaro sage und schreibe 4,2 GB in Anspruch nimmt.
Hier sind nochmal die Links wegen den freien INIT-Systemen und auch dem systemd, falls ihr sie übersehen haben solltet, da sie bisher auch noch nicht angeklickt worden sind:
Das sollte definitiv nicht sein, ich bin jetzt nicht der große Linux-Troubleshooter vor dem Herrn, aber wenn Du möchtest kannst Du mir mal die Ausgabe von inxi -Fxxxz
als PM schicken (das wird hier sonst zu sehr off-topic) und ich schaue mal ob mir Hardware mit „Konfliktpotential“ auffällt.
Im AUR gibt es die Pakete librewolf und librewolf-bin. Du hast vermutlich librewolf installieren wollen, hier muss das Programm erst aus den Quelltexten kompiliert werden, was auf schwächerer Hardware eine Quälerei ist.
Der Zusatz -bin markiert ein vorkompiliertes Paket, das bedeutet der obige Schritt entfällt.
Installiere also besser librewolf-bin. ich installiere aus dem AUR generell die -bin Versionen (falls vorhanden).
Kannst du mal ausführen, warum genau? Ja, systemd ist umstritten. Da prallen oft Weltanschauungen aufeinander, und sein Gegner argumentieren oft sinngemäß, dass systemd Linux umschlingt oder sogar erdrückt. Mal abgesehen davon, dass das m.E. sehr übertrieben ist und systemd ja auch modular aufgebaut ist (wer es als init-System hat, muss noch lange nicht z.B. systemd-networkd oder systemd-homed benutzen), hat es erhebliche Sicherheitsvorteile - und darum geht es ja hier in dieser Diskussion.
In einer Diskussion auf der arch.dev-public mailing list von Arch wurde m.E. richtigerweise angemerkt:
The biggest argument again systemd is its complexity. Some people do prefer
simple init systems with init scripts.
Let’s recap: Sure, systemd is complex, but it is well maintained (IMHO).
Generally it works well. The benefit is that systemd units can be written
quite easily, at least basic ones. Issues are easy to fix, things just work.
In contrast to that the complexity comes from the init scripts with the other
init systems. For each of them, again and again. Syntax errors, race
conditions, what ever.
And please note that systemd provides a lot of security features (limiting
privileges, presenting read-only filesystems, …) for its services. It’s
nearly impossible to implement this with init scripts, so system security
would drop a lot.
Diese Sicherheitsvorteile bestehen darin, dass systemd umfangreiche sandboxing-Fähigkeiten aufweist, die kein anderes init-System bietet.
Man sieht, wie gründlich dnscrypt-proxy eingesperrt ist - allein schon dadurch, dass es als Dynamic User läuft.
Dass nicht alle sandboxing-Möglichkeiten von allen Distros und für alle Dienste in vollem Umfang genutzt werden, ist eine andere Sache. Der Benutzer hat aber die Möglichkeit, hier selbst mit systemd-analyze security [service] nachzuschärfen - siehe etwa den obigen Artikel von Red Hat.
Vielen Dank für die weiterführenden Links.
Ich sehe die Ablehnung von systemd auch eher „weltanschaulich“ begründet. Für mich gibt es derzeit keinen „vernünftigen Grund“ systemd Distributionen zu meiden. Im Gegenteil, ich werde mein System bald grundlegend ändern (anderes DE, LUKS) und in diesem Zuge von grub/mkinitcpio auf systemd-boot/dracut wechseln.