Ich kann nicht für ihn sprechen, aber er hat zu Whonix, Kicksecure und GrapheneOS etwas beigetragen. Den einzigen Erwähnungen zu Window und Winodws finde ich bei (https://madaidans-insecurities.github.io/guides/linux-hardening.html#gui-isolation). Da ist aber Fenster gemeint und nicht das Betriebssystem.
Die meisten Vulnerabilities im Linux-Bereich erhalten keinen CVE und deshalb auch nie einen Backport. Zudem werden meist nur die höheren CVE-Stufen geported. Deshalb ist es wichtig nah am Upstream zu sein (z.B. Arch, Tumbleweed, Fedora).
@Eleazar :
Wenn du Linux härten willst, dann wird es schwierig ohne Englisch und ohne Linux-Kenntnisse. Gute Anleitungen sind sehr rar und alle guten die ich kenne sind in Englisch. Es gibt auch kein GUI-Programm wo man einfach ein paar Einstellungen vornimmt und das System ist dann einigermaßen sicher. Viele Sicherheitsentscheidungen hängen direkt mit den Kenntnissen über Linux zusammen. Wenn man die nicht hat, wird das nichts. Beispielsweise beim Sandboxen erstellen oder MAC policies schreiben. Natürlich kann man sich das Wissen auf dem Weg erarbeiten, aber das wird viel Zeit kosten. Und man muss auch mal per Live-ISO und Chroot ein System reparieren können, wenn etwas schief geht (und das wird es) und Backups bereithalten.
Dazu muss man wissen, dass Linux-Sicherheit im Desktop-Bereich entgegen weitverbreiteter Meinung überhaupt nicht gut ist (nein, Open-Source führt nicht automatisch zu mehr Sicherheit) und deshalb einiges zu tun ist um überhaupt auf ein halbwegs vernünftiges Niveau zu kommen. Im Ausgangszustand hat man so gut wie kein Sandboxing, nur wenige Prozesse mit MAC confinement, kein Verified Boot, keine Attestation, keine virtualisierungsbasierte Sicherheit, viele Jahre Rückstand bei Exploit Mitigations, furchtbare Kernel-Configs, und vieles mehr. Alles in allem ist man mindestens ein Jahrzehnt hinter der Sicherheit von modernen Betriebssystemen wie Android und iOS.
Ich würde folgendermaßen Starten:
- Wechsle von XFCE zu Gnome, KDE oder Sway und aktiviere Wayland sowohl für das DE, als auch die Anwendungen. Ohne Wayland kannst du Sicherheit in die Tonne werfen, da mit X11 jedes Programm von anderen das Fenster und auch alle Eingaben mitschneiden kann, also Keylogging und Bildschirmaufnahmen quasi als eingebautes Feature.
- Wechsle von Manjaro zu EndeavourOS (ist Arch mit nem Installer). Manjaro ist mehrfach durch schlechte Sicherheitspraxis aufgefallen (bspw Zertifikate auslaufen lassen). Zudem machen die zwei Wochen zurückgehaltenen Updates keinen Sinn, insbesondere wenn man es mit aktuellen Paketen aus dem AUR mischt. Arch ist auch nicht instabiler als Manjaro.
- Folge dem Arch Security Wiki. Dabei wirst du einiges über Linux lernen, manchmal auch auf die harte Tour. Wenn du mit Englisch nicht klar kommst, nutze Google Translator (o.a.).
- Sollte dir das alles zu viel sein, wäre Fedora eine Option und werde erst mal mit der Linux-Welt warm. Da hast du wenigstens moderne Standards wie Wayland OOTB, auch wenn vieles andere immer noch sehr zu wünschen übrig lässt. Oder du bleibst bei EndeavourOS, aber Wayland ist Pflicht. Vielleicht kannst du da ja trotzdem nach und nach etwas vom Arch Wiki oder Madaidan’s hardening guide und später mit mehr Erfahrung das ganze nochmal tiefergehender angehen.
- Zu vermeiden: X11, Pulseaudio, „stable“-Distros mit langem Zyklus wie Debian, Linux Youtuber, Reddit
1 „Gefällt mir“
Okay, dann weiß ich bescheid.
Also gibt es demnach kein besseres und sicheres INIT-System als systemd?
Okay, dass klingt doch schon mal gut, auch wenn ich Whonix und Kicksecure nicht kenne und dies kann wirklich am Lingva (Google Übersetzer) liegen, der bei mir aktuell warum auch immer irgendwie nicht mehr erreichbar ist.
Funktioniert denn die Internetseite bei euch (ohne Cloudflare)?
Bei mir geht Lingva nur bei diesem Anbieter ohne Cloudflare: Lingva
@Parting4276
Ja, dass ist nicht ohne Englisch und Linux-Kenntnisse leicht wird Linux zu härten, ist mir auch schon aufgefallen und ich kann bei guten Anleitungen Lingva nutzen, so ist es nicht. Auch wenn mir die Linux-Kenntnisse dafür fehlen.
Das wäre echt gut und hilfreich, wenn es ein GUI-Programme geben würde, wo man einfach die gewünschten Einstellungen vornimmt und das System dadurch einigermaßen sicher ist.
Okay, ich verstehe nicht, warum auch noch kein Entwickler auf die Idee gekommen ist, es so einfach wie möglich zu entwickeln und wodurch es auch jeder Leihe ganz einfach umsetzen kann, ohne groß Kenntnisse darüber haben zu müssen.
Gibt es da wirklich keine guten vorgefertigten Lösungen?
Also so viel Zeit möchte ich jetzt nicht darin investieren, wofür mir die Zeit zu schade ist und außerdem möchte ich auch gar kein Entwickler werden.
Da es nicht so einfach ist und auch keine guten und einfachen Lösungen gibt, werde ich es auch nicht weiter groß verfolgen, wie man Manjaro Linux sicherer machen kann. Weshalb ich wohl mal wieder eine andere Linux Distribution ausprobieren muss, die gegebenenfalls auch in Frage käme.
Okay, dann stellt sich für mich die Frage: „Welche Linux-Distribution ist schon von Hause aus am sichersten von den Grundeinstellungen her, wo man nicht mehr so viel einstellen muss und worauf auch aktuelle Software wie z.B. LibreWolf, Thunderbird, LibreOffice usw. läuft bzw. die zeitnah aktualisiert wird?“.
Ich möchte jetzt auch nicht das sicherste Linux-Distribution nutzen, wo ich auch meine Sachen nicht mehr machen kann und auch der Komfort zu sehr eingeschränkt wird, wo ich auch schon bereit bin Abstriche zu machen, so ist es auch nicht.
Mir geht’s auch viel mehr um Funktionalität und Stabilität als um Sicherheit, wo ich jedoch schon bereit wäre, die einfachen und auch etwas schwierigen Sachen für Anfänger und Fortgeschrittene umzusetzen.
Okay, deine Aufzählung lasse ich mir auch mal durch den Kopf gehen und ich brauche leider auch Pakete aus dem AUR, weil ich in puncto Funktionalität nicht alle benötigten Pakete aus den Repositories erhalten kann, da sie nicht vorhanden sind. Deshalb muss ich auf AUR zurückgreifen und diese anderen Möglichkeiten, die es sonst noch so gibt (AppImage, FlatPack usw.) gefallen mir auch nicht und funktionieren hier auch unter Manjaro irgendwie nicht.
Das mit der Funktionalität und den Programmen, die ich brauche, ist wie gehabt auch so ein Thema für sich, was mir ganz schön Kopf zerbrechen bereitet hat, als ich von Windows auf Linux gewechselt bin und hier unter Linux überwiegend meine gewohnten Windows-Programme nicht mehr laufen, weshalb ich anfangs noch WINE verwendet habe, um die Windows-Programme unter Linux zum laufen zu bringen, was keine gute Idee war. 
Ja, ich muss dafür auf jeden Fall den Google Übersetzer oder DeepL nutzen und so kann ich es machen oder wäre vielleicht auch sinnvoller für mich.
Ich lass es mir wie gehabt mal durch den Kopf gehen.
Was meinst du denn genau mit dem "„stable“-Distros mit langem Zyklus wie Debian, Linux Youtuber, Reddit und auch mit „Linux YouTuber und Reddit“?
Denn das verstehe ich nicht so ganz.
Nichtsdestotrotz danke ich dir für deine informelle Hilfe.
PS: Ich werde auch noch ein Beitrag im Bereich Datenschutz hier im Forum erstellen, weshalb ich u.a. auch Manjaro Linux am PC und auch LineageOS bzw. DivestOS am Handy sicherer machen möchte, aber möglichst ohne zu großen Aufwand. Wegen LineageOS bzw. DivestOS werde ich vielleicht noch gesondert ein Beitrag erstellen und diese Beiträge miteinander verlinken.
- Das „Einfrieren“ von Programmversionen führt dazu, dass man viele Sicherheitspatches verpasst, da häufig keine CVEs vergeben werden.
- Information von Linux-Youtubern und Reddit zum Thema Linux-Sicherheit ist voll von Falschinformation. Die meisten die dort ihren Senf zum Thema geben haben schlichtweg keine Ahnung.
Was soll das bringen? Datenschutz und Sicherheit sind zwei paar Schuhe. Die meisten Linuxsysteme sind datenschutzfreundlich auch ohne dass man etwas anpassen muss. Das Problem ist die Sicherheit.
Vmtl Fedora mit Gnome, KDE oder Sway. Aber auch da ist sehr viel Luft nach oben.
Es gibt schon auch Programme mit GUI bspw die SCAP Workbench, aber auch da musst du wissen was du machst und ggf. wieder zurücksetzen können und es ist nicht mit ein bisschen Knöpfchendrücken erledigt. Diese Programm fixen in der Regel auch nur Low-Hanging-Fruit, wie bspw umasks, Passwort-Policen und SSH-Konfig. Es gibt keines welches die wichtigen Dinge erledigt, wie Sandboxing und MAC-Policen schreiben.
Linux ist da einfach das falsche Desktop-Betriebssystem für, da der Ausgangszustand zu viel Veränderung benötigt. Schau dir mal an was Google alles machen musste um aus Linux ein sicheres Betriebssystem wie Android zu machen. Die Vorträge über das Android Security Model sind wirklich sehenswert. Wenn du etwas haben willst, was mit wenig Aufwand sehr sicher ist, benutze ChomeOS, iOS, iPadOS, Android. Danach kommt MacOS. Danach Windows mit überschaubarem Konfigurationsaufwand (WDAC+Attack Surface Reduction), dann Linux mit viel Aufwand.
Devuan (Debian-Fork), Gentoo, Slackware, Alpine Linux… zumindest den Dino Slackware sollte jedem Linuxer aus dem 20. Jahrhundert bekannt sein Link zu nosystemd.org
Edit… sehe erst jetzt, dass einige Distributionen bereits hier im Thread benannt wurden 
Den Benutzer aussperren, was auch andere Systeme wie MacOS, iOS und ChromeOS machen, aber mehr schlecht als recht funktioniert. Erwähnenswert ist vielleicht auch, dass bspw. SELinux zurerst fester Bestandteil im Linux-Kernel war (und diversen Distributionen) und erst danach in Android aufgenommen/umgesetzt wurde
Androids Konzept lässt sich nicht wirklich vergleichen, weil es darauf setzt, dem Benutzer keine Rechte zu geben. Das kann unter Umständen sinnvoll sein, beispielsweise wenn die Kenntnisse und Erfahrungen des Anwenders eher „überschaubar“ sind oder ein Endgerät nur eine ganz bestimmte Funktion erfüllen soll. Es sollte mMn aber nicht das Ziel sein, dem Anwender alle Rechte zu entziehen, denn damit verliert man Kontrolle und Flexibilität über das System. Aber: Wenn der Benutzer so gut wie keine Rechte hat, dann ist die Wahrscheinlichkeit eher gering, dass Malware höhere Rechte erlangt. Andererseits sieht man gerade bei Systemen wie Android oder iOS, dass das nichts ungewöhnliches ist und es immer wieder Malware gibt, die trotz allem höhere Rechte erlangt.
Sehe ich anders. Die Vergangenheit hat gezeigt, dass Windows-Schutzmaßnahmen nicht zuverlässig funktionieren bzw. Dinge wie SRP einfach von Haus aus kaputt ausgeliefert werden (soweit ich weiß ist das heute immer noch so).
Dann währe vermutlich Qubes OS ein guter Kompromiss.
Zum Thema Sicherheit muss man grundsätzlich Unterscheiden zwischen gezielten und ungezielten Angriffen und theorischen Schwachstellen oder die, die auch in der Praxis relevant sind. Es gibt Malware, die auf mehreren Schwachstellen aufsetzt, welche teilweise sehr komplex sind. Diese findet man in „freier Wildbahn“ nicht bzw. sehr selten. Linux-Distributionen sind wegen der modularen Bauweise und teilweisen sehr unterschiedlichen Konstellationen wesentlich seltener von ungezielter Malware betroffen, während andere Betriebssysteme meistens flächendeckend in mehreren Generationen von etwas betroffen sind.
Vieles hängt auch vom Anwender selbst ab. Ich verwende sowohl Debian, als auch Alpine und Fedora und bin mir ziemlich sicher, dass mein persönliches Risiko mir Malware einzufangen gegen Null tendiert - egal ob ich SELinux, AppArmor, Firejail oder eine X-beliebige Sandbox-Technologie einsetze.
1 „Gefällt mir“
Das kommt auf deine Definition von besser und sicherer an. Jedenfalls fliesst viel Entwicklungsarbeit in systemd.
Hast du die letzten 10 Jahre Defensive OS Security Research verpasst oder die Preise für iOS und Android Exploits? Für multi-stage Exploits bei Android reichen einstellige Millionenbeträge nicht mehr. Heißt, es hat sowohl theoretisch als auch praktisch sehr gut funktioniert.
Vollkommen unbedeutend, wenn nicht die nötigen Policen vorhanden sind. Der Unterschied beim Einsatz von Android und Desktop-Linux ist, dass unter Android alle Prozesse strikt confined sind. Von Systemprozessen über HALs bis hin zur untrusted_app App-Sandbox. Das kombiniert mit einem Linux-User pro App, MCS und seccomp-filtern ergibt ein unglaublich starkes Confinement. Auf Deskop-Linux wie Fedora oder RHEL läuft das meiste im Userspace unconfined, die anderen genannten Dinge fehlen nahezu gänzlich. Selbst in Android 5 vor 9 Jahren war das Security-Model schon besser und wurde mehr Selinux eingesetzt als auf dem Desktop heute.
Sorry, aber das ist Quatsch. Die meiste Malware bei den beiden OSen funktioniert nur, wenn der Nutzer dumm genug ist, um sie zu installieren und der App freiwillig gefährliche Berechtigungen zu geben, wie Accessibility Services. Da kann das OS nichts dafür. Malware die ohne Berechtigung aus der Sandbox ausbricht kostet schon mehrere Millionen, wenn man dann noch von Persistence oder Zero-click redet, dann sind wir bei noch viel höheren Summen. Das trifft nur High-Value-Targets, wenn überhaupt. Und ist kein Vergleich zu Linux, wo jedes Script-Kiddy Persistenz und Privelege Escalation erreichen kann und aus der nicht vorhandenen Sandbox muss man auch nicht ausbrechen.
Die Vergangenheit zeigt überhaupt nichts. Mit einem guten WDAC-Setup plus einer Security-Baseline bist du gegen die allermeiste off-the-shelf-Malware immun. Und das mit viel weniger Aufwand als unter Linux. Windows hat in den letzten Jahren massive Fortschritte gemacht, auch wenn vieles, wie WDAC, noch nicht bei der breiten Masse angekommen ist. Das soll sich ändern. In Zukunft will Microsoft deutlich mehr Fokus auf security-by-default setzen.
@Parting4276
Okay, gut zu wissen und danke für diese Informationen.
Wer hat denn neben Mike Kuketz wirklich Ahnung von dem Thema Linux-Sicherheit?
Damit ich eure Meinungen zu dem Thema erfahren kann und auch was es für Möglichkeiten gibt, sich davor zu schützen.
Ja, dass hat Mike Kuketz auch schon in seinen Beiträgen geschrieben gehabt und dies weiß ich auch.
Okay, dass ist doch schon mal gut wegen der Datenschutzfreundlichkeit der Linuxsysteme.
Also sollte ich auch demnach den Fokus mehr auf die Sicherheit als auf den Datenschutz legen?
Okay, weißt du es genau und mit Sicherheit, dass Fedora mit den genannten Desktop-Oberflächen von dir oder gibt es noch weitere Linuxsysteme, die in Frage kommen könnten?
Also ich habe mal versucht Artix Linux vom USB Stick aus als Live Medium zu starten, wo ich bei der Eingabe von einem Benutzer und Passwort auch nicht weiter kam, weil ich es nicht wusste und ich dafür eine Konsole verwenden musste.
Da gefällt mir das bei Manjaro Linux besser, auch wenn es langsam und verzögert ist, wenn man in der Übersicht beim Booten vom Live Medium ist.
Okay, dass ist mir natürlich wichtig zu wissen, was ich da mache und was dabei passiert, wenn dieses aktiviere und jenes deaktiviere. Also das wäre vom Vorteil.
Ich habe davon keine Ahnung, was du hier ansprichst.
Okay, also ich möchte nicht wieder zurück zu Windows und bin auch froh davon weg zu sein.
Ich möchte auch nichts mehr von den Großkonzernen nutzen wollen, weil ich dem sehr kritisch gegenüber stehe und auch nicht mehr unterstützen möchte, auch wenn ich dadurch Einschränkungen in Kauf nehmen muss.
Mit Ausnahme von einem freien Androiden würde ich auch keines dieser genannten Betriebssysteme von dir verwenden wollen, weil mir auch diese Machenschaften dieser Großkonzerne nicht gefallen und Apple ist für mich keine Alternative zu Microsoft. Zumal ich mit Apple Produkten gar nicht klar komme und mich der Zwang zur Registrierung voll stört, um es überhaupt erst nutzen zu können.
Dann nutze ich lieber eines der datenschutzfreundlichsten und sichersten freien Androiden wie z.B. DivestOS, GrapheneOS und wahrscheinlich auch ReplicantOS, was Handys und Tablets angeht.
Und für den Desktop ein Linuxsystem, was wenigstens ansatzweise in diese Richtung geht, die ich mir vorstelle und mit der Zeit lerne, wie man es auch sicherer machen kann. Bei Windows war es nicht anders gewesen und das habe ich auch ca. 20 Jahre verwendet, weshalb seit ein paar Jahren auch damit Schluss ist.
Also ist der Aufwand in puncto Sicherheit bei Fedora am Geringsten im Gegensatz zu den anderen Linuxsystemen?
Fedora stammt auch aus den USA und von Red Hat, was ich lieber meiden möchte und zu diesem Thema habe ich mich glaube ich auch schon mal geäußert.
Ich meide nicht nur Großkonzerne überall dort, wo es nur geht, sondern auch Firmen oder sonstiges, die mit Geheimdiensten zusammenarbeiten, die z.B. mit Red Hat zusammengearbeitet haben oder auch mit anderen Großkonzernen wie beispielsweise Microsoft und alle US-Unternehmen durch den Patriot Act.
Die Großkonzerne stecken eh alle unter einer Decke und teilen die Märkte unter sich auf und so ist es nicht anders bei Google, Microsoft, Apple und Co.
Selbst SELinux habe ich bei mir am Handy deaktiviert, weil es von der NSA ist oder zu mindestens mitentwickelt wurde.
Okay, danke für die Informationen und den Link dazu.
Ja, einige Distros wurden hier schon in dem Thread genannt. Das ist nicht schlimm.
Also ich muss schon ehrlich sagen, dass du hier auch in dem Forum einer der wenigen Leute bist, die scheinbar wirklich Ahnung von dieser Materie haben und die mir bisher positiv aufgefallen sind, weshalb ich mit deinen Kommentaren etwas anfangen kann. Deshalb Hut ab an dieser Stelle für dich. 
Okay, dann schaue ich mir mal Qubes OS genauer an. Denn Manjaro Linux läuft bei mir wie gehabt auch nicht immer so Rund, aber jetzt nutze ich auch das andere btrf Dateisystem mit der Backup-Funktion, was mir auch lieber ist als nur das ext4 Dateisystem, wo keine Backup-Funktion mit dabei ist, soweit ich weiß.
Manjaro Linux empfinde ich persönlich als nicht so stabil, aber das kann an meiner alten Hardware liegen, wo es vielleicht auch Hardwareprobleme gibt.
Zudem weißt es bei mir auch ein paar Macken und Schönheitsfehler auf.
Was würdest du noch neben Qubes OS für mich empfehlen, was ich mir mal anschauen kann?
Letztendlich ist es mir auch wichtiger, dass Multimedia-, Office- und auch Browseranwendungen zum Musik hören, Videos schauen, Texte schreiben und surfen, gut laufen und funktionieren. Denn für mehr nutze ich es nicht.
Mir geht’s nicht darum, wie man es definiert, sondern um Fakten und Vergleiche zu den unterschiedlichsten INIT-Systemen und bevorzugt freie INIT-Systeme.
Okay, und in anderen INIT-Systemen fließt nicht viel Entwicklungsarbeit hinein?
@Parting4276
Also die erhöhte oder höchste Sicherheit von Betriebssystemen und auch Diensten bringt mir nichts, wenn die Daten auch an einem Staat und/oder Geheimdienst abfließen, so wie es bei Google, Microsoft, Apple und Co. auch der Fall ist und genauso sehe ich das ebenfalls mit Red Hat und Co.
Ich traue keinem amerikanischen Dienst, Großkonzern, keiner Behörde und keinen Geheimdienst über den Weg und deren Verbündete aus England auch nicht oder die sonst wo her kommen.
Am besten wäre für mich ein Libre Gnu/Linux, eine Libre Non-GNU Distro, GNU Software und GNU Lizenzen mit AGPL3 und GPL3, was leider soweit ich weiß auch ohne GUI bzw. ohne grafischen Installer für Distros daher kommt.
Ich kenne nur Chat-Räume auf Englisch, wo du einigermaßen gute Infos bekommst.
Die meisten Linux-Distros sind im Auslieferungszustand nicht toll, aber bei Fedora bekommst du wenigstens relativ aktuelle Programmversionen (semi-rolling) und aktivierte moderne Standards wie Wayland, Pipewire und ZRAM als Swap, ohne dass du dafür etwas tun musst. Mit Selinux sind wenigstens einige Systemprozesse confined, zwar nicht so viel wie empfehlenswert wäre, aber deutlich mehr als auf vielen Distros mit Apparmor.
Fedora ist ziemlich Mainstream, mit gutem grafischem Installer. Da musst du dir keine Sorgen machen.
Da hast du bei Linux schlechte Karten. Linux-Entwicklung wird sowohl aktiv als auch passiv größtenteils von Großkonzernen vorangetrieben und finanziert. Das gilt sowohl für den Kernel, als auch das ganze Ökosystem. Selbst Microsoft als Konkurrent ist deutlich involviert. Bspw schreiben die gerade ein neues High-Level-Framework für Selinux genannt Cascade. Bei Browsern sieht es ähnlich aus: Mozilla bekommt den allergrößten Teil des Geldes von Google. Du glaubst doch nicht ernsthaft, dass sich so große aufwändige Projekte mit zig Millionen Lines von Code ohne viel Geld verwirklichen lassen?
Du setzt völlig absurde Prioritäten, die die wenige Auswahl von einigermaßen brauchbaren Dingen noch weiter unnötig einschränkt. Wenn du Angst vor State-Level-Threat-Actors hast, brauchst du mit Manjaro gar nicht erst anfangen. Dann solltest du GrapheneOS und QubesOS mit Qubes-Whonix nutzen.
Du wirst immer propriertäre Anteile in deinem PC haben. Libre-Distributionen verhindern, dass du Microcode-Updates und proprieräre Firmware-Updates bekommst. Im Endeffekt wird dein System dadurch deutlich unsicherer, ohne irgendwie mehr Sicherheit zu bekommen.
…und mit Malware-as-a-Service sind sie für den kleineren Geldbeutel im unteren vierstelligen Bereich finanzierbar. Die Kosten für einen Exploit hängen daher nicht direkt mit der Sicherheit eines Systems zusammen.
Richtig, ich hätte es ausführlicher beschreiben sollen: SELinux (+ Policy) gab es zuerst in Distributionen und erst danach in Android.
Geht auch ohne Accessibility Service bzw. ganz ohne Nutzerinteraktion und ob der Benutzer Root-Rechte hat oder nicht.
Grundsätzlich spielen Sicherheitsfeatures eine eher untergeordnete Rolle, da, wie du ja selbst schreibst, das System nichts dafür kann, wenn der Benutzer leichtsinnig Dinge installiert, startet, öffnet oder aufruft.
Es kommt letztendlich immer darauf an, was der Anwendungsfall ist und wie das konkrete Bedrohungsmodell aussieht. Beispielsweise bietet eine Browser-Sandbox keinen Mehrwert, wenn das Endgerät keinen Internetzugriff hat. Klar ist es gut wenn man Dinge wie eine Sandbox oder eingeschränkte Rechte hat, der heilige Grahl ist aber keines dieser Features. Wie gesagt, mein persönliches Risiko mit einem Standard-Debian-System ist bei weitem geringer, als bei anderen mit dem gleichen oder einem anderen System. Pauschale Aussagen sind, wenn man ehrlich ist, nicht hilfreich. Das Risiko, ob ein Angriff möglich und erfolgreich sein wird, ist Letztenendes eine Wahrscheinlichkeitsrechnung.
Mach dir das Ganze doch nicht unnötig schwer. Probier einfach ein paar Distributionen aus (am besten in virtuellen Maschinen), schreib dir auf was dir gefallen hat und was nicht. Teste auch ein paar Desktop-Umgebungen, experimentiere damit ein wenig, passe das System nach deinen Wünschen an und experimentiere mit Firejail und/oder AppArmor. Nimm dann das, was am besten zu dir passt. Wenn du nach einiger Zeit merkst, dass die Distribution doch nicht zu dir passt, dann nimm einfach eine andere. Wenn du etwas Erfahrung gesammelt hast, kann man auch ganz andere Distributionen in Erwägung ziehen wie Arch oder Alpine. Man geht ja keinen Vertrag auf Lebenszeit ein
Selten so einen Unsinn gelesen. Man merkt dass du nicht viel Berührungspunkte mit Defensive OS Security Research hast. Ich bin dann mal raus.
Man sollte auch den kompletten Abschnitt lesen… 
Mit anderen Worten: Der erste Punkt auf der Liste der Schutzmaßnahme ist, den Verstand einzusetzen.
OK. Auf der anderen Seite bedeutet „nahe am Upstream sein“, dass man mit neuen Funktionen sich auch neue Sicherheitslücken einfangen kann. Oder nicht? Warum läuft auf den meisten Servern Debian?
Hab jetzt mal wieder tumbleweed im einsatz.
Schöne kde distri und mit snapshots ne feine sache
Da ich immer so weit wie möglich stock bleibe war in 45 minuten der drops gelutscht. Lief auf anhieb rund
Debian läuft häufig auf Servern, weil die rund um die Uhr, Tag für Tag stabil laufen sollten mit möglichst geringen Ausfallzeiten und die Admins möglichst wenig Arbeit haben wollen. Zudem laufen auf vielen Servern Containern, die deutlich aktueller sein können als Debian und häufig Alpine als Basis haben. Ein Server hat andere Sicherheitsanforderungen als ein Desktop. Viele Server kann man auch einfacher sicherer machen, als einen Desktop PC.
Natürlich werden durch neue Software auch wieder neue Sicherheitslücken einfließen, aber die sind erst mal unbekannt und bei weitem nicht so schlimm, wie alte, bekannte Sicherheitslücken, deren Patch nicht backgeportet wurde, bspw weil der Entwickler keinen Wert auf sorgfältige Vergabe von CVEs legt. Es gibt zahlreiche Exploitentwickler und Händler, die liebend gerne die Issue-Tracker und Mailinglisten nach solchen durchsuchen und im Linux-Bereich schnell fündig werden.
1 „Gefällt mir“
@Parting4276
Okay, also wegen meiner fehlenden guten Englisch-Kenntnisse bringt mir das leider nichts.
Haben dies auch andere Linux-Distros?
Okay, aber SELinux möchte ich nicht wegen der NSA dahinter nutzen.
Welche Distro mit Apparmor gibt es, wo mehr Systemprozesse „confined“ sind?
Okay, auf Mainstrem stehe ich jedoch nicht und ich mache mir keine Sorgen.
Was mache ich denn falsch beim booten des Live Mediums von Artix Linux und wie komme ich darüber auf die Desktop-Umgebung, um es von dort aus auch auszuprobieren und ggf. auf meine SSD Festplatte zu installieren?
Es gibt doch neben Linux keine anderen Alternativen oder etwa doch?
Bei welchen Linux-Distros ist dies denn nicht der Fall?
Ich bin mir dessen Einfluss von den Großkonzernen auch bei Distros bewusst.
Doch welche Distros sind das denn und welche nicht oder gibt es keine Distro?
Wozu braucht man denn zig Millionen Lines an Code, um ein Betriebssystem zu entwickeln und wie ist der Maßstab dort, wenn 1000 Code Zeilen auch laut Mike Kuketz schon zu viel sind oder alles was darüber hinaus geht und aufgebläht ist?
Ich sehe das auch kritisch, dass Microsoft GitHub vor Jahren mal aufgekauft und übernommen hat, wodurch sie dadurch Zugriff auf diese ganzen Programm-Codes haben, was nicht gut sein kann.
Wieso sind es für dich völlig absurde Prioritäten und warum schränkt mich das noch mehr ein?
Ich habe keine Angst vor denen, sondern ich vertraue denen meine Daten nicht an, weil sie mit den Daten Millionen von Dollar verdienen und auch keine guten Sachen damit anstellen, was ich keinesfalls unterstützen möchte.
Ich bin froh überhaupt eine Distro gefunden zu haben, womit ich überwiegend klar komme und von hier aus kann ich auch weitere Distros austesten.
Okay, GrapheneOS geht für mich schlecht, weil es auf Google Geräte beschränkt ist und das widerspricht meinen Prinzipien dahingehend, was ich nicht kaufen möchte.
Qubes muss ich dann erst noch austesten, ob es zu meinen Bedürfnissen passt.
Okay, was sind denn „Microcode-Updates“ und warum wird mein System dadurch deutlich unsicherer?
Ich möchte es verstehen können.
Ja, da hast du schon recht.
Ich brauche dabei Hilfe für die Einrichtung von virtuellen Maschinen, da ich es mal in der Vergangenheit hier unter Manjaro Linux versucht habe, aber es nicht hinbekommen und es dann auch deshalb sein lassen habe.
Okay, dass kann ich mir aufschreiben und verschiedene Desktop-Umgebungen sollte ich auch mal ausprobieren.
Okay, dass kann ich machen, wenn ich das mit den virtuellen Maschinen mal hinkriegen sollte und ich danke dir für deine Hilfe.
Okay, kann ich machen und Hauptsache die Distros haben alle eine grafische Desktop-Umgebung mit einem grafischen Installer, was mir dabei wichtig ist.
Ja, da hast du recht.
Danke für deine Freundlichkeit und außerdem bist du mir auch sympathisch.
@Parting4276
Ich empfehle dir an deinem scharfen Umgangston zu arbeiten und freundlicher zu werden und erst recht gegenüber einem Moderator wie z.B. @nobody.
Danke
Ja, da sagst du etwas und dies kannst du auch laut sagen.
Darüber würde ich mir keine großen Sorgen machen. Der Quellcode liegt vor, SELinux ist seit v. 2.6 offiziell im Linux Kernel, und wenn es Code enthalten würde, mit dem die NSA dich ausspäht, wäre das sicherlich inzwischen aufgefallen. Es ist aber darauf hinzuweisen, dass SELinux (zumindest als ich es das letzte Mal angeschaut habe) auf Red Hat-basierten Systemen zwar Systemdienste absichert, aber praktisch keine Anwendungen (wie z.B. Browser), obwohl das durchaus machbar ist (und Gentoo (Hardened?) macht das wohl auch so). Grundsätzlich ist SELinux aber deutlich schwerer zu verstehen und zu handeln als AppArmor.
Ubuntu liefert für einige Anwendungen (z.B. Firefox und LibreOffice) Profile mit, die so für andere Distros nicht zur Verfügung stehen. Aber es gibt das apparmor.d-Projekt, das über 1400 Profile bereit stellt. Es ist immer noch in „early development“, es wird aber fleißig daran gearbeitet. Als Anwender sollte man ein gewisses Grundlagenwissen über AppArmor sich aneignen, um eventuelle Probleme ggfs. lösen zu können.
1 „Gefällt mir“
Lol. Keine Ahnung von gar nichts, aber andere zurechtweisen. Mir ist es egal, wer hier Moderator ist. Wenn jemand Quark redet, dann spreche ich das an. Ich bin seit deutlich über einem Jahrzehnt im Bereich OS-Sicherheit unterwegs. Der ein oder andere Linux-Nutzer hier verwendet sicherheitsrelevanten Code von mir, ohne es zu wissen.
1 „Gefällt mir“
