Linux-Distributionen sind zum Teil sehr unterschiedlich. Was bei Ubuntu klappen könnte, muss nicht bei Debian funktionieren. Was bei Gentoo funktioniert, muss nicht bei Alpine funktionieren. Was bei GNOME funktioniert, muss nicht bei KDE funktionieren, usw. Das zieht sich durch alle Ebenen: Displaymanager, Fenstermanager, Paketmanager, Dateimanager, usw.
Wären Linux-Distributionen auf dem Desktop häufiger als Windows vertreten, werden die ungezielten Malware-Kampagnen vermutlich zurückgehen und dafür die zielgerichteten zunehmen… oder die ungezielten fokussieren sich überwiegend auf einsteigerfreundliche Distributionen. Letztendlich ist das nur eine Vermutung, die aktuell nicht hilfreich ist, weil keiner weiß wie es zukünftig aussehen könnte. Wir wissen aber viel über die Vergangenheit und die Gegenwart und können daraus Schlüsse ziehen und Maßnahmen ergreifen, die jetzt nach aktuellem Stand sinnvoll sind oder nicht.
Das begrüße ich sehr. Sonst hätte ich nämlich die Einführung eines ignore-Buttons vorgeschlagen, um vermeintlich oberschlaue Teilnehmer auszublenden, die es offenbar nicht lassen können, sich in abwertender Weise über andere Diskutanten zu äußern.
Hast du auch über ein Jahrzehnt Erfahrung im Bereich OS-Sicherheit mit zahlreichen Beiträgen zu sicherheitsrelevantem Code? Wenn du eine Linux-Distro verwendest, verwendest du vmtl Code von mir.
Nur mal so eine Laienfrage: ist das Problem nicht eher die Datensammlungen der großen Akteure wie Google, Apple oder MS und wie sie damit umgehen? Ich meine zB gelesen zu haben das Android eine nicht geringe Datenmenge aus jedem Handy bekommt die nicht entschlüsselbar ist und deren Verwendung im Dunklen liegt, und alles ganz legal. So etwas würde ich nicht wollen. Dazu kommen Appstores die Programme wohl nicht wirklich „untersuchen“ und so Datensammlungen für Hinz und Kunz ermöglichen. Das finde ich deutlich beunruhigender als alles andere weil ich dagegen gar nichts tun kann und ich Unternehmen und auch Behörden alles zutraue, vom offenen Verkauf der Daten bis Fahrlässigkeiten von Mitarbeitern. Da kommt mir ein Hacker der feststellen muss das bei mir monetär nix zu holen ist (weil ich zB kein Banking usw. auf dem Handy mache) eher harmlos vor, egal ob es ein Russe oder Chinese ist…
Das ist an sich richtig, wobei das nur zutrifft, wenn man Android Versionen mit Google Diensten verwendet.
An sich gibt es auch möglichkeiten Android komplett ohne Google zu verwenden. Der Code kann beliebig angepasst werden.
Auch gibt es die Möglichkeit alternative Appstores wie Fdroid zu verwenden, das würde ich auf jeden Fall mit den Packetmanagern von Linux-Distributionen gleichsetzen.
Es gibt mehrere sehr sichere Linux Distros. Qubes OS isoliert Prozesse durch Virtualisierung. Es laufen mehrere virtuelle Maschinen parallel, die alle voneinander separiert sind. Wird z. B. der Browser von Malware betroffen, betrifft das nur diese VM. Der Rest des Rechners läuft einwandfrei unbeschadet weiter. Ein klasse Linux. Die Einarbeitungszeit ist jedoch recht hoch.
Fedora Silverblue ist ebenfalls sehr sicher. Beim Booten wird das gesamte System, mit Ausnahme des Home Verzeichnisses (Eigene Dateien) als read-only eingehängt. Niemand, auch keine Malware, ist in der Lage, Daten im System zu verändern. Als Apps werden durchgehend Flatpaks verwendet. Ich benutze Fedora Silverblue täglich, ist mein Favorit.
Puppylinux ist ebenfalls sehr sicher. Es ist ein Live-Linux für den USB-Stick mit der Möglichkeit der Datenspeicherung. Nach der Ersteinrichtung (Sprache, Tastatur, Updates und Apps) kann man einfach neu booten und das gesamte System in den Arbeitsspeicher laden. Nichts wird auf die Platte oder den Stick geschrieben (Kann sogar entfernt werden). Nach einem Reboot ist das System wieder taufrisch. Zum Surfen ideal.
ChromeOS (Chromebook oder ChromeOS Flex) von Google ist extrem sicher. Man kann auch Android Apps und Linux dazu parallel nutzen. Es stammt von Gentoo Linux ab. Man braucht sich hier auch nie um den Datenschutz kümmern. Es gibt praktisch keinen. Google protokolliert alles fein säuberlich mit.
Mein Favorit für ein sehr sicheres Linux System ist Fedora Silverblue. Mit Secure Boot und Verschlüsselung des gesamten Systems eine klar Empfehlung von mir.
Ja, mit Fedora Silverblue beschäftige ich mich auch gerade. Generell mit Immutable Distris. Der Vorteil ist ja auch, das man als Linux Einsteiger nicht wirklich was kaputt konfigurieren kann. Und selbst wenn etwas kaputt ist, kann mann ja ohne Probleme dann auf eine vorige Version zurück gehen.
Was die Sicherheit angeht scheinen Immutable Distris auch einen Vorteil zu haben. Aber da fehlt es mir noch an Verständnis. Wie sicher sind diese Distris wirklich ? Schadsoftware dürfte man sich mit diesen nur schwer einfangen können, da das Root System nur als read only ausgeführt wird. Sehe ich das soweit richtig ?
Der Nachteil scheint zu sein, das man bei Silverblue und Co vollkommen auf Flatpak setzt. Irgendwie habe ich noch nicht so das Vertrauen in Flatpak bzw. dessen Programmersteller der jeweilligen Software. Man muss halt darauf vertrauen, das die Pakete sauber sind.
Was die Performance angeht habe ich mit Fedora Silverblue bei meinen Tests auf einen Celeron Rechner keine Probleme feststellen können. Die Programme starten trotz Flatpak sauber und schnell durch. Hätte eher damit gerechnet, das es hier zu Problemen kommt.
Insgesamt hinterlässt zumindest Fedora Silverblue einen anständigen Eindruck auf mich. Gerade Einsteiger oder Leute, die nicht so viel selbst konfigurieren wollen könnten mit Silverblue wohl zufrieden sein. Wenn die Sicherheit hier hält was sie verspricht, werde ich wohl auf Silverblue als Surfsystem setzen.
Als Anwender kann man immer was kaputt konfigurieren, da nützt einem ein Btfrs Snapshot, der pre- oder post-install bei einem System Update/Upgrade angelegt wird auch nicht unbedingt was. Und ein Btrfs Snapshot zurück zu spielen kann durchaus auch Probeleme verursachen.
Kurzum, meine Antwort von oben sollte nur aussagen, dass das Zitierte etwas zu „einfach“ gedacht ist.
Man hat aber nur Schreibzugriff auf das Verzeichnis „var“, in dem hier auch das „home“ Verzeichnis liegt. Die Systemkonfiguration kann damit nicht verändert werden. Es dürfte schwer sein, dieses System kaputt zu konfigurieren.
Man kann natürlich mit „rpm-ostree“ Overlays anlegen und irgendwann kann es da tatsächlich problematisch werden. Finger weg von einzelnen Paketinstallationen damit.
Wenn man aber bei Flatpak oder eben auch standalone Appimages bleibt, kann nichts passieren. Bei jedem Update wird ein Snapshot angelegt und das gesamte Standardsystem neu heruntergeladen und frisch installiert.
habe ich es überlesen oder hat bisher niemand so richtig klargestellt, was hinter dem Begriff „Linux“ steckt? Das ist primär erstmal der Kernel von diversen Distributionen, d. h. das „Herzstück“ jedes Betriebssystems auf Linux-Basis, welches zwischen Hardware und Software vermittelt. Auch Android (AOSP) setzt auf den Linux-Kernel auf.
Jede Linux-basierte Distribution hat ihre eigenen, weitergehenden Sicherheitsfunktionen.
Android hat u. a. durch den klaren Anwendungsfall des OS von Anfang an sehr gut mit Sandboxing arbeiten können. Jeder der Android verwendet, wird nämlich dafür gebaute „Apps“ installieren (die per „apk“ standardisiert ausgeliefert werden). Und deshalb ist das Sicherheitsmodell von Android in der Android Runtime von Beginn an sehr strikt gestaltet worden. Trotzdem schafft es Malware immer wieder, aus der Runtime auszubrechen (leider viel zu oft über die Multimedia-Schnittstellen) und auf das System darunter zuzugreifen. Trotz SELinux, trotz isolierter Prozesse, trotz ausgefeiltem Usermanagement.
Das sollte sich dann aber auf eine bestimmte Dsitribution beziehen? Weil Linux selbst unterstützt allerlei Arten von „Sandboxing“ und Berechtigungssystemen. Die in der IT gepushten „Container“-Systeme sind ja genau daraus entstanden.
Probier mal Fedora 38 (hat standardmäßig SELinux aktiviert) und firejail und du hast genau den Schutz, den du hier beschreibst. firejail unterstützt auch so Dinge wie „Zugriff auf Hardware“, „Darf DRM-Module laden“ etc. Gitbt auch GUIs dafür.
Viel wichtiger ist meiner Ansicht nach aber nochmal der Vergleich mit Windows. Windows hat andere Sicherheitsfunktionalitäten als Linux-basierte Systeme, klar. Wie schon genannt ist Windows besonders durch die hohe Verbreitung ein beliebtes Ziel.
Windows hat aber auch eine Menge Probleme, die aus den Altlasten früherer Versionen entstehen. Es ist nämlich überhaupt nicht so, dass „Linux in UNIX-Zeiten feststeckt“ und Windows plötzlich jedes Jahr neu erfunden wird. Microsoft schleppt aus Kompatiblitätsgründen seit Jahrezehnten alten Code mit rum, der aus heutiger Sicht nicht mehr so verwendet werden sollte. Da laufen Programme mit privilegierten Berechtigungen, die diese eigentlich nicht brauchen. Und dass man bis heute unter Windows einfach „.exe“-Dateien aus dem Internet laden kann und ausführen kann schockiert mich immer wieder.
Letztendlich kommt es sowohl bei Windows als auch bei Linux-basierten Betriebssystemen sehr darauf an, was man selbst damit macht und wem man Vertrauen schenken will. Ich persönlich mag z. B. meine Freiheiten lieber und nehme daher Android auf dem Telefon und ein Linux-basiertes OS auf meinem Laptop. ich habe aber auch kein Problem damit, die config-Dateien meines OS zu beackern und LineageOS zu flashen.
Andere wollen die neusten Versionen ihrer Programme auf der neuesten Hardware laufen lassen (Games z.B) und sind dann bei Windows besser aufgehoben. Oder aber, man will Ubuntu einsetzen auf grund der Benutzerfreundlichkeit und der GUI, dann kann man mit Packages und Snap arbeiten und ziemlich nah an den aktuellsten Versionen sein.
Noch ein Faktor unabhängig von der Technik: Jedes System ist nur so sicher wie zwischen Stuhl und Bildschirm gearbeitet wird. Wenn da bei jeder Anfrage nach root/Administrator usw. einfach wild „ok“ geklickt und das Passwort reingehackt wird, nützen die ganzen guten technischen Ansätze nichts… und wehe eine vermeintlich „einfache“ Funktion geht nicht, dann wird die gesamte Sicherheitseinstellung runtergerissen oder irgendwelche Gammelsoftware aus dem Internet aufgespielt (ja das geht auch unter Linux – schon selbst erlebt wie Leute so ein System defacto kaputthauen ohne böse Absicht ).
Zur Ursprungsfrage zurückkehrend: die Smartphone-Betriebssysteme sind in der Regel da schon noch eine Nummer besser „abgedichtet“. Dafür auch weniger flexibel. Ist einfach die Frage was du möchtest und welche Anforderung erfüllt werden soll. Wenn sowieso alles im Browser und passenden Apps passiert dann go for it ohne jeden Zweifel.
).