unter Windows sollte man ja immer zwei getrennte Konten haben – eines für den alltäglichen Gebrauch und eines rein für Adminrechte.
Wie ist das bei Linux? Ist es hier auch sinnvoll zwei verschiedene User zu haben oder bin ich mit dem „sudo“ schon abgesichert?
Bei Linux Mint z. B. sieht die Installation im Grunde ja ähnlich aus wie bei Windows:
Und noch eine Frage: Bit hatte ja hier schon einmal geschrieben, dass Malware ihre Rechte vom angemeldeten Konto erbt um auf Dateien zugreifen zu können. Ist das bei Linux auch so?
In deinem Bildschirmfoto wird der „zweite“ Nutzer ohne Adminrechte angelegt. sudo macht nichts anderes, als von diesem Nutzer zum Adminnutzer root zu wechseln. Der Nutzer root existiert bei Unix immer. Viele Linuxdistribution heutzutage vergeben kein Passwort für root, so dass man sich nicht direkt als root anmelden kann. Stattdessen meldet man sich mit dem normalen Nutzer an und kann dann mit sudo zu root wechseln.
Verschlüsselungstrojaner, also Malware, die alle Dateien, die einem Nutzer zugänglich sind, verschlüsselt, läuft mit den normalen Rechten des Nutzers. Andere Malware versucht durch Ausnutzung von Sicherheitslücken, root Rechte zu erlangen. Verschlüsselungstrojaner sind daher „populär“, weil sie eigentlich nichts können müssen. Man muss nur den Nutzer dazu bringen, selbst die Software auszuführen.
@Manteuf Um festzustellen, mit welchen Berechtigungen Du aktuell im Linux-System angemeldet bist, kannst Du Dir den Kontotyp Deines Benutzers ansehen.
Bei Linux Mint findest Du das unter „Systemverwaltung - Benutzer und Gruppen“.
Schau Dir bei Deinem Benutzer(konto) an, welchem Kontotyp dieses zugeordnet ist.
Meines Wissens vergibt Mint beim ersten Benutzer der Installation den Kontotyp „Systemverwalter“.
Den Kontotypen sind verschiedene Gruppen (beinhalten Berechtigungen) zugeordnet.
Ich würde daher empfehlen einen neuen, zusätzlichen Benutzer mit dem Kontotyp „Standard“ zu erstellen und den für die tägliche Arbeit zu nutzen.
Viele Distributionen, wie z.B. Mint, sind in der Anwendung ähnlich wie Ubuntu, weshalb das Wiki der Ubuntuusers, als Nachschlagewerk, allgemein sehr nützlich sein kann.
Dann verstehe ich richtig, dass der Systemverwalter im Grunde ein „normaler“ User ist, welcher keine Admin- bzw. root-Rechte hat, er aber root-Rechte ausführen darf weil er in der root-Gruppe ist, richtig?
Im Grunde steuere ich unter Linux dann via Gruppen was ein User tun darf, also z. B. darf der sudo ausführen, das CD-Laufwerk hernehmen usw.
Das ist eig. genial gelöst und viel verständlicher als unter Windows. Und das sage ich als Linux-Anfänger
@elfchen Nochmal kurz eine Frage zum Verschlüsselungstrojaner. Warum benötigt der keine Admin- oder root-Rechte um das System zu verschlüsseln, im Gegensatz zu anderer Malware die diese Rechte benötigen?
Ja, das ist richtig. Mit sudo holt der entsprechende Nutzer sich root-Rechte temporär. Dazu muss er sein Passwort eingeben.
Weil ein Verschlüsselungstrojaner alle Dateien verschlüsselt, auf die der Nutzer Zugriff hat. Allerdings gibt es Systemordner, in denen nur root schreiben kann bzw. Daten ändern.
Verschlüsselungstrojaner müssen keine Systemdateien verschlüsseln (und können es auch nicht, wie von o0ps erklärt). Die für Benutzer wirklich wichtigen Daten wie Fotos und Dokumente sind in der Regel alle mit den normalen Nutzerrechten überschreibbar. Systemdateien kann man im Gegensatz dazu durch eine einfache Neuinstallation wiederherstellen.
Bei mir, allerdings Ubuntu, muss ich kein Passwort eingeben, ich kann einfach vor den entsprechenden Befehl „sudo“ schreiben und ausführen lassen, ohne Passwort oder irgendwas. Ist das bei Ubuntu anders als bei Mint oder liegt es dran, dass ich es noch als Live-Linux verwende?
Denn wenn es nicht passwortgeschützt ist, macht die Unterscheidung von root und nicht-root ja nicht soviel Sinn?! (man kann sie leicht umgehen)
Dein Live-System ist statisch (auf CD zum Beispiel). Du kannst also ein Passwort dort nicht in den Speicher schreiben, sondern nur in eine Zusatzdatei.
Aber auch den Hinweis auf den Kontext zu dieser Zusatzdatei, kannst Du in das Live-System nicht einbauen.
Wenn Du nun im Kontext dieses Passwortes irgendetwas erzeugst und dann verschlüsselst, wirst Du es nicht wieder entschlüsseln können, wenn Du die Zusatzdatei mit dem Passwort nicht fest mit dem Benutzernamen verbunden hast, es könnte eine beliebige sein.
Zum Beispiel, wenn die Verschlüsselungssoftware nicht auf dem Live-System wäre, sondern auf einem anderen Datenträger oder Device, dann könnte diese Software mit der Zusatzdatei kontextuell verknüpft werden.
Aber das System selbst ist eben nun mal statisch, also muss es entweder passwortfrei sein, oder es ist ein ebenfalls statisches Passwort implementiert und zum Beispiel auf die Verpackung gedruckt: dann gilt das für immer und jeden Benutzer, der den Benutzernamen und dieses Passwort kennt.
Vielen Dank nochmals and euch allen für die Erklärungen
Verschlüsselungstrojaner müssen keine Systemdateien verschlüsseln (und können es auch nicht, wie von o0ps erklärt). Die für Benutzer wirklich wichtigen Daten wie Fotos und Dokumente sind in der Regel alle mit den normalen Nutzerrechten überschreibbar. Systemdateien kann man im Gegensatz dazu durch eine einfache Neuinstallation wiederherstellen.
Puh, das ist ja krass. Gibt es technisch denn keine Vorkehrung für so etwas (sprich das einzige was hilft ist der User indem er das Teil nicht startet)?
Regelmäßige Updates bringen in dem Fall ja dann auch nichts, richtig?
Doch, sie bringen etwas: Fehlerbereinigungen, neue Erkenntnisse und Errungenschaften (Features).
Aber gegen Verschlüsselungstrojaner helfen nur Updates der Patterns bei Filtersoftware, und zwar sehr! Weil erst, wenn eine Malware sich gezeigt hat, kann jemand dagegen eine spezielle Pattern schreiben.
Backups helfen ebenso, die weder auf dem selben System liegen noch auf dem das System dauerhaft Zugriff hat. Denn wenn das Backup bspw. auf einem Network Attached Storage (NAS) gespeichert wird und der Computer darauf immer Zugriff hat, können auch die dortigen Dateien verschlüsselt werden.
Backups sollten immer unter einem Nutzer laufen, der nur für diesen Zweck angelegt wurde. So kann ein Trojaner, der mit den Rechten eines regulären Nutzers läuft, die Backups nicht überschreiben. Der Backupnutzer erhält dann mit z.B. sudo die Möglichkeit, auf reguläre Nutzerkonten zuzugreifen, um deren Dateien sichern zu können. Sog. Personal Backup Lösungen (z.B. Déjà Dup), die mit den Rechten des normalen Nutzers laufen, halte ich für keine gute Idee. Alternativ gibt es Backupsysteme, bei denen nur neue Daten angehängt werden können, aber alte Backups nicht überschrieben werden können.
Vielen Dank Manteuf für Deine Fragen. Ich kenn mich auch nicht so mit allem aus, daher schaue ich mal, was Du sonst noch so gefragt hast und ob ich aus den Antworten was lernen kann (bei vielen Threads verstehe ich nämlich gar nicht erst, worum es geht). Und natürlich vielen Dank an alle für die erhellenden Antworten!
So würde man es sich sparen, die Sicherungsplatte immer vom Rechner zu trennen, wie o0ps oben schrieb?! (so handhabe ich es bis jetzt, ist aber lästig, immer die Platte an- und abzustöpeln, so mache ich die Backups seltener als gedacht)
Aber wie würde das mit dem zweiten Nutzeraccount in der Praxis funktionieren? Ich müsste mich dann unter meinem normalen Account ausloggen, unter dem Zweitaccount einloggen, das Backup machen, danach ausloggen und danach kann ich wieder als normaler (erster) Benutzer weitermachen? Da könnte man dann aber keine automatisierten Backups machen?! Oder kann man das mit dem abmelden-anmelden-Backup durchführen-abmelden-anmelden z.B. mit Skript machen, dass man dann als cronjob automatisch durchführen lässt? (nicht, dass ich sowas ad hoc umsetzen kann, aber dann weiß ich wenigstens, was prinzipiell geht, wonach ich suchen muss und wie ich planen kann)
Ja, das kann man sich dann sparen. Die manuelle Trennung ist ohnehin keine zuverlässige Lösung, weil ein Trojaner ja jederzeit zuschlagen kann, während gerade ein Backup läuft.
Mike hat ein paar Mal im Blog Borg erwähnt, aber die Einrichtung ist für Anfänger sicher nicht einfach, schon gar nicht, wenn Borg unter einem anderen Nutzer laufen soll. Ehrlich gesagt kenne ich keine empfehlenswerte Lösung, die sich wirklich einfach einrichten lässt.
Aber gegen Verschlüsselungstrojaner helfen nur Updates der Patterns bei Filtersoftware, und zwar sehr!
@Bit Meinst du damit im Browser die Filterlisten von uBlock Origin oder was genau meinst du mit „Pattern“? Falls ja, welche Liste kannst Du zusätzlich empfehlen?
Regelmässige Backups sind das beste Mittel gegen Ransomware im Privatbereich.
Allerdings zielen Ransomwareangriffe primär auf Serverstrukturen im Firmenumfeld weil hier mehr Geld zu erpressen ist und nicht nur Datenverlust sondern auch Downtime der Services und Beschädigung der Firmenreputation drohen.
Patterns sind die Aufgabenlisten, die der Hersteller seiner Filtersoftware von Zeit zu Zeit aktualisiert, weil eben die Subjekte, die ausgefiltert werden sollen, erst nach und nach auftauchen und bekannt werden.
Jeder Virenscanner hat solche Patterns.
Die werden, unabhängig vom Programm selbst, upgedatet.
Das (sofern es sich auf das System bezieht) hat nichts mit den Filterlisten in uBo zu tun (die sich auf den Browser beziehen), funktioniert aber ähnlich.
Die werden daher auch (einzeln) von ihren Entwicklern upgedatet, ohne daß das AddOn selbst upgedatet würde.
Empfehlungen für die Auswahl der Filterlisten kann man nur geben, wenn man die spezielle Aufgabe kennt, gegen die es helfen soll.
Ich „empfehle“ grundsätzlich nicht, sondern kann nur sagen, was ich nutze. Ob sich der geneigte Leser ein Beispiel daran nimmt, muss jeder selbst verantworten.
Aus dem Stand könnte ich jetzt nur klar sagen, welche meiner Listen gegen Cookie-Banner helfen (sollen). Vieles erschließt sich aus dem Namen der Listen.
Listen mit Listen gibt es auch, da müsste ich jetzt auch nach schauen, aber das kannst Du auch selbst via Suchmaschine.
Ich finde backintime ganz gut und auch anwenderfreundlich.
Man kann es als angemeldeter User oder als root starten. Damit kann man die Anforderung „Backup unter anderem Nutzer“ recht unkompliziert umsetzen, falls ich Euren Gedanken richtig verstanden habe.
Backintime ist in den Anwendungspaketquellen von z.B. Ubuntu und Mint standardmäßig enthalten.
Ich persönlich nutze verschiedene Backup-Verfahren mit unterschiedlicher Hardware redundant. Sicher ist sicher
(Besteht zum Thema Backup vertiefter Bedarf, sollten wir das aber vielleicht in einem eigenen Thema behandeln)
