Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
A4 Sicherheit
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
pietinger
Guru
Guru


Joined: 17 Oct 2006
Posts: 336
Location: Bavaria

PostPosted: Mon May 11, 2020 3:08 pm    Post subject: A4 Sicherheit Reply with quote

(Dieser Post ist Teil einer Installation-Anleitung. Falls nicht schon geschehen lies bitte: Installation Guide for Paranoid Dummies)



A.4 Sicherheit

Bevor wir klären können, was Du mit Deiner 5. freien Partition machen kannst/sollst, möchte ich ein wenig ausholen:

Wenn Computer Anwender im privaten oder semi-professionellen Bereich umgangssprachlich von Computer Sicherheit, oder IT-Sicherheit sprechen, meinen sie eigentlich nur zwei Dinge: Den Schutz persönlicher Daten im Home-Verzeichnis vor unbefugten Lesen (oder gar Kopieren) UND der Schutz vor unbefugter Veränderung des Systems (Hacken). Erfahrene Anwender zählen noch die Datensicherung (=Backup) zum Schutz vor Verlust der Daten zur IT-Sicherheit, während Verfügbarkeit meist nur bei professionellen Anwendern sicherheitskritisch ist. Eine kurze Einführung und Begriffsdefinition zu diesem Thema findest Du auf:
https://de.wikipedia.org/wiki/Informationssicherheit

Im privaten Bereich sind also hauptsächlich die beiden Schutzziele

A. Vertraulichkeit (kein Unbefugter darf unsere Liebesbriefe und die Steuererklärung auf unserem PC lesen) und
B. Integrität (wir wollen nicht gehackt werden, um eine Spam-Schleuder in einem BotNetz zu werden)

gefordert. Welche Sicherheits-Lösungen benötigt werden, richtet sich aber nicht nur nach den Zielen, sondern auch nach dem Schutzbedürfnis. Wer rechtliche Vorgaben (z.B. Datenschutz) zu beachten hat, muss gewisse Anforderungen und Auflagen erfüllen. Davon sind nicht nur Banken oder große Unternehmen betroffen, sondern bereits Berufsgruppen wie Ärzte, Rechtsanwälte, Steuerberater und andere. Wieder andere haben das Schutzbedürfnis Eigenschutz; ich denke dabei z.B. an Journalisten in gewissen Ländern.

Grundsätzlich gibt es nur zwei Möglichkeiten um an/auf unseren Rechner zu gelangen, um diese beiden Ziele zu bedrohen:

1. Direkter körperlicher (physischer) Zugang, oder
2. Zugriff über das Netzwerk. Da Angriffe aus dem lokalen Netz (Inhouse-Angriff) bei Privatleuten eher selten ist, ist Netzwerk daher mit dem Internet gleichzusetzen.


Betrachten wir (1) sind im privaten Bereich folgende Konstellationen denkbar:

1a) Nur Du hast alleinigen Zugang zu Deinem PC. Andere Menschen haben im Regelfall keinen Zugang und müssten sich diesen durch Einbruch (ggf. mit Diebstahl) verschaffen. Das gleiche gilt für Dein Notebook.
1b) Deine Putzfrau hat unbeaufsichtigten Zugang, aber keine Befugnis für Deinen PC.
1c) Dein Ehe-/Lebenspartner hat (unbeaufsichtigten) Zugang zum gemeinsamen PC und auch die Berechtigung diesen zu nutzen (extra User-Account).
1d) Auch Dein Sohnemann mit Leistungskurs Informatik hat Zugang und einen eigenen Account und ist gerade in der Experimentier-Phase.

Welche Bedrohungsszenarien existieren nun für 1a ? Einzig: Einbruch mit Diebstahl oder eigenes Versagen (weil wir das Notebook irgendwo liegen gelassen haben). Es dürfte evident sein, dass unser Notebook im Auto dabei gefährderter ist als unser heimischer Großrechner. Bevor Du nun an mögliche Lösungen denkst, solltest Du berücksichtigen, dass Du in beiden Fällen Dein Notebook vermutlich nie mehr wiedersehen wirst. Das sage ich deshalb so ausdrücklich, um bewusst zu machen, dass dann das Schutzziel (B) gar nicht mehr existiert (falls Du es doch zurückbekommst, formatierst und installierst Du alles neu); Du hast dann nur noch den Wunsch, dass der Dieb Deine Daten nicht auslesen kann (in dem er z.B. Deine SSD ausbaut und in einem anderen PC einbaut). Einzig sinnvolle Lösung ist daher: Verschlüsselung von /home. (Trotz Paranoia habe ich tatsächlich keine einzige verschlüsselte Partition auf meinem heimischen PC).

Die Fälle 1b bis 1d habe ich beispielhaft als (harmlose) Bandbreite möglicher Gefährdungen aufgeführt. Hast Du wirklich Sorge, dass Deine Putzfrau mit einer bootfähigen CD Deinen PC hacken will ? Falls ja, ist die einfachste und damit sinnvollste Lösung ein BIOS-Boot-Passwort. Hast Du Sorge, dass Deine Frau versucht einen Keylogger zu installieren um an Dein Home-Verzeichnis zu kommen ? Falls ja, dann prüfe eine Scheidung ... und kaufe Deinem Sohn einen eigenen PC. Warum sage ich sowas ?

Weil es heutzutage hipp und chic ist eine Festplattenvollverschlüsselung (die aber eigentlich gar keine ist) zu installieren, die mehr Performance schluckt als die schlimmsten Parameter für ein Härten des Kernels (das in B.2. kommt). Aber brauchen wir das wirklich ? Falls Du Rechtsanwalt, Journalist oder jemand mit erhöhten Schutzbedürfnis bist, lese bitte diesen ganzen Post.

Nach Beendigung von A.3 hast Du mit KDE bereit auch Vaults installiert. Welches ich ausdrücklich für den Einsatz am heimischen Rechner empfehle, da es ein sehr nettes Gimmick hat: Du kannst einstellen, dass mit dem Öffnen (per Passworteingabe) eines verschlüsselten Verzeichnisses, automatisch alle Netzwerkverbindungen beendet werden (ist aber nur optional). Für Dein Notebook brauchst Du aber eine komplette Verschlüsselung von /home damit auch alle Mails und Kontakte die KDE wild irgendwo im Home-Verzeichnis speichert, sicher sind.


Sehen wir uns nun (2) an. Hier haben Unbefugte grundsätzlich zwei Möglichkeiten auf unseren Rechner zuzugreifen: Aktiv oder Passiv. Ein aktiver Zugriff ist ein gezielter Verbindungsaufbau von außen. Bei einem passiven Zugriff musst Du zuerst mit Deinem Webbrowser eine "böse" Seite ansurfen - kann aber auch eine "gute" Seite sein, die ihrerseits gehackt wurde. In beiden Fällen würde eine Festplattenvollverschlüsselung keinerlei Schutz gegen (A) und (B) bieten, weil alle Partitionen nach dem Bootvorgang ja entschlüsselt sind. Ebensowenig würde ein verschlüsseltes Home-Verzeichnis Deine Daten schützen. Ja, es gibt die Möglichkeit, dass /home erst nach/mit der Anmeldung eingebunden (und damit entschlüsselt) wird. Wenn Du aber gar nicht angemeldet bist, könnte doch ein aktiver Angreifer zumindest nicht Deine Daten abgreifen (A). Leider falsch. Er kann Dir irgendetwas installieren (B) was nur noch abwarten muss, bis Du Dich angemeldet hast, um dann Dein /home zu versenden. Welche Lösungen gibt es dagegen ?

Aktive Angriffe: Diese sind ja nur dann möglich, wenn Du einen Server-Dienst betreibst und Du deshalb in Deiner Firewall eingehende Verbindungen zu diesem freischalten musstest. Falls Du einen Server betreibst empfehle ich eine Trennung von Server und privaten Daten auf zwei Rechner. Ist dies nicht möglich, empfehle ich eine Trennung mittels virtueller Maschinen (was jedoch diese Anleitung bei weitem übersteigt), neben dem obligatorischen Härten von Kernel und Serverdienst. Ansonsten bist Du keinen aktiven Angriffen ausgesetzt (die harmlosen Portscans fängt bereits Dein DSL-Router ab).

Bleibt als letztes:

Angriffe, denen Du beim Browsen, oder Öffnen einer E-Mail, oder Öffnen einer anderen präparierten Datei (mpeg, jpg, etc.), ausgesetzt bist. Ja, das ist in der Realität die gefährlichste Bedrohung für private User. Um sich davor zu schützen empfehle ich:

1. Einsetzen eines Proxys, der gefährliche Inhalte herausfiltert,
2. Härten des Kernels,
3. Betrieb des Browsers in einer Sandbox, UND
4. Halte Deine Programme aktuell

Diese Maßnahmen werden leider in vielen Beschreibungen zur "Festplattenvollverschlüsselung" vernachlässigt ... ...

Erhöhtes Schutzbedürfnis

1. Falls Du tatsächlich in der mißlichen Lage sein solltest mit einem nicht vertrauenswürdigen Kollegen (Mitarbeiter) einen Rechner teilen zu müssen, würde Dir eine Festplattenvollverschlüsselung auch nicht helfen, da er ja auch das Passwort zum Start des PC haben muss. Wenn Du jetzt sagst, nein, Du startest den PC in der Früh, dann genügt aber auch wieder ein BIOS-Boot-Passwort. Wichtig ist nur: Der Mitarbeiter wird/ist insoweit überwacht, dass er keine Möglichkeit hat - unbemerkt - die Festplatte auszubauen. Auf USB und CD-ROM kann er aufgrund der Linux-Berechtigungen seines Accounts nicht zugreifen. Falls er doch dafür Rechte haben muss, musst Du nur SecureBoot installieren um einen Booten von einer CD oder USB zu unterbinden. Besser ist natürlich eine Trennung: Jeder hat seinen eigenen PC.

2. Falls Du zwar den Recher alleinig nutzt, aber wirklich Sorge haben musst, dass jemand - unbemerkt - eindringen will und kann, um "böse" Programme zu installieren, ist eine - echte - Festplattenvollverschlüsselung eine mögliche Lösung. Dazu ist aber der ganze Overkill mit GRUB/INITRAMFS/INITRD/LVM/LUKS/DMCRYPT unnötig. Das wichtigste ist der USB-Stick, der als Schlüssel dient und den Du dann wirklich abziehen musst. Ich habe dazu bereits eine einfachere Installationsanleitung geschrieben, die ich jedoch NICHT empfehle:
https://forums.gentoo.org/viewtopic-t-1110764-highlight-.html
Warum ? Weil es noch einfacher geht. Es gibt Wechselplatten, die Du nach dem Shutdown abziehen kannst und zuhause statt dem USB-Stick in den Tresor steckst.

3. Falls Du als Selbständiger oder Geheimnisträger, Kundendaten oder Wichtigereres schützen willst/musst und deshalb alles verschlüsseln willst/musst und trotzdem noch Angriffe aus dem Netz befürchtest, empfehle ich noch einmal die Trennung auf verschiedene PCs. Einer davon sollte keine Internet-Verbindung haben, sondern nur eine einzige VPN-Verbindung zum Ärzte-Rechenzentrum ...

4. Falls Du wirklich ein gefährderter Journalist in einem unguten Land bist, wirst Du sicherlich bereits TAILS oder QubesOS benutzen.

Überhöhtes Schutzbedürfnis - Paranoid Part

Falls Du nur deswegen eine "Festplattenvollverschlüsselung" willst, damit ein Dieb Dein geklautes Notebook nicht nutzen kann, muss ich Dich enttäuschen. Dazu brauchst Du nur SecureBoot. Aber selbst dann kann er noch Dein Notebook zerlegen und Display, Prozessor und SSD einzeln verticken.

Falls Du jetzt noch meinst, es gibt ja noch die Bedrohung durch die ManagementEngine eines Intel-Prozessors, die man nach der Anleitung von Sakaki ausschalten müsste:
https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Disabling_the_Intel_Management_Engine
dann empfehle ich ... kauf Dir einfach ein entsprechendes Notebook für ein paar Euro Aufpreis, denn ich kenne niemanden, der sich diese Anleitung angetan hat:
https://www.computerbase.de/2017-12/intel-management-engine/

Deine 5. Partition

Meine Empfehlung für einen PC zuhause: Im parted das Label HOME vergeben, mit EXT4 formatieren, in die fstab eintragen und als unverschlüsselte /home benutzen (das kannst Du inzwischen sicher ohne dummy Anleitung).

Meine Empfehlung für ein Notebook: Als verschlüsseltes Home-Verzeichnis verwenden. Lies Dir dazu B.4 durch.


Ich empfehle aber in jedem Fall mindestens B.1 und B.2 umzusetzen !


< Ende des allgemeinen Teils >
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum