Skip to content

Folge 47: Linux und Sicherheit

Geschrieben von Dirk Deimeke am
In dieser Folge sprechen wir über Linux sowie Sicherheit und haben uns Verstärkung in der Person von Arne Wichmann geholt.


dh-20130401-ausgabe-047.mp3 (01:59:20 Stunden, 85.9 MB)
dh-20130401-ausgabe-047.ogg (01:59:20 Stunden, 72.8 MB)



(Comic von xkcd.com - Randall Munroe, Lizenz CC-BY-NC 2.5)

Euer Feedback ist uns immer herzlich willkommen, gerne in die Kommentare, via E-Mail oder bei Google+.

Hier findet Ihr die Startzeiten der verschiedenen Themenblöcke:

~ 00:01:14 Feedback und Aufruf
~ 00:02:20 Thema Linux und Sicherheit
~ 00:09:50 Sicherheit auf der Workstation
~ 01:18:10 Sicherheit auf dem Server
~ 01:59:06 Ausblick

Links:

Arne Wichmann

uncomplicated Firewall, Einführung dazu im Ubuntu Wiki - grafisches Frontend Gufw
Network Adresse Translation (NAT)
Phishing
Digitales Zertifikat
Certificate Authority (CA)
Pretty Good Privacy (PGP)
GNU Privacy Guard (GPG)
CAcert
HTTPS Everywhere
HTTPS Finder

Secure Shell (SSH)
Fail2ban
Tripwire
ClamAV
Logcheck
Syslog
chroot
Portknocking
NoScript
Sandbox

Trackbacks

PodUnion am : PodUnion via Twitter

Vorschau anzeigen
Neue #Podcast Folge von #DeimHart produziert von @ddeimeke und @thurgau: Folge 47: Linux und Sicherheit http://t.co/hYZaOE5CU8 #PodUnion

Srevilo am : Srevilo via Twitter

Vorschau anzeigen
Folge 47: #Linux und Sicherheit http://t.co/DsNQtRGVZK !deimhart

hoersuppe.de am : PingBack

Vorschau anzeigen

hoersuppe.de am : PingBack

Vorschau anzeigen

freak___out am : freak___out via Twitter

Vorschau anzeigen
Höre gerade #DeimHart 47 Linux und Sicherheit…sehr interessant http://t.co/1Avd4a8rpm #Linux

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Heinz Böttjer am :

*Sehr schöne Folge, gerne mehr davon.

Papst: Ja wir haben, Nein nicht der vorhergesagte.

Wetter: Hier in Bremen ist der Winter leider noch nicht vorbei.

Wäre doch mal ein Thema "Warum bei der Klimaerwärmung die Winter kälter werden" :-O

Dirk Deimeke am :

*Danke schön Heinz.

Die Durchschnittstemperatur ist über das Jahr gerechnet nahezu konstant. Wenn es also einen heissen Sommer hat, gibt es fast immer einen kalten Winter. Wie sich das begründen lässt, weiss ich nicht.

Allerdings ist es schon beeindruckend, wenn man denkt, dass bei einer nur um ein Grad höheren Durchschnittstemperatur noch Nilpferde im Rhein gelebt haben ...

Fjunchclick am :

*Durch die Klimaerwärmung wird es in Nordeuropa kälter! Stichwort Golfstrom. Wenn der aufgrund der allgemeinen Erwärmung schwächer wird, haben wir das gleiche Wetter wie in anderen Städten auf dem gleichen Breitengrad. Hamburg liegt z.B. nördlicher als Neufundland!

Zum Thema:
Wieder mal eine sehr gute Folge.

Frank Emter am :

*Zum Portknocking gibt es seit einigen Jahren mit fwknop http://www.cipherdyne.org/fwknop/ eine Weiterentwicklung, die die klassischen Probleme des Konzeptes beseitigt. Allerdings zum Preis einer erhöhten Komplexität.

Gruß
Frank Emter

Martin am :

*Verwendet Ihr eigentlich schon Auphonic?

Martin am :

*Passwörter: Was mir häufig begegnet, sind unsinnige Beschränkungen der Passwortlängen kombiniert mit unsinnigen Anforderungen an den Passwortinhalt.

Martin am :

*Unsinnig sind Passwörter mit allzu beschränkter Länge und beschränktem Inhalt. Inhaltliche Beschränkungen sollen bei gehashten Passwörtern nicht notwendig sein und die Länge kann man problemlos auf 1'000 Zeichen oder so setzen.

Gestern beispielsweise erstellte ich einen neuen Microsoft-Account und nutzte dafür wie gewohnt ein langes Passwort, das meine Passwort-Verwaltung generiert hatte. Erst teilte mir Microsoft mit, die Länge sei ab 16 Zeichen beschränkt und danach durfte ich mit Trial und Error herausfinden, welche Zeichen unerwünscht waren …

Dirk Deimeke am :

*Ja, so etwas ist Mist. Da gebe ich Dir Recht.

1000 Zeichen für ein Passwort zu reservieren, halte ich aber auch für falsch. Alleine die Länge des Eingabefeldes schlägt dann alles andere ...

DrCRAZY am :

*Halle Ihr Drei.
Wollte mich mal ganz kurz für diese Folge (okay die anderen auch) bedanken. Es macht immer wieder Spaß sich hin zu setzen und DeimHart zu hören.
Auch dieser Folge konnte ich dann eine menge Ansätze mitnehmen, über die ich so noch gar nicht nachgedacht hatte. (bsp. Kein Root von außen beim einloggen auf dem Server via SSH)
Danke, freue mich auf die Folge II zur Sicherheit unter Linux.

Martin am :

*Festplattenverschlüsselung: Ich verschlüssle mitterweile auch Desktop-Geräte, weil die Auswirkungen bei Geräten mit SSDs marginal sind, jedenfalls bei passenden SSDs … allerdings muss man daran denken, dass die Verschlüsselung nur hilft, wenn das Gerät ausgeschaltet ist – das ist bei Desktop-Geräten häufig nie der Fall (und bei Notebooks aus Bequemlichkeit häufig auch nicht).

Roman Hanhart am :

*Danke für Dein Hinweis, Martin. Ich denke, es wird häufig vergessen, dass die Geräte oft nicht abgeschaltet sind.

Martin am :

*Passwörter II: Für mich zunehmend ein Problem sind wichtige Passwörter auf dem Smartphone, die ich häufig eingeben muss – beispielsweise meine Apple ID. Die Eingabe ist mühsam, die Nutzung einer Passwort-Verwaltung (zumindest unter iOS) auch. Ergo sind viele Smartphone-Passwörter wohl eher auf der schwachen Seite, angefangen beim Passwort für das Entsperren des Geräts überhaupt … :(

Dirk Deimeke am :

*Ja, sehr guter Punkt.

Gerade die Geräte, die die sensibelsten Daten beinhalten, sind am schlechtesten geschützt.

Ben am :

*Hallo,

Danke für die tolle Themen Folge...
Bitte Teil 2 produzieren und Mut zum 4h Podcast... :-)

Danke Danke Danke Danke

Dirk Deimeke am :

*Den Mut haben wir, es ist nur schwierig, sich dafür die Zeit zu nehmen.

Wir arbeiten daran :-)

Olli am :

*Hi ihr 2,

da kann ich mich nur anschließen! Tolle Folge bei der man viel lernen konnte! Bei längeren Sendungen könntet ihr evtl. noch mehrere Zeitmarken angeben, dann würde man sich etwas leichter tun, wenn man nach einer bestimmten Stelle sucht.

Mit was für Tools habt ihr denn eure Debian Notebooks verschlüsselt? Habt ihr nur die Home Partition oder die gesamte Platte verschlüsselt?

Grüße,
Olli

Dirk Deimeke am :

*Ja, über Zeitmarken denke ich nach, aber das ist im Gespräch nicht ganz so einfach. Eine gute Lösung dafür habe ich noch nicht.

Ich benutze encfs für einzelne Verzeichnisse und (ich meine) dmcrypt für das Notebook.

Christoph am :

*Hey,

eine Folge zu IPv6 fände ich super. Ich wollte mich immer schon mal mit dem Thema tiefer beschäftigen. Was mir noch fehlt ist so eine Grobe Übersicht, was ist neu/anders als bei IPv6. Bei sowas finde ich einen Podcast immer ganz schön. Er kann sicherlich nicht die volle Bandbreite von IPv6 abdecken aber zeigt so die Sachen die in der Praxis relevant sind und wo man sich auf jeden Fall tiefer beschäftigen sollte.

Eine Lösung des hier häufiger angesprochenen Passwort Problems für Webservices wären doch die Public/Private Keys die auch bei SSH zur Anwendung kommen. Ich bin da jetzt gerade nicht so drin, ist das einfach nur "DAU unfreundlich" für die normalen User oder gibt es da andere praktische Probleme?

mfg Christoph

Florian am :

*Zertifikat-Login hab ich bisher schon bei startssl.com gesehen, da braucht man das um sich einzuloggen. Man wird dann vom Firefox aufgefordert, ein Zertifikat aus dem Firefox-Zertifikatspeicher auszuwählen um sich zu authentifizieren. Das muss man sich beim Account-Anlegen erzeugen lassen. Unter Firefox funktioniert das super, auch der Export aus einer alten Installation in eine neue geht ohne Plugin. Mit anderen Browser hab ich das noch nicht getestet.

Bei neuen Login-Techniken bin ich aber eher für einen sicheren Einmal-Login wie bei Persona (Firefox) oder OpenId. Ich schick im Moment die meisten (eher unwichtigen) Passwörter an Lastpass, ist einfach praktisch, aber so ganz zufrieden bin ich damit nicht, die Passwörter in die Cloud zu schicken.

Dirk Deimeke am :

*Mit "Passwörter in die Cloud" habe ich auch Magenschmerzen. OpenID hingegen ist eine feine Sache, wenn sie richtig gemacht ist und man wenigstens zwei Provider einsetzt.

CAcert bietet auch Login per Zertifikat an.

Dirk Deimeke am :

*Ok, IPv6 notieren wir. Danke für den Tipp. Ich habe das Gefühl, dass das schont tot geredet wurde, aber das kann auch nur meine "Wahrnehmungsblase" sein.

Bei Webservices kannst Du alles mit Zertifikaten lösen, auch die Clients. Das ist ähnlich zu Keys, aber nicht genau das gleiche.

Raiden am :

*Da fällt mir doch spontan der PasswordMinder ein^^

http://www.youtube.com/watch?feature=player_embedded&v=dcjViYTDk-A

Florian am :

*Eine super Folge, danke euch dreien :-).
Ein paar Sachen kannte ich noch nicht, einige andere zur Absicherung von SSH benutze ich schon für meinen Mailserver. Fand ich auch gut, dass ihr zwischendurch immer nochmal "die erste Zeile aus Wikipedia", also eine kleine Einführung zu den Themen, gegeben habt -> selbst wenn ich schon mal was davon gehört habe, gibt das einen kleinen Gedächtnisanstoß.
IPv6 ist ein super Thema, vielleicht könnt ihr mal diskutieren, was sich dadurch in der Technik ändert, wie sich das für normale Benutzer (hinsichtlich Privatsphäre und so) oder Admins (Konfiguration der Tools) ändert. Dass die Adresse 4-mal so lang ist, ist wohl nicht das einzige Problem - ist mit Sicherheit ein breites Thema, vielleicht findet ihr ja Teile die ihr in einem Podcast darstellen wollt.

Roman Hanhart am :

*Hallo Florian
Danke für das Kompliment! Freut mich sehr, dass Dir die Folge etwas gebracht hat. Ja, IPv6 ist eine sehr grosses Thema. Wir werden uns dem mit Bestimmtheit annehmen und wohl nicht nur mit einer Folge.

Fuchsi am :

*Hallo zusammen,

bin zwar mit eurer Sendung noch nicht ganz durch, aber wollte schon einmal anmerken, dass ich eure Sendungen sehr interessant finde und ihr immer sehr interessante Gäste habt.

Als Hinweis zu "Leben an der Konsole" ist mit vor ein paar Tagen folgendes über den Weg gelaufen, was ich irgendwie passend fine:
#telnet towel.blinkenlights.nl

Viele Grüße und macht weiter so!
Fuchsi

Halim Salin am :

*Falls ich es nicht überhört habe, habt Ihr für die Erkennung von manipulierten Datei nur Tripwire genannt. Eine leicht anzuwendende Alternative ist das Programm iwatch. Es nutzt inotify des Kernels und schlägt bei Änderungen von Dateien via Mail alarm. Welche Dateien überwacht werden, lässt sich in der xml Konfigurationsdatei einstellen.

Dirk Deimeke am :

*Ja, das stimmt, das wäre auch noch eine Möglichkeit. Danke Halim!

Halim Sahin am :

*Eine Möglichkeit über hosts.deny Angreifer zu blocken besteht noch mit dem
Programm denyhosts.
Wenn z. B. jemand sich als root auf dem ssh server anmelden möchte, wird er direkt in die hosts.deny eingetragen.
Wie wir ja in Folge 47 gehört haben, hat sich eigentlich ja niemand als root von außen anzumelden :-).

Dirk Deimeke am :

*Das habe ich versucht zu erklären. Damit kann man sich ins Knie schiessen.

Nehmen wir einmal an, Dein Nachbar und Du seid beide bei Provider A. Dein Nachbar versucht sich als root anzumelden und seine IP wird gesperrt. Nach der nächtlichen Trennung bekommst Du die IP-Adresse, die vorher Dein Nachbar hatte. Damit kommst Du dann gar nicht mehr auf den Server.

Halim Sahin am :

*Ja, da hast Du sicherlich nicht ganz unrecht, jedoch kann denyhost alte Einträge entfernen.
# PURGE_DENY: removed HOSTS_DENY entries that are older than this time
# when DenyHosts is invoked with the --purge flag
#

Für Server mit einer fest IP ist es schon recht gut geeignet.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen
Datenschutzerklärung / Impressum