Hallo zusammen,

ich wollte Linux Mint auf meinem Laptop installieren und dabei zwei Partitionen nutzen. Eine Partition für mein privates Surfvergnügen und die andere für Home Office, Online Banking usw. Jetzt höre ich teilweise unterschiedliche Meinungen, was die Sinnhaftigkeit mehrerer Partionen angeht. Mir ist bewusst, dass so manche Schadsoftware partitionenübergreifend zuschlägt, allerdings sollte sich das allgemeine Risiko durch eine Partitionierung doch schmälern lassen... oder?

LG

Schadsoftware ist die Partition egal, da geht es eher um Berechtigungen und ob die Schadsoftware auf die schützenswerten Bereiche zugreifen kann bzw. sich die Rechte dazu holen kann.

Was? Ich habe eine Lüge gelebt. :( Und ich dachte ich könnte eine Partition praktisch in eine Quarantänezone verwandeln...

Zwei Partitionen sind meiner Ansicht nach sogar anfälliger, als eine. Denn nur die aktiv gelade Partition ist verfügt über geschützte System-Bereiche. Auf die nicht geladene Partition kann Schadsoftware ohne Sicherheitsbeschränkungen zugreifen. Es sei denn, du verschlüsselst die jeweiligen Partitionen.

Ich bin auch für mehrere Partitionen, aber eher um System/Programmdateien von Arbeitsdateien zu trennen.
Für Experimente nimmt man virtuelle Maschinen.
Wo keine virtuelle Maschinen gehen, z.B. falls man Spiele-Mods von irgendwo installieren will, was nicht ungefährlich ist, da muss wohl mindestens Dualboot + Partitions-Verschlüsselung her.

Achtung: man muss auf den ganzen UEFI/IME/...-Backdoor-Mist achten. Falls man mit wirklich wichtigen Daten arbeitet, braucht man ein separaten Computer.

Und Backups sind selbstverständlich.

Für das geplante Anwendungsprofil (privates Surfvergnügen versus Home Office, Online Banking) würde sich der Einsatz der Linux-Distribution Qubes OS (https://de.wikipedia.org/wiki/Qubes_OS) anbieten. Die verwendet für die Trennung der Anwendungen Virtualisierung und benötigt deshalb einigermaßen aktuelle CPU-Hardware (https://www.qubes-os.org/doc/system-requirements/).

Zur initialen Frage:
Nein, zwei Partitionen mit gleichzeitig möglichem Zugriff durch dasselbe (laufende) Betriebssystem erhöhen die Sicherheit gegenüber einer einzelnen Partition erst einmal nicht.

Du solltest dich in das Rechtemodell von GNU/Linux einlesen. Partitionen haben mit dem Rechtemodell relativ wenig zu tun.

Es gibt allerdings ein paar sicherheitsrelevante Optionen zum Mounten. Ob das für dich nützlich ist, kann ich nicht beurteilen. Siehe auch hier: https://wiki.gentoo.org/wiki/Security_Handbook/Mounting_partitions

Zwei Partitionen sind meiner Ansicht nach sogar anfälliger, als eine. Denn nur die aktiv gelade Partition ist verfügt über geschützte System-Bereiche. Auf die nicht geladene Partition kann Schadsoftware ohne Sicherheitsbeschränkungen zugreifen. Es sei denn, du verschlüsselst die jeweiligen Partitionen.

https://abload.de/img/downloadcxkov.jpeg

Zieht das eigentlich irgendwer durch das private Surfvergnügen komplett zu trennen?
Vom Adminaufwand mal ganz abgesehen. Dafür startet doch niemand neu. Und wenn man dann beide Partition im Zugriff hat ist der Vorteil doch auch noch weg.
Was? Ich habe eine Lüge gelebt. :( Und ich dachte ich könnte eine Partition praktisch in eine Quarantänezone verwandeln...
Du kannst sie gar nicht oder nur lesend mounten.

Du kannst sie gar nicht oder nur lesend mounten.

Nur: Schadsoftware mit Root Rechten kann trotzdem alles Mögliche mit der Partition machen.

https://abload.de/img/downloadcxkov.jpeg

Also ich verstehe den TS so, dass er zwei Betriebssysteme nutzen will. Auf der einen Partition eins, mit dem er Unfug anstellen kann. Und auf der zweiten Partition das zweite, das er für brisante Sachen (Banking, etc.) verwenden will. Habe ich das falsch verstanden?

Zieht das eigentlich irgendwer durch das private Surfvergnügen komplett zu trennen?

ich benutze den seamless mode von virtualbox für zwei dinge. reguläres surfen und banking. jeweils in ner getrennten vm. eine vm aufsetzen und beliebig häufig replizieren war jetzt nicht so der aufwand.

Also ich verstehe den TS so, dass er zwei Betriebssysteme nutzen will. Auf der einen Partition eins, mit dem er Unfug anstellen kann. Und auf der zweiten Partition das zweite, das er für brisante Sachen (Banking, etc.) verwenden will. Habe ich das falsch verstanden?

Mir ging es eher darum, dass die Unterscheidung zwischen "aktiv geladen" (meinst du damit gemountet?) und "nicht aktiv geladen" in dem Kontext keinen Sinn ergibt. Es kommt rein auf die gesetzten Rechte an.

Root kann letztendlich alles, daher ist eine komplette Kompromittierung eines der Systeme ein "Game Over"-Moment, vollkommen unabhängig der Partitionen. Ob gemountet, nicht gemountet und auch die Mount-Optionen machen da, wie fezie angedeutet hat, keinen Unterschied. Mount-Optionen sind die einzigen sicherheitsrelevanten Optionen, die man einem GNU/Linux-System beim Mounten mitgeben kann, aber wie schon gesagt: Den Nutzen für den TE kann ich nicht beurteilen. Ich vermute, dass das nicht das ist, was er will. Und letztendlich kann Root die natürlich modifizieren.

Es gibt aber auch eine gute Nachricht: Wenn der TE nur die Zugriffsrechte einschränken will, braucht er keine weiteren Partitionen. Ein separater User mit einem eigenen Home-Verzeichnis reicht vollkommen aus. Gegen eine Kompromittierung eines der beiden Systeme hilft das allerdings auch nicht.

Für den TE ist wahrscheinlich wirklich so etwas wie Qubes OS besser.

Wenn der User keine Mount- und Blockdevicerechte hat und die Schadsoftware keine Rootrechte, dann können die Daten auch nicht modifiziert werden. Insofern ist das durchaus ein gewisser Schutz.

Wenn der User keine Mount- und Blockdevicerechte hat und die Schadsoftware keine Rootrechte, dann können die Daten auch nicht modifiziert werden. Insofern ist das durchaus ein gewisser Schutz.

Genau das erreicht er allerdings auch schon mit einem separaten User.

Hallo zusammen,

vielen Dank für eure zahlreichen Antworten! So wie ich das rausgelesen habe, sind zwei Partitionen nicht nowendig. Zwei User mit unterschiedlichen Zugriffsrechten sind hier wohl eine gute und einfache Strategie. Das heißt, ich würde dem User bei dem ich vorsichtiger bin, mehr Zugriffsrechte einräumen. Ich werde mich online umschauen, wie ich das am besten konfiguriere.

Das heißt, ich würde dem User bei dem ich vorsichtiger bin, mehr Zugriffsrechte einräumen.

Eigentlich gibt es keinen Grund mehr als die normalen Zugriffsrechte zu haben.

Ich würde das übrigens mit Linux Mint einmal überdenken. Ich will Leuten die Distribution nicht madig machen, aber in der Vergangenheit sind die nicht gerade durch besonders gute Sicherheitspraktiken aufgefallen. Wenn du es sowieso noch nicht aktiv nutzt, dann nimm besser direkt Ubuntu.

Und wenn du wirklich deine Anwendungsfälle hart isolieren willst wie du es ursprünglich vor hattest, dann nimm besser Qubes OS und keine normale Distribution. Qubes OS ist genau dafür gemacht.

Ich würde das übrigens mit Linux Mint einmal überdenken. Ich will Leuten die Distribution nicht madig machen, aber in der Vergangenheit sind die nicht gerade durch besonders gute Sicherheitspraktiken aufgefallen. Wenn du es sowieso noch nicht aktiv nutzt, dann nimm besser direkt Ubuntu.Du meinst das hier?
https://de.wikipedia.org/wiki/Linux_Mint#Kritik
Das wurde ja alles inzwischen geändert (auch wenn es teilweise zu lange dauerte).

MfG
Rooter

Du meinst das hier?
https://de.wikipedia.org/wiki/Linux_Mint#Kritik
Das wurde ja alles inzwischen geändert (auch wenn es teilweise zu lange dauerte).

Es gab diverse Probleme. Zurückgehaltene Sicherheits- und Kernelupdates, kompromittierte ISOs etc.

Ich habe auch nie so ganz verstanden, warum man überhaupt Linux Mint benutzen will. Der Cinnamon-Desktop ist auch in anderen Distributionen paketiert. Im Grunde ist es einfach nur eine schlechter gewartete Variante von Ubuntu bzw. Debian.

Ich würde sogar so weit gehen und behaupten, dass es ein sicherheitstechnisches Downgrade zu Windows 10 ist, falls der TE von dort kommt.

Ich hab nur deshalb 2 Partitionen auf der Haupt-Nvme, weil sich eine kleine Systempartition schneller sichern/wiederherstellen lässt. Alte Gewohnheit aus Extrem-Overclocking Tagen .. :)

Es gab diverse Probleme. Zurückgehaltene Sicherheits- und Kernelupdates, kompromittierte ISOs etc.Den Link gelesen? Das ist alles richtig aber auch alles Schnee von gestern. Was stört dich aktuell?

MfG
Rooter

Ich würde das übrigens mit Linux Mint einmal überdenken. Ich will Leuten die Distribution nicht madig machen, aber in der Vergangenheit sind die nicht gerade durch besonders gute Sicherheitspraktiken aufgefallen. Wenn du es sowieso noch nicht aktiv nutzt, dann nimm besser direkt Ubuntu.
.

Ist Ubuntu nicht wiederum aufgrund von Problemen was den Datenschutz angeht in der Vergangenheit negativ aufgefallen? Ist natürlich nochmal eine anderer Baustelle als der Schutz vor Cyberkriminalität... allerdings ist die Privatsphäre auch einer der Gründe, warum ich mich gegen das Windows entschieden habe.

Qubes würde in der Tat beiden Punkten gerecht werden... wurde sogar von Edward Snowden positiv hervorgehoben. Ich bin mit diesem System jedoch überhaupt nicht vertraut. Ich habe einen alten Laptop. Da würde ich vielleicht Qubes mal installieren, um zu testen, ob es etwas für die Zukunft ist.

Ein Thema mit dem ich mich derzeit beschäftige ist die Verschlüsselung der Home Folder. Ist ne doofe Frage, aber wenn ich die Home Folder verschlüssele und mein Admin-User die Systeme aktualisiert, werden die Aktualisierungen dann auch wie gewohnt bei allen Usern durchgeführt?

Wozu der Aufwand?

Ich mache seit einer halben Ewigkeit Onlinebanking (auch schon mit Windows 98 und später Windows 2000) und noch nie (teu teu teu) ist hier irgendwas passiert.

wenn ich die Home Folder verschlüssele und mein Admin-User die Systeme aktualisiert, werden die Aktualisierungen dann auch wie gewohnt bei allen Usern durchgeführt?
Ja, die globalen Systemdateien liegen separat im /usr Ordner.
Der Userordner (/home) enthält nur Daten, die von den Programmen und dem jeweiligen Benutzer während der Laufzeit erzeugt werden.

Die Verschlüsselung ist während der Laufzeit transparent, also auf logischer Ebene nicht von einem unverschlüsseltem System zu unterscheiden, sowohl für das System als auch für Schadsoftware. Die "Schutzfunktion" einer Verschlüsselung greift nur wenn die Daten nicht gemountet sind, bzw. der Rechner aus ist.

Den Link gelesen? Das ist alles richtig aber auch alles Schnee von gestern. Was stört dich aktuell?

MfG
Rooter

Der Schnee von gestern hat sich über Jahre hingezogen. Für mich ist das zu spät.

Hätte Mint irgendwie mehr Convenience-Funktionen, wäre das für mich noch etwas anderes. Aber einen echten Mehrwert habe ich da nie gesehen.

Ist Ubuntu nicht wiederum aufgrund von Problemen was den Datenschutz angeht in der Vergangenheit negativ aufgefallen? Ist natürlich nochmal eine anderer Baustelle als der Schutz vor Cyberkriminalität... allerdings ist die Privatsphäre auch einer der Gründe, warum ich mich gegen das Windows entschieden habe.

Es gibt auch immer noch Debian, worauf Ubuntu (und Mint) aufbauen. Auch Debian liefert den Cinnamon-Desktop von Mint aus.

Qubes würde in der Tat beiden Punkten gerecht werden... wurde sogar von Edward Snowden positiv hervorgehoben. Ich bin mit diesem System jedoch überhaupt nicht vertraut. Ich habe einen alten Laptop. Da würde ich vielleicht Qubes mal installieren, um zu testen, ob es etwas für die Zukunft ist.

Ja, es braucht leider relativ viel RAM wegen der VMs.

Ein Thema mit dem ich mich derzeit beschäftige ist die Verschlüsselung der Home Folder. Ist ne doofe Frage, aber wenn ich die Home Folder verschlüssele und mein Admin-User die Systeme aktualisiert, werden die Aktualisierungen dann auch wie gewohnt bei allen Usern durchgeführt?

Im Home-Ordner liegen keine Systemdateien. Guck dir einmal deinen Home-Ordner an und was darin liegt.

Hätte Mint irgendwie mehr Convenience-Funktionen, wäre das für mich noch etwas anderes. Aber einen echten Mehrwert habe ich da nie gesehen.Ubuntu hat 3 Jahre Support, Mint 5.
Und es ist halt ein wenig bequemer, weil diverse Codec schon vorinstalliert sind (ich weiß, kann man alles nachinstallieren).

MfG
Rooter

Ubuntu LTS hat 5 Jahre, und darauf basiert Mint ja auch. Es glaubt ja wohl keiner hier, dass Mint zwei Jahre über die Basis hinaus brauchbaren support geben könnte oder?

Ubuntu LTS hat 5 JahreXubuntu LTS, was ich nehmen würde, aber nicht.

Es glaubt ja wohl keiner hier, dass Mint zwei Jahre über die Basis hinaus brauchbaren support geben könnte oder?Warum nicht? Security-only würde ja reichen.

MfG
Rooter

Was soll das jetzt fuer ein Argument sein?

Weil du XFCE benutzen willst, aber Xubuntu LTS nur 3 Jahre support hat, nimmst du halt Mint? :confused:

Dann nimm halt eine Ubuntu LTS und installiere XFCE. Wenn du das fuer 5 Jahre benutzen willst, sollten die 5 Minuten zusaetzlicher Aufwand nicht besonders ins Gewicht fallen oder?



Warum nicht?
Weil das trotz dem, dass es "nur" security updates sind, etwas anderes ist, als ein ISO anzubieten und ein Forum zu betreiben.

Warum nicht? Security-only würde ja reichen.

Weil das ein enormer Aufwand ist und schon von den größten Distributionen mit deutlich mehr Manpower als Mint nur teilweise erreicht wird. Hast du dir einmal angeguckt, wie viele Pakete in Debian nach fünf Jahren noch "supportet" werden? Im Grunde beschränkt sich der Support auch nur auf riesige Projekte, bei denen Upstream auch fünf Jahre Support liefert.

Und nur einmal zur Erinnerung: Alle Pakete abseits des main-Repositories von Ubuntu (und damit auch von Mint) haben ab dem ersten Tag schon keinen Support. Im Grunde ist das einfach nur ein komplett unsupporteter Snapshot von Paketen aus Debian Testing und Unstable.

Irgendwer muss die Patches eben schreiben, zurückporten und testen. Das ist ein enormer Aufwand. Red Hat und SUSE verdienen damit ihre Brötchen. Canonical macht das ähnlich, trickst aber mit ihren Universe- und Multiverse-Repos, womit sie ihre Repos aufstocken, dafür aber keinen Support leisten. Debian kann das durch die enorme Manpower über einen halbwegs langen Zeitraum für relativ viele Pakete leisten. Wahrscheinlich ist es sogar die einzige komplett Community-betriebene Distribution, die das in der Form kann.

Alle anderen Distributionen in der Linux-Welt sind meistens weit abgeschlagen, was Langzeitsupport angeht. Was natürlich nicht zwangsläufig schlecht sein muss, wenn man gar keinen Langzeitsupport braucht. Man sollte sich aber genau angucken, was solche kleinen Distributionen mit "Support" wirklich meinen. Mint kann sicher einfach die Updates von Ubuntu übernehmen, aber man sollte nicht davon ausgehen, dass sie selbstständig im großen Stil eine ganze Distribution pflegen können.

Weil das ein enormer Aufwand ist und schon von den größten Distributionen mit deutlich mehr Manpower als Mint nur teilweise erreicht wird. Hast du dir einmal angeguckt, wie viele Pakete in Debian nach fünf Jahren noch "supportet" werden?Hmm, dann muss ich meinen Traum, ein halbes Jahrzehnt ohne Neuinstallation auszukommen, unter Linux wohl begraben. :( Von einem Rolling Release möchte ich als Anfänger lieber noch die Finger lassen.
Ich schau mir das mal in der VM an wenn es released ist, Ubuntu in zwei Wochen und Mint im August.
Danke für die Infos.

MfG
Rooter

Hmm, dann muss ich meinen Traum, ein halbes Jahrzehnt ohne Neuinstallation auszukommen, unter Linux wohl begraben. :(

Das kannst du problemlos mit RHEL bzw. CentOS oder auch Ubuntu LTS, wenn man sich auf die base bzw. main-Repos beschränkt. Das beschränkt die Menge der Software in der Distribution natürlich, allerdings kann man mittlerweile auch ausgewählte Software komplett unabhängig vom Betriebssystem per Flatpak beziehen.

Ansonsten kann man natürlich auch den umgekehrten Weg gehen: Warum überhaupt Langezeitsupport für private Nutzung? Implementierungen einer Immutable Infrastructure erlauben dir auch wegwerfbare Desktop-Systeme zu bauen. Am Linux-Desktop wird daran noch immer stark gearbeitet (z.B. in Form von Fedora Silverblue), aber das wäre eben der andere Weg.

Das kannst du problemlos mit RHEL bzw. CentOS oder auch Ubuntu LTS, wenn man sich auf die base bzw. main-Repos beschränkt.Trifft das nicht auf >95% aller Pakete von Ubuntu zu?

Ansonsten kann man natürlich auch den umgekehrten Weg gehen: Warum überhaupt Langezeitsupport für private Nutzung? Implementierungen einer Immutable Infrastructure erlauben dir auch wegwerfbare Desktop-Systeme zu bauen. Am Linux-Desktop wird daran noch immer stark gearbeitet (z.B. in Form von Fedora Silverblue), aber das wäre eben der andere Weg.:confused: Was meinst du mit "wegwerfbares Desktop-System"?

MfG
Rooter

Trifft das nicht auf >95% aller Pakete von Ubuntu zu?

Definitiv nicht. Ich habe die Anzahl der Pakete gerade einmal auf einem Ubuntu 18.04 überprüft:

830 archive.ubuntu.com_ubuntu_dists_bionic_multiverse_binary-amd64_Packages
6391 archive.ubuntu.com_ubuntu_dists_bionic_main_binary-amd64_Packages
53596 archive.ubuntu.com_ubuntu_dists_bionic_universe_binary-amd64_Packages


Der überwiegende Teil der Software liegt in Universe.

Die Ausgabe habe ich hiermit erzeugt und die überflüssigen Repositories manuell entfernt: https://askubuntu.com/a/120638

Die Problematik mit den unterschiedlichen Support-Zyklen kann man auch hier genauer nachlesen: https://www.heise.de/ct/artikel/Ubuntu-LTS-Langzeitpflege-gibt-es-nur-fuer-das-Wichtigste-3179960.html

:confused: Was meinst du mit "wegwerfbares Desktop-System"?

Siehe hier: https://docs.fedoraproject.org/en-US/fedora-silverblue/#introduction

Definitiv nicht. Ich habe die Anzahl der Pakete gerade einmal auf einem Ubuntu 18.04 überprüft:

830 archive.ubuntu.com_ubuntu_dists_bionic_multiverse_binary-amd64_Packages
6391 archive.ubuntu.com_ubuntu_dists_bionic_main_binary-amd64_Packages
53596 archive.ubuntu.com_ubuntu_dists_bionic_universe_binary-amd64_Packages


Der überwiegende Teil der Software liegt in Universe.Okay, von der gesamten existierenden Software. Aber wie ist die Verteilung bei der Software, die in der ISO mitgeschickt wird?

Die Problematik mit den unterschiedlichen Support-Zyklen kann man auch hier genauer nachlesen: https://www.heise.de/ct/artikel/Ubuntu-LTS-Langzeitpflege-gibt-es-nur-fuer-das-Wichtigste-3179960.htmlWenn man das so liest wundert man sich, dass überhaupt irgendjemand Ubuntu vertraut. :eek:

Und warum übernimmt Canonical nicht die Debian Pakete, wenn die offenbar besser aktuell gehalten werden?

MfG
Rooter

Okay, von der gesamten existierenden Software. Aber wie ist die Verteilung bei der Software, die in der ISO mitgeschickt wird?

Das Basissystem und einige Desktop-Anwendungen sind schon in main.

Wenn du "die ISO" schreibst, ist übrigens nicht so ganz klar, was du damit meinst. Es gibt unterschiedliche Installationsmedien mit teilweise komplett unterschiedlicher Software. Man kann auch während der Installation Software installieren, die nicht auf der jeweiligen ISO enthalten ist.

Wenn man das so liest wundert man sich, dass überhaupt irgendjemand Ubuntu vertraut. :eek:

Hat mit vertrauen oder nicht wenig zu tun. Für die Pakete in main kann man schon davon ausgehen, dass die lange gepflegt werden. Die Unterscheidung zwischen den Repositories ist den meisten Leuten nur wahrscheinlich nicht so ganz klar. Man kann Canonical eigentlich nur vorwerfen, dass sie das nicht besser kennzeichnen.

Und warum übernimmt Canonical nicht die Debian Pakete, wenn die offenbar besser aktuell gehalten werden?

Weil Ubuntu dann nicht mehr Ubuntu wäre, sondern ein Debian. Ein Ubuntu-Release ist normalerweise nicht binärkompatibel mit einem Debian-Release. Sie importieren zwar die Pakete aus Debian, aber sehr wahrscheinlich passen sie die an die Software in ihren Repositories an, damit das kompatibel wird.

Ist zwar nicht das Thema, aber gerade bei Ubuntu Server ist das aus meiner Sicht kritisch. Apache, NGINX, PHP, MYSQL bzw. MaraDB, usw. ist alles komplett veraltet und wird auch nicht mehr wirklich aktualisiert. Da ist man dann auf andere Repositories angewiesen, idealerweise direkt vom Hersteller der Software. Aber wie gesagt, ist Offtopic. :)

Apache, NGINX, PHP, MYSQL bzw. MaraDB, usw. ist alles komplett veraltet und wird auch nicht mehr wirklich aktualisiert.

Da vermischst du aber auch alles. Apache und nginx bekommen gebackportete Sicherheitsupdates von Canonical. Die Versionsnummer sagt daher absolut nichts über den Patchstand aus.

PHP ist leider wirklich problematisch. Ich habe sowohl in Debian als auch Ubuntu gesehen, dass der offizielle Maintainer irgendwann eigene Repositories aufgesetzt hat, weil die Distributionen natürlich keine neuen Versionen in bestehende Releases aufnehmen wollten, die alten Versionen aber nicht mehr sinnvoll gepflegt werden konnten.

MariaDB ist dagegen nur in Universe und wird deshalb nicht von Canonical gepflegt. Das kommt dann auf die Community an und ob die sich darum kümmern will. Das kann auch bedeuten, dass es Sicherheitsprobleme geben kann, wenn sich niemand dafür findet.

Ist natürlich OT, ja.

Weil Ubuntu dann nicht mehr Ubuntu wäre, sondern ein Debian. Ein Ubuntu-Release ist normalerweise nicht binärkompatibel mit einem Debian-Release. Sie importieren zwar die Pakete aus Debian, aber sehr wahrscheinlich passen sie die an die Software in ihren Repositories an, damit das kompatibel wird.Okay, dann ist das noch ein Verständnisfehler von mir. War immer der Meinung weil es auf Debian basiert sei es auch (zu 99%) kompatibel. So wie Mint auf Ubuntu basiert und zu 99% kompatibel ist.

MfG
Rooter

Sooo habe es jetzt soweit installiert. Zwei User. Der Freizeituser hat keine Adminberechtigungen. Ist zwar kein kugelsicherer Schutz, allerdings können im Zweifel zumindest meine Gäste nichts verkorksen. Was mir (mit erschrecken) aufgefallen ist, ist das bei Firefox die Funktion . "Fragen, ob Zugangsdaten und Passwörter für Websites gespeichert werden sollen" bei Installation aktiviert ist. Ist ein beträchtliches Sicherheitsrisiko in meinen Augen.

Sooo habe es jetzt soweit installiert. Zwei User. Der Freizeituser hat keine Adminberechtigungen. Ist zwar kein kugelsicherer Schutz, allerdings können im Zweifel zumindest meine Gäste nichts verkorksen.Per sudo

Was mir (mit erschrecken) aufgefallen ist, ist das bei Firefox die Funktion . "Fragen, ob Zugangsdaten und Passwörter für Websites gespeichert werden sollen" bei Installation aktiviert ist. Ist ein beträchtliches Sicherheitsrisiko in meinen Augen.Du musst das ja nicht benutzen.
Und wenn du sowas adminstrativ untersagst landen die unverschlüsselt in password.txt

Ich hab vor ein paar Wochen auf meinem System Firejail (https://firejail.wordpress.com/) installiert. Mit Linux-Bordmitteln wird damit jede aufgerufene Applikation in einer Sandbox gestartet. Firejail wird aktiv gewartet, ist mittels Textdateien leicht konfigurierbar und für sehr viele Anwendungen werden passende Voreinstellungen mitgeliefert. Vielleicht wäre das noch etwas für dich?

mfg.

Sonyfreak

Sooo habe es jetzt soweit installiert. Zwei User. Der Freizeituser hat keine Adminberechtigungen. Ist zwar kein kugelsicherer Schutz, allerdings können im Zweifel zumindest meine Gäste nichts verkorksen.

Mach besser einen separaten Gastaccount und vermische das nicht einem deiner Useraccounts. Ich bin mir ziemlich sicher, dass Ubuntu irgendwo eine Option für vorkonfigurierte Gastaccounts hat.

Was mir (mit erschrecken) aufgefallen ist, ist das bei Firefox die Funktion . "Fragen, ob Zugangsdaten und Passwörter für Websites gespeichert werden sollen" bei Installation aktiviert ist. Ist ein beträchtliches Sicherheitsrisiko in meinen Augen.

Inwiefern soll das ein Sicherheitsrisiko sein? Lokale Angreifer mit den gleichen Rechten wie dein Useraccount können sowohl deine Eingaben mitschneiden als auch deine gespeicherten Zugangsdaten abgreifen. Es ist exakt gleich sicher.

Und nur als Hinweis: Alle Browser gehen davon aus, dass du dein System per Vollverschlüsselung absicherst, wenn du Sicherheit gegenüber physischem Zugriff auf dein System willst. Vollverschlüsselung ist eine ganz fundamentale Annahme bei Firefox und Chrome. Kein Browser will sich darum auf Anwendungsebene kümmern.

Sooo habe es jetzt soweit installiert. Zwei User. Der Freizeituser hat keine Adminberechtigungen.Was bedeutet das? Dass der andere User dauerhaft als Root unterwegs ist? Jeder User kann doch per su(do) Admin werden.

EDIT: Und sorry, dass ich deinen Thread gekapert habe. :D

MfG
Rooter

Man kann in der /etc/sudoers einstellen, dass bestimme Nutzer kein sudo nutzen dürfen

Was bedeutet das? Dass der andere User dauerhaft als Root unterwegs ist? Jeder User kann doch per su(do) Admin werden.

EDIT: Und sorry, dass ich deinen Thread gekapert habe. :D

MfG
Rooter


Alles Gut. Es ist spannend euch bei der Diskussion zu folgen. ;)

Um mit sudo herumzupfuschen braucht es aber das Adminkennwort.

Keine Platte ins Gehäuse - dafür einen HD-Wechselschacht mit einer Platte pro Sys und dann fröhlich wechseln..

Inwiefern soll das ein Sicherheitsrisiko sein? Lokale Angreifer mit den gleichen Rechten wie dein Useraccount können sowohl deine Eingaben mitschneiden als auch deine gespeicherten Zugangsdaten abgreifen. Es ist exakt gleich sicher.

Und nur als Hinweis: Alle Browser gehen davon aus, dass du dein System per Vollverschlüsselung absicherst, wenn du Sicherheit gegenüber physischem Zugriff auf dein System willst. Vollverschlüsselung ist eine ganz fundamentale Annahme bei Firefox und Chrome. Kein Browser will sich darum auf Anwendungsebene kümmern.

Ist jetzt ne Nooblogik aber wenn ein Angreifer digitalen Zugriff auf meinen Rechner bekommt, hielt es für gefährlicher, wenn die Passwörter hinterlegt sind. Hier erhält er womöglich Zugriff auf alle Passwörter, die ich jemals eingetippt habe. Beim Mitschneiden nur diejenigen, die ich während der Spionage eingebe.

Was deinen Hinweis angeht bin ich ehrlich gesagt kurz erschrocken. Ich habe zuvor immer meine Home Directories verschlüsselt aber nie die gesamte Partition. Befindet sich der Passwortmanager nicht im Home Directory? Die meisten Leute verschlüsseln glaube ich garnichts. Was natürlich nichts entschuldigt... ;)

Was deinen Hinweis angeht bin ich ehrlich gesagt kurz erschrocken. Ich habe zuvor immer meine Home Directories verschlüsselt aber nie die gesamte Partition. Befindet sich der Passwortmanager nicht im Home Directory? Die meisten Leute verschlüsseln glaube ich garnichts. Was natürlich nichts entschuldigt... ;)

Als normaler Benutzer unter Linux kann man ja praktisch nur in /tmp und in sein /home Verzeichnis schreiben.
Also ja die Daten sollten dann verschlüsselt sein.

Ist jetzt ne Nooblogik aber wenn ein Angreifer digitalen Zugriff auf meinen Rechner bekommt, hielt es für gefährlicher, wenn die Passwörter hinterlegt sind. Hier erhält er womöglich Zugriff auf alle Passwörter, die ich jemals eingetippt habe. Beim Mitschneiden nur diejenigen, die ich während der Spionage eingebe.

Was ist ein "digitaler Zugriff"?

Das mag intuitiv vielleicht für dich so aussehen, aber der Umfang des Zugriffs ist praktisch identisch. In den meisten Fällen reicht einem Angreifer sowieso schon dein E-Mail-Passwort.

Was deinen Hinweis angeht bin ich ehrlich gesagt kurz erschrocken. Ich habe zuvor immer meine Home Directories verschlüsselt aber nie die gesamte Partition. Befindet sich der Passwortmanager nicht im Home Directory?

Die Daten werden im Home-Directory abgelegt, ja.

Die meisten Leute verschlüsseln glaube ich garnichts. Was natürlich nichts entschuldigt... ;)

macOS, iOS, Android und Chrome OS nutzen sogar standardmäßig Vollverschlüsselung.