Desktop Linux veilig en verantwoord dichttimmeren

Pagina: 1
Acties:

Vraag


  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Ik houd me al jaren zo nu en dan bezig met Linux, maar ik voel me nog steeds een volstrekte leek.

Ik ben op Youtube filmpjes aan het bekijken naar aanleiding van de zoekopdracht 'secure desktop linux'.

Veel tips gezien, over firewall, apparmor enz.

Een van de tips is dat je toegang tot het root account op allerlei verschillende manieren kunt dicht timmeren.

Nu vraag ik mij af hoe verstandig het is om die Youtubers te vertrouwen en te gaan doen wat ze zeggen.

Ik heb al wel eerder blindelings tips op internet opgevolgd en verkreeg vervolgens een nogal wankele Linux installatie.

Wordt het root account niet op de achtergrond gebruikt voor allerlei taken zoals upgrades van het OS en andere belangrijke zaken voor het systeem?

Alle reacties


Acties:
  • +3 Henk 'm!

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

Welke 'tips' heeft men het specifiek over? Want bij mij is het root account niet op in te loggen. De gebruiker heeft geen wachtwoord. Maar ik kan wel root worden middels verschillende methoden dmv sudo.

Houd er rekening mee dat een uitgeschakelde gebruiker niet gelijk is aan een gebruiker waar niks onder kan draaien. Zie o.a. hoe webservers draaien. Die hebben een gebruiker waaronder het draait, maar kan je ermee inloggen? Nee. Maar je kan wel die gebruiker worden.

Commandline FTW | Tweakt met mate


  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Een paar voorbeelden dan maar:

Deze tip gaat over root toegang blokkeren in het configuratiebestand van SSH:
YouTube: Quick tips to improve Linux Security on your desktop, laptop, or ser... (nog iets verder schuiven naar 05:44 en van daar af kijken).
PermitRootLogin yes veranderen in PermitRootLogin no
Lijkt mij geen kwaad kunnen als ik een simpele Linux desktop user ben die zelf nooit iets met SSH zal doen, maar ik wil dit toch even benoemen hier.

Deze gaat over user management (begint weer met een verhaaltje over root):
YouTube: Quick tips to improve Linux Security on your desktop, laptop, or ser...
Hij heeft het telkens over het disablen van het root account door een regeltje in een bestand aan te passen (vanaf 7:58).

Vanaf 9:44 heeft hij het over gebruikers automatisch uit laten loggen door meerdere gefaalde pogingen om het root wachtwoord te raden.

Acties:
  • +2 Henk 'm!

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

De Debian standaard is al dat inloggen via ssh met root wordt geweigerd met alleen wachtwoord. Het volledig uitzetten, zodat je ook niet met een key-pair kan inloggen kan geen kwaad.

Een regeltje aanpassen in een bestand om root uit te schakelen zal wel /etc/shadow zijn. Hier staan de wachtwoorden, encrypted, in. Met een ! op de juiste plaats schakel je in principe een gebruiker uit. Maar draai je bijvoorbeeld Ubuntu, dan is er geeneens een wachtwoord en staat er al die !. Zie ook de man-page van shadow:
code:
1
2
3
4
5
6
7
8
9
10
11
12
...
           A password field which starts with an exclamation mark means that
           the password is locked. The remaining characters on the line
           represent the password field before the password was locked.

           Refer to crypt(3) for details on how this string is interpreted.

           If the password field contains some string that is not a valid
           result of crypt(3), for instance ! or *, the user will not be able
           to use a unix password to log in (but the user may log in the
           system by other means).
...
Waar ze het dus over hebben is niet echt speciaal. Eerder iets wat 10 jaar geleden wellicht zinvol was, maar tegenwoordig.. nah. Wordt veelal al standaard gedaan.

Commandline FTW | Tweakt met mate


Acties:
  • +5 Henk 'm!

  • kwibox
  • Registratie: Oktober 2022
  • Laatst online: 02:16
@Uruk-Hai Als doorgewinterde Arch gebruiker wil je adviseren je niet zoveel druk te maken over het "dichttimmeren" van je Linux distro. De meeste zijn uit de doos vrij veilig, daarbij heb je natuurlijk ook het voordeel dat 95% van de ellende niet op linuxgebruikers gericht is.

Welke distro gebruik je?

Aan je vragen te merken denk ik dat je leek gevoel terecht is ;)

Ik zou je adviseren om een goede/mainstream, populaire en volwassen distro te gebruiken zoals ubuntu, debian of fedora. Daarbij zoveel mogelijke packages/apps installeren uit de bij de distro geleverde packmanager en niet zelf aan de knutsel met vage zelf gecompilede progsel van internet. Dat betekend dus ook niet zomaar allerlei "tips" op youtube volgen zonder eerst zelf na te denken over wat je aan het doen bent.

Veel youtube flimpjes zijn namelijk niet zo zinvol; de populaire/mainstream Youtubers hebben geen verstand van linux en komen met achterhaalde adviezen die meer schade doen dan voordeel bieden (dan met name schade tav het om zeep helpen van je installatie, niet zozeer onveiliger maken ;)

De echte experts zoeken het namelijk allemaal zelf wel op en hebben geen tijd om er youtube filmpjes over te maken. De youtubers die wel verstand (en tijd!) hebben om uitleg materiaal op youtube te maken, zijn vaak een speciaal soort mensen ( ;) ) imo nogal saaie en droge uitleg fimpjes waar de gemiddelde youtube-consument snel voorbij klikt :+ :+

Lang verhaal kort:
- niet te druk maken over veiligheid op je linux distro; uit de doos zijn ze meestal al behoorlijk veilig als je de standaard instellingen gebruikt
- neem de linux youtubers met een flinke korrel zout, vaak is het "advies" achterhaald en niet nodig
- wil je toch lekker aan het rommel en meer leren over hoe een linux distro is opgebouwd, probeer dan eens zelf een distro samen te stellen of bv arch linux te installeren (https://wiki.archlinux.org/title/Installation_guide). Zo leer hoe je een distro in elkaar zit en wat de verschillende onderdelen (ongeveer) doen. Erg nuttig 8)

Acties:
  • +2 Henk 'm!

  • DVX73
  • Registratie: November 2012
  • Laatst online: 23:58
Als je serieus werk wil maken gebruik je een benchmark bijvoorbeeld CIS, deze kan je hier vinden https://www.cisecurity.org/benchmark/ubuntu_linux

Het is wel even lezen, maar er staat uitgelegd waarom bepaalde settings belangrijk zijn en hoe je deze kan aanpassen.

Zelf voorzie ik al mijn Linux installaties minimaal van een Firewall en wanneer ik SSH gebruik dan doe ik dat met certificaten.

Zolang je systemen niet direct aan het internet hangen zal het risico wel meevallen.

[ Voor 28% gewijzigd door DVX73 op 12-09-2024 01:08 ]


Acties:
  • +2 Henk 'm!

  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

Dichttimmeren voor wie? Andere users?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.


Acties:
  • +2 Henk 'm!

  • vanaalten
  • Registratie: September 2002
  • Laatst online: 22:12
Hero of Time schreef op woensdag 11 september 2024 @ 22:27:
De Debian standaard is al dat inloggen via ssh met root wordt geweigerd met alleen wachtwoord. Het volledig uitzetten, zodat je ook niet met een key-pair kan inloggen kan geen kwaad.
Voor inloggen via SSH moet je toch een SSH server hebben draaien? Als het puur een desktop is waar je niet van buiten in hoeft te kunnen, is het dan niet zinniger om die SSH server compleet te de-installeren?

  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
gambieter schreef op donderdag 12 september 2024 @ 01:14:
Dichttimmeren voor wie? Andere users?
Hackers die op afstand mijn systeem willen overnemen zonder dat ik dat zelf in de gaten heb.

  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Momenteel Linux Mint Cinnamon live sessies vanaf usb stick. Ik heb er nu versie 22 (Wilma) op staan.

Momenteel heb ik nog geen enkele Linux distro vast geïnstalleerd, maar zodra Windows 10 in oktober volgend jaar ophoudt ondersteund te worden met updates: Linux Mint Cinnamon. Mijn pc en laptop ondersteunen officieel geen Windows 11 en ik ben erg zuinig met mijn hardware, dus voor mij is Linux echt een uitkomst.

Ik speel trouwens al zeker 20 jaar zo nu en dan met Linux. Mijn eerste distro was Corel Linux (toen nog op cd-rom bij een computerblad geleverd).

Ik heb in de afgelopen jaren Linux Mint al eens een meerdere keren een maandje (soms 3 maanden en Ubuntu zelfs een keer een heel jaar) op mijn pc gezet in plaats van Windows om te achterhalen hoe ik hem het beste naar mijn persoonlijke voorkeuren kan laten werken. Ik heb mijn bevindingen ondergebracht in een spreadsheet die ik er bij pak als ik hem definitief ga installeren.

Als ik een nieuwe pc en laptop ga kopen is de kans heel erg groot dat ik die zonder OS of met Linux voorgeïnstalleerd neem omdat ik me ook wel ga redden met een VM met daarin Windows 10 om die zo heel nu en dan op te starten voor programma's die het gewoon niet doen op Linux.

Acties:
  • +1 Henk 'm!

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

DVX73 schreef op donderdag 12 september 2024 @ 01:04:
Zelf voorzie ik al mijn Linux installaties minimaal van een Firewall en wanneer ik SSH gebruik dan doe ik dat met certificaten.
Denk dat je key pair bedoelt ipv certificaten. Een RSA key die je voor SSH gebruikt is namelijk toch wel wat anders dan een certificaat die je voor webservers gebruikt. ;)
vanaalten schreef op donderdag 12 september 2024 @ 08:55:
[...]

Voor inloggen via SSH moet je toch een SSH server hebben draaien? Als het puur een desktop is waar je niet van buiten in hoeft te kunnen, is het dan niet zinniger om die SSH server compleet te de-installeren?
Dat ook. Mijn installaties krijgen openssh-server, maar standaard hebben ze dat niet. Ik heb al zo lang geen standaard installatie meer gedaan, dat ik ook niet weet of een desktop installatie überhaupt openssh-server installeert of niet.
Uruk-Hai schreef op donderdag 12 september 2024 @ 18:45:
[...]

Hackers die op afstand mijn systeem willen overnemen zonder dat ik dat zelf in de gaten heb.
Die gebruiken hele andere methoden. Hoe denk je dat ze Windows weten te infecteren met troep? Niet omdat RDP toevallig beschikbaar is, want de meeste thuis gebruikers die de pineut zijn draaien Windows Home, zonder RDP server functionaliteit.

Als een hacker je te grazen weet te nemen, moet je toch eerst zelf ergens op hebben geklikt om een bepaalde exploit te triggeren. Als je systeem gewoon aan staat zonder programma's open (maar wel ingelogd), kom je echt niet zomaar van afstand erin.

Commandline FTW | Tweakt met mate


  • martyw
  • Registratie: Januari 2018
  • Laatst online: 02:15
Hero of Time schreef op donderdag 12 september 2024 @ 19:40:
[...]

Dat ook. Mijn installaties krijgen openssh-server, maar standaard hebben ze dat niet. Ik heb al zo lang geen standaard installatie meer gedaan, dat ik ook niet weet of een desktop installatie überhaupt openssh-server installeert of niet.
Ubuntu installeert het standaard niet. En inderdaad, de beste tip is zo min mogelijk aanvalsmogelijkheden te hebben, voor zover ik weet doen de meeste standaard desktop distros dat voor je. Op een huis, tuin en keuken desktop hebben ssh servers niets te zoeken.

Acties:
  • +1 Henk 'm!

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
Zolang je een firewall hebt en alles dicht is, kan niemand op afstand er in.

Dan blijven alleen lokale toegang factoren van toepassing:
- een app op je pc
- de dataopslag uit je pc schroeven en in een andere pc uitlezen

Focus je daarop hoe veilig dat moet zijn.

Maak je niet druk, dat doet de compressor maar


Acties:
  • +2 Henk 'm!

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

DJMaze schreef op vrijdag 13 september 2024 @ 10:45:
Zolang je een firewall hebt en alles dicht is, kan niemand op afstand er in.
Dat is niet helemaal waar. Je kan inbound compleet dicht zetten, maar als het wel naar binnen mag als het gerelateerd is aan verkeer dat eerder al uit ging, is je beveiliging al omzeild. Zie maar hoe tools als Teamviewer en Anydesk werken. Je systeem is over te nemen zonder ook maar een port forward of wat dan ook te doen. Dit omdat de software op je systeem een verbinding naar buiten maakt en daar wordt op meegelift om naar binnen te kunnen. Als je dat ook al afsluit, ga je niks kunnen, want zelfs websites zullen niet meer kunnen laden. ;)

Commandline FTW | Tweakt met mate


  • DJMaze
  • Registratie: Juni 2002
  • Niet online
@Hero of Time Maar dat is toch wat ik zeg.
"een app op je pc" dat is dus bijvoorbeeld Teamviewer 😉

Maak je niet druk, dat doet de compressor maar


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

DJMaze schreef op zaterdag 14 september 2024 @ 14:47:
@Hero of Time Maar dat is toch wat ik zeg.
"een app op je pc" dat is dus bijvoorbeeld Teamviewer 😉
Maar dat kan ook een ander programma zijn dat niet een constante verbinding naar buiten heeft, maar wel vatbare libraries heeft/bevat die remote misbruikt kunnen worden. Zie bijvoorbeeld code exploitaties in o.a. Office waarmee verhoogde machtigingen verkregen kan worden. Of een buffer overflow bij een webserver.

Commandline FTW | Tweakt met mate


  • DJMaze
  • Registratie: Juni 2002
  • Niet online
@Hero of Time hoever wil je de diepte in?
We praten hier over een Linux desktop, geen server of Windows OS.
Dan kan ts nog beter alles virtualiseren en de internetverbinding er uit laten.
Blijft alleen USB en bluetooth als aanvalopties over.
Oh ja, en uit onderzoek is het mogelijk gebleken om ook een PC uit te lezen via geluidsgolven...

Maak je niet druk, dat doet de compressor maar


Acties:
  • +1 Henk 'm!

  • jnr24
  • Registratie: Oktober 2004
  • Laatst online: 02-06 14:08
Ik ben het eens met @kwibox de meeste tips van dit soort 'youtube nerds met goede looks en leuke studioruimte' zijn allang afgevangen door de goede distro's. Het feit alleen al dat nano wordt gebruikt om een textbestand te bewerken doet de wenkbrauwen stijgen ;)

Het echt probleem is meestal niet de bruteforce hacker op je wachtwoord, TS geeft al aan geen SSH server open te hebben, dus dat is het punt niet.
Heb je deze wel dan kan je de boel nog aardig afvangen met complexe wachtwoorden of nog liever sleutelparen.

ip2ban is ook wel een goed extra slot op een willekeurig systeem.

De 'hacker' moet natuurlijk niet het root wachtwoord raden, maar als je normale gebruiker wordt gekraakt die een browser met wachtwoorddatabase en allerlei documenten op het systeem heeft dan ben je net zo goed de pineut.

Het grote probleem zijn eigenlijk de 'geautomatiseerde aanvallen'. Virus/trojan achtige software, die bijvoorbeeld je slecht beveiligde webcam inkruipt, vervolgens lukt het met allerlei aanvallen op je lokale netwerk om een boosaardig bestandje of datapakketje op je linux systeem te krijgen die een lek in het systeem misbruikt om zichzelf root of een andere rechten toe te bedelen.

Dat de standaard shell van root 'nologin' is maakt dan eigenlijk al niet meer uit. Het lek in de software, bijvoorbeeld de kernel, zit dan al zo diep dat seconden later een rootkit is geinstalleerd die daadwerkelijk alle mogelijkheden geeft aan de aanvaller. Het systeem staat nu letterlijk te wachten of er datadiefstal of een ddos gedaan moet worden, een randsomaanval of gewoon niets...
Was er een lek in bijvoorbeeld alleen maar de browser, dan is je systeem zelf nog wel veilig, maar alles wat je met je browser doet en kan ligt dan op straat, nog steeds erg vervelend. Hetzelfde geldt voor een Teamviewer/RDP achtige oplossing.

Wat is dan wel veilig? Veel updaten, niet teveel troep installeren of laten draaien, opletten op gare netwerkapparatuur in je netwerk (zoals oude printers en webcams) en letop op routerfuncties zoals UPNP en portforwards die je ooit eens hebt ingesteld.

Je kan nog overwegen om bepaalde zaken dingen zoals belasting- en bankzaken, kopietjes van belangrijke documenten e.d. niet op je 'dagelijkse systeem' te zetten.. Bijvoorbeeld een versleutelde netwerkschijf, virtual machine of zelfs apart laptopje kan dan een idee zijn.

Stel dat de aanval binnenstormt en je hebt het pas binnen 2 weken door dan is er een kleine kans dat die beveiligde schijf of apart systeem nog niet besmet/gekraakt is, puur omdat je die niet hebt ingeschakeld, er geen kabel in zat of je wachtwoord nog niet is afgeluisterd.

  • kwibox
  • Registratie: Oktober 2022
  • Laatst online: 02:16
Let er wel op dat als je richting meer 'paranoide' (zo noem ik het maar even) zoals je belangrijke data op een versleutelde partitie opslaan, je zeker moet nadeken over de zwakste schakel.

De gebruiker: jij of ik

Die zal zn wachtwoord wellicht vergeten (zodat ie er niet meer bij kan), hergebruiken of onveilig opslaan (opschrijven op n blaadje).

Dat maakt dus dat je je goed moet beseffen dat zulke maatregelen alleen zin hebben als je die dicipline ook hebt die op de juiste manier te gebruiken, ook al is het in de basis een goede beveiligingsmaatregel.

Daarom blijft mijn advies met name om het simpel te houden en je distro in te richten en te gebruiken zoals de samenstellers bedacht hebben. Inzicht in hoe precies het linux ecosysteem in elkaar zit kan je vervolgens helpen om zelf goed en doordachte keuzes te maken mbt mogelijke zwakke punten en potentiele maatregelen. Zo heeft (volgens mij) ubuntu standaard encryptie van de /home partitie (toch?).

[ Voor 28% gewijzigd door kwibox op 15-09-2024 12:13 ]


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

We kunnen heel diep gaan, maar dat is niet echt nuttig in dit topic. Het is denk al snel de TS' pet te boven gegaan met een paar dingen. :P

Commandline FTW | Tweakt met mate


  • jnr24
  • Registratie: Oktober 2004
  • Laatst online: 02-06 14:08
kwibox schreef op zaterdag 14 september 2024 @ 20:35:
Let er wel op dat als je richting meer 'paranoide' (zo noem ik het maar even) zoals je belangrijke data op een versleutelde partitie opslaan, je zeker moet nadeken over de zwakste schakel.

De gebruiker: jij of ik

Die zal zn wachtwoord wellicht vergeten (zodat ie er niet meer bij kan), hergebruiken of onveilig opslaan (opschrijven op n blaadje).

.... Zo heeft (volgens mij) ubuntu standaar encryptie van de /home partitie (toch?).
Een wachtwoord op een blaadje (liever discreet boekje) in je in eigen huis vind ik nog goed uit te leggen ;)

De /home/ folders zijn inderdaad versleuteld, maar helaas ook gekoppeld aan de actieve ingelogde gebruiker en anders is dat met een foploginscherm snel geregeld.

Een veilig systeem is net als het leven. Je moet niet met een helm op onder je bed blijven.

Acties:
  • 0 Henk 'm!

  • eheijnen
  • Registratie: Juli 2008
  • Niet online
@Uruk-Hai

Als je graag wat meer wil doen met Linux is het best goed om daar eens een boek bij te nemen. Daar kun je alleen maar wijzer van worden.

JijBuis en het web is leuk en ook best handig (doen we allemaal) maar in de grotere context veelal onsamenhangend. Je leert dan wel een stukje of lost er een specifiek probleem mee op maar vaak ontbreekt onderliggende kennis waardoor het inzicht niet versterkt wordt.

Een kort voorbeeld om eens te kijken naar wat voor jou van belang zou kunnen zijn:
https://www.guru99.com/nl/best-linux-books-beginners.html

Wie du mir, so ich dir.


Acties:
  • 0 Henk 'm!

  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Ik heb gisteravond mijn bookmarks opgeschoond en opnieuw geordend en ben deze website tegen gekomen:
https://makkelijkelinuxtips.blogspot.com/p/1.html
Daar staat een actuele pagina op over Linux en veiligheid:
https://makkelijkelinuxtips.blogspot.com/p/veiligheid.html

Verder sprong deze verouderde link over veiligheid in het algemeen in het oog:
https://decorrespondent.n...c7-0ce4-0c7e-73b142f763a2

Ik denk dat ik me daar voorlopig wel mee ga redden.

Iedereen bedankt voor alle adviezen tot dusver.

Acties:
  • 0 Henk 'm!

  • Tyr4el
  • Registratie: Juli 2011
  • Laatst online: 22:06
kwibox schreef op donderdag 12 september 2024 @ 00:38:
@Uruk-Hai Als doorgewinterde Arch gebruiker wil je adviseren je niet zoveel druk te maken over het "dichttimmeren" van je Linux distro. De meeste zijn uit de doos vrij veilig, daarbij heb je natuurlijk ook het voordeel dat 95% van de ellende niet op linuxgebruikers gericht is.
Arch kenmerkt zichzelf juist door het feit dat het "schoon" is er daarmee geen poespas of wat dan ook geconfigureerd heeft staan. Dus ook niet de basisdingen op het gebied van veiligheid. Dus dat Arch "out-of-the-box" veilig is, is dus echt onzin.

Wel is het zo dat Linux desktops over het algemeen minder in het vizier zijn aangezien ze hooguit een procentje van het totale marktaandeel beslaan. Daardoor is het voor kwaadwillenden vaak de moeite niet om daar moeite in te steken. Om die reden is het een geaccepteerd risico om bijvoorbeeld het gebruik van een virusscanner achterwege te laten ook al zijn ze er wel en kun je ze configureren.

Aangezien TS hier heeft over beveiliging in de context van desktops, is het hardenen van de sshd daemon niet nodig. Veel desktops hebben namelijk de daemon niet eens draaien of geïnstalleerd staan. Het is een desktop, geen server.

Op zich staat in de link die je hebt gebruikt redelijk veel tips die overigens voor iedereen gelden. Lees: browser up to date houden en vooral niet op shady websites komen, onzin downloaden & uitkijken met macro's voor spreadsheets.

Daarnaast zou ik je adviseren om een firewall te configureren wat toch een extra layer of security is. Kijk naar firewalld of ufw. Beiden zijn goed. Verder is er nog één tooltje dat de beveiliging van je desktop enorm verbeterd namelijk SELinux. SELinux regelt Mandatory Access Control . Bijvoorbeeld: mag programma x toegang krijgen tot de /home directory. Dus zelfs als programma x gecompromitteerd wordt, heeft het slechts beperkt toegang omdat SELinux het e.e.a. afschermt. SELinux is wel ingewikkeld dus niet voor een leek. Anderzijds is het out of the box geïnstalleerd op Fedora en is het redelijk mature. Een vergelijkbaar product is AppArmor, ontwikkeld door de makers van Ubuntu.

Je kunt ook nog overwegen om software in sandbox environment te draaien. Hiervoor heb je flatpak en snaps. Opzich kun je ook wel gebruik maken van de packages die je installeert via de package manager als je een veelgebruikte distributie gebruikt zoals Arch, Fedora of Debian. Pas met name op voor repositories van communitygroepen.

Edit: dat artikel van de Correspondent is verouderd. Er staan ook geen tips in voor Linux, wel algemene browsertips. Maar privacy badger is verouderd. Tegenwoordig gebruikt men ublock origin. Https everywhere zit ingebakken in de browser. Heb je geen extensie voor nodig. Voor up to date informatie zou ik de guide van Daniel vd Laan doornemen -> laatjeniethackmaken.nl

[ Voor 6% gewijzigd door Tyr4el op 01-10-2024 13:57 ]


Acties:
  • 0 Henk 'm!

  • kwibox
  • Registratie: Oktober 2022
  • Laatst online: 02:16
@Tyr4el ik doe ook geen enkele bewering over Arch (of een specifieke distro uberhaupt). Daarnaast is Arch zeker niet een distro die je zo maar onder "de meeste" kan scharen. Lezen is een kunst...

(Arch heeft zeker wel redelijk sensible/veilige standaardinstellingen, dus uberhaupt snijd je bewering geen hout, maar das niet mijn punt)

Ik verwijs wel naar de wiki die goed leesvoer heeft en adviezen mbt veiligheid, die ook voor andere distro's gelden (bv https://wiki.archlinux.org/title/Security). Laatjeniethacken.nl is natuurlijk prima leesvoer, maar geeft wel wat weinig concreet advies die specifiek voor linux based distro's van toepassing is en is misschien wat onder niveau voor @Uruk-Hai.

[ Voor 11% gewijzigd door kwibox op 01-10-2024 15:26 ]


Acties:
  • 0 Henk 'm!

  • Tyr4el
  • Registratie: Juli 2011
  • Laatst online: 22:06
Nja je hebt Debian based, Ubuntu based (= eigenlijk Debian) en Arch based distribututies. Dat zijn toch de meest voorkomende Linux desktop distro's. Arch is best populair onder desktop gebruik. Volgens de Steam survey is Arch na Steam OS (gebaseerd op Arch) ook de meest voorkomende distributie. Je zegt ook zelf "als doorgewinterde Arch gebruiker" waarmee je inderdaad niet iets zegt maar wel impliceert. Arch is echt al lang geen niche meer, al heel lang niet.

Het is een kale distributie. Dat is bewust zo gedaan, je kun het helemaal inrichten zoals jij wil. Dat gaat dus wel ten koste van de standaard security features. Dit kun je uiteraard zelf installeren en configureren maar voor een beginner is dit niet aan te raden want je ziet door de bomen het bos niet meer.

Acties:
  • 0 Henk 'm!

  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Ik denk dat ik me niet bezig ga houden met Arch Linux, ook al spreekt zo'n minimalistische installatie me op zich wel aan. Dit filmpje met deze bijbehorende uitleg vind ik erg verhelderend. Dat Arch een rolling release distro is spreekt me ook wel aan. Maar ik denk toch dat ik hem links laat liggen.

De distributie die mij persoonlijk de laatste jaren het meeste aanspreekt is Linux Mint. Dat heb ik eind 2023 al eens een maandje of drie geïnstalleerd gehad op mijn pc en ik kan er echt alles mee dat ik wil. Als ik de hoeveelheid applicaties op mijn Linux installatie wil minimaliseren kan ik dat ook bereiken met de-installeren.

Acties:
  • 0 Henk 'm!

  • !nFerNo
  • Registratie: Juni 2007
  • Laatst online: 27-03 14:45
Ik zou het eens een kans geven, maar gebruik archinstall, die neemt eigl all die stappen weg. Boot de gewone installatiemedia, dan "archinstall" runnen. Manuele configuratie zoals in het filmpje kan nog als je dat wil, maar hoeft niet dankzij archinstall.

Mijn Arch installatie is van 2019 en heeft al vele grote updates meegemaakt (GNOME, etc).

OpenSUSE Tumbleweed is ook rolling release, ik geef het maar mee.

Acties:
  • 0 Henk 'm!

  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Terug komend op mijn vraag over de veiligheid van een desktop Linux distributie: welke zijn over het algemeen veiliger, de rolling release distributies of degenen die dat niet zijn?

Acties:
  • 0 Henk 'm!

  • Cyphax
  • Registratie: November 2000
  • Laatst online: 23:54

Cyphax

Moderator LNX
Uruk-Hai schreef op woensdag 2 oktober 2024 @ 11:54:
Terug komend op mijn vraag over de veiligheid van een desktop Linux distributie: welke zijn over het algemeen veiliger, de rolling release distributies of degenen die dat niet zijn?
Dat zou niet uit moeten maken. De vraag is hoofdzakelijk hoe snel patches worden doorgevoerd. Ik weet niet precies welke distro sneller is dan de ander maar zolang je je niet actief abonneert op security mailing lists oid maakt het weinig uit imho. Vertrouw gewoon op veelgebruikte distributies.

Saved by the buoyancy of citrus


Acties:
  • 0 Henk 'm!

  • pporrio
  • Registratie: Februari 2010
  • Laatst online: 23:00
Precies wat @Cyphax hierboven zegt. De snelheid waarmee patches worden doorgevoerd is van groot belang. Die bepaalt namelijk hoe lang een potentiële kwetsbaarheid kan worden uitgebuit. Ik moet dan gelijk terugdenken aan de XZ Utils backdoor begin dit jaar. Je was toen beter af met een stable release, dan een rolling release.

De rolling releases (o.a. OpenSUSE Tumbleweed en Fedora) hadden de nieuwe, kwetsbare versie van het pakket al binnengehaald, terwijl Debian stable bijvoorbeeld, nog met een oudere, niet-kwetsbare versie draaide.

Uiteraard komt andersom ook voor, dat er een oude, kwetsbare versie in de stable release zit en de rolling releases al een nieuwe versie hebben ontvangen waarin de kwetsbaarheid niet meer zit.

[ Voor 14% gewijzigd door pporrio op 02-10-2024 14:10 ]

Mijn platencollectie


Acties:
  • 0 Henk 'm!

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

pporrio schreef op woensdag 2 oktober 2024 @ 13:27:
Uiteraard komt andersom ook voor, dat er een oude, kwetsbare versie in de stable release zit en de rolling releases al een nieuwe versie hebben ontvangen waarin de kwetsbaarheid niet meer zit.
Daar moet wel de kanttekening bij gemaakt worden dat veel distro's zoals Debian fixes backporten middels een patch in de versie die ze al leveren. Zo zijn er genoeg security scans die helemaal los gaan omdat ze een specifieke Apache of Nginx versie zien, maar geen flauw idee hebben welke fixes er zijn gebackport waardoor het effectief geen probleem is.

Commandline FTW | Tweakt met mate


Acties:
  • 0 Henk 'm!

  • aawe mwan
  • Registratie: December 2002
  • Laatst online: 23:12

aawe mwan

Wat ook leuk is:

Uruk-Hai schreef op woensdag 2 oktober 2024 @ 11:54:
welke zijn over het algemeen veiliger, de rolling release distributies of degenen die dat niet zijn?
Daarvoor kan je de „LTS release” nemen: de nieuwste software met nieuwe nog onbekende vulnerabilities zit daar niet in (en komt er meestal ook niet vanzelf in), maar je krijgt wel securityupdates.

Om bij te blijven, kan je upgraden naar de volgende LTS release, zodra daarvan de .1 versie verschenen is.

[ Voor 11% gewijzigd door aawe mwan op 02-10-2024 19:08 ]

„Ik kan ook ICT, want heel moeilijk is dit niet”


Acties:
  • +1 Henk 'm!

  • Uruk-Hai
  • Registratie: April 2003
  • Laatst online: 05-06 02:38
Als ik even puur kijk naar de websites van Linux Mint en ZorinOS, dan gaat alleen op basis daarvan wat veiligheid betreft mijn voorkeur uit naar Linux Mint. Waarom?

Omdat op de website van Linux Mint een duidelijke link naar de release notes en dat dan ook nog per editie. Daar staat bovenaan het belangrijkste dat ik als gebruiker wil weten: tot wanneer de versie ondersteund wordt met beveiligingsupdates.

Bovendien krijg je op de website van Linux Mint een hash om de download te controleren, dat zie ik op de website van ZorinOS ook nergens. Dat vind ik erg storend en slordig.

Wat dat betreft gaat mijn voorkeur uit naar een rolling release distributie, dan hoef ik niet meer op de update termijn te letten. Ik heb Fedora Workstation gisteravond als eerste getest, eerst in een VM en vervolgens vanaf usb stick op mijn echte pc en die vond ik erg traag. Linux Mint Cinnamon werkt bij mij veel sneller.

Vanavond ga ik OpenSuse Tumbleweed uitproberen.

Update:
Oepsie, ik zag net pas dat Fedora Workstation geen rolling release is.

[ Voor 15% gewijzigd door Uruk-Hai op 02-10-2024 19:36 ]

Pagina: 1