Desktop Linux veilig en verantwoord dichttimmeren

Welke 'tips' heeft men het specifiek over? Want bij mij is het root account niet op in te loggen. De gebruiker heeft geen wachtwoord. Maar ik kan wel root worden middels verschillende methoden dmv sudo.

Houd er rekening mee dat een uitgeschakelde gebruiker niet gelijk is aan een gebruiker waar niks onder kan draaien. Zie o.a. hoe webservers draaien. Die hebben een gebruiker waaronder het draait, maar kan je ermee inloggen? Nee. Maar je kan wel die gebruiker worden.

De Debian standaard is al dat inloggen via ssh met root wordt geweigerd met alleen wachtwoord. Het volledig uitzetten, zodat je ook niet met een key-pair kan inloggen kan geen kwaad.

Een regeltje aanpassen in een bestand om root uit te schakelen zal wel /etc/shadow zijn. Hier staan de wachtwoorden, encrypted, in. Met een ! op de juiste plaats schakel je in principe een gebruiker uit. Maar draai je bijvoorbeeld Ubuntu, dan is er geeneens een wachtwoord en staat er al die !. Zie ook de man-page van shadow:

code:

1 2 3 4 5 6 7 8 9 10 11 12

... A password field which starts with an exclamation mark means that the password is locked. The remaining characters on the line represent the password field before the password was locked. Refer to crypt(3) for details on how this string is interpreted. If the password field contains some string that is not a valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in (but the user may log in the system by other means). ...

Waar ze het dus over hebben is niet echt speciaal. Eerder iets wat 10 jaar geleden wellicht zinvol was, maar tegenwoordig.. nah. Wordt veelal al standaard gedaan.

@Uruk-Hai Als doorgewinterde Arch gebruiker wil je adviseren je niet zoveel druk te maken over het "dichttimmeren" van je Linux distro. De meeste zijn uit de doos vrij veilig, daarbij heb je natuurlijk ook het voordeel dat 95% van de ellende niet op linuxgebruikers gericht is.

Welke distro gebruik je?

Aan je vragen te merken denk ik dat je leek gevoel terecht is

Ik zou je adviseren om een goede/mainstream, populaire en volwassen distro te gebruiken zoals ubuntu, debian of fedora. Daarbij zoveel mogelijke packages/apps installeren uit de bij de distro geleverde packmanager en niet zelf aan de knutsel met vage zelf gecompilede progsel van internet. Dat betekend dus ook niet zomaar allerlei "tips" op youtube volgen zonder eerst zelf na te denken over wat je aan het doen bent.

Veel youtube flimpjes zijn namelijk niet zo zinvol; de populaire/mainstream Youtubers hebben geen verstand van linux en komen met achterhaalde adviezen die meer schade doen dan voordeel bieden (dan met name schade tav het om zeep helpen van je installatie, niet zozeer onveiliger maken

De echte experts zoeken het namelijk allemaal zelf wel op en hebben geen tijd om er youtube filmpjes over te maken. De youtubers die wel verstand (en tijd!) hebben om uitleg materiaal op youtube te maken, zijn vaak een speciaal soort mensen ( ) imo nogal saaie en droge uitleg fimpjes waar de gemiddelde youtube-consument snel voorbij klikt

Lang verhaal kort:
- niet te druk maken over veiligheid op je linux distro; uit de doos zijn ze meestal al behoorlijk veilig als je de standaard instellingen gebruikt
- neem de linux youtubers met een flinke korrel zout, vaak is het "advies" achterhaald en niet nodig
- wil je toch lekker aan het rommel en meer leren over hoe een linux distro is opgebouwd, probeer dan eens zelf een distro samen te stellen of bv arch linux te installeren (https://wiki.archlinux.org/title/Installation_guide). Zo leer hoe je een distro in elkaar zit en wat de verschillende onderdelen (ongeveer) doen. Erg nuttig

Als je serieus werk wil maken gebruik je een benchmark bijvoorbeeld CIS, deze kan je hier vinden https://www.cisecurity.org/benchmark/ubuntu_linux

Het is wel even lezen, maar er staat uitgelegd waarom bepaalde settings belangrijk zijn en hoe je deze kan aanpassen.

Zelf voorzie ik al mijn Linux installaties minimaal van een Firewall en wanneer ik SSH gebruik dan doe ik dat met certificaten.

Zolang je systemen niet direct aan het internet hangen zal het risico wel meevallen.

[ Voor 28% gewijzigd door DVX73 op 12-09-2024 01:08 ]

Dichttimmeren voor wie? Andere users?

Hero of Time schreef op woensdag 11 september 2024 @ 22:27:
De Debian standaard is al dat inloggen via ssh met root wordt geweigerd met alleen wachtwoord. Het volledig uitzetten, zodat je ook niet met een key-pair kan inloggen kan geen kwaad.

Voor inloggen via SSH moet je toch een SSH server hebben draaien? Als het puur een desktop is waar je niet van buiten in hoeft te kunnen, is het dan niet zinniger om die SSH server compleet te de-installeren?

DVX73 schreef op donderdag 12 september 2024 @ 01:04:
Zelf voorzie ik al mijn Linux installaties minimaal van een Firewall en wanneer ik SSH gebruik dan doe ik dat met certificaten.

Denk dat je key pair bedoelt ipv certificaten. Een RSA key die je voor SSH gebruikt is namelijk toch wel wat anders dan een certificaat die je voor webservers gebruikt.

vanaalten schreef op donderdag 12 september 2024 @ 08:55:
[...]

Voor inloggen via SSH moet je toch een SSH server hebben draaien? Als het puur een desktop is waar je niet van buiten in hoeft te kunnen, is het dan niet zinniger om die SSH server compleet te de-installeren?

Dat ook. Mijn installaties krijgen openssh-server, maar standaard hebben ze dat niet. Ik heb al zo lang geen standaard installatie meer gedaan, dat ik ook niet weet of een desktop installatie überhaupt openssh-server installeert of niet.

Uruk-Hai schreef op donderdag 12 september 2024 @ 18:45:
[...]

Hackers die op afstand mijn systeem willen overnemen zonder dat ik dat zelf in de gaten heb.

Die gebruiken hele andere methoden. Hoe denk je dat ze Windows weten te infecteren met troep? Niet omdat RDP toevallig beschikbaar is, want de meeste thuis gebruikers die de pineut zijn draaien Windows Home, zonder RDP server functionaliteit.

Als een hacker je te grazen weet te nemen, moet je toch eerst zelf ergens op hebben geklikt om een bepaalde exploit te triggeren. Als je systeem gewoon aan staat zonder programma's open (maar wel ingelogd), kom je echt niet zomaar van afstand erin.

Hero of Time schreef op donderdag 12 september 2024 @ 19:40:
[...]

Dat ook. Mijn installaties krijgen openssh-server, maar standaard hebben ze dat niet. Ik heb al zo lang geen standaard installatie meer gedaan, dat ik ook niet weet of een desktop installatie überhaupt openssh-server installeert of niet.

Ubuntu installeert het standaard niet. En inderdaad, de beste tip is zo min mogelijk aanvalsmogelijkheden te hebben, voor zover ik weet doen de meeste standaard desktop distros dat voor je. Op een huis, tuin en keuken desktop hebben ssh servers niets te zoeken.

Zolang je een firewall hebt en alles dicht is, kan niemand op afstand er in.

Dan blijven alleen lokale toegang factoren van toepassing:
- een app op je pc
- de dataopslag uit je pc schroeven en in een andere pc uitlezen

Focus je daarop hoe veilig dat moet zijn.

DJMaze schreef op vrijdag 13 september 2024 @ 10:45:
Zolang je een firewall hebt en alles dicht is, kan niemand op afstand er in.

Dat is niet helemaal waar. Je kan inbound compleet dicht zetten, maar als het wel naar binnen mag als het gerelateerd is aan verkeer dat eerder al uit ging, is je beveiliging al omzeild. Zie maar hoe tools als Teamviewer en Anydesk werken. Je systeem is over te nemen zonder ook maar een port forward of wat dan ook te doen. Dit omdat de software op je systeem een verbinding naar buiten maakt en daar wordt op meegelift om naar binnen te kunnen. Als je dat ook al afsluit, ga je niks kunnen, want zelfs websites zullen niet meer kunnen laden.

@Hero of Time Maar dat is toch wat ik zeg.
"een app op je pc" dat is dus bijvoorbeeld Teamviewer 😉

DJMaze schreef op zaterdag 14 september 2024 @ 14:47:
@Hero of Time Maar dat is toch wat ik zeg.
"een app op je pc" dat is dus bijvoorbeeld Teamviewer 😉

Maar dat kan ook een ander programma zijn dat niet een constante verbinding naar buiten heeft, maar wel vatbare libraries heeft/bevat die remote misbruikt kunnen worden. Zie bijvoorbeeld code exploitaties in o.a. Office waarmee verhoogde machtigingen verkregen kan worden. Of een buffer overflow bij een webserver.

@Hero of Time hoever wil je de diepte in?
We praten hier over een Linux desktop, geen server of Windows OS.
Dan kan ts nog beter alles virtualiseren en de internetverbinding er uit laten.
Blijft alleen USB en bluetooth als aanvalopties over.
Oh ja, en uit onderzoek is het mogelijk gebleken om ook een PC uit te lezen via geluidsgolven...

Ik ben het eens met @kwibox de meeste tips van dit soort 'youtube nerds met goede looks en leuke studioruimte' zijn allang afgevangen door de goede distro's. Het feit alleen al dat nano wordt gebruikt om een textbestand te bewerken doet de wenkbrauwen stijgen

Het echt probleem is meestal niet de bruteforce hacker op je wachtwoord, TS geeft al aan geen SSH server open te hebben, dus dat is het punt niet.
Heb je deze wel dan kan je de boel nog aardig afvangen met complexe wachtwoorden of nog liever sleutelparen.

ip2ban is ook wel een goed extra slot op een willekeurig systeem.

De 'hacker' moet natuurlijk niet het root wachtwoord raden, maar als je normale gebruiker wordt gekraakt die een browser met wachtwoorddatabase en allerlei documenten op het systeem heeft dan ben je net zo goed de pineut.

Het grote probleem zijn eigenlijk de 'geautomatiseerde aanvallen'. Virus/trojan achtige software, die bijvoorbeeld je slecht beveiligde webcam inkruipt, vervolgens lukt het met allerlei aanvallen op je lokale netwerk om een boosaardig bestandje of datapakketje op je linux systeem te krijgen die een lek in het systeem misbruikt om zichzelf root of een andere rechten toe te bedelen.

Dat de standaard shell van root 'nologin' is maakt dan eigenlijk al niet meer uit. Het lek in de software, bijvoorbeeld de kernel, zit dan al zo diep dat seconden later een rootkit is geinstalleerd die daadwerkelijk alle mogelijkheden geeft aan de aanvaller. Het systeem staat nu letterlijk te wachten of er datadiefstal of een ddos gedaan moet worden, een randsomaanval of gewoon niets...
Was er een lek in bijvoorbeeld alleen maar de browser, dan is je systeem zelf nog wel veilig, maar alles wat je met je browser doet en kan ligt dan op straat, nog steeds erg vervelend. Hetzelfde geldt voor een Teamviewer/RDP achtige oplossing.

Wat is dan wel veilig? Veel updaten, niet teveel troep installeren of laten draaien, opletten op gare netwerkapparatuur in je netwerk (zoals oude printers en webcams) en letop op routerfuncties zoals UPNP en portforwards die je ooit eens hebt ingesteld.

Je kan nog overwegen om bepaalde zaken dingen zoals belasting- en bankzaken, kopietjes van belangrijke documenten e.d. niet op je 'dagelijkse systeem' te zetten.. Bijvoorbeeld een versleutelde netwerkschijf, virtual machine of zelfs apart laptopje kan dan een idee zijn.

Stel dat de aanval binnenstormt en je hebt het pas binnen 2 weken door dan is er een kleine kans dat die beveiligde schijf of apart systeem nog niet besmet/gekraakt is, puur omdat je die niet hebt ingeschakeld, er geen kabel in zat of je wachtwoord nog niet is afgeluisterd.

Let er wel op dat als je richting meer 'paranoide' (zo noem ik het maar even) zoals je belangrijke data op een versleutelde partitie opslaan, je zeker moet nadeken over de zwakste schakel.

De gebruiker: jij of ik

Die zal zn wachtwoord wellicht vergeten (zodat ie er niet meer bij kan), hergebruiken of onveilig opslaan (opschrijven op n blaadje).

Dat maakt dus dat je je goed moet beseffen dat zulke maatregelen alleen zin hebben als je die dicipline ook hebt die op de juiste manier te gebruiken, ook al is het in de basis een goede beveiligingsmaatregel.

Daarom blijft mijn advies met name om het simpel te houden en je distro in te richten en te gebruiken zoals de samenstellers bedacht hebben. Inzicht in hoe precies het linux ecosysteem in elkaar zit kan je vervolgens helpen om zelf goed en doordachte keuzes te maken mbt mogelijke zwakke punten en potentiele maatregelen. Zo heeft (volgens mij) ubuntu standaard encryptie van de /home partitie (toch?).

[ Voor 28% gewijzigd door kwibox op 15-09-2024 12:13 ]

DJMaze schreef op zaterdag 14 september 2024 @ 19:32:
@Hero of Time hoever wil je de diepte in?

We kunnen heel diep gaan, maar dat is niet echt nuttig in dit topic. Het is denk al snel de TS' pet te boven gegaan met een paar dingen.

kwibox schreef op zaterdag 14 september 2024 @ 20:35:
Let er wel op dat als je richting meer 'paranoide' (zo noem ik het maar even) zoals je belangrijke data op een versleutelde partitie opslaan, je zeker moet nadeken over de zwakste schakel.

De gebruiker: jij of ik

Die zal zn wachtwoord wellicht vergeten (zodat ie er niet meer bij kan), hergebruiken of onveilig opslaan (opschrijven op n blaadje).

.... Zo heeft (volgens mij) ubuntu standaar encryptie van de /home partitie (toch?).

Een wachtwoord op een blaadje (liever discreet boekje) in je in eigen huis vind ik nog goed uit te leggen

De /home/ folders zijn inderdaad versleuteld, maar helaas ook gekoppeld aan de actieve ingelogde gebruiker en anders is dat met een foploginscherm snel geregeld.

Een veilig systeem is net als het leven. Je moet niet met een helm op onder je bed blijven.

@Uruk-Hai

Als je graag wat meer wil doen met Linux is het best goed om daar eens een boek bij te nemen. Daar kun je alleen maar wijzer van worden.

JijBuis en het web is leuk en ook best handig (doen we allemaal) maar in de grotere context veelal onsamenhangend. Je leert dan wel een stukje of lost er een specifiek probleem mee op maar vaak ontbreekt onderliggende kennis waardoor het inzicht niet versterkt wordt.

Een kort voorbeeld om eens te kijken naar wat voor jou van belang zou kunnen zijn:
https://www.guru99.com/nl/best-linux-books-beginners.html

kwibox schreef op donderdag 12 september 2024 @ 00:38:
@Uruk-Hai Als doorgewinterde Arch gebruiker wil je adviseren je niet zoveel druk te maken over het "dichttimmeren" van je Linux distro. De meeste zijn uit de doos vrij veilig, daarbij heb je natuurlijk ook het voordeel dat 95% van de ellende niet op linuxgebruikers gericht is.

Arch kenmerkt zichzelf juist door het feit dat het "schoon" is er daarmee geen poespas of wat dan ook geconfigureerd heeft staan. Dus ook niet de basisdingen op het gebied van veiligheid. Dus dat Arch "out-of-the-box" veilig is, is dus echt onzin.

Wel is het zo dat Linux desktops over het algemeen minder in het vizier zijn aangezien ze hooguit een procentje van het totale marktaandeel beslaan. Daardoor is het voor kwaadwillenden vaak de moeite niet om daar moeite in te steken. Om die reden is het een geaccepteerd risico om bijvoorbeeld het gebruik van een virusscanner achterwege te laten ook al zijn ze er wel en kun je ze configureren.

Aangezien TS hier heeft over beveiliging in de context van desktops, is het hardenen van de sshd daemon niet nodig. Veel desktops hebben namelijk de daemon niet eens draaien of geïnstalleerd staan. Het is een desktop, geen server.

Op zich staat in de link die je hebt gebruikt redelijk veel tips die overigens voor iedereen gelden. Lees: browser up to date houden en vooral niet op shady websites komen, onzin downloaden & uitkijken met macro's voor spreadsheets.

Daarnaast zou ik je adviseren om een firewall te configureren wat toch een extra layer of security is. Kijk naar firewalld of ufw. Beiden zijn goed. Verder is er nog één tooltje dat de beveiliging van je desktop enorm verbeterd namelijk SELinux. SELinux regelt Mandatory Access Control . Bijvoorbeeld: mag programma x toegang krijgen tot de /home directory. Dus zelfs als programma x gecompromitteerd wordt, heeft het slechts beperkt toegang omdat SELinux het e.e.a. afschermt. SELinux is wel ingewikkeld dus niet voor een leek. Anderzijds is het out of the box geïnstalleerd op Fedora en is het redelijk mature. Een vergelijkbaar product is AppArmor, ontwikkeld door de makers van Ubuntu.

Je kunt ook nog overwegen om software in sandbox environment te draaien. Hiervoor heb je flatpak en snaps. Opzich kun je ook wel gebruik maken van de packages die je installeert via de package manager als je een veelgebruikte distributie gebruikt zoals Arch, Fedora of Debian. Pas met name op voor repositories van communitygroepen.

Edit: dat artikel van de Correspondent is verouderd. Er staan ook geen tips in voor Linux, wel algemene browsertips. Maar privacy badger is verouderd. Tegenwoordig gebruikt men ublock origin. Https everywhere zit ingebakken in de browser. Heb je geen extensie voor nodig. Voor up to date informatie zou ik de guide van Daniel vd Laan doornemen -> laatjeniethackmaken.nl

[ Voor 6% gewijzigd door Tyr4el op 01-10-2024 13:57 ]

@Tyr4el ik doe ook geen enkele bewering over Arch (of een specifieke distro uberhaupt). Daarnaast is Arch zeker niet een distro die je zo maar onder "de meeste" kan scharen. Lezen is een kunst...

(Arch heeft zeker wel redelijk sensible/veilige standaardinstellingen, dus uberhaupt snijd je bewering geen hout, maar das niet mijn punt)

Ik verwijs wel naar de wiki die goed leesvoer heeft en adviezen mbt veiligheid, die ook voor andere distro's gelden (bv https://wiki.archlinux.org/title/Security). Laatjeniethacken.nl is natuurlijk prima leesvoer, maar geeft wel wat weinig concreet advies die specifiek voor linux based distro's van toepassing is en is misschien wat onder niveau voor @Uruk-Hai.

[ Voor 11% gewijzigd door kwibox op 01-10-2024 15:26 ]

Nja je hebt Debian based, Ubuntu based (= eigenlijk Debian) en Arch based distribututies. Dat zijn toch de meest voorkomende Linux desktop distro's. Arch is best populair onder desktop gebruik. Volgens de Steam survey is Arch na Steam OS (gebaseerd op Arch) ook de meest voorkomende distributie. Je zegt ook zelf "als doorgewinterde Arch gebruiker" waarmee je inderdaad niet iets zegt maar wel impliceert. Arch is echt al lang geen niche meer, al heel lang niet.

Het is een kale distributie. Dat is bewust zo gedaan, je kun het helemaal inrichten zoals jij wil. Dat gaat dus wel ten koste van de standaard security features. Dit kun je uiteraard zelf installeren en configureren maar voor een beginner is dit niet aan te raden want je ziet door de bomen het bos niet meer.

Ik zou het eens een kans geven, maar gebruik archinstall, die neemt eigl all die stappen weg. Boot de gewone installatiemedia, dan "archinstall" runnen. Manuele configuratie zoals in het filmpje kan nog als je dat wil, maar hoeft niet dankzij archinstall.

Mijn Arch installatie is van 2019 en heeft al vele grote updates meegemaakt (GNOME, etc).

OpenSUSE Tumbleweed is ook rolling release, ik geef het maar mee.

Uruk-Hai schreef op woensdag 2 oktober 2024 @ 11:54:
Terug komend op mijn vraag over de veiligheid van een desktop Linux distributie: welke zijn over het algemeen veiliger, de rolling release distributies of degenen die dat niet zijn?

Dat zou niet uit moeten maken. De vraag is hoofdzakelijk hoe snel patches worden doorgevoerd. Ik weet niet precies welke distro sneller is dan de ander maar zolang je je niet actief abonneert op security mailing lists oid maakt het weinig uit imho. Vertrouw gewoon op veelgebruikte distributies.

Precies wat @Cyphax hierboven zegt. De snelheid waarmee patches worden doorgevoerd is van groot belang. Die bepaalt namelijk hoe lang een potentiële kwetsbaarheid kan worden uitgebuit. Ik moet dan gelijk terugdenken aan de XZ Utils backdoor begin dit jaar. Je was toen beter af met een stable release, dan een rolling release.

De rolling releases (o.a. OpenSUSE Tumbleweed en Fedora) hadden de nieuwe, kwetsbare versie van het pakket al binnengehaald, terwijl Debian stable bijvoorbeeld, nog met een oudere, niet-kwetsbare versie draaide.

Uiteraard komt andersom ook voor, dat er een oude, kwetsbare versie in de stable release zit en de rolling releases al een nieuwe versie hebben ontvangen waarin de kwetsbaarheid niet meer zit.

[ Voor 14% gewijzigd door pporrio op 02-10-2024 14:10 ]

pporrio schreef op woensdag 2 oktober 2024 @ 13:27:
Uiteraard komt andersom ook voor, dat er een oude, kwetsbare versie in de stable release zit en de rolling releases al een nieuwe versie hebben ontvangen waarin de kwetsbaarheid niet meer zit.

Daar moet wel de kanttekening bij gemaakt worden dat veel distro's zoals Debian fixes backporten middels een patch in de versie die ze al leveren. Zo zijn er genoeg security scans die helemaal los gaan omdat ze een specifieke Apache of Nginx versie zien, maar geen flauw idee hebben welke fixes er zijn gebackport waardoor het effectief geen probleem is.

Uruk-Hai schreef op woensdag 2 oktober 2024 @ 11:54:
welke zijn over het algemeen veiliger, de rolling release distributies of degenen die dat niet zijn?

Daarvoor kan je de „LTS release” nemen: de nieuwste software met nieuwe nog onbekende vulnerabilities zit daar niet in (en komt er meestal ook niet vanzelf in), maar je krijgt wel securityupdates.

Om bij te blijven, kan je upgraden naar de volgende LTS release, zodra daarvan de .1 versie verschenen is.

[ Voor 11% gewijzigd door aawe mwan op 02-10-2024 19:08 ]