CachyOS bzw. Linux allgemein und die Sicherheit

[Michael.76]

Hallo,

ich habe kürzlich die Entscheidung getroffen Windows 11 hinter mich zu lassen und CachyOS installiert um dieses nun als vollständigen Ersatz für Windows tagtäglich zu nutzen. Bisher bin ich soweit zufrieden und habe alles nach meinen Vorstellungen eingerichtet bekommen, allerdings habe ich Bedenken wie es eigentlich um die Sicherheit bei einer Standardinstallation von CachyOS bestellt ist? Sollte man nach der Installation gewisse Einstellungen bezüglich der Sicherheit ändern, oder reicht es alles bei den Voreinstellungen zu belassen? Ich habe bisher nur Clamav zum gelegentlichen Scannen installiert und die integrierte Firewall ist zwar aktiv, aber bisher unkonfiguriert und komplett offen. Das optional erhältliche AppGuard Paket habe ich noch nicht installiert, und als absoluter Linux Neuling möchte ich mir auch nicht durch falsche Kommandozeilenbefehle das frischinstallierte System gleich wieder zerschießen. Nach 30 Jahren Windows doch eine ganz schöne Umstellung, vielleicht hat ja jemand einige Tipps für mich parat?

Danke!

 

[Cokocool]

Wozu brauchst du eine Firewall ? Jeder normale Router blockiert automatisch alle nicht-selbst initiierten Zugriffe von außen

 

[mytosh]

ClamAV brauchst du auch nicht. Firewall, kann man machen, ist aber auch nicht nötig.
Du hast ja sicherlich keine Serverdienste konfiguriert, die problematisch werden könnten.
Einfach das "Windowsdenken" abschalten und fertig.

 

[GTrash81]

Linux-Distributionen arbeiten in der Regel nach dem Leitfaden:
was nicht explizit erlaubt ist, ist verboten.
Daher ist Linux schon recht sicher im Standard.
ClamAV ist eine gute Idee, auch wenn es genauso wenig wie der MS Defender hilft.
Ein Trojaner der über eine Zeroday-Lücke arbeitet knackt dir jedes System und umgeht jeden Antivirenschutz, egal ob Windows, MacOS, Linux, Android, iOS, Tizen, etc.

 

[Michael.76]

Gut, dann mache ich mich mal nicht unnötig verrückt. Allgemein gilt Linux ja als erheblich sicherer als Windows wegen der erheblich geringeren Verbreitung von Viren, und da ich ausschließlich Pakete über den Paketmanager installiere wird da wohl auch nichts passieren. Ich muss echt noch eine ganze Menge lernen, aber dieses gute Gefühl zu wissen das mein PC jetzt macht was ich möchte, und nicht was ein geldgieriger Amerikanischer Konzern möchte, ist mir den Aufwand absolut wert.

 

[Lotsenbruder]

ClamAV ist eine gute Idee, auch wenn es genauso wenig wie der MS Defender hilft.

ClamAV benötigt man höchstens um Dateien aus dem Windowsumfeld zu checken, wenn überhaupt und dann für nichts anderes.

 

[adfsrg]

normale Router

Normale Router machen das nicht, die arbeiten auf Layer 3. Eine Fritzbox z.B. kann das, aber die ist ja kein normaler Router sondern mehrere Geräte in einem.

 

[Espero]

Normale Router machen das nicht, die arbeiten auf Layer 3. Eine Fritzbox z.B. kann das

Muss man dazu denn noch an der Firtzbox tätig werden, oder erfüllt diese das in Standardeinstellungen?

 

[adfsrg]

Allgemein gilt Linux ja als erheblich sicherer als Windows wegen der erheblich geringeren Verbreitung von Viren, und da ich ausschließlich Pakete über den Paketmanager installiere wird da wohl auch nichts passieren.

Linux ist doch nur der Kernel. Windows ist aber ein ganzes OS. Du kannst das nicht vergleichen. Wenn dann musst du deine Distro mit Windows vergleichen. CachyOS basiert auf Arch und verwendet Rolling Releases. Wenn für dich Sicherheit wichtig ist, dann solltest du vielleicht mal drüber nachdenken was auf Debianbasis zu nehmen. Ubuntu ist sehr einsteigerfreundlich.

als absoluter Linux Neuling möchte ich mir auch nicht durch falsche Kommandozeilenbefehle das frischinstallierte System gleich wieder zerschießen

Durch die Rolling Releases wird dir das früher oder später auch mit den richtigen Befehlen passieren.

Ergänzung (8. November 2025)

erfüllt diese das in Standardeinstellungen?

Die Fritzbox lässt in den Standardeinstellungen keine eingehenden Verbindung von außen zu.

Ergänzung (8. November 2025)

Jeder normale Router blockiert automatisch alle nicht-selbst initiierten Zugriffe von außen

Falls du von sowas wie de Fritzbox sprichst: von innen aber schon und auch nach außen

 

[mytosh]

Durch die Rolling Releases wird dir das früher oder später auch mit den richtigen Befehlen passieren.

Auch bei Arch Derivaten gibt es, in der Regel, einen stable Zweig, wenn man jetzt nicht ganz bewusst auf testing geht und/oder git Pakete bevorzugt, wird da nichts passieren.

 

[adfsrg]

Auch bei Arch Derivaten gibt es, in der Regel, einen stable Zweig

Ist das mittlerweile bei CachyOS so? Ist schon ein paar Monate her, dass ich das ausprobiert habe und da war das nicht so.

 

[mytosh]

Also, dass nach einem Update Linux nicht bootet oder die grafische Oberfläche nicht startet, war vor 10 Jahren vielleicht so. Dass mal ein Programm nicht mehr will, weil Abhängigkeiten nicht mehr passen ok, dann setzt man n Symlink oder wartet auf ein weiteres Update, aber sonst.

EDIT
Bei mir laufen Updates sogar über einen Systemdienst jede Stunde automatisch und die Kiste läuft.

 

[adfsrg]

Also, dass nach einem Update Linux nicht bootet oder die grafische Oberfläche nicht startet, war vor 10 Jahren vielleicht so.

Ist mir mit CachyOS schon passiert und das war in diesem Jahr. Musste dann im Grub die Parameter ändern. Mit Ubuntu aber auch, wobei das an den Nvidia-Treibern lag.

 

[Der_Dicke82]

Auch bei Arch Derivaten gibt es, in der Regel, einen stable Zweig

Wäre mir tatsächlich jetzt auch neu, im Grunde geht das natürlich, aber die wenigsten setzen das um. Sie müssten ja dann komplett eigene Repositories haben.

Bei mir laufen Updates sogar über einen Systemdienst jede Stunde automatisch und die Kiste läuft.

die meisten Updates sind ja auch unproblematisch. Außerdem ist für ein RR eher das auslassen von Updates ein Problem. Mal 2-3 Monate keine Programmupdate und es kann schwierig werden.
Ich mache zwar immer security updates, aber aus "Volumengründen" eher selten Programmupdates und da sind PR Distros schon sinnvoller.

aber ich würde eigentlich sehr gerne auf Arch umsteigen :-D

 

[mytosh]

Ok, daran ist aber dann nur nvidia schuld. Da kann ja Arch selbst nichts dafür.

Wäre mir tatsächlich jetzt auch neu, im Grunde geht das natürlich, aber die wenigsten setzen das um. Sie müssten ja dann komplett eigene Repositories haben.

Nur als Beispiel.

#[testing]
#Include = /etc/pacman.d/mirrorlist

[core]
Include = /etc/pacman.d/mirrorlist

[extra]
Include = /etc/pacman.d/mirrorlist

#[multilib-testing]
#Include = /etc/pacman.d/mirrorlist

[multilib]
Include = /etc/pacman.d/mirrorlist

 

[JumpingCat]

ClamAV benötigt man höchstens um Dateien aus dem Windowsumfeld zu checken, wenn überhaupt und dann für nichts anderes

Nein. Das hängt man auch in Mailserver rein um Phishing zu erkennen: https://docs.clamav.net/manual/Signatures/PhishSigs.html . Oder siehe auch die bekannteste Webseite dafür wie https://sanesecurity.com/ .

 

[Metalveteran]

Ich habe diesen Monat einjähriges Linux-Only Jubiläum 🥳(zwar Garuda, aber das ist ja auch "nur" Arch), und noch KEIN Update hat mir das System zerschossen dass plötzlich nichts mehr ging. Und ich bin hier echt am "rumsauen" mit Kernelmodulen, mehreren Side-OS zum basteln, verschiedenste Tools um "alles mögliche zu verbocken", 3x am Tag Updates suchen, so halt. Wie so ein 12jähriger, der seinen ersten PC hat und wissen will was das OS so "kann".

Toi Toi Toi, kann Glück sein bei mir, aber ich kann jetzt nicht behaupten, das Arch anfälliger ist als andere Distros. Und ich hab in den letzten 10, 12 Jahren so einige durch!

 

[Kuristina]

Gut, dann mache ich mich mal nicht unnötig verrückt.

Exakt. Nagel dir den Satz an die Wand und lass dich auch von anderen nicht verrückt machen. Arch ist sicher genug und mir hat auch noch kein Update mein System zerschossen. Sammel erstmal Erfahrung. Wechseln kannst du eh jederzeit.

 

[Real-Duke]

Man kann und sollte unter Cachy/Arch Snapper nutzen falls ein Update schief geht.
Hatte ich bisher auch noch nie, aber so könnte man das System schnell wieder auf den Stand vor dem Update zurücksetzen.

 

[rallyco]

Ich bin mittlerweile seit über zwei Jahren auf Endeavour OS unterwegs (quasi eine Schwester von Cachy) und obwohl ich eher faul mit dem Updaten bin, hatte ich in den zwei Jahren nur einmal eine Kernel Panic nach einem Update, durch die ich nicht mehr ins System gekommen bin (selbst verschuldet, wohlgemerkt!). Mit etwas nachschlagen im Netz konnte ich das aber beheben. Feels good, man, einfach mal auf die schnelle das System wieder reparieren