Sicheres Live-Linux

[Tralalah]

Hallo,

ich möchte ein LiveLinux benutzen, ich brauch nur einen Browser drauf, und was zum öffnen von Textdateien. Da es ja vor kurzem die Schwachstelle in der GNU-C-Bibliothek gab, frage ich mich, inwiefern ich mir ein iso für das LiveLinux runterladen kann, dass den patch schon direkt enthält?
Gibt es welche, wo man es weiß bzw. ist es üblicherweise so, wenn es für eine Distribution einen patch gab und danach eine neue Version/Release veröffentlicht wurde, dass es der patch in dem iso dann schon drin ist? Oder wie kann man das feststellen?

 

[ghecko]

Irgendeinen Gammel-PC besorgen, irgendein Linux drauf installieren und das dann über die Paketverwaltung aktuell halten lassen. Nur so gehst du sicher, dass alle Lücken deines System zeitnah geschlossen werden.

Live-Linux hat immer das Problem, das es entweder ein ständig älter werdendes, ungepatchtes System ist oder vor jedem Benutzen mehr und mehr Updates aus dem Internet nachladen muss. Zum mal ausprobieren ist das okay, aber nicht zum regelmäßig verwenden.

 

[klausk1978]

Das Ganze spielt bei einem 'Live-System' oder aber auch wenn du Linux als Desktop-System nutzt, eigentlich keine Rolle, da du wahrscheinlich sowieso hinter einem Router ins Netz gehst bei dem alle Ports nach außen geschlossen sind.

siehe: https://blog.qualys.com/vulnerabili...ocal-privilege-escalation-in-the-glibcs-ld-so


Diese Sache ist grundsätzlich für Systeme gefährlich, die öffentlich (zB im Internet) erreichbar sind, aber nicht dein Rechner mit einem Linux-Livesystem.

 

[Tralalah]

Ja, hinter Router. Habe nicht bewusst Ports geöffnet (nur für VNC, aber das ist so wie ich es verstanden habe, nur lokal geöffnet).

Ich brauche das Live-Linux regelmäßig, besorge mir aber immer wieder ein neues iso dafür (das Anwendungsszenario erfordert etwas möglichst Sicheres)

Wäre mir daher trotzdem lieber, wenn mir jemand was zu einem iso mit so einem patch sagen kann.

 

[Kanibal]

Tails (https://tails.net/) oder Qubes (https://www.qubes-os.org/). Erstes etwas benutzerfreundlicher, zweiteres technisch interessanter.

 

[klausk1978]

Ob Tails oder auch qubes nightly builds anbieten, bei denen dieses CVE bereits gepatched ist, kann ich nicht sagen.

Wenn du aber immer auf Nummer sicher gehen willst:

https://github.com/mvallim/live-custom-ubuntu-from-scratch

BTW: Du kannst dieses Prozedere via Ansible natürlich automatisieren. ;-)

 

[Tralalah]

Ok, danke, aber das ist mir zu kompliziert. Auch das Linux sollte nichts zu kompliziertes, eher für Anfänger sein.

 

[klausk1978]

Na gut. Dan nimmst einfach einen zweiten USB-Stick (neben den zB Ubuntu USB-Stick mit der sogenannten 'Live-Iso' oder wie immer die auch heissen. Dann bootest du ins Live-System, installierst Ubuntu dann aber 'richtig' ;-) auf dem zweiten Stick. (Steht ja nirgends geschrieben, dass das Installations-Target eine Festplatte sein muss.) Immer wenn du dann Linux nutzen willst, drückst bei deinen Rechner einfach beim Boot die Taste für das Bootmenü, wählst den USB-Stick mit dem installierten Linux. Da kannst dann auch Updates durchführen.

BTW: Da es sich bei Linux um einen monolithischen Kernel handelt, wirst auch keine Treiberprobleme haben. Du willst mit diesem Linux auf dem USB-Stick ja eh nicht via Steam Computerspiele spielen.

 

[Tralalah]

Hab grad den Kommentar zu dem Artikel entdeckt:

Lade mir gerade die BD ISO von Debian 12.2.0, kam gestern raus und beinhaltet die gefixte Version.

Nur, was heißt denn BD ISO? Also BD?

 

[ghecko]

BD

Blu-Ray Disk. Weils wohl nicht mehr auf eine DVD passt. Aber es benutzt eigentlich eh kaum noch jemand optische Datenträger für Installationen.

 

[klausk1978]

Passt auf einem 8GB Stick. Beim nächstem CVE bist halt wieder der 'Angeschissene'.

Probiere mal meinen Vorschlag, Linux einfach auf einen USB-Stick zu installieren. ;-)

 

[Tralalah]

Ok, dann sollte das für USB ja im Prinzip dasselbe sein. Muss mal gucken wie das mit der Stickgröße (8GB) passt, waren bisher 2 isos drauf, notfalls muss ich eine runterschmeißen. Aber dann probiere ich das mal mit dem debian.

Danke für Eure schnellen Antworten, brauche es jetz gleich.

Das mit Deinem Vorschlag, Klaus, werde ich noch ausprobieren.

 

[CoMo]

Du hast doch selbst den Artikel verlinkt und damit festgestellt, dass es sich um eine Lücke in der glibc handelt.

Mir ist nicht ganz klar, was du nun erreichen willst. Wenn du dich vor einer glibc Lücke schützen willst, dann benutze halt ein Linux, das nicht die glibc verwendet, sondern z.B. die musl libc.

Aber dir sollte klar sein, dass es in jeder Software unentdeckte Sicherheitslücken gibt.

Wenn du so hohe Sicherheitsanforderungen hast, dass dein Leben oder deine Existenz von einer Sicherheitslücke in einer Bibliothek abhängt, solltest du nicht in einem öffentlichen Forum um Hilfe fragen, sondern professionelle Beratung durch Experten ersuchen.

 

[Tralalah]

Nein, so hoch auch wieder nicht. Aber halt schon, wo man sich Gedanken macht. Aber jetzt hab ich ja mal ne Strategie.

 

[klausk1978]

Mir ist nicht ganz klar, was du nun erreichen willst. Wenn du dich vor einer glibc Lücke schützen willst, dann benutze halt ein Linux, das nicht die glibc verwendet, sondern z.B. die musl libc.

Gut gemeint, aber ich denke, dass der Fragesteller grundsätzlich mit dieser Thematik absolut überfordert ist, zumal diese Lücke (glibc) bei seinem Usecase als Livesystem keinerlei Impact haben würde. ;-)

 

[NOTAUS]

Bei der schwammigen Fragestellung und den bisherigen Antworten des TE möchte ich mir nicht das Anwendungsszenario ausmalen wollen...

 

[Raijin]

In welchem Kontext soll das Live-Linux denn eingesetzt werden? Soll es wirklich explizit ein Live-Linux auf einem USB-Stick sein oder ist das einfach die erste Lösung, die dir bei deiner Problemstellung in den Sinn gekommen ist? Dann stünden wir womöglich vor einem XY-Problem.

Beschreibe daher bitte mal ganz genau was dein eigentliches Ziel ist (X) und nicht das, was du dir als Lösung erdacht hast (Y).

Ungefähr so:
"Ich will unterwegs immer mein eigenes Betriebssystem in der Tasche haben"
oder
"Ich möchte gerne Linux ausprobieren"
oder
"Ich möchte bei Bedarf ein unabhängiges Betriebssystem innerhalb meines Computers starten"


Abhängig von der zugrundeliegenden Intention wäre beispielsweise auch eine Virtuelle Maschine denkbar, mit VirtualBox oder VMware. In dieser VM könntest du dann einfach ein beliebiges Linux installieren und es bei Bedarf vom Windows-Desktop aus starten. Eine VM hat einige Vorteile gegenüber einem Live-Linux wie zB reguläre Updatefähigkeit oder auch der spontane Start ohne Reboot. Eine Linux-VM kann je nach Distribution nur wenige Hundert MByte klein sein. Für zahlreiche Distributionen gibt es auch schon fertige VM-Images, die man sich runterladen und starten kann, ohne den kompletten Installationsweg gehen zu müssen.

Eine generelle Liste an "kleinen" Linux-Distributionen finde man zB hier: Klick!