Systemdatein Zugriff Schützen im Betrieb Möglich ?

[Prik]

Guten Tag in die Runde ,
habe mal interessehalber eine Idee und Frage zu den relevanten Systemdatein und Internetsteuerungkonfiguration in Linux System MX, Ubuntu , Debian.
Gibt es eine Möglichkeit, das System wärend es im Betrieb ist so einzustellen/Schützen, das die Systemdatein von (Dritten z.b Hackangriff), nicht abgeändert werden können ? Zum Beispiel Arp Angriffe/Netzwerkumleitungen ohne weitere Software unmöglich zu machen ?

Überlegung dazu war ein Szenario : Angenommen jemand schafft es Fremdzugriff auf das System zu erlangen, könnte dieser z.b den Internetverkehr umeliten oder sontiges auf den System umstellen ohne das man es bemerken würde.

Gibt es eine Möglichkeit sich vor solchen Eingriffen sicher zu schützen ? Vielleicht den Systemzugriff komplett zu verschlüsseln, wärend das OS genutzt wird? (Systemdatei Änderungen Unmöglich ) ?

Wenn ja ist es dann noch möglich, Updates , Kernel , Software einzuspielen ?
Sudo Passwort ist laut diversen News und Videos kein ausreichender Schutz .

Ich bedanke mich im voraus .

 

[K3ks]

Gemini was zumindest Schutz des Linux Kernels angeht:

Linux hardened monolithic kernel protection involves several techniques to increase security despite its large, monolithic structure, such as making static data read-only, enabling compiler-based protections, and using runtime tuning for parameters. Read-only data protection stops malicious attempts to modify kernel code, while features like stack protection, Address Space Layout Randomization (ASLR), and Control Flow Integrity (CFI) make it harder for attackers to exploit vulnerabilities. Kernel hardening also includes compiler features like stack clearing to improve memory safety and the use of sysctl to tune kernel parameters for better security at runtime.


Read-only data protection

• After the system boots, this feature makes critical static kernel data read-only.
• This prevents attackers from modifying memory regions to hijack kernel behavior.
• A write attempt to a read-only section causes a hardware exception, which results in a "fail-secure" kernel panic, stopping the attack.

usw.

 

[BeBur]

Linux hat das per Default eingebaut und das nennt sich einfach Nutzerverwaltung/Rechteverwaltung. Sudo ist nicht nur kein ausreichender Schutz, sondern hebt die Nutzertrennung und die einhergehende Sicherheit vollständig auf. Das ist mehr ein safety feature als ein security feature (jedenfalls so wie es so ziemlich immer konfiguriert ist auf Desktop PCs).

 

[Prik]

Abgesehen von Sudo oder sonstigen implementierten Vorkonfigurationen.

Szenario : Ein Hack findet statt und es gelangt über irgendein Weg Fremdzugriff auf das System/Netzwerk.

Sicher würden dann auch irgendwelche Systemdatein durch die Fremdmanipulation abgeändert werden müssen, ohne das man es bemerkt.

In der Fragestellung zu Anfang geht es eher darum wie man das Manipulieren am System/Netzwerkeinstellungen sicher verhindern könnte, abgesehen von voreingestellten Standarteinstellungen.

Meine Überlegung dazu ist, die Systemdatein so zu schützen, das dass Abändern (auch mit Sudo PW), nicht ohne weiteres möglich wäre und das System trotzallem normal genutzt werden kann. (Updates, Softwareinstallation)

 

[BeBur]

Meine Überlegung dazu ist, die Systemdatein so zu schützen, das dass Abändern (auch mit Sudo PW), nicht ohne weiteres möglich wäre und das System trotzallem normal genutzt werden kann.

Das "ohne weiteres" ist der Knackpunkt. Das bieten dir Windows, Linux und Smartphones in verschiedenen Varianten und Gütegraden bereits an.

Was du immer machen kannst ist von einem Bootmedium aus starten, welches nicht mehr schreibbar ist, z.B. eine DVD-R oder bestimmte USB-Sticks. Du kannst dann immer noch infiziert werden, aber der Virus ist nach Neustart weg. Der Computer muss neu genug sein für UEFI mit secure boot (ist er wenn nicht älter als 10 Jahre).

Wenn das Medium grundsätzlich/physikalisch beschreibbar ist, dann hast du keine 100%ige Sicherheit. Die braucht man in aller Regel aber auch nicht. Viel wichtiger als technische Maßnahmen sind organisatorische Maßnahmen. Menschen fangen sich Viren ein, weil sie irgendwas selber runterladen und ausführen und/oder weil sie jahrelang keine Updates aufspielen auf ihr Betriebssystem oder ihren Browser.

Wenn du wirklich sowas willst was Eingriffe ins System verhindert: Verwende Linux mit echter Nutzertrennung, also ohne su/sudo. Das ist genau das was du beschreibst. Aber bedenke, dass ein Virus den du dir als Nutzer einfängst dann immer noch alles machen kann, was du als Nutzer auch machen kannst, also z.B. deine Passwörter auslesen, webseiten ansurfen, deine Daten verschlüsseln, etc.etc..

 

[redjack1000]

In der Fragestellung zu Anfang geht es eher darum wie man das Manipulieren am System/Netzwerkeinstellungen sicher verhindern könnte

Befasse dich mal mit SELinux und/oder AppAmor.

CU
redjack

 

[Prik]

Über SELinux habe ich heute schon vor Erstellung des hisigen Themas etwas eingelesen.
Schwierig sich das direkt als normaler Linuxanwender anzueignen.

Da kommen dann weitere Fragen auf einen zu, Updates und installieren von weiterer Software weiterhin möglich usw. ?

Gibt es hier vielleicht Jemanden, der SELinux erfolgreich im Einsatz hat und kann man dies problemlos zu Ubuntu oder MX hinzufügen?

Ohne Fachkundigen Beistand wird das eher schwierig bleiben.

Kann man ein normal genutztes Linux System auch vorerst automatisiert testen, ob z.b irgendwelche Systemkonfigs auffällig geändert worden ? (Erkennung ob/wenn Fremdzugriff stattgefunden hat?)

 

[Tulol]

Wenn du den Schlüssel zur Haustür hast kann theoretisch immer jemand kommen, dich umhauen und mit deinem Schlüssel die Tür öffnen.

Solange irgendwie zugang möglich ist, ist es auch immer möglich das sich jemand den zugang verschaffen kann, egal wer.

 

[Prik]

SELinux erfolgreich im Einsatz hat und kann man dies problemlos zu Ubuntu oder MX hinzufügen?

Die Frage des Hinzufügens in die Distro hat sich hiermit beantwortet :

https://linux-de.com/?p=11842

Wenn du den Schlüssel zur Haustür hast kann theoretisch immer jemand kommen, dich umhauen und mit deinem Schlüssel die Tür öffnen.

Das ist schon klar, die Frage wäre eher wie sich ein solches Szenario Virtuel besser absichern ließe.

 

[redjack1000]

Schwierig sich das direkt als normaler Linuxanwender anzueignen.

Es liegt an Dir das zu ändern, die Lernkurve wird für einen Anfänger sehr steil sein. Sicherheit bedeutet immer Arbeit und Zeit zu investieren, mit ein paar Mausklicks und Konsolenbefehlen, wird das nichts.
Ganz wichtig dabei ist, ein Verständnis für Sicherheit zu entwickeln.

CU
redjack

 

[CoMo]

Was du suchst, ist eine immutable Distro wie Fedora Silverblue, Vanilla OS oder NixOS.

 

[Prik]

Was du du suchst, ist eine immutable Distro

Nein


Eher die Möglichkeit ein Ubuntu oder vergleichbare Distro vor Fremdeinwirkung abzusichern

Dazu noch eine geeignete Möglichkeit zu finden, wie man ein Standartlinux-System auf den Sicherheitsstatus überprüfen könnte. (Passt alles wie es sein muss)

rkhunter und/oder chkrootkit was es für Linux bereits gibt scheinen mir für neuere Systeme nicht ganz geeignet zu sein.

SELinux einer Distro hinzuzufügen, scheint da schon dem Anliegen am nährtsen zu kommen, Systemdatein vor Fremden Zugriff besser absichern zu können .

Da hilft dann wahrscheinlich erstmal nur sich weiter unter SELinux einzulesen.

Vielen Dank erstmal bis hierher.

Gruß Prik