Was kann ein Trojaner oder Virus auf Linux durch Drive By Downloads anrichten?

[PC-Nutzer5423]

Hallo,

es wird ja vielfach geschrieben, dass Linux auch Sicherheitslücken hat und ich würde diesbezüglich heute gerne mal zwei Fragen in den Raum werfen.

Ich habe mehrere Linuxsysteme am Laufen und heute auf allen Systemen, (die sind Debian-basierend) auf denen es nur ein Nutzerkonto bzw. nur ein Passwort gibt, dh zur Anmeldung, Aktualisierung, Installation usw... auf all diesen Systemen dem Default-Konto, dh dem bisherigen einzigen Konto alle Rechte entzogen und zusätlich ein Adminkonto hinzugefügt für alle Arbeiten der Installation von Programmen und Updates betreffend.

Jetzt hier meine zwei Fragen: 1) ist das Linux in den Fall mit dieser Massnahme merklich sicherer und 2) wenn ich im Internet surfe und dabei hier und da unwissentlich auf verseuchte Seiten stosse, was können Schädlinge hier auf einem Linuxsystem anrichten. (generell) Gehen wir hier in der Betrachtung in jeder Hinsicht vom Durchschnitt aus.

Freue mich auf Eure Antworten

 

[flipp]

Ist es nicht so, daß der erste angelegte Linuxnutzer erstmal nur ein Standardnutzer ist (wenn Du mit Debian basierend z.B. Ubuntu und Ableger meinst)?! Du mußt für Adminrechte/root-Rechte diese über sudo und ein Paßwort erlangen. Aber selbst dann bist Du noch kein superuser/root. Das was Du da beschreibst klingt in meinen Ohren gefährlich. Fast so, als ob es bei deinem "Adminkonto" um ein Konto mit permanenten root-Rechten ginge. Du machst damit auf gar keinen Fall etwas "sicherer" ... .

 

[PC-Nutzer5423]

@flipp

das sind ja gernau die Fragen, die ich hier geklärt haben möchte.
Natürlich habe ich jetzt im Hintergrund ein zweites Konto, das über Adminrechte verfügt. Aber auch dieses latente Konto habe ich ebenso wie das Nutzerkonto, dem ich alle Rechte entzogen habe und mit dem ich selbstverständlich die meiste Zeit arbeite, mit einem sehr starken Passwort geschützt.
Und hier wäre es eben interessant zu wissen, was Schädlinge die rein kommen generell am System "drehen" können und ob die imstande sind, mit der Zeit auch solche Konten zu knacken....
Weitere Frage durch Dich also: Was ist dann wohl sicherer? Die vorherige oder die jetzige Konfiguration?

Ergänzung (27. September 2019)

Was mich eben dazu veranlasste, diese Konfiguration so vorzunehmen, ist, dass ich auch ein Linuxsystem am Laufen habe, bei dem man schon bei der Installation gefragt wird nach einem Admin-Passwort und nach einem Passwort für das Nutzerkonto.

 

[schiz0]

mit einem sehr starken Passwort geschützt

Wenn du aber im Adminkonto die ganze Zeit als root unterwegs bist, müsste sich der Schadcode ja nichtmal anstrengen dein starkes PW zu umgehen. Deswegen macht man sowas auch nicht, wie @flipp das schon gesagt hat.

Was spezieller Schadcode anstellen kann, kannst du auf Seiten nachlesen, wo eben Schadcode für Linux gelistet ist.

 

[flipp]

Du verdrehst da etwas bzw. hebelst das System aus ... .
Beispiel Ubuntu, Mint, usw. ... . Da wird extra gar kein Paßwort für den root gesetzt, das Konto ist praktisch "inaktiv". Das bei der Installation angelegte Konto ist ein einfaches user-konto mit dem Du root-Rechte erlangen kannst. Du wirst also zum Administrator (über sudo), aber immer noch nicht zum superuser/root. Du kannst natürlich das root-Konto "scharf" schalten (wenn benötigt) und ihm ein Paßwort zuweisen, nutzen wirst Du es aber trotz allem im Normalfall nicht.
Wenn Du ein Konto mit noch weniger Rechten brauchst, dann legst Du genau dieses an, aber gehst nicht den umgekehrten Weg. Du hast ja scheinbar ein Konto erschaffen, was weit mehr Rechte besitzt, wie das ursprünglich bei der Installation angelegte Konto. Das widerspricht doch deinem Wunsch nach Sicherheit.

 

[morpheus99]

Im laufenden Betrieb immer nur so viel Rechte wie möglich, dann kann Schadsoftware auch wenig anrichten.
Ansonsten ist deine Frage recht hypothetisch, da es auf den konkreten Schadcode ankommt und was dieser bewirken kann.

 

[fuyuhasugu]

Du wirst ... aber immer noch nicht zum superuser/root.

 

[pedder59]

Im laufenden Betrieb immer nur so viel Rechte wie ?möglich?, dann kann Schadsoftware auch wenig anrichten.

Du meinst wohl nötig.

 

[morpheus99]

ja sorry hab am Handy geschrieben

 

[flipp]

Anhang anzeigen 825137

Wie gesagt, bei Ubuntu und Abkömmlingen hast Du dafür aber extra das root-Konto "scharf geschaltet" und mit einem Paßwort versehen. Versuche nun aber mal außerhalb des von Dir gezielt geöffneten Terminals etwas zu tun, z.B. in der Systemverwaltung. Selbst in einem neuen zweiten Terminal bist Du nur wieder ein "Standardnutzer". Er redet von einem root-Konto. Ein paar Zeilen zu deinem Bild wären nett, so ist mehr oder weniger sinnfrei ... .

 

[fuyuhasugu]

Nö, das ist exakt der von dir beschriebene Fall, wo der root-Account angeblich inaktiv ist. Also ein ganz normales Ubuntu mit Standardnutzeraccount, ohne extra Einstellungen am root-Account. Man erlangt nicht nur die Rechte sondern ist mit dem entsprechenden Kommando tatsächlich als root unterwegs. Ich kann also auch Systemverwaltung, Browser etc als root ausführen.

Deine Erklärung war meiner Meinung nach sprachlich nur etwas ungenau. Für die meisten Fälle hast du wahrscheinlich sogar zu 100% recht, da die meisten Nutzer sudo nur zur direkten Ausführung eines Befehls nutzen werden. Sorry für die Korinthen. ;-)

 

[PC-Nutzer5423]

Meine Logik, als User, der mit Linux jetztnoch nicht allzuviel Erfahrung hat, warum eben die, dass ich das bestehende Konto, wenn man das System neu installiert und auf dem man standardmässig dann unterwegs ist, alle Rechte entziehe, daraus also ein Nutzerkonto mache und mit dem dann arbeite, surfe usw. und eben ein zweites sudo-Konto einrichte, das ich dann nur dann nutze, wenn ich das System aktualisiere und Programme installieren möchte.
Der Hintergrund ist der, dass ich das so machen wollte, weil wenn ich den anderen von euch vorgeschlagenen Weg gehe, also das bereits ab Installation bestehende Konto belasse und mir ein weiteres Benutzerkonto anlege für das tägliche Arbeiten, ich dieses Konto komplett neu einrichten müsste. Die erste Variante, die ich zuerst gehen wollte, wäre mit weniger Arbeit verbunden gewesen.
Aber egal, ich hab jetzt mein System komplett neu eingerichtet und den von euch vorgeschlagenen, dh bin den zweiten Weg gegangen.

Ergänzung (27. September 2019)

aber jetzt trotzdem zurück zu meiner eigentlichen Frage:

Wenn man heutzutage im Web surft und Seiten besucht, die einem durch Drive By Downloads etwas unterschieben wollen... sei es jetzt mit Schädlingen die für Windows gemacht sind oder eben andere Seiten, die Schädlinge für Linux verbreiten wollen. was kann das auf einem Linux anrichten?

Betrachtet in der Hinsicht, dass die Leute auf Linux auch auf verschiedentlich eingerichteten Konten surfen.

Bitte nehmt Euch dieser Fragenstellung mal differenziert an. Ich würde hier gerne etwas dazu lernen.

 

[andy_m4]

Wenn man heutzutage im Web surft und Seiten besucht, die einem durch Drive By Downloads etwas unterschieben wollen...

Vorweg gesagt:
Solche Drive-by-Geschichten basieren immer auf Sicherheitslücken im Browser. Die wichtigste Maßnahme (jetzt völlig unabhängig vom Betriebssystem) ist daher seinen Browser aktuell zu halten.

Was man zusätzlich noch machen kann ist aktive Inhalte zu vermeiden. Das meint insbesondere irgendwelche Plugins. Aber auch Addons können Risiken bergen. Wie im Nachbar-Thread schon gesagt: Je weniger man installiert hat, umso weniger Angriffsfläche gibt es. Die wichtigste Schutzmaßnahme ist, die Zahl der Installierten Programme, Addons, Plugins auf das Nötige zu beschränken.

Zusätzlich kann man noch Sachen wie NoScript verwenden mit welchem sich Javascript selektiv freischalten lässt. Javascript hat sich in der Vergangenheit immer wieder als Möglichkeit herausgestellt den Nutzer anzugreifen.

Beherzigt man das alles dürften Drive-By-Downloads kaum noch eine nennenswerte Gefahr darstellen. In der Praxis sind ohnehin sehr oft solche Sachen die Nutzinteraktion erfordern ein Problem. Wie die beliebten Mailanhänge oder auch Download von Software und solcher Kram.

was kann das auf einem Linux anrichten?

Erstmal kann ein Schädling all das machen, was Du als Nutzer auch machen kannst. Daher ja immer die Forderung der Trennung von Administration und Nutzer in unterschiedliche Accounts.
Nutzeraccount bedeutet aber immer noch, das der Schädling auf Deine Dateien zugreifen kann. Und das ist ja das Eigentliche was letztlich zu schützen ist. Also ist es immer noch schlimm genug, das dies möglich ist.

Um ein Schritt weiter zu gehen kann man jetzt noch einen extra Account fürs im-Internet-surfen anlegen. Das ist sozusagen die einfachste aber gleichzeitig auch wirksamste Form der Sandbox. Weil diese Nutzertrennung ist halt essentiell und dementsprechend auch gut ausgetestet.

Nicht umsonst benutzt man das schon seit Jahrzehnten auf Servern um Services voneinander zu isolieren.
Und es funktioniert halt auf jedem Betriebssystem welches Multiuser-Unterstützung bietet (Windows, Linux, MacOS usw.).

Noch mal zurück zu den Drive-By-Downloads. Dabei werden, wie gesagt, Sicherheitslücken ausgenutzt. Das ist aber meist nicht ganz trivial. Daher hat man es häufig das Exploits auf bestimmte Betriebssysteme (oder gar Betriebssystemversionen) funktionieren.

Es ist davon auszugehen, das dann vorzugsweise Systeme attackiert werden, welche verbreitet sind.
Linux auf dem Desktop ist es vielleicht dann nicht so sehr wie Windows, Android oder iOS.