Wie kann ich einen Linux Mint PC im Netzwerk isolieren?

[Klausi_#1]

Es gibt Dinge, die kompliziert sind und keine einfache Lösung haben, auch wenn's schwerfällt zu glauben.

Ok, dann mache ich bei Linux Mint die Firewall an und stelle das öffentliche Profil ein und schaue, dass Samba, NFS und OpenSSH nicht installiert sind.

Und bei Windows, sofern ich nochmal in die Situation kommen sollte , stelle ich halt die Erweiterten Freigabeeinstellungen entsprechend ein.

Mehr kann man so wie ich es verstehe als "einfacher" Nutzer erstmal nicht machen .

 

[Lotsenbruder]

Würde das bei Windows überhaupt gehen? Wenn ja dann wäre Windows in der Hinsicht ja sicherer als Linux oder?

Falsch gedacht. Es ging mir darum das man bei Windows so ein Bohey machen muss um halbwegs sicher zu sein.

Eigentlich sollte sie nur Browsen können, Updates und paar wenige Apps laden können und mehr eigentlich nicht. Drucker etc. möglichst alles per USB anschließen.

Genau dafür brauchst Du gar nix einstellen.
Ein bischen hirnen ist besser als zu versuchen alles mit Technik zu lösen.
Und die "wenigen Apps" holst Du dir hoffentlich aus den Repos.

 

[Grimba]

Stell dir die Situation vor wie ein Haus mit Türen.
100% sicher = alle Türen sind zu.
100% Anwenderfreundlichkeit = alle Türen sind auf.
Offensichtlich geht beides nicht gleichzeitig, d.h. für alle Anwendungsfälle dazwischen muss man sich was überlegen, egal ob Hersteller, Nutzer, wer auch immer. Du kannst dir vorstellen, dass man das Problem beliebig komplex aufblasen kann. Und es gibt hier auch nicht immer nur 1 Lösung für das gleiche Problem und es gibt Sachverhalte, die sich gegenseitig ausschließen.
Das Internet hat viele Türen...

Was du da an Maßnahmen beschreibst, klingt zumindest für's erste nicht verkehrt. Aber vielleicht auch etwas doppelt gemoppelt. Wenn die Firewall alle eingehenden Verbindugen eh schon blockiert, können die genannten Dienste sowieso nicht antworten. Möchte man, dass einzelne Dienste nicht antworten, reicht es auch, sie zu stoppen, dafür muss man sie nicht zwingend deinstallieren, wenn du sie vielleicht in nicht-öffentlichen Netzen durchaus brauchst. Wenn kein Dienst installiert ist, der antworten kann, blockt wiederum die Firewall umsonst, auch wenn's natürlich nicht schadet. Alles dazwischen lässt sich mit Profilen regeln

 

[Klausi_#1]

Ein bischen hirnen ist besser als zu versuchen alles mit Technik zu lösen.

Das versuche ich tatsächlich auch, aber Menschen machen Fehler und sollte ich einen Fehler machen würde ich es gut finden, wenn die Technik mich vor Schlimmeren bewahrt

 

[JumpingCat]

@Klausi_#1 Aber dafür hat der Hersteller schon automatisch gesorgt mit richtigen Einstellungen und regelmäßigen Sicherheitsupdates. Man muss da seit vielen Jahren nichts mehr manuell anpasssen. Stichwort SP2 / SP3 für XP.

 

[rollmoped]

Ich muss mich jetzt korrigieren. Die Firewall-Regeln, die in Mint auf der grafischen Oberfläche angezeigt werden, sind nicht alle Regeln, die im Hintergrund eingerichtet sind. Das heißt, auch auf dem Profil "Öffentlich" werden nicht alle eingehenden Verbindungen geblockt.

In Wirklichkeit gibt es einige Ausnahmen und die kann man sich im Terminal mit dem folgenden Befehl anzeigen lassen:

sudo ufw show raw

Zum Beispiel kann man den Rechner noch anpingen. Außerdem sind anscheinend Ausnahmen für NetBIOS- und mDNS-Dienste konfiguriert.

Es ist nämlich eigentlich so (jedenfalls verstehe ich es so), dass Mint gar keine Pakete ins Netzwerk sendet, um die Drucker etc. zu finden, sondern der Drucker sendet selbst auf einer Broadcast-Adresse im lokalen Netzwerk regelmäßig Discovery-Pakete, um gefunden zu werden. Und wenn ich es korrekt verstehe, macht das auch ein SMB-Server üblicherweise.

Ich finde es gar nicht schlecht, sich darüber Gedanken zu machen. Es würde sich in umgekehrter Richtung falsch anfühlen, wenn der Rechner Portscans im Netzwerk machen würde, um Drucker etc. zu finden.

 

[Lotsenbruder]

Das heißt, auch auf dem Profil "Öffentlich" werden nicht alle eingehenden Verbindungen geblockt.

Stimmt, sonst könnte man sich im Browser keine Webseiten ansehen.

Im Gegensatz zu Windows ist Linux schon von Haus aus auf Sicherheit konfiguriert.
Das heißt, nach der Installation braucht man im Grunde nichts weiter machen.
Solange man keine speziellen Anwendungsfälle hat sind Änderungen nicht nötig.

 

[Helge01]

Stimmt, sonst könnte man sich im Browser keine Webseiten ansehen.

Du verwechselst eingehende/ausgehende Firewall Regeln. Ohne eigenen Regeln sind alle Verbindungen zum Internet offen, eingehend wird aber alles blockiert.

 

[Grimba]

Stimmt, sonst könnte man sich im Browser keine Webseiten ansehen.

Das ist keine eingehende Verbindung. Du hast selbst einen Webserver angefragt und der antwortet. Das ist ausgehend, und Helge war schneller.

Ich warne sehr davor zu propagieren, dass „Linux“ immer sicher vorkonfiguriert kommt im Vergleich zu Windows. Willst du das wirklich für ALLE Distributionen bzw. Installationen behaupten? Und für Android? Für jeden Server, Router, Fernseher, Smarthome Räppelchen, etc.?! Das ist einfach Quatsch und erzeugt ein falsches Sicherheitsgefühl. Linux ist per se kein Sicherheitsgarant.

Und, damit das klar ist, das gilt ebenso für in Distributionen installierbare Software, wie SSH, Samba etc. Hier zu behaupten, die käme immer und überall sicher vorkonfiguriert, weil ja Linux, ist absurd, aber wird hier mit in einen Topf geschmissen, weil ggf. hat man die ja bei der Installation gleich mitinstalliert.

 

[nutrix]

Mein Ziel ist es um es kurz zusammenzufassen: Ich möchte sichergehen können, dass keine anderen Geräte im selben Netzwerk Zugriff auf meinen Linux Mint PC bekommen können und dem System bewusst oder unbewusst schaden, es verändern oder ausspionieren können ohne, dass ich das möchte.

Du brauchst nur ein anderes Subnetz machen, oder VLAN, oder eine eigene Hardwarefirewall davor...

Ergänzung (26. August 2025)

Das versuche ich tatsächlich auch, aber Menschen machen Fehler und sollte ich einen Fehler machen würde ich es gut finden, wenn die Technik mich vor Schlimmeren bewahrt

Dafür macht man Sicherungen, daß im schlimmsten Fall die wichtigen Daten noch zugreifbar sind. Alles andere ist Illusion.

 

[Klausi_#1]

Ich weiss jetzt nicht ob es sich dabei auch nur wieder um mehr Schein als Sein handelt , aber im Internet habe ich mal gelesen, dass wenn man den Dienst Avahi Daemon in der Firewall blockt oder ihn maskiert angeblich dafür sorgen kann, dass die Netzwerkerkennung deaktiviert wird, also der Mint Pc nicht mehr so einfach im Netzwerk andere Geräte finden kann oder von diesen gefunden werden kann.

 

[Tanzmusikus]

Es ist ja keine Seltenheit für viele Menschen sich in ein öffentliches Netzwerk einzuloggen

Zu Hause wird in ein Öffentliches Netzwerk über den Provider eingeloggt. Im Router ist i.d.R. eine Firewall aktiv.
Unterwegs logge ich mich sehr selten irgendwo anders ein. Wofür auch?
Mein Smartphone ist aber ebenfalls im Öffentlichen Netz eingeloggt. 😉

Für z.B. "Hardcore"-Office, Videos schauen oder Online-Spiele könnte man mehr Datenrate &/oder Datenvolumen gebrauchen. Ich benötige so etwas kaum (YT-Videos) bis gar nicht.

Sich per Smartphone bzw. Pads mit öffentlichem WLAN zu verbinden, kann gefährlich sein, da die meisten Geräte ohne aktuelle Sicherheitsupdates genutzt werden. Da wäre ein guter Schutz (VPN) wichtig. Für aktuell gehaltene Notebooks/Laptops sehe ich da weniger Probleme.

Ich warne sehr davor zu propagieren, dass „Linux“ immer sicher vorkonfiguriert kommt im Vergleich zu Windows. Willst du das wirklich für ALLE Distributionen bzw. Installationen behaupten? Und für Android? Für jeden Server, Router, Fernseher, Smarthome Räppelchen, etc.?! Das ist einfach Quatsch und erzeugt ein falsches Sicherheitsgefühl. Linux ist per se kein Sicherheitsgarant.

Sehe ich ebenso.

Es laufen ja auch viele kaum gesicherte Windows-Geräte jahre-/jahrzehntelang ohne Probleme.
Man muss schon unbewusst oder bewusst auf diversen Webseiten im Netz unterwegs sein, um sich etwas einzufangen. "E-Mail" mal ausgeklammert. Wenn man keine (z.B. durch Werbung) verseuchten Programme (bei Windows häufiger zu finden) installiert, ist man vermutlich mit Windows ebenso sicher unterwegs wie mit Linux. Auch nicht jede Distribution verlangt immer die Erstellung eines Benutzer-Passworts.

Für Linux gibt es auch Schadware, aber weniger als für Windows.
Bei Linux ist die Firewall oftmals ootb gar nicht aktiviert.

Letztlich liegt es am Benutzer, was er wählt & wie er sich verhält. Und Zufälle kann's natürlich auch geben.
Das Leben wäre ja sonst ziemlich langweilig.

 

[Grimba]

Eigentlich wollte ich Windows hier nicht hervorheben, sondern darauf hinweisen, dass es viele Distributionen gibt, die nicht zwingend vom Anfänger auf der Gegenseite ausgehen. Daher sind die Defaults nicht unbedingt in jedem Fall „sicher“ gesetzt, dass man nichts mehr machen muss. Zumal der Begriff sicher hier auch wieder nicht absolut ist. Sane Defaults sind nicht unbedingt gleichzeitig Secure Defaults in jeder Hinsicht.

Der Begriff Linux ist hier als Oberbegriff einfach viel zu groß gewählt. Es gibt genug Distros, die davon ausgehen, dass du schon weißt, was du im Nachgang zu tun hast, wenn du Dinge installierst. Sich hinter dem Begriff Linux also per se sicher zu fühlen ist also einfach ein Trugschluss.

 

[sikarr]

Sich per Smartphone bzw. Pads mit öffentlichem WLAN zu verbinden, kann gefährlich sein, da die meisten Geräte ohne aktuelle Sicherheitsupdates genutzt werden. Da wäre ein guter Schutz (VPN) wichtig. Für aktuell gehaltene Notebooks/Laptops sehe ich da weniger Probleme.

Das muss ich mal korrigieren, es besteht grundsätzlich bei jedem Gerät ein Risiko wenn man sich in ein Fremdes Netz einwählt, bei manchen reicht sogar das heimische Netz. Worauf ich hinaus will es macht keinen Unterschied welche Geräte klasse man nutzt, wenn sie nicht gepflegt werden, Administrativ und Sicherheitstechnisch sind alle Geräte gleich gefährdet.

Ich würde sogar soweit gehen das ein Smartphone oder Tablet, je nach Hersteller und OS Build Sicherer sind als ein PC ganz einfach weil diese Geräte von vornherein schon gut abgesichert sind. Bei einem PC kann man ja mal ne Freigabe vergessen oder hat ne Software die fleissig ins Netz brüllt.

Und ein VPN ist auch kein Allheil mittel, zum einen wird ein VPN durch ein fremdes Netz getunnelt, die Geräte sind denoch in diesem Netz erreichbar. Zum anderen kommt es auch auf den VPN Betreiber an, den der kann auch den gesammte Verkehr mitloggen.

 

[heizmichl]

Wenn du in Linux einsteigst, kannst du erstmal viel von deinem Windowswissen über Bord schmeißen. Linux wird erst im Netzwerk sicht- und erreichbar, wenn du Samba manuell nachinstallierst. Standardmäßig ist es nicht dabei. Anders als bei Windows wird ein sogenannter Schlüsselbund eingerichtet. Darin sind verschiedene Passwörter gespeichert. Möchtest du nach dem PC- Start ins Netzwerk, musst du dein PC/ NB mit der Eingabe Passwort Schlüsselbund ins Netzwerk lassen.
Die Firewall ist per Standard deaktiviert. Die kannst du über das Terminal, (Windows= Eingabeaufforderung) einschalten. Dann werden alle eingehenden Anfragen blockiert. Die irgendwo vorne gezeigte grafische Benutzeroberfläche ist standardmäßig nicht enthalten und muss erst nachinstalliert werden.
Grundsätzlich finde ich gut, das du über den Windows- Tellerrand schauen willst. Der erste und vielleicht beste Versuch dazu ist, wenn du das über ein Livesystem machst. Das startest du ohne Installation vom USB- Stick. Damit wird an deinem Windows überhaupt nichts verändert. Nach dem Start hast du ein vollwertiges Linuxsystem, welches du nach Herzenslust ausprobieren kannst. Nach dem Verbinden mit dem Netzwerk kannst du sogar ins Internet. Ich habe das Livesystem mit einem Ventoystick gemacht. Der riesengroße Vorteil davon ist, du kannst verschiedene Distributionen draufpacken und testen, mit welcher du am besten zurechtkommst. Geht irgendwas schief, startest du einfach neu und alle gemachten Fehler sind weg. Wenn du "dein" Linux gefunden hast, kannst du aus diesem Livesystem die Installation starten. So zumindest habe ich das vor 2 Jahren gemacht und bis jetzt nicht bereut.

heizmichl

 

[JumpingCat]

Die Firewall ist per Standard deaktiviert

Die Firewall in Linux ist per Default aktiv und blockt alles was nicht direkt erlaubt wurde. Das ist so seit ca 2010. RHEL war da sogar etwas früher dran. Hier war Windows mal früher dran, das hatte die standardmäßig aktive Firewall mit Windows XP SP2 oder so eingeführt.

 

[Grimba]

Ubuntu kommt bis heute per Default ohne aktive Firewall, allerdings ist sie installiert. Das ist by Design, da man per Default keine Dienste installiert, die einen Port anbieten. Daher wird auf das vorab Setzen von restriktiven Regeln und das aktivieren der Firewall vorab verzichtet. Ist ja nur die verbreitetste Distribution weltweit für Desktops UND Server. Ja Redhat und Suse machen das anders, aber eben nicht alles, was Linux heißt.

Danke für das perfekte Beispiel, wie man Linux falsch als Oberbegriff benutzt und für die Bestätigung meiner These.

Beispiele wie Arch, Gentoo etc. fallen hier ganz nebenbei auch einfach mal hinten runter, die per se nichts installieren, was der User nicht explizit ausgewählt hat, also auch keine Firewall geschweige denn vordefinierte aktive Regeln.

 

[Klausi_#1]

Jetzt mal angenommen, ihr hättet einen frisch installierten Linux Mint Laptop und müsstet (gibt in diesem Beispiel keine andere Möglichkeit ) euch in ein öffentliches W-LAN in einem Café zum Beispiel einloggen und euch bei eurem Online Banking oder anderen wichtigen Accounts anmelden. Was würdet ihr an dem frisch installierten Linux Mint Laptop einstellen um möglichst sicher zu sein.

 

[sedot]

Öffentliche Internetzugänge sind ein no-go imo, besonders wenn wichtige Daten gesendet/empfangen werden. Das OS ist völlig egal. Eigenes Smartphone als Hotspot nutzen, fertig.

 

[Klausi_#1]

@sedot ich gebe dir vollkommen recht. Aber was wäre wenn es jetzt zu einem Fall kommen würde wo es gar nicht anders ginge?