Abo
  • Services:
Anzeige
3D-Spielerei mit Compiz in Knoppix 8.0
3D-Spielerei mit Compiz in Knoppix 8.0 (Bild: Knoppix)

Rootlos und ungeskriptet

Um die Sicherheit und den Schutz der Nutzer zu gewährleisten, sind alle Benutzerzugänge in Knoppix gesperrt, es gibt schlicht keine Standardpasswörter, nicht mal für den unprivilegierten Benutzer knoppix. Daher ist ein klassischer Login auch nicht möglich. Wer eine Bildschirmsperre startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher ist das Absperren des Bildschirms beim Schließen des Notebookdisplays oder bei Inaktivität abgeschaltet.

Anzeige
  • Auf dem Bootprompt lassen sich besondere Parameter eintragen. (Bild: Knoppix)
  • Links das DVD-Bootimage nach alter Art, mittig das mit Knoppix 8.0 eingeführte Hybridverfahren, rechts die Variante, die flash-knoppix produziert. (Bild: Knoppix)
  • Neu in Knoppix ist die Möglichkeit, beim Schreiben auf ein Flashdevice eigene Änderungen in ein neues komprimiertes Image zu remastern. (Bild: Knoppix)
  • Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)
  • Wem der Browser des Tor-Projekts sicherer erscheint, als Chromium oder Firefox mit Tor zu verwenden, der installiert den Spezialbrowser nach. (Bild: Knoppix)
Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)

Der Firefox-Browser ist mit dem Noscript-Plugin ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein.

Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Sitzung oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Knoppix hat ausgeflasht

Das proprietäre Browser-Flash-Plugin blickt auf eine lange Geschichte selbst verursachter Sicherheitsprobleme zurück. Viele Anwender kennen es zudem als unersättlichen Ressourcenfresser. Zum Glück gibt es nicht mehr viele Webseiten, die das Flash zwingend benötigen, vor allem Größen wie Youtube kommen ohne aus. Deswegen ist das Plugin in Knoppix 8.0 gar nicht erst installiert. Wer Flash dennoch benötigt, kann es aber über den Knoppix-Menüpunkt Zusätzliche Software installieren aus Debian nachinstallieren.

Tor zur besseren Welt

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracking-Funktionen ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Deshalb lässt sich Tor durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys habe ich in Chromium und Firefox aber schon voreingestellt. Abseits davon ist auch ein spezieller Tor-Browser direkt über das Startprogramm installierbar. Diesen zu benutzen, empfehlen die Tor-Erfinder aufgrund der geringeren Gefahr durch deanonymisierende Plugins.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den Clam-AV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.

Schutz vor Portscans

Das in einem IETF-Draft beschriebene Verfahren TCP Stealth dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist - der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist der Knock-Kernelpatch erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogramme für den autorisierten Zugriff nutzen. Neben dem Kernelpatch sind in Knoppix 8.0 SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung sind in /etc/ssh/sshd_config nur die Option TCPStealthSecret und eine Art Passwort für die Autorisierung von Clients nötig: TCPStealthSecret "1234". Auch nach dem SSH-Server-Start (sshstart) gelingt auf Port 22 keine Verbindung.

Ist der Client dagegen mit der gleichen TCPStealth-Konfigurationsoption in /etc/ssh/ssh_config konfiguriert, überträgt er das Autorisierungs-Token beim Verbinden und der Port lässt sich öffnen. So klappt auch das Anmelden per SSH wieder.

Knoppix-Erfinder Klaus Knopper stellt diese und viele weitere Neuerungen von Knoppix 8.0 auf der Cebit 2017 in dieser Woche vor.

Dieser Artikel erschien in der Ausgabe 04/17 des Linux Magazins, das seit September 2014 wie Golem.de zum Verlag Computec Media gehört. Knoppix 8.0 erscheint zunächst exklusiv auf der beiliegenden Delug-DVD.
Zum Autor: Knoppix-Erfinder Klaus Knopper, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der Hochschule Kaiserslautern und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane, die Blinden den Umgang mit Linux-PCs vereinfacht.

 Die Antwort auf Systemd

eye home zur Startseite
George99 24. Mär 2017

Ich war heute (Do) auf der CeBIT und beim Vortrag "Datenrettung und Forensik mit Knoppix...

Themenstart

vkl 22. Mär 2017

Hallo habt ihr schon mal daran gedacht eure Live-Systeme auf SATA-DOM SSDs bzw. mSATA...

Themenstart

superdachs 22. Mär 2017

Arch setzt standardmäßig auch auf Wayland. Ich nutze es jedenfalls seit einigen Monden...

Themenstart

matzems 21. Mär 2017

Habe keine tiefgreifende Kenntnisse darüber,aber was ich gelesen habe ist wohl dass...

Themenstart

CoreEdge 21. Mär 2017

Dann entschuldige ich mich für die besserwisserische Art, habe es selber nie gemacht für...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Daimler AG, Stuttgart
  3. Daimler AG, Leinfelden-Echterdingen
  4. cmxKonzepte GmbH & Co. KG, deutschlandweit (Home-Office)


Anzeige
Hardware-Angebote
  1. 117,00€
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. DVB-T2

    Bereits eine Millionen Freenet-Geräte verkauft

  2. Moore's Law

    Hyperscaling soll jedes Jahr neue Intel-CPUs sichern

  3. Prozessoren

    AMD bringt Ryzen mit 12 und 16 Kernen und X390-Chipsatz

  4. Spark Room Kit

    Cisco bringt KI in Konferenzräume

  5. Kamera

    Facebook macht schicke Bilder und löscht sie dann wieder

  6. Tapdo

    Das Smart Home mit Fingerabdrücken steuern

  7. 17,3-Zoll-Notebook

    Razer aktualisiert das Blade Pro mit THX-Zertifizierung

  8. Mobilfunk

    Tschechien versteigert Frequenzen für 5G-Netze

  9. Let's Encrypt

    Immer mehr Phishing-Seiten beantragen Zertifikate

  10. E-Mail-Lesen erlaubt

    Koalition bessert Gesetz zum automatisierten Fahren nach



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

  1. Re: Wie wäre diese Methode: Nix illegales drauf...

    deinkeks | 01:23

  2. Re: und da sind viele ...

    Flexy | 01:21

  3. Re: Lärmschutzzonen

    MAGA | 01:05

  4. Re: Selbstbedienungskassen würden mir schon reichen

    __destruct() | 00:42

  5. Re: In englisch streamen?!

    jeegeek | 00:38


  1. 20:56

  2. 20:05

  3. 18:51

  4. 18:32

  5. 18:10

  6. 17:50

  7. 17:28

  8. 17:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel