Abo
  • Services:
Anzeige
3D-Spielerei mit Compiz in Knoppix 8.0
3D-Spielerei mit Compiz in Knoppix 8.0 (Bild: Knoppix)

Rootlos und ungeskriptet

Um die Sicherheit und den Schutz der Nutzer zu gewährleisten, sind alle Benutzerzugänge in Knoppix gesperrt, es gibt schlicht keine Standardpasswörter, nicht mal für den unprivilegierten Benutzer knoppix. Daher ist ein klassischer Login auch nicht möglich. Wer eine Bildschirmsperre startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher ist das Absperren des Bildschirms beim Schließen des Notebookdisplays oder bei Inaktivität abgeschaltet.

Anzeige
  • Auf dem Bootprompt lassen sich besondere Parameter eintragen. (Bild: Knoppix)
  • Links das DVD-Bootimage nach alter Art, mittig das mit Knoppix 8.0 eingeführte Hybridverfahren, rechts die Variante, die flash-knoppix produziert. (Bild: Knoppix)
  • Neu in Knoppix ist die Möglichkeit, beim Schreiben auf ein Flashdevice eigene Änderungen in ein neues komprimiertes Image zu remastern. (Bild: Knoppix)
  • Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)
  • Wem der Browser des Tor-Projekts sicherer erscheint, als Chromium oder Firefox mit Tor zu verwenden, der installiert den Spezialbrowser nach. (Bild: Knoppix)
Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)

Der Firefox-Browser ist mit dem Noscript-Plugin ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein.

Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Sitzung oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Knoppix hat ausgeflasht

Das proprietäre Browser-Flash-Plugin blickt auf eine lange Geschichte selbst verursachter Sicherheitsprobleme zurück. Viele Anwender kennen es zudem als unersättlichen Ressourcenfresser. Zum Glück gibt es nicht mehr viele Webseiten, die das Flash zwingend benötigen, vor allem Größen wie Youtube kommen ohne aus. Deswegen ist das Plugin in Knoppix 8.0 gar nicht erst installiert. Wer Flash dennoch benötigt, kann es aber über den Knoppix-Menüpunkt Zusätzliche Software installieren aus Debian nachinstallieren.

Tor zur besseren Welt

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracking-Funktionen ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Deshalb lässt sich Tor durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys habe ich in Chromium und Firefox aber schon voreingestellt. Abseits davon ist auch ein spezieller Tor-Browser direkt über das Startprogramm installierbar. Diesen zu benutzen, empfehlen die Tor-Erfinder aufgrund der geringeren Gefahr durch deanonymisierende Plugins.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den Clam-AV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.

Schutz vor Portscans

Das in einem IETF-Draft beschriebene Verfahren TCP Stealth dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist - der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist der Knock-Kernelpatch erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogramme für den autorisierten Zugriff nutzen. Neben dem Kernelpatch sind in Knoppix 8.0 SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung sind in /etc/ssh/sshd_config nur die Option TCPStealthSecret und eine Art Passwort für die Autorisierung von Clients nötig: TCPStealthSecret "1234". Auch nach dem SSH-Server-Start (sshstart) gelingt auf Port 22 keine Verbindung.

Ist der Client dagegen mit der gleichen TCPStealth-Konfigurationsoption in /etc/ssh/ssh_config konfiguriert, überträgt er das Autorisierungs-Token beim Verbinden und der Port lässt sich öffnen. So klappt auch das Anmelden per SSH wieder.

Knoppix-Erfinder Klaus Knopper stellt diese und viele weitere Neuerungen von Knoppix 8.0 auf der Cebit 2017 in dieser Woche vor.

Dieser Artikel erschien in der Ausgabe 04/17 des Linux Magazins, das seit September 2014 wie Golem.de zum Verlag Computec Media gehört. Knoppix 8.0 erscheint zunächst exklusiv auf der beiliegenden Delug-DVD.
Zum Autor: Knoppix-Erfinder Klaus Knopper, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der Hochschule Kaiserslautern und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane, die Blinden den Umgang mit Linux-PCs vereinfacht.

 Die Antwort auf Systemd

eye home zur Startseite
George99 24. Mär 2017

Ich war heute (Do) auf der CeBIT und beim Vortrag "Datenrettung und Forensik mit Knoppix...

vkl 22. Mär 2017

Hallo habt ihr schon mal daran gedacht eure Live-Systeme auf SATA-DOM SSDs bzw. mSATA...

superdachs 22. Mär 2017

Arch setzt standardmäßig auch auf Wayland. Ich nutze es jedenfalls seit einigen Monden...

matzems 21. Mär 2017

Habe keine tiefgreifende Kenntnisse darüber,aber was ich gelesen habe ist wohl dass...

CoreEdge 21. Mär 2017

Dann entschuldige ich mich für die besserwisserische Art, habe es selber nie gemacht für...



Anzeige

Stellenmarkt
  1. Schwäbische Werkzeugmaschinen GmbH, Schramberg - Waldmössingen
  2. Bosch Service Solutions Magdeburg GmbH, Magdeburg
  3. Wilken Neutrasoft GmbH, Greven bei Münster
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Hardware-Angebote
  1. 229,99€

Folgen Sie uns
       


  1. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  2. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  3. The Update Aquatic

    Minecraft bekommt Klötzchendelfine

  4. Elektroauto

    Fährt der E-Golf auch bei Gewitter?

  5. Prozessoren

    Neues Werk dürfte Coffee-Lake-Verfügbarkeit verbessern

  6. Apple

    Hinweise deuten auf einen A10-ARM-SoC im neuen iMac Pro

  7. Sega

    Valkyria Chronicles 4 setzt erneut auf Kitsch im Krieg

  8. Drohnenhersteller

    DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

  9. Förderung

    Bayern bezahlt Schließung von Mobilfunklücken

  10. Indiegames-Rundschau

    Von Weltraumpiraten und dem Wunderdoktor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Star Wars Battlefront 2 im Test: Filmreife Sternenkrieger
Star Wars Battlefront 2 im Test
Filmreife Sternenkrieger
  1. Star Wars EA entfernt Mikrotransaktionen aus Battlefront 2
  2. Electronic Arts Community empört über freischaltbare Helden in Battlefront 2
  3. Star Wars Mächtiger Zusatzinhalt für Battlefront 2 angekündigt

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

  1. Re: Immer noch nicht hoehenverstellbar

    slead | 12:35

  2. Stromkosten

    Sphinx2k | 12:35

  3. Re: Lags am Familiennachzug?

    Bautz | 12:34

  4. Re: Bei knapp 1 Million Wohnungslosen

    Bautz | 12:34

  5. Re: diesen "Lamborghini" werde ich mir kaufen

    spambox | 12:33


  1. 12:50

  2. 12:35

  3. 12:20

  4. 12:07

  5. 11:22

  6. 11:07

  7. 10:50

  8. 10:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel