Abo
  • Services:
Anzeige
3D-Spielerei mit Compiz in Knoppix 8.0
3D-Spielerei mit Compiz in Knoppix 8.0 (Bild: Knoppix)

Rootlos und ungeskriptet

Um die Sicherheit und den Schutz der Nutzer zu gewährleisten, sind alle Benutzerzugänge in Knoppix gesperrt, es gibt schlicht keine Standardpasswörter, nicht mal für den unprivilegierten Benutzer knoppix. Daher ist ein klassischer Login auch nicht möglich. Wer eine Bildschirmsperre startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher ist das Absperren des Bildschirms beim Schließen des Notebookdisplays oder bei Inaktivität abgeschaltet.

Anzeige
  • Auf dem Bootprompt lassen sich besondere Parameter eintragen. (Bild: Knoppix)
  • Links das DVD-Bootimage nach alter Art, mittig das mit Knoppix 8.0 eingeführte Hybridverfahren, rechts die Variante, die flash-knoppix produziert. (Bild: Knoppix)
  • Neu in Knoppix ist die Möglichkeit, beim Schreiben auf ein Flashdevice eigene Änderungen in ein neues komprimiertes Image zu remastern. (Bild: Knoppix)
  • Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)
  • Wem der Browser des Tor-Projekts sicherer erscheint, als Chromium oder Firefox mit Tor zu verwenden, der installiert den Spezialbrowser nach. (Bild: Knoppix)
Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)

Der Firefox-Browser ist mit dem Noscript-Plugin ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein.

Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Sitzung oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Knoppix hat ausgeflasht

Das proprietäre Browser-Flash-Plugin blickt auf eine lange Geschichte selbst verursachter Sicherheitsprobleme zurück. Viele Anwender kennen es zudem als unersättlichen Ressourcenfresser. Zum Glück gibt es nicht mehr viele Webseiten, die das Flash zwingend benötigen, vor allem Größen wie Youtube kommen ohne aus. Deswegen ist das Plugin in Knoppix 8.0 gar nicht erst installiert. Wer Flash dennoch benötigt, kann es aber über den Knoppix-Menüpunkt Zusätzliche Software installieren aus Debian nachinstallieren.

Tor zur besseren Welt

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracking-Funktionen ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Deshalb lässt sich Tor durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys habe ich in Chromium und Firefox aber schon voreingestellt. Abseits davon ist auch ein spezieller Tor-Browser direkt über das Startprogramm installierbar. Diesen zu benutzen, empfehlen die Tor-Erfinder aufgrund der geringeren Gefahr durch deanonymisierende Plugins.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den Clam-AV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.

Schutz vor Portscans

Das in einem IETF-Draft beschriebene Verfahren TCP Stealth dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist - der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist der Knock-Kernelpatch erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogramme für den autorisierten Zugriff nutzen. Neben dem Kernelpatch sind in Knoppix 8.0 SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung sind in /etc/ssh/sshd_config nur die Option TCPStealthSecret und eine Art Passwort für die Autorisierung von Clients nötig: TCPStealthSecret "1234". Auch nach dem SSH-Server-Start (sshstart) gelingt auf Port 22 keine Verbindung.

Ist der Client dagegen mit der gleichen TCPStealth-Konfigurationsoption in /etc/ssh/ssh_config konfiguriert, überträgt er das Autorisierungs-Token beim Verbinden und der Port lässt sich öffnen. So klappt auch das Anmelden per SSH wieder.

Knoppix-Erfinder Klaus Knopper stellt diese und viele weitere Neuerungen von Knoppix 8.0 auf der Cebit 2017 in dieser Woche vor.

Dieser Artikel erschien in der Ausgabe 04/17 des Linux Magazins, das seit September 2014 wie Golem.de zum Verlag Computec Media gehört. Knoppix 8.0 erscheint zunächst exklusiv auf der beiliegenden Delug-DVD.
Zum Autor: Knoppix-Erfinder Klaus Knopper, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der Hochschule Kaiserslautern und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane, die Blinden den Umgang mit Linux-PCs vereinfacht.

 Die Antwort auf Systemd

eye home zur Startseite
George99 24. Mär 2017

Ich war heute (Do) auf der CeBIT und beim Vortrag "Datenrettung und Forensik mit Knoppix...

vkl 22. Mär 2017

Hallo habt ihr schon mal daran gedacht eure Live-Systeme auf SATA-DOM SSDs bzw. mSATA...

superdachs 22. Mär 2017

Arch setzt standardmäßig auch auf Wayland. Ich nutze es jedenfalls seit einigen Monden...

matzems 21. Mär 2017

Habe keine tiefgreifende Kenntnisse darüber,aber was ich gelesen habe ist wohl dass...

CoreEdge 21. Mär 2017

Dann entschuldige ich mich für die besserwisserische Art, habe es selber nie gemacht für...



Anzeige

Stellenmarkt
  1. Paulinenpflege Winnenden, Winnenden
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

  1. Re: Der Preis war schon damals ok

    packansack | 01:56

  2. Re: Nutzen von ECC?

    Mechwarrior | 01:49

  3. Re: Die Atmen App...

    picaschaf | 01:37

  4. Re: Siemens hat eine gute Lösung in Parkhäusern

    Stefann | 01:26

  5. Re: Super Gau

    User_x | 01:24


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel