Abo
  • Services:

Rootlos und ungeskriptet

Um die Sicherheit und den Schutz der Nutzer zu gewährleisten, sind alle Benutzerzugänge in Knoppix gesperrt, es gibt schlicht keine Standardpasswörter, nicht mal für den unprivilegierten Benutzer knoppix. Daher ist ein klassischer Login auch nicht möglich. Wer eine Bildschirmsperre startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher ist das Absperren des Bildschirms beim Schließen des Notebookdisplays oder bei Inaktivität abgeschaltet.

  • Auf dem Bootprompt lassen sich besondere Parameter eintragen. (Bild: Knoppix)
  • Links das DVD-Bootimage nach alter Art, mittig das mit Knoppix 8.0 eingeführte Hybridverfahren, rechts die Variante, die flash-knoppix produziert. (Bild: Knoppix)
  • Neu in Knoppix ist die Möglichkeit, beim Schreiben auf ein Flashdevice eigene Änderungen in ein neues komprimiertes Image zu remastern. (Bild: Knoppix)
  • Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)
  • Wem der Browser des Tor-Projekts sicherer erscheint, als Chromium oder Firefox mit Tor zu verwenden, der installiert den Spezialbrowser nach. (Bild: Knoppix)
Die Install-Extras-Utility ermöglicht es, nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren. (Bild: Knoppix)
Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Wüstenrot & Württembergische AG, Ludwigsburg

Der Firefox-Browser ist mit dem Noscript-Plugin ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein.

Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Sitzung oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Knoppix hat ausgeflasht

Das proprietäre Browser-Flash-Plugin blickt auf eine lange Geschichte selbst verursachter Sicherheitsprobleme zurück. Viele Anwender kennen es zudem als unersättlichen Ressourcenfresser. Zum Glück gibt es nicht mehr viele Webseiten, die das Flash zwingend benötigen, vor allem Größen wie Youtube kommen ohne aus. Deswegen ist das Plugin in Knoppix 8.0 gar nicht erst installiert. Wer Flash dennoch benötigt, kann es aber über den Knoppix-Menüpunkt Zusätzliche Software installieren aus Debian nachinstallieren.

Tor zur besseren Welt

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracking-Funktionen ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Deshalb lässt sich Tor durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys habe ich in Chromium und Firefox aber schon voreingestellt. Abseits davon ist auch ein spezieller Tor-Browser direkt über das Startprogramm installierbar. Diesen zu benutzen, empfehlen die Tor-Erfinder aufgrund der geringeren Gefahr durch deanonymisierende Plugins.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den Clam-AV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.

Schutz vor Portscans

Das in einem IETF-Draft beschriebene Verfahren TCP Stealth dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist - der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist der Knock-Kernelpatch erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogramme für den autorisierten Zugriff nutzen. Neben dem Kernelpatch sind in Knoppix 8.0 SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung sind in /etc/ssh/sshd_config nur die Option TCPStealthSecret und eine Art Passwort für die Autorisierung von Clients nötig: TCPStealthSecret "1234". Auch nach dem SSH-Server-Start (sshstart) gelingt auf Port 22 keine Verbindung.

Ist der Client dagegen mit der gleichen TCPStealth-Konfigurationsoption in /etc/ssh/ssh_config konfiguriert, überträgt er das Autorisierungs-Token beim Verbinden und der Port lässt sich öffnen. So klappt auch das Anmelden per SSH wieder.

Knoppix-Erfinder Klaus Knopper stellt diese und viele weitere Neuerungen von Knoppix 8.0 auf der Cebit 2017 in dieser Woche vor.

Dieser Artikel erschien in der Ausgabe 04/17 des Linux Magazins, das seit September 2014 wie Golem.de zum Verlag Computec Media gehört. Knoppix 8.0 erscheint zunächst exklusiv auf der beiliegenden Delug-DVD.
Zum Autor: Knoppix-Erfinder Klaus Knopper, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der Hochschule Kaiserslautern und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane, die Blinden den Umgang mit Linux-PCs vereinfacht.

 Die Antwort auf Systemd
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 7,48€
  3. 6,37€
  4. 12,99€

George99 24. Mär 2017

Ich war heute (Do) auf der CeBIT und beim Vortrag "Datenrettung und Forensik mit Knoppix...

vkl 22. Mär 2017

Hallo habt ihr schon mal daran gedacht eure Live-Systeme auf SATA-DOM SSDs bzw. mSATA...

superdachs 22. Mär 2017

Arch setzt standardmäßig auch auf Wayland. Ich nutze es jedenfalls seit einigen Monden...

matzems 21. Mär 2017

Habe keine tiefgreifende Kenntnisse darüber,aber was ich gelesen habe ist wohl dass...

CoreEdge 21. Mär 2017

Dann entschuldige ich mich für die besserwisserische Art, habe es selber nie gemacht für...


Folgen Sie uns
       


3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Raytracing Demo von 3D Mark auf Nvidias neuer Geforce RTX 2080 Ti und der älteren Geforce GTX 1080 Ti abspielen lassen.

3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /