• IT-Karriere:
  • Services:

Rausschmiss für die Sicherheit

Ebenso neu im Installer ist der Hinweis, dass Secure Boot beim Einsatz von proprietären Treibern wie denen von Nvidia nicht mehr funktioniert. Diese proprietären Module übersetzt der Anwender mit Hilfe von DKMS selbst, Canonical kann sie deshalb nicht signieren und will für ihre Sicherheit nicht garantieren. Nutzer, die Secure Boot einsetzen wollen, testen also am besten im Vorfeld, ob für ihre Zwecke auch die freien Treiber genügen. Dabei hilft die integrierte Live-Version, die keine Installation des Systems erfordert. Mitunter bleibt aber keine andere Wahl, als auf Secure Boot zu verzichten, etwa auch dann, wenn WLAN-Karten geschlossene Treiber benötigen.

Stellenmarkt
  1. CG Car-Garantie Versicherungs-AG, Freiburg im Breisgau
  2. VIVAVIS AG, Koblenz

Eine klassische Sicherheitsfunktion fällt ebenfalls weg: der Befehl gksu. Der wurde genutzt, um zum Beispiel auf dem Desktop von Ubuntu Dateien mit Rootrechten zu bearbeiten. Auch einige Apps verlangen bisher danach. Laut Entwickler Jeremy Bicha ist der Befehl aber veraltet und wurde nun entfernt. Der richtige Weg führe über den Berechtigungsdienst Policykit. Wer weiterhin mit dem Dateimanager Dateien mit Rootrechten bearbeiten möchte, kann dies etwa in Nautilus, indem die Pfadleiste mit der Tastenkombination Strg+L geöffnet wird und so ein Ordner mit der Datei zum Beispiel über admin:///etc/default/ aufgerufen wird.

Festplatten verschlüsseln mit Luks

Eine weitere Änderung in Sachen Desktopsicherheit ist der Wegfall einer Option beim Installieren, um das Home-Verzeichnis per Ecryptfs zu verschlüsseln. Wer Ecryptfs nachinstalliert, kann dies zwar weiterhin nutzen. Allerdings ist diese konkrete Verschlüsselungstechnik nur ein Notbehelf, denn sie lässt sich mit Zugriff auf den Rechner aushebeln.

Als sicherer gilt und standardmäßig empfohlen wird eine Festplattenverschlüsselung per LUKS, die allerdings die Lese- und Schreibzugriffe auf die Festplatte ein wenig verlangsamt und bei jedem Boot die Eingabe des Passworts auf der Kommandozeile verlangt. Für die Verschlüsselung auf Ordnerebene empfiehlt das Team die Verwendung von Werkzeugen auf Dateisystemebene wie mit Fscrypt für Ext4.

Das in Ubuntu genutzte OpenSSH ist nun so konfiguriert, dass RSA-Schlüssel mit Schlüssellängen unter 1.024 Bit abgelehnt werden. Standardmäßig nutzt Ubuntu für GPG in Bionic GnuPG in Version 2. Für das Einhängen von Netzwerklaufwerken per CIFS/SMB-Protokoll wird nun standardmäßig Version 2.1 oder höher und damit insbesondere SMB 3 genutzt. Zur Verwendung des veralteten und wenig sicheren SMB 1 muss diese Version explizit über eine Option gesetzt werden.

NTPD fliegt raus

Ersetzt hat das Ubuntu-Team außerdem NTPD mit dem NTP-Server Chrony. Empfohlen wird die Nutzung von Chrony aber auch nur, falls tatsächlich sein Server benötigt wird. Zur einfachen Zeitsynchronisation verweist das Team auf Timesyncd aus der Systemd-Werkzeugsammlung. NTPD wird außerdem nicht mehr im Haupt-Repository gepflegt, sondern nur noch in Universe.

Das bedeutet, dass das Team sich nur noch um Sicherheitsupdates für das Paket bemüht, aber keinen garantierten Support mehr dafür leistet. Nutzer, die bisher auf NTPD gesetzt haben, sollten mit dem Update also dringend auf Chrony wechseln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was Gnome-Nutzer erwartetNeuer Kernel und neue Netzwerkverwaltung 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

tuxer77 13. Jul 2018

"Allerdings ist diese konkrete Verschlüsselungstechnik nur ein Notbehelf, denn sie lässt...

Tamaskan 13. Mai 2018

Laut Golem-Artikel (https://www.golem.de/news/sled-12-im-test-die-sinnhaftigkeit-eines...

Gremlin2 07. Mai 2018

Nochmals Danke. :-) Ich muss an dieser Stelle (ungünstiger Weise) sagen: Trotz Interesse...

FreiGeistler 02. Mai 2018

Googlen und vergleichen. Diese Frage hängt zu sehr von Geschmack und Prioritäten ab, um...

FreiGeistler 02. Mai 2018

Deine Versionen werden wohl noch langsamer geupdatet als die von XFCE. Tearing ist schon...


Folgen Sie uns
       


    •  /