26

Re: veiligheid Linux huis computer.

Ik geef mijn vrijheid niet op!
Ik fiets vrij en blij wink

Slackware 64  14.2

Re: veiligheid Linux huis computer.

Live life 2 the edge.... tis iig gezond!

28 Laatst bewerkt door devtroll (01 Apr 2017 18:44:49)

Re: veiligheid Linux huis computer.

Grappig. Mijn racefiets is net weer seizoensklaar.  Bijna alles vervangen op de buitenbanden na smile.

https://dump.3x3.work/perma/ahtooJ1loochie5Quahu/fiets.jpg

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

29

Re: veiligheid Linux huis computer.

Reflectie plaatje ,verlichting voor achter,goeie bel?
Allweater banden nemen altijd goed.

Veel plezier met fietsen.

Groet.

Slackware 64  14.2

Re: veiligheid Linux huis computer.

Eerde schreef:

Desktop & debieltje zou ik scheiden vanwege zéér verschillende veiligheidsrisico's ! Android heeft een Linux kernel, verder nix nie.

Android sandboxed elke applicatie met SELinux. Het probleem op Android is meer het gebrek aan updates voor alles wat geen Nexus/Pixel is. Dus op een ander Android toestel is een groot scala aan lekken bekend, van Stagefright tot local root exploits waarmee een applicatie uit de sandbox kan breken.

Er is maar één lijn van veilige Android toestellen anno 2017, namelijk de Nexus en de Pixel. Persoonlijk zou ik gewoon weer een dumb phone gebruiken als er geen iPhone of Pixel was (of ik het me niet kan veroorloven). De rest van Android is gewoon Russisch roulette. Er hoeft niks te gebeuren, maar er kan je ook narigheid overkomen, van identiteitsdiefstel, jatten van bankgegevens, tot cryptolocker.

Desktop is redelijk te beschermen, SELinux & Apparmor standaard in openSuSE Leap [en daarvoor al].

Hoogstwaarschijnlijk levert openSUSE alleen profielen voor server-applicaties (de openSUSE leap handleiding lijkt dit te bevestigen). Dus tenzij je zelf profielen gaat schrijven voor applicaties die communiceren met de buitenwereld (wat 99.9% van de gebruikers niet doet), is het model nog steeds 'één exploit in een browser, chat client, etc., en je machine is 0wned'. En zelfs als OpenSUSE AppArmor zou gebruiken voor GUI applicaties die internet gebruiken, zou het een redelijke schijnveiligheid zijn. Zoals ik hier al vaak genoemd heb, kan onder X11 een applicatie de keystrokes en mouse-events van elke andere X11 applicatie lezen en screengrabs maken. Ideaal als je dus iemand's wachtwoorden e.d. wilt afluisteren.

De enige distributeur die *iets* aan veiligheid op de desktop doet is Red Hat. Fedora gebruikt inmiddels Wayland en heeft hierdoor GUI isolatie tussen applicaties (mits je videokaart ondersteund wordt) en ze zijn bezig sandboxing voor Flatpak apps [1].

Helaas staat staat sandboxing, zelfs bij Flatpak, nog in de kinderschoenen en er moet nog veel gebeuren. Als je een GUI applicatie sandboxed, dan loop je tegen veel meer user interface problemen op. Stel bijvoorbeeld dat je LibreOffice Writer sandboxed. Dit betekent dat LibreOffice niet de home directory kan zien. Maar een gebruiker wil natuurlijk wel documenten kunnen openen. Je hebt dan bijv. een aparte geprivilegeerd proces nodig dat Open/Save dialogen kan tonen en bij het kiezen van een file het bestand zichtbaar maakt in een container (bijv. met een hardlink). Dit betekent echter dat je GUI toolkits moet aanpassen zodat dergelijke dialogen afgehandeld worden door een ander proces. Waarschijnlijk moet je nogal wat applicaties aanpassen die allerhande custom dialogen hebben. Dan zijn er applicaties die nog oude toolkits gebruiken (bijv. veel Gtk+2 en Qt4). Verder hebben heel erg veel applicaties allerlei assumpties die waarschijnlijk geen stand meer houden (bijv. er is een /proc filesystem waar ik ongelimiteerd bij mag).

De grootste bedreiging zit wederom achter 't toetsenbord, die sukkel... vóór 't scherm.

Nou, niet alleen dus. Als desktopsysteem staat Linux qua veiligheid ver onderaan. Op Fedora/RHEL na werkt iedereen nog met een systeem met een veilgheidsmodel uit de jaren '70, met daarop een grafische omgeving met een veiligheidsmodel uit de jaren '80. Ok, waarschijnlijk doen OS/2 en misschien FreeBSD het nog beroerder.

Het is dat Linux op de desktop vrij obscuur is en daarom minder interessant. Als black hats zich meer op de Linux desktop zouden gaan richten, zou het een ramp worden.

[1] https://github.com/flatpak/flatpak/wiki/Sandbox

Re: veiligheid Linux huis computer.

devtroll schreef:

Grappig. Mijn racefiets is net weer seizoensklaar.  Bijna alles vervangen op de buitenbanden na smile.

Meh, dit geeft me een slecht geweten. Ik moet nodig wat aan m'n fiets doen. Maar geen tijd hmm.

Ik fiets elke dag op en neer naar werk, soms met een paar honderd meter hoogteverschil, dus een functionerende fiets is essentieel wink.

32 Laatst bewerkt door QzZRBNMdJdsCmwx (01 Apr 2017 19:32:38)

Re: veiligheid Linux huis computer.

Fietser schreef:

Als ik een security  mailtje krijg van slackware.com draai ik even slackpkg update en instal .
Ben ik weer helemaal bij.

Maar alle externe software die je op Slackware installeert moet je met de hand updaten.

Ook een veiligheidsdingetje waar veel mensen niet van op de hoogte zijn: op Ubuntu LTS worden krijgen alleen de 'main' en 'restricted' repositories vijf jaar security updates. universe en multiverse, waar veruit de meeste packages in zitten, hebben die garantie niet en worden potentieel helemaal niet bijgewerkt met security updates.

Sterker nog, er zijn tientallen, zo niet honderden ongecontroleerde en ongepatchte CVEs (zelfs in de laatste LTS versie):

https://people.canonical.com/~ubuntu-se … verse.html

33

Re: veiligheid Linux huis computer.

"De grootste bedreiging zit wederom achter 't toetsenbord, die sukkel... vóór 't scherm."

Nou, niet alleen dus. Als desktopsysteem staat Linux qua veiligheid ver onderaan. Op Fedora/RHEL na werkt iedereen nog met een systeem met een veilgheidsmodel uit de jaren '70, met daarop een grafische omgeving met een veiligheidsmodel uit de jaren '80. Ok, waarschijnlijk doen OS/2 en misschien FreeBSD het nog beroerder.

Probeer 't verschil tussen "de grootste" & "de enige" te begrijpen...
Verder geneuzel ! wink

Lange tenen zijn uitstekend, dus bij uitstek, geschikt om op te gaan staan !
__________________
"Never a dull moment"

Re: veiligheid Linux huis computer.

Eerde schreef:

Probeer 't verschil tussen "de grootste" & "de enige" te begrijpen...
Verder geneuzel ! wink

Bedankt voor deze grote bijdrage aan de discussie.

(Ik zou betogen dat een OS zonder veel beveiliging minsten's zo'n groot gevaar is als de gebruiker. Als een gebruiker op een attachment met een trojan klikt, dan kan die trojan niet veel uithalen als de mailapplicatie sandboxed is. Hetzelfde geldt voor phishing, een OS met goede ondersteuning voor 2FA voorkomt phishing. Op Linux zijn we nog udev regels aan het tikken om bijv. U2F authenticatie te doen.)

35

Re: veiligheid Linux huis computer.

dedevrandom schreef:

Maar alle externe software die je op Slackware installeert moet je met de hand updaten.

De slackware gebruiker moet dus regelmatig kijken op slackbuilds en bij Alienbob of de pakkettje nog up to date zijn?

Groet.

Slackware 64  14.2

Re: veiligheid Linux huis computer.

Fietser schreef:
dedevrandom schreef:

Maar alle externe software die je op Slackware installeert moet je met de hand updaten.

De slackware gebruiker moet dus regelmatig kijken op slackbuilds en bij Alienbob of de pakkettje nog up to date zijn?

Ja, en/of de CVE lijsten. Want als de SlackBuild maker z'n SlackBuild niet updated, dan merk je niet dat er een kwetsbaarheid is. Toen ik nog Slackware gebruikte, was ik lid van de Debian security lijst. Aangezien Debian bijna elke package in het universum heeft wink, is het een redelijk goede manier om Linux-gerelateerde vulnerabilities bij te houden.

Uiteraard kun je wat missen als een package niet in Debian zit of als Debian een niet-kwetsbare versie heeft, maar het is heel erg veel beter dan helemaal niets.