Posts by Nepomuk

Eine Sicherheitslücke ist eine Schwachstelle in Computersystemen, die es potentiellen Angreifern ermöglicht, Schaden an diesen anzurichten. Die Art des Schadens ist dabei mannigfaltig. Z.B. könnte eine solche Sicherheitslücke es potentiellen Angreifern erlauben, unbefugt auf ein System zuzugreifen; oder schadhaften Programmcode auszuführen; oder Daten abzugreifen; oder…

Ein einfaches (und sehr stark vereinfachtes) Beispiel: wenn man sich so im Internetz bewegt kennt man Eingabemasken. Z.B. hier im Forum muß man sich mit einer Mailadresse/einem Benutzernamen und einem Passwort anmelden. Die Passwörter werden in einer Datenbank gespeichert. Die meisten Menschen geben, wenn sie sich dann anmelden wollen, einfach ihren Benutzernamen und das Passwort ein. Was wäre aber, wenn ich anstatt meines Benutzernamens oder Passworts einen Befehl eingeben kann, der mir alle in der Passwort-Datenbank gespeicherten Passwörter anzeigt? Genau sowas wäre dann eine Sicherheitslücke.

Oder ein anderes, vielleicht greifbareres Beispiel: wenn um ein Gelände ein Zaun gespannt ist, in dem eine Lücke klafft, durch die Unbefugte sich Zutritt zu dem Gelände verschaffen und dort Schaden anrichten können, dann ist das eine Sicherheitslücke.

In den meisten Fällen ist es so, daß wenn eine solche Sicherheitslücke bekannt wird, schnell dafür Sorge getragen wird, die Sicherheitslücke zu schließen und somit wieder die Sicherheit der betroffenen Systeme und Programme herzustellen.

Und hier kommen wir nun zu dem Problem mit (veralteten) Betriebssystemen und Programmen, für die keine Sicherheitsupdates mehr zur Verfügung gestellt werden. Android 10 erhält seit März 2023 keine Sicherheitsupdates mehr. Wenn nun eine Sicherheitslücke entdeckt wird, gefährdet diese das System natürlich immens, da es eben keine Updates mehr für das System gibt, die diese schließen würden. Und das ist dann eben auch einer der Gründe, warum immer wieder davor gewarnt und abgeraten wird, veraltete Betriebssysteme und Programme zu nutzen.

Allerdings gehört auch zur Wahrheit, daß die Sicherheit eines Systems ganz maßgeblich von dessen Verwendung beeinflußt wird. Soll heißen: wenn man ein Gerät mit einem veralteten Betriebssystem nutzt, auf das niemand sonst Zugriff hat und mit dem man sich nicht im Internetz bewegt, dann ist das Risiko, daß damit etwas passieren kann natürlich ungleich geringer, als wenn man das Gerät zur Organisation des halben Lebens verwendet, inklusive Online-Banking, Shopping etc.

In diesem Sinne habe ich mir mal erlaubt, Deinen Eingangsbeitrag etwas anzupassen:

Quote from Onkel Tom

Meine Frau hat ein Android 10 Smartphone. Ich habe gelesen, wie soll ich es nur ausdrücken ? angreifbar potentiell gefährdet ist,

Angreifbar sind prinzipiell alle Computersysteme. Wie hoch die Erfolgschancen dabei sind, hängt aber von vielen verschiedenen Faktoren ab.

Und zum Abschluß noch eine kurze Anmerkung zur Verwendung verschiedener Mailadressen für verschiedene Online-Dienste: ein Vorteil, wenn dann doch mal ein e-Mailkonto kompromittiert werden sollte, ist, daß die Angreifer u.U. auch nur Zugrif auf die damit verknüpften Dienste erlangen können, nicht aber auf die, für die man ein anderes e-Mailkonto verwendet hat.

^{(Boah, ich glaube, das ist der längste Text, den ich seit langem im Internetz verfaßt habe o.O)}

Quote from recaremo

Na - wer weiß es.

Mr. Robot

Quote from rrbs

Nepomuk

Ja nur wenn man sein Notebook etc richtig einrichtet, dann startet es doch eh nur, wenn ich das mache, da kann nix fremdes ran.

Secure Boot hat nichts mit Zugangskontrolle zu tun. Das Verfahren soll frühzeitig, also noch vor dem eigentlichen Boot des Betriebssystems, sicherstellen, daß lediglich signierte und zulässige Komponenten, die die Firmware ausführt, geladen werden. Das soll vor allem verhindern, daß bereits während der frühen Systeminitialisierung etwaiger Schadcode ausgeführt wird. Darüber hinaus kann Secure Boot im Zusammenspiel mit anderen Komponenten wie einer vollständigen Systemverschlüsselung und einem TPM genutzt werden, eine weitreichende Sicherheitskette herzustellen.

Quote from rrbs

Also fuer mich kommt der schlechte Ruf, weil es von MS ist.

Nochmals, Secure Boot stammt nicht von Microsoft sondern ist ein vom UEFI Konsortium definiertes Protokoll/definierter Standard. Microsoft ist Mitglied dieses Konsortiums. Allerdings ist Microsoft die Certification Authority (CA) für Secure Boot, was dann wohl auch der Grund dafür ist, daß viele Menschen glauben, es sei ein von Microsoft definierter Standard.

Persönlich halte ich den letzten Punkt für kritisch und hätte mir gewünscht, daß eine möglichst unabhängige Partei als CA gewählt worden wäre. Und natürlich bietet auch Secure Boot keinen 100% Schutz. Ich halte den Ansatz und Gedanken dahinter aber für absolut sinnvoll.

Um das ganze zum Abschluß noch mal mit einem kleinen Auszug aus dem Debian Wiki abzurunden:

Quote

What is UEFI Secure Boot NOT?

UEFI Secure Boot is not an attempt by Microsoft to lock Linux out of the PC market here; Secure Boot is a security measure to protect against malware during early system boot. Microsoft act as a Certification Authority (CA) for Secure Boot, and they will sign programs on behalf of other trusted organisations so that their programs will also run. There are certain identification requirements that organisations have to meet here, and code has to be audited for safety. But these are not too difficult to achieve.

Secure Boot is also not meant to lock users out of controlling their own systems. Users can enroll extra keys into the system, allowing them to sign programs for their own systems. Many Secure Boot-enabled systems also allow users to remove the platform-provided keys altogether, forcing the firmware to only trust user-signed binaries.

Quelle: https://wiki.debian.org/SecureBoot#Wha…ure_Boot_NOT.3F

Quote from KP59 (Ex-Scheinich)

Microsoft, kein Scherz!

Ja, das ist die Crux an der Sache, weshlab Secureboot auch gerade in der *nix Gemeinschaft keinen guten Ruf hat, glaube ich (nicht ganz zu Unrecht, wie ich finde). Man kann unter Linux aber auch ganz einfach seine eignen Schlüssel erstellen. Dann legt man die Vertraulichkeit eben selber fest.

Quote from Stardenver

In den 80ern waren es Untote, heute ist der Ausfall des Internet die Apokalypse

Ja, weil sich herausgestellt hat, daß die gar nicht so blutrünstig sind, wie damals dargestellt. Tatsächlich starren die meisten nur völlig apathisch auf irgendwelche rechteckigen Geräte und nehmen die meiste Zeit ihre Umgebung überhaupt nicht wahr.

Back to topic, klingt interessant, wobei jetzt irgendwie auch nicht neu. Vielleicht gebe ich mir das mal.

Prima Artikel und eine tolle Zeitreise durch die eigene Linuxgeschichte. Hat ein paar schöne Erinnerungen wachgerufen. Hat mir sehr gefallen!

Für mich auch nichts, aber wenn es anderen Menschen hilft, sich besser in einem neuen System zurechtzufinden und sie ermutigt, umzusteigen, dann ist doch alles in Ordnung. Alles geht, nichts muß.


Beim Namen habe ich als allererstes an Atuin gedacht und mich gefragt, wieso es dazu einer eigenen Distribution bedarf. ^ ^

Quote from Rolfi

[...]

Quote from kim88

[...]
Hier zu sagen ein paar Feld und Wiesen Hobby-Entwickler können da problemlos mithalten ist absolut lächerlich.

Um die Beiträge von Rolfi und kim noch mit ein paar Zahlen zu ergänzen:

LOC Linux Kernel: 40.698.792 (Stand heute)
LOC Firefox: 43.921.528*

* https://openhub.net/p/firefox/anal…nguages_summary

LOC = Lines of Code; die totale Anzahl von Code-Zeilen, also inklusive leerer Zeilen und Kommentaren.

[off topic]
Übrigens, um mal einen Eindruck davon zu gewinnen, wie es den Menschen mitunter so (er-)geht, die in ihrer Freizeit freiwillig Software programmieren und der Allgemeinheit zur Verfügung stellen, dazu kann ich jedem und jeder nur den Podcast "Das wichtigste Hobby der Welt" ans Herz legen: https://www.ardaudiothek.de/episode/wild-w…lt/br/14442077/
[/off topic]

Ehrlich gesagt kann ich selber gar nicht beurteilen, wieso sich der Firefox Browser mittlerweile so schwer tut bzw. was andere Browser besser machen, als Firefox, das dessen stetigen Rückgang erklären würde. Ich lebe diesbezüglich aber tatsächlich auch in einer Blase, da ich immer schon Firefox oder Derivate verwendet habe und persönlich absolut zufrieden damit bin. Klar, Mozilla hat sich in der Vergangenheit beim Thema Kommunikation nicht immer mit Ruhm bekleckert, wie gerade jüngst mit den neuen Nutzungsbedingungen; wobei ich ehrlich gestehen muß, daß es oftmals auch nicht mehr leicht ist zwischen berechtigter Kritik und dem typischen Internetz-Wut-Gezeter zu unterscheiden. Aber da die rückläufige Nutzung des Browsers ja schon bereits seit einiger Zeit voranschreitet, kann das alleine nicht der Grund sein.

Wie dem auch sei, ich persönlich werde dem Rotfuchs bzw. seinen Derivaten weiterhin treu bleiben- bis ich vielleicht irgendwann tatsächlich auf einen Browser stoße, der mir mehr zusagt oder Mozilla irgendwelche Kapriolen schlägt, die mich vergrämen.

Quote from Borrtux

Die Allermeisten ja.

Je nach Distri sind einige Befehle anders.

Um das vielleicht noch mal ein wenig zu konkretisieren: viele Befehle sind UNIX Standardbefehle, die auf allen UNIX-artigen Systemen, also Linux, *BSD und sogar macOS funktionieren. Ein ls zum auflisten von Dateien und Ordnern funktioniert also auf allen genannten Systemen gleichermaßen.

Es kann aber durchaus sein, daß erst bestimmte Voraussetzungen erfüllt sein müssen, damit ein Befehl funktioniert, z.B., daß das Programm überhaupt installiert ist. Das ist z.B. bei dem inxi Befehl, der hier im Forum immer gerne gefordert wird, der Fall, da es sich dabei nicht um ein Standardprogramm handelt.

Und dann wären da noch Distributions-spezifische Programme, wie z.B. die jeweiligen Paketmanager, mit denen die verschiedenen Distributionen ihre (installierbaren) Programme verwalten, also apt bei Debian-basierten Systemen, dns bei Fedora, pacman bei Arch Linux usw. usf.

Und theoretisch kann man sich mit diesen Befehlen auch eine Menge zerdeppern, weshalb es prinzipiell auch ratsam ist, nicht einfach blindlings alles, was man so im Internetz findet, in die Konsole zu kopieren und abzuschicken. Aber im Großen und Ganzen sind die meisten Befehle harmlos und hier im Forum geht es ja auch eher darum, sich gegenseitig zu helfen.

Ach ja, und wenn einen dann doch wieder die Angst vorm Terminal packt: ein beherztes exit oder Strg+D schafft ganz schnell Abhilfe! ^ ^

Quote from Gonzo-3004

Dafür musste mein Void weichen

Ach, interessant! Void Linux ist eine der ganz wenigen Distributionen, die ich wirklich noch interessant finde. Muß aber zugeben, daß ich selbst doch immer wieder Arch installiere. Macht der Gewohnheit und so oder andere Gründe.

exportieren -> Speicher-Optionen -> Speicherziel

Quote from Lore74

Vielleicht ist das die bessere Lösung, gleich ein Laptop mit Linux anzuschaffen, Danke

Ich glaube, am hilfreichsten wäre es, wenn Du erst einmal (für Dich) entscheidest, was Du eigentlich erreichen willst.

Willst Du Linux erst einmal ausprobieren? Dann glaube ich, ist ein neuer Laptop overkill; es sei denn, Du bist Bastler, neugierig und hast Spaß daran, Neues auszuprobieren. Aber Laptops mit vorinstalliertem Linux bekommt man auch nicht einfach so an jeder Straßenecke.

Um in ein Linuxsystem einfach mal hineinzuschnuppern, ist eine sogenannte Live-Distribution, die man von einem USB-Stick starten kann, eine wirklich einfache und komfortable Option. Natürlich kann man sich auch gleich ein Linuxsystem auf eine externe Festplatte installieren und von dort starten. Das ist aber definitiv mit mehr Aufwand verbunden. Unter anderem muß man dabei sicherstellen, daß das zu installierende System auf dem richtigen Datenträger landet und nicht aus Versehen ein bestehendes System (z.B. Windows) überschrieben wird, weil die falsche Festplatte ausgewählt wurde.

Eine andere Möglichkeit besteht darin, Linux in einer virtuellen Maschine unter Windows zu installieren. Das ist aber ebenfalls mit einigem (technischem) Aufwand verbunden. Wie fit Du mit Computern bist und inwiefern Du Dir das zutraust, kannst natürlich nur Du entscheiden.

Da fällt mir doch gleich wieder xkcd ein...

Ich werfe noch mal https://explainshell.com/ in den Raum, wenn man mal im Internetz einen Befehl aufschnappt, sich aber nicht sicher ist, was der bewirkt. Kann mitunter ganz hilfreich sein.

Quote from JensA

Verstehe ich das richtig dass ich [...] die beiden subvolumes separat formatieren kann, quasi wie Partitionen?

Nein. Um Btrfs Subvolumes anlegen/nutzen zu können, muß der Datenträger natürlich mit Btrfs formatiert werden

Quote from JensA

Und darüber hinaus, wäre es denkbar verschiedene Linux Systeme nebeneinander zu installieren indem der Bootprozess auf das jeweilige subvolume für root zeigt?

Das ist möglich, erhöht aber selbstverständlich den Installations-/Konfigurationsaufwand.

Quote from Gamma

Hat denn nun jemand von der letzten 5er mit Unbound ein Upgrade auf die 6er Erfolgreich durch gemacht?

Ja, auf zwei Systemen: einem Debian 12 Bookworm und einem Raspberry Pi OS, ebenfalls Debian 12 Bookworm. Auf beiden Systemen vollrichtet Pi-Hole im Zusammenspiel mit unbound seinen Dienst. Das Update ist auf beiden Systemen absolut reibungslos durchgelaufen.

Ist leider untergegangen; ich weiß nicht, was Du mit "automatischer Verschlüsselung" meinst, aber ja, es ist auch möglich mittels LVM mehrere Festplatten zu einer Volumengruppe zusammenzufassen und diese anstatt den Datenträger/die Partition mit LUKS zu verschlüsseln. Ist etwas komplexer, als einfach nur eine Festplatte zu verschlüsseln. Sollte dann allerdings eine der Festplatten der LVM Volumengruppe ausfallen, kann auch auf den Rest der Gruppe nicht mehr zugegriffen werden bzw. gehen unter Umständen alle Daten verloren.

Ich habe keine Probleme. Heute abend erst wieder Mails abgeholt- ohne Murren und Knurren.

Quote from Gerbil

Ich würde da auf keinen Fall an der Systemverwaltung vorbei am installierten System vorbei wurschteln. Wozu gibt's im Home Verzeichnis den .theme und den .icons Ordner?!

^ Dies.

Das Thema ist ja bereits durch, aber noch so als Anmerkung, die Dateien im /usr/share Verzeichnis unterzubringen ist eigentlich nur nötig, wenn man sie systemweit installieren will. Wenn das System aber eh nur von einem Benutzer/Benutzerin verwendet wird, kann man sie auch einfach im eignen /home Verzeichnis in den dafür vorgesehenen Verzeichnissen speichern. Weniger Aufwand und verringert die Gefahr, am System Schaden anzurichten.

Quote from Scheinich

Und wo schließt Du die an?

Beim Zero geht das nur über einen USB-zu-NVMe/SSD-Adapter. Lediglich für den Raspberry Pi 5 gibt es mittlerweile eine Erweiterungskarte für M.2/NVMe Karten: https://www.raspberrypi.com/products/m2-hat-plus/

Alternativ dazu könnte man aber auch darüber nachdenken, das Betriebssystem einfach auf einen USB-Stick zu schieben. Die sind in der Regel etwas stabiler und verläßlicher, als SD Karten.

Darüber hinaus kann man das System noch so konfigurieren, daß die Zugriffe auf die Speicherkarte verringert werden und Ordner in eine RAM-Disk ausgelagert werden (was aber natürlich auch heißt, daß die dort enthaltenen Daten nach einem Neustart weg sind). Außerdem kann das Raspberry Pi OS mittels OverlayFS so konfiguriert werden, daß für das root-Dateisystem lediglich Leserechten gewährt werden, wodurch die SD Karte ebenfalls etwas geschützt wird (auch hier gilt, Änderungen werden lediglich in einen temporären Speicher geschrieben und sind nach einem Neustart weg).

Ich persönlich habe keine nennenswerten schlechten Erfahrungen mit SD Karten gemacht. Aber ja, ein wirklich verläßliches Speichermedium für ein Betriebssystem sind die Teile nicht. Empfehlenswert ist sicher auch, von einem funktionierenden System ein komplettes Backup zu machen. Das kann dann einfach auf eine neue SD Karte geschrieben werden, wenn was schiefgeht.