Volle Kontrolle über deine Daten? Die hast du doch bereits sofern du dich willentlich einarbeitest. Und was hindert dich bitte daran beispielsweise Privoxy zusammen mit Tor zu verwenden?
Aber zunächst einmal bei der grundlegenden Fragestellung verblieben: Was ist denn ein "Linux"? Du möchtest also den blanken Kernel nutzen, ohne weitere Anwendungen? Kannst du machen, aber irgendwie habe ich den Eindruck, dass du dich nur wenn sehr oberflächlich damit beschäftigt hast und eine Lösung auf GUI-Ebene erwartest. Was soll dir also "Linux" anbieten?
Auf der Ebene von Distributionen gibt es beispielsweise Qubes OS oder wie wäre es mit einer dezidierten Appliance? Die Desktopumgebungen haben sich auch nicht zum Ziel gesetzt irgendein Angebot in dieser Richtung zu definieren. Das musst du dir schon selbst konfigurieren und dazu gibt es reichlich Möglichkeiten!
Von Tom Arnold am Mo, 9. September 2019 um 12:30 #
Das war klar, dass Qubes OS wieder als Gegenbeispiel genannt wird. Aber das habe ich mal probiert und das erfüllt "einfach" und bequem in keinster Weise. Ich will einfach die Kontrolle darüber welches Programm eine Netzverbindung aufbauen darf oder meine Location oder oder versendet. Darüber hat man im Moment nicht wirklich einfach die Kontrolle unter alles DEs. Ich möchte gefragt werden wenn ein Programm ins Netz möchte und über welche Netzwerkschnittstelle und sowas sollte schon ins DE einbaut sein, damit das komfortabel ist. Das ist aber bei allen Linux Desktops komplette Fehlanzeige, vielleicht auch weil die meisten User darin offensichtlich (siehe deine Antwort) keinen Sinn drin sehen...
Die Suche nach "komfortabel" und "bequem" bezahlt Mensch aber deutlichst höher: Du hast doch eben Möglichkeiten und entsprechend ist eine solche Möglichkeit, welche du dir hier wünschst, dann auch die allseits fehleranfällige "Dekstop-Firewall", richtig?
Ich hatte doch bereits erste Alternativen benannt und ergänze gerne noch:
- Kombination von Prioxy und Tor für den Einsatz im Webbrowser? - Verwendung eines entsprechenden Router mit OpenWRT, welchen man selbst ergänzen und erweitern kann? Oder auch IP-Fire? - iptables und GUFW?
Und du möchtest das auf der Ebene der Desktopumgebung eingesetzt wissen? Dabei wäre doch weit vorher bereits Bedarf: Warum willst du erst Daten quasi Einlass gewähren und sie nicht direkt blockieren, also nur selektieren?
Ich hatte doch bereits erste Alternativen benannt und ergänze gerne noch:
Du hast keine Alternativen genannt, sondern nur Hacks.
Also Bastellösungen um mit viel Gebastel, das gewünscht irgendwie doch hinzukriegen.
Der TS hat allerdings Recht und anstatt ihn zu unterstützen, greifst du ihn mit Hacks an, weil du dein Linux verletzt fühlst. Das ist übrigens eines der wesentlichen Phänomene in der Open Source Community, man ist nicht offen für neues, sondern verteidigt den Ist Zustand des bestehenden, als hätte man zur Blasphemie aufgerufen. Du musst umdenken und du solltest lernen umzudenken.
Wenn eine echte Firewall-Appliance, mit welcher wirklich das komplette Netzwerk sauber aufgeteilt werden kann, als "Hack" definiert wird, dann ist defakto wirklich genug geschrieben worden, um zu erkennen wohin die Debatte verläuft.
Es geht hier aber nicht um Netzwerkfirewalls die in einem zweiten Gerät stecken, sondern um eine auf Systemebene arbeitende Firewall die auch auf Anwendungsebene Verbindungsversuche unterbrechen oder erlauben kann.
Diese Netzwerkfirewalls nützen dir nämlich gar nichts, wenn eine Schadsoftware einfach die für den Browser gedachten und erlaubte Verbindungen nutzt, weil die Firewall im Router nicht zwischen den Anwendungen auf den Clientrechnern unterscheiden kann.
Lies dazu mal meine Antwort auf den TS, da kannst du nachlesen, wie man clientseitig so etwas richtig implementieren könnte.
Natürlich ist die Infrastruktur nicht da, das kannst du in meinem Posting ja nachlesen. Aber da muss man auch mal etwas weiter denken. Deswegen, lies nochmal meinen ersten Satz in diesem Kommentar.
Du bist nicht in der Lage eine Firewall zu installieren und auch eine entsprechende Konfiguration vorzunehmen, aber möchtest durch eine geeignete Software gefragt werden ob sie ins Netz darf? Du willst also sagen, dass du in der Lage bist zu beurteilen ob eine Anwendung sich korrekt verhält oder nicht, naja. Kleine Empfehlung - Firewalld und URW können entsprechend eingerichtete Profile nutzen, man muss sich da halt nur mit beschäftigen. Ein Programm kann nur etwas versenden, wenn auch der entsprechende Port dafür offen ist und welche Ports offen sind bzw. durch welches Programm diesen nutzt, dafür gibt es genügend Software.
Gegenfrage:
Du erlaubst einer Software per Mausklick das Sie ins Netz darf, dann kommt ein Update und die Software verhält sich beim Umgang mit deinen persönlichen Daten anders, wie willst du das bemerken?
Mal so am Rande, die Analyse von Netzwerkverkehr machst du nicht einfach mal so, wer so etwas behauptet ist schlicht unseriös. Sicherheit ist im übrigen zur Zeit nicht bequem, unter keinem Betriebssystem, du suchst etwas, was unter Windows XP als Schadensbegrenzer eingeführt worden ist, der Rest ist Geschichte. Sicherheit ist immer mehrschichtig und benötigt leider sehr viel Fachwissen.
aber möchtest durch eine geeignete Software gefragt werden ob sie ins Netz darf? Du willst also sagen, dass du in der Lage bist zu beurteilen ob eine Anwendung sich korrekt verhält oder nicht, naja.
Naja. Ich glaub, das selbst ein unbedarfter Nutzer versteht, das ein Browser ins Internet gehen können muss aber es schon eher Zweifel gibt, wenn plötzlich das "Schreibprogramm" ins Internet will. Auf solcher Ebene sind da also selbst vom Laien durchaus schon Entscheidungsfähigkeiten da.
Man kann jetzt einwenden, das das alles nicht perfekt ist. Richtig. Aber perfekt kriegst Du eh nicht hin. Und es ist immer noch besser, wenn der Nutzer eine weniger effektive Sicherheitsmaßnahme umsetzt als gar keine.
Was man allenfalls dazu sagen kann ist, das sich der Anwender bewusst sein muss, das die Sicherheitsmaßnahme eher suboptimal ist, damit du nicht den Effekt hast, das sich der Nutzer in falscher Sicherheit wiegt.
Ein Programm kann nur etwas versenden, wenn auch der entsprechende Port dafür offen ist
Na lokal darf ein Programm immer einen Port für eine IP-Verbindung aufmachen. Klar kannst Du auch hier per-Programm-Filterregeln aufstellen, aber standardmäßig wird das von den diversen Firewall-Skripten nicht gemacht.
Hallo Axel Voss, dein Name passt übrigens zu deinem Geschreibsel.
Kleine Empfehlung - Firewalld und URW können entsprechend eingerichtete Profile nutzen, man muss sich da halt nur mit beschäftigen.
Das Problem ist hier doch, dass Firewall Regeln an Ports gebunden werden und die Erlaubnis zur Nutzung dieser Ports nicht an die ausführbaren Executables gebunden wird.
Insofern hilft die beste Firewallregel nichts, wenn sich ein Programm einfach irgendeinen beliebigen Port schnappen kann, der gerade geht und rauswählen lässt.
Was es hier also bezüglich der Firewall fehlt ist mehr Intelligenz auf der Ebene zwischen der TCP/UDP Schicht und der Anwendungsschicht. Und da hat der TS nun einmal Recht.
Du erlaubst einer Software per Mausklick das Sie ins Netz darf, dann kommt ein Update und die Software verhält sich beim Umgang mit deinen persönlichen Daten anders, wie willst du das bemerken?
Ich beweise dir, das dies jetzt ein 0 Argument ist.
Beweisführung:
Du könntest auch einen Autounfall haben, das Auto schleudert dich auf einen Baum und ein Ast befindet sich in der Flugbahn, der durchbohrt dir den Hintern, so dass er am Auge wieder herauskommt, aber das ist nicht deine Todesursache, sondern der Ast macht durch die kinetische Energie an seinem Ende noch einmal eine Biegung durch Nachbars Katze die auf dem Baum sitzt, die Katze schlägt darauf mit der Pfote auf deinen Kopf und das führt zu inneren Blutungen im Gehirn und wegen denen stirbst du dann.
Fazit: Auf Biegen und Brechen sich was ausdenken, ist keine niveauvolle sinnvolle Antwort, zumal dir die normalen Firewallregeln, die du mit 1000 Stunden Herzblut und 50 h Hirnschmalz bei Vollmond in mühseliger Kleinarbeit zusammengepuzzelt hast, bei so etwas auch nicht helfen.
Also ein 0 Argument.
D.h. natürlich kann so etwas vorkommen, aber dagegen hilft weder die normale FW Regel noch eine dauerhafte Freischaltung von Anwendungen für den Zugriff auf bestimmte Ports. Es ist einfach eine windschiefe Argumentation um doch irgendwie dagegen gröhlen zu können.
Von Verfluchtnochmal_5987108 am Mi, 11. September 2019 um 10:26 #
Feuchte Mädchenträume im Kontext Kernelinfrastruktur gehören aber nicht in ein kde topic ihr Wahnsinnigen!
Ob es schlau wäre WENN es diese mal gibt wieder für jede DE eine eigene Anwendung zu frickeln statt sich mal darum zu kümmern dass qt/gtk basierte Anwendungen im jeweils anderen Desktop als Fremdkörper erscheinen
Du könntest bei Fedora Silverblue fündig werden. Das ist noch in der Entwicklung, aber es setzt stark auf SELinux und Flatpak für die Anwendungen, das heißt jede Anwendung läuft erst mal in einem Container und muss sich Berechtigungen beim Benutzer einholen z.B für Netzwerk oder um die Webcam einzuschalten. Dann erscheint auch ein entsprechender GUI-Dialog.
QubesOS ist nett, dürfte aber viele Benutzer mit seinem Domänenkonzept schlicht überfordern. Auf der Implementierungsseite ist QubesOS mit seinen ganzen VMs auch recht komplex und da Komplexität der natürliche Feind von Sicherheit ist, sehe ich das etwas zwiegespalten.
Ändert aber nun einmal wenig daran, dass es durchaus Möglichkeiten gibt und die Forderung nach einer einfachen, bequemen und allumfassenden Lösung nicht funktioniert. Das Gegenteil: Am Schluss entsteht ein deutlich verzerrtes Bildnis in Sachen "Sicherheit".
Volle Kontrolle über deine Daten? Die hast du doch bereits sofern du dich willentlich einarbeitest. Und was hindert dich bitte daran beispielsweise Privoxy zusammen mit Tor zu verwenden?
Aber zunächst einmal bei der grundlegenden Fragestellung verblieben: Was ist denn ein "Linux"? Du möchtest also den blanken Kernel nutzen, ohne weitere Anwendungen? Kannst du machen, aber irgendwie habe ich den Eindruck, dass du dich nur wenn sehr oberflächlich damit beschäftigt hast und eine Lösung auf GUI-Ebene erwartest. Was soll dir also "Linux" anbieten?
Auf der Ebene von Distributionen gibt es beispielsweise Qubes OS oder wie wäre es mit einer dezidierten Appliance? Die Desktopumgebungen haben sich auch nicht zum Ziel gesetzt irgendein Angebot in dieser Richtung zu definieren. Das musst du dir schon selbst konfigurieren und dazu gibt es reichlich Möglichkeiten!
Das war klar, dass Qubes OS wieder als Gegenbeispiel genannt wird. Aber das habe ich mal probiert und das erfüllt "einfach" und bequem in keinster Weise.
Ich will einfach die Kontrolle darüber welches Programm eine Netzverbindung aufbauen darf oder meine Location oder oder versendet. Darüber hat man im Moment nicht wirklich einfach die Kontrolle unter alles DEs. Ich möchte gefragt werden wenn ein Programm ins Netz möchte und über welche Netzwerkschnittstelle und sowas sollte schon ins DE einbaut sein, damit das komfortabel ist. Das ist aber bei allen Linux Desktops komplette Fehlanzeige, vielleicht auch weil die meisten User darin offensichtlich (siehe deine Antwort) keinen Sinn drin sehen...
Die Suche nach "komfortabel" und "bequem" bezahlt Mensch aber deutlichst höher: Du hast doch eben Möglichkeiten und entsprechend ist eine solche Möglichkeit, welche du dir hier wünschst, dann auch die allseits fehleranfällige "Dekstop-Firewall", richtig?
Ich hatte doch bereits erste Alternativen benannt und ergänze gerne noch:
- Kombination von Prioxy und Tor für den Einsatz im Webbrowser?
- Verwendung eines entsprechenden Router mit OpenWRT, welchen man selbst ergänzen und erweitern kann? Oder auch IP-Fire?
- iptables und GUFW?
Und du möchtest das auf der Ebene der Desktopumgebung eingesetzt wissen? Dabei wäre doch weit vorher bereits Bedarf: Warum willst du erst Daten quasi Einlass gewähren und sie nicht direkt blockieren, also nur selektieren?
Du hast keine Alternativen genannt, sondern nur Hacks.
Also Bastellösungen um mit viel Gebastel, das gewünscht irgendwie doch hinzukriegen.
Der TS hat allerdings Recht und anstatt ihn zu unterstützen, greifst du ihn mit Hacks an, weil du dein Linux verletzt fühlst.
Das ist übrigens eines der wesentlichen Phänomene in der Open Source Community, man ist nicht offen für neues, sondern verteidigt den Ist Zustand des bestehenden, als hätte man zur Blasphemie aufgerufen.
Du musst umdenken und du solltest lernen umzudenken.
Wenn eine echte Firewall-Appliance, mit welcher wirklich das komplette Netzwerk sauber aufgeteilt werden kann, als "Hack" definiert wird, dann ist defakto wirklich genug geschrieben worden, um zu erkennen wohin die Debatte verläuft.
Es geht hier aber nicht um Netzwerkfirewalls die in einem zweiten Gerät stecken, sondern um eine auf Systemebene arbeitende Firewall die auch auf Anwendungsebene Verbindungsversuche unterbrechen oder erlauben kann.
Diese Netzwerkfirewalls nützen dir nämlich gar nichts, wenn eine Schadsoftware einfach die für den Browser gedachten und erlaubte Verbindungen nutzt, weil die Firewall im Router nicht zwischen den Anwendungen auf den Clientrechnern unterscheiden kann.
Lies dazu mal meine Antwort auf den TS, da kannst du nachlesen, wie man clientseitig so etwas richtig implementieren könnte.
iptables / nftables laufen aber da wo sie hingehören, nämlich im Kernel und nicht in der DE
Meine Lösung würde weiterhin im Kernel laufen.
Die GUI ist nur zum Freischalten da. Lies dazu mal mein anderes Posting.
Du hast keine Lösung weil die Infrastruktur dafür schlichtweg nicht da ist und KDE Thema ist das alles schon gar keines
Du hast es nicht begriffen.
Natürlich ist die Infrastruktur nicht da, das kannst du in meinem Posting ja nachlesen. Aber da muss man auch mal etwas weiter denken. Deswegen, lies nochmal meinen ersten Satz in diesem Kommentar.
Du bist nicht in der Lage eine Firewall zu installieren und auch eine entsprechende Konfiguration vorzunehmen, aber möchtest durch eine geeignete Software gefragt werden ob sie ins Netz darf? Du willst also sagen, dass du in der Lage bist zu beurteilen ob eine Anwendung sich korrekt verhält oder nicht, naja. Kleine Empfehlung - Firewalld und URW können entsprechend eingerichtete Profile nutzen, man muss sich da halt nur mit beschäftigen. Ein Programm kann nur etwas versenden, wenn auch der entsprechende Port dafür offen ist und welche Ports offen sind bzw. durch welches Programm diesen nutzt, dafür gibt es genügend Software.
Gegenfrage:
Du erlaubst einer Software per Mausklick das Sie ins Netz darf, dann kommt ein Update und die Software verhält sich beim Umgang mit deinen persönlichen Daten anders, wie willst du das bemerken?
Mal so am Rande, die Analyse von Netzwerkverkehr machst du nicht einfach mal so, wer so etwas behauptet ist schlicht unseriös. Sicherheit ist im übrigen zur Zeit nicht bequem, unter keinem Betriebssystem, du suchst etwas, was unter Windows XP als Schadensbegrenzer eingeführt worden ist, der Rest ist Geschichte. Sicherheit ist immer mehrschichtig und benötigt leider sehr viel Fachwissen.
Auf solcher Ebene sind da also selbst vom Laien durchaus schon Entscheidungsfähigkeiten da.
Man kann jetzt einwenden, das das alles nicht perfekt ist. Richtig. Aber perfekt kriegst Du eh nicht hin. Und es ist immer noch besser, wenn der Nutzer eine weniger effektive Sicherheitsmaßnahme umsetzt als gar keine.
Was man allenfalls dazu sagen kann ist, das sich der Anwender bewusst sein muss, das die Sicherheitsmaßnahme eher suboptimal ist, damit du nicht den Effekt hast, das sich der Nutzer in falscher Sicherheit wiegt.
Na lokal darf ein Programm immer einen Port für eine IP-Verbindung aufmachen.Klar kannst Du auch hier per-Programm-Filterregeln aufstellen, aber standardmäßig wird das von den diversen Firewall-Skripten nicht gemacht.
Hallo Axel Voss, dein Name passt übrigens zu deinem Geschreibsel.
Das Problem ist hier doch, dass Firewall Regeln an Ports gebunden werden und die Erlaubnis zur Nutzung dieser Ports nicht an die ausführbaren Executables gebunden wird.
Insofern hilft die beste Firewallregel nichts, wenn sich ein Programm einfach irgendeinen beliebigen Port schnappen kann, der gerade geht und rauswählen lässt.
Was es hier also bezüglich der Firewall fehlt ist mehr Intelligenz auf der Ebene zwischen der TCP/UDP Schicht und der Anwendungsschicht.
Und da hat der TS nun einmal Recht.
Ich beweise dir, das dies jetzt ein 0 Argument ist.
Beweisführung:
Du könntest auch einen Autounfall haben, das Auto schleudert dich auf einen Baum und ein Ast befindet sich in der Flugbahn, der durchbohrt dir den Hintern, so dass er am Auge wieder herauskommt, aber das ist nicht deine Todesursache, sondern der Ast macht durch die kinetische Energie an seinem Ende noch einmal eine Biegung durch Nachbars Katze die auf dem Baum sitzt, die Katze schlägt darauf mit der Pfote auf deinen Kopf und das führt zu inneren Blutungen im Gehirn und wegen denen stirbst du dann.
Fazit:
Auf Biegen und Brechen sich was ausdenken, ist keine niveauvolle sinnvolle Antwort, zumal dir die normalen Firewallregeln, die du mit 1000 Stunden Herzblut und 50 h Hirnschmalz bei Vollmond in mühseliger Kleinarbeit zusammengepuzzelt hast, bei so etwas auch nicht helfen.
Also ein 0 Argument.
D.h. natürlich kann so etwas vorkommen, aber dagegen hilft weder die normale FW Regel noch eine dauerhafte Freischaltung von Anwendungen für den Zugriff auf bestimmte Ports.
Es ist einfach eine windschiefe Argumentation um doch irgendwie dagegen gröhlen zu können.
Du bist knapp dran zu verstehen warum das was der OP will schlichtweg nichts im Kontext kde zu suchen hat
Die GUI zum Freischalten gehört nun einmal in den Desktop, also wird es auch zur Aufgabe des KDE.
Na dann schreib mal die Oberfläche für eine nicht existierende Infrastruktur du Komiker
Du hast echt ne lange Leitung.
Mein Vorschlag sieht nicht nur die Oberfläche vor, sondern auch die Infrastruktur.
Feuchte Mädchenträume im Kontext Kernelinfrastruktur gehören aber nicht in ein kde topic ihr Wahnsinnigen!
Ob es schlau wäre WENN es diese mal gibt wieder für jede DE eine eigene Anwendung zu frickeln statt sich mal darum zu kümmern dass qt/gtk basierte Anwendungen im jeweils anderen Desktop als Fremdkörper erscheinen
Du könntest bei Fedora Silverblue fündig werden. Das ist noch in der Entwicklung, aber es setzt stark auf SELinux und Flatpak für die Anwendungen, das heißt jede Anwendung läuft erst mal in einem Container und muss sich Berechtigungen beim Benutzer einholen z.B für Netzwerk oder um die Webcam einzuschalten. Dann erscheint auch ein entsprechender GUI-Dialog.
Das ist doch mal ein guter Hinweis, nicht nur dummes Gemecker und Blaming wie von den anderen hier. Danke dafür.
Auf der Implementierungsseite ist QubesOS mit seinen ganzen VMs auch recht komplex und da Komplexität der natürliche Feind von Sicherheit ist, sehe ich das etwas zwiegespalten.
Ändert aber nun einmal wenig daran, dass es durchaus Möglichkeiten gibt und die Forderung nach einer einfachen, bequemen und allumfassenden Lösung nicht funktioniert. Das Gegenteil: Am Schluss entsteht ein deutlich verzerrtes Bildnis in Sachen "Sicherheit".