Wie kann ich Manjaro Linux sicherer machen?

Ich möchte gerne Manjaro Linux mit Hilfe der Artikelserie „Sicheres Desktop System – Linux härten“ von Mike Kuketz sicherer machen, wofür mir eine gute deutsche Anleitung fehlt, damit ich es auch darauf umsetzen kann.

Linux härten

Denn genau dafür fehlen nämlich auch gute deutsche Anleitungen für die meistgenutzten Linux-Distributionen, was ein Laie umsetzen kann oder der auch von der Linux-Welt nicht so viel Ahnung hat. (Windows-Umsteiger)

Vielleicht könnt ihr mir dabei helfen oder gäbe es da auch noch eine Linux-Distribution, was den Unterbau von Arch Linux und Manjaro Linux samt der grafischen Oberfläche XFCE und das Rolling-Release-Modell hat, was von Hause aus schon sicherer ist und natürlich softwareseitig gepflegt wird?

Wäre vielleicht Artix Linux oder TROMjaro eine Alternative zu Manjaro Linux?

Artix Linux

TROMjaro

Wahrscheinlich wäre es da besser, wenn man Manjaro Linux einfach nutzen und sicherer machen würde, denn mit Manjaro Linux kam ich bisher am besten klar, was die anderen Linux-Distributionen (ZorinOS und MX Linux) angehen, die ich bisher auch schon mal ausprobiert hatte.

Artix Linux und TROMjaro habe ich bisher noch nicht ausprobiert gehabt und soweit ich weiß, soll das INIT-System Systemd auch nicht so gut sein.

Nach Möglichkeit wäre natürlich FOSS oder besser noch FLOSS am besten, was wohl noch schwieriger werden wird umzusetzen, wie ich auch bei meinen Recherchen rund um das GNU Projekt feststellen musste und was ich an sich wirklich gut finde und auch am liebsten nutzen würde wollen.

Jedenfalls habe ich Lynis, AppArmor und Firejail schon mal bei mir installiert und Lynis auch im Terminal ausgeführt gehabt, wo auch bei der Analyse der Hardening Index 66 herauskam, wie im folgenden Screenshot zu sehen ist:

Lynis Hardening Index

Die Firewall ist aktiviert und ein Malware Scanner (ClamTk) ist installiert.

Firewall & Malware Scanner (ClamTk)

PS: Ist mein Beitrag hier in dieser Kategorie Sicherheit richtig oder wäre es bei Betriebssysteme besser aufgehoben, wobei ich mir nicht so sicher bin?

Hierzu schreibt Mike Kuketz:

Leider gibt es keinen Standard, der allgemeingültig beschreiben würde, welche Schritte beim Härten nötig sind. Die folgenden gehören fast immer dazu, auch wenn sie noch so abgedroschen klingen mögen…

Die nachfolgend aufgeführten Punkte beschreiben Maßnahmen die sich recht einfach auf jeglicher Linux Distribution umsetzen lassen. Für die einzelnen Maßnahmen wie Verschlüsselung mit LUKS oder Firewallkonfiguration findet man haufenweise Material im Netz. Auch zu Firejail etc. gibt es genug zu finden.

Zu Lynis:
Der interessante Teil der Bildschirmausgabe ist für mich dieser:

 -[ Lynis 3.0.8 Results ]-

  Great, no warnings

  Suggestions (39):
  ----------------------------

Dann kann man, wenn man möchte, sich den Empfehlungen widmen und eruieren welche für das eigene System sinnvoll scheinen. Hierzu ist die detaillierte Logdatei (/var/log/lynis.log) wesentlich geeigneter als der Ergebnisbildschirm. Dort kann man sehen wo und warum man Punkte „liegengelassen“ hat.

z.B.:

Test: Check file permissions for /usr/bin/gcc
Action: checking symlink for file /usr/bin/gcc
Result: file /usr/bin/gcc is not a symlink
Binary: found /usr/bin/gcc (world executable)
Hardening: assigned partial number of hardening points (2 of 3). Currently having 183 points (out of 273)
Result: at least one compiler could be better hardened by restricting executable access to root or group only
Suggestion: Harden compilers like restricting access to root user only [test:HRDN-7222] [details:-] [solution:-]

Dein Hardening Index von 66 ist völlig normal für eine arch-basierte Distro. Mein EndeavourOS hat 67% der Punkte erreicht.
Die Anzahl der Punkte würde ich jetzt nicht überbewerten und die exemplarische Empfehlung aus dem obigen Beispiel würde ich auch nicht umsetzen, weil sie aus meiner Sicht auf meinem System die Sicherheit nicht verbessert, weil User und Root dieselbe Person sind.
Sprich Punktejagd zum Selbstzweck brauch ich nicht.

btw

Und Debian, Arch, Suse und Redhat (die zusammen die Basis für die überwältigende Mehrheit aller Linux-Distros darstellen) sind alle auf dem Holzweg?
Von exotischen Distributionen würde ich, gerade als Einsteiger, die Finger lassen. Was nutzt Dir bei Problemen ein Supportforum wo alle paar Monate jemand postet?

Naja, weniger Holzweg als mehr Philosophie :wink:

MX Linux, ist z.B. Systemd frei (gut man kann es aktivieren), aber bei weitem kein Exot und bei Leibe auch kein Forum in dem nur alle Nase lang jemand postet :wink:

2 „Gefällt mir“

Hatte da eher TROMjaro im Blick… :wink:

achso, ja sorry
da hast du recht, das ist in der tat ein exote bei dem ich noch nicht mal den zweck richtig verstehe… :joy:

1 „Gefällt mir“

Sehr gut, aber leider auf Englisch:

Linux Hardening Guide
Last edited: March 19th, 2022
https://madaidans-insecurities.github.io/guides/linux-hardening.html

1 „Gefällt mir“

Na hoffentlich müsst, oder wollt ihr eure Distri nicht des öfteren mal neu aufsetzen, mit dem Aufwand den man damit rein buttert :wink:
Dürfte man sonst ja keine anderen Hobbies mehr haben…

1 „Gefällt mir“

Wenn Du auf den Arch-Unterbau verzichten kannst ist openSuse tumbleweed vielleicht genau was Du suchst. Rolling Release, XFCE und recht restriktive Sicherheitseinstellungen. Ein Forenmitglied bei EndeavourOS berichtet, mit tumbleweed einen Lynis-Score von 87 erzielt zu haben.

Hmm, das seh ich nicht so.
Eine „stable“-Version, die regelmäßig Security-Updates kriegt, flößt mir mehr Vertrauen ein.

Danke für diese Info! :+1:
Ich wusste das nicht, obwohl ich MX-Linux nutze. :flushed:

Write programs that do one thing and do it well.

Ja, dass ist mir bekannt.

Kannst du mir mal bitte dazu ein paar Links schicken, wo es gut und auch möglichst in Deutsch erklärt wird?

Okay, also das sieht bei mir so aus:

Lynis Warnings

Ich verstehe nicht, was an einem erforderlichen Systemneustart so schlimm sein soll und selbst wenn es schlimm sein sollte, wie kann ich es ändern?

Zum einen fehlen mir die Informationen und das Wissen darüber, was daran so schlimm sein soll oder warum etwas empfohlen wird und zum anderen, wie man dies ändern kann? Also eben gute und deutsche Erklärungen dafür.

Ich empfinde es als ziemlich kompliziert und wünsche mir dafür einfachere Möglichkeiten zur Umsetzung und am liebsten auch über eine grafische Oberfläche, wo man alles an- und abwählen, aktivieren und deaktivieren und erlauben und blockieren kann.

Das würde auch dessen Umsetzung ungemein vereinfachen oder etwa nicht?

Ich bediene ungern das Terminal, weil ich diese ganzen Befehle schon mal gar nicht kenne und wie gehabt lieber über eine grafische Oberfläche arbeite.

Von daher bin ich auch für unkomplizierte Lösungen, die auch jeder umsetzen kann.

Das sieht bei mir so aus:

Okay, dann weiß ich bescheid und ich bewerte es auch nicht über.

Mir geht’s natürlich auch nicht um „Punktejagt zum Selbstzweck“.

Ich habe nicht behauptet, dass diese genannten Distros von dir auf dem Holzweg sind. Dies haben meine Recherchen dahingehend ergeben, wofür ich nichts kann und beweise mir auch gerne das Gegenteil, wenn du anders informiert bist.

Bei OpenOS auf der Internetseite zu dieser Distro steht: „Die Distribution ist mit Arch Linux weitgehend kompatibel, verwendet jedoch nicht das umstrittene systemd als init-System, sondern überlässt der Anwenderin bzw. dem Anwender die Wahl zwischen OpenRC, runit, S6 und Dinit.“)

Hier sind noch ein paar Links zum Thema Alternative Init-Systeme zum Initi-System Systemd, was wegen dem letzteren jedem zu denken geben sollte:

Alternative Init-Systeme (Devuan)

Init Freedom: Auch systemd ist nicht alternativlos | GNU/Linux

Init Freedom: Devuan | GNU/Linux

Init Freedom: Zusammenfassung |GNU/Linux

Red Hat würde ich auch schon mal gar nicht nutzen wollen, weil sie mit mindestens einem US-Geheimdienst zusammengearbeitet haben, was für mich nicht gut ist und ich auch nicht unterstützen möchte. Und systemd ist auch noch von Red Hat, weshalb ich auch von systemd weg möchte. :wink:

Das verstehe ich mit den exotischen Distros, aber ausprobieren kann ich es ja trotzdem mal.

Naja das Thema geht hier viel mehr um Sicherheit, auch wenn ich Manjaro Linux (wahrscheinlich wegen dem INIT-System Systemd) nicht immer ganz so stabil bei mir läuft, wo bei mir früher auch Windows etwas stabiler lief und deshalb alle paar Monate Manjaro Linux komplett neu machen muss, was schon nervig ist. Jedoch ist dies ein anderes Thema.

@secrectandlies

Okay, Dankeschön für den Link.

Jedoch was hat denn der Ersteller für ein Problem mit Linux, was zu mindestens so beim Übersetzen mit Lingva herauskam?

Und wieso ist dort Windows ein Thema, was da in meinen Augen überhaupt nicht hineinpasst?

@AlphaElwedritsch

Also ich habe nicht vor meine Distro öfters mal neu aufzusetzen, was mich wie gehabt bei Manjaro Linux schon stört, wenn ich alles manchmal komplett neu machen muss. Aber das ist wie gehabt ein anderes Thema.

Und nein, damit möchte ich bestimmt nicht meine Zeit verbringen. :wink:

Für mich wäre wie gehabt ein Linux gut, was den Unterbau von Arch Linux hat und (ähnlich) wie Manjaro Linux ist und eben von Hause aus schon sicherer ist.

Es muss nicht weiß ich wie sicher sein, aber auf jeden Fall sicherer als jetzt und wenn es an den Hardening Index Wert von ca. 90 herankommt, wäre es schon mal gut und das System auch noch gut und stabil läuft, ohne zu große Einschränkungen.

@porcupine0815

Ja, vielleicht. Sofern ich damit klar kommen sollte und auch mit dem anderen Paketmanagement RPM. Jedoch kann ich es auch mal ausprobieren.

Was sagt ihr denn allgemein zu Artix Linux, weil es auch im Gegensatz zu TROMjaro bisher nur zweimal angeklickt worden ist, wodurch scheinbar kaum bis gar kein Interesse daran besteht?

Artix Linux spricht mich irgendwie am meisten von allen genannten Distros an, was scheinbar auch von vielen Leuten unterschätzt wird, wie es auch zu mindestens in den Kommentaren auf Distrowatch heißt.

Artix Linux OpenOS

Artix Linux Distrowatch

@nudel

Ja, dass verstehe ich. Jedoch brauche ich aktuelle Software wie z.B. Firefox, Thunderbird und LibreOffice und allgemein möglichst keine alte Software.

Dann kann ich auch Debian oder ähnliches nutzen, was ich bisher auch noch nicht ausprobiert habe und was nicht ganz meinen Vorstellungen entspricht.

Also dann probiere ich mal bei Gelegenheit Artix Linux, TROMjaro, openSuse tumbleweed und Debian aus, worüber ich euch dann auch zur gegebener Zeit berichten kann und ich danke euch für eure Antworten, auch wenn ich in puncto Sicherheit bisher noch nicht wirklich weiter gekommen bin. Jedoch schaue ich mir auch mal bei Gelegenheit das Linux Hardening Guide an.

1 „Gefällt mir“

Links habe ich keine parat, meine üblichen Anlaufstellen sind das EndeavourOS-Wiki und hauptsächlich das Arch-Wiki. Davon ausgehend suche ich dann weiter, nutze allerdings zu 99,9% englischsprachige Seiten. Die verschlüsselte Installation mit LUKS wird doch eigentlich immer in den Installationsanleitungen der jeweiligen Distribution beschrieben.

Hast Du unmittelbar vor dem Start von Lynis System-Updates eingespielt? Manche Updates z.B. neue Kernelversionen erfordern einen Neustart des Systems um wirksam zu werden.
Erscheint die Warnung auch nach Neustart?

Die Zielgruppe von Lynis sind sicher nicht in erster Linie Privatanwender sondern Systemadministratoren. Und für die Administration von Linux ist das Terminal nun mal das beste Werkzeug. Ohne Basiskenntnisse (viel mehr habe ich auch nicht) ist es natürlich sehr schwierig die Empfehlungen von Lynis zu deuten und ggf. umzusetzen.

Ich bezweifle stark, daß Deine Stabilitätsprobleme am INIT-System liegen. Was passiert denn mit Deinem System, daß Du alle paar Monate neu aufsetzene musst?
Meine Installation „rollt“ seit ca. 20 Monaten ohne Neuinstallation durch.

ich habe Artix nicht angeklickt, weil ich es dem Namen nach kenne, von TROMjaro habe ich noch nie etwas gehört und habe aus reiner Neugier geklickt.
Artix scheint eine grundsolide Distribution zu sein und sicher einen Versuch wert, wenn Du systemd meiden willst. Inwiefern Artix für Einsteiger geeignet ist, kann ich nicht bewerten.

Okay, dann muss ich wohl selbst versuchen an gute und auch deutsche Anleitungen diesbezüglich heran zu kommen.

Es gibt bestimmt vieles oder alles eh schon im englischsprachigen Raum, was gut beschrieben und vielleicht auch dokumentiert worden ist, aber man muss erst einmal die guten Informationsquellen kennen, damit man sich auch richtig darüber informieren kann.

Also bei Arch-Wiki und bei Manjaro-Wiki kann ich mich natürlich ebenfalls informieren, wobei ich zu mindestens beim letzteren nicht unbedingt immer fündig werde, wenn ich ein Problem bei mir unter Manjaro Linux gefunden haben sollte. Zumal ich auch sonst nirgendwo, außer hier im Kuketz Forum, in einem Forum angemeldet bin.

Also LUKS kann ich unter Manjaro Linux schon mal gar nicht installieren, weshalb ich die Artikelserie von Mike Kuketz eh nicht vollständig ohne weiteres umsetzen kann. Weshalb ich zu mindestens schon mal Firejail, AppArmor und Lynis installieren konnte, wo jetzt nur noch die Umsetzung mit möglichst guten und deutschen Anleitungen fehlt, damit ich es auch weiter umsetzen kann.

Außerdem gibt es kein auch grsecurity (RBAC) und PaX für Manjaro Linux.

Es gibt zwar auch ein Programm namens pax, aber das ist glaube ich etwas anderes. (pax | Portable Archive Interchange | the POSIX standard archive tool for cpio and tar formats)

Nein, nicht das ich wüsste. Jedoch sicher bin ich mir da jetzt auch nicht mehr. Allerdings habe ich mit Lynis noch einmal Manjaro Linux analysiert gehabt und dabei kam auch das gleiche Ergebnis heraus. Aber woran das liegt, weiß ich auch nicht.

Ja, meistens bei größeren und auch bestimmten Updates ist ein Neustart erforderlich.

Das weiß ich nicht, aber das kann ich dann mal bei Gelegenheit überprüfen.

Ja, dass glaube ich auch wegen Lynis. Nichtsdestotrotz sehe ich mich schon als fortgeschrittener PC-Nutzer auch dazu in der Lage, komplexe und auch schwierigere Dinge umzusetzen, wenn ich eben die entsprechenden guten und deutschen Anleitungen dafür habe und worin ich mich auch mit der Zeit einlesen kann. Jedoch sollte es nicht zu komplex und schwierig sein, weil ich es auch einfach, verständlich und unkompliziert mag, was Laien wie mich z.B. umsetzen können.

Ich würde mich schon ein stückweit als Systemadministrator sehen, auch wenn ich kein Profi darin bin, aber ich glaube auch überdurchschnittliche Kenntnisse, Informationen und Wissen darüber zu verfügen.

Ja, dass glaube ich auch mit dem Terminal als bestes Werkzeug unter Linux und das verlangt schon sehr viel technisches Verständnis und Wissen ab.

Für mich ist es jedoch nichts und wenn dann nur für die einfachsten Dinge, die nötig, einfach und unkompliziert wirklich für jeden umsetzbar sind.

Ja, wahrscheinlich wird es eher weniger am INIT-System von systemd liegen.

Ich glaube, dass es eher mit den Manjaro Linux Updates zu tun hat und vor allem, wenn es um archlinux-keyring und manjaro-keyring geht oder auch eher weniger um gnome-keyring und python-keyring.

Bei mindestens einem der ersten beiden Keyrings kann es beim Updaten zu einem Fehler bei der Konfiguration kommen, weshalb auch Manjaro Linux spätestens ab da an anfängt mehr oder weniger herum zu spinnen, sodass es kurz hängen bleibt und dann wieder funktioniert, was mir besonders beim Musik hören oder Videos schauen auffällt.

Oder auch bei der Audio- oder Videotelefonie über Jitsi in Firefox. Da kann sogar der ganze Desktop einfrieren, wodurch ich auch nichts mehr anklicken kann, auch wenn ich den Mauszeiger ggf. noch bewegen kann. Nur darf ich nichts klicken, weil dann nämlich auch gar nichts mehr geht.

Manjaro Linux bleibt auch einfach mal so hängen, wo er nicht mehr reagiert, obwohl ich es erst neu gemacht hatte und es schaltet sich einfach aus, um dann wieder neu zu starten und ich weiß nicht woran es liegen könnte. Was ich auch doof finde, dass keine Fehlermeidung angezeigt wird, weshalb dies geschehen ist und so kann ich nur mutmaßen, woran es denn gelegen hat.

Ich werde eh noch ein weiteren Beitrag hier im Forum erstellen, wo ich den sehr langen Text zum Thema schon fast fertig habe, weshalb ich vielleicht zusätzlich noch meine Schwierigkeiten sowohl am PC als auch am Handy und allgemein in meinem Netzwerk habe, was mit gehackt werden zu tun hat. Wo ich gespannt bin, wie die Leute hier darauf reagieren werden, da es vielleicht auch unter Umständen zur Diskussionen und Kontroversen führen könnte.

Jedoch dazu in nächster Zeit mehr in meinem neuen und 4. Beitrag in der Kategorie Datenschutz.

Jedenfalls alleine schon durch dieses Arch User Repositories (AUR) in Pamac (Pacman), was ich wegen einigen Programmen nutzen muss, die es bei den offiziellen Repositories nicht gibt. Es war eh schon nicht einfach für mich gewesen von Windows auf Linux im Bezug auf die Windows-Programme zu wechseln, wodurch ich fast kein Windows-Programm hier auf Linux nutzen kann und deshalb auch nach Alternativen suchen musste, wo ich dann auch fündig geworden bin.

Es wäre schön, wenn es hier ohne Fehler und Probleme auf meinem alten PC laufen würde.

Ansonsten musste ich anfänglich auch ebenfalls wegen Updates ein paar Mal Manjaro Linux neu machen, weil sich der XFCE-Desktop verabschiedet hat und deshalb auch nicht mehr geladen worden ist, also damit meine ich auch mein Hintergrundbild, die (System)Symbole (Verknüpfen) usw. darauf.

Aus diesen Gründen und weil ich vielleicht von Hacktivisten gehackt werde, habe ich so meine Schwierigkeiten am PC mit Manjaro Linux und am Handy mit LineageOS. Manjaro läuft nicht so stabil, wie es bei mir unter Windows auch war.

Jami funktioniert bei mir wegen Updates und der Umstellung auf Qt Anfang diesen Jahres nicht mehr und sonst scheinen manche Sachen bei Manjaro Linux noch nicht ganz so ausgereift zu sein oder auch fehleranfällig.

LibreWolf könnte ich zwar über die AUR beziehen, aber nach 1,5 Stunden installieren und kompilieren habe ich es dann auch abgebrochen und weil das ganze Unterfangen mein PC an die Grenzen seiner Leistung gebracht hat, was echt eine Zumutung ist, obwohl ich diesen Browser gerne neben Firefox ausprobieren würde wollen.

Okay, alles klar.

Ja, dass glaube ich auch wegen Artix Linux und das dies ein Versuch wert ist, wenn ich denn Artix Linux über den USB-Stick zu laufen bekommen würde, wo ich wohl nochmal in deren Wiki und/oder Forum nachschauen muss. :wink:

Irgendwie lässt sich Artix Linux auch nicht so einfach wie z.B. Manjaro Linux über ein USB-Stick ausprobieren.

Ja, ich möchte sysdemd meiden und Artix Linux ist von der Größe her auch nur 1,6 GB groß, wo Manjaro Linux 2,6 GB und TROMjaro sage und schreibe 4,2 GB in Anspruch nimmt. :wink:

Hier sind nochmal die Links wegen den freien INIT-Systemen und auch dem systemd, falls ihr sie übersehen haben solltet, da sie bisher auch noch nicht angeklickt worden sind:

Das sollte definitiv nicht sein, ich bin jetzt nicht der große Linux-Troubleshooter vor dem Herrn, aber wenn Du möchtest kannst Du mir mal die Ausgabe von
inxi -Fxxxz
als PM schicken (das wird hier sonst zu sehr off-topic) und ich schaue mal ob mir Hardware mit „Konfliktpotential“ auffällt.

Im AUR gibt es die Pakete librewolf und librewolf-bin. Du hast vermutlich librewolf installieren wollen, hier muss das Programm erst aus den Quelltexten kompiliert werden, was auf schwächerer Hardware eine Quälerei ist.
Der Zusatz -bin markiert ein vorkompiliertes Paket, das bedeutet der obige Schritt entfällt.
Installiere also besser librewolf-bin. ich installiere aus dem AUR generell die -bin Versionen (falls vorhanden).

Kannst du mal ausführen, warum genau? Ja, systemd ist umstritten. Da prallen oft Weltanschauungen aufeinander, und sein Gegner argumentieren oft sinngemäß, dass systemd Linux umschlingt oder sogar erdrückt. Mal abgesehen davon, dass das m.E. sehr übertrieben ist und systemd ja auch modular aufgebaut ist (wer es als init-System hat, muss noch lange nicht z.B. systemd-networkd oder systemd-homed benutzen), hat es erhebliche Sicherheitsvorteile - und darum geht es ja hier in dieser Diskussion.

In einer Diskussion auf der arch.dev-public mailing list von Arch wurde m.E. richtigerweise angemerkt:

The biggest argument again systemd is its complexity. Some people do prefer
simple init systems with init scripts.
Let’s recap: Sure, systemd is complex, but it is well maintained (IMHO).
Generally it works well. The benefit is that systemd units can be written
quite easily, at least basic ones. Issues are easy to fix, things just work.
In contrast to that the complexity comes from the init scripts with the other
init systems. For each of them, again and again. Syntax errors, race
conditions, what ever.
And please note that systemd provides a lot of security features (limiting
privileges, presenting read-only filesystems, …) for its services. It’s
nearly impossible to implement this with init scripts, so system security
would drop a lot.

Diese Sicherheitsvorteile bestehen darin, dass systemd umfangreiche sandboxing-Fähigkeiten aufweist, die kein anderes init-System bietet.

Im Detail ist das dargestellt auf https://www.freedesktop.org/software/systemd/man/systemd.exec.html. Einige kürzere Darstellungen sind etwa:
https://0pointer.de/blog/projects/security.html
https://www.ctrl.blog/entry/systemd-service-hardening.html
https://www.redhat.com/sysadmin/mastering-systemd
https://www.flashsystems.de/articles/systemd-hardening/

Und hier ein umfangreicher Vergleich der sandboxing-Optionen von Firejail und systemd:
https://github.com/netblue30/firejail/wiki/Comparison-of-firejail-and-systemd’s-hardening-options

Als Beispiel: Ich benutze dnscrypt-proxy, und dnscrypt-proxy.service sieht auf Arch Linux so aus:

[Unit]
Description=DNSCrypt-proxy client
Documentation=https://github.com/jedisct1/dnscrypt-proxy/wiki
Wants=network-online.target nss-lookup.target
Before=nss-lookup.target

[Service]
AmbientCapabilities=CAP_NET_BIND_SERVICE
CacheDirectory=dnscrypt-proxy
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
DynamicUser=yes
ExecStart=/usr/bin/dnscrypt-proxy --config /etc/dnscrypt-proxy/dnscrypt-proxy.toml
LockPersonality=yes
LogsDirectory=dnscrypt-proxy
MemoryDenyWriteExecute=true
NonBlocking=true
NoNewPrivileges=true
PrivateDevices=true
ProtectControlGroups=yes
ProtectHome=yes
ProtectHostname=yes
ProtectKernelLogs=yes
ProtectKernelModules=yes
ProtectKernelTunables=yes
ProtectSystem=strict
RestrictAddressFamilies=AF_INET AF_INET6
RestrictNamespaces=true
RestrictRealtime=true
RuntimeDirectory=dnscrypt-proxy
StateDirectory=dnscrypt-proxy
SystemCallArchitectures=native
SystemCallFilter=@system-service

[Install]
WantedBy=multi-user.target

Man sieht, wie gründlich dnscrypt-proxy eingesperrt ist - allein schon dadurch, dass es als Dynamic User läuft.

Dass nicht alle sandboxing-Möglichkeiten von allen Distros und für alle Dienste in vollem Umfang genutzt werden, ist eine andere Sache. Der Benutzer hat aber die Möglichkeit, hier selbst mit systemd-analyze security [service] nachzuschärfen - siehe etwa den obigen Artikel von Red Hat.

2 „Gefällt mir“

Vielen Dank für die weiterführenden Links.
Ich sehe die Ablehnung von systemd auch eher „weltanschaulich“ begründet. Für mich gibt es derzeit keinen „vernünftigen Grund“ systemd Distributionen zu meiden. Im Gegenteil, ich werde mein System bald grundlegend ändern (anderes DE, LUKS) und in diesem Zuge von grub/mkinitcpio auf systemd-boot/dracut wechseln.

Kleine Ergänzung zum sandboxing mit systemd.

Hier ist ein github repository, in dem diverse Services mit systemd „gehärtet“ sind: https://github.com/krathalan/systemd-sandboxing
mit einem Guide und einem Template.

Ein weiteres nützliches Template ist: https://gist.github.com/ageis/f5595e59b1cddb1513d1b425a323db04

Ja, diese Ausgabe von inxi -Fxxxz kann ich dir per privater Nachricht zukommen lassen und dies kannst du gerne mal machen.

Ich danke dir für deine Hilfe. :slightly_smiling_face:

Okay, ich habe mich sowieso mal gefragt gehabt, wieso es verschiedene Varianten zum Installieren gibt und was der Unterschied sein soll.

Und ja, ich habe librewolf anstatt librewolf-bin installiert gehabt.

Okay, danke für die Informationen im Bezug auf die nicht vorkompilierten und schon vorkompilierten Pakete und werde ich auch in Zukunft so machen.

Das wusste ich vorher noch nicht.

Okay, dass habe ich gemacht und seit dem nutze ich auch librewolf-bin und finde es auch besser als den klassischen Firefox.

Zum Thema librewolf muss ich wahrscheinlich mal ein Beitrag im Bezug auf Jitsi, privacy Handbuch, Add-Ons und/oder auch den librewolf Einstellungen machen, da alles bei mir soweit funktioniert, außer Jitsi und die Einstellung der Sprache bzw. wegen der „bevorzugten Sprachen für die Darstellung von Websites wählen“ bisher noch nicht.

PS: Auf die anderen Nachrichten von den Anderen gehe ich dann noch ein.

Lese dir dazu bitte mal die Kritik bei Wiki über systemd durch und auch was GNU/Linux darüber berichtet, worin vieles gegen anstatt für systemd spricht.

systemd

Bitte öffne dafür auch diese Links hier von GNU/Linux, worauf bisher auch noch niemand eingegangen ist.

Was denn für Weltanschauungen und was hat es überhaupt damit zu tun?

Welche differenzierten, freien, neutralen, seriösen, unabhängigen und auch unvoreingenommenen Informationsquellen zu diesen Thema kannst du mir denn dazu geben?

Wo sind denn hier die Befürworter von freien INIT-Systemen, die wirklich Ahnung hiervon haben, damit man dies auch mal gegenüberstellen kann?

Haben sich hier in dem Forum etwa alle gegen andere INIT-Systeme als systemd verschworen und schwimmen hier auch alle mit dem Strom mit?

Sind dir echte Freiheit und Unabhängigkeit kein Begriff und möchtest du wirklich ein Konzern unterstützen, was für oder mit einem US-Geheimdienst zusammengearbeitet hat oder es vielleicht sogar auch immer noch tut?

Ich kenne mich zwar nicht mit dieser Thematik gut aus, aber mein erster kritischer und prüfender Blick darauf lässt mich vermuten, dass auch hier scheinbar die Lager gespalten und getrennt sind, was ich nicht gut finde.

Jedenfalls wenn man doch auf Datenschutz und Datensicherheit so einen großen Wert legt, wieso nutzt man dann Dienste von Konzernen wie Red Hat?

Was bringt mir denn die höchste Sicherheit und der höchste Datenschutz, wenn ich Dienste oder Distros von Konzernen verwende, die womöglich mit den US-Behörden und US-Geheimdiensten zusammenarbeiten, mit deren Verbündeten oder von amerikanischen Firmen sind, die auch Hintertüren eingebaut haben?

Das verstehe ich beim besten Willen nicht.

Zumal mir wie gehabt die Philosophie hinter FLOSS Anwendungen nach dem Vorbild vom GNU Projekt auch besser gefällt, als es bei den FOSS Anwendungen der Fall ist, was auch von Konzernen und ihren Diensten verwendet wird, so wie ich es auch mitbekommen habe. Oder das GitHub von Microsoft aufgekauft worden ist, was ich unter anderen auch persönlich als kritisch einstufe.

GNU Projekt

Wie ist es denn bei den freien INIT-Systemen mit der Stabilität, dem Datenschutz, der Datensicherheit usw. bestellt?

Wer kann etwas von euch dazu sagen und zu dieser Diskussion beitragen?

Ich kann es nicht wirklich beurteilen, was besser und schlechter ist oder wo die Vor- und Nachteile liegen, weil ich auch nicht viel darüber weiß.

Deshalb frage ich euch diesbezüglich, da ihr euch besser damit auskennt.

Nichtsdestotrotz danke ich dir auch für deine geposteten Links. :slightly_smiling_face:

Das mit dem systemd-analyze security habe ich auch mal im Terminal ausgeführt und das Ergebnis davon sieht bei mir auch nicht so gut aus. :wink:

Dann frage ich dich auch mal, was denn an einer Ablehnung von systemd eher weltanschaulich begründet sein soll und was genau ist denn schlecht an dieser einen Weltanschauung?

Welche Weltanschauung hast du denn und auch die anderen Leute hier?

Okay, viel Erfolg damit, wenn es denn auch deinen Vorstellungen entspricht.

Ich werde auf deinen Beitrag nicht näher eingehen, da ich keine Lust auf solche Auseinandersetzungen habe. Er ist aber meine Meinung nach ein Beispiel dafür, dass der Streit um systemd hauptsächlich von Weltanschauungen geprägt ist.

Ich weiß nicht, was du damit andeuten willst. Ich hatte bereits oben geschrieben, „dass nicht alle sandboxing-Möglichkeiten von allen Distros und für alle Dienste in vollem Umfang genutzt werden.“ Dieser Befehl gibt lediglich Hinweise darauf, wo diesbezüglich noch Verbesserungspotential besteht, so dass der Benutzer selbst tätig werden kann.

Das brauchst du nicht, wenn du es nicht möchtest und ich habe natürlich auch keine Lust auf solche Auseinandersetzungen, weil es zu nichts Gutem führt und man dadurch auch nicht auf einen gemeinsamen Nenner kommt.

Außerdem wäre dies nicht zielführend und würde nur unnötig die Ruhe stören.

Mir ist bis jetzt kein Streit um systemd bekannt und dies erfahre ich zum ersten Mal.

Warum gibt es denn überhaupt Streit um systemd und welche Rolle spielen da irgendwelche Weltanschauungen darin?

Und wo liegt allgemein überhaupt das Problem mit den Weltanschauungen bei diesem Thema oder auch anderen Themen?

Streitigkeiten bringen einen doch nicht weiter.

Jeder hängt doch irgendeiner Weltanschauung an oder etwa nicht?

Die Einen sind auch zum Beispiel ganz brav und ecken nirgendwo bzw. bei niemanden an und die Anderen zum Beispiel hinterfragen alles und jeden kritisch, zu denen ich mich auch persönlich zählen würde.

Dabei spielt es für mich ehrlich gesagt überhaupt keine Rolle, ob es um Themen aus der IT-Welt, den Weltanschauungen, den Medien usw. geht.

Im allgemeinen lass ich auch die Finger von Dingen, die (sehr) umstritten sind und ich bin weder auf der Einen noch auf der Anderen Seite, sondern neutral und höre mir auch gerne beide Seiten und neutrale Stimmen an.

So habe ich es auch bei dem Thema FLOSS und FOSS gemacht gehabt und ich konnte mir dadurch auch einen ersten Eindruck davon machen oder beim Thema Electron (Framework) und mögliche bessere und auch gute Alternativen dazu, was teilweise gar nicht so einfach ist, etwas zu finden.

Wegen dem Thema Electron (Framework) und mögliche bessere und gute Alternativen dazu, hatte ich auch schon mal in der Vergangenheit eine kleine Diskussion mit dem Threema Support gehabt und sie wollen unbedingt bei Electron bleiben und es nutzen, was soweit ich weiß auch aufgebläht ist und sehr viele Code-Zeilen hat, wodurch sehr viel Festplattenspeicher verbraucht wird, genauso auch LibreWolf und LibreOffice. Wo selbst glaube ich auch Mike Kuketz allgemein mal etwas wegen der Angriffsfläche in Sachen der Sicherheit von den Anwendungen geschrieben hatte, wenn sie denn 1.000 Code-Zeilen und auch noch mehr aufweisen sollten oder auch so ähnlich. :wink:

Und wenn ich hier mit meiner Weltanschauung um die Ecke kommen würde, dann würden die meisten Leute wohl nicht darauf klar kommen, im Dreieck springen und vor allem auch bewusst oder unbewusst Widerstand leisten. :wink:

Naja das da bei mir kaum etwas gut geschützt ist und ich deshalb noch viel einstellen müsste.

Genau dafür wäre es doch gut eine Übersicht wie bei der Messenger Matrix von Mike Kuketz sowohl für Distros als auch für Browser usw. zu haben, so dass man schnell herausfinden kann, wie es in Sachen Datensicherheit, dem Datenschutz und der Anonymität bestellt ist oder was mein(s)t du/ihr dazu?

Jedenfalls werde ich mir mal die Sachen von euch anschauen und sie erst einmal versuchen alleine umzusetzen und wenn ich nicht mehr weiter weiß oder irgendetwas nicht funktionieren sollte, melde ich mich wieder bei euch.

Dankeschön nochmal an euch allen. :slightly_smiling_face:

Es gab bei fast allen großen Linuxdistributionen ausführliche Diskussionen, ob das alte Init-System durch systemd ersetzt werden sollte. Hauptargument gegen systemd ist, dass es eine reine Linuxlösung ist, die nicht kompatibel mit dem Rest der Unixwelt ist.

Inzwischen sind diese Diskussionen nicht mehr relevant. Ich kenne keine bekannte Linuxdistribution, die nicht systemd einsetzt. Der Drops ist gelutscht.