Wie kann ich Manjaro Linux sicherer machen?

@seeket

Okay, ist das wirklich so und kann da jemand eine Garantie darauf geben, der es auch überprüft hat, dass dies wirklich so ist und hat die NSA nicht nachträglich noch die Möglichkeit darauf zuzugreifen, denn sie lassen nichts unversucht?

Okay, ich habe eh keine Ahnung davon und dies kann gut sein.

Okay, dann bin ich doch eher dazu geneigt dies zu lernen anzuwenden.

Okay, danke für diese Informationen.

@anon4759392

Ich meinte das nicht böse und werde mal nicht weiter darauf eingehen, weil es sonst hier negativ wird. Auch wenn ich dazu ein Kommentar ablassen könnte, der dir bestimmt auch nicht gefallen würde, aber eben die Wahrheit wäre.

Jeder kann sich sein Teil selbst darüber denken.

Ich persönlich, als jemand der von Linux so gut wie keine Ahnung hat, habe jedenfalls gute Erfahrung mit dem Exot Artix.
Nachteil, vieles nur in Englisch, auch im Forum erhält man auf Deutsch wenig Antworten. Aber vieles ist aus der Arch-Wiki übertragbar. Nur ist es für mich manchmal schwierig, was aus Arch übertragbar/anwendbar ist, und was Artix-spezifisch. Denn Artix ist systemdfree.
Und der eth Realtek RTL8111/8168/8411 Treiber funktioniert leider nicht wirklich.
Vorteil, gut gepflegt, schnelle Updates. Graphischer Installer, wer sich auskennt, kann das System extrem minimieren.
Pacman bietet enorm viel Möglichkeiten, ist aber sehr komplex und die speziellen Befehle die man in die Konsole eingeben muss, sind für mich abschreckend.

Ich bevorzuge Rolling Release, weil ich keine Lust habe alle paar Jahre das System neu aufzusetzen. (Artix bietet aber auch LTS)
Wenn es doch mal notwendig ist, gibt es Hilfsmittel, die ein Neuinstall erleichtern.
https://wiki.archlinux.de/title/Paketliste_archivieren
https://wiki.archlinux.org/title/Pacman/Tips_and_tricks

Alles in allem bisher das beste RR und Distri, die ich ausprobiert habe.
(CentOS, verschiedenste Ubuntu, Mint, Manjaro, Fedora, Aptosid, Siduction)
Das Übelste war Manjaro. Sehr viel Hardwareprobleme.

Ich danke dir für deine Nachricht und auch für dein Erfahrungsbericht, was ich allgemein immer gut finde.

Genauso wie du habe ich auch kaum Ahnung von Linux.

Ich würde sehr gerne mal Artix Linux ausprobieren wollen, aber Artix Linux unterstützt keine NVIDIA Grafikkarten bzw. die Treiber dazu, weshalb ich es leider nicht vom USB Stick aus als Live Medium ausprobieren kann.

Weißt du vielleicht, ob Artix Linux Open Source Treiber nutzt oder geschlossene Treiber?

Bei Manjaro Linux kann man auswählen, ob man mit Open Source Treiber oder geschlossene Treiber starten möchte.

Durch die Nicht-Unterstützung von NVIDIA Treibern seitens Artix Linux komme ich zwar vom USB Stick als Live Medium in das Startmenü und wenn ich es starten möchte, erscheint die Konsole, wo ich auch irgendwelche Befehle eingeben muss, wovon ich nur gar keine Ahnung habe, anstatt die grafische Benutzeroberfläche von Artix Linux.

Ich habe so einige Varianten von Artix Linux als Live Medium vom USB Stick ohne Erfolg auch ausprobiert und aufgrund der Nicht-Untertützung von NVIDIA Treibern fällt Artix Linux zu mindestens mit meinem jetzigen PC System raus, was ich auch ehrlich gesagt schon schade finde.

Immer wenn es um NVIDIA oder AMD geht, nutze ich immer NVIDIA, womit ich bis auf Artix Linux keine Probleme habe, was zu mindestens auch die Unterstützung bei ZorinOS und MX Linux angeht.

Okay, dass müsste man mal in Erfahrung bringen, ob alle Programme und Tools, die ich hier unter Manjaro Linux nutze, auch noch unter Artix Linux laufen würden und wenn vieles nur in Englisch ist, ist es für mich auch ein Nachteil.

Mir ist eine Linux Distro wichtig, wo ich nicht viel manuell im Terminal machen muss und das es einfach nur funktioniert.

Ich habe hier bei mir auch ein Realtek Audio Treiber und mag es persönlich nicht in der Konsole mit Befehlen zu arbeiten.

Lieber habe ich Einstellungsmöglichkeiten über eine grafische Benutzeroberfläche, wo ich alles nach meinen Vorstellungen einstellen, aktivieren, deaktivieren, installieren und auch deinstallieren kann, ohne alles über die Konsole machen zu müssen.

Ich bevorzuge sowieso eine minimalistische Linux Distro, wo ich meine Programme und Tools zu nachinstallieren brauche und wo alles unnötige nicht vorhanden ist, was ich nicht brauche.

Ja, mit dem ständig neu aufsetzen zu müssen, hatte ich auch anfänglich meine Probleme mit Manjaro gehabt, solange ich auch das Dateisystem ext4 für genutzt habe und vor ein paar Monaten bin ich dann auf das Dateisystem btrfs umgestiegen, wodurch ich bisher Manjaro nicht mehr neu aufsetzen musste.

Okay, ich danke dir für sei Informationen.

Was hältst du von TROMjaro und hast du es mal ausprobiert?

Ja, dass mit den Hardwareproblemen kann ich nur bestätigen und ich finde es nicht gut, dass Manjaro im schlimmsten Fall manchmal einfach hängen bleibt, abstürzt und neu startet oder zu mindestens auch manchmal nur kurze Aussetzer hat, was mir besonders beim Abspielen von Audios und Videos auffällt.

Andere Hardwareprobleme sind mir glaube ich bisher noch nicht aufgefallen und wenn doch, bringe ich es nicht direkt mit Manjaro in Verbindung.

Wobei mir ein Hardwareproblem in Verbindung mit Jitsi in LibreWolf und zuvor in Firefox aufgefallen ist, dass Manjaro sogar deshalb abstürzt und dann wieder neu startet, was aber an meiner alten und schwachen Hardware und auch an der Qualitätseinstellung von Jitsi liegen könnte, weshalb ich Jitsi nur noch als Programm getrennt von LibreWolf verwende, um damit diese Art der Hardwareprobleme vorzubeugen, weshalb ich bisher auch keine Probleme mehr diesbezüglich habe.

Das mit den Abstürzen von Manjaro kann dann wirklich nervig sein, wenn man gerade etwas wichtiges macht und es nicht vorher abgespeichert hat und dann wieder von vorne anfangen muss.

Weißt du vielleicht, welche Hardware Treiber von Artix Linux unterstützt werden und gibt es vielleicht eine Liste dazu?

Wenn Artix aufgrund dessen nicht bei mir funktioniert, gibt es wohl vorerst keine passende und gute Alternative für mich zu Manjaro Linux.

Zumal ich bei Manjaro trotzt der Hardwareprobleme glaube ich auch mittlerweile schon ein paar Jahre bin, was bei MX Linux und erst recht bei ZorinOS nicht lange der Fall war, ich glaube bei beiden Distros noch nicht einmal 1 Jahr insgesamt.

Mit Manjaro habe ich auch anfänglich ganz schön zu kämpfen gehabt, aber jetzt habe ich gelernt besser damit umzugehen und was ich bei Problemen machen muss oder um Probleme vorzubeugen.

Flatpak (umstritten aber zumindest die verifizierten sind gut updated)

flatpak remote-add --subset=verified --if-not-exists flathub https://dl.flathub.org/repo/flathub.flatpakrepo

Es gibt auch mehr Subsets für nur FOSS, oder nur Foss + verified.

Benutze einen Wayland Desktop, ansonsten gibt es keine Sicherheit. Jede App kann jede lesen, in jede schreiben, alle Tastatureingaben mitlesen.

seccomp, bubblejail für deinen Browser (browser momentan nicht als Flatpak). Firejail ist etablierter und hat da sicherlich schon existierende Filter. Bubblejail wäre aber cool, und sicherlich besser als firejail, da das ihr Ziel ist.

https://github.com/igo95862/bubblejail

Es gibt sogar eine GUI app!

Ansonsten verwende einen Nutzeraccount, der nicht in Wheel ist. Automatische Updates und Flatpak helfen da.

Bei Manjaro / echtem Arch sollte man wohl BTRFS snapshots einrichten, einfach um bei Problemen zurückzukönnen. Das ist essentiell.

Also Flatpak kommt für mich nicht in Frage.

Ist Bubblejail einfach zu bedienen oder muss ich mich erst intensiv darin einlesen und damit beschäftigen?

Ja, ich nutze unter Manjaro das BTRFS Dateisystem und das ist auf jeden Fall auch hilfreich dafür.

Wurde zwar viel geschrieben hier, hab mir nix davon durchgelesen.
Allerdings wundert es mich, dass niemand CIS erwähnt hat.

z.B https://www.cisecurity.org/benchmark/red_hat_linux

Oder halt : DISA-STIG

@fastb00t die Ursprungsfrage bezog sich auf Manjaro…

Achso, dass hatte ich im Subject des Threads gar nicht gelesen /FacePalm/

Was ein Beispiel ist, weißt Du aber?

Nebenher, wo genau unterscheiden sich denn RedHat und Manjaro aka Arch voneinander? Die Unterschiede was das Hardening angeht, müssen ja eklatant sein. Besonders, da die STIG rules, oder die vom CIS so gut wie auf „jeder“ Distri angewandt werden können.

Aber ich sehe, Du bist nicht vom Fach…

@fastb00t Es ist allgemein immer gut es zu tun, damit man auch entsprechend gut und richtig darauf eingehen kann.

Ich selbst habe davon keine Ahnung, weshalb ich dazu nichts sagen kann.

Für mich kommt keine Software von Red Hat in Frage und „DISA-STIG“ kenne ich auch nicht.

@atacama Ja, so sieht’s auch aus.

@fastb00t Wer lesen kann ist klar im Vorteil.

Wahrscheinlich in der Sicherheit, die bei Rad Hat höher als bei Manjaro Linux bzw. Arch Linux ist.

Gibt es denn eine einfache grafische Möglichkeit die „STIG rules“ oder die vom „CIS“ auf Manjaro Linux anzuwenden?

Wenn du wirklich vom Fach bist, dann kannst es mir und den anderen hier bestimmt einfach und leicht verständlich für jedermann gut erklären.

Und bitte lies dir erst einmal alles durch und dann kannst du gerne darauf eingehen und deinen Teil dazu beitragen.

Dann würde ich dir empfehlen auf Windows oder MacOS umsteigen. Wenn du Linux verwendest verwendest du auch Software von Red Hat, genauso wie von Google und anderen Big Playern im Linux-Geschäft und das nicht nur in kleinem Umfang.

DuckDuckGo kann dir da gute Dienste erweisen.

RHEL beinhaltet uralt Software und portet nur einen Teil der Sicherheitspatches zurück. Selbst beim Kernel wird da kein Mainline-LTS-Kernel verwendet sondern ein eigenes Patchset. Wie soll das sicherer sein? Man verwendet RHEL in erster Linie in Enterprise-Servern, wenn man will, dass Software über viele Jahre mit möglichst wenigen Veränderungen stabil läuft, aber trotzdem zumindest noch die wichtigsten Sicherheits-Lücken geschlossen werden.

Meines Wissens nach nicht. Da würden ziemlich viele Dinge an deinem System gemacht. Das willst du nicht ohne gutes Linux-Wissen machen, sonst kannst du auftretende Problem nicht selbst lösen.

Nein, ganz sicher nicht. Das werde ich nie wieder tun und bei MacOS war ich noch nie gewesen und es gefällt mir auch nicht.

Ja, ich nutze Manjaro Linux, wie du in meiner Überschrift und meinem Eingangstext zu meinem Beitrag herauslesen kannst.

Okay, welche Software denn von Rad Hat, Google und von anderen konkret?

Wenn ich das weiß, kann ich es ggf. auch entfernen.

Bitte werde konkret, damit ich und auch andere etwas mit deinen Aussagen anfangen können und ich/wir uns auch ggf. damit beschäftigen können, auch ganz konkret am Beispiel von Manjaro Linux, worum es in meinem Beitrag geht.

Ich nutze keine DuckDuckGo (Verarsche) Suchmaschine.

Oder auch nicht.

Ich kenne mich damit nicht aus und von daher kann ich dazu auch nichts sagen, was sicher ist und was nicht.

Also wenn ich das von dir über RHEL lese, sagt mir das gar nicht zu und würde ich auch nicht ausprobieren wollen, sofern es denn wirklich stimmen sollte, was du dazu schreibst.

Okay, gibt es denn andere Möglichkeiten mit einer grafischen Benutzeroberfläche Manjaro Linux sicher zu machen, ohne das man dafür ein Profi werden muss?

Okay, warum gibt es keine gute und einfache Möglichkeit die Sicherheitseinstellungen am System vorzunehmen?

Man könnte auch alleine schon zum Beispiel in Manjaro Linux einstellen, dass eben nur über eine https bzw. verschlüsselte Verbindung zum Internet hergestellt wird, also in pacman bzw. pamac, wo auch unverschlüsselte Verbindungen zu ein paar Spiegelservern hergestellt wird und selbst wenn man es auch in der Datei davon entfernt und so abspeichert, merkt er es sich nicht dauerhaft, was mir in dem Punkt schon mal aufgefallen ist, als ich es ausprobiert habe, weil er es immer wieder mit jedem Update ändert und auch zurücksetzt.

Oder wie man auch mit der gufw Firewall und deren erweiterten Einstellungen Manjaro Linux noch sicherer machen kann?

Kannst schon mal Anfangen den Linux Kernel zu entfernen, da ist massig Code von denen drin (Google, Microsoft, Oracle, Red Hat, …). Du wirst auch in vielen anderen Teilen eines typischen Linux-Desktop-Stacks signifikanten Anteil Code von diesen finden. Es geht auch nicht darum etwas zu entfernen, sondern deine Anforderungen zu überdenken.

Tja, das wird dir hier keiner beantworten können. Ist aber unter Linux in vielen Bereichen so. Also kann es Sinn machen sich schon einmal daran zu gewöhnen Wikis zu lesen, Befehle einzugeben und Konfigurationsdateien zu ändern. Das sind Skills die dir dann unter jeder Distro helfen.

Hast du es mal in den auf Manjaro-spezialisierten Foren/Chaträumen probiert? Da kannst du spezielle Fragen stellen, aber erwarte nicht, dass dort Leute sind, die viel Ahnung von Sicherheit haben.

Für dein konkretes Problem:
pacman-mirrors -P https
oder via GUI:
pacman-mirrors --interactive --default
Packete werden übrigens per Signatur und Checksumme überprüft, bevor sie installiert werden, also sind reine HTTP-Mirrors nicht so schlimm wie man zunächst annehmen mag.

Wichtig ist in erster Linie, dass keine Ports von außen offen zugänglich sind, falls du unwissentlich schlecht konfigurierte Services hast. Ich verwende GUFW nicht, aber das bekommst du sicher mit ein wenig Googlen hin.

Was mir gerade Einfällt wäre Brace , welches auch ein Arch-build enthält, aber am Besten unter Fedora getestet ist, oder du könntest Secureblue als Distro verwenden, da sind schon viele sinnvolle Anpassungen im Auslieferungszustand.

Ich bin seit etwa 25 Jahren in dee IT, davon arbeite ich etwa 15 Jahre mit Linux. Der komplette Thread ist reines Popcorn-Kino. Selbst von den „Fachleuten“ wird hier schwachsinn ohne Ende verbereitet. 2 Fachbegriffe in einer Schwachsinnigen Wall-of-Text und die Leute hier glauben alles.

Weder Chats noch Youtube oder irgendwelche „Security Influencer“ sind brauchbare Quellen. Lest die Wiki’s der Distros, Man Pages und die Kerneldoku.

Warum sollte ich Dir alles schön vorgekocht und in Deinen Mund passende Häppchen servieren?

Ich gebe gerne Hilfe zur Selbsthilfe. Die Informationen die ich geliefert habe sind Standards. Zeit ist Geld. Ich habe weder von dem einen noch dem anderen genug^^.
Ich denke auch nicht, dass Du Dir meinen Stundensatz leisten kannst.

Von daher… Immer freundlich bleiben^^

Auf gezielte Fragen bzgl der Informationen die ich geliefert habe, reagiere ich gerne. Sofern ich sehe, dass Du Dich damit auseinander gesetzt hast. Für alles andere ist mir meine Freizeit zu kostbar.

Wirklich beeindruckend. Warum steuerst Du dann nichts produktives zu dem Fred hinzu, bis auf Deine Polemik?

Schau dir mal die Arch Security Page oder den Desktop Linux Hardening Artikel von Privsec an.
Dort findet man einiges an nützlichen Informationen.

Ansonsten solltest du dir noch die Nachteile von Manjaro anschauen die @Chief1945 schön erläutert hat.

Das wird leider die Sicherheitsmängel von Linux Desktop Systemen nicht beseitigen. Im privaten Desktop Bereich hinken Linux Systeme nunmal hinterher.

Daniel Micay (GOS), Tommy (Privsec) und madaidan (Whonix) erläutern die Sicherheitsmängel von Linux ausfürlich.

Im Kern geht es vorallem um:

• fehlendes Sandboxing
• fehlendes Verified Boot
• die Angriffsfläche vom Kernel
• keine/kaum modern Exploit Mitigations

Brad Spengler (grsecurity) [1] [2] [3] [4], Dmitry Vyukov (Google) und Kees Cook (Google), Elena Reshetova (Intel) & Alexander Popov (Positive Technologies) weisen ebenfalls auf die Sicherheitsmängel hin.
Selbst PrivacyGuides weist darauf hin.