Sicheres Linux-Desktop-Betriebssystem: Difference between revisions

Es soll untersucht werden, welche Technologien bei der Einrichtung eines möglichst sicheren und trotzdem bequem Nutzbaren Linux-Desktop-Betriebssystem von Nutzen sein können. Es soll außerdem evaluiert werden, welchen genauen Nutzen, welche Nachteile und welche Schwachstellen die Technologien haben und gegen welche Angreifermodelle sie letztendlich schützen.

Übersicht

Sicheres Installationsmedium

• Vertrauen in alle beteiligte Hardware nötig
• Vertrauen in Betriebssystem nötig, das Installationsimage lädt bzw. prüft
• Absicherungsidee
  • Installationsimage auf USB-Stick mit Schreibschutz-Switch laden
  • Schreibschutz aktivieren
  • Auf unabhängigen Rechnern SHA512-Checksumme herunterladen und gegen USB-Stick prüfen

BIOS Passwort

Readonly-Laufwerk

UEFI Secure Boot

• Wie sieht es mit Kernelmodulen aus? Sind sie auch signiert?
  • Kann ich eigene Module kompilieren und signieren?

LUKS

Distribution und Softwarequellen

• Signierte Binaries aus Repos
• Reproducible builds

Sichere Authentifizierung

Verschlüsseltes Backup

• “Stehendes” Backup von externem Bootmedium
• Inkrementelles Backup
• Inkrementelles Backup auf Blockbasis
• Komprimiertes Backup durch Backup der Partitionsstruktur
• Netzwerkbackup mit geringer Bandbreite

Sandboxing

• AppArmor
• Firejail
  • Checkpoints (ggf. git repository)

Versiegelung

Sicherheitsstrategie für Plugins

Weitere Themen

• Welche Maßnahmen sind auf Dual-Boot-Systeme übertragbar?
• Lassen sich BIOS oder Netzwerkkarte von außen steuern/flashen?
  • Intel-Fernadministrierung/V-Pro?
• RAM-Verschlüsselung auf neuen AMD Ryzen Pro
• Hardwareverschlüsselung vs Softwareverschlüsselung (siehe BitLocker)
• Inwiefern sind die Technologien von der Hardware/dem BIOS abhängig?