Sicheres Linux-Desktop-Betriebssystem: Difference between revisions
Jump to navigation
Jump to search
No edit summary |
|||
| Line 1: | Line 1: | ||
Es soll untersucht werden, welche Technologien bei der Einrichtung eines |
Es soll untersucht werden, welche Technologien bei der Einrichtung eines möglichst sicheren und trotzdem bequem Nutzbaren Linux-Desktop-Betriebssystem von Nutzen sein können. Es soll außerdem evaluiert werden, welchen genauen Nutzen und welche Schwachstellen die Technologien haben und gegen welche Angreifermodelle sich in der Folge schützen lässt. |
||
möglichst sicheren und trotzdem bequem Nutzbaren Linux-Desktop-Betriebssystem |
|||
von Nutzen sein können. Es soll außerdem evaluiert werden, welchen genauen |
|||
Nutzen und welche Schwachstellen die Technologien haben und gegen welche |
|||
Angreifermodelle sich in der Folge schützen lässt. |
|||
= Sicheres Installationsmedium = |
== Sicheres Installationsmedium == |
||
= BIOS Passwort = |
|||
== BIOS Passwort == |
|||
= Readonly-Laufwerk = |
|||
= UEFI Secure Boot = |
|||
== Readonly-Laufwerk == |
|||
= LUKS = |
|||
= Distribution und Softwarequellen = |
|||
== UEFI Secure Boot == |
|||
= Sichere Authentifizierung = |
|||
= Verschlüsseltes Backup = |
|||
* Wie sieht es mit Kernelmodulen aus? Sind sie auch signiert? |
|||
= Sandboxing = |
|||
** Kann ich eigene Module kompilieren und signieren? |
|||
= Versiegelung = |
|||
= Sicherheitsstrategie für Plugins = |
|||
== LUKS == |
|||
== Distribution und Softwarequellen == |
|||
* Signierte Binaries aus Repos |
|||
* Reproducible builds |
|||
== Sichere Authentifizierung == |
|||
== Verschlüsseltes Backup == |
|||
* “Stehendes” Backup von externem Bootmedium |
|||
* Inkrementelles Backup |
|||
* Inkrementelles Backup auf Blockbasis |
|||
* Komprimiertes Backup durch Backup der Partitionsstruktur |
|||
* Netzwerkbackup mit geringer Bandbreite |
|||
== Sandboxing == |
|||
* AppArmor |
|||
* Firejail |
|||
** Checkpoints (ggf. git repository) |
|||
== Versiegelung == |
|||
== Sicherheitsstrategie für Plugins == |
|||
== Übersicht == |
|||
{| |
|||
! Technologie |
|||
! Nutzen |
|||
! Kosten |
|||
! Angriff |
|||
|- |
|||
| BIOS Passwort |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Sicheres Installationsmedium |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| BIOS Passwort |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Readonly-Laufwerk |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| UEFI Secure Boot |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| LUKS |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Distribution und Softwarequellen |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Sichere Authentifizierung |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Verschlüsseltes Backup |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Sandboxing |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Versiegelung |
|||
| |
|||
| |
|||
| |
|||
|- |
|||
| Sicherheitsstrategie für Plugins |
|||
| |
|||
| |
|||
| |
|||
|} |
|||
== Weitere Themen == |
|||
* Welche Maßnahmen sind auf Dual-Boot-Systeme übertragbar? |
|||
* Lassen sich BIOS oder Netzwerkkarte von außen steuern/flashen? |
|||
** Intel-Fernadministrierung/V-Pro? |
|||
* RAM-Verschlüsselung auf neuen AMD Ryzen Pro |
|||
* Hardwareverschlüsselung vs Softwareverschlüsselung (siehe BitLocker) |
|||
* Inwiefern sind die Technologien von der Hardware/dem BIOS abhängig? |
|||
Revision as of 14:39, 2 October 2019
Es soll untersucht werden, welche Technologien bei der Einrichtung eines möglichst sicheren und trotzdem bequem Nutzbaren Linux-Desktop-Betriebssystem von Nutzen sein können. Es soll außerdem evaluiert werden, welchen genauen Nutzen und welche Schwachstellen die Technologien haben und gegen welche Angreifermodelle sich in der Folge schützen lässt.
Sicheres Installationsmedium
BIOS Passwort
Readonly-Laufwerk
UEFI Secure Boot
- Wie sieht es mit Kernelmodulen aus? Sind sie auch signiert?
- Kann ich eigene Module kompilieren und signieren?
LUKS
Distribution und Softwarequellen
- Signierte Binaries aus Repos
- Reproducible builds
Sichere Authentifizierung
Verschlüsseltes Backup
- “Stehendes” Backup von externem Bootmedium
- Inkrementelles Backup
- Inkrementelles Backup auf Blockbasis
- Komprimiertes Backup durch Backup der Partitionsstruktur
- Netzwerkbackup mit geringer Bandbreite
Sandboxing
- AppArmor
- Firejail
- Checkpoints (ggf. git repository)
Versiegelung
Sicherheitsstrategie für Plugins
Übersicht
| Technologie | Nutzen | Kosten | Angriff |
|---|---|---|---|
| BIOS Passwort | |||
| Sicheres Installationsmedium | |||
| BIOS Passwort | |||
| Readonly-Laufwerk | |||
| UEFI Secure Boot | |||
| LUKS | |||
| Distribution und Softwarequellen | |||
| Sichere Authentifizierung | |||
| Verschlüsseltes Backup | |||
| Sandboxing | |||
| Versiegelung | |||
| Sicherheitsstrategie für Plugins |
Weitere Themen
- Welche Maßnahmen sind auf Dual-Boot-Systeme übertragbar?
- Lassen sich BIOS oder Netzwerkkarte von außen steuern/flashen?
- Intel-Fernadministrierung/V-Pro?
- RAM-Verschlüsselung auf neuen AMD Ryzen Pro
- Hardwareverschlüsselung vs Softwareverschlüsselung (siehe BitLocker)
- Inwiefern sind die Technologien von der Hardware/dem BIOS abhängig?