Rechte beschnitten

Viele Anwendungen besitzen in normalen Distributionen Rechte, die sie eher selten benötigen. Wozu braucht etwa ein PDF-Reader Schreibrechte für das gesamte Home-Verzeichnis? Aus diesem Grund verhindert bei SGOS eine durch den Anwender editierbare Blacklist einige der rund 320 Systemaufrufe [11], die der Linux-Kernel bietet.

Kein Mitspracherecht hat der Nutzer dagegen bei der Verschlüsselung: Installieren Sie die Distribution fest auf dem Rechner, verschlüsselt die Installationsroutine das System automatisch mit Dmcrypt/LUKS (Abbildung 2). Beim Herunterfahren des Systems leert das System zusätzlich den Arbeitsspeicher, um Kaltstartattacken [12] zu verhindern. Das kleine Tool MAT entfernt des Weiteren alle Metadaten aus Dateien und schützt so Journalisten und Blogger.

Abbildung 2: Bei der Installation des Systems verschlüsselt das Setup automatisch die Festplatte.

Zur Installation müssen Sie das 1,4 GByte große ISO-Image von der Projektseite [13] herunterladen. Auf einen USB-Stick übertragen, lässt sich SGOS als Live-System mit Installer starten. Das System basiert auf Debian und setzt einen 64-Bit-Rechner voraus, der mindestens einen Zweikern-Prozessor und 2 oder besser 4 GByte Hauptspeicher sowie 20 GByte oder mehr freien Platz auf der Festplatte mitbringt. Als Desktop-Umgebung kommt Gnome 3 zum Einsatz. Mit diesen relativ niedrigen Grundvoraussetzungen lassen sich auch gängige Notebooks sicher betreiben. Das Passwort für das Live-Medium lautet live.

Die Entwickler weisen darauf hin, dass die nach zwei Jahren Entwicklung veröffentlichte erste Alpha-Version noch Fehler enthält – vermutlich auch im Sicherheitsbereich – und somit für den Produktiveinsatz noch nicht infrage kommt. Die Entwickler arbeiten auch noch an den Modalitäten der Veröffentlichung: So haben sie das Alpha-Release zwar bereits mit einem Entwicklerschlüssel signiert, aber noch nicht alle Anwendungen.

Seit Kurzem installiert eine Aktualisierung nach der Installation einen distributionseigenen Schlüssel. Das Team arbeitet für die erste stabile Veröffentlichung im nächsten Jahr zudem an der Integration von Debians Reproducible Builds. Das soll Vorfälle mit untergeschobenen, böswillig verfälschten Images verhindern, wie sie letztens bei Linux Mint vorkamen.

Debian "Testing" als Unterlage ermöglicht bereits jetzt einen realistischen Blick auf die implementierten Sicherheitsfunktionen. Einige der frühen Version geschuldete Unzulänglichkeiten listet die Projektseite auf [15]. Bei eigenen Tests müssen Sie beachten, dass SGOS noch nicht den Umgang mit UEFI beherrscht, weshalb Sie im BIOS des Rechners gegebenenfalls vor dem Booten des Live-Mediums auf den Legacy-Modus umstellen müssen. Möchten Sie die Distribution fest auf Ihrem System installieren, müssen Sie während des Bootvorgangs den Installer aus dem Startmenü auswählen. Hier kommt eine leicht modifizierte textbasierte oder grafische Version des Debian-Installers zum Einsatz. Im Test führte die grafische Variante zielsicher durch die Installation.

Sehr frühes Stadium

Nach dem ersten Hochfahren nach der Installation begrüßt Sie die Gnome Shell. Beim Stöbern in der Oberfläche und den vorinstallierten Paketen fallen einige Besonderheiten auf: Zunächst einmal gibt es keinen personalisierten User, der Standardanwender heißt einfach user. Damit möchten die Entwickler verhindern, dass Anwender über Klarnamen mehr Privates preisgeben als nötig. Bei Bedarf erstellen Sie über die Konfiguration ein personalisiertes Benutzerkonto.

Weiterhin fällt auf, dass sich das System nicht automatisch mit dem Internet verbindet – auch dann nicht, wenn eine Kabelverbindung besteht. Um das zu ändern, werfen Sie einen Blick auf die Unterpunkte hinter dem Tor-Symbol rechts oben am Bildschirmrand (Abbildung 3): Dort aktivieren Sie unter anderem die Netzwerkverbindung.

Abbildung 3: Die Gnome Shell ist die Schaltzentrale.

Der Tor-Browser dient bei SGOS zum anonymen Surfen im Internet (Abbildung 4). Generell leitet das System sämtliche ausgehenden Verbindungen des Browsers sowie anderer Anwendungen über das von Subgraph entwickelte Tool Metaproxy transparent ins anonymisierende Tor-Netzwerk. Klicken Sie auf das Icon des Tor-Browsers, lädt das System ihn herunter und installiert das Programm auf der Festplatte. Öffnen Sie stattdessen den Tor-Browser-Launcher, bietet SGOS hingegen unter anderem den Download-Server zur Auswahl an. Falls der Browser beim ersten Start nicht lädt, fehlen vermutlich die Flags für PAX. Diese lassen sich mit dem Kommando sudo paxrat -c /etc/paxrat/paxrat_tbl.conf nachziehen.

Abbildung 4: Der Anwender entscheidet über das Sicherheitslevel.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Neues auf den Heft-DVDs
    Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie nicht nur topaktuelle Distributionen, sondern auch die passenden Programme zu den Artikeln.
  • Qubes R3.1 veröffentlicht
    Die Distribution Qubes erhöht die Sicherheit, indem sie Anwendungen in einzelne virtuelle Maschinen sperrt. Jetzt haben die Entwickler die Version R3.1 freigegeben, die zusätzliche Hardwarekomponenten unterstützt und für Anwender ein paar interessante Neuerungen bereithält.
  • Sauber getrennt
    Qubes OS trennt Anwendungen in durch Xen bereitgestellten virtuellen Maschinen voneinander. So entstehen abgeschottete Sicherheitszonen.
  • Bit für Bit
    Die Ansprüche in Sachen Sicherheit steigen – auch für die Pakete in den Archiven der Distributionen. Debians Reproducible-Builds-Projekt versucht, dem gerecht zu werden.
  • SparkyLinux 4.1, Qubes 3 und NixOS 15.09
    Zum Wochenausklang sind gleich drei Distributionen in neuen Versionen erschienen. SparkyLinux aktualisiert vor allem die enthaltene Software, Qubes enthält einen neuen Hypervisor Abstraction Layer und NixOS verbessert den hauseigenen Paketmanager.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 1 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...