Fedora 41 KDE - Muss ich nach der Installation noch weiter Absichern?

[X-Worf]

Nach den ersten Gehversuchen Frage ich mich, ob und was ich weiter tun muss, damit ich den Desktop für den produktiven Einsatz sicher nutzen kann. Viel mehr als "Office", Surfen nach Informationen und Backups wird nicht gemacht. Spielen, Streaming, FSK18 und Sonstiges geschieht auf anderen Geräten. Selbst Mails, Kalendar, Kontakte bleiben auf Handy und Tablets bzw. würden übern Browser gentutzt. Auf Thunderbird usw möchte ich erstmal verzichten. Bei der Nutzung und Einbindung von Clouddiensten bin ich mir noch unsicher (und hat noch keine Priorität).

Die Gefahrenquellen dürften somit schonmal sehr reduziert sein.

Gemäß dem BSI (von 2018) und Fedora brauche ich weder irgendwelche Ports mit der Firewall schließen, noch wäre ein Virenscanner hilfreich. Eine kurze Suche hat mich auch nur zu einem älteren Heise-Artikel und "brauchste nicht"-Beiträgen geführt. ClamTK würde wohl eh nur Sinn machen, wenn das auf einem Live-System läuft, da es laut CCC (Quelle habe ich gerade nicht), wohl eh als erstes auf dem aktiven System blockiert würde. Eine kommerzielle Variante habe ich in einer ersten Suche nicht gefunden.

Updates vom System, Programmen und Firmware werden automatisch gemeldet über "Discover". Dort ist wohl auch LVFS intigriert, sodass fwupd wohl auch dabei ist. "fwupd" über Discover (Flathub) konnte ich nicht installieren (ging erst nicht, und startete auch nie). "Gnome-Firmware" (über Discover installiert) zeigt mir an, dass alles aktuell sei.

Anderseits zeigt mir "Firmwaresicherheit" an, dass ich eine HSI:0 Einstufung habe und u.A. die Aussage:

"Dieses System hat eine niedrige HSI-Sicherheitsstufe.​

» https://fwupd.github.io/hsi.html#low-security-level​

​

Dieses System hat HSI-Laufzeitprobleme.​

» https://fwupd.github.io/hsi.html#hsi-runtime-suffix"​

Wie gehe ich damit um? Vor allem muss/sollte ich die roten Einträge wegbekommen?
(Die häufige Antwort war immer "Firmware aktualisieren" womit sich die Katze dann selbst in den Schwanz beißt)

Ist mein Desktop daher von Außen angreifbar (wenn z.B. irgendwelche Scanner für angreifbare Systeme im Netz genutzt werden)?

Welche Einstellungen sollten noch angepasst werden?

 

[JumpingCat]

Nein. Es wird doch alles State of the Art mit aktiver Firewall, SELinux, Updates, FW Updates u.s.w.

Aus welchem Grund willst du weitere Maßnahmen ergreifen?

 

[gimmix]

Ohne Angaben zur Hardware kann man nicht sagen, ob bei dir fwupd überhaupt sinnvoll ist.
Hast du fwupd aus den Fedora-eigenen flatpaks installiert oder wirklich via flathub? Probier mal das jeweils andere!

 

[X-Worf]

@JumpingCat
Das Ob, Was und Wie ist ja eigentlich genau meine Frage.
Andere Seiten sagen eben, dass Linux grundlegend unsicher sei, im Vergleich zu Android/iOS und Win11 (von der Achitektur her).

@gimmix
siehe Bilder
Hab da wohl FlatHub und Flatpack durcheinander gebracht. Den oberen fwupd-Eintrag konnte ich erst nach einigen Versuchen installieren, aber nie starten. Der zweite ist mir suspekt* (aber dennoch installiert). Hat auch keine neuen Erkenntnisse gebracht und habe ich dann gelöscht, samt der Abhänigkeiten, die dann mit entfernt werden sollten.
*)plane eh das System, wenn ich alles durchexerziert habe neu aufzusetzen, damit ich nach der Try & Error-Phase eine saubere Installation habe.

Hatte versucht dem hier zu folgen:
https://de.linux-terminal.com/?p=1961

fwupd ist aber anscheinend schon installiert. "start" und "enable" blieben komplett ohne Rückmeldung. "apropos" zeigt nur leere Einträge.

Firmware-Sicherheit

Bereit …: 0%
Host-Sicherheitskennung: HSI:0! (v1.9.28)

HSI-1
✔ BIOS Firmware-Aktualisierungen:Aktiviert
✔ csme überschreiben: Gesperrt
✔ csme v0:16.1.27.2176: Gültig
✔ Fehlerdiagnose der Plattform: Deaktiviert
✔ SPI schreiben: Deaktiviert
✔ Unterstützte CPU: Gültig
✔ TPM leere PCRs: Gültig
✔ TPM v2.0: Gefunden
✔ UEFI-Bootdienst-Variablen: Gesperrt
✘ csme Herstellungsmodus: Entsperrt
✘ SPI sperren: Deaktiviert
✘ SPI BIOS-Region: Entsperrt

HSI-2
✔ Intel BootGuard: Aktiviert
✔ Fehlerdiagnose der Plattform: Gesperrt
✔ TPM-PCR0-Rekonstruktion: Gültig
✘ Intel BootGuard ACM-geschützt: Ungültig
✘ Einmalig programmierbare Intel BootGuard-Sicherung:Ungültig
✘ Verifizierter Start mit Intel BootGuard:Ungültig
✘ IOMMU: Nicht gefunden

HSI-3
✔ CET Platform: Unterstützt
✔ DMA-Schutz vor dem Booten: Aktiviert
✘ Intel BootGuard-Fehlerrichtlinie:Ungültig
✘ Im Leerlauf anhalten: Deaktiviert
✘ Im RAM anhalten: Aktiviert

HSI-4
✔ SMAP: Aktiviert
✘ Verschlüsselter RAM: Nicht unterstützt
Laufzeit-Suffix -!
✔ fwupd-Plugins: Unverdorben
✔ CET OS Support: Unterstützt
✔ Linux-Auslagerung: Verschlüsselt
✔ Linux-Kernel: Unverdorben
✘ Linux-Kernel-Sperrung: Deaktiviert
✘ Sicherer UEFI-Boot: Deaktiviert

Dieses System hat eine niedrige HSI-Sicherheitsstufe.
» https://fwupd.github.io/hsi.html#low-security-level

Dieses System hat HSI-Laufzeitprobleme.

» https://fwupd.github.io/hsi.html#hsi-runtime-suffix

 

[JumpingCat]

fwupd ist aber anscheinend schon installiert. "start" und "enable" blieben komplett ohne Rückmeldung.

Du willst es als Dienst laufen lassen oder was meinst du mit start und enable? systemctl?

Wenn du manuell prüfen willst:

fwupdmgr get-devices
echo " "
echo "=================="
echo " "
fwupdmgr get-updates

 

[X-Worf]

Ich bin einfach den Befehlen im Link der Reihe nach gefolgt.

"fwupdmgr get-devices" hat schonmal Infos geliefert.
Was ist mit den "echo"-Einträgen gemeint? Als visuelle Platzhalter im Beitrag, oder was mache ich damit?

Bedeutet "get-updates", dass die erstmal nur runtergeladen, aber nicht installiert werden? (Ich vermute mal, dass eh wieder eine Abfrage (y/N) folgt)

 

[JumpingCat]

echo ist nur damit da damit es auf dem Bildschirm besser aussieht.

get-updates [DEVICE-ID|GUID] Gets the list of updates for connected hardware
update [DEVICE-ID|GUID] Updates all specified devices to latest firmware version, or all devices if unspecified

https://github.com/fwupd/fwupd -> Basic usage flow

 

[X-Worf]

gemäß "fwupdmgr get-updates" gibt es nichts. Und beim Einlesen und Ausprobieren scheint es ja so zu sein, dass Fedora solche Firmware auch mit updated und somit alles Mögliche getan ist.


Weiß ich aber eben noch nicht weiß, ist, wie ich mit den Angaben unter "Firmware-Sicherheit" umgehen soll.

 

[JumpingCat]

So nett fwupdmgr auch sein mag, aber kritische Updates fehlen da teilweise bis fast immer. Wenn du auf der Webseite von fwupd nach folgendem suchst, dann wird auffallen das die Updates nicht von den Herstellern sondern von "Drittanbietern" wie Dell geliefert werden: https://fwupd.org/lvfs/search?value=kioxia . fwupd gibt dir auch keinen Hinweis das es beim Hersteller ein kritisches Update gibt.

 

[rgbs]

Nach den ersten Gehversuchen Frage ich mich, ob und was ich weiter tun muss, damit ich den Desktop für den produktiven Einsatz sicher nutzen kann.

Sorry wenn ich das so sage, aber gerade als Anfänger solltest Du Dich nicht mit irgendeinem unausgegorenen Mist befassen.
Eigne Dir erst einmal Kenntnisse über Linux an und beurteile dann selbst, ob es für Dich sicher genug ist.
Linux ist nämlich schon über die Regelung der Zugriffsrechte auf Dateien recht sicher.

plane eh das System, wenn ich alles durchexerziert habe neu aufzusetzen, damit ich nach der Try & Error-Phase eine saubere Installation habe.

Nur so als Tipp:
Deine Windows Denke kannst Du bei Linux vergessen, Linux tickt anders.
Z.B.: Im Gegensatz zu Windows neigt Linux viel weniger dazu voll zu müllen.

Gruß
R.G.

 

[gimmix]

Hab da wohl FlatHub und Flatpack durcheinander gebracht.

Flathub ist der Distro-unabhängige "App-Store" für flatpaks; bei Fedora gibts die Besonderheit, dass die noch zusätzlich eigene Flatpak-Repos haben (neben Flathub). (Fedora ist m.E. nicht anfängergeeignet, aber das nur am Rande.)

fwupd kann nur das auf dem neuesten Stand halten, was die Hardware-Hersteller (in deinem Fall Intel für das Chipset und ASRock für das UEFI) zur Verfügung stellen. Deshalb hab ich eben nach deiner Hardware gefragt.

Mach dir um den ganzen Sicherheitskram keinen Kopf!

Diese HSI-Geschichte listet teilweise Features auf, die deine Hardware vermutlich gar nicht zur Verfügung stellt, und ranked dein System dann eben auf einer niedrigen Sicherheitsstufe. Das braucht dich als normalen User aber gar nicht groß zu interessieren, zumal dieses HSI noch in der Experimentierphase steckt.

Mach halt von Zeit zu Zeit Firmware-Updates über fwupd und gut iss.

 

[###Zaunpfahl###]

manche ganz schön aggressiv hier...

herzlichen Glückwunsch zum Linux.

Das mit dem HSI hab ich mich auch schon mal gefragt, würde ich jetzt auch so einschätzen wie gimmix.
Es ist bestimmt nicht der sicherste Computer den du hast, aber mit Sicherheit genauso sicher wie Windows, sicher! ^^
Für normales nutzen reicht das aber. Wenn jemanden Geld oder Daten klauen möchte zwecks Erpressung / Betrug. Da gehen Hacker dann zu den Ahnungslosen... da biste schon sehr weit entfernt. Die nicht mal wissen was denn ein Browser sein soll... und am besten holt man sich die Zugangsdaten dann von Paypal und co über Instagram oder ne dämliche Phishingmail... etc.

Für professionelles Hacken ist der Gewinn / Aufwand bei dir viel zu niedrig.

https://www.stuttgarter-zeitung.de/...rau.cd62f8ad-dcf5-4bd6-848b-d9cc4319f605.html

 

[Merkmal]

Für eine höhere HSI-Stufe muss der Mainboradhersteller alles richtig implementieren.

Mein Intel NUC 12 schafft es bis HSI-4(ohne verschlüsselten RAM).

Was du noch machen kannst. Du kannst Secure Boot einschalten, Intel VT-D(oder ähnlich) für die IOMMU.
Bei Fedora lauscht meiner Meinung nach zu viel auf den Ports(ss -tulpnat). Ob das notwendig ist kann jeder für sich entscheiden.

Ich entferne alle Pakete die ich nicht brauche und passe mir ein paar Dinge an. Das wird aber nichts für einen Anfänger sein.

 

[X-Worf]

@JumpingCat
Das heißt, ich gehe klassisch auf die Hersellerseiten?
UEFI Update hatte ich schon auf dem Schirm (ist noch einstellig, statt 15.01)
Wie ich mache ich das bei Intel, wo ich nur Win-Downloadsupport finde?
Bzw. häufig ist mir auch unklar, wo welche Treiber von wem sitzen bzw. welche relevant sind.

@rgbs
Was unausgegorener Mist ist und was wertvoller Dünger muss ich ja erst noch herausfinden.

Ich weiß jetzt auch nicht was das mit WinOS zu tun aht. Habe seit Win7 keinen eigenen Desktop gehabt und die ganzen Einstellungen hier und da, die ich schon machen musste, erinnern mich irgendwie an Win98 (, aber immerhin nicht an Win95 usw).

Darüber hinaus dauert das booten mittlerweile schon 2-3x so lang, wie ganz frisch installiert, obwohl ja noch gar nicht viel verändert wurde. Brave startet immer erst beim zweiten Anlauf, obwohl das Symbol am Mauszeige fleißig hobst.
So weiß ich dann wenigstens, ob es am System selbst lag, oder an meiner vermuksten Anwendung.

Daher die Idee es am Ende nochmal in einem Guss frisch aufzusetzen.

@gimmix
Danke für die Einordnung!

@###Zaunpfahl###
Danke Und so vermute ich das eigentlich auch. Aber da ich noch nicht viel weiß bzgl Linux/Fedora frage ich lieber mal.

Für eine höhere HSI-Stufe muss der Mainboradhersteller alles richtig implementieren.

Mein Intel NUC 12 schafft es bis HSI-4(ohne verschlüsselten RAM).

Interessant!

Was du noch machen kannst. Du kannst Secure Boot einschalten, Intel VT-D(oder ähnlich) für die IOMMU.

Dazu lese ich mich nochmal ein.

Bei Fedora lauscht meiner Meinung nach zu viel auf den Ports(ss -tulpnat). Ob das notwendig ist kann jeder für sich entscheiden.

Das heißt?

Ich entferne alle Pakete die ich nicht brauche und passe mir ein paar Dinge an. Das wird aber nichts für einen Anfänger sein.

Ja, so mag ich das auch und hatte es bei mobilen Geräten vor GOS so gehandhabt. Aber, ob ich so weit komme (Zeitfaktor), oder einfach nur nutze, sehe ich dann mal. Hauptsache ich habe erstmal etwas, dass zur üblichen Nutzung reicht und alles andere ist Bonus.

 

[rgbs]

Bzw. häufig ist mir auch unklar, wo welche Treiber von wem sitzen bzw. welche relevant sind.

Bei Linux sind die Treiber mit im Kernel, oder in wenigen Ausnahmen Erweiterungen des Kernels, welche beim Start des Kernels mit geladen werden.

Habe seit Win7 keinen eigenen Desktop gehabt und die ganzen Einstellungen hier und da, die ich schon machen musste, erinnern mich irgendwie an Win98 (, aber immerhin nicht an Win95 usw).

Aber unter der Haube tickt Linux halt ganz anders.

Hauptsache ich habe erstmal etwas, dass zur üblichen Nutzung reicht und alles andere ist Bonus.

Eben, und da reicht sicherheitstechnisch gesehen eine standardmäßige Installation (bei Dir Fedora) und Kenntnisse kannst Du Dir im Laufe der Zeit in aller Ruhe aneignen.

Gruß
R.G.

 

[jodd2021]

Andere Seiten sagen eben, dass Linux grundlegend unsicher sei, im Vergleich zu Android/iOS und Win11 (von der Achitektur her).

So ein Quark. Lass dich nicht verrückt machen, so wichtig bist du nicht.

 

[X-Worf]

Warum hat man beim Booten eigentlich zwei Varianten/unterschiedliche Kernel?

Automatisch bootet die 6.11.x Kernel Variante.

 

[JumpingCat]

Weil es manchmal Probleme mit dem neuen Kernel geben kann und dann bootet man den alten. Manche Systeme können dann auch mit komplett älterem Software-Stand booten (btrfs, snapshots).

 

[X-Worf]

Und der 6.12.x Kernel gilt dann noch nicht als ausreichend stabil, oder wieso bootet immer der 6.11.x Kernel? Sollte ich das ändern, wenn mit dem 12er alles gut läuft?

Vermutlich ist das die passende Anleitung dazu?
https://docs.fedoraproject.org/en-U...etting_an_installed_kernel_to_boot_by_default

 

[JumpingCat]

Es kann sein das automatisch das gebootet wird was zuletzt ausgewählt wurde. Eigentlich aber immer der oberste Eintrag in der Liste.

uname -va im laufenden System sagt auch 6.11?