Eine solche bietet AppArmor, welches bei Ubuntu und openSuse zum Lieferumfang gehört. Mit Hilfe von Profilen wird festgelegt, worauf ein Programm – etwa Firefox – zugreifen und welche Befehle es ausführen darf. So kann man etwa den Zugriff auf das Home-Verzeichnis des Benutzers sperren und Firefox nur auf sein Profil (unter ~/.mozilla/firefox) Zugriff gewähren, obwohl der Benutzer, unter dem Firefox läuft, natürlich auch in sein Home-Verzeichnis schreiben kann. Dies schließt zwar keine Sicherheitslücken, sollte jedoch eine ausgenutzt werden, kann sich der Schädling nicht im System festsetzen, da für ihn die gleichen Regeln wie für Firefox gelten.

Ich habe solche Profile für Mozilla Firefox sowie Thunderbird unter Ubuntu 7.10 erstellt. Sie sind so konzipiert, dass der Benutzer keinen Unterschied spürt. Dennoch dürfen die Anwendungen nur auf die Verzeichnisse zugreifen, bei denen dies nötig ist. Schreibender Zugriff ist nur noch auf das Profilverzeichnis (indem Einstellungen, Browsercache, etc. liegen), sowie einem Ordner downloads im Home-Verzeichnis des aktuellen Benutzers möglich. Dies heißt aber auch, dass Downloads und Mailanhänge (dazu zählen auch PDF-Dateien) zunächst in diesem Verzeichnis abgelegt werden müssen und das ein direkter Start einer Anwendung aus Firefox oder Thunderbird heraus (etwa OpenOffice, um ein Textdokument zu öffnen) nicht mehr möglich ist. Stattdessen muss die Datei im downloads-Ordner abgelegt und dann ganz normal mit der jeweiligen Anwendung, etwa OpenOffice, geöffnet werden. Dieser Komfortverlust ist sicher zu verschmerzen, zumal der Sicherheitsgewinn deutlich höher liegt. Denn diese Vorgehensweise blockiert auch das unabsichtliche Ausführen von Dateianhängen an Emails. Vor einem Risikofaktor schützt jedoch auch AppArmor nicht: Dem Benutzer, der alles bedenkenlos öffnet und ausführt, egal wie dubios die Quelle sein mag.

Um die AppArmor-Profile zu nutzen, müssen die Pakete apparmor und apparmor-utils installiert sein, was bei Ubuntu 7.10 standardmäßig der Fall ist. Laden Sie nun die Profile herunter und entpacken Sie sie in das Verzeichnis /etc/apparmor.d/ (dazu benötigen Sie root-Rechte). Öffnen Sie dazu ein Terminal und wechseln Sie mit cd in das Verzeichnis, in das Sie die Datei ….tgz heruntergeladen haben. Geben Sie dann folgende Befehle ein:

tar xvfz aa-profiles.tgz

sudo cp usr.lib.firefox.firefox /etc/apparmor.d

sudo cp usr.lib.thunderbird.thunderbird /etc/apparmor.d

Nun aktivieren Sie die beiden Profile noch im Enforcing-Modus:

sudo aa-enforce /etc/apparmor.d/*

sudo /etc/init.d/apparmor restart

Mit sudo aa-status können Sie überprüfen, ob alles funktioniert hat. Von nun an Schützt AppArmor Firefox und Thunderbird. Sollten Probleme auftreten, können sie mit folgenden Kommandos den Schutz wieder abstellen:

sudo aa-complain /etc/apparmor.d/usr.lib.firefox.firefox

sudo aa-complain /etc/apparmor.d/usr.lib.thunderbird.thunderbird

sudo /etc/init.d/apparmor restart

Um die Profile weiter zu verbessern, bitte ich Sie, auftretende Probleme entweder in den Kommentaren zu diesem Artikel oder per Email zu melden. Ich werde dann versuchen, das Profil soweit möglich anzupassen.

Das Vorgehen unterscheidet sich nicht wesentlich von einander, aber dieser Abschnitt behandelt die Verschlüsselung am Beispiel der Systempartition. Im nächsten Schritt muss man angeben, ob Windows das einzige Betriebssystem ist, oder ob parallel dazu noch ein Linux oder ein weiteres Windows installiert ist. Dieser Artikel geht nur auf die Single-boot-Konfiguration ein. Da die Multi-boot-Konfiguration komplexer ist, wird sie in einem extra Artikel behandelt. Nach der Auswahl von Single-boot und einem erneuten Klick auf Next gelangt man zu der von normalen TrueCrypt-Containern bekannten Auswahl des Verschlüsselungsverfahrens, auf die hier nicht näher eingegangen werden soll (weitere Hinweise dazu gibt es auf der TrueCrypt-Webseite). Normalerweise kann man die voreingestellten Werte übernehmen.

Im nächsten Schritt wird nach dem Passwort gefragt, dass zum einem hinreichend sicher sein sollte (Tipps dazu finden Sie im TrueCrypt-Fenster), zum anderen auf gar keinen Fall vergessen werden sollte. Es gibt keine Möglichkeit, das Passwort wiederherzustellen! Sollten Sie es vergessen, haben Sie keine Chance mehr, an die auf der Partition gespeicherten Daten zu kommen. Haben Sie ein Passwort gewählt, folgen Sie einfach dem Assistenten. Bevor die Partition verschlüsselt wird, zwingt TrueCrypt Sie dazu, eine Rettungs-CD zu brennen. Diese dient bei Problemen beim Starten von Windows oder dem TrueCrypt-Bootloader dazu, dennoch an die verschlüsselten Daten zu gelangen. Brennen Sie das von TrueCrypt erzeugte ISO-Image auf CD und legen Sie diese CD ein. Ehedem lässt TrueCrypt es nicht zu, dass Sie mit dem Assistenten fortfahren. Den Wipe Mode können Sie fürs erste auf None stehen lassen, wenn Sie nicht gerade befürchten, dass ein Geheimdienst Ihren Computer klauen könnte .

Im nächsten Schritt wird es dann ernst: TrueCrypt installiert den Bootloader, der Sie noch vor dem Windows-Start nach Ihrem eben festgelegten Passwort fragt. Beachten Sie unbedingt die Hinweise, die vom Programm nun angezeigt werden! Starten Sie danach den Computer wie gefordert neu. Hat alles geklappt, fragt Sie TrueCrypt nach erfolgtem Systemstart, ob Sie die Systempartition nun verschlüsseln wollen. Zur Sicherheit sollten Sie spätestens jetzt ein Backup aller wichtiger Daten, besser noch ein Image der Systempartition anfertigen. Mit Defer können Sie die Verschlüsselung erst einmal aufschieben. Ist alles bereit, startet ein Klick ein Encrypt den Vorgang, der abhängig von der Größe einige Zeit dauern kann. Beachten Sie wieder die Hinweise von TrueCrypt, die weiterhelfen, sollte etwas schiefgehen. Nach dem Abschluss ist die Partition verschlüsselt. Sie können direkt weiterarbeiten, sollten aber durch einen Neustart testen, ob auch alles funktioniert.

Wer mit Suse bisher zufrieden war und nur den zmd loswerden will, kann auf apt4rpm umsteigen. Das aus der Debian-Welt bekannte Tool wurde schon bei Suse 10.0 mitgeliefert und kann auch unter Suse 10.1 mit wenigen Handgriffen ans Laufen gebracht werden.

Zunächst öffnet man ein Root-Terminal. Folgende Befehle installieren dann apt4rpm auf dem System:

wget http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.1-i386/RPMS.suser-rbos/apt-0.5.15lorg3.2-12.2.i586.rpm

wget http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.1-i386/RPMS.suser-rbos/apt-libs-0.5.15lorg3.2-12.2.i586.rpm

wget http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.1-i386/RPMS.suser-rbos/synaptic-0.57.2-11.3.i586.rpm

rpm -i apt-libs-0.5.15lorg3.2-12.2.i586.rpm

rpm -i apt-0.5.15lorg3.2-12.2.i586.rpm

Danach muss erstmal die aktuelle Paketliste heruntergeladen werden:

apt-get update

Als ersten Test kann man das für Synaptic (GUI für apt) benötigte scrollkeeper-Paket installieren:

apt-get install scrollkeeper

Mit

rpm -i synaptic-0.57.2-11.3.i586.rpm

installiert man das auch von Ubuntu bekannte Synaptic, mit dem man nun bequem Pakete nachinstallieren kann.

Da man den zmd nicht mehr braucht, kann man ihn problemlos entsorgen:

apt-get remove zmd

apt-get remove zmd-inventory

Auch Mono wird nicht mehr zwingend benötigt, wer auf die Desktop-Suche Beagle verzichten kann, kann es auch entfernen:

apt-get remove mono-core

Weitere Repositories (z.B. die von Packman) lassen sich in der /etc/apt/sources.list eintragen. Eine Liste mit allen Repositories für Suse 10.1 findet sich hier.

Yast lässt sich übrigens weiterhin wie von Suse 10.0 gewohnt verwenden, um zum Beispiel Pakete von den Installationsmedien nachzuinstallieren. Das Fehlen des zmd fällt überaschender Weise gar nicht auf.

Um die Sourcen zu laden, benötigt man Mercurial (zu installieren per apt-get install mercurial oder per yast). Danach befördert ein

hg clone http://mcentral.de/hg/~mrec/v4l-dvb-kernel

die Sourcen im Unterverzeichnis v4l-dvb-kernel auf die Platte.

Danach lädt man noch hier die für seine Karte passende Firmware herunter (für die Terratec Cinergy T USB XS ist dies die “Version 1″ (firmware. tgz). Diese entpackt man noch nach /lib/firmware (manchmal auch /lib/firmware/$(uname -r):

tar xvzf firmware.tgz -C /lib/firmware/

Bevor man das Kernel-Modul kompilieren kann, müssen folgende Pakete installiert sein:

• Kernel-Header (bei Ubuntu linux-header, bei Debian Etch linux-header-2.6.18-4-686, bei Suse kernel-headers)
• gcc, autoconf, automake (bei Ubuntu build-essential, bei Suse und Debian gcc und automake)

Das Kompilieren startet man nun mit

cd v4l-dvb-kernel
make
make install

Nach einem Neustart kann man mittels

modprobe em28xx
modprobe em2880-dvb

die Kernel-Module laden. Ein erster Test z.B. mit Kaffeine sollte erfolgreich verlaufen. Läuft alles wie gewünscht, kann man die Module an die /etc/modules anhängen, sodass sie beim Start geladen werden.

Nun kann man entweder mit Kaffeine fernsehen schauen, oder gleich den VDR installieren.