Mit Sicherheit Linux

1

Weihnachtsvorlesung 2016 Hochschule Zittau/Görlitz

Richard Albrecht, LUG Ottobrunn, LUG Zittau

Mit Sicherheit Linux

eine Reise

Deutschland

Finnland

Kroatien

Südafrika

USA

(Weltkarte von openstreetmap.org)

https://www.openstreetmap.de/karte.html

https://creativecommons.org/licenses/by-sa/4.0/deed.de


2




Richard Albrecht, Jahrgang 1949 www.rleofield.de− Mathematik/Physik Spezialklasse der DDR− Physiker / Uni Halle-Wittenberg− AdW der DDR, Institut für Elektronenmikroskopie Halle

• Simulation elektronenoptischer Bilder (FORTRAN)

− Fernstudium Theologie− 1988 – 2000: IT-System Betreuer am Max-Planck-Institut (MPI) in Martinsried

• Abteilung Zellbiologie, Dr. Gerisch

• Arbeiten zur damals neuen 3D Fluoreszenzmikroskopie (konfokale Mikroskopie)

• Bildverarbeitung Lichtmikroskopie, 3D Darstellung von skalaren Daten

• C, C++, DEC-Station, 32 Bit Compiler unter MS-DOS

− bis 2011 in der IT Industrie, Berater, Entwickler• Entwicklung von Middleware für Call-Center und Help-Desks, Java, .NET

• Webportale und Schnittstellen für Leasing Vertragsverwaltung, ASP.NET, XML, XSLT (MS Partner)

− bis 2014 bei SVS Vistek in Seefeld als C++ Entwickler, Linux und Windows• CCD Kameras, GigE Vision. Kundensoftware, Portierungen C nach C++, Schulungen C++

− seit 2015 bin ich im Ruhestand• und wohne in Görlitz

• Linux und C++ bleiben auch im schönen Osten mein Thema

http://www.rleofield.de/

https://www.svs-vistek.com/de/

https://de.wikipedia.org/wiki/GigE_Vision



3



Linux User Group Ottobrunn München SüdOst Linux User Group Zittau

LUG ZittauLUG Ottobrunn

https://netz.freiraumzittau.de/wiki/werkraum:themen:lug-zittau

https://www.lug-ottobrunn.de/wiki/Hauptseite



4



Mit Sicherheit Linux?

Hilfe bei der Umstellung von PCs nach Linux − kein Virenscanner, keine Firewall, keine Viren, keine Trojaner,

− Installation wird von mir vorbereitet

• eine kurze Einweisung

• weitere Wartung durch den Benutzer

• 'Altlasten' umlagern nach Windows 7 mit KVM

Warum GNU/Linux/Ubuntu? − 'to go the Ubuntu Way'

− Sicherheit

− Unabhängigkeit

IT Erfahrungen und Linux

− am MPI

− Unix war Exot, Spezialisten vorbehalten, sehr teuer



5



Linux/Unix für alle oder doch nicht?

Max Planck Institut vor 1995 − Internet, PCs, Netze, Intranet … gab es noch nicht so richtig

• dominierend DEC, teuer, mit hohen Rabatten

• meine Abteilung: eine PDP 11, Schreibautomaten, erste PCs

Studenten − alle haben PCs, mit MS-Word …

Wie weiter ausbauen in der Abteilung?− RZ wollte DEC, 'high end', preiswert, − das haben doch alle, da macht man nichts falsch, …

− meine Ansicht war:• unsere Studenten wollen ihre Texte bearbeiten …

• ist DEC dafür geeignet?

• ist das kompatibel?

− ich habe:• PCs gekauft

• Novell Server installiert.

• MS Software beschafft

Computerindustrie in DE hat am Benutzer vorbei entwickelt− Aufstieg einer kleinen Firma Microsoft, 1981



6



Antwort 1: FSF

Richard Stallman, Gründer FSF, 1984

− GNU License

• The freedom to run the program, for any purpose

• The freedom to study how the program works

• The freedom to redistribute copies

• The freedom to improve the program

Linus Torvalds, 1991, Linux− 1992 Fusion mit GNU− GNU/Linux -> Ubuntu, Debian, Gentoo, Mandriva, Red Hat, SUSE



7



Bug Nr. 1 in Ubuntu

− https://bugs.launchpad.net/ubuntu/+bug/1

− Mark Shuttleworth, 20.08.2004

„Microsoft has a majority market share in the new desktop PC marketplace.

This is a bug, which Ubuntu is designed to fix.“

die Lösung

− 'to go the Ubuntu Way'

− 'Circle Of Friends'

− Code Of Conduct

− nicht auf Ubuntu beschränkt

es ist Ihre Entscheidung ...

Antwort 2: Ubuntu

https://bugs.launchpad.net/ubuntu/+bug/1



8



Philosophie (und Theologie) hinter Linux

KISS – 'Keep It Simple, Stupid'

− Ockhams Rasiermesser, Reclam, S. 304, Wilhelm von Ockham

• „ Eine Vielheit ist nur anzunehmen, wenn es notwendig ist.

Es ist ohne Zweck, was durch vieles zustande kommt, aber durch weniger erreicht werden kann.“

− möglichst einfache, minimalistische und leicht verständliche Lösung

− optimale Systeme

− z.B. Internet, Linux,

• The Art of Unix Programming

• The Art of Unix Usability

• the Cathedral and the Bazaar

Andere mit ähnlichen Ideen− Karl Popper (Logik der Forschung, Feinde der offenen Gesellschaft) − Richard Feynman (Buch: QED)

… let's go to GNU/Linux/Ubuntu

https://de.wikipedia.org/wiki/Wilhelm_von_Ockham

http://catb.org/esr/writings/taoup/html/index.html

http://catb.org/~esr/writings/taouu/html/

http://www.catb.org/~esr/writings/cathedral-bazaar/cathedral-bazaar/index.html



http://catb.org/esr/writings/taoup/html/ch01s07.html

9



Ein Ausflug nach C++

(B. Stroustrup und sein Interesse für Geschichte und Philosophie)

Viele C++ Entwurfsentscheidungen haben ihre Wurzeln in meiner Abneigung, Leute zu zwingen, Sachen in einer bestimmten Weise zu tun.

In der Geschichte sind einige der schlimmsten Katastrophen von Idealisten verursacht worden, die versuchen, die Menschen dazu zu zwingen, "das Gute für sie zu tun".

Dieser Idealismus führt nicht nur zu Leiden unter unschuldigen Opfern, sondern auch zu Verblendung und Korruption der Idealisten, die versuchen, das umzusetzen.

Wo Ideale zusammenprallen, bevorzuge ich, etwas so zu gestalten, dass es dem Programmierer eine weitgehende Wahl gibt.

The Design and Evolution of C++Seite 23, General BackgroundISBN-10: 0-201-54330-3



10



C++

3 Teile

− C

− OOP

− Templates

Design

− local costs

− RAII

− FAQ und Referenz Manual

− const correctness

− Operatorüberladung

− echte Referenzen

− STL

• Boost

• C++11, C++14 …

Eigenschaften

− hochportabel

− schnell

− legay code bleibt erhalten

− wenig Aufwand am Anfang

• als Novize kann man schnell beginnen

− keine Kenntnis von C nötig

− viele Freiheiten

− Meister erst nach Jahren



11



C++

https://github.com/rleofield

− xmlparser, • xml parser based on TinyXml

− check_new_delete, • runtime check of new/delete in cpp with logging of RAM usage

− asciireadwrite2, • read and write text/binary files with one line of cpp code

− 2D_mini_templates, • 2D_mini_templates for holding X/Y and X/Y/Z pairs, useful for image processing and 2D coordinates

− c_cpp_arrays, • examples for arrays, in C and in C++/C++11

− image_read_write, • read/write PNG,JPG,TIFF

− logging_simple, • a simple logger

− colors3, • X11 RGB names with values

https://github.com/rleofield



12



Der PC heute, warum Linux?

PC ist zur Privatsphäre geworden

− private Sicherheit der Daten wird immer wichtiger

− Bundesverfassungsgericht in DE, 27. Februar 2008

• „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“

− Bericht CCC, 8.10.2011• Bundestrojaner entdeckt, Kollateralschaden der Computersicherheit

Linux hat sich in den letzten 10 Jahren sehr gewandelt

− 40 Jahre Erfahrung (durch Unix)

− vom Uni-System zum ausgereiften Desktop

− hohe Sicherheit für den Desktopbenutzer

− in allen Sprachen verfügbar

− sehr gute Hardwareunterstützung

− sehr einheitlich, trotz der Vielfalt

http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2008/02/rs20080227_1bvr037007.html

https://www.ccc.de/de/updates/2011/staatstrojaner



https://www.debian.org/index.de.html

https://www.ubuntu.com/

http://xubuntu.org/

http://www.mythbuntu.org/

13



keine Fremdbestimmung durch Herstellerfirma oder deren Marketing

kein Unterschied Home, Professional, Ultimate, Enterprise …

hohe lokale Sicherheit, kein Virenscanner, keine Firewall nötig

saubere Rechtetrennung

Unsere Vorteile

kein Vendor Lock In − Kosten, die eine Änderung der aktuellen Situation unwirtschaftlich machen

Kauf ist einfach− Ablösung nach einigen Jahren unmöglich oder sehr teuer− bei Software ist die Ablösung der teuerste Teil

• wenn keine Standards verwendet werden

Abhilfe: Standardisierung, Offenheit, freier Zugang− Linux kostet nichts, aber

− Linux wird teuer, wenn man es nicht rechtzeitig einsetzt• Umstieg im Kopf ist der längste Teil bei einer Umstellung



14



1. Internetdienste

− Mail, Webbrowser• Thunderbird, Firefox

2. Backend

− Backup, Fileserver, Datenhaltung, Historie• Vortrag CLT 2016

3. Office Programme

− Dokumentformate (OASIS)• braucht man noch bisherige Formate?

• Konvertierung der vorhandenen Dokumente

• Auf ISO/IEC 26300 umsteigen (Libre Office ist eine Möglichkeit)

4. Altlasten

− Buchhaltung, sonstiges• in eine virtuelle Maschine auslagern

• ist in Linux ‚out of the box‘ dabei

Der Weg zu Linux

https://www.youtube.com/watch?v=d5fa1cEcgG8

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=office

https://de.wikipedia.org/wiki/OpenDocument



15



Mein Weg zu Linux

Hilfe für Linux Umsteiger (die ich betreue)− Linux Wissen kann nicht vorausgesetzt werden− wird sich auch nicht angeeignet− Beruf, Familie

• Users can hold at most 7±2 things at once in working storage

− The Art of Unix Usability (Eric Raymond)• Allow your users the luxury of ignorance

Christoph in NeuriedLore in Pasing

man hat DSL, aber keinen ‚Router‘, wo ist der denn?kein Zugriff auf den Router (kein Portforwarding)… Passwort vergessen, hat der Nachbar …

in Kroatien

http://www.catb.org/esr/writings/taouu/html/ch01s03.html#rule-seven

http://www.catb.org/esr/writings/taouu/html/ch01s03.html#rule-bliss



16



Linuxtage - Linux für alle oder doch nicht?

Was soll ich da?− LIT Augsburg

• nichts verstanden, − LUG Ottobrunn

• nichts verstanden

Was tun?− selbst etwas machen

• seit 2008 mit der LUG Ottobrunn auf dem LIT

• unsere Live Installation hatte sehr viel Interesse gefunden

• seit 2009 Vorträge 'Mein Weg mit Linux'

• zuerst wenige Zuhörer, dann ein voller Hörsaal

• das Thema war wichtig

− Erweiterung um SSH, KVM und Sicherheit und X2GO'Mit Sicherheit Linux'

• KISS (keep it simple and stupid)

− viele Linuxtage besucht (Ubucon, CLT, LIT, Linuxday, Linuxtage, Linuxwochen, …)• mit sehr unterschiedlicher Resonanz

− Dank an meine Familie und die LUG Ottobrunn

http://lug-ottobrunn.de/wiki/Datei:Luga-lit2008-13.jpg



17



Warum Linux?

GNU Lizenz• The freedom to run the program, for any purpose

• The freedom to study, how the program works



Sind das gute Argumente?− Nein, ich will eine Sonnenblume und bekomme nur den Samen

?



18



Warum Linux?

Warum eigentlich?

− Weil wir es mögen?

− Weil wir nette Leute sind?

− Weil es freie Software ist?

− Weil es kostenlos ist?

− Weil es besser, als andere Systeme ist?

Deswegen

− weniger Aufregung, mehr Stabilität, mehr Sicherheit

• Gewinn an Lebensqualität

− Werk von Leuten, denen wir vertrauen

− Arbeit mit Leuten, die uns vertrauen

nach Snowden

− besseres Wissen um Netze, PC-Sicherheit, Gefahren des Netzes



19



Ubuntu – Nelson Mandela

https://en.wikipedia.org/wiki/File:Experience_ubuntu.ogg

Ubuntu: wir helfen, wo es nötig ist

− wir gehen zu den Leuten, die Hilfe brauchen

− wir warten nicht, bis die Leute zu uns kommen

− vom 'help yourself' nach 'we help you''

A traveller through a country would stop at a village and he didn't have to ask for food or

for water. Once he stops, the people give him food and attend him.

That is one aspect of Ubuntu.

https://en.wikipedia.org/wiki/File:Experience_ubuntu.ogg



20



Wer vertraut uns?Wen können wir zu Linux bringen?

PC Spezialisten− wer viel über PCs weiß, hat Linux oder er will es nicht

Windows Spezialisten− wissen alles besser und haben

• Virenscanner

• eine personal Firewall

• nie Probleme

• und meinen, ein PC ohne Laufwerk C:\ kann nicht funktionieren

'Linuxkenner'− wenn Linux, das oder das kann, steige ich um− wenn alle Linux haben, wird es genau so viele Viren geben ...

alle Anderen− vom PC frustriert, − Viren, Trojaner, komische Meldungen, oft noch XP− Benutzen den PC zum Arbeiten, als Werkzeug− Leidensdruck− immer funktioniert etwas nicht− Erfolg von 'W32.Sasser' führte zu Ubuntu

• Danke MS

−

−



21



Wie vorgehen?

Ubuntu installieren

− kann keiner alleine!

− Angst, etwas kaputt zu machen

• PC ist Lebensmitte, Risiko sehr hoch

• Zustand der PCs ist oft schlecht, HD voll, viel Ballast

und einen Abend Einweisung

− Leute abholen, merken, wenn es zu viel wird, deutsch reden

− Angst abbauen, Linux funktioniert wirklich

− Updates erklären

− Verbot von Fremdsoftware, Softwarecenter verwenden

− Verbot, den bisherigen 'Windowskenner ', Nachbar, Freund, an den PC zu lassen

• Linux wartet sich selbst und muss auch vom Besitzer gewartet werden

• Gerätehoheit und Privatsphäre

− SSH einrichten, telefonische Erreichbarkeit sichern

− Datenschutz



22



Wie geht es weiter?

es funktioniert − Erfahrung zeigt, dass alle Leute nach einigen Wochen Linux sehr selbstständig werden

• neue Software wird installiert, deinstalliert, ubuntuusers.de

− es werden Dinge gemacht, die man sich mit dem alten System nie getraut hat

• sogar Desktops werden ausprobiert

− … nach einigen Wochen …

− Oh, immer noch kein Blue Screen, und noch kein Virus, ohne Virenscanner?

− … wieder einige Wochen …

− Sicherheit wird zum Thema und es gibt Lösungen

− persönlicher Erfolg:

• wenn der erste PC Virus in der Tagesschau gemeldet wird

• Virus, bei mir nicht, ich habe Ubuntu, ihr wisst schon, nach Nelson Mandela

keiner meiner „Ubuntu/Linux Neulinge‘

hat „sein“ Ubuntu/Linux wieder hergegeben.

− Richard, warum hast Du mir das nicht früher gesagt?

http://ubuntuusers.de/



23



Was sollte man als Betreuer nie tun?

etwas machen und nicht erklären

− der PC Besitzer muss wissen, was auf seinem PC läuft, auch wenn er es nicht versteht (Vertrauen)

Kommandos aufschreiben

− das Terminal ist was ganz schreckliches und funktioniert nie

• Beispiel Einsteiger Vorträge CLT 2014: fast nur Terminal

• dto. LIT Augsburg und andere Linuxtage

− das Terminal stellt hohe Anforderungen an die Merkfähigkeit und Vorstellungskraft

− man kann sich nur 6-8 Dinge gleichzeitig merken

• The Rules of Interface Design (Eric Raymond)

− Kopf ist durch Alltag belegt

− Wer das Terminal wirklich braucht, lernt das alleine (es gibt Wikis)

Linux nicht dem bisherigen System ähnlich machen− Linux ist Linux

http://www.catb.org/~esr/writings/taouu/html/ch01s03.html



24



Ergebnis

Inzwischen viele PCs nach Linux umgestellt

− München, Wismar, Murnau, Kroatien, Görlitz

− auch bei älteren Leuten

− Computerkenntnisse der PC Besitzer sind besser geworden

− Vertrauen in mich ist besser geworden

viral

− wer mit Linux zufrieden ist, erzählt es weiter

• und macht die gleiche Erfahrung: es versteht keiner, warum man Linux hat …

− sehr langer Prozess im Kopf

Gelegenheiten nutzen

− immer ein Live-USB Linux dabei haben

− oder das Notebook

mein Projekt in Varazdin

− war eine Gelegenheit ...



25



Das Besondere

und, da fehlt noch etwas?

− herkömmlicher PC ist Ursache für Bluthochdruck ;-)

− Immer geht irgendetwas nicht :-(

− bin ich heute schon überfallen worden?

− Ubuntu senkt den Blutdruck :-)

− Ubuntu verbessert die Gesundheit

− wir brauchen ‚GNU/Linux/Ubuntu‘, um zu leben

− … denn GNU/Linux/Ubuntu ist stressfrei



26



Varaždin

Danas ćemo praktično pokazati što smo naučili i instalirati Ubuntu− http://ss-gospodarska-vz.skole.hr/− mein Vortrag

http://ss-gospodarska-vz.skole.hr/

http://ss-gospodarska-vz.skole.hr/?news_hk=1&news_id=457&mshow=797#mod_news



27




GNU Lizenz (Link)• The freedom to run the program, for any purpose

• The freedom to study how the program works



Sind das gute Argumente?− Ja, ich will eine Sonnenblume und bekomme einen ganzen Strauss

Es ist Weihnachten:− Verschenken Sie ein Linux und bringen Sie etwas ‚Ubuntu‘ in diese Welt

http://www.gnu.org/licenses/licenses.html#GPL



28



Demos

Live Zugriff nach Kroatien mit reverse SSH− sicher− ohne Portforwarding im Router vor Ort− Kommunikation von localhost nach localhost

• d.h. das Internet wird ‚durchtunnelt‘

Backup mit Linuxmitteln− Backup, sicher vor Verschlüsselungstrojanern

• automatisch

• mit Historie

• auch über das Netz

Demo der Aktivität von rsnapshot− Backup mit Historie− jeden Tag, jede Woche, jeden Monat, mit allen Files

• auf der Platte wird aber nur der Platz für einen Tag belegt

• und die Änderungen

Linux macht es möglich− ohne zusätzliche Software



29



please help, to realize this



30



So schaut das aus, mit 'Staging-Area' für rsnapshot

Görlitz

Server, online, 24/7

Pasing

Kroatien

LUKS HD (Ziel)

Router(Portforwarding)

SSH -R

Client, nicht immer online

rsnapshot

rsync

rsnapshot

rsync

Staging-Area



31



Backup mit SSH, remote Client, betreute Rechner

● Rechner meldet sich beim Start am Server an– für jeden remote PC einen Account im Server– für jeden remote PC einen Port im Server– Anmeldung an einem Login Account– 'rsync' auf Remote-User im spezifischen Account– mit autossh (überlebt Reboot, Client oder Server)

● in /etc/rc.local des Clients– SSH -R zum Server, silent– Verbindung von localhost zu localhost

In rc.local des Client:su -s /bin/sh user -c '/usr/bin/autossh -p 22 -q -f -N -R 14520:localhost:22 [email protected]'

im Server Account für 'rsync':Fernwartung: ssh -p 14520 -X -C user@localhost Backup: rsync -avP -e 'ssh -p 14520' user@localhost:/home/user/ /mnt/user/ Client ^ Server ^

● rsync Client->Server kann jederzeit starten, vom Server aus– keine Portweiterleitung im Client Router – Ort des Client im Internet braucht nicht bekannt zu sein

● rsync kann unterbrochen werden– Shutdown des Client– Skript auf dem Server, Test mit Ping, ob der Client wieder aktiv ist– rsync neu starten

mailto:[email protected]

mailto:user@localhost



32



Alles zusammen, mit rsnapshot

rsync

− remote Daten abholen,

• erstes ‚rsync‘ braucht u.U. lange (einige Wochen, langsame DSL Verbindung)

SSH -R

− remote Zugriff per localhost

rsnapshot

− ungeeignet für Rechner, die nicht immer laufen

− einen Arbeitsbereich (Stagung Area) anlegen,

der mit rsync gefüllt wird

− rsnapshot holt die Daten dort ab

− ca. 30GB pro remote PC

LUKS

− als finale HD im Server

− austauschbar

− 2x, um zu vergleichen



33



‚Private Cloud‘

unsicheres Internet

SSH

Hochschule

Kroatien, München

KVM private 'Cloud'

rsnapshot

rsync

rsyncSSH

SSH



Documents

Mit Sicherheit Linux