Vor Kurzem habe ich mein Notebook erfolgreich von Xubuntu auf Arch Linux umgestellt. Wie bei meiner bisherigen Xubuntu-Installation sollte Arch Linux natürlich mit Festplatten-Vollverschlüsselung (mittels LVM on LUKS) sowie aktiviertem AppArmor installiert werden. Außerdem wollte ich als zusätzliche Sicherheitsebene, Arch Linux mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Secure Boot Keys einrichten. In diesem Zusammenhang sollte zudem systemd-boot anstatt GRUB als Bootloader zum Einsatz kommen. Wie ich das Ganze umgesetzt habe, könnt ihr in diesem Beitrag lesen.
Arch Linux: Installation mit LVM, LUKS, AppArmor, systemd-boot und UEFI Secure Boot mit eigenen Keys
Arch Linux: Screenlocker XSecureLock einrichten
Auch wenn Xorg (X11) und Screenlocker in Sachen Sicherheit bekannterweise nicht wirklich zu überzeugen wissen, verwende ich natürlich trotzdem einen Screenlocker. Unter Arch Linux setze ich hier in Verbindung mit Xfce den Screenlocker XSecureLock ein.
Prinzipiell muss man nichts weiter machen, als das entsprechende Paket zu installieren und in seiner verwendeten Desktop-Umgebung ein entsprechendes Tastenkürzel zum Aufruf von XSecureLock einzurichten. Bei Bedarf lässt sich XSecureLock in Verbindung mit xss-lock auch so konfigurieren, dass der Bildschirm automatisch nach einer bestimmten Zeit abgedunkelt und gesperrt wird. Was ihr dazu machen müsst, erfahrt ihr in diesem Beitrag.
Arch Linux: libvirt mit AppArmor-Unterstützung installieren
Unter Xubuntu bin ich es gewöhnt, dass das libvirt-Paket direkt mit AppArmor-Unterstützung ausgeliefert und installiert wird. Leider ist das bei Arch Linux nicht der Fall. Da ich auf dieses zusätzliche "Sicherheitsnetz" bei der Ausführung meiner QEMU/ KVM-VMs nicht verzichten möchte, verwende ich nicht das von Arch Linux ausgelieferte libvirt-Paket, sondern kompiliere es mit AppArmor-Unterstützung selbst und installiere es dann manuell mit pacman.
Wie das Ganze genau funktioniert, beschreibe ich in diesem Beitrag.
Xubuntu: Xorg ohne LightDM und Root-Rechte ausführen
Standardmäßig wird unter Xubuntu der Xorg-Server durch den Display-Manager LightDM mit Root--Rechten ausgeführt. Aus Sicherheitsgründen ist es ratsam, jegliche Software, die nicht zwingend Root-Rechte benötigt, nur mit eingeschränkten Benutzerrechten auszuführen. Leider unterstützt LightDM derzeit kein sogenanntes "rootless Xorg" (siehe auch GitHub: LightDM - Support non-root X - Issue #18).
Grundsätzlich kann ich auf einen Display-Manager und eine Anmeldung per GUI verzichten. Aus diesem Grund habe ich derzeit mein System testweise so umgestellt, dass ich mich per virtueller Konsole (TTY) anmelde. Nach erfolgreicher Anmeldung wird dann automatisch der Xorg-Server und Xfce ohne Root-Rechte gestartet.
Android: Dateisystem per SSHFS einbinden
Mit SSHFS gibt es eine einfache und sichere Möglichkeit, das Dateisystem eines entfernten Geräts per SSH ins eigene Dateisystem einzubinden. Auf dem entfernten Gerät bedarf es dafür einen SSH-Server mit SFTP-Funktion.
Auf diese Weise lässt sich bspw. auch das Dateisystem eines Android-Smartphones in das Dateisystem des eigenen Rechners einbinden. Die Dateien des Android-Geräts können dann komfortabel per Dateibrowser verwaltet werden.
Analog zum letzten Beitrag bzgl. Android mit SSH-Server verbinden verwende ich hierfür auch dieses mal wieder die Open-Source-App Termux.