Wie ihr in „Wenn ansible.builtin.ping kein pong zurückgibt,…“ nachlesen könnt, bin ich kürzlich mit dem File Access Policy Daemon fapolicyd aneinandergeraten. In diesem Beitrag möchte ich meine Gedanken zu dieser Anwendung und einige Links zu weiterführenden Informationen mit euch teilen.

Das Software-Framework fapolicyd steuert die Ausführung von Anwendungen basierend auf einer benutzerdefinierten Richtlinie. Dies ist eine der effizientesten Methoden, um die Ausführung nicht vertrauenswürdiger und potenziell bösartiger Anwendungen auf dem System zu verhindern.

Übersetzung aus Introduction to fapolicyd

Informationen zu fapolicyd

• Quell-Repository: https://github.com/linux-application-whitelisting/fapolicyd
• Dokumentation im RHEL security hardening guide für
  • RHEL 8
  • RHEL 9
  • RHEL 10

Lose Gedanken

Zuerst möchte ich noch ein Zitat aus einem Matrix-Kanal mit euch teilen:

Klingt ein bischen wie SELinux für Arme ^W Menschen mit Freizeit.
Ich glaube,ich muß mal was anderes machen. Irgendwas mit Holz… ;-)

Ulf Volmer im TILpod-Matrix-Kanal

Dazu möchte ich schreiben, dass fapolicyd nicht als Alternative, sondern eher als Ergänzung zu SELinux zu sehen ist. Es handelt sich dabei also um ein weiteres Werkzeug, mit dem sich steuern lässt, was auf einem System ausgeführt werden darf und was nicht.

Ich kann nachvollziehen, warum man sich solch ein Werkzeug wünscht. Es bietet potenziell eine Antwort auf die Frage: „Wie verhindere ich, dass User beliebige flatpaks aus dem Internet herunterladen und aus ihrem HOME-Verzeichnis ausführen?“

Ob es dafür wirklich gut geeignet ist, habe ich nicht getestet. Es hat jedoch gezeigt, dass es meine Python-Skripte blockieren kann. Allerdings habe ich dabei auch gelernt, dass man diesen Schutz relativ leicht umgehen kann, indem man einfach die Shebang weglässt und das Skript manuell als Argument an einen Python-Interpreter übergibt. Siehe dazu meinen Kommentar auf GitHub.

Generell scheint es aufwändig zu sein, Regeln für HOME-Verzeichnisse zu konfigurieren. Ein Pull-Request hierzu wurde zurückgezogen.

Auf mich macht dies bisher den Eindruck, dass fapolicyd in der Tat mehr Arbeit und Ärger für Sysadmins bedeutet, jedoch nur einen geringen Zugewinn an Sicherheit bringt.

Was haltet ihr davon? Teilt eure Gedanken gern in den Kommentaren. Ich freue mich, zu lernen, welche Vor- und Nachteile ihr in fapolicyd seht.

Forscher des Sicherheitsunternehmens Pynt haben herausgefunden, dass die Nutzung sogenannter MCP-Plugins die Wahrscheinlichkeit, Opfer eines Hackerangriffs zu werden, drastisch erhöht.

Docker gibt bekannt, dass es in einem neuen Abomodell seinen Kunden unbegrenzten Zugriff auf seine gehärteten Images aus dem Hardened Images Catalog gewährt.

Das Unternehmen DeepMind hat nun mit CodeMender ein KI-gestütztes Tool vorgestellt, das Sicherheitslücken sucht und automatisch patcht.

Laut dem US-Marktforscher Gartner werden die weltweiten Ausgaben der Endnutzer für Informationssicherheit im Jahr 2025 voraussichtlich 213 Milliarden US-Dollar erreichen, gegenüber 193 Milliarden…

Das AUR von Arch Linux steht derzeit offenbar im Fokus als Malware-Schleuder. Zum zweiten Mal innerhalb von zehn Tagen wurden Remote-Access-Trojaner hochgeladen.

Im Arch User Repository (AUR) wurden erneut schädliche Pakete gefunden. Drei von Nutzern hochgeladene Anwendungen enthielten eine Fernzugriffssoftware mit Schadcode. Die betroffenen Pakete heißen librewolf-fix-bin, firefox-patch-bin und zen-browser-patched-bin. Alle wurden am 16. Juli veröffentlicht und stammten offenbar vom selben Urheber. Sicherheitsexperten entdeckten einen Trojaner, der aus einem fremden GitHub-Skript geladen wurde. Damit hätten Angreifer volle […]

Der Beitrag Drei infizierte AUR-Pakete mit Schadsoftware entdeckt erschien zuerst auf fosstopia.

Das Arch Linux Projekt warnt davor, dass eine Reihe von bösartigen Paketen, die einen Remote Access Trojaner enthalten, in das Arch User Repository (AUR) hochgeladen wurden.

Im zweiten Quartal 2025 identifizierte Sonatype über 16.000 schädliche Pakete. Das entspricht einem Anstieg von 188 Prozent im Vergleich zum Vorjahr. Besonders betroffen ist der Open-Source Bereich, wo gezielte Angriffe auf Entwicklerumgebungen zunehmend zur Regel werden. Im Fokus der Angreifer stehen sensible Informationen wie Zugangsschlüssel, API Tokens und Konfigurationsdateien. Diese befinden sich häufig in vorhersehbaren […]

Der Beitrag Angriffe auf Open Source Entwicklerumgebungen nehmen drastisch zu erschien zuerst auf fosstopia.

Das CERT warnt vor Schwachstellen im System Management Mode (SMM) von UEFI-Modulen in der Firmware von Gigabyte-Mainboards.

Anthropic schlägt einen Transparenz-Framework vor, das auf Bundes-, Landes- oder internationaler Ebene angesiedelt sein könne und nur für die größten KI-Systeme und -Entwickler gilt.

Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Entwickler-Tool MCP Inspector von Anthropic entdeckt.

Sicherheitsforscher von ERNW haben eine schwerwiegende Schwachstelle in Linux-Distributionen dokumentiert. Die Lücke erlaubt Angreifern mit physischem Zugriff die vollständige Kontrolle über ein System, selbst bei aktivierter Festplattenverschlüsselung. Betroffen sind aktuelle und durchaus auch beliebte Linux Distros wie z.B. Ubuntu 25.04 oder Fedora 42 Ausgenutzt wird eine Debug-Shell, die nach mehrmaliger falscher Passworteingabe im Entschlüsselungsdialog erscheint. […]

Der Beitrag Kritische Sicherheitslücke betrifft mehrere Linux-Distributionen erschien zuerst auf fosstopia.

Auf der Plattform HackerOne, die ethische Hacker an Kunden vermittelt, die ihre IT auf Schwachstellen hin untersuchen lassen wollen, hat erstmals die KI XBOW, wie ihr Hersteller in seinem Blog…

Mehrere gravierende Sicherheitslücken in der UEFI-Firmware verschiedener Hersteller ermöglichen es Angreifern, Secure Boot zu umgehen oder die Firmware auszutauschen.

Roundcube ist ein weit verbreiteter, quelloffener Webmail-Client, der es Nutzerinnen und Nutzern ermöglicht, E-Mails direkt im Browser zu verwalten.

Zwei neu entdeckte Schwachstellen gefährden aktuell bestimmte Linux-Distributionen. Die Sicherheitsforscher von Qualys haben Race Conditions in den Komponenten apport und systemd-coredump identifiziert. Sie wurden unter den CVE-Nummern CVE-2025-5054 und CVE-2025-4598 veröffentlicht und ermöglichen es lokalen Angreifern, auf Speicherabzüge privilegierter Prozesse zuzugreifen. CVE-2025-5054 betrifft die apport-Komponente, die bei Ubuntu zum Einsatz kommt – konkret Versionen bis […]

Der Beitrag Neue Linux Sicherheitslücken: Race Conditions bedrohen sensible Daten erschien zuerst auf fosstopia.

Open-Source-Software steht für Transparenz und Zusammenarbeit. Gleichzeitig ist sie ein beliebtes Ziel für Angreifer, die Schwachstellen im Code ausnutzen. Besonders kleinere Projekte leiden unter Personalmangel und fehlenden Prüfmechanismen. Der XZ-Utils-Vorfall zeigt, wie gefährlich manipulierte Beiträge werden können. Wie können sich Open-Source-Projekte besser vor solchen Angriffen schützen?

Der Beitrag Sicherheitslücken in Open-Source-Projekten: Der Fall XZ Utils und die Lehren daraus erschien zuerst auf Linux Abos.

Kryptowährungen sind längst kein Nischenthema mehr. Immer mehr Menschen investieren in Bitcoin, Ethereum oder XRP – sei es als Altersvorsorge, Spekulation oder schlicht aus Überzeugung. Mit wachsendem Interesse steigt jedoch auch die Verantwortung. Denn im Gegensatz zu herkömmlichem Geld gibt es bei Krypto keinen Bankschalter, der hilft, wenn etwas schiefläuft. Wie sicher sind Online Wallets wirklich und worauf sollte man unbedingt achten?

Der Beitrag Aufbewahrung von Kryptowährungen: Wie sicher sind Online Wallets? erschien zuerst auf Linux Abos.

2024 finden Forscher von Kaspersky 14.000 schädliche Pakete in Open-Source-Projekten. Unter anderem betten Angreifer Hintertüren und Datastealer in Software-Pakete ein.

In den letzten Tagen, musste ich hier im Blog leider beobachten, wie sich ein Spammer an den wachsamen Augen der Antispam Bee vorbeigeschlichen hat und einzelne SPAM-Kommentare unter einem älteren Artikel aus dem Jahr 2015 hinterlassen hat.

Was mit einzelnen Kommentaren begann, erweiterte sich dann zu einer kleinen SPAM-Attacke, die in der Nacht vom 10.04.2025 weitere 129 SPAM-Kommentare unter den Artikel spülte. Dabei wurden 30 unterschiedliche IP-Adressen verwendet, die alle in der Russischen Föderation registriert sind.

Nach einer Sichtung weiterer blockierter SPAM-Kommentare stelle ich fest, dass der überwiegende Teil des SPAMs aus der Russischen Föderation und China kommt. IP-Adressen aus diesen Regionen werden auch regelmäßig durch fail2ban blockiert.

Da der letzte Spammer durch den Wechsel der IP-Adressen, bestehende Mechanismen jedoch unterlaufen konnte, baue ich nun eine weitere Verteidigungslinie auf. Zukünftig werden Zugriffe von IP-Adressen aus der Russischen Föderation und China von Iptables blockiert.

Update 2025-04-10T18:40+02: Ich habe die Maßnahme vorerst wieder ausgesetzt und prüfe, ob angepasste Kommentar-Einstellungen ausreichen, um dem Kommentar-SPAM zu begegnen. Ich lasse die folgende Lösung als Dokumentation online. Evtl. muss ich doch wieder darauf zurückfallen.

Hier ist eine iptables-Lösung zum Blockieren von IP-Adressen aus Russland und China:

Vorbereitung: GeoIP-Modul installieren

~# apt install xtables-addons-common geoip-bin libtext-csv-xs-perl
~# /usr/libexec/xtables-addons/xt_geoip_dl
~# /usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip RU CN

Iptables-Regel erstellen und für persistenz speichern

~# iptables -A INPUT -m geoip --src-cc RU,CN -j DROP
~# iptables-save > /etc/iptables/rules.v4

Automatische Updates der Geo-IP-Daten einrichten

~# cat /usr/local/bin/geoip_update.sh 
# /usr/local/bin/geoip_update.sh
#!/bin/bash
wget -O /tmp/GeoIPCountryCSV.zip https://dl.miyuru.lk/geoip/maxmind/country/maxmind4.dat.zip
unzip -o /tmp/GeoIPCountryCSV.zip -d /usr/share/xt_geoip/
/usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip RU CN
rm /tmp/GeoIPCountryCSV.zip

~# crontab -l
# Cronjob täglich um 3 Uhr
4 3 * * * /usr/local/bin/geoip_update.sh

Test und Logging aktivieren

# Zuerst in der Firewall-Chain testen
~# iptables -L -n -v | grep 'DROP.*geoip'

# Logging aktivieren (optional für Debugging)
~# iptables -I INPUT -m geoip --src-cc RU,CN -j LOG --log-prefix "[GEOIP BLOCK]"

Hinweis: Den Vorschlag für obige Lösung habe ich mir von perplexity.ai generieren lassen. Dabei musste ich lediglich den Pfad zu /usr/libexec/xtables-addons korrigieren, welcher fälschlicherweise auf /usr/lib/ zeigte.

Fazit

Das Internet ist kaputt. Die Zeiten in denen die Nutzer respektvoll und umsichtig miteinander umgingen, sind lange vorbei.

Mir ist bewusst, dass auch eine Sperrung von IP-Adressen basierend auf Geolokation keine absolute Sicherheit bietet und man mit dieser groben Maßnahme auch mögliche legitime Zugriffe blockiert. Allerdings prasseln aus diesen Teilen der Welt so viele unerwünschte Zugriffsversuche auf meinen kleinen Virtual Private Server ein, dass ich hier nun einen weiteren Riegel vorschiebe.

Welche Maßnahmen ergreift ihr, um unerwünschte Besucher von euren Servern fernzuhalten? Teilt eure Maßnahmen und Erfahrungen gern in den Kommentaren oder verlinkt dort eure Blog-Artikeln, in denen ihr darüber geschrieben habt.

Viele Menschen unterschätzen, wie viel ihre Zugangsdaten über sie verraten – oder ermöglichen. Wer mit simplen Passwörtern durchs Netz geht, riskiert nicht nur den Zugriff auf E-Mail-Konten, sondern auch auf Bankdaten, private Fotos oder Cloud-Inhalte. Gute Passwortsicherheit ist kein Luxus, sondern digitaler Selbstschutz. Welche Maßnahmen lohnen sich wirklich für deinen Alltag?

Der Beitrag Sicherheit von Accounts und Passwörtern: Welche Maßnahmen sollte man ergreifen? erschien zuerst auf Linux Abos.

Tails 6.12 schließt weitere Lücken, die bei einem externen Audit durch die Non-Profit-Organisation Radically Open Security aufgedeckt wurden.

Quelle

In den Zoom Workplace Apps sind Sicherheitslücken entdeckt worden. In der Workplace App für Linux ist es eine Type Confusion, die ein Update erforderlich macht.

Bei einem Sicherheits-Audit durch die Non-Profit-Organisation Radically Open Security wurden in Tails 6.10 drei Sicherheitslücken entdeckt, die jetzt mit Tails 6.11 geschlossen wurden.

Quelle