Linux erhöht seinen Marktanteil in ganz kleinen Schritten kontinuierlich. Aktuell liegt der Marktanteil gemäss Statcounter bei ca. 4%. Insbesondere mit dem Auslaufen des Supports für Windows 10 im Oktober 2025 könnte sich der Marktanteil von Linux nochmal etwas erhöhen. Schliesslich müssten viele noch funktionierende Geräte ersetzt werden, da nur ausgewählte CPUs mit Windows 11 kompatibel sind.
In diesem Blogpost schauen wir uns deshalb an welche 5 Punkte zu beachten sind, um Linux auf dem Desktop sicher zu machen.

Vollständige Festplattenverschlüsselung mit LUKS

Insbesondere Notebooks können schnell verloren oder gestohlen gehen. Damit die Daten auf dem Gerät trotzdem sicher sind empfiehlt es sich, die Festplatte vollständig zu verschlüsseln. Hier kommt LUKS (Linux Unified Key Setup) ins Spiel. Die meisten aktuellen Linux-Distributionen unterstützen die Einrichtung der Festplattenverschlüsselung bereits während der Installation.

Regelmässige Systemupdates

Die vermutlich wichtigste Massnahme, um seinen Linux Desktop sicher zu halten sind regelmässige Updates. Das kann bei Debian basierten Distributionen manuell wie folgt durchgeführt werden:

sudo apt update
sudo apt upgrade

Um Systemaktualisierungen automatisch ausführen zu lassen, bietet sich das Paket UnattendedUpgrades an.

Firewall installieren und aktivieren

Normalerweise braucht man bei einer Desktopinstallation keine von Aussen erreichbaren Ports. Als zusätzliche Sicherheit empfiehlt sich eine Software-Firewall, die sicherstellt, dass keine Verbindungen von Aussen auf die Linux Installation erlaubt sind. Eine bekannte und einfach einzurichtende Firewall ist ufw (Uncomplicated Firewall). Die Installation und Aktivierung der Firewall geschieht in Debian basierten Distributionen (Debian / Ubuntu / Linux Mint) über folgende 2 Befehle:

sudo apt install ufw
sudo ufw enable

DNS Blocklists

Im Internet tummeln sich viele unseriöse Websites, die Malware verbreiten. Daher ist auch wichtig, dass der Browser stets aktuell ist. Trotzdem gibt es immer wieder Sicherheitslücken, die noch nicht über die Systemupdates behoben wurden. Mit DNS Blacklists können unseriöse Websites geblockt werden und die Angriffsfläche für Malware reduziert werden.

Variante 1: Quad9

Quad9 ist eine Non-Profit Organisation mit Sitz in Zürich, die öffentliche DNS Server anbietet. Diese DNS Server filtern bekannte Domains, die für die Verbreitung von Schadsoftware bekannt sind, aus. Die DNS Server von Quad9 sind über folgende IPs erreichbar:

IPv4:

• 9.9.9.9
• 149.112.112.112

IPv6:

• 2620:fe::fe
• 2620:fe::9

Variante 2: Pi-Hole

Alternativ zu Quad9 kann man eigene DNS Server betreiben. Der Vorteil dabei ist, dass man die Blacklists selbst anpassen kann. Die bekannteste Lösung dafür heisst Pi-hole.

Vertrauenswürdige Softwarequellen

Software sollte nur aus vertrauenswürdigen Quellen installiert werden. Die primär bevorzugte Quelle sollte immer das Software-Repository des Betriebssystems sein. Besonders beim „blinden heraus kopieren“ von Befehlen oder Scripts aus dem Internet ist Vorsicht geboten und der Quelltext sollte vorab geprüft werden.

Wünschen Sie Unterstützung beim Absichern Ihrer Linux Installationen? Bei unserem IT-Support für Linux Infrastrukturen sind Sie an der richtigen Stelle.