Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

Aber NTP Time, DNS & IP4, regelst du übers Script?

DNS, NTP und IPv6 blocken laufen über ein custom script.
Eigene Server (für Linux Server installieren und OwnCloud drauf packen gibt es viele Anleitungen im Web, zum Üben unter Windows mit einer VirtualBox-VM. - Fang einfach an, sonst wird es nie etwas ...).
Conversations wird von meinen Leuten/Kontakten deshalb (meistens) angenommen, weil sie etwas von mir wollen und ich ihnen sage, wie die Kommunikation zu laufen hat. (Wer bereits 3 oder 4 Messenger auf dem Phone hat, der kann sich auch noch einen weiteren installieren). - Alle anderen nehmen halt SMS, Mail, Telefon. - Kein Problem. - Außerdem können alle mit Jabber-fähigen Messengern über meinen privaten Jabber-Server mit mir quaken. - Ich muss sie nur einrichten.
Der Browser hat keine speziellen Addons (kann er auch nicht), Er kann seinen user-agent/fingerprint ändern, Werbung blockieren, privat surfen, das war's. Dafür ist er open source, klein, leicht und schnell. - Der Schutz läuft über Squid – Wikipedia und Virtual Private Network – Wikipedia (Ich bin also immer "zuhause", wenn ich unterwegs bin (ja, wieder weitere Linux-Server). - Selbst, wenn man ohne diesen Schutz surft und Firewall/AdAway aktiv hat sieht man kaum Werbung oder "merkwürdigen" Traffic. - Es kommt aber auch auf die Seiten an, die man besucht (Strategie: Vermeidung der üblichen Verdächtigen, nur HTTPS, wenn möglich).

 

[ooo]

Finger weg von ES Datei Explorer (Spyware inside)

 

[anonymousdark]

1-2 OT fragen noch.

Spoiler: Off Topic Fragen

Wie macht du das mit den restlichen propritären Sachen, die in der CM13 enthalten sind?
Man konnte die in dern Vorversionen ja per freecyngn.zip rausflashen. Die ist aber für CM13 nicht geeignet, bzw. bei mir hat sich nichts geändert.
Oder reicht es SystemApps (nicht alle) einzufrieren mit TitanumBackup (OpenSource?)?
Oder hast du dir eine eigene ROM gebastelt?

 

[ooo]

Das, was freecygn entfernt hatte, ist nicht mehr in der Custom ROM (von CyanogenMod. - Nicht verwechseln mit der kommerziellen ROM der Firma Cyanogen - das ist etwas Anderes, die ROM heißt CyanogenOS). - Ausnahmen sind die Google-DNS-Geschichte und die Zeit-Server-Sache beim Starten (das ist bereits in Google's AOSP-Code und wird nach CM vererbt). - Das hast du aber mit AFWall+, der netd-Einstellung, dem Start-Datenleck-Fix und einem Custom Script (fixe IPs für DNS, NTP) im Griff. - Wenn dir eine System-App nicht passt (z. B. CM 13 - CM-BugReport, CM-Updater, cLock, CM-Themes, CM-System etc.), dann frierst du sie halt ein, wenn sie für die ROM nicht benötigt wird. Die proprietären Device-/Hersteller-spezifischn Sachen (Apps/BLOBs/Libraries von Motorola, Samsung etc.) kann man teilweise auch einfrieren, aber nicht alle. - Das ist ein langes Try&Error-Verfahren.

Schau einfach mal in den freecygn-Thread bzw. in das Script hinein. - Da ist nicht mehr viel ...

 

[anonymousdark]

Nicht verwechseln mit der kommerziellen ROM der Firma Cyanogen

War halt nicht ganz klar da nur CM10/11/12/12.1 auf der Developerseite steht. Gut zu wissen, Danke.
Seit welcher Custom ROM ist dieser prob. userspace denn nicht mehr drin?

Schau einfach mal in den freecygn-Thread bzw. in das Script hinein. - Da ist nicht mehr viel ...

In den Comments hat jmd geschrieben, dass noch mehr hinzu kommt, da man nicht weiss was bei einer höhren ROMVersion neues enthalten ist. (wenn ichd as richtig verstanden habe).

Eine Frage noch. Wenn ich per script freien NTP definiert habe muss das dann in der Firewall aus sein (kein Haken/white Listening)?

 

[ooo]

Seit CM 12 (CM 13 deckt das freecygn nicht (richtig) ab).
14 NTP Time Service muss man freischalten. Die fixe NTP-IP muss ja erreichbar sein (über Port 123/udp).

 

[an0n]

Bezüglich des scripts von anonymousdark:
Dieser Eintrag:

#Force a specific NTP in this case DE
ntp0.fau.de (131.188.3.220), Location: University Erlangen-Nuernberg
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.220:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

müsste soweit ich weiss so stehn:

#Force a specific NTP in this case DE
#(131.188.3.220), Uni Erlangen-Nuernberg
NTP_SERVER_DE=ntp0.fau.de
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.220:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

Diese IP-range ist korrekt, gehört zu Google.
(8.8.4.4 und 8.8.8.8 sind nur die bekannten DNS-Adressen)

8.8.4.0/24
8.8.8.0/24

Der häufigste Fehler bei Scripten ist aber, die unsichtbaren Leerzeilen, wenn diese drin sind, stürzt es ab. Man kann auch Scripte manuell testen z.b. mit CM Filemanager oder besser noch mit dem FX Explorer (checkt genauer). Nachtrag: Afwall ist aber in der Lage die leeren Zeilen zu entfernen (wenn man es ins Customscript-Bereich hinzufügt), diese Regel gilt also nur bei externen Scripts.

 

[anonymousdark]

Ist doch auskommentiert...oder seh ich da was nich...?

#Force a specific NTP in this case DE ntp0.fau.de (131.188.3.220), Location: University Erlangen-Nuernberg
#(Zeitserver Anfrage üner einen NTP-Server erzwingen)
#
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.220:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

 

[an0n]

Sorry seh, das an meinem Phone an und da sieht es nicht auskommentiert aus. Die NTP-Regel kann aber auch eventuell hinzufügen.

PS: Amazon Server sollten nicht geblockt werden, es gibt Millionen von Webseiten, die dann nicht mehr funktionieren (unteranderm wahrscheinlich auch Fdroid). ausser vielleicht spezielle die z.B. zu Facebook gehören.

 

[anonymousdark]

Kein Ding.

PS: Amazon Server sollten nicht geblockt werden, es gibt Millionen von Webseiten, die dann nicht mehr funktionieren (unteranderm wahrscheinlich auch Fdroid). ausser vielleicht spezielle die z.B. zu Facebook gehören.

Haste recht, habs schon abgeändert.

 

[ooo]

@an0n

Hier fehlt ein Kommentar-Zeichen (in rot hinzugefügt)
Aber nur, wenn es ein harter Zeilenumbruch ist. - Scripte besser nicht auf dem kleinen Screen vom Phone editieren ... erzeugt evtl. auch hier im Forum Missverständnisse und Rückfragen.

#Force a specific NTP in this case DE
#ntp0.fau.de (131.188.3.220), Location: University Erlangen-Nuernberg
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.220:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

Das Selbe hier

#Force a specific NTP in this case DE
#(131.188.3.220), Uni Erlangen-Nuernberg
#ntp0.fau.de
#oder so:
#NTP_SERVER_DE=ntp0.fau.de
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.220:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

___

@anonymousdark

Das funktioniert

#Force a specific NTP in this case DE ntp0.fau.de (131.188.3.220), Location: University Erlangen-Nuernberg
#(Zeitserver Anfrage üner einen NTP-Server erzwingen)
#
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.220:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.220:123

 

[an0n]

@ooo: Habe am phone das übersehn.

Diesen Eintrag gibt es aber, siehe im gps.conf-script, oder ist es mit Afwall inkompatibel?:

NTP_SERVER_DE=ntp0.fau.de

Wenn nicht dann eventuell in die gps.conf hinzufügen.

 

[ooo]

Das ist auch eine korrekte Code-Zeile, kein Problem.

 

[anonymousdark]

Wie sieht das eigentlich mit CellBroadCast aus, kann/sollte man das auch ausschalten?
Dieses Notfall-Broadcast auf deCyanogenMod, soll wohl mit Benachrichtigungen (sms) vor Gefahren:

• Erdbeben,
  
• Lebensbedrohlung,
  
• Kindesentführung warnen^^...

Wie sinvoll ist diese Funktion alla (AIMSICD)?

 

[ooo]

Ich habe das ausgeschaltet und eingefroren, weil das nur in den USA funktioniert (bzw. bei uns nicht funktioniert).

 

[anonymousdark]

@ 000

Spoiler: OT

Also hast du jeweils einen Server für Owoncloud, Jabber, E-Mail & Vpn?
Über Owncloud kann man nur Kontakt & Kalenderdaten Syncen & Videos/Dateien ablegen und übers Handy/Laptop/Tablet abrufen.
Soweit ich das verstanden habe...
Habe schon ein paar Versuche in einer VM gemacht, die Anleitungen im Netz sind sehr gut!
Blöde Frage: Man kann aber nicht mehrere Server/(auf 2-3 Datenträgern/od. Partitionen) auf ein Gerät installieren?

 

[ooo]

"Server" meint nicht unbedingt mehrere Maschinen/Hardware, - Auf einem "echten" (Linux-)Server (PC mit GNU/Linux Betriebssystem) können mehrere (Software-)Server laufen, wie z. B. Web-, Mail-, FIle-, Messaging-, VPN-, VoIP-Server (also Anwendungs-Software). - Profis haben genug Ressourcen, um das wieder auf einzelne Maschinen aufzusplitten (Daten-Sicherheit, Ausfall-Sicherheit). - Man kann das auf einem Rechner auch nachstellen, indem man mehrere VMs (Virtuelle Maschinen) laufen lässt (vorausgesetzt, der "echte" Rechner ist stark genug). - Damit lassen sich sogar ganze Netzwerke virtuell abbilden, die dann nur auf diesem einen Rechner laufen (Mit "echten" Laufwerken/Partitionen hat das nichts zu tun. - In VirtualBox ist eine Festplatte/die Festplatte einer virtuellen Maschine einfach eine große Datei, die auf deinem echten Rechner liegt. - Du kannst mehrere "Festplatten" = Image-Dateien in einer VM haben.)

 

[Bf 109]

Hab nen kleines Problem. Habe alles wie in der Anleitung beschrieben eingerichtet und auf dem Handy selbst null Probleme, Danke hierfür erstmal.
Aber wenn ich USB-Tethring nutzen möchte sagt AFWall+ im Log das bei -11 zahlreiche Pakete geblockt werden obwohl ich überall bei Linux Kernel eine Freigabe erteilt habe. Wieso blockt AFWall+ den Kernel dennoch? Es liegt definitv an AFWall+, habs ausprobiert.
Habe "DNS über netd deaktivieren" eingestellt und nutze auch das Skript für die DNS Anfrage an 208.67.222.222:53.

Danke für eure Hilfe!

 

[ooo]

AFWall wiki tether at DuckDuckGo

 

[Bf 109]

Danke erstmal, aber soweit ich das verstanden haben sollte das wohl mit der Beta von 2 Nov 2013 gefixt sein oder?
Soweit ich den Thread verstanden habe, gibt es Probleme bei der Rückmeldung von Android, AFWall erkennt also nicht das Tethring aktiviert wurde oder?

Spoiler: Tethering Github

fajabird commented on 8 Oct 2013
Hi, enabling active rules still does not work until LAN control is enabled too. Then it works even without any additional permissions in the LAN control column. In the ruleset I then see a rule allowing all within the local subnet which fixes my issue. Next I will try your beta. Regards

So ganz verstehe ich aber nicht um was es da geht. Also LAN Control hab ich ebenfalls aktiviert für Tethering und -11 Root. ich kann aber mit dem Satz "In the ruleset I then see a rule allowing all within the local subnet which fixes my issue." nichts anfangen. Also aktiviert er hier die Regel alles durchlassen?

In diesem Thread: Tethering (WIFI/USB) not working without "applications running as root" rule · Issue #4 · ukanth/afwall · GitHub
Kommt man zur Lösung die Option "Tethering" hinzuzufügen. Habe diese aber bereits erlaubt in AFWall+.

Oder Gerade gefunden: Wi-Fi-Hotspot not working while AFWall+ is enabled · Issue #344 · ukanth/afwall · GitHub

Spoiler: Github

CHEF-KOCH commented on 4 Apr 2015
It's depending with which configuration this works or not, on Android 4.3+ DNS is general disabled but if we gonna disable netd and enable tethering it should work (no need to add custom rules and btw the only difference is the owner ID you gave us compared to existent source).

Also DNS über netd deaktivieren + tethering erlauben habe ich ja gemacht?

Aber beißt sich das nicht mit dem weiter unten:

Spoiler: Github

Imho the best thing is to leave it just how it comes (enabled/manual) because disabling it will stop your computer/device from registering it's domain name with your local DNS server if you're on an Active Directory domain, reducing the cache duration in the registry as mentioned is the best thing (4 hours should be okay).

Also soll ich DNS über netd de/aktivieren auf automatisch lassen?