Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Installation Guide for Paranoid Dummies
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
pietinger
Guru
Guru


Joined: 17 Oct 2006
Posts: 520
Location: Bavaria

PostPosted: Sat May 09, 2020 4:50 pm    Post subject: Installation Guide for Paranoid Dummies Reply with quote

Installation Guide for Paranoid Dummies

  • Willst Du ein möglichst sicheres Linux-System, auch wenn dies bedeutet auf das letzte Prozent Performance zu verzichten ?

  • Ist Dir ein sicherer Kernel - und auch ein sicheres Gesamt-System - wichtiger als Komfort, wie z.B. Hibernation, 32-bit-Unterstützung oder eine automatisierte Kernel-Konfiguration ?

  • Willst Du wissen, was in Deinem Rechner los ist und magst deshalb keine Installations-Skripte, bei denen nicht klar ist, was sie alles tun ?

  • Bist Du auch ein Fan vom KISS Prinzip ?

Falls Du jetzt denkst: "Eigentlich schon, aber ich bin noch ziemlich neu bei Gentoo und traue mich nicht den Kernel selbst zu konfigurieren", dann könnte dieser Guide genau richtig für Dich sein, denn ich habe ihn zweigeteilt. Im ersten Teil wird erstmal "nur" ein grundsolides Gentoo installiert (jedoch bereits im Hinblick auf Sicherheit). Dieses kann dann auch ohne irgendeine Erweiterung aus dem zweiten Teil benutzt werden.

Falls Du noch zögerst, lies erstmal das Kapitel "Manuelle Konfiguration des Kernels". Wenn Du danach denkst: "Das schaffe ich", dann lies hier weiter.

Der komplette erste Teil orientiert sich strikt nach dem offiziellen Gentoo Handbuch für AMD64:
https://wiki.gentoo.org/wiki/Handbook:AMD64
Ich habe deshalb für alle Schritte einen Link zur jeweiligen Seite beigefügt, so dass Du dort überprüfen kannst, wo ich abweiche und warum. Zusätzlich habe ich so ziemlich alles verlinkt, was ich selbst verwendet habe ... also das halbe Gentoo Wiki und einige externe Seiten.

Im zweiten Teil werde ich schrittweise zusätzliche Sicherheit bauen, wie z.B. Firewall oder SecureBoot. Im Gegensatz zu den Teilen von (A) sind diese jedoch unabhängig voneinander und können wahlweise eingesetzt werden. Alte Gentoo-Hasen dürften sich daher nur für diese interessieren, sollten aber doch wenigstens kurz den ersten Teil lesen, damit sie wissen, worauf ich im zweiten Teil aufsetze.

Aufteilung / Inhalt:
A) Grund-Installation - "the dummy part" (komplett)
1. Tips und Beginn der Installation
2. Manuelle Konfiguration des Kernels I.
3. Ende der Installation bis zur Installation von KDE (Plasma) und Backup
4. Sicherheit
B) Zusätzliche Sicherheit - "the paranoid part" (wahlweise)
1. Firewall und Proxy-Server (iptables / privoxy)
2. Manuelle Konfiguration des Kernels II.
3. Umstellung auf SecureBoot
4. Verschlüsselung der Festplatte
5. Privacy mit Falkon ("sandbox")
6. Privacy mit unbound / DNS over TLS

Voraussetzungen:
- Ein neuer PC, oder ein älterer PC mit leerer Festplatte, oder ein älterer mit einer Festplatte die gelöscht werden darf (weil die Daten unwichtig sind, oder gesichert wurden) :-)
- Du brauchst einen zusätzlichen PC mit Internet-Anbindung und Browser (darf auch ein Windows-Rechner sein), schon allein auch deswegen, damit Du Dir die CD zum booten brennen kannst. Falls Du keinen hast, frage einen Freund. Ohne ist es zwar nicht unmöglich, aber doch schon sehr mühselig (Du müsstest sehr viel vorher ausdrucken).
- Stift und Papier (... viel Papier).
- Du solltest wissen, welche Komponenten in Deinem neuen Rechner stecken (zumindest grob).
- Für Teil B.4 zwei USB-Sticks
- THINK ! (tm) by IBM. Wenn Du von Teilen der Installation abweichen willst - oder musst, weil Du z.B. einen AMD Prozessor hast - werde ich nicht jede mögliche Konstellation beschreiben; die Links sollten Dir aber weiterhelfen. Und natürlich darf der Name Deines PC nicht "hal" sein; so heißt ja schon meiner ... (joke ... ok poor joke).

Diese Anleitung erstellt folgende System-Konfiguration und wurde so auf diesem Notebook installiert:
Code:
GENTOO Installation for HAL
===========================

Equipment and Enviroment:
-------------------------
Tuxedo Book BC1703: Intel i7-4712MQ (HD Graphics 4600 with 1920x1080; no extra graphic adapter), 16 GB, 500 GB SSD Samsung Evo 840, Blu-Ray
WITH: UEFI SecureBoot, ethernet, ipv4, alsa, usb, OpenRC, KDE, profile:NO-MULTILIB+PLASMA, german settings, grub2 only for fallback reasons
WITHOUT: systemd, ipv6, initramfs, bluetooth, wlan, raid, printer, seriel port, paralell port

An dieser Stelle möchte ich daran erinnern, wie mächtig Gentoo ist und wie einfach es ist, nachträglich fast alles umzukonfigurieren. Falls Du GNOME statt KDE willst, ist dies machbar. Einzig zu systemd kann ich nichts sagen, da ich mich nicht damit auseinander setze ... (und hoffentlich nie tun muss).

Woran manche erst als letztes denken ... möchte ich als erstes ansprechen: Ein Backup-Konzept
Falls Du das bereits hast, vergiss das hier und klick Dich gleich weiter - ansonsten: Du musst Deine Daten später sichern ! Dabei sind (mindestens) drei Fragen zu klären:
1) Auf welches Medium / welche Medien, und wohin damit,
2) Ein komplettes Backup der Festplatte/-n oder "nur" die Daten, und
3) Inkrementell oder diverse Generationen ?
Ich habe für mich diese Fragen so (schlecht) beantwortet:
1) Meine große Kiste hat eine SSD und eine HD. Ich syncronisiere täglich einmal alle Daten von der SSD auf die HD. Von dieser (eingebauten) HD syncronisiere ich (bedarfsweise) auf eine externe (USB-)HD, die ansonsten in einem feuerfesten Tresor liegt. Das Notebook hat nur eine SSD. Diese wird über das Netz auf die (eingebaute) HD der großen Kiste gesichert (und damit von dort aus auch auf die externe Platte). Eine wechselnde Sicherung auf verschiedene externe Festplatten (an verschiedenen Standorten lagernd) wäre natürlich besser ...
2) Ich sichere nur die Daten, also /etc und /home. Das bedeutet, falls sich eine SSD verabschiedet, muß ich eine komplette Neu-Installation durchführen. Das sehe ich nicht so tragisch, da ich ja die Konfiguration aller Programme habe (zwei wichtige Dateien kopiere ich deshalb immer manuell nach /etc/MY) - meine Entscheidung. Mache was Du für richtig / notwendig erachtest.
3) Auch nur ...

Da ich dieses Backup-Konzept als absolutes Minimum ansehe, habe ich am Ende von A.3 eine Beschreibung beigefügt. Mehr ist natürlich besser = sicherer ! Wenn Du eine externe Festplatte UND eine Cloud hast, nutze beides. Eine Sicherung auf USB-Sticks würde ich aber nicht empfehlen.


Last edited by pietinger on Thu Jan 21, 2021 12:33 pm; edited 4 times in total
Back to top
View user's profile Send private message
pietinger
Guru
Guru


Joined: 17 Oct 2006
Posts: 520
Location: Bavaria

PostPosted: Sat Oct 31, 2020 5:03 pm    Post subject: Installation Guide for Paranoid Experts Reply with quote

Nachdem Du nun die Teile B.1, B.2 und B.3 (und B.4 für Dein Notebook) gemacht hast, und insbesondere auch A.4 und B.4 gelesen hast, fragst Du Dich möglicherweise wie sicher Du jetzt bist. Sollte man nicht noch ein RAID-1 installieren ? Was ist mit SELinux oder AppArmor ? Warum haben wir kein IMA und EVM installiert ? Warum nutzen wir kein TPM, obwohl vorhanden ? Benötigen wir nicht noch den Kernel Lockdown ?

Tatsächlich bist Du jetzt nur zu einem gewissen Teil geschützt. Du könntest Dir immer noch ein böses mp4-Video einfangen, welches einen unbekannten Bug in VLC ausnutzt um unerwünschte Dinge zu tun ... Das werden wir nun schrittweise auch ausschalten (soweit möglich). Zuerst aber noch eine Übersicht, wovor wir geschützt sind und was noch fehlt - was möglich ist und was nicht. Damit das nicht zu trocken wird, soll ein bischen Humor nicht fehlen - obwohl der erste Punkt durchaus der Realität entspricht. Ich fange deshalb mit dem Super-GAU an:

1. Schutz vor Geheimdiensten

Unwirksam: a) Festplattenvollverschlüsselung mit externen USB-Stick, und/oder b) SecureBoot mit IMA/EVM mit TPM, und/oder c) Einsatz von Wechselplatte(-n)
Grund: a) Kein Schutz gegen den Einbau von Hardware-Keyloggern, und b) Kein Schutz gegen Deine Festnahme (Zugriff) in dem Moment als Du Dich gerade angemeldet hast und Dein /home nun unverschlüsselt ist und Du den Stick nicht mehr schnell genug vernichten kannst
Wirksam: a) Leg Dich nicht mit Geheimdiensten an, oder b) Wandere nach Rußland aus ...

2. Schutz vor Zerstörung oder Löschung Deiner Daten

Unwirksam: Ein "total" abgesicherter Computer mit RAID-1 in einem Bunker
Grund: a) Erdbeben, Feuersbrunst und Atomschlag, oder b) Trojaner der alle Sicherheitstechniken überwunden hat - weil es nunmal keine "total" abgesicherten Computer gibt - und nun alle Deine Dateien auf Deinem RAID-1 verschlüsselt hat
Wirksam: Einzig BACKUPs an einem anderen Ort - und sonst nichts !!

3. Schutz vor Offline-Attacken (offline tampering)

3.1. ... mit der Möglichkeit die Festplatte(-n) (unbemerkt) auszubauen

Unwirksam: Verschlüsseltes home und SecureBoot
Grund: Die ausgebaute Platte wird gemountet und es wird Dir ein Software-Keylogger und/oder eine komplette Suite installiert (wobei hier schon Experten-Wissen benötigt wird um auch Deine Firewall zu umgehen)
Wirksam: a) Festplattenvollverschlüsselung mit externen USB-Stick (sofern kein Zugriff auf diesen möglich ist), oder b) SecureBoot mit IMA/EVM mit TPM, oder c) Einsatz von Wechselplatte(-n)( sofern kein Zugriff auf diese(-n) möglich ist)

Benötigt für: Unbeaufsichtigte (ungesicherte) Server und Workstation, unbeaufsichtigte Notebooks die nach der Attacke weiter von Dir benutzt werden
Nicht benötigt für: a) Räumlich gesicherte Computer, oder b) gestohlene oder verloren gegangene Notebooks, die Du nie wieder siehst (hier genügt Dir B.4 komplett; B.3 ist nice-to-have)

3.2. ... ohne der Möglichkeit die Festplatte(-n) (unbemerkt) auszubauen

3.2.1 ... mit genügend Zeit um das BIOS zu resetten (Aufschrauben des Computers und Ausbau der Batterie vom Mainboard)

Unwirksam: a) BIOS-Bootpasswort, oder b) Verschlüsseltes home und SecureBoot mit unaufmerksamen User
Grund: Nach dem Ausschalten von SecureBoot im BIOS wird ein modifiziertes Linux gebootet und gewisse Programme in root angepasst ...
Wirksam: a) Verschlüsseltes home und SecureBoot + User startet den Computer nach jedem Verlassen neu und prüft, ob das BIOS einen SecureBoot meldet (was dann nämlich nicht mehr der Fall sein wird, da die Schlüssel im UEFI gelöscht wurden), oder b) Verschlüsseltes home und BIOS-Bootpasswort + User startet den Computer nach jedem Verlassen neu und prüft, ob das BIOS noch ein Bootpasswort benötigt.

3.2.2 ... ohne Zeit das BIOS zu resetten

Wirksam: a) SecureBoot, oder b) BIOS-Bootpasswort (nicht zu verwecheln mit dem BIOS-Passwort um IN DAS BIOS zu kommen; Unterscheidung ist meistens: USER / ADMIN)

4. Schutz vor Online-Attacken

Unwirksam: Windows 10, Full Disk Encryption
Besser: Linux mit gehärtetem Kernel
Noch besser: Linux mit gehärtetem Kernel, ordentlicher Firewall, Integritätsmanagement und Einsatz von Mandatory Access Control (MAC), z.B. SELinux oder AppArmor. Siehe auch: https://de.wikipedia.org/wiki/Zugriffsrecht
Am besten: Linux mit gehärtetem Kernel, ordentlicher Firewall, Integritätsmanagement und Einsatz von Mandatory Access Control (MAC) und ein intelligenter Benutzer ... :-)

Wenn wir uns nun ansehen was wir bis jetzt erreicht haben, stellen wir fest, dass unser Schutz vor Online-Attacken noch sehr spärlich ist. Wir benötigen mindestens noch zwei Dinge: Integritätsmanagement und SELinux oder AppArmor. Letzteres ist nicht so dringend, wenn wir wenigstens unseren Browser in einer Sandbox laufen lassen. Das bedeutet wir werden als erstes ein Integritätsmanagement bauen. Dieses nutzen wir aber "nur" als Schutz vor Online-Angriffe und nicht als Schutz vor Offline Tampering. Es gibt zwar schon Lösungen hierfür (AIDE, tripwire), aber wenn der Kernel uns das bereits eingebaut bietet, sollte dies die eleganteste Lösung sein. Wir bauen daher als erstes IMA (Integrity Measurement Architecture) im Kernel.

Lies bitte alle 4 Teile bevor Du anfängst, da diese aufeinander aufbauen - auch C.1 (selbst wenn Du meinst, C.1 mache ich nicht und brauche ich nicht). Aber in C.1. erkläre ich was ich meine mit einer "Überprüfung" mittels "dmesg | grep command" ...

Aufteilung / Inhalt:
C) IMA und/oder Kernel Lockdown (linear)
1. Rescue Boot von USB-Stick (evtl. IMA Measure)
2. Kernel Konfiguration III für Lockdown und IMA
3. Konfiguration IMA und Aktivierung Appraise
4. IMA und Portage (update mit emerge -u @world)

Eine schöne Übersicht der verschiedenen LSM bietet: https://www.starlab.io/blog/a-brief-tour-of-linux-security-modules

Die Unterschiede der vier Module, die MAC bieten (SELinux, AppArmor, SMACK und Tomoyo) ist auf den Seiten 6 und 7 dieses PDFs dargestellt:
http://osdn.jp/projects/tomoyo/docs/PacSec2007-en-no-demo.pdf
Back to top
View user's profile Send private message
pietinger
Guru
Guru


Joined: 17 Oct 2006
Posts: 520
Location: Bavaria

PostPosted: Sat Nov 28, 2020 10:10 pm    Post subject: Trennung Deiner Daten von der Kommunikation Reply with quote

Nachdem Du den vorherigen Post gelesen hast, kannst Du Dir sicherlich schon denken was jetzt kommt. Es bleibt ja nur noch Eines zu tun: MAC für Linux aktivieren ! Wir installieren AppArmor !


Braucht man das wirklich, und wenn ja, warum gerade AppArmor ?

Ich sage, Ja. Und ich habe mich für AppArmor aus mehreren Gründen entschieden:

1. Ich bin der Meinung, dass SELinux zwar sehr mächtig ist, aber auch zu komplex, und für einen Desktop oder ein Notebook eigentlich einen Overkill darstellt. Ich kenne einige RedHat-User die nach einer Neu-Installation als erstes SELinux deaktivieren ... Toll, was ?! Für einen Server würde ich es unbedingt empfehlen - aber das machen wir hier nicht.

2. Die Installation von SELinux, AppArmor, Smack oder Tomoyo ist ähnlich einfach: Einfach in der Kernel Konfig ein paar Optionen enabeln und ein paar Packages emergen. Das ist einfach - das Problem sind die Profile. Mach doch mal eine Suche mit "emerge -s selinux" und dann "emerge -s apparmor".

3. Ich habe den Anspruch komplett verstehen zu wollen, was das LSM macht und wie es funktioniert und wirkt, damit ich beurteilen kann wovor es schützt (Ich hoffe Du auch). Das konnte ich bei AA erreichen, während ... Außerdem haben wir für SELinux eh' unser Gentoo Hardened Team.

4. Es gibt auf jeden Desktop Programme die gefährdet sind einer Online-Attacke zum Opfer zu fallen - aber auch viele die gar nicht geschützt werden müssen. Jedes Programm welches externe Daten bearbeitet, könnte kompromittiert werden. Mein "kcalc" (Taschenrechner aus KDE) sicher nicht, da dieser weder mit dem Internet spricht, noch gefährliche Dateien öffnet. Ein Pfad-basierendes LSM ist daher m.M. passender.


Warum brauche ich MAC ?

Es gab mal eine Zeit, da war der Mensch an der Tastatur handelndes Subjekt und alle Dateien und Programme passive Objekte. Da sich viele Menschen einen von drei weltweit existierenden Großrechnern teilten, mussten natürlich Berechtigungen vergeben werden, denn es könnte ja sein, dass jemand auf die Dateien eines anderen zugreifen will. Programme jedoch machen immer nur das, was sie sollen; und falls doch ein Bug im Programm sein sollte wird es nur abstürzen - sonst hat es keine Auswirkungen. Erst viel später (ich glaube so um 1980) erkannte man, dass "böse" Menschen auch "böse" Programme schreiben können. Und dass Programmfehler ausgenutzt werden können, um ein Programm zu veranlassen etwas anderes zu tun als eigentlich ursprünglich programmiert. So gesehen sitzen an Deiner Tastatur eigentlich zwei Subjekte: Du und das gerade benutzte Programm. Historisch bedingt nutzt Linux jedoch das gleiche wie Unix: DAC. Der Mensch vererbt seine Rechte komplett an das gerade gestartete Programm.

Natürlich will ich - der Mensch - das ganze Internet besuchen und auf alle meine Daten in meinem /home zugreifen. Das soll aber nicht für die von mir genutzten Programme gelten. Ein "vlc" soll mir eine Video-Datei decodieren und anzeigen, hat aber nichts im Internet verloren. Ein "falkon" (KDE-Webbrowser) darf zwar ins Internet, hat aber nichts in meinem /home zu suchen (außer natürlich für seine eigene Config und im Ordner "Downloads"). Im Normalfall machen die beiden ja auch keinen Unsinn ... zumindest solange bis sie nicht durch einen Bug, ausgenutzt von einem Trojaner in einer mp4-Datei, oder beim Besuch einer bösen Webseite, umprogrammiert werden.

Wie soetwas funktionieren kann will ich Dir am Beispiel von "OpenSMTPD" (ein E-Mailer) zeigen. Der Fehler wurde im Januar 2020 gefunden - war aber seit Mai 2018 da drin ... und wurde auch ausgenutzt ! Ich zitiere mal aus dem CVE:
Quote:
"[...] allows remote attackers to execute arbitrary commands as root via a crafted SMTP session [...]"

aus https://nvd.nist.gov/vuln/detail/CVE-2020-7247

Falls Dich das interessiert, findest Du hier genaueres:
https://packetstormsecurity.com/files/156137/OpenBSD-OpenSMTPD-Privilege-Escalation-Code-Execution.html
https://lwn.net/Articles/810882/

Jetzt kommt das beste: Es hätte alleinig ausgereicht, wenn es diesem Prozess verboten gewesen wäre die bash auszuführen !

Wenn Du AA im Einsatz hast, hätte ein Profil für dieses Programm nur folgende Zeile benötigt:
Code:
deny /bin/bash  x

(okay, ich habe gerade ein bischen gemogelt - lies bitte D.1)

Ach ja, IMA hätte Dir hier nicht helfen können, da bei diesem Hack keine bash, ps oder sonstigen Programme geändert wurden (um sich dauerhaft festzusetzen).


Was wird dann mit meinen User-Berechtigungen ?

Nichts. Die benötigst Du weiterhin und werden auch weiterhin vom Kernel überprüft. Es wird also additiv geprüft: Du musst es dürfen UND Dein verwendetes Programm bedarf ebenso einer Erlaubnis. Das beste ist, selbst wenn Du als root angemeldet bist, Dein AA-gesichertes Programm aber nicht auf eine bestimmte Datei zugreifen darf, wird dieser Zugriff geblockt. Das gilt auch für das Netzwerk.

Beispiel: Du willst Dir mit "okular" (PDF-Reader aus KDE) nur pdf-Dateien anzeigen lassen. Okular baut normalerweise keine Internet-Verbindungen auf. Es enthält aber einen Bug, der von einer "modifizierten" PDF-Datei ausgenutzt wird, um zuerst root-Rechte zu erlangen und dann Deine Daten in /home ins Internet zu versenden. Okular ist aber mittels eines AA-Profiles geschützt, das nur Zugriff auf *.pdf erlaubt und keine Netzwerk-Verbindung erlaubt. Ergebnis: Selbst wenn die Privileg-Eskalation zu root funktionierte, verhindert AA trotzdem den Zugriff auf allen anderen Dateien in Deinem /home und den Aufbau einer Internet-Verbindung. Das "verkrüppelte" Okular kommt nicht an Deine DAten ran und kann auch Deine Daten nicht versenden !


Welche Programme sollten gesichert werden ?

Wie vorhin schon gesagt, eigentlich alle die "gefährliche" externe Daten verarbeiten. Wobei man hier schon ein wenig differenzieren kann:
- Am höchsten gefährdet sind natürlich alle Dienste die 24x7 direkt ins Internet lauschen, wie z.B. ein Webserver "Apache2".
- Danach kommen gleich alle Programme, die nur bei Bedarf extern kommunizieren, wie z.B. unser Lieblings-Webbrowser.
- Aber auch lokale Programme, die gefährliche Datei-Formate (mp4, pdf, ect.) bearbeiten, könnten kompromittiert werden.

An der Überschrift dieses Posts erkennst Du jetzt sicherlich schon das erste Grobziel:

1. Lokale Programme dürfen nicht ins Internet, und
2. Internet-Programme dürfen nicht an unsere Daten rankommen.

(Und natürlich dürfen die einen nicht die anderen starten oder benutzen, um das zu umgehen.)

Mit den Möglichkeiten die AA bietet, werden wir das aber natürlich noch viel fein-granulierter bauen.

Zur Einstimmung gebe ich Dir mal einen etwas älteren Link, der jedoch vieles einfach verständlich erläutert - besser als ich es könnte - und auch nicht zu umfangreich ist:
https://www.kuketz-blog.de/apparmor-linux-haerten-teil3/

Wenn Du Dir jetzt die einzelnen Teile der D-Reihe ansiehst, erschrick bitte nicht. Einiges habe ich ausgeführt um einen völligen Anfänger in die Lage zu versetzen selbst Profile zu schreiben. Wenn Du es "nur" übernehmen willst, ist der Aufwand viel geringer als es aussieht. Vergiss dabei aber nicht, dass es nur für GENTOO mit OpenRC gemacht wurde ... und da ich kein Gnome-User bin, werde ich das letzte Kapitel nie machen ... aber wenn Du als Gnome-User Lust hast ... bist Du allerherzlichst eingeladen, diese(-n) Thread(-)s zu erstellen und ich würde ihn dann liebend gerne hier verlinken.


Aufteilung / Inhalt:
D) AppArmor
1. AppArmor Einführung
2. Kernel Konfiguration IV für AppArmor
3. Installation AppArmor
4. AppArmor Profile selbst erstellen I.
5. AppArmor Basis Profile I.
6. AppArmor Profile für Daemons
7. AppArmor Profile für Konsolen Programme
8. AppArmor Profile + BP für X11
9. AppArmor Basis Profile II.
10. AppArmor KDE Profile
11. AppArmor Profile selbst erstellen II.
12. AppArmor GNOME Profile
13. AppArmor ??? Profile



< Ende des Installation Guides >
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum