nicht angemeldet
Hi,
Erst einmal: ein sehr schöner Text! Wäre es mir erlaubt, ihn in Auszügen und bei Gelegenheit zu zitieren?
Ich würde aber gerne noch etwas hinzufügen:
Es heißt immer, Linux sei im Gegensatz zu Windows virenfrei.
wer sagt das?
Keiner direkt, aber alle vermitteln den Eindruck. Ich finde man sollte dem vehement entgegenwirken.
Daazu kommt dass viele Windowes-Nutzer Microsft so stark mißtrauen, dass sie lieber keine Updates einspielen, weil man Angst hat MS würde irgendwas ausspionieren (wobei diese Angst meiner Meinung nach oft daher kommt das nicht lizensierte Windows-Versionen eingesetzt werden, und die Leute Angst haben dass MS Ihnen so auf die Schliche kommt, dieses Problem gibt es bei Linux nicht).
Es gibt noch ein weiteres Problem bei Windowspatches, das viele Sysadmins behindert diese Patches rechtzeitig oder gar überhaupt einzuspielen: Seiteneffekte mit anderen Programmen.
Im Gegensatz zu z.B. Debian, die wirklich nur den jeweiligen Fehler patchen (Soweit möglich; wenn der Fehler im Konzept liegt, geht's natürlich nicht so einfach, wird dann aber ausführlich dokumentiert), sodaß mehr oder weniger gefahrlos ein Autoupdate erfolgen kann, sind die Patches für Windows riesig und beinhalten sehr viele Änderungen. Diese Änderungen führen in sehr vielen Fällen dazu, das einige andere Programme gar nicht, oder nur noch eingeschränkt laufen. Aus diesem Grunde ist es nötig, diese Patches zu testen und zwar ausführlich.
Sowas kann durchaus sehr lange dauern (z.B. in einem sehr heterogenem System, was Anwender-Software angeht) und damit natürlich hin und wieder auch _zu_ lange. Außerdem ist es durchaus möglich, das einige Programme nach dem Patchen gar nicht mehr laufen, Programme, die vielleicht essentiell für ein Unternehmen sind. Wenn der Hersteller des betroffenen Programmes dafür dann nicht rechtzeitig einen Patch bereitstellt bleibt das ganze System ungepatcht.
"Keep your system up-to-date!" funktioniert nicht unter Windows.
Der größte "Vorteil" bei Windows-Viren liegt IMHO aber an der typischen Nutzerstruktur. Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren.
So gerne ich sowas natürlich höre, doch entspricht es immer weniger der Wahrheit. Die neuen Linuxdistributionen erlauben es auch einem blutigem Anfänger ein System zu installieren.(Teilweise, ach, was sga' ich da, meistens sogar einfacher, als eine Windowsinstallation ;-) Die Sicherheit liegt damit natürlich bei den Defaulteinstellungen der Distribution.
Unangenehmes Beispiel: bei installiertem Wine wurde bei einer Distribution KMail erlaubt, entsprechende Dateien bei Klick auszuführen. Windowsviren können auch auf einem Linuxsystem viel Schaden anrichten!
Ein weitere großer Unterschied ist das die meisten Linux-Anwender sich auch an das Benutzerkonzept des Betriebssystems halten, was bei Windows oft nicht so ohne weiteres möglich ist, so dass IMHO die meisten privaten Anwender fürs tägliche arbteiten den Administrator-Account verwenden, so dass ein Angreifer mit sehr wenig Aufwand direkt volle Administrator-Rechte auf dem System erlangt.
Das ist noch nicht einmal derartig eingeschränkt: Man braucht nur irgendeinen Zugang und ein Programm mit Rootrechten (z.B. eine Firewall? >;-> ), das die Windows-GUI-Maschinerie benutzt.
Das Problem ist, das gerade die privaten Rechner im Gegensatz zu Rechnern in Firmennetzwerken direkt und ohne jeglichen Sicherheitskonzept an das Internet angebunden werden, und so ständige zahllosen und wahllosen Angriffsversuchen von irgenbdwelchen Scriptkiddies ausgesetzt sind.
Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Diese Stelle (der DSL Router) wäre nämlich geradezu ideal! Allerdings nehme ich an, das die eh schon hauchdünnen Gewinnmargen keinerlei Zusatznutzen erlauben.
Ich hoffe allerdings, das die Linux-Distributoren in der Lage sein werden diese Schwäche von Windows für sich auszunutzen, denn ich finde es bedenklich dass nach der Standard-Installation der meisten Distributionen zig Dienste laufen, was eigentlich nicht sein müsste, und für den normalen Anwender nur ein Sicherheitsrisiko und keinen Vorteil bedeutet.
Solange die Dienste nur mühselig via /etc/rc* (und teilweise sogar an vielen Stellen mehr) einzurichten sind ist das Bemühen der Distributoren diesen Vorgang zu vereinfachen verständlich. Sie sollten aber wirklich dazu übergehen, diese Dienste zwar komplett einzurichten, aber nicht mehr automatisch zu starten. Eine kleine Notiz beim Installieren wäre da wohl nicht verkehrt. Bedeutet zwar etwas mehr Mühe für den Benutzer, aber diese Mühe ist durchaus ökonomisch vertretbar.
Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?
Wennman glaubt dass man einfach eine CDs reinschiebt, eien Standardinstallation durchführt und dann nix mehr passieren kann, komme was wolle, dann wiegt man sich definitiv in einer trügerischen Sicherheit, ähnlich den Windoiwes-Anwendern die glauebn nach de Installation eienr Firewall sei alles erledigt.
Nunja, nach der Installation von OpenBSD ... achso, geht um Linux ;-)
Was denkt ihr?
Meiner Meinung nach sollte man sich mit dem System entsprechend auseinander setzen, oder fachkundige Hilfe holen, wobei ich auf der anderen Seite auch verstehe wenn das viele Leute nicht möchten.
Aber hoffentlich lassen diese Leute ihre Bremsen in einer Fachwerkstatt reparieren! SCNR ;-)
In dem Fall würde ich - ob Windows, Linux oder was weiß ich - empfehlen, einen einfachen Router einzusetzen, das kostet wirklich nicht viel, blockiert aber eingehende Verbindungen recht zuverlässig. Aber auch das ist kein "rundum-sorglos-Paket", es gibt immer noch genügend Wege sich Viren einzufangen, nämlich durch ausführen von Mailanhängen, was bei Standardeinstellungen bei Outlook ja auch ohne zutun des Users passiert(diese Problem umgeht man bei Linux z.B. komplett).
Selbst darauf kann man sich nicht verlassen, siehe oben die Kombination von Wine&KMail.
Daher würde ich auf alle Fälle noch einen Benutzeraccount mit so wennig Rechten wie möglich verwenden, und einen Virenscanner verwenden. Wenn man dann noch auf IE und Outlook verzichten kann(gute Alternativen gibt es genügend!) sieht das ganze schon erheblich besser aus als vorher.
Vor allem: Backups halten! Zwei Stück, um genau zu sein. Eines mit einem jungfräulichem Betriebsystem und allen Anwendungen (Es kostet ein wenig Arbeit das zu erstellen und kann kompliziert werden, da während dieser Zeit natürlich aus Sicherheitsgründen kein Netzzugriff erfolgen darf und damit evt auch keine nötigen Patches eingespielt werden können) und eines, das die eigenen Daten enthält und regelmäßig aufgefrischt wird. Wenn das Betriebsystemimage gut gemacht ist, ist es sehr wenig Arbeit, es schon auf Verdacht hin neu einzuspielen.
Ich weiß dass das nicht der Königsweg ist, aber IMHO einige recht einfache (DAU-freundliche ;-)) Maßnahmen zu einem sicherern System.
Hier auch ein paar einfache Tipps (Also nä, mit zwei 'p' sieht das irgendwie besch... aus ;-) für Linux (und teilweise natürlich auch für Windows wenn nicht gerade sehr spezifisch):
-
nur das installieren, was man wirklich braucht!
Die modernen Distributionen erlauben eine problemlose Nachinstallation und zeigen auch Abhängigkeiten an, falls irgendein Programm, das Du brauchst, andere Programme zusätzlich benötigt. Dabei wäre übrigens zu überlegen, ob es nicht eine Alternative gäbe, die weniger Abhängigkeiten hat. Windowsprogramme sind meist statisch gelinkt, d.h. sie bringen alles nötige selber mit. -
nur die Dienste benutzen, die man wirklich braucht!
Dieser Punkt ist eigentlich obsolet, da schon gebracht und außerdem hat man nach Befolgung des ersten Punktes eh keine Dienste laufen, die man nicht wirklich braucht. Sollte man aber trotzdem kontrollieren. -
niemals, ich wiederhole: niemals im Mehrbenutzer- und/oder
Netzbetrieb als Root einloggen!
Sollten einmal root-Rechte nötig werden, gibt es den Befehl 'su', der es ermöglicht befehle als Root auszuführen. Meistgebraucht ist wohl "su -c 'make install'". Die meisten Distributionen haben auch bequemere Methoden als 'su', bitte die Dokumentation zu befragen.
Sollten sehr aufwendige Arbeiten auszuführen sein, ist im Single-Modus ohne Netzwerk neu zu booten. -
wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.
-
niemals mehr Rechte als nötig vergeben!
Es gibt einige Tools, die die Suche nach zuviel Rechten erlauben.
Siehe z.B. Freshmeat oder Sourceforge. Insbesondere ist es in einigen Distributionen erlaubt, das Homeverzeichnis des anderen zu lesen. Zwar meist nur die Dateinamen, aber selbst das sollte verhindert werden. Dummerweise funktioniert dann z.B. locate nicht mehr richtig und es ist somit updatedb für jeden User extra zu fahren. Allerdings ist dieses Vorgehen eh zu empfehlen. -
jedwede Fernwartung und -benutzung hat über verschlüsselte Kanäle zu erfolgen!
-
es ist regelmäßig (z.B. beim Mailabholen, einloggen o.ä.) die Updateseite der eigenen Distribution zu besuchen! In einigen Fällen (Debian) kann sogar recht gefahrlos ein Autoupdate eingesetzt werden.
Serveradmins sind gehalten das ebenso regelmäßig mit den bekannten Sicherheitsnewsgroups und -webseiten zu tun. Sowas kostet pro Tag vielleicht einmal 5-10 Minuten (so ziemlich genau die Zeit, die man für den Morgenkaffee benötigt, eine Hand für die Maus ist also frei ;-), die gut angelegt sind.
so short
Christoph Zurnieden