nicht angemeldet
Hi,
[...]Seiteneffekte mit anderen Programmen.
Ja, mir ist das zwar erst recht selten passiert, aber man hört sehr oft das nach dem einspielen eines Service-Packs auf einmal viel mehr Probleme da sind als vorher, das darf nicht sein. Klar, das komtm meist von fremder Software, aber trotzdem ist es der OS-Hersteller schuld wenn Fremdsoftware derart negativen Einfluss üben kann.
Fremdsoftware? Nein, nein, das kann auch mit Windows selber kollidieren. (Meist, wenn man die Reihenfolge bestimmter Patches nicht einhält, oder die Reparatur eine Windows-API völlig durcheinanderwirbelt)
Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren.
So gerne ich sowas natürlich höre, doch entspricht es immer weniger der Wahrheit.
[...]Bei Red Hat kann ich während der Installation zwar Sicherheitseinstellungen machen, also welche Dienste erreichbar sein sollen, aber frag mich nicht warum, das schlägt sich dann nicht in der Konfiguration der Dienste oder den Startscripten nieder, sondern in Einträgen in iptables... das heißt die Dineste laufen, werden nur per "Firewall" geblockt. Das finde ich ziemlich dämlich.
Naja, nicht so ganz. Manche Dienste braucht man nur lokal (nicht unbedingt nur zum Testen), außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen. Das dieser Unterschied respektiert wird ist nicht verkehrt, wenn auch nicht auf Anhieb einsehbar, das stimmt.
Was ich auch gut fände wäre eine einfache Möglichkeit die Dienste für eione lokalen Testbetrieb zu konfigurieren, also nur über localhost erreichbar, naja, iptables ist halt einfacher.
Das reicht nicht immer. Selbst wenn ein bestimmter Dienst ausschließlich über Localhost zu erreichen ist, so kann im schlimmstem Fall via IP-Spoofing immerhin ein DoS erreicht werden.
Trotzdem will ich meine Aussage über die "skills" der Anwender aufrecht erhalten. Im Prinzip fängt jeder erstmal mit Windows an, macht seine Erfahrungen und guckt sich dann vielleicht mal irgendwann Linux an. Die meisten PCs werden bei Aldi & Co. verkauft, da auch viel von Leute die mit "Computern/Internet anfangen", und da gibts dann immer Windows XP Home dabei.
Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)
Aber es ist schon wahr: den ersten PC, den ich mir käuflich erwerben konnte, hatte schon Windows vorinstalliert und einmal reingeschaut hatte ich, das muß ich zugeben. (Übrigens mit dem Ergebnis: den Schrott will doch niemals jemand haben, die gehen doch sowas von Ruckzuck pleite ... tja, so kann man sich irren ;-)
Ich bin absolut kein Fan von solchen Emulationen. Daher verwende ich auch Linux weniger für meine "Desktop-Arbeit", das mache ich erst wenn alle Programme die ich brauche auch für Linux verfügbar sind, bzw. die Openoffice-Kompatibilität zu MS Office verbessert ist.
Zumindest gnumeric kann jetzt Exceldateien vollständig importieren (exportieren weiß ich nicht genau, nehme es aber an)
Das ist noch nicht einmal derartig eingeschränkt: Man braucht nur irgendeinen Zugang und ein Programm mit Rootrechten (z.B. eine Firewall? >;-> ), das die Windows-GUI-Maschinerie benutzt.
Wieso? Also Win98 & Co. jetzt mal außen vorgelassen, dessen Benutzerkonzept ist ein schlechter Witz, wenn Win2000 auf einer NTFS-Partition installiert wurde, und man nicht als Administrator oder Hauptbenutzer arbeitet, wie soll eine Software dann so ohne weiteres Zugriff auf Administrator-Rechte erlangen, es sei denn durch irgendwelche Exploits? Aber sowas gibts auch unter Linux.
Den hier http://security.tombom.co.uk/shatter.html bestimmt nicht. Das ist noch nicht einmal ein Exploit nach Definition, das ist "broken by design". Meines Wissens ist das auch bei w2003 noch so, lasse mich aber gerne eines Besseren belehren. Solange dieser Designflaw drin ist, kann ich Windows nicht für Netzwerk- und Multiuserbetrieb empfehlen.
Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Hm? Meinst Du jetzt im Modem oder in einem Router? Bei Modem weiß ich nicht, aber ich glaube fast sowas schonmal gelesen zu haben, auf alle ist das bei Routern und Modem/Router Kombis doch inzwischen Standard, oder?
Ach, gibt es doch schon? Na, dann nehme ich alles zurück und behaupte das Gegenteil ;-)
Dann bleibt aber doch die Frage, warum das nicht allgemein eingesetzt wird. Sollte doch ein Großteil des Ärgers schonmal im Keim ersticken, oder?
Diese Stelle (der DSL Router) wäre nämlich geradezu ideal!
ja, ich habe mir letztens einen Router für 35 EUR besorgt, der hatte sogar speziele Fiter-Funktionen eingebaut, was ich aber erst beim Versuch die zu verwenden festgestellt habe - um die zu nutzen muss man erstmal in Internet eine Lizenz für 29 EUR erwerben, eine Unverschämtheit :(
Wenn Du damit die Quellen bekommst, ist das durchaus in Ordnung. (Ohne Quellen nützt keine Sicherheitssoftware etwas)
Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.
Naja, _so_ einfach ist es denn nun doch nicht ;-)
Außerdem kommen die meisten eh von innen und wenn da nicht alles sorgfältig abgesichert ist, kommen die sogar durch.
»»[...] Vor allem braucht der normale Desktop-Anwender keine Dienste die irgendwelche Ports abhören, und wenn er in einem Firmennetzwerk irgendwas braucht dann sollte das der Admin einstellen.
Und zwar _nur_ der.
Zwei Stück, um genau zu sein. Eines mit einem jungfräulichem Betriebsystem und allen Anwendungen (Es kostet ein wenig Arbeit das zu erstellen und kann kompliziert werden, da während dieser Zeit natürlich aus Sicherheitsgründen kein Netzzugriff erfolgen darf und damit evt auch keine nötigen Patches eingespielt werden können)
Mit den ganzen Programmen? Wozu? Reicht es nicht einfach /etc zu sichern?
Es gibt bei Windows kein /etc. (Wollte es ein wenig allgemeiner halten)
Nein, es reicht keineswegs nur /etc zu sichern. Nicht nur, das ein Image schneller eingespielt ist, als neu installiert, man kann auch die Updates aktuell halten (braucht dann natürlich dafür eine extra Maschine, auf der man die Updates einspielt. Zur Not reicht auch eine extra Partition, aber wirklich nur zur Not)
Ja, das finde ich auch Mist, dass standardmäßig bei SSH root-login erlaubt ist. Zuminmdest bei Red Hat.
Immer noch? Au Mann!
Sollten sehr aufwendige Arbeiten auszuführen sein, ist im Single-Modus ohne Netzwerk neu zu booten.
Aber manchmal brauche ich als root auch das Netzwerk. Wobei, nicht unbedingt. Aber wieso genau? Was ist denn großartig der Unterschied zu su -?
Mit einem komplettem Login wird alles mögliche geladen, Environment, Dienste etc. Das wird für einen einfachen Befehl meistens gar nicht gebraucht. Sind nun mehrere Nutzer und/oder Netzwerkanschluß auf dem Rechner stehen mehr Stellen für Exploits zur Verfügung als nötig.
'su -c' startet wirklich nur das einzelne Kommando als Root, nichts anderes. ('su -l' wirkt übrigens als vollständiger Login) Es reicht aber auch nur das Netz zu kappen, wenn man alleine auf dem Rechner ist., es ist da nicht nötig, den Singlemodus zu starten.
- wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.
Ja? Das übersteigen wir aber jetzt die DAU-Zone um ein paar Stufen ;-)
Naja, soviel ist es nicht, ist eigentlich sogar oft und gut dokumentiert.
Was ist denn der Vortel eines monolithischen Kernels?
Der Vorteil liegt weniger im monolithischem Kernel, als im Fehlen der modutils. So _kann_ einfach kein übelwollendes Kernelmodul eingelinkt werden. (Da auch die Modulunterstützung im Kernel ausgeschaltet sein muß, nützt auch das Installieren der Modutils nix. Ginge dann nur mit Reboot und ein Reboot ohne das der Sysadmin 'shutdown $OPTIONS' eingetippelt hat, jagt ihn schneller vom Sessel hoch, als der Lieferant mit dem Kasten $CAFFEINATED_BEVERAGE_OF_CHOICE ;-)
Ich habe mir einmal versucht selbst einen Kernel zu bauen, das hat auch geklappt, nur habe ich es nicht mehr geschafft ins Netzwerk zu kommen, naja, hab dann irgendwann aufgegeben da es doch etwas viel Zeit frisst fürs "nur mal ausprobieren" ;-)
Na gut, aber normalerweise sollte die Kernelconfig doch die Defaults der Distribution bereits drin haben? Das einzige, was dann anzupassen wäre, ist die Prozessortypangabe direkt am Anfang. Wenn da schon der steht, den Du hast, ist das Neubauen sogar relativ unnötig. Zumindest dann, wenn Du das nicht richtig kannst. Ansonsten würde ich mir doch mal die entsprechenden Dokumentationen zur Brust nehmen. man sollte schon seinen eigenen Kernel kompilieren können, ob man es dann tut ist dann wieder eine andere Frage ;-)
so short
Christoph Zurnieden