Hi!

[...]Bei Red Hat kann ich während der Installation zwar Sicherheitseinstellungen machen, also welche Dienste erreichbar sein sollen, aber frag mich nicht warum, das schlägt sich dann nicht in der Konfiguration der Dienste oder den Startscripten nieder, sondern in Einträgen in iptables... das heißt die Dineste laufen, werden nur per "Firewall" geblockt. Das finde ich ziemlich dämlich.

Naja, nicht so ganz. Manche Dienste braucht man nur lokal (nicht unbedingt nur zum Testen),

Ja, aber z.B. den Apachen kann man so konfigurieren, das er nur am loopback lauscht.

außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen.

Ja, weil es nicht anders geht. Und der Unterschied ist einem DAU nicht wirklich klar.

Das dieser Unterschied respektiert wird ist nicht verkehrt, wenn auch nicht auf Anhieb einsehbar, das stimmt.

Ich verstehe das durchaus, naja, vielleicht ist es ja für die meisten Leute sinnvoller als ich denke.

Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)

Was war es denn? Bei mir war es irgendein DR DOS, aber ein bisschen mehr als "normal" mache ich erst seit vielleicht 2 Jahren.

Aber es ist schon wahr: den ersten PC, den ich mir käuflich erwerben konnte, hatte schon Windows vorinstalliert und einmal reingeschaut hatte ich, das muß ich zugeben.

Naja, ich dachte mir ähnlches, außerdem hatte ich das anfangs nur auf einem Mädel gesehen, "Spielzeug" habe ich gedacht ;-)

(Übrigens mit dem Ergebnis: den Schrott will doch niemals jemand haben, die gehen doch sowas von Ruckzuck pleite ... tja, so kann man sich irren ;-)

Oh ja :)

Zumindest gnumeric kann jetzt Exceldateien vollständig importieren

Wie kann das gehen wenn das Format nicht offen liegt?

Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Hm? Meinst Du jetzt im Modem oder in einem Router? Bei Modem weiß ich nicht, aber ich glaube fast sowas schonmal gelesen zu haben, auf alle ist das bei Routern und Modem/Router Kombis doch inzwischen Standard, oder?

Ach, gibt es doch schon? Na, dann nehme ich alles zurück und behaupte das Gegenteil ;-)

Vielleicht nicht die tollste Quelle, naja: http://www.tecchannel.de/hardware/835/2.html

Dann bleibt aber doch die Frage, warum das nicht allgemein eingesetzt wird. Sollte doch ein Großteil des Ärgers schonmal im Keim ersticken, oder?

Das meine ich ja damit!

ja, ich habe mir letztens einen Router für 35 EUR besorgt, der hatte sogar speziele Fiter-Funktionen eingebaut, was ich aber erst beim Versuch die zu verwenden festgestellt habe - um die zu nutzen muss man erstmal in Internet eine Lizenz für 29 EUR erwerben, eine Unverschämtheit :(

Wenn Du damit die Quellen bekommst, ist das durchaus in Ordnung. (Ohne Quellen nützt keine Sicherheitssoftware etwas)

Keine Ahnung, ich rege mich auch weniger darüber auf Geld zu bezahlen, sondern eher wie die das machen.
Das ganze hat nichts mit einer hochwertigen Firewall zu tun, aber es ist besser als nichts.

Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.

Naja, _so_ einfach ist es denn nun doch nicht ;-)

Nicht? Wieso nicht? Eingehende TCP und UDP Verbindungen werden doch zuverlässig geblockt, oder?

Außerdem kommen die meisten eh von innen und wenn da nicht alles sorgfältig abgesichert ist, kommen die sogar durch.

Wer kommt denn von innen? Wenn ich mir einen Trojaner einfange, dann macht der erstmal gar nichts, er versucht nur dem Angreifer zu kontaktieren, und das kann er ja ruhig schaffen, denn dieser wird nicht in der Lage sein sich mit der Schadsoftware zu verbinden. Gut, prinzipiell kann man auch ohne direkt verbunden zu sein schaden anrichten und Informationen übertragen, "Funktionalitäten" nachladen... aber mit sowas haben einfache Home-Desktops IMHO nicht zu kämpfen, deren Probleme ergeben sich einfach aus dem schier unendlichen Angriffsversuchen irgendelcher Script-Kiddies die nur in der Lage sind irgendewelche fertige möchtegern-Hacker-Software zu verteilen und zu bedienen.
Ich kenne mich da nicht so 100%ig aus, aber meines Wissens kann man auch von einem Client eine TCP-Verbindung zu einem Server herstellen, dann aber den Client als Server verwenden, und die Anfragen einfach vom Server aus schicken, aber den Aufwand braucht man sich ja nicht zu machen wenn es noch genügend "Opfer" gibt die es einem erheblich leichter machen. Aber hast schon Recht 100%ig ist das nicht, oder worauf genau wolltest Du hinaus?

Aber manchmal brauche ich als root auch das Netzwerk. Wobei, nicht unbedingt. Aber wieso genau? Was ist denn großartig der Unterschied zu su -?

Mit einem komplettem Login wird alles mögliche geladen, Environment, Dienste etc.

Dienste? Wo werden denn abhängig vom User Dienste geladen?

'su -c' startet wirklich nur das einzelne Kommando als Root, nichts anderes. ('su -l' wirkt übrigens als vollständiger Login) Es reicht aber auch nur das Netz zu kappen, wenn man alleine auf dem Rechner ist., es ist da nicht nötig, den Singlemodus zu starten.

Stecker ziehen oder Netzwerkkarte deaktivieren? ;-)

• wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.

Ja? Das übersteigen wir aber jetzt die DAU-Zone um ein paar Stufen ;-)

Naja, soviel ist es nicht, ist eigentlich sogar oft und gut dokumentiert.

Ja, das schon, trotzdem gehört da schon ne Menge Wissen auch zur Hardware... dazu.

Was ist denn der Vortel eines monolithischen Kernels?

Der Vorteil liegt weniger im monolithischem Kernel, als im Fehlen der modutils. So _kann_ einfach kein übelwollendes Kernelmodul eingelinkt werden. (Da auch die Modulunterstützung im Kernel ausgeschaltet sein muß, nützt auch das Installieren der Modutils nix. Ginge dann nur mit Reboot und ein Reboot ohne das der Sysadmin 'shutdown $OPTIONS' eingetippelt hat, jagt ihn schneller vom Sessel hoch, als der Lieferant mit dem Kasten $CAFFEINATED_BEVERAGE_OF_CHOICE ;-)

;-) Gut, das ist wohl war, nur mus man doc für ein shutdown eh root-Rechte besitzen, was bringt es da noch am Kernel rumzufuchteln?

Ich habe mir einmal versucht selbst einen Kernel zu bauen [...]

Na gut, aber normalerweise sollte die Kernelconfig doch die Defaults der Distribution bereits drin haben?

Ja, das habe ich als Grundlage genommen, und dann versucht möglichst viele Module rauszuschmeißen, hat ja auch alles funktioniert bis auf das Netzwerk, naja. Wenn man mal sieht was da standardmäßig an Modulen geladen wird...

Das einzige, was dann anzupassen wäre, ist die Prozessortypangabe direkt am Anfang. Wenn da schon der steht, den Du hast, ist das Neubauen sogar relativ unnötig.

Sicher ist das unnötig, aber es ist doch mal ganz interessant, bei Gelegenheit mache ich das auch sicher nochmal, wobei, bei der nächsten Gelegenheit wolte ich es mal mit Gentoo Linux probieren, das sieht mir im Augenblick am interessantesten aus.

Zumindest dann, wenn Du das nicht richtig kannst.

Jeder fängt mal an ;-)

Ansonsten würde ich mir doch mal die entsprechenden Dokumentationen zur Brust nehmen. man sollte schon seinen eigenen Kernel kompilieren können, ob man es dann tut ist dann wieder eine andere Frage ;-)

Werde ich mal machen!

Grüße
Andreas