Hi,

außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen.
Ja, weil es nicht anders geht. Und der Unterschied ist einem DAU nicht wirklich klar.

Da der Endeffekt so ziemlich der gleiche ist, ist das bei den heutigen GHz Boliden recht egal.
Aber so wirklich gelungen ist das nicht, das stimmt wohl.

Das dieser Unterschied respektiert wird ist nicht verkehrt, wenn auch nicht auf Anhieb einsehbar, das stimmt.
Ich verstehe das durchaus, naja, vielleicht ist es ja für die meisten Leute sinnvoller als ich denke.

Basiert wahrscheinlich auch etwas auf der alten Unix-Philosophie:"You asked for it, you got it" ;-)

Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)
Was war es denn? Bei mir war es irgendein DR DOS, aber ein bisschen mehr als "normal" mache ich erst seit vielleicht 2 Jahren.

Hem...nunja...äh...na gut: ein PDP-11. Was da drauf war, bleibt jetzt Dir überlassen zu suchen ;-)
So ähnlich sah das Dingen übrigens aus:
http://users.rcn.com/crfriend/museum/machines/pdp-1123.html

Aber es ist schon wahr: den ersten PC, den ich mir käuflich erwerben konnte, hatte schon Windows vorinstalliert und einmal reingeschaut hatte ich, das muß ich zugeben.
Naja, ich dachte mir ähnlches, außerdem hatte ich das anfangs nur auf einem Mädel gesehen, "Spielzeug" habe ich gedacht ;-)

"auf einem Mädel"?
Wie soll ich das denn jetzt verstehen?
Laß Dich nicht von Stonie erwischen! ;-)

Zumindest gnumeric kann jetzt Exceldateien vollständig importieren
Wie kann das gehen wenn das Format nicht offen liegt?

Reengineering (? Zuviele 'e's ;-), Trial&Error usw. Richtig harte Arbeit also.

Vielleicht nicht die tollste Quelle, naja: http://www.tecchannel.de/hardware/835/2.html

Au, hätt' ich nicht gedacht. Aber ist ja auch kein Wunder, wohne hjier auf dem Lande, bin gezwungenermaßen mit Dial-up und Modem unterwegs, kenne daher nur Modem oder "richtig".
Aber angeblich soll hier jetzt DSL möglich sein, allerdings sagen alle etwas anderes. (Außerdem brauche ich um's Verrecken kein ISDN, warum gibt's das eigentlich nur im Bundle?)

Das ganze hat nichts mit einer hochwertigen Firewall zu tun, aber es ist besser als nichts.

Für eine Diskussion ob "besser als nichts" wirklcih besser als ncih6ts ist siehe etwas weiter unten im Forum ;-)

Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.

Naja, _so_ einfach ist es denn nun doch nicht ;-)

Nicht? Wieso nicht? Eingehende TCP und UDP Verbindungen werden doch zuverlässig geblockt, oder?

Woher weißt Du das? Bist Du Dir wirklich sicher?
Das ist ebn das Problem mit den Fertigteilen, man kann sich nie wirklich sicher sein, ob es da nicht irgendwo ... zu "Wartungszwecken" ...

Außerdem kommen die meisten eh von innen und wenn da nicht alles sorgfältig abgesichert ist, kommen die sogar durch.

Wer kommt denn von innen? Wenn ich mir einen Trojaner einfange, dann macht der erstmal gar nichts, er versucht nur dem Angreifer zu kontaktieren, und das kann er ja ruhig schaffen, denn dieser wird nicht in der Lage sein sich mit der Schadsoftware zu verbinden.

Warum nicht? Einmal drin ist einmal drin, da kann er schalten und walten, wie er lustig ist. Auch einen Tunnel aufmachen, den Router etwas manipulieren (Funktioniert die Authentifizierung für die Software des Routers wirklich? Bist Du Dir sicher?)

Gut, prinzipiell kann man auch ohne direkt verbunden zu sein schaden anrichten und Informationen übertragen, "Funktionalitäten" nachladen... aber mit sowas haben einfache Home-Desktops IMHO nicht zu kämpfen,

Äh... wie war das doch gleich mit Sobig? ;-)

deren Probleme ergeben sich einfach aus dem schier unendlichen Angriffsversuchen irgendelcher Script-Kiddies die nur in der Lage sind irgendewelche fertige möchtegern-Hacker-Software zu verteilen und zu bedienen.

Genau diese Software ist das Problem, die wird nämlcih hin und wieder von Leuten produziert, die es können. Und die Script-Kiddies sind mit Sicherheit hellauf begeistert, wenn so ein Dingen auch unter harten Bedingungen gut funktioniert. Die Script-Kiddies sind leider nur der Hammer, nicht der Schmied.

Ich kenne mich da nicht so 100%ig aus, aber meines Wissens kann man auch von einem Client eine TCP-Verbindung zu einem Server herstellen, dann aber den Client als Server verwenden, und die Anfragen einfach vom Server aus schicken, aber den Aufwand braucht man sich ja nicht zu machen wenn es noch genügend "Opfer" gibt die es einem erheblich leichter machen. Aber hast schon Recht 100%ig ist das nicht, oder worauf genau wolltest Du hinaus?

Das man sich nicht auf Fertigteile verlassen darf, auch nicht auf Prinzipien. Immer selber kontrollieren. Wenn man nicht die Fähigkeiten dazu hat: jemand beauftragen.

Mit einem komplettem Login wird alles mögliche geladen, Environment, Dienste etc.
Dienste? Wo werden denn abhängig vom User Dienste geladen?

Wenn Du KDE startest (wenn man sich schon vollständig asl Root einloggt, dann wenigsten richtig ;-) wird z.B. der artsd gestartet. Der ist für das Geräusch zuständig. Aber es kann auch ein Terminer sein, ICQ o.ä. Da gibt es vielfältige Dinge.

Aber am gefährlichsten ist wohl $ENV, da stecken eine Menge Informationen drin, dei nicht unbedingt jeder wissen muß. Darf zwar nicht gefährlich sein, sie zu kennen, aber man sollte potentiellen Angreifern nicht auch noch das Bier kaltstellen ;-)

'su -c' startet wirklich nur das einzelne Kommando als Root, nichts anderes. ('su -l' wirkt übrigens als vollständiger Login) Es reicht aber auch nur das Netz zu kappen, wenn man alleine auf dem Rechner ist., es ist da nicht nötig, den Singlemodus zu starten.

Stecker ziehen oder Netzwerkkarte deaktivieren? ;-)

Du magst Dich amüsieren, ich empfehle ernsthaft den Stecker zu ziehen.

;-) Gut, das ist wohl war, nur mus man doc für ein shutdown eh root-Rechte besitzen, was bringt es da noch am Kernel rumzufuchteln?

Um Kernelmodule zu laden muß man ebenfalls Rootrechte besitzen. Sollte das bei Dir nicht so sein, solltest Du das unbedingt ändern.
ja, ich weiß: wenn der Angreifer eh schon Rootrechte hat, ist schon Hopfen und Malz verloren, aber er muß nicht auch noch die Gelegenheit haben _dauerhaft_ Schaden anzurichten.

Diese und andere Dinge mögen Kleinigkeiten sein, läßliche, paranoide, oder was weiß ich, aber die Summe macht es aus. (Und ein wenig Paranoia schadet in dem Geschäft wirklich nicht ;-)

Ich habe mir einmal versucht selbst einen Kernel zu bauen [...]

Na gut, aber normalerweise sollte die Kernelconfig doch die Defaults der Distribution bereits drin haben?

Ja, das habe ich als Grundlage genommen, und dann versucht möglichst viele Module rauszuschmeißen, hat ja auch alles funktioniert bis auf das Netzwerk, naja. Wenn man mal sieht was da standardmäßig an Modulen geladen wird...

Wenn Du die Ausgabe von 'lsmod' meinst: das sind ausgerechnet die Module, die höchstwahrscheinlich auch gebraucht werden ;-)
Vielleicht nicht alle, aber ausgerechnet dei sollte man dann beim Neubauen erstmal drin lassen.
Achso: und dann, wenn man sich nicht gut genug auskennt bzw unsicher ist: immer eins nach dem anderen ;-)

Das einzige, was dann anzupassen wäre, ist die Prozessortypangabe direkt am Anfang. Wenn da schon der steht, den Du hast, ist das Neubauen sogar relativ unnötig.

Sicher ist das unnötig,

Nein, _richtig_ unnötig ist es nicht, man sollte es nach Möglichkeit schon tun.

so short

Christoph Zurnieden