[linux-l] Voyeurismus und kulinarische Installationsparty

Michael Meyer mime at gmx.de
Mo Apr 21 23:07:40 CEST 2003


Steffen Schulz wrote:
> On 030421 at 19:51, Michael Meyer wrote:
> > Steffen Schulz wrote:
> > > Wenn SuSE das hinbekommt, ohne dass du per default nen offenes Relay,
> > > nen ftp-server mit anonymous-upload,
> 
> Es ging mir nicht darum zu behaupten, dass SuSE das per default
> komplett falsch macht, das ist Unsinn. Es ging mir darum, dass bei
> jeder Standardinstallation einer Linux-Distribution bei mir
> irgendwelche Server liefen. Mal mehr, mal weniger. Das sind potentielle
> Gefahrenquellen, mal mehr, mal weniger.

ja, richtig. da hatte ich dich wirklich falsch verstanden.

in dieser hinsicht fand ich ein gentoo, das ich mal bei jemandem
installiert habe, ganz schön. IIRC kein einziger offener port an einem
externem device.

da war minimal so, wie man sich minimal vorstellt. nett ...

> Wenn $Heimuser für sein internes Netz gern FTP hat und mangels
> Ahnung $irgendeinen installiert und dieser dann auch noch ohne
> Probleme funktioniert, kann das grosse Probleme bedeuten.

also ich weiss nicht ...

ich sehe auch die problematik einer ftpd installation durch einen
unbedarften anwender. ich sehe aber nicht, dass dieses OS spezifisch
ist.

$irgendeinen anzukreiden, dass er ohne probleme funktioniert, fand ich
amüsant. ;)

> Wenn dieser $user seinen Linux-PC als Einzelplatzrechner nutzt und
> z.B. kein PW oder nur ein sehr einfaches hat, kann das nämlich schon
> gefährlich werden, wenn ein vermeintlich sicherer
> Server("vsftpd...very secure...wird schon klappen") am offenen Netz
> horcht.

ACK

> > SuSE entwickelt Sendmail _nicht_ selber. wenn also sicherheitsprobleme
> > mit Sendmail auftreten, kann man wohl kaum SuSE dafür verantwortlich
> > machen.
> 
> Mein wenn war auch kausal und nicht etwa zeitlich gemeint, ich
> meinte hier und auch bei sonstiger Software: "Auch für absolut
> unbedarften Anwendern muss sichergestellt werden, dass vorhandene
> Patches eingespielt werden."

You (Yast Online Update) von SuSE ist da warscheinlich nahe dran. IIRC
sind z.b. security-patches per default ausgewählt. der user muss sie
also explizit deaktivieren um sie nicht installiert zu bekommen. 

das völlige ersetzen einer gewissen eigenverantwortung kann dir aber
wohl so gut wie kein system wirklich bieten.

> Wie ich schon sagte, eigentlich einfach Dinge, die man einhalten muss.
> Da SuSE aber auch die professionelleren Nutzer anvisiert, wird man die
> Distri nur wenig DAU-proof bekommen, weil erforderliche Nachfragen und
> Erinnerungs-nachrichten die Profis wiederrum abschrecken. Von daher wär
> ein oder mehrere rpms ne gute Idee, die gewisse Policies und Configs
> im System durchdrücken 

sowas in der art? 

http://www.suse.de/~marc/harden_suse.html
http://www.bastille-linux.org/

> und zb. Warnungen bei der Installation von Servern oder ausstehenden
> Patches ausgeben.

das sollte möglich sein. 

> So ein System könnte sich dann als "sicher" schimpfen und gleichzeitig
> den grossen Nutzerkreis anvisieren, der den PC einfach nur nutzen
> möchte. Hier sehe ich auch nen recht grossen Markt, wenn man den ganzen
> Würmer/Viren/Dialer/Adware-Müll betrachtet. Sieht man auch an der
> Beliebtheit von PersonalFirewalls und sonstigem Anti-XXXXXX-Kram.

ich denke das problem steckt nicht im OS, sondern sitzt schlicht und
ergreifen, in den meisten fällen, _vor_ dem pc.

micha
-- 



Mehr Informationen über die Mailingliste linux-l