[linux-l] Voyeurismus und kulinarische Installationsparty

[Steffen Schulz]

On 030421 at 23:43, Michael Meyer wrote:
> Steffen Schulz wrote:
>
> [per default aktive Server]
>
> ja, richtig. da hatte ich dich wirklich falsch verstanden.
>
> in dieser hinsicht fand ich ein gentoo, das ich mal bei jemandem
> installiert habe, ganz schön. IIRC kein einziger offener port an einem
> externem device.

Eben. Gentoo ist aber nu weniger für die Gruppe gedacht, auf die SuSE
oder Mandrake zunehmend zielen, ne?

> > Wenn $Heimuser für sein internes Netz gern FTP hat und mangels
> > Ahnung $irgendeinen installiert und dieser dann auch noch ohne
> > Probleme funktioniert, kann das grosse Probleme bedeuten.
> 
> also ich weiss nicht ...
> 
> ich sehe auch die problematik einer ftpd installation durch einen
> unbedarften anwender. ich sehe aber nicht, dass dieses OS spezifisch
> ist.
>
> $irgendeinen anzukreiden, dass er ohne probleme funktioniert, fand ich
> amüsant. ;)

Ja, aber es besteht nur dadurch die o.g. Gefahr.

Sie ist OS-Spezifisch in dem Sinne, dass die Distri oder eben Windows
dafür *werben*, dass jetzt alles ganz einfach ist. Stattdessen sollte
bei dieser Zielgruppe lieber nochmal nen Stein in den Weg geschmissen
werden, dass man erstmal ne Warnung bekommt oder der Server nicht
läuft, solange man ihm gesagt hat, was er genau tun soll(und wenn der
User hier zu liberal ist, wieder ne Warnung!).

> > Mein wenn war auch kausal und nicht etwa zeitlich gemeint, ich
> > meinte hier und auch bei sonstiger Software: "Auch für absolut
> > unbedarften Anwendern muss sichergestellt werden, dass vorhandene
> > Patches eingespielt werden."
> 
> You (Yast Online Update) von SuSE ist da warscheinlich nahe dran. IIRC
> sind z.b. security-patches per default ausgewählt. der user muss sie
> also explizit deaktivieren um sie nicht installiert zu bekommen. 
> 
> das völlige ersetzen einer gewissen eigenverantwortung kann dir aber
> wohl so gut wie kein system wirklich bieten.

Ich hab noch keins gesehen. 
Offenbar bekommt MacOSX das teilweise hin, kenn ich aber nicht weiter.

> > Wie ich schon sagte, eigentlich einfach Dinge, die man einhalten muss.
> > Da SuSE aber auch die professionelleren Nutzer anvisiert, wird man die
> > Distri nur wenig DAU-proof bekommen, weil erforderliche Nachfragen und
> > Erinnerungs-nachrichten die Profis wiederrum abschrecken. Von daher wär
> > ein oder mehrere rpms ne gute Idee, die gewisse Policies und Configs
> > im System durchdrücken 
> 
> sowas in der art? 
> 
> http://www.suse.de/~marc/harden_suse.html
> http://www.bastille-linux.org/

In der Art, ja. Der Hersteller(Suse,MS,whatever) müsste solche Sachen
bereits integrieren und auch ne passende Auswahl an default-Programmen
bereitstellen. Letzteres ist eher für Windows wichtig, auch sehr viel
realitätsferner, MS wird kein Opera oder TheBat propagieren, aber auch
bei gängigen Linux-Distris kann man das eine oder andere tun.

Für Debian gibts auch harden-pakete:

[pepe at goofy pepe]$ apt-cache search harden
bastille - Security hardening tool
harden - Makes your system hardened.
harden-3rdflaws - Avoid packages with security problems.
harden-clients - Avoid clients that are known to be insecure.
harden-development - Development tools for creating more secure programs.
harden-doc - Useful documentation to secure a Debian system.
harden-environment - Hardened system environment.
harden-localflaws - Avoid packages with security holes.
harden-nids - Harden a system by using a network intrusion detection system.
harden-remoteaudit - Audit your system from this host.
harden-remoteflaws - Avoid packages with security holes.
harden-servers - Avoid servers that are known to be insecure.
harden-surveillance - Check services and/or servers automaticly.
harden-tools - Tools to enhance or analyze the security of the local system.

Aber das richtet sich auch alles an den Admin, der irgendwelche
sensiblen Rechner aufsetzen will. Wenn SuSE das Publikum adressieren
will, dass den Rechner einfach nur Nutzen will, sollte man das da oben
für eben diese Zielgruppe implementieren. Der andere Kram, irgendwelche
Firewall-scripte für den Heimanwender und ein gut aussehendes
Installationsprogramm, dass höhere Rechneranforderungen stellt als das
OS selbst, sind für mich nur schwache Versuche obiges zu erreichen.
YAST sollte man dort unter "Systemsteuerung" dazupacken und gut ist.
Wird die Frage "Haben wir Netz" bei der Installation mit "Ja"
beantwortet, gehören automatische updates in die crontab.

> > So ein System könnte sich dann als "sicher" schimpfen und gleichzeitig
> > den grossen Nutzerkreis anvisieren, der den PC einfach nur nutzen
> > möchte. Hier sehe ich auch nen recht grossen Markt, wenn man den ganzen
> > Würmer/Viren/Dialer/Adware-Müll betrachtet. Sieht man auch an der
> > Beliebtheit von PersonalFirewalls und sonstigem Anti-XXXXXX-Kram.
> 
> ich denke das problem steckt nicht im OS, sondern sitzt schlicht und
> ergreifen, in den meisten fällen, _vor_ dem pc.

Woran du bei dem Publikum, das sich die laufende Usability-Welle
erschliessen will, nichts ändern kannst. Ich heb hier nur deswegen so
laut meinen Finger, weil mich diese ganze Bewegung Richtung MS stört,
von wegen wir machen jetzt alles per Klick und fragen nicht weiter nach
Details. Dietmar hat sicher recht, wenn er sagt, dass die Linux-Distris
einem ja offen lassen, ob man unter die Haube schauen will. Das bringt
aber nix, wenn der ftpd schon läuft, weil dann interessiert es nur noch
SEHR wenige, wie das funktioniert und nur die werden das Problem
entdecken. Insgesamt ist die Linux-Installation dann nicht mehr
sicherer als die Windowsinstallation, obwohl das möglich wäre.

mfg
pepe
-- 
pepeatgoofy at gmx.net                         gpg --recv-key 2187FF31
Key fingerprint: 3F07 5EB1 2D42 E806 51C1  8278 CD3F 4DB3 2187 FF31