[linux-l] Voyeurismus und kulinarische Installationsparty

[Michael Meyer]

Steffen Schulz wrote:
> On 030422 at 16:48, Michael Meyer wrote:
> > wenn das so weitergeht, installiere ich, *grusel*, yast gleich wieder
> > und schaue nach, welche dienste ich darüber konfigurieren kann. ;)
> > ich bin mir wirklich nicht sicher, ob das problem in _der form_ wirklich
> > existent ist. 
> 
> Na dann schau mal nach, ob YaST dich darüber informiert, dass der
> zu installierende ftp-Server ohne fachmännische Konfiguration eine
> Sicherheitslücke darstellen kann, ob er per default nur an 127.0.0.1
> horcht, deaktiviert ist und bei Auswahl von z.B. wu-ftpd z.B.
> vsftpd vorgeschlagen wird. Sowas wäre vermutlich ideal, wenn jemand
> der nicht weiss, was Ports und IPs sind, mal eben nen ftp-server
> aufsetzen will. Genau diese Nutzergruppe will SuSE ja gewinnen.

_ohne_ es jetzt probiert zu haben, bin ich mir sicher, dass YaST dieses
natürlich nicht machen wird. ich stimme dir zu, dass dieses zu
implementieren eine gute idee wäre. 

> Und der ftpd ist natürlich nur ein Beispiel, realitätsnäher könnte
> z.B. samba sein. Der war hier *IIRC* seitens xinetd nicht an lokale
> Interfaces gebunden, diese Einstellungen geschahen innerhalb seiner
> configs. Dort wiederrum ist man ja gerne mal grosszügig, wenn irgendwas
> mal nicht auf Anhieb klappt...sowas könnte harden-services überprüfen.

bei SuSE wird samba nicht über den (x)inetd, sondern standalone
gestartet. IIRC, ist er dabei leider an alle devices gebunden. genau
sagen kann ich es nicht, da ich fast alle dienste manuell installiere
und nur sehr selten RPM nutze.

vernünftiger ist da die standard-konfiguration des MTA. der ist nur an
localhost gebunden und um das zu ändern muss man es explizit in einer
config ändern. vielleicht geht das auch über YaST, ich weiss es nicht.

> "einfacher zu bedienen als Windows" ist nicht immer gut.

der kern dieser diskussion. ich bin mir im moment nicht ganz
schlüssig, wie ich es wirklich sehen soll. auf der einen seite kann
ich deine bedenken mittlerweile gut nachvollziehen, auf der anderen
seite wollen wir doch alle, dass linux noch mehr genutzt wird, auch
von leuten, die ihren pc einfach nur benutzen wollen.

gerade die sind es aber, die wert darauf legen, sich ihr system
einfach zusammenzuklicken. da soll dann alles einfach laufen.

wir suchen also eine distribution, die idiotensicher zu installieren
und zu konfigurieren ist und dabei per default alle configs sehr
restriktiv hält. gibt es die? sage nun niemand debian, sonst erzähle
ich die geschichte des debian-users, der mich aufgrund meines SuSE
nutzens anflamte und wo ein nmap auf sein system erschreckendes zu
tage förderte. *huch* jetzt habe ich es ja schon erzählt ... ;) *SCNR*

> (wu-ftpd hatte mal einige Lücken und vsftpd will sehr
>  sicher sein, es sind trotzdem nur willkürliche Beispiele)

... und scp/sftp existiert.

> > ich habe wirklich schwierigkeiten zu akzeptieren, dass es ein problem
> > sein soll, dass linux in ansätzen mittlerweile auch für den anfänger
> > leichter zu verstehen ist. ich sehe das problem wirklich
> > ausschließlich _vor_ dem pc.
> 
> An dem Typen vor dem PC kannst du nix ändern. Im Gegenteil, man will
> sich ja *gerade* die Gruppe, die mit interna nix am Hut hat,
> erschliessen. Du musst also die Distri anpassen.

hmm ... ein ro gemountetes linux, mit nur einer noexec, nosuid, nodev
gemounteten partition, zum speichern eigener dateien und ohne
installierte dienste? ;)

> > wenn ein anwender keinen bock hat, sich darum zu kümmern, dass sein
> > system sicher ist und nicht zu einem problem für dritte wird, wird er
> > aus jedem noch so sicheren system über kurz oder lang ein scheunentor
> > machen. IMHO ist dieses kein OS spezifisches problem.
> 
> Ich denke man nur wenige installieren ihre Dialer, Würmer und
> dDoS-Clients vorsätzlich.

vorsätzlich wohl nicht, in vielen fällen aber sicher grob fahrlässig.

> Ziel ist auch nicht, alle Rechner sicher zu machen. Es reicht, wenn
> Linux als Folge einer möglichen Nutzerimmigration nicht komplett den
> Ruf seiner Sicherheit verliert, damit wäre viel Potential
> verspielt...

man kann mit restriktiven vorgaben es für $WasIstEineIpUser sicher
erschweren einen kaputten ftpd zu betreiben, ich denke nicht, das man
es ganz verhindern kann. wenn $WasIstEineIpUser seine warez per ftp
tauschen will, wird er es irgendwie schaffen. auch wenn er dazu
vielleicht zum ersten mal in seinem leben google bedienen muss.

eine distribution kann eigenverantwortung IMHO nicht erzwingen. wohl
aber versuchen zu fördern. da hast du sicher recht.

micha