* Markus Raab schrieb am 22.Aug.2003: > Bernd Brodesser wrote: > > * Markus Raab schrieb am 21.Aug.2003:
> >> Es gibt Viren, aber dank vorz�glicher Benutzer/Administratortrennung (+ > >> andere Gr�nde) ist es kein Problem. Folgendes solltest du beachten: > >> > >> - nur vertrauensw�rdige Pakete installieren (checksummen ben�tzen,...) > >> - nie als root arbeiten, immer nur f�r bestimmte Aktionen sudo o.�. verwenden > >> - immer schon updaten (ptrace,...) > > Punkt 1 und 3 kann man auch bei Windows beachten. > > Nein, zumindest nur sehr eingeschr�nkt. > > Ich hab noch keine Checksummen f�r irgendwelche Programme gesehen. Wenn man > unter Windows ein Programm installiert, ist das intelligenterweise eine .exe > Datei und k�nnte auch ein Virus beinhalten. Tut mir leid, ich habe keine Ahnung von Windows, aber sicherlich gibt es da auch Pakete, die vertrauensw�rdiger sind als andere. Die Seiten von Microsoft sind doch sicherlich vertrauenw�rdiger als irgend was obskures. checksummen helfen doch nur was gegen man in the middle Angriffe. Wenn der Bereitsteller der Software schon b�se Software anbietet, dann helfen checksummen gar nichts. Und mal ehrlich, wie oft kommen solche Angriffe vor? > Punkt 3 kann man nat�rlich beachten, aber anscheinend sind entweder die Updates > zu sp�t da oder die Leute zu langsam, sonst w�ren nicht immer alle Nachrichten > voll mit irgendwelchen W�rmerk�mpfen oder loveyou letters. Ich bin sicher, da� es weit mehr an den Leuten liegt. Und wer sich bei Windows nicht um Sicherheit k�mmert, der wird es auch bei Linux nicht tun. > > Wenn man das macht, ist auch da die Vierengefahr weitaus geringer. > Es geht immer nur um Minimierung. Security ist nie 100 %. ACK > Selbst ein PC der > nicht im Netzwerk ist, keine Wechselmedien hat und im tiefsten Bergwerk > vergraben ist, kann verseucht werden, und wenn man den Virus vor Ort > programmieren muss*G* > > Aber die Anwender machen es halt nicht. Das Linuxanwender es h�ufiger machen, > > hat damit zu tun, da� bislang DAU Normalanwender noch nicht > > besonders h�ufig Linux anwendet, Freaks und wirklich Professionelle > > Leute hingegen schon. Aber das �ndert sich. Auch zu Linux kommen > > immer mehr Leute, die sich nicht daf�r interessieren, wie ein > > Rechner aufgebaut ist oder softwarem��ig l�uft. > > Jo, es �ndert sich. Ich zitiere: > > armin walland: > "in internet cafes sieht man auch immer oefter linuxbasierte loesungen. Das ist in diesem Zusammenhang v�llig egal. Zumindest, wenn der Internetcaf�betreiber sich auskennt, und seine Rechner vern�nftig installiert hat. Dann kann der Kunde n�mlich gar nichts machen. > "ich hab ja nur etwas angst vor dem tag, an dem dann statt windows alle > "menschen linux benutzen, immer als root surfen, outlook express auf > "linux portiert wird, automatisch alle attachments auf 755 ausfuehrt und dann > "alle schreien, warum linux so anfaellig fuer viren > "und wuermer ist. Wenn alle als root surfen, dann ist es egal, ob die Rechte 755 oder 000 lauten. > Die Idee ist nicht neu, dass auch Linux zur Virenschleuder mutieren k�nnte:) Ich habe keinen Anspruch auf Orginalit�t erhoben. Nat�rlich gibt es die Bedenken schon eine ganze Weile und ich finde, sie best�tigen sich immer mehr. Schau Dir doch die Fragen der Leute an, hat es da nicht eine Ver�nderung in den Jahren gegeben? > Aber ich denke alle Distris geben sich gro�e M�he, dass es nicht passiert. Au�er Debian und ein paar andere Exoten geben sich alle die M�he, da� es passiert, denn sie wollen verkaufen. > Vor einigen Jahren ist aber Linux wirklich fast nur von Experten eingesetzt Ja. > worden, das sogar teilweise Versicherungsbetr�ge f�r Linuxserver geringer > waren, da man voraussetzen konnte, dass sich die Leute dort mehr auskennen. Ich > kann das aber nicht belegen, hab sowas nur geh�rt. Glaube ich nicht. Um das zu machen, daf�r m��te die Versicherung doch Linux kennen, und zwar so gut, als das sie es beurteilen konnten. > > Wo ist der Unterschied, ob ich vor jedem Programm, da� ich aufrufe > > ein sudo setze, oder ob ich mich an einer Konsole als root anmelde > > und dort meine root-Befehle abgebe? Nat�rlich nur die, und nat�rlich > > nur, wenn kein anderer physikalischen Zugang zum Rechner hat? > > Ist ein gro�er Unterschied. Die Sicherheit wird schon um einiges erh�ht, einige > Punkte: > - es rennt keine bash mit root Rechten, sonder nur der gew�nschte Prozess Ja, aber wo ist dabei das Problem? > - hacker m�ssen 2 Passw�rter knacken Wieso? Nochmal, ich habe geschrieben, da� keiner einen physikalischen Zugang zum Rechner hat. Wo ist der Unterschied? Der Angreifer, der von au�en zugreift mu� doch genauso arbeiten, ob ich jetzt eine root-Konsole habe, oder nicht. Der kann doch nicht an der Konsole sitzen. > - beim zweiten Passwort (sudo) wird alles mitgelogged wer es war Wer verwendet schon sudo mit Passworteingabe? > - man kann die sudo Rechte bei Problemen wieder entziehen, root ist nicht > konfigurierbar, sondern hat immer alle Rechte (Mir ist durchaus bekannt dass es > Verst�mmelungen von Root geben soll, davon halte ich nichts (ausser in > Spezialsituationen)). Wovon reden wir? In einem betrieblichen Umfeld hat sudo auf jeden Fall seine Berechtigung. Wenn man aber an seinem HomePC sitzt so ist die Situation eine andere. Da brauche ich keinem die Rechte zu entziehen, da bin ich der einzige Anwender. Stell Dir mal vor, ich will ein neues Paket ziehen, daf�r aber erst mal ein update machen: sudo apt-get update Password: sudo apt-get install irgendwas Password: also zweimal das rootpa�wort eingeben. Birgt �brigens auch eine Unsicherheit, jedenfalls, wenn man nicht alleine ist. Es k�nnte jemand �ber die Schulter schauen. > >> Wenn du diese Punkte beachtest, ist es fast unm�glich einen Virus > >> einzufangen, dass hat folgende Gr�nde: > >> > >> - Der Virus hat gar nicht das Recht irgendwelche Dateien zu �ndern (da user > >> keine globalen Programme modifizieren k�nnen) > > > > Aber er kann eigene Dateien ver�ndern. Und zu ver�ndern bringt doch > > viel mehr Schaden. > > Dir ist klar, dass es von allen Daten Backups geben sollte:) Wo ist dann das Problem? Und wie oft machst Du Backups? H�ufiger als einmal am Tag? Je nachdem was man macht, kann der Verlust eines Tagwerks schon ganz sch�n fies sein. > Und mit find -atime findet man dann doch relativ einfach, was ver�ndert worden > ist. Mit find -atime findest Du alles was Du Dir im angegebenen Zeitraum angeschaut hast, oder irgend ein Programm genutzt hat. Das ist derma�en viel, da findet man doch nichts wieder. > Und warum sollte ver�ndern mehr Schaden geben als l�schen? L�schen ist auch ver�ndern. Aber wenn Du es so genau nimmst ist ein Virus viel gef�hrlicher, der sich �berhaupt nicht bemerkbar macht, Dich aber ausspioniert. > > Jetzt legest Du einen eindeutigen Nachteil als Vorteil aus. > > Nat�rlich ist es ein Vorteil in Punkto Viren, da� alle m�glichen > > Probgramme andere Adressb�cher haben, aber im Alltagleben ist es ein > > eindeutiger Nachteil. Es ist erstrebenswert, das zu > > vereinheitlichen, auch wenn dadurch die Virengefahr w�chst. > > Warum sollte man allen Leuten ein Konzept aufzwingen? Auf *deinen* PC kann deine > bevorzugte L�sung rennen, auf einen anderen PC eine andere. > Diese Monokulturen aka iis, outlook und ie haben sich nicht bew�hrt. Es ist aber > durchaus sinnvoll Konzepte durch Normungen und Standardisierungen miteinander > kompatibel zu machen. vcards, xml und dap gehen in diese Richtung. Und so meinte ich das. Alleine dadurch da� es kompatibel ist untergr�bt aber schon Dein Argument. > >> Weitere Probleme sind: > >> - dynamisch gelinkt funktioniert er fast nirgends (libc, ...) > >> - statisch gelinkt ist er riesengro� > > > > Wieso das? Wieso gelinkt? Ein kleines Assamblerprogramm reicht doch > > vollkommen. > > Aber auch ein Assemblerprogramme muss gelinkt werden. Man kann nat�rlich auf > Librarys verzichten -> viel spa� beim Programmieren. Dann hat man n�mlich nur > noch die Systemfunktionen zur Verf�gung (open, write, read und noch ein > paar*G*). Ok, Skriptkiddis h�lt das vielleicht ab, aber auch nur vielleicht. Wenn Linux mal sehr verbreitet ist, so ist es auch egal, dann rennt der Virus halt nur auf ein paar Systeme und nicht auf alle, na und? Aber die wirkliche Gefahr sind imho nicht die Skriptkiddis, sondern hochprofessionelle Angriffe von irgenwelche Dienste. Da scheut man keinen Aufwand. Da arbeiten hochbezahlte hochprofessionelle Leute, die keine Angst vor open, write usw. haben. Die bauen Viren, von denen Du noch nicht mal merkst, da� Du sie hast. Und die sicherst Du immer sch�n mit, und auch die Informationen die sie sammeln. > >> - geht nur auf eine Plattform (Linux rennt ja nicht nur auf i386) > >> > >> + unendlich viele andere Gr�nde, vorallem aber: > >> > >> Es ist den meisten Linuxusern Security *nicht* egal, den Windowsusern eher > >> schon. > > > > Ja, das ist der Unterschied, aber er niviliert sich recht schnell. > > ja, s.o. Bernd -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
