Am 2004-05-31 11:18:03, schrieb Peter Kuechler: >Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat:
>> Ja und bei Sid musst du selber Patchen oder hoffen das der Maintainer
>> nicht schlaeft und nen fix bereitstellt...
>
>Du scheinst keine besonders hohe Meinung �ber die Entwickler zu haben...
>Es liegt schon in ihrem eigenen Interesse, solche Sicherheitsl�cher in ihrem
>aktuellen Code zu stopfen, findest Du nicht?
Ist aber in vielen f�llen nicht so...
...und teilweise sind sie hoffnungslos �berlastet !
>Und, oh Wunder, tauchen neue Versionen der Software in SID am ehesten auf.
Richtig, mit neuen Bugs...
>> > Die beissen sich an meinem Paketfilter die Z�hne aus:-)
Deswegen haben Hacker es trotzdem geschaft meinen pppd zu crashen...
>> Was ist wenn der nen Fehler hat?
>
>Der Paketfilter hat weder was mit SID, Woody, Suse oder sonst was zu tun.
>Er ist Sache des Kernels, und da bediene ich mich schon seit Jahren nur der
>Vanilla-Kernel. Dort passt wenigstens jeder Patch.
Stimmt auch nicht... eigene Erfahrung. Du kannst nicht beliebig patchen.
>> Ich schliesse mal daraus dass du diese Dienste fuers Internet
>> freigegeben hast?
>
>Falsch, alle Dienste gehen nur ins interne Netz.
>Ich w�rde mir sehr gut �berlegen, ob ich auf einem Rechner, der _auch_ als
>Firewall dient, Dienste f�r den Zugriff von aussen zur Verf�gung stelle:->
Davon war vorher nicht die rede...
Aber abgesehen davon hast Du nen FileServer auf einem Rechner,
der Direkten Internet Zugang hat... Alleine das schon ist ein Risiko.
>> Was ist wenn einer davon ein Sicherheitsloch hat und
>> der Maintainer grad 4 Wochen in Urlaub?
>
>Interessiert mich aus o.g. Grund nicht, mu� es ja auch nicht;-)
F�r die Installation ?
Ein Loch im Soucecodes des Firewalls und dein Server war einmal...
>> Machst du wirklich nur alle
>> paar Monate ein Upgrade? Na dann lass mal lieber niemanden der
>> boeswillig ist deine IP rauskriegen..
>
>s.o.
Das ist naiv !
>Ok, noch mal zur Erkl�rung:
>Wenn ich einen Rechner habe, der als nur als Paketfilter dienen soll, dann
>kann es mir schei�egal sein, ob der apache in SID gerade ein Sicherheitsloch
>hat.
Wieso ? - Gerade hier ist es notwendig, das 100% sichere Software
eingesetzt wird und nicht irgendwas aus dem Developper stream...
>Ich kenne KEINEN, der mit seinem Arbeitsplatzrechner, den er jeden Tag nach
>der Arbeit f�r 2 Stunden einschaltet, Dienste im Internet zur Verf�gug
>stellt. Somit reicht ein Paketfilter, der KEINEN Verbindungsaufbau von aussen
>zul�sst, aus.
Also ich kenne jede menge die 'amule' und 'xmule' einsetzen, was genau
diese Gefahr ist... FileSharing...
Und nicht nur das, fast alle die ich kenne haben einen Webserver laufen.
Das ganze mit DynDNS...
Das sind typischen Windows-User !!!
Einfach sorglos... hauptsache 'apt-get' funktioniert...
Habe mal einen Portscan auf :80 im ADSL-Pool bei Wanadoo.fr gemacht...
Da findeste hunderte von Apache Index.html...Habe dann versuch mit einem
Bash-Script die "~$USER" herauszufinden... :-)
Da findest Du ewig viele...
Du glaubst das geht nicht ? Selbst wenn der $USER sich auslogt und ich
einen neuen Scan mache, finde ich den $USER wieder. anhand von den
Einstellungen des apache... N�mlich dem Hostnamen des Rechners...
>Wenn ich einen Rechner ins Internet stellen mu�, dann steht er in einer DMZ,
Wieviele Desktop $User machen das ?
>und es laufen nur die Programme darauf, die f�r diesen einen Dienst gebraucht
>werden. Hier kann man sicher nochmal neu �berlegen, was man einsetzt.
>SID, Woody, Suse oder sogar BSD, wie es Dieter in einer Mail geschrieben hat.
Das har aber nichts mehr mit dem gemeinen Desktop $USER zu tun.
Fazit: Du suggerierst Linux-Anf�ngern SID zu installieren ohne auf die
Gefahren aufmerksam zu machen...
KEIN Linux-Anf�nger kann ein UNSTABLE System dicht machen !
Erwarte nicht von einem Windows->Linux umsteiger das er ein
paar dutzend Mbytes (!!!) HOWTOS und Dokumentation lie�t.
Das tun die NUR, wenn Du als erfahrener Linux-Anwender daneben
sitzt und ihnen 100% Hilfestellung leistets...
Wie schon erw�hnt, arbeite ich an einem arabic/farsi-Linux
Project und MEINE $USER lesen HOWTOS, man und info...
Warum ? - weil ich ihnen schon bei der installation die
Bedeutung einzelner Schritte erkl�rt habe... Genaugenommen,
ich bilde arabische/persische Frauen an Linux aus.
Diese Frauen haben teilweise noch nie mit einem Computer
gearbeitet und kenne die Gefahren des Internet nicht. Die
Ausbildung har den zweck, das Frauen (islamische Welt)
sogenannte Tele-Travail (Arbeit von zu Hause aus) machen
k�nnen. Diese Frauen m�ssen in der Lage sein, alleine Linux
zu installieren und zu administrieren...
Das was ich denen in rund 2-9 Monaten beibringe, kann kein
normaler Desktop $USER...
(die finden noch nicht einmal die Doku)
>mfg
>
>Peter K�chler
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
signature.pgp
Description: Digital signature
