Am 2004-05-31 11:18:03, schrieb Peter Kuechler:
>Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat:
>> Ja und bei Sid musst du selber Patchen oder hoffen das der Maintainer
>> nicht schlaeft und nen fix bereitstellt...
>
>Du scheinst keine besonders hohe Meinung über die Entwickler zu haben...
>Es liegt schon in ihrem eigenen Interesse, solche Sicherheitslöcher in ihrem
>aktuellen Code zu stopfen, findest Du nicht?
Ist aber in vielen fällen nicht so...
...und teilweise sind sie hoffnungslos überlastet !
>Und, oh Wunder, tauchen neue Versionen der Software in SID am ehesten auf.
Richtig, mit neuen Bugs...
>> > Die beissen sich an meinem Paketfilter die Zähne aus:-)
Deswegen haben Hacker es trotzdem geschaft meinen pppd zu crashen...
>> Was ist wenn der nen Fehler hat?
>
>Der Paketfilter hat weder was mit SID, Woody, Suse oder sonst was zu tun.
>Er ist Sache des Kernels, und da bediene ich mich schon seit Jahren nur der
>Vanilla-Kernel. Dort passt wenigstens jeder Patch.
Stimmt auch nicht... eigene Erfahrung. Du kannst nicht beliebig patchen.
>> Ich schliesse mal daraus dass du diese Dienste fuers Internet
>> freigegeben hast?
>
>Falsch, alle Dienste gehen nur ins interne Netz.
>Ich würde mir sehr gut überlegen, ob ich auf einem Rechner, der _auch_ als
>Firewall dient, Dienste für den Zugriff von aussen zur Verfügung stelle:->
Davon war vorher nicht die rede...
Aber abgesehen davon hast Du nen FileServer auf einem Rechner,
der Direkten Internet Zugang hat... Alleine das schon ist ein Risiko.
>> Was ist wenn einer davon ein Sicherheitsloch hat und
>> der Maintainer grad 4 Wochen in Urlaub?
>
>Interessiert mich aus o.g. Grund nicht, muß es ja auch nicht;-)
Für die Installation ?
Ein Loch im Soucecodes des Firewalls und dein Server war einmal...
>> Machst du wirklich nur alle
>> paar Monate ein Upgrade? Na dann lass mal lieber niemanden der
>> boeswillig ist deine IP rauskriegen..
>
>s.o.
Das ist naiv !
>Ok, noch mal zur Erklärung:
>Wenn ich einen Rechner habe, der als nur als Paketfilter dienen soll, dann
>kann es mir scheißegal sein, ob der apache in SID gerade ein Sicherheitsloch
>hat.
Wieso ? - Gerade hier ist es notwendig, das 100% sichere Software
eingesetzt wird und nicht irgendwas aus dem Developper stream...
>Ich kenne KEINEN, der mit seinem Arbeitsplatzrechner, den er jeden Tag nach
>der Arbeit für 2 Stunden einschaltet, Dienste im Internet zur Verfügug
>stellt. Somit reicht ein Paketfilter, der KEINEN Verbindungsaufbau von aussen
>zulässt, aus.
Also ich kenne jede menge die 'amule' und 'xmule' einsetzen, was genau
diese Gefahr ist... FileSharing...
Und nicht nur das, fast alle die ich kenne haben einen Webserver laufen.
Das ganze mit DynDNS...
Das sind typischen Windows-User !!!
Einfach sorglos... hauptsache 'apt-get' funktioniert...
Habe mal einen Portscan auf :80 im ADSL-Pool bei Wanadoo.fr gemacht...
Da findeste hunderte von Apache Index.html...Habe dann versuch mit einem
Bash-Script die "~$USER" herauszufinden... :-)
Da findest Du ewig viele...
Du glaubst das geht nicht ? Selbst wenn der $USER sich auslogt und ich
einen neuen Scan mache, finde ich den $USER wieder. anhand von den
Einstellungen des apache... Nämlich dem Hostnamen des Rechners...
>Wenn ich einen Rechner ins Internet stellen muß, dann steht er in einer DMZ,
Wieviele Desktop $User machen das ?
>und es laufen nur die Programme darauf, die für diesen einen Dienst gebraucht
>werden. Hier kann man sicher nochmal neu überlegen, was man einsetzt.
>SID, Woody, Suse oder sogar BSD, wie es Dieter in einer Mail geschrieben hat.
Das har aber nichts mehr mit dem gemeinen Desktop $USER zu tun.
Fazit: Du suggerierst Linux-Anfängern SID zu installieren ohne auf die
Gefahren aufmerksam zu machen...
KEIN Linux-Anfänger kann ein UNSTABLE System dicht machen !
Erwarte nicht von einem Windows->Linux umsteiger das er ein
paar dutzend Mbytes (!!!) HOWTOS und Dokumentation ließt.
Das tun die NUR, wenn Du als erfahrener Linux-Anwender daneben
sitzt und ihnen 100% Hilfestellung leistets...
Wie schon erwähnt, arbeite ich an einem arabic/farsi-Linux
Project und MEINE $USER lesen HOWTOS, man und info...
Warum ? - weil ich ihnen schon bei der installation die
Bedeutung einzelner Schritte erklärt habe... Genaugenommen,
ich bilde arabische/persische Frauen an Linux aus.
Diese Frauen haben teilweise noch nie mit einem Computer
gearbeitet und kenne die Gefahren des Internet nicht. Die
Ausbildung har den zweck, das Frauen (islamische Welt)
sogenannte Tele-Travail (Arbeit von zu Hause aus) machen
können. Diese Frauen müssen in der Lage sein, alleine Linux
zu installieren und zu administrieren...
Das was ich denen in rund 2-9 Monaten beibringe, kann kein
normaler Desktop $USER...
(die finden noch nicht einmal die Doku)
>mfg
>
>Peter Küchler
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature