Re: Das Problem mit SID
Am Montag, 31. Mai 2004 12:49 schrieb Michelle Konzack:
> Am 2004-05-31 11:18:03, schrieb Peter Kuechler:
> >Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat:
> >> Ja und bei Sid musst du selber Patchen oder hoffen das der Maintainer
> >> nicht schlaeft und nen fix bereitstellt...
> >
> >Du scheinst keine besonders hohe Meinung über die Entwickler zu haben...
> >Es liegt schon in ihrem eigenen Interesse, solche Sicherheitslöcher in
> > ihrem aktuellen Code zu stopfen, findest Du nicht?
>
> Ist aber in vielen fällen nicht so...
> ...und teilweise sind sie hoffnungslos überlastet !
>
> >Und, oh Wunder, tauchen neue Versionen der Software in SID am ehesten auf.
>
> Richtig, mit neuen Bugs...
Jetzt mach die Sache nicht schlimmer als sie ist.
Nochmal: Bugs gibt es immer, das liegt in der Natur der Sache.
> >> > Die beissen sich an meinem Paketfilter die Zähne aus:-)
>
> Deswegen haben Hacker es trotzdem geschaft meinen pppd zu crashen...
>
> >> Was ist wenn der nen Fehler hat?
> >
> >Der Paketfilter hat weder was mit SID, Woody, Suse oder sonst was zu tun.
> >Er ist Sache des Kernels, und da bediene ich mich schon seit Jahren nur
> > der Vanilla-Kernel. Dort passt wenigstens jeder Patch.
>
> Stimmt auch nicht... eigene Erfahrung. Du kannst nicht beliebig patchen.
Mag sein, das Du die Erfahrung gemacht hast. Ich habe bis jetzt mit
Vanilla-Kerneln die besten Erfahrungen gemacht.
> >> Ich schliesse mal daraus dass du diese Dienste fuers Internet
> >> freigegeben hast?
> >
> >Falsch, alle Dienste gehen nur ins interne Netz.
> >Ich würde mir sehr gut überlegen, ob ich auf einem Rechner, der _auch_ als
> >Firewall dient, Dienste für den Zugriff von aussen zur Verfügung stelle:->
>
> Davon war vorher nicht die rede...
Richtig.
Es wird immer nur sehr pauschal davon gesprochen, wie unsicher und gefährlich
SID ist. Ich habe mal angefangen, das ein wenig zu differenzieren.
> Aber abgesehen davon hast Du nen FileServer auf einem Rechner,
> der Direkten Internet Zugang hat... Alleine das schon ist ein Risiko.
Wie ich schon geschrieben habe:
Auf diesen Server werden keinerlei Verbindungen von außen zugelassen.
> >> Was ist wenn einer davon ein Sicherheitsloch hat und
> >> der Maintainer grad 4 Wochen in Urlaub?
> >
> >Interessiert mich aus o.g. Grund nicht, muß es ja auch nicht;-)
>
> Für die Installation ?
> Ein Loch im Soucecodes des Firewalls und dein Server war einmal...
Also nochmal:
Der Sourcecode besteht in meinem Fall aus Kernelcode.
Und da bin ich sehr flexibel, was Updates, Patches usw. angeht.
Es werden KEINE Dienste nach außen zur Verfügung gestellt, der Rechner ist
nach Haussen Tot.
Aber vielleicht kannst Du ja versuchen, den Treiber für die Netzwerkkarte
anzugreifen:-)
> >> Machst du wirklich nur alle
> >> paar Monate ein Upgrade? Na dann lass mal lieber niemanden der
> >> boeswillig ist deine IP rauskriegen..
Und nochmal (irgend wann wird es schon durchdringen):
Es werden KEINE Dienste nach Haussen zur Verfügung gestellt, der Rechner ist
nach Haussen Tot. Warum soll ich Dienste updaten, die ich nicht einsetze?
> Das ist naiv !
Quatsch.
> >Ok, noch mal zur Erklärung:
> >
> >Wenn ich einen Rechner habe, der als nur als Paketfilter dienen soll, dann
> >kann es mir scheißegal sein, ob der apache in SID gerade ein
> > Sicherheitsloch hat.
>
> Wieso ? - Gerade hier ist es notwendig, das 100% sichere Software
> eingesetzt wird und nicht irgendwas aus dem Developper stream...
Sag mal, liest Du eigentlich mal bevor Du schreibst?
Wenn ich KEINEN Apache einsetze, dann kann es mir schei****egal sein, ob
apache ein Sicherheitsloch hat und wie groß es ist!!!!!!!!!!!!!!!!!!!!!!
Und ich weiß nicht wie es bei Dir ist, aber mein Linux-Paketfilter arbeitet
mit Kernelmodulen, und die wiederum haben einen sch*****reck mit debian
SID/Woody Suse oder sonst was zu tun.
Punkt.
> >Ich kenne KEINEN, der mit seinem Arbeitsplatzrechner, den er jeden Tag
> > nach der Arbeit für 2 Stunden einschaltet, Dienste im Internet zur
> > Verfügug stellt. Somit reicht ein Paketfilter, der KEINEN
> > Verbindungsaufbau von aussen zulässt, aus.
>
> Also ich kenne jede menge die 'amule' und 'xmule' einsetzen, was genau
> diese Gefahr ist... FileSharing...
Na fein, dann sollen sie sich um Ihren Kram kümmern.
> Und nicht nur das, fast alle die ich kenne haben einen Webserver laufen.
> Das ganze mit DynDNS...
[...]
> >Wenn ich einen Rechner ins Internet stellen muß, dann steht er in einer
> > DMZ,
>
> Wieviele Desktop $User machen das ?
Wahrscheinlich wenige.
Und wie viel glaubst du machen mit Woody regelmässig Sicherheitsupdates?
Sehr richtig, genau so wenige. Und damit sind sie genau so nass wie mit SID
oder Sarge auch.
> >und es laufen nur die Programme darauf, die für diesen einen Dienst
> > gebraucht werden. Hier kann man sicher nochmal neu überlegen, was man
> > einsetzt. SID, Woody, Suse oder sogar BSD, wie es Dieter in einer Mail
> > geschrieben hat.
>
> Das har aber nichts mehr mit dem gemeinen Desktop $USER zu tun.
Das ist richtig.
> Fazit: Du suggerierst Linux-Anfängern SID zu installieren ohne auf die
> Gefahren aufmerksam zu machen...
Das ist nun wirklich Blödsinn, im Gegenteil!
Unter anderem DU suggerierst hier Linux-Anfängern, das sie nur Woody zu
installieren brauchen und ihre Welt ist in Ordnung, und das ist mindestens
genau so falsch, wenn nicht sogar schlimmer. (s.o.)
Diese User sind mit Woody sogar noch beschissener drann, den grade der
unbedarfte User möchte mit seinem Rechner alles das machen können, was der
Nachbar auch macht (Multimedia, neue Hardware usw.) Und ausgrechnet diesen
Usern drehst Du dann ein veraltetes Woody auf. Na fein:-(((
Und sag jetzt nicht, das er nur Backports einspielen muß, sonst krieg ich echt
einen dicken Hals. Immerhin reden wir hier ja von Anfängern, wenn ich mich
recht entsinne.
> KEIN Linux-Anfänger kann ein UNSTABLE System dicht machen !
> Erwarte nicht von einem Windows->Linux umsteiger das er ein
> paar dutzend Mbytes (!!!) HOWTOS und Dokumentation ließt.
Ein Anfänger kann das weder bei SID noch bei Woody.
Warum?
Weil er Anfänger ist.
Ist er kein Anfänger mehr ist und weis worum es geht, dann dann kann er es
auch mit SID.
> Das tun die NUR, wenn Du als erfahrener Linux-Anwender daneben
> sitzt und ihnen 100% Hilfestellung leistets...
Sehr gut erkannt.
Das gilt für Woody-Anwender, SID-Anwender, Windows-Anwender,
Apple-Anwender...usw.
> Wie schon erwähnt, arbeite ich an einem arabic/farsi-Linux
> Project und MEINE $USER lesen HOWTOS, man und info...
>
> Warum ? - weil ich ihnen schon bei der installation die
> Bedeutung einzelner Schritte erklärt habe... Genaugenommen,
> ich bilde arabische/persische Frauen an Linux aus.
Das ist sehr lobenswert.
Ich bin erstaunt darüber, was Du in 24 Stunden alles leistest, ich schaffe das
nicht.
> Diese Frauen haben teilweise noch nie mit einem Computer
> gearbeitet und kenne die Gefahren des Internet nicht. Die
> Ausbildung har den zweck, das Frauen (islamische Welt)
Das betrifft nicht nur Frauen aus der islamische Welt, es ist ein allgemeines
Problem. egal ob Männlein oder Weiblein. Die Leute bekommen die EDV
dargestellt, als bräuchte man sich nur einen Rechner kaufen, paar Kabel rein
stöpseln und fertig ist die heile, einfache EDV-Welt.
> sogenannte Tele-Travail (Arbeit von zu Hause aus) machen
> können. Diese Frauen müssen in der Lage sein, alleine Linux
> zu installieren und zu administrieren...
>
> Das was ich denen in rund 2-9 Monaten beibringe, kann kein
> normaler Desktop $USER...
> (die finden noch nicht einmal die Doku)
Natürlich nicht.
Das eine hat aber mit dem andren nix zu tun.
Entweder man kümmert sich um seinen Kram oder nicht.
Dabei ist es egal was es ist, es ändern sich nur die Vorgehensweisen.
--
mfg
Peter Küchler
Reply to: