[Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)
Von mir an die Liste geforwarded, dass sich jeder sein Urteil drueber
bilden kann.
---------- Forwarded message ----------
Date: Thu, 11 May 2000 12:18:10 +0200 (CEST)
From: Holger Rauch <Holger.Rauch@heitec.de>
To: Stefan Nobis <stefan@snobis.de>
Subject: Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...)
Servus!
On 11 May 2000, Stefan Nobis wrote:
> Holger Rauch <Holger.Rauch@heitec.de> writes:
>
> > > > vielleicht anmerkt, daß es relativ virensichere Betriebssysteme gibt,
> > >
> > > Jetzt driften wir mal wieder ins Reich des Wunschdenken ab, ja? WinNT
> > > ist im Kern nicht virenanfälliger oder -sicherer als Linux, FreeBSD
> > > und Co.
> >
> > Das stimmt so nicht. Das mag vielleicht vor 20 Jahren mal so gewesen sein,
> > dass Unix-Derivate sehr virenanfaellig waren. Es ist sicherlich in grossen
>
> OK. Bleiben wir mal beim Kern des Themas und konzentrieren uns
> allgemein um Sicherheitsprobleme und nicht nur Viren im engeren
> Sinn. Denn dann hast du bei Unix auch ein Haufen Probleme, siehe
> z.B. die DDoS-Attacken Anfang dieses Jahres. Und ich meine nicht die
> angegriffenen Rechner, sondern die Rechner, die zum Angriff
> missbraucht wurden. Da hat also jemand im großen Stil tausende
> Unix-Hosts kompromitiert und das soll so sicher sein?
Welche Unix-Derivate waren genau davon betroffen? Es mag sein, dass manche
fuer diese Attacke anfaelliger sind als andere. Nur: Bei Unix habe ich
wenigstens die Moeglichkeit, ziemlich sofort noch Bekanntwerden eines
solchen Angriffs entsprechende patches einzuspielen bzw. neue Versionen
des betroffenen daemon durch den compiler zu hauen. Bei Win* muss ich
drauf warten, bis Mircrosoft sich bequemt, den naechsten service pack
rauszubringen und das dauert manchmal ein bisschen.
>
> > Teilen von der Systemadministration abhaengig, wie schnell man unter Unix
> > "root" wird. Und nur wenn man "root" ist, kann man WIRKLICH Schaden im
>
> Natürlich - aber in der Praxis ist das halt kein so großes
> Problem. Warum? Ganz einfach: Aufgrund der Mentalität der
> Leute. Sicherheit kostet Geld, dass nur wenige auszugeben bereit
> sind. Und damit haben wir ein Grundproblem, dass von Betriebssystemen
> völlig unabhängig ist.
Was die Mentalitaet der Leute anbelangt, gebe ich Dir grundsaetzlich
recht. Es ist halt die Frage, ob Firmen eigene Admins haben oder jemand
hinsetzen, der vielleicht schon Ahnung von der Sache hat, aber vielleicht
noch an vielen anderen Projekten mitarbeiten muss.
> Wenn ich genug Manpower und Geld investiere (d.h. wenn man hier
> überhaupt investiert), dann kriege ich Unix und NT gleich sicher. Aber
> die Leute investieren halt nicht, sondern nehmen die
> Standardinstallation und damit sind Unix und NT letztlich beide gleich
> offen, vielleicht, je nach Situation, NT ein wenig mehr als Unix, aber
> dem könnte man ja abhelfen (und Win2000 z.B. ist da an etlichen
> Stellen schon besser vorkonfiguriert als NT4).
Gut, Win2000 mag vielleicht an manchen Stellen besser vorkonfiguriert
sein. Aber ein Grund-Problem bei Win* ist, dass man zunaechst einmal mit
dem vorlieb nehmen muss, was einem in verschiedenen Bildschirm-Masken
angeboten wird. Wenn das ausreicht, gut. Wenn nicht, Pech gehabt. Welche
Moeglichkeiten habe ich denn, auf ein Win*-System Einfluss zu nehmen, wenn
mir das in den Bildschirm-Masken angezeigte nicht ausreicht? Gut, man kann
an der registry rumspielen (wenn's im konkreten Einzelfall was
bringt). Aber hier waeren wir wieder beim Problem der
Transparenz. Oder gibt es von Microsoft so etwas wie eine komplette
Uebersicht ueber alle Registry-Eintraege und deren Bedeutung?
> > sogar weiter) verbreitet wie NT. Dass es fuer Unix-Derivate insgesamt
> > weniger Viren gibt, liegt daran, dass es fuer Unix keine Anwendungen wie
> > fuer WinNT gibt, die sehr eng mit dem System verwoben sind.
>
> Wie gesagt: Das Kernproblem sind nicht Viren (letztlich ist ILOVEYOU
> ja auch eher ein Wurm), sondern Sicherheitsprobleme allgemein.
>
> Wenn ein Rechner kompromitiert wurde, ist es völlig egal, ob das ein
> Virus, Wurm, Trojaner oder bekannter Exploit war, der genutzt
> wurde. Das Problem ist, jemand hat nun Zugriff auf den Rechner und
> kann so oder so recht großen Schaden anrichten. Und hier hat Unix
> dieselben Probleme wie NT.
Ich gebe Dir insoweit recht, dass jemand, wenn er mal Zugriff auf den
Rechner hat, recht grossen Schaden anrichten kann. Nur ist mir bis jetzt
noch nicht klar, weshalb Du meinst, dass Unix (wobei das ja aufgrund
der vielen verfuegbaren Derivate ein sehr dehnbarer Begriff ist,
grundsaetzlich dieselben Probleme haben soll wie NT. Die Mentalitaet der
Leute hat sicherlich einen grossen Anteil als Ursache fuer
Sicherheitsprobleme, sie ist jedoch nicht allein ausschlaggebend. Der
zweite wesentliche Punkt ist, was mir das BS an Moeglichkeiten der
Absicherung bietet. Und hier habe ich bei Unix einfach mehr
Moeglichkeiten.
> Es ist schlicht eine Illusion, zu glauben, durch die Wahl des
> Betriebssystems alleine bekäme man automatisch mehr
> Sicherheit. Sicherheit ist etwas, was allein durch regelmäßige Wartung
> und mit viel Mühe und Arbeit erreicht wird.
Nicht "allein", aber hauptsaechlich.
> Das BS spielt da eine
> ziemlich untergeordnete Rolle.
Ich kann bei einem BS nur das nutzen, was mir an bereits verfuegbaren
Sicherheits-Mechanismen bzw. hinzufuegbaren Erweiterungen geboten
wird. Und da bietet Unix aufgrund der zugrundeliegenden Philosophie
einfach mehr Moeglichkeiten. Es mag vielleicht aufwendiger zu
administrieren sein, aber mit config files ist man einfach flexibler als
ueber irgendwelche Dialoge. Es wird nicht gelingen, all das, was man mit
Editoren in config files bewerkstelligen kann (und ich rede hier mal von
gueltigen Eintraegen) in Dialoge zu packen, da das zu Lasten der
inituitiven Bedienung geht.
>
> > Wieviele Sicherheits-Luecken ein Unix-System hat, haengt weitestgehend von
> > der Konfiguration/Administration ab. Um tatsaechlich einen Virus zu haben,
>
> Eben -- und das ist bei Windows genauso. Und genau hier sind die
> wenigsten Leute bereit zu investieren. Und genau das ist das
> eigentliche Problem.
>
> > bedarf es allerdings nicht nur dem Ausnutzen einiger Sicherheitsluecken,
> > sondern auch der Verbreitung des Programms bzw. des script, damit es
> > ueberhaupt zum Virus wird. Selbst wenn das Programm dann verbreitet ist,
> > sind die meisten Unix-Anwender aufgrund ihres Kenntnisstandes vorsichtiger
> > sind und nicht einfach irgendwelche executables/scripts ausfuehren, die
> > per email eintrudeln.
>
> Das ist aber heute auch nur so, weil man sich für Unix schon sehr
> bewusst und aktiv entscheiden muss und weil es im professionellen
> Bereich auch oft noch teurer kommt. Hätte Linux/Unix die Verbreitung
> wie Windows heute, dann würden die gleichen Leute davorsitzen und
> genauso unreflektiert einfach rumklicken. Diese Tatsache ist also auch
> wieder nicht betriebssystemspezifisch, sondern wiederum ein Problem
> mit der Mentalität der Anwender.
Hinsichtlich der Verbreitung kommt es drauf an, zwischen dem
Heimanwender-Bereich und dem Server-Bereich zu unterscheiden. Unix/Linux
ist nichts, wo man mal schnell auf irgendwas rumklickt. Das vermoegen auch
die heute verfuegbaren desktop environments (CDE/KDE/Gnome) nicht zu
aendern und das ist gut so, weil das zu Lasten der Flexibiltaet ginge
(s.o.).
>
> > > Das Problem sind nicht konkrete Betriebssysteme. Ein Problem ist die
> > > Monokultur, d.h. nur noch Linux ist genauso schädlich und schlecht wie
> > > nur noch Windows.
> >
> > Das stimmt ebenfalls nicht. Ausserdem gibt es nicht "ein Linux". Es gibt
> > hoechstens einen aktuellen, offiziell freigegebenen Linux-Kernel. Selbst
> > der wird aber von unterschiedlichen Distributoren unterschiedlich
> > aufgemoebelt. Ausserdem hat man unter Linux mehr Freiheiten, was die Wahl
>
> Ach komm, das ist doch auch Wunschdenken. Die Linux-Distris sind
> verdammt ähnlich,
Wirklich? Dann schau Dir mal den Inhalt/Organisation der init scripts
an. Es ist schon so, dass ein gewisser Kern zur Standard-Ausstattung einer
Linux-Distribution gehoert. Nur sind die Distributionen wenn es um
administrative Angelegenheiten geht, sehr verschieden. So erlaubt zum
Beispiel Mandrake das Einstellen von verschiedenen Sicherheitsstufen.
Ausserdem kann ich mir aus einer distro immer noch das rausziehen, was ich
will und das differenzierter als bei Win*. Es ist durchaus als Vorteil zu
sehen, das die Anwendung unter Unix nicht so eng mit dem BS verknuepft
sind wie unter Win*.
> Win98 und WinNT und Win2000 unterscheiden sich
> bedeutend stärker als RedHat, Debian und SuSE.
Das kann ich nicht beurteilen. Mag sein, dass dem so ist.
> Zudem wird letztlich
> und effektiv sowie meist nur eine einzige Distri eingesetzt. Weltweit
> ist RedHat die Nr. 1 und in Deutschland wissen die meisten doch gar
> nicht, dass Linux nicht gleich SuSE ist.
Wenn Du nur nach irgendwelchen Markt-Analysen geht, ist das schon so. Wenn
man das ganze differenzierter betrachtet, ist es schon so, dass
z. B. Debian im Server-Bereich und unter Entwicklern seinen Platz hat.
> Und die Unterschiede der Distris sind doch wirklich an einer Hand
> abzuzählen und betreffen zu 90% eh nur die Installation und die Art
> und Weise wie man die Konfig-Dateien hübsch in einer GUI
> präsentiert.
Wenn Du nur auf die Installation abzielst, ja. Allerdings ergeben sich im
Laufenden Betrieb doch gewisse Unterschiede, was die Administration
angeht.
> [...]
> Wenn du jetzt Solaris, HP-UX, AIX und Co. mit ins Spiel bringen
> würdest und von Unix allgemein sprichst, dann ist die Monokultur nicht
> mehr ganz so stark, sofern alle Systeme etwa gleich große Anteile am
> Kuchen haben.
Das ist ein allgemeines Problem, wie so was zu interpretieren ist. Ich
habe Deine Benutzung von "Unix" so verstanden, dass sie sich auf alle
verfuegbaren Unix-Derivate bezieht, ausser Du hast explizit
"Linux" erwaehnt.
> Aber es ist immer noch alles andere als
> Unproblematisch. Wie gesagt: Siehe DDoS-Attacken Anfang des Jahres.
Sicherlich ist Unix nicht unproblematisch. Aber es stehen in der Mehrzahl
der Faelle schneller Loesungen bereit wie fuer Win*
> > Genau. Und genau diesen Pfusch macht uns Microsoft seit Jahren mit einer
> > beeindruckenden Regelmaessigkeit vor.
>
> Das ist MS weder die schlimmste noch die einzige Firma, die Pfusch
> betreibt.
Ich habe nicht behauptet, dass MS die einzige Pfusch-Firma ist. Aber ich
denke, man kann sagen, dass customer satisfaction bei dieser Firma nicht
den allergroessten Stellenwert hat. Das Schlimme an MS ist, dass es wie
gesagt so schon jahrelang so geht.
> > 1. Die von Microsoft herausgebrachten service packs setzen ein bereits
> > installiertes Betriebssystem voraus. Warum hat sich Microsoft bis heute
> > nicht drum gekuemmert, die verschiedenen service packs zu einer neuen
> > Version zu bundeln, und diese auf eine BOOTFAEHIGE CD zu packen?
>
> Toll -- bei Linux muss ich mir Patches für die ganzen Dämonen und
> sonstiges alle einzeln holen, ständig den Kernel neu komplieren usw.
Schon richtig. Aber man hat wenigstens die Moeglichkeit, so schnell wie
moeglich auf dem neuesten Stand zu sein. Wie oft bringt denn Microsoft
service packs raus? Meistens erst dann, wenn sowieso schon alles zu spaet
ist.
>
> Was du hier anführst ist doch völlig nebensächlicher Kleinkram. Ein
> bischen Komfort mehr oder weniger ist doch nun wirklich nichts
> wesentliches. Zumal gerade Linux hier bedeutende Defizite aufweist.
Ich weiss nicht, ob es fuer einen admin so nebensaechlich ist, wenn er
nicht weiss, was er sich mit einem service pack einhandelt. Bei Linux
bekomme ich bei einer Distribution wenigstens was bootfaehiges und muss
nicht der Reihe nach 6 oder 7 oder was weiss ich wieviele service packs
einspielen, bis ich ein System habe, das einigermassen up to date ist.
>
> > Und ueberhaupt: Fuer den admin ist ueberhaupt nicht transparent, was bei
> > einem service pack alles eingespielt wird.
>
> Ach. Und bei Linux-Distris ist das so viel besser?
Ja. Weil wesentlich mehr Doku in Form von HOWTOs, change logs usw. dabei
ist.
> Und baust dir hier
> Illusionen auf. Wie viele Leute sind in der Lage, zu beurteilen, was
> so von Kernel-Version zu Kernel-Version passiert und wissen wirklich,
> was davon wichtig oder unwichtig, was sicherheitskritisch oder
> stabilitätsfördernd ist?
Ich denke, man muss hier (wieder einmal) zwischen zwei Benutzergruppen
unterscheiden: Admins und Anwender. Ein admin, der wirklich bereit ist,
dazuzulernen und sich auf dem Laufenden zu halten (auch in seiner
Freizeit) wird hoechst wahrscheinlich auch Bescheid wissen. Dass es bei
den Anwendern anders ausschaut, ist mir auch klar.
> Im Linux-Bereich sehe ich die Leute auch immer nur blind dem
> allerneusten hinterherlaufen. Wenn etwas mal nicht klappt, wird oft
> einfach auch nur empfohlen, doch mal den neusten Kernel
> einzuspielen.
Wie gesagt, auch hier kommt es auf die Benutzergruppen an. Das mit der
Hinterherlauferei haben wir wahrscheinlich vor allem SuSE zu
verdanken. Ich glaube nicht, dass diese Kernel-Empfehlung wirklich so
pauschal ausgesprochen wird.
>
> > 2. Wenn man sich bei der Installation von NT fuer das NTFS als Dateisystem
> > entscheidet, wird trotzdem erst ein FAT installiert und dann beim
> > naechsten reboot ein NTFS draus gemacht. Warum? Warum nicht von Anfang an
> > ein NTFS, wenn der admin es sich so wuenscht?
>
> Das ist ein Implemtationsdetail, das ja nun wirklich absolut kein
> nennenswertes Kriterium darstellt. Linux kann bis heute mit dem
> Anwenderkernel keine Datei >2GB bearbeiten. Also ist Linux absoluter
> Schrott?
Es mag vielleicht nicht nennenswert sein, aber es ist ein Zeichen, wie
sich Microsoft um updates kuemmert. Und es ist einfach umstaendlich. Das
mit der 2GB-Grenze mag im Enterprise-Bereich (vielleicht DBs?) von
Bedeutung sein. Fuer den Privat-Anwender oder den "normalen" Anwender ist
es weitgehend bedeutungslos.
> Und Implemtationsdetails von Linux, die bedeutend negativere
> Auswirkungen als obiges haben, gibt es zur Genüge.
Dann zaehl halt ein paar auf ,-)
> Du krallst dich
> hier mit aller Gewalt an wirklich absolut nebensächliche Kleinigkeiten
> (obwohl es eine Menge Dinge bei NT und Win2000 gibt, die bedeutend
> wichtiger und schwerwiegender sind), dass man den Eindruck hat, du
> hast kaum Ahnung von Windows
Ich kralle mich nicht mit aller Gewalt an etwas fest, ich habe lediglich
Dinge aufgezaehlt, die bei WinNT schon sehr lange so sind, OHNE dass sich
etwas nennenswertes dran geaendert hat.
Ahnung von Windows hjabe ich zugegebenermassen nicht, weil es mich nur am
Rande interessiert und mir die Microsoft-Philosophie am Arsch vorbei geht
(s.o).
> (und anscheinend von Linux auch nicht,
> denn sonst wüsstest du, dass man für Linux spielend eine ähnliche
> Liste mit sehr viel schwerwiegenderen Problemen aufstellen könnte).
Dann stell halt die Liste auf.
Nur zur Info: Ich arbeite seit 5 Jahren mit verschiedenen Unix-Derivaten,
habe Linux, FreeBSD, Solaris und AIX administriert. Ich bin seit Juli 98
"IBM Certified AIX Technical Expert" (die IBM-Zertifizierungs-Reihe ist so
was Aehnliches wie das MSCE-Zeugs). Ich will nicht damit angeben, aber
wenn man mir etwas nachsagt, was nicht stimmt, habe ich keine Hemmungen,
was dagegen zu sagen. Ganz so ahnungslos bin ich demzufolge im
Unix-Bereich nicht, auch wenn ich nicht bei der Linux kernel mailing list
subscribed bin. Und im uebrigen bin ich ja auch ehrlich zu mir selber
(s.o.).
>
> Und genau das fällt für mich unter Verehrung/Anbetung eines Systems
> und dem blinden Bashing eines anderen Systems.
Ich habe nicht gesagt, dass ich Unix verehre/anbete. Das ist Schmarrn. Das
hast Du reininterpretiert. Und ich habe Win* auch nicht "blind
gebashed". Ich habe lediglich Dinge erwaehnt, die sich sehr lange nicht
geaendert haben und die mich absolut stoeren.
> > 4. Die aktuelle Virus-Problematik bezueglich Outlook. Warum will man sich
> > bei Microsoft nicht die Muehe machen, und Outlook dahingehend
> > modifizieren, dass man die Ausfuehrung von scripts unterbinden kann? Warum
> > muss man ueberhaupt das attachment einer mail direkt ausfuehren koennen?
>
> Wo ist da jetzt der Unterschied zu Linux/Unix? Alle mir bekannten
> E-Mail Clients im Unix-Bereich unterstützten Attachments und erlauben
> auch den direkten Zugriff und damit bei Bedarf auch die Ausführung von
> Scripts.
Das attachments unterstuetzt werden, ist ja nicht das Problem, sondern die
Art und Weise, wie mit solchen attachments von seiten des mail client
umgegangen wird. Pine z. B. fuehrt kein attachment automatisch aus, ebenso
nicht die anderen mailer unter Unix. Das Problem ist die AUTOMATISCHE
Ausfuehrung von scripts und das macht kein Unix mailer
standardmaessig. Wenn Du ein Gegenbeispiel hast, bin ich gerne bereit,
mich eines Besseren belehren zu lassen.
> Und wenn ich mich richtig erinnere, kann man bei Outlook sehr wohl
> solche Dinge abschalten (zumindest soweit, dass da nichts mehr
> automatisch passiert) und damit geht es höchstens noch um den
> Auslieferungszustand.
Ok, es ist ein Auslieferungsstand. Bloss komisch, dass dann durch
einen Auslieferungsstand Schaeden in Milliarden-Hoehe entstehen,
d.h. offensichtlich alle genau den gleichen Auslieferungstand haben.
Wenn ich mir aber den Rat einiger "Experten" (die, die im Radio und im TV
so vollmundig reden) anhoere, wird eher an "verbesserten" Viren-Scannern
gebastelt, bevor sich am Auslieferungs-Stand was aendert. Ausserdem
stoert mich, dass keiner dieser "Experten" den Mut hatte, die
Sicherheits-Luecke in Outlook selber offen anzusprechen. Das ist ganz
klar die falsche Richtung und sowas finde ich nicht gut, weil dadurch die
Leute im grossen Stil verarscht werden.
> Aber da liegt auch bei z.B. Linux-Distris so
> einiges im argen.
Richtig. Aber das ist distributions-abhaengig.
> Das Problem sind doch vielmehr die Benutzer, die trotz Aufklärung mit
> der Mentalität: "Och, ist ja nicht mein Rechner und ich wollte immer
> schon mal so einen Virus live erleben" an die Sache rangehen und
> jegliche Ermahungen in den Wind schlagen.
Die Benutzer sind oft das hauptsaechliche Problem, da gebe ich Dir recht.
> Andererseits ist es nicht sinnvoll Attachments ganz zu verbieten, da
> viele Firmen genau diesen Weg zur internen Kommunikation und auch zum
> Dokumentenaustausch benutzen und in vielen Fälle ist dies so auch
> durchaus sinnvoll.
Ich habe auch nicht davon gesprochen, attachments zu verbieten. Ich sprach
davon, Outlook in einer Firma zu verbieten, solange sich MS nicht dazu in
der Lage sieht, dieses Programm sicherer zu machen. Wenn man den Benutzern
plausibel macht warum, ist das durchaus eine gute Sache. Wenn aber bei den
Benutzern nicht das Problem-Bewusstsein geschaerft wird, werden immer
wieder Probleme von dieser Groessenordnung entstehen und solange bei den
Benutzern keine Einsicht da ist, dass bestimmte Programme einfach aufgrund
ihrer "features" (die standardmaessig enabled sind und sich zum Teil
auch nicht disablen lassen) zu unsicher sind, so lange sind wir auch nicht
auf dem Weg zur Informations-Gesellschaft. Aber ich will hier nicht gross
rumphilosophieren.
> Und hier stellt sich schon die Frage, wo man die
> Grenze zwischen Funktionalität und Sicherheit zieht, die man
> grundsätzlich immer ziehen muss. Ein sicherer Rechner ist einer ohne
> Strom, am besten noch in seine Einzelteile zerlegt und anschließend
> mit einem Hammer kräftig bearbeitet.
Stimmt ,-)
Gruss,
Holger
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 729
Reply to: