[Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)

To: debian-user-de@jfl.de
Subject: [Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)
From: Holger Rauch <Holger.Rauch@heitec.de>
Date: Fri, 19 May 2000 10:18:38 +0200 (CEST)
Message-id: <[🔎] Pine.LNX.4.21.0005191018070.32303-100000@miami.datech2.er.heitec.net>
Reply-to: Holger Rauch <Holger.Rauch@heitec.de>
Von mir an die Liste geforwarded, dass sich jeder sein Urteil drueber
bilden kann.

---------- Forwarded message ----------
Date: 12 May 2000 10:44:49 +0200
From: Stefan Nobis <stefan@snobis.de>
To: Holger Rauch <Holger.Rauch@heitec.de>
Subject: Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...)

Holger Rauch <Holger.Rauch@heitec.de> writes:

> wenigstens die Moeglichkeit, ziemlich sofort noch Bekanntwerden eines
> solchen Angriffs entsprechende patches einzuspielen bzw. neue Versionen
> des betroffenen daemon durch den compiler zu hauen. Bei Win* muss ich
> drauf warten, bis Mircrosoft sich bequemt, den naechsten service pack
> rauszubringen und das dauert manchmal ein bisschen.

Das stimmt so auch nicht: Für sicherheitsrelevante Bugs gibt es zum
einen oft bekannte Workarounds und zum anderen gibt es von MS dafür
meist recht schnell Patches.

Sicherlich ist die Situation insgesamt bei Unix und insbesondere bei
OSS wie Linux etwas besser. Aber das Grundproblem bleibt doch: Was
bringt mir der so schnell verfügbare Fix, wenn ihn keiner nutzt? Und
damit bleibe ich bei meinem Standpunkt: Bei der derzeitigen Mentalität
(und Qualifikation?) im EDV-Bereich, ist das BS ziemlich nebensächlich
und man bekommt mit dem Wechsel des BS eben keine gestiegene
Sicherheit. Ebenso wie man NT im wesentlichen genauso sicher bekommen
kann wie ein Unix-System -- es bedarf nur etwas mehr Aufwand.

> recht. Es ist halt die Frage, ob Firmen eigene Admins haben oder jemand
> hinsetzen, der vielleicht schon Ahnung von der Sache hat, aber vielleicht
> noch an vielen anderen Projekten mitarbeiten muss.

Nein, das ist nicht das Problem. Das Problem ist: "Wie? Sie wollen
Zeit und Geld in die Rechner investieren? Was muss da denn gemacht
werden, wofür ist denn der teure Virenscanner nötig? Muss das wirklich
sein? Es läuft doch alles!"

> sein. Aber ein Grund-Problem bei Win* ist, dass man zunaechst einmal mit
> dem vorlieb nehmen muss, was einem in verschiedenen Bildschirm-Masken
> angeboten wird. Wenn das ausreicht, gut. Wenn nicht, Pech gehabt. Welche

Ach komm, was ist das denn für ein Argument? Bei Unix muss ich mit dem
vorlieb nehmen, was in den verschiedenen Konfig-Dateien so an
Einstellungen angeboten wird. Bildschirmmasken sind doch nun wirklich
nicht das Problem. Und auch unter Unix habe ich schon gelegentlich
geflucht, warum dies oder jenes nun nicht vernünftig beeinflussbar
sondern hardcoded war. Und nicht jedem ist auch nur die Zeit gegeben,
mal eben die Quelltexte zu analysieren und anzupassen, mal abgesehen
davon, dass es auch unter Unix Software gibt, für die der Quelltext
nicht erhältlich ist.

Man könnte einzig einwenden, dass MS bei Windows stärker versucht,
Interna und Einstellungsmöglichkeiten zu verstecken, was in der Tendez
sicher unbestreitbar ist. Deshalb kann WinNT/2000 im Detail an einigen
Stellen aber dennoch besser konfigurierbar sein (z.B. ACLs).

> zweite wesentliche Punkt ist, was mir das BS an Moeglichkeiten der
> Absicherung bietet. Und hier habe ich bei Unix einfach mehr
> Moeglichkeiten.

Das bringt aber nichts, wenn diese Möglichkeiten nicht genutzt werden!
Und ausserdem kann ich dem so nicht ganz zustimmen. Wenn man NT
wirklich gut beherrscht, dann kann man es ziemlich genauso gut
absichern wie ein Unix-System -- nur evtl. mit mehr Aufwand.

Ich will hier ja kein Hohelied auf NT singen, ganz im Gegenteil. Ich
will nur deutlich machen, dass die Nutzung dieses oder jenes Systems
nicht automatisch mehr oder weniger Sicherheit bedeutet, sondern dass
die Sicherheit eines Systems/Netzes schlicht mit der Qualifikation und
dem Arbeitsaufwand des/der zuständigen Admins steht und fällt. Sprich:
Schlechter Admin, tolles Unix, aber trotzdem unsicheres System und
toller Admin, schlechtes NT, aber trotzdem sicheres System (wobei
"sicher" natürlich schrecklich relativ ist :)).

> administrieren sein, aber mit config files ist man einfach flexibler als
> ueber irgendwelche Dialoge. Es wird nicht gelingen, all das, was man mit

Das ist so pauschal schlicht und ergreifend falsch!

Ob ich etwas per Mausklick in einem Dialog an- oder ausstellt oder ob
ich dies in einer ASCII-Datei erledige ist schlicht
scheißegal. Dialogorientierte Konfiguration ist per se absolut nicht
schlechter oder besser. Das einzige, was man NT anlasten könnte, wäre
die Tatsache, dass es versucht viele Dinge vor dem Benutzer zu
verstecken. Aber das ist ein völlig anderes Problem und wäre mit
Textdateien auch völlig problemlos umsetzbar.

Wenn du schon Kritik anbringen möchtest, dann bitte an den richtigen
Stellen und nicht einfach wahllos Dinge aus den Fingern saugen, die
nicht mal einem ersten prüfenden Blick standhalten.

> Editoren in config files bewerkstelligen kann (und ich rede hier mal von
> gueltigen Eintraegen) in Dialoge zu packen, da das zu Lasten der
> inituitiven Bedienung geht.

Auch das ist so allgemein schlicht falsch. Mal abgesehen davon, dass
das, was du so im Editor machst, letztlich direkt oder indirekt auch
Dialoge sind. Damit führst du deine eigene Aussage ja ad absurdum.

> Wirklich? Dann schau Dir mal den Inhalt/Organisation der init scripts
> an. Es ist schon so, dass ein gewisser Kern zur Standard-Ausstattung einer
> Linux-Distribution gehoert. Nur sind die Distributionen wenn es um
> administrative Angelegenheiten geht, sehr verschieden. So erlaubt zum
> Beispiel Mandrake das Einstellen von verschiedenen Sicherheitsstufen.

Das ist doch Augenwischerei! Praktisch alle Distris benutzen SysV-Init
und damit ist es eine Frage von 2-3 Versuchen herauszufinden, wo genau
die Scripte liegen - für einen Angreifer absolut kein Problem, diese
nebensächlichen Details. Und Mandrakes Einstellungen sind doch nur auf
das System aufgepropft, d.h. da habe ich einen Dialog, in dem ich was
einstelle und daraus werden dann Einträge in den ganz normalen
Konfig-Dateien erzeugt und nur damit arbeiten letztlich die ganzen
Programme.

Wenn man mal von Installationsroutinen und der Optik sowie
Konfig-Aufsätzen, die letztlich mehr oder weniger direkt die
eigentlichen, ganz normalen Konfig-Dateien erzeugen, absieht, kann man
die Unterschiede der Distris schon fast an einer Hand abzählen. Und
diese Unterschiede werden auch bald noch verschwinden im Rahmen der
Bemühungen um Linux Standard Base (LSB).

> bekomme ich bei einer Distribution wenigstens was bootfaehiges und muss
> nicht der Reihe nach 6 oder 7 oder was weiss ich wieviele service packs
> einspielen, bis ich ein System habe, das einigermassen up to date ist.

Hast du eigentlich schon mal mit NT gearbeitet? Ich muss nämlich nur
das letzte ServicePak einspielen.

> > > 2. Wenn man sich bei der Installation von NT fuer das NTFS als Dateisystem
> > > entscheidet, wird trotzdem erst ein FAT installiert und dann beim
> > > naechsten reboot ein NTFS draus gemacht. Warum? Warum nicht von Anfang an
> > > ein NTFS, wenn der admin es sich so wuenscht?
> > 
> > Das ist ein Implemtationsdetail, das ja nun wirklich absolut kein
> > nennenswertes Kriterium darstellt. Linux kann bis heute mit dem
> > Anwenderkernel keine Datei >2GB bearbeiten. Also ist Linux absoluter
> > Schrott?
> 
> Es mag vielleicht nicht nennenswert sein, aber es ist ein Zeichen, wie
> sich Microsoft um updates kuemmert. Und es ist einfach umstaendlich. Das
> mit der 2GB-Grenze mag im Enterprise-Bereich (vielleicht DBs?) von
> Bedeutung sein. Fuer den Privat-Anwender oder den "normalen" Anwender ist
> es weitgehend bedeutungslos.

Verstehe: Wirklich problematische Grenzen unter Linux (sowohl für
Enterprise als auch privat, z.B. Video-Bearbeitung) sind ja nicht so
schlimm, aber absolute Nebensächlichkeiten unter NT, von denen man
normalerweise nicht mal etwas mitbekommt und die abolut keinerlei
negative Auswirkungen haben, sind eine Katastrophe und nur deshalb
schon sollte man NT ächten?

Wenn du auf dem Niveau diskutieren willst, such dir jemand anderen,
aber auf dieses Kindergartenniveau habe ich wirklich keinen
Bock. Dafür ist mir meine Zeit zu schade.

> > Und Implemtationsdetails von Linux, die bedeutend negativere
> > Auswirkungen als obiges haben, gibt es zur Genüge. 
> 
> Dann zaehl halt ein paar auf ,-)

Von 2.0 über 2.2 bis 2.4 wurde jedesmal der Firwall- und
Forwarding-Code komplett über den Haufen geschmissen. Bei MS hätte man
im selben Fall öffentliche Verbrennung gefordert.

Es gibt etliche Stellen, die mehr Hack als ordentliche Lösung
darstellen. Das ist an sich ja auch kein Problem, in der Praxis kann
man mit sowas leben.

Unverschämt finde ich es nur, wenn man bei Linux sowas als cool
bezeichnet oder es schlicht unter den Tisch fallen lässt und im selben
Atemzug wesentlich nebensächlichere Probleme von NT derselben Art als
absolute Katastrophe hinstellt.

Das hat nichts mit Sachlichkeit, sondern viel mehr mit Verbohrtheit zu
tun.

-- 
Until the next mail...,
Stefan.


------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     729
Reply to:
Prev by Date: [Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)
Next by Date: Re: [Debian]:framebuffer und ATI Karte!
Previous by thread: [Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)
Next by thread: [Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)
Index(es):
- Date
- Thread