[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: welches Modem fuer (T-)DSL



Hallo Hendrik,

At 05.02.2002, Hendrik Naumann wrote:
> Auch mal meine Sicht ....
[...]
> > Wie schnell ist ein wwwoffle oder ein Squid installiert, ueber das
> > jeder surfen kann? Wie schnell hat man ein offenes Sendmailrelay
> > unter SuSE laufen etc?
> Ich glaube wir müssen hier unterscheiden, wie der Rechner ans 
> Internet angeschlossen ist. Wenn der Rechner über längere Zeit die 
> selbe IP hat, dann kann man (wie du schön beschreibst) mit einer 
> Standart Linux (auch Debian) Installation viel mehr falsch machen als 
> mit Windows. Weil einfach viele Dienste "viel zu leicht" zur 
> Verfügung stehen. Hier zieht dein Argument das ich auch schon in 
> einigen Mail der letzten Tage von dir gelesen habe (ich hoffe ich 
> gebe es jetzt richtig wieder): "Da sollte bei der Installation lieber 
> ein Profi rann."
> 
> Anders wird es, wenn die IP Nummer und damit die Identität des 
> Rechners mit jedem Dialin wechselt. Ich habe zu mindestens noch nicht 
> häufig von (durchaus möglichen) Szenarien gehört, bei denen solche 
> Rechner missbraucht wurden.

Das beschriebene Szenario war ein DialUp Account, der nicht 24h/Tag
online war. Ist deine Frage damit beantwortet?

Leute: wechselnde IP Adressen sind kein Security Feature!

> Warum ist meiner Meinung hier aber der Linuxdesktop besser?
> 
> 1. Die meisten Programme die man jemandem auf so einen Rechner 
> instalieren kann, sind unter Beachtung höheren Sicherheitsstandart 
> programmiert und werden es auch weiterhin, weil sie nicht um jeden 
> Preis verkauft werden müssen.[2] Ausserdem vertraue ich auch noch 
> meinem Distributor dass er an die Einstellungen so vornimmt, das sie 
> unbedenklich sind. 

Was ist denn "unbedenklich"? Das kommt wohl auf den Einsatz an. Und
schnell hat der User sich auch einen ntpd installiert (weil das ja so
schick ist), macht kein Update (weil das ja so kompliziert ist) und
seine Kiste ist kompromittiert.

Ist auch diese Frage damit beantwortet?

> 2. Auch wenn ich unter Windows verschiedene Programme mit höherer 
> Vertrauenswürdigkeit (nach)installiere, kann ich nur mit grossen 
> Schwierigkeiten (softwareseitig, oder psychologisch in dem ich ANGST 
> einflöse) die User daran hindern, dann doch den Explorer zu 
> verwenden, weil er einfach ganz aggressiv immer wieder aufpopt. Ganz 
> zu schweigen, davon was passiert wenn sich jemand ein Linux oder ein 
> Windows kauft. Im Fall von Linux benutzt er/sie vielleicht KMail, 
> Evolution, oder Netscape mit abgestellten JavaScript und im Fall von 
> Windows ist Outlook und IE am Drücker. Du wirst nicht ersthaft 
> behaupten wollen, dass er in diesem Fall mit Windows sicherer ist. 

Bei Linux reicht es schon, den VI nicht richtig konfiguriert zu haben
(leider bei Debian immer noch Default) und der arme User oeffnet eine
Textdatei mit dem vi und das wars dann auch schon.

Ist auch diese Frage damit beantwortet?

> Beide Punkte habe allerdings nichts mit der leidlichen 
> Firewalldiskussion zu tun. Da möchte ich mich wieder mehr auf die 
> Seite von Guido stellen. Eine Firewall ist nach meinem Verständnis 
> auf einem Userdesktop mit Einwahlnetzzugang äusserst überflüssig. 
> Viel wichtiger ist AKTUALITÄT. Wenn ich Potato benutze und täglich 
> mit security.debian.org synchronisiere, rauschen fast 100% aller 
> Gelegenheitscracker an mir vorbei, selbst bei fester IP Anbindung. 
> Dies ist meine Erfahrung nach 3 Jahren [1] mit mehreren Linuxrechnern 
> auf denen beängstigend viele Protokolle laufen und die durch keine 
> Firewall geschützt sind. Das ist zugegebener Maßen nichts für ein 
> Firmennetz mit sensiblen Daten.

Ack.

Was mir sehr wichtig ist, ist die Feststellung, dass man sich mit Linux
schneller in den eigenen Fuss schiessen kann, als eine Gewehrkugel
fliegt.

Gruss, Guido
-- 
[Es geht doch nichts ueber deutsche Uebersetzungen]
hurd:/# updatedb
hurd:/# /servers/socket/2: Der Übersetzer ist gestorben
Message-ID: <86d7f2d2xe.fsf@woodstock.huemmer.net>

Attachment: pgpZQnooj7THP.pgp
Description: PGP signature


Reply to: