[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Das Problem mit SID



Moin Elmar, 

Am 2004-05-30 20:23:35, schrieb Elmar W. Tischhauser:
>Hallo!

>Sich Zusatzinformationen beschaffen, was im Falle des Privatanwenders
>nicht einmal übermäßig zeitaufwändig ist, da zum Beispiel alle von
>böswilligen (lokalen) Benutzern ausgehenden Probleme schon mal per
>definitionem vom Tisch sind. 

;-)

>Wenn also die Eingabe eines seltsamen Passwortes einen Pufferüberlauf im
>setuid-root installierten /usr/bin/passwd provozieren kann, ist das zu
>Hause weitaus weniger kritisch ist als etwa in einem Uni-Rechnerpool.

Gut das ist acceptabel

>Generell dürften die für den sid-Privatanwender relevanten Gefahren sich
>auf folgende Szenarien beschränken (dabei sind nur Angriffe von außen,
>also aus dem WAN, berücksichtigt).

Auf diesewürde ich mich auch beziehen...

>1. Fehler im IP- oder TCP-Stack des Kernels. Das wären generisch

>   (da Exploits meist an spezielle Kernelversionen gebunden sein
>   dürften).

    Das ist das schöne an Linux...
    Es gibt ewig vile Kernel-Versionen...

>   Abhilfe: Möglichst aktuellen Kernel einsetzen.

    Das ist sowieso zu empfehlen...
    Schon alleine wegen der neuen Hardware...

>2. Fehler in auf dem öffentlichen Interface angebotenen Diensten (z.B.
>   HTTP, SSH). Die kommen immer mal wieder vor und werden gelegentlich

    Bei den $USER dürfet sich allmählich auch 'amule' oder 'xmule' 
    breit machen was die gefahr erheblich erhöht.
    
>   nichts zum Einbruch verwendet werden. Ansonsten bietet es sich an,
>   entweder die Security-Advisory-Mailingliste o.ä. des speziellen
>   Dienstes zu verfolgen oder regelmäßig auf dessen Homepage
>   nachzusehen. In den meisten Fällen dürfte unstable bald die nötigen

    Denke das ist sowieso pflicht, nur mit den neuen Linux $USER 
    haut das nicht hin. Di machen mit Linux das gleiche wie mit 
    windows

>   Updates bereithalten, ansonsten kompiliert man sich die gefixte
>   Upstream-Version unter Verwendung des letzten unstable-Sourcepakets
>   schnell selbst.

    Wieviele wollen keine Pakete selber bauen ? - unendlich viele !

>4. Fehler in Clientprogrammen, welche aus dem Netz stammende Daten
>   verarbeiten bzw. mit dem Internet interagieren (z.B. Browser, MUA,
>   Bildanzeigeprogramm). Wenn beispielsweise Letzteres beim Anzeigen

>   Abhilfe: Wie bei (2). Zusätzlich hilft gesundes Misstrauen gegen
>   "nette Attachments" oder dubiose Webseiten erheblich.

    spamassassin und f-prot
    
>6. Würmer/Viren/Trojanische Pferde. Wenn sie sich automatisiert
>   installieren können, liegt ein Fall von (1)-(4) vor. Wenn nicht, ist
>   man ohnehin selbst schuld.

    :-)

>   Abhilfe: Mehr als Verwendung des Gehirns in Kombination mit gesundem
>   Menschenverstand ist nicht erforderlich.

    Wieviele NEU-Linux $USER verfügen über sowas ?
    Das sind fast ausschließlich Click-und-Bunti-Typen

>7. Konfigurationsfehler. Gegen solche hilft auch der Einsatz von Woody
>   nichts ;-).
>
>   Abhilfe: Sachverstand beim Administrieren.

    Den haben Linux-Neu $USER garantiert nicht...

>Da man als Privatanwender in der Regel keine Dienste am öffentlichen
>Interface und nur wenige lokal benötigt [auch unter den lokalen sind ja
>nur diejenigen wirklich kritisch, welche aus nicht vertrauenswürdigen
>Quellen stammende Daten verarbeiten], reduziert sich die Menge der
>kritischen Anwendungen, die man auf aktuellem Stand halten sollte,
>erheblich.

Das sehe ich auch so...

Ich habe nur folgende Bednken:

Neue Linux $USER installieren einen SID-Desktop, sprich 

Basisinatsllation, x-window-system, KDE|GNOME, 
OpenOffice, Mozilla Xmms|MPlayer, Gaim

Das ist meiner Erfahrung nach, das, was so ziehmlich alle benötigen. 
Dafür gibt es vollständige Backports für SID->WOODY. 

Das sind Pakete die alles andere als unsicher sind... 

Nun lass den $USER auf die idee kommen, das man ja nen apache und 
weis der Linuxgott was noch alles laufen lassen könnte...

Und schluß ist es mit der sicherheit...
(eigene erfahrung hier in Strasbourg, - feste IP oder ADSL-flat 
und dann services über napster, kazza und amule anbieten...)

>Security-Announce-MLs haben zudem meist sehr geringen Traffic. Gibt es
>solche nicht, wäre es zum Beispiel eine Möglichkeit, einfach im Browser
>einen Bookmark-Ordner zu den Sicherheitsseiten oder Homepages der
>entsprechenden Programme anzulegen und etwa einmal wöchentlich kurz alle
>Seiten ('Open in tabs') durchzusehen. Der Aufwand dazu dürfte deutlich
>unter 5 Minuten liegen.

Ist sowieso allen zu empfehlen...

>Es gibt des Weiteren speziell für Debian ein hervorragendes HOWTO, das
>beschreibt, wie man ein System möglichst gut absichert, siehe
>
><http://www.debian.org/doc/manuals/securing-debian-howto/>

Das lesen doch sowieso nur die wenigsten... :-/

>oder das Paket harden-doc.
>
>> Die Antworten hier, bringen mich zur Erkenntnis, dass Sid wohl doch
>> nicht das Non-Plus-Ultra ist.
>
>Was ist schon perfekt? Ein sicherheitsbewusster Anwender (wie Du) ist in
>vielen Szenarien alleine schon enorm hilfreich. Wenn er dann noch über
>ein vernünftiges Maß Admin-Knowhow verfügt und seine installierten
>Pakete regelmäßig auf aktuellem Stand hält sowie dabei speziell auf
>besonders kritische Komponenten (s.o.) ein Auge hat, hätte ich überhaupt
>keine sicherheitstechnischen Bedenken gegen den Einsatz von sid.

Das gillt leider aber nur für eine Minderheit an Linux-Anwendern...

>Die Wahl sid/woody dürfte für die Nettosicherheit eines an öffentliche
>Datennetze angeschlossenen Debian-Rechners wesentlich weniger von
>Bedeutung sein als die Sachkunde des Administrators oder die Mentalität
>der Anwender.

Das problem ist, das in unzähligen Mailinglisten SID als "DAS RELEASE" 
hingestellt wird ohne darauf hinzuweisen, das es "development" ist. 

Habe jede menge neue $USER die sich SID installiert und nun nichts als 
probleme haben. Für die Linux crap...

>Gruß,
>Elmar

Greetings
Michelle

-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/ 
Michelle Konzack   Apt. 917                  ICQ #328449886
                   50, rue de Soultz         MSM LinuxMichi
0033/3/88452356    67100 Strasbourg/France   IRC #Debian (irc.icq.com)

Attachment: signature.pgp
Description: Digital signature


Reply to: