Moin Elmar, Am 2004-05-30 20:23:35, schrieb Elmar W. Tischhauser: >Hallo!
>Sich Zusatzinformationen beschaffen, was im Falle des Privatanwenders
>nicht einmal übermäßig zeitaufwändig ist, da zum Beispiel alle von
>böswilligen (lokalen) Benutzern ausgehenden Probleme schon mal per
>definitionem vom Tisch sind.
;-)
>Wenn also die Eingabe eines seltsamen Passwortes einen Pufferüberlauf im
>setuid-root installierten /usr/bin/passwd provozieren kann, ist das zu
>Hause weitaus weniger kritisch ist als etwa in einem Uni-Rechnerpool.
Gut das ist acceptabel
>Generell dürften die für den sid-Privatanwender relevanten Gefahren sich
>auf folgende Szenarien beschränken (dabei sind nur Angriffe von außen,
>also aus dem WAN, berücksichtigt).
Auf diesewürde ich mich auch beziehen...
>1. Fehler im IP- oder TCP-Stack des Kernels. Das wären generisch
> (da Exploits meist an spezielle Kernelversionen gebunden sein
> dürften).
Das ist das schöne an Linux...
Es gibt ewig vile Kernel-Versionen...
> Abhilfe: Möglichst aktuellen Kernel einsetzen.
Das ist sowieso zu empfehlen...
Schon alleine wegen der neuen Hardware...
>2. Fehler in auf dem öffentlichen Interface angebotenen Diensten (z.B.
> HTTP, SSH). Die kommen immer mal wieder vor und werden gelegentlich
Bei den $USER dürfet sich allmählich auch 'amule' oder 'xmule'
breit machen was die gefahr erheblich erhöht.
> nichts zum Einbruch verwendet werden. Ansonsten bietet es sich an,
> entweder die Security-Advisory-Mailingliste o.ä. des speziellen
> Dienstes zu verfolgen oder regelmäßig auf dessen Homepage
> nachzusehen. In den meisten Fällen dürfte unstable bald die nötigen
Denke das ist sowieso pflicht, nur mit den neuen Linux $USER
haut das nicht hin. Di machen mit Linux das gleiche wie mit
windows
> Updates bereithalten, ansonsten kompiliert man sich die gefixte
> Upstream-Version unter Verwendung des letzten unstable-Sourcepakets
> schnell selbst.
Wieviele wollen keine Pakete selber bauen ? - unendlich viele !
>4. Fehler in Clientprogrammen, welche aus dem Netz stammende Daten
> verarbeiten bzw. mit dem Internet interagieren (z.B. Browser, MUA,
> Bildanzeigeprogramm). Wenn beispielsweise Letzteres beim Anzeigen
> Abhilfe: Wie bei (2). Zusätzlich hilft gesundes Misstrauen gegen
> "nette Attachments" oder dubiose Webseiten erheblich.
spamassassin und f-prot
>6. Würmer/Viren/Trojanische Pferde. Wenn sie sich automatisiert
> installieren können, liegt ein Fall von (1)-(4) vor. Wenn nicht, ist
> man ohnehin selbst schuld.
:-)
> Abhilfe: Mehr als Verwendung des Gehirns in Kombination mit gesundem
> Menschenverstand ist nicht erforderlich.
Wieviele NEU-Linux $USER verfügen über sowas ?
Das sind fast ausschließlich Click-und-Bunti-Typen
>7. Konfigurationsfehler. Gegen solche hilft auch der Einsatz von Woody
> nichts ;-).
>
> Abhilfe: Sachverstand beim Administrieren.
Den haben Linux-Neu $USER garantiert nicht...
>Da man als Privatanwender in der Regel keine Dienste am öffentlichen
>Interface und nur wenige lokal benötigt [auch unter den lokalen sind ja
>nur diejenigen wirklich kritisch, welche aus nicht vertrauenswürdigen
>Quellen stammende Daten verarbeiten], reduziert sich die Menge der
>kritischen Anwendungen, die man auf aktuellem Stand halten sollte,
>erheblich.
Das sehe ich auch so...
Ich habe nur folgende Bednken:
Neue Linux $USER installieren einen SID-Desktop, sprich
Basisinatsllation, x-window-system, KDE|GNOME,
OpenOffice, Mozilla Xmms|MPlayer, Gaim
Das ist meiner Erfahrung nach, das, was so ziehmlich alle benötigen.
Dafür gibt es vollständige Backports für SID->WOODY.
Das sind Pakete die alles andere als unsicher sind...
Nun lass den $USER auf die idee kommen, das man ja nen apache und
weis der Linuxgott was noch alles laufen lassen könnte...
Und schluß ist es mit der sicherheit...
(eigene erfahrung hier in Strasbourg, - feste IP oder ADSL-flat
und dann services über napster, kazza und amule anbieten...)
>Security-Announce-MLs haben zudem meist sehr geringen Traffic. Gibt es
>solche nicht, wäre es zum Beispiel eine Möglichkeit, einfach im Browser
>einen Bookmark-Ordner zu den Sicherheitsseiten oder Homepages der
>entsprechenden Programme anzulegen und etwa einmal wöchentlich kurz alle
>Seiten ('Open in tabs') durchzusehen. Der Aufwand dazu dürfte deutlich
>unter 5 Minuten liegen.
Ist sowieso allen zu empfehlen...
>Es gibt des Weiteren speziell für Debian ein hervorragendes HOWTO, das
>beschreibt, wie man ein System möglichst gut absichert, siehe
>
><http://www.debian.org/doc/manuals/securing-debian-howto/>
Das lesen doch sowieso nur die wenigsten... :-/
>oder das Paket harden-doc.
>
>> Die Antworten hier, bringen mich zur Erkenntnis, dass Sid wohl doch
>> nicht das Non-Plus-Ultra ist.
>
>Was ist schon perfekt? Ein sicherheitsbewusster Anwender (wie Du) ist in
>vielen Szenarien alleine schon enorm hilfreich. Wenn er dann noch über
>ein vernünftiges Maß Admin-Knowhow verfügt und seine installierten
>Pakete regelmäßig auf aktuellem Stand hält sowie dabei speziell auf
>besonders kritische Komponenten (s.o.) ein Auge hat, hätte ich überhaupt
>keine sicherheitstechnischen Bedenken gegen den Einsatz von sid.
Das gillt leider aber nur für eine Minderheit an Linux-Anwendern...
>Die Wahl sid/woody dürfte für die Nettosicherheit eines an öffentliche
>Datennetze angeschlossenen Debian-Rechners wesentlich weniger von
>Bedeutung sein als die Sachkunde des Administrators oder die Mentalität
>der Anwender.
Das problem ist, das in unzähligen Mailinglisten SID als "DAS RELEASE"
hingestellt wird ohne darauf hinzuweisen, das es "development" ist.
Habe jede menge neue $USER die sich SID installiert und nun nichts als
probleme haben. Für die Linux crap...
>Gruß,
>Elmar
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
signature.pgp
Description: Digital signature
