Mailinglist Archive: opensuse-de (6883 mails)

< Previous Next >
Re: Sicherheit von Linux (Re: VIRUS ALERT: BAT.Silly.B.gen)
  • From: "Konrad Neitzel" <neitzel@xxxxxxxxxxxxxxx>
  • Date: Thu, 4 Jul 2002 09:02:25 +0300
  • Message-id: <20020704090225.M43290@xxxxxxxxxxxxxxx>
Ralf Corsepius <corsepiu@xxxxxxxxxxxxxx> schrieb:

Ist die Existenz von Treibern im Kernel für Dich schon ein
Sicherheitsrisiko? Geht es Dir darum das es gewisse Treiber
nur im Binärformat gibt und Du diesen nicht vertraust, da Du
nicht in deren Details sehen kannst? Klar, prinzipiell gäbe es
Möglichkeiten, in Treibern mutwillige Bösartigenkeiten zu
verstecken, ...
Verdammt noch mal! So langsam habe ich die Schnauze voll. Liest hier
denn noch irgend jemand, was ich überhaupt schreibe?

Noch einmal für die aller letzten Leute:

Das Beispiel habe ich gebracht, da dieses sehr schön zeigt, dass die
Prioritäten in der Entwicklung oft andere sind. Hier eine hohe
Performance bei 3D Anwendungen.

Es ist auch eine Frage des Designs. Gewisse Leute fanden es sinnvoll
gewisse 3D-Treiberteile in den Kernel zu implementieren (Was, rein
technisch betrachtet sehr sinnvoll sein kann) ... und?

Ja richtig! Es ist eine Frage des Designs / der Herangehensweise. Und
ich habe auch nichts anderes behauptet, als dass die Sicherheit nicht
oberste Priorität hat!

Mit Deiner Argumentation könnte man genauso gut argumentieren,
dass NFS-Treiber oder IP-Tables nicht in der Kernel gehören -
Unter Linux gab es lange Zeit nur Userspace-NFS, genauso wie
Userspace-Firewalls auf anderen Systemen Gang und Gäbe sind.

Richtig. Genau das kann man! Und genau das wirst Du von mir auch immer
finden! Ich finde den Ansatz der Microkernel-Architektur deutlich
besser als den Ansatz monolithischer kernel. Ja und? Alles hat Vor- und
Nachteile.

Richtig - Security ist nur ein Feature von vielen, aber nicht
das einzig ausschlaggebende Feature. Dein Schwerpunkt scheint
eben Security zu sein ...

Oh toll! Was anderes versuche ich die ganze Zeit nicht zu sagen! Super,
dass es endlich verstanden wurde!

Es gibt Risiken und wenn ich es einsetze, dann muss ich die Risiken
tragen. Ich möchte die Risiken kennen um dann evtl. darauf
reagieren zu
können.
Wirklich? Ich glaube da machst Du Dir was vor.

IMHO kennt niemand, weder Linus T., Alan C. u.Co. noch SuSE,
Redhat oder sonst wer den Kernel hinreichend gut.

Es geht nicht darum, alle Risiken zu kennen. Niemand ist allwissend!
Aber ich möchte die bekannten Risiken kennen. Ich möchte nicht die
Augen verschliessen. DAS ist der Unterschied. Und erst rcht werde ich
nicht hingehen und sagen: "Linux ist ja ach so sicher", wie es hier in
der Art und Weise gekommen ist. So ist doch der Thread erst entstanden!

Alles was Du tun kannst ist Dir ein System nach Deinen Vorstellungen
zusammen zu stellen und es in Testszenarien zu beschiessen. Nichts
anderes tun SuSE, Redhat u.Co, die Kernelentwickler und viele andere
auch. Der Kernel ist dabei nur eine Komponente von vielen,
nicht mehr und nicht weniger.

Wo habe ich behauptet, dass der Kernel mehr wäre als nur eine
Komponente von vielen? Ihr macht mich wirklich Wahnsinnig!

Gehe ich auf andere Komponenten ein, dann haut mir einer vor den
Kopf: "Was ist den Linux?"

Beschränke ich mich dann wegen solchen Schreihälsen etwas auf den
Kernel kriege ich sowas um die Ohren gehauen!

Wisst ihr was: Macht doch was ihr wollt. Ihr seid mir relativ scheiss
egal. Wenn jemand meint, dass Linux das non plus Ultra ist und Linux ja
ach so sicher ist und es fpr sein Linux absolut keine Gefahren gibt,
dann freue ich mich schon jetzt auf seinen dummen Blick, wenn sein
Rechner eben doch einen Wurm abgekriegt hat und er nichts davon
mitbekommen hat. Mir kann eure Ansicht egal sein.

Ich kotzt das mal wieder total an:
- Wer versucht denn hier, meine Argumente zu verstehen? Anscheinend
kaum jemand!
- Wehe ich interpretiere eine Aussage etwas falsch! Oh jee! Dann wird
man ja gleich ach so böse.


Wenn Dir das nicht möglich ist oder unzumutbar erscheint,
musst Du eben "Externen" vertrauen .. diese Externen sind
dann entweder der Distributor o.ä. oder aber Du musst jemanden
damit beauftragen und entsprechend zahlen - Kauf einen SuSE-
email-Server, einen RH-Webserver
o.ä., und Du bist genau in dieser Situation.
Nein - bin ich nicht. Um meine Situation ging es hier auch nie! Ich
werde mich hüten, mein Geld für einen SuSE Server aus dem Fenster zu
schmeissen. Aber was ich wieso nehme ist nicht Bestandteil dieses
Threads. Wenn Du etwas meine eMails lesen würdest und Dich dann
hinsetzt und dich fragst: Was will mit Konrad eigentlich sagen? Was ist
seine Intention für diese eMail gewesen?

Was glaubst Du, was dabei dann raus kommt? Versuch es doch einmal!

Vielleicht bekommst Du dann mit, dass ich zuerst auf eine Aussage
a.la. "Linux ist ja so sicher" reagiert habe. Dazu werde ich dann
Argumente gebracht haben.

Als diese Argumente dann von verschiedenen Leuten falsch gewichtet
wurden, habe ich diese auch noch gewichtet!

Was wurde mir entgegen geworfen? Wo waren Gegenargumente? Oder wo war
eine andere Gewichtung?

Ich kann die Herangehensweise oder das Design eines Projektes
kritisieren. Wenn ich dies tue, dann spielt es keine Rolle, ob die
Probleme, die bekannt sind, zu 90% Konfigurationsprobleme oder Dummheit
der Admins oder sonst was sind. Denn um diese geht es nicht!
(Es könnte mit um diese gehen, wenn ich diese bei der kritik mit
heranziehe. Dies habe ich aber nie gemacht!)

Erwiederungen hätten sein können:

- Das Argument xyz stimmt nicht, weil .....
Etwas in der Art hast Du versucht in Sache Kernel. Aber dieses Beispiel
sollte nur die Prioritäten aufzeigen! Und das tut dieses Beispiel immer
noch!

- Es hätte gesagt werden können: Das Argument xyz ist richtig, aber es
spielt keine Rolle. Ich sehe im Augenblick kein Gebiet, wo dies eine
Rolle spielen könnte.

Oder von mir aus auch etwas variiert:
- Das Argument xyz ist richtig, aber es ist ein Problem, welches Du
generell hast. Es ist also kein Linux sondern ein allgemeines Problem.
Ist auch etwas bei Dir so angeklungen. Aber hier habe ich schon ein
Gegenbeispiel gebracht (OpenBSD räumt der Security eine deutlich höhere
Priorität zu!).

Ich will abschliessend nur noch sagen: Diese Art und Weise der
Diskussion gefällt mir nicht und ich erspare mir und euch in Zukunft
genau solche Diskussionen.

Meine Interessen / Bedürfnisse in Sache Linux liegen in einem anderen
Bereich als der Haupttenor dieser Liste und dem werde ich mich fügen.

Mit den besten Grüßen,

Konrad Neitzel

--
SoftMediaTec GmbH
Tel: 0172 / 689 31 45
Fax: 069 / 90 50 99 53

< Previous Next >