Am 08.11.2014 um 19:03 schrieb Hugo Egon Maurer:
Am 08.11.2014 um 17:28 schrieb Thomas Michalka:
Wenn Du als Mieter vor Deine Haustür gehst, kann Dich ein Dachziegel treffen. Wenn das nicht passiert, hast Du Glück gehabt, weil sich trotz mangelnder Sorgfalt Deines Vermieters trotzdem gerade kein Ziegel gelöst hat. Wenn Du dann an der Gehsteigkante stehst, kann Dich ein Außenspiegel eines Omnibus umnieten, wenn das nicht passiert, kannst Du beim Versuch, die Straße zu überqueren, von einem Auto erfasst und totgefahren werden. Willst Du angesichts dieser Risiken (AKA relative Unsicherheit) Deine Wohnung oder Dein Haus denn nicht mehr verlassen?
Wenn Du von zu Hause weggehst, läßt Du dann die Hauseingangstür offen?
Mir ist jetzt nicht ganz klar was Du meinst, denn was hat meine Haustür mit den Risiken außerhalb des Hauses zu tun (abgesehen vom Risiko des unbefugten Eindringens)? Aber natürlich lasse ich sie nicht offen, denn das wäre fahrlässig. Aber unabhängig von der Haustür bin ich mir der Risiken bewusst, die draußen auf mich warten. Dennoch blicke ich mich nicht ständig ängstlich um, und überlege nicht dauernd, welches Ungemach mir als nächstes drohen könnte. In Analogie zur Hauseingangstür: ich öffne keine Ports in der FW für den Zugriff aus dem Internet, die ich nicht selber unbedingt brauche. Sicher drohen dann mehr Risiken als ganz ohne offene Ports.
Wollen wir also wirklich totale Sicherheit in den Netzen, sogar innerhalb unseres eigenen LAN? Ich jedenfalls nicht, weil mich dann mein LAN und meine Rechnersysteme mehr behindern als mir nützen würden.
In meinem "internen" Netzwerk gibt es "Microsoft" und Linux Rechner. Mit einem Windows Rechner ist die Wahrscheinlichkeit groß, das man sich irgendein digitales Ungeziefer einfängt (in meinem Fall ist die Wahrscheinlichkeit klein, da ich mich nicht in den dunklen Ecken aufhalte, trotzdem die Gefahr ist omnipräsent).
Wie wäre es, wenn Du Deine MS-Rechner von den anderen mittels VLAN abschottest? Vielleicht brauchst Du ja keinen Zugriff von diesen bzw. auf diese aus Deinem übrigen LAN. Die MS-Rechner könnten dann aus ihrem VLAN heraus genauso ins Internet, wie Deine anderen Rechner -- nur untereinander geht dann nix. Wie sicherst Du (bitte keine genauen Angaben, mache hier ja kein Social Engineering) denn Deine anderen Rechner gegen mögliche Zugriffe von den MS-Rechnern aus?
[...]
Vor etlichen Jahren, Mittlere Zeiten von XP. Ich hatte eine XP CD ohne Service Pakete. Hatte XP neu installiert mit Internet, es hatte gar nicht lange gedauert, wahr ich infiziert, ohne das ich überhaupt den Browser gestartet hätte. Hatte damals noch keinen Router.
Die FW auf dem Router hätte wahrscheinlich auch nur Pakete ausgefiltert aber keine Malware, die über Protokolle der Anwendungsebene hereinkommt bzw. Schwächen in des nicht häufig gepatchten OS und der Anwendungen.
Du drehst mein Argument gegen mich um:
War und ist nicht meine Absicht, will bloß den Banditen und manchen Geheimdiensten das Leben schwer wie möglich machen.
Ist ja legitim und vernünftig, aber das hat zunächst eher wenig mit den File-Permissions auf einzelnen Rechnern im LAN zu tun, sondern mehr mit der stufenweisen Absicherung von der Außenseite her (FW, evtl. mit einem Paketfilter innen und einem außen, dazwischen einem Dual Homed Bastion Host in der DMZ, der in beiden Richtungen gar keine Pakete mehr durchleitet, sondern für jedes Anwendungsprotokoll einen Proxy gibt).
Was nützt einem ein nahezu völlig sicherer Rechner, wenn man elementare Dinge, wie das Einbinden von USB-Sticks nicht nutzen kann?
Gerade das meine ich, z.B. wenn man ein Gerät anstöpselt, soll eine Sicherheitsabfrage erscheinen und wenn Geräte angestöpselt werden auch ein Passwortabfrage.
Ich muss es mal überprüfen, aber ich glaube, dass auch bei File-Permissions = "Easy" eine Einbinden eines Sticks nicht geht, wenn gerade der Bildschirm gesperrt ist, bin aber nicht sicher. Falls es nicht geht, hat man auch für ein automatisches Einbinden ja vorher schon das Benutzerpasswort am Lock-Screen eingegeben. Freilich ist es möglich, dass man den Bildschirm entsperrt hat, nochmal kurz weggeht und während der Abwesenheit eine Unbefugter seinen Stick einstöpselt. Aber dann hat halt der menschliche Faktor zugeschlagen :-( Klar man kann für das Einbinden eines externen Dateisystems nochmal das Passwort des Benutzers verlangen, wenn der Bildschirm nicht gesperrt ist. Aber in dem Fall darf der böse Bube inzwischen sowieso schon alles, was Du selber auch darfst -- nur keinen Stick mounten, was ein geringfügiger Nachteil ist, den man vielleicht sogar mit einer eigenen Regel beseitigen kann (kommt wohl auf die Rangfolge bei der Regelabarbeitung an).
Außerdem muss die Distri schon bei der Installation deutlich auf die Möglichkeiten der Sicherheitseinstellungen hinweisen und mehr die Bedeutung der einzelnen Stellschrauben erklären, als das openSUSE aktuell tut.
Hand aufs Herz, Du ließt auch nicht das ganze oder jedes Kleingedruckte?
Es soll ja nicht klein gedruckt sein, sondern riesengroß! Dafür plädiere ich! Obwohl es derzeit bei oS (und auch bei anderen Distris?) nicht so ist, lese ich genauestens die Erklärungen bei den Sicherheitseinstellungen in YaST, aber die erscheinen mir aktuell doch als sehr dürftig, und ich lese noch einiges mehr in der einschlägigen Literatur, u.a. zur Netzwerksicherheit. Besten Gruß Tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org