Hallo!
Sascha Andres
Konrad Neitzel (neitzel@softmediatec.de) schrieb am 01.07.2002
a) Wie wäre es mit fehlenden Features? IPTables und so hat Linux ja recht spät bekommen. Netzwerkmässig war Linux einige Zeit mit das Letzte und das, wo es andere Betriebssysteme wie *BSD gut vorgemacht
Lange Zeit, aber nun nicht mehr. Die Implementation des IP Stacks von Linux ist AFAIK zu recht häufig als eine der besten bezeichnet worden, und IPTables habe ich jetzt schon häufiger ohne größere Patzer im Einsatz. Das es da dann und wann mal ein Sicherheitsupdate gibt -ok, aber auch der Firewall One wurde der Zahn gezogen.
Ja richtig. Es war nur ein Beispiel. Dass es nicht mehr so ist, war mir durchaus klar. Daher auch das "war ... einige Zeite"
(Gibt es in dieser Liste überhaupt irgendwen, der seine Linux Binaries regelmässig oder hin und wieder mal checkt? Es gibt einen neuen Wurm für Apache, der laut Heise Newsticker auf FreeBSD 4.5 zielt. Wie und wann entdeckt ihr sowas? Oder alles egal?)
Volltreffer. Wohl kaum jemand wird das von sich behaupten können - ausser es handelt sich um einen Server. Da kann dann schon mal Tripwire oÄ laufen. Aber das ist kein Argument für oder wider Linux, das betrifft auch *BSD. Während meiner (zugegebener massen nicht allzu langen) Gehversuche mit BSD hab ich das dort auch nicht gemacht. Und auch dort möchte ich keine Erhebung wer da alles was laufen hat (oder auch nicht laufen hat) ...
Nunja - gibt es da eine ordentliche Lösung für Linux? Für *BSD kenne ich trojanproof.org! Unter Windows kenne ich Virenscanner, die dieses machen. In meinen Augen ist die Überwachung, ob es Änderungen gegeben hat, ein wichter Bestandteil der Security. Und natürlich lässt sich dieses auch von Hand basteln. Niemand hindert mich ja daran, von wichtigen Binaries regelmässig eine checksumme zu bilden oder so! (Wobei trojanproof noch deutlich weiter geht und dies beim Öffnen überprüft!)
b) Wie wäre es mit den Prioritäten in der Entwicklung? - Was bezeichne ich als "stable"? (Wann war denn der 2.4er stable?) - Der Sourcecode ist zwar offen, aber wo wurde für Linux jemals ein richtiges Auditing gemacht? - Was packe ich wie rein in den Kernel? (features vs. security) - Wer entscheidet was wann wie? Ich glaube nicht an die Unfehlbarkeit vom papst und auch nicht an die Unfehlbarkeit von Linus oder sonstwem. Bei uns in der Firma wird dies oft als "4 Augen Prinzip" bezeichnet!)
Letzlich doch ein Argument: All das was Du beschreibst, kann man - denke ich - unter mangelndem Projektmanagement zusammenfassen. Aus reinem Interesse: Wie sieht dieses unter den von Dir genannten Aspekten bei den freien BSD Varianten aus?
Erst einmal gibt es ein Core-Team. Dieses verwaltet als Gruppe den Kern und dieses Team gibt dann auch neue Versionen und so raus. Generell gibt es bei *BSD aus meiner Sicht eine stärkere Sicht auf die Security. Linux hat mehr den Anspruch, dass alles laufen muss. Da kommt ein Treiber recht schnell in den Kernel (Ja - er ist dann als "unstable" markiert ... ja und?) und so. Mir gefällt es, wenn es um Sicherheit geht, nach *BSD Weise besser. Aber für zuhause auf meinem Desktop nehme ich auch lieber Linux :) Und was das Auditing angeht: OpenBSD hat ein eigenes Security Auditing Team: http://www.openbsd.org/security.html
Ich sage nicht, dass Linux schlecht ist. Linux ist bestimmt für vieles gut zu gebrauchen. Ich denke z.B., dass Linux auf Desktops noch grösser rauskommen wird und die einzige ernsthafte Konkurenz für Microsoft ist.
Das sehe ich nicht ganz so. Der Desktop Markt wird nun einmal von Red,omd aus dominiert. Allein wenn ich an die Hilfeschreie denke, wenn mal wieder ein Word2002 Dokument auf einer Linux Kiste landet. Ja Open Office & co sind besser geworden. Kein Zweifel, aber Standard ist im Office Bereich eben das kommerzielle Produkt.
Nunja - noch ist es nicht so weit. Aber ich sehe die Entwicklung und die geht in die Richtige Richtung. Und die Entwicklung ist nicht gerade langsam!
Und persönlich glaube ich, dass sich eher Apple mit MacOSX dort nochmal zur Konkurrenz mausert als Linux - wenn man den Desktop Bereich betrachtet. MacOSX wird 1) auch aus Redmond Supportet 2) IMHO mit einer der besten Oberflächen geliefert die es derzeit gibt.
Naja - ich selbst vertraue Apple auch! Ich bin mir so ganz sicher, dass sie es - wie immer in Ihrer recht langen Geschichte - mit aller Geschicklichkeit immer schaffen werden, ja nicht zu grosse Marktanteile zu kriegen!
zu oft. Ich freue mich schon jetzt auf eine weitere Verbreitung von Linux! Wenn die Verbreitung etwas grösser ist, dann lohnen sich auch einige Attacken viel mehr. Und ich bin sicher, dass da viele "pseudo Admins" ganz schön Probleme kriegen werden!
Leigt das an Linux oder den "pseudo Admins"?
Beides. Das ist in meinen Augen ganz klar! Natürlich kann man Linux nicht dafür verantwortlich machen, dass es da dann Leute gibt, die "einfach zu blöd dafür sind." Aber die Entwickler und Supporter sollten sich doch etwas überlegen, was sie wollen und was sie nicht wollen. Und bei Linux ist es halt so, dass sofort alles unterstützt sein soll. Egal wie es läuft: Hauptsache es läuft! Dies ist kein Vorgehen, welches ich teile! Ich muss nur an die 3D Treiber unterstützung denken. Hauptsache, es läuft schnell und die Karte wird ausgereizt! Dass dies dann am kernel vorbei geht und das ganze System zum Absturz bringen kann u.s.w., das ist dann egal. Hier spiegelt sich deutlich mehr wieder! Ich selbst neige z.B. auch zu Microkernel-Architekturen. Wenn Treiber auch nur als normale Prozesse laufen, dann gefällt mir dies schon besser.
ein MUSS! Also hätte ich gerne bei sicherheitsrelevanten Dingen entsprechende Updates. Und ich will dann kein Update auf sonstwas sondern nur diesen einen Security-Bug will ich raus haben!
*nicht ganz ernst gemeint* Lies die Kernel Mailingliste und patch Dir Deinen Kernel. Du entfernst Dich zwar von der Entwicklungsrichtung aber Du hast was Du wolltest. *nicht ganz ernst gemeint*
Der Aufwand wäre doch immer noch der gleiche oder sogar höher: Patchen (oder eben Release entpacken), Konfigurieren, übersetzen und installieren. Was wäre gewonnen, ausser ein paar mögliche Features, welche beim Konfigurieren ausgeschaltet werden können?
Der Unterschied ist, dass Du bei einem Security Patch sonst nichts gross veränderst! Sobald Du neue Features hast, musst Du diese neu checken: Läuft wirklich alles? Gibt es jetzt Möglichkeiten, die evtl. die Security unterlaufen könnten? .......
Wobei dies weniger ein Problem von Linux oder Open Source ist sondern mehr von der Gesellschaft und der Herangehensweise! SuSE Linux gibt es ja "kostenlos" (via ftp). Warum sollte ich also z.B. einen kommerziellen Server von SuSE kaufen? So ein eMail-Server kostet ja viel viel Geld. Aber hier geht es dann auch etwas in diese Richtung. Die Anzahl der Produkte ist stark reduziert und es gibt länger Support und so ... Aber dennoch ist es recht hart, wenn ich mir ansehe, wie oft ich hier Updates einspielen darf.
Teilweises ACK. Da diese Server auf dem selben lükenbehafteten Linux aufsetzen hat die Reduzierung der Pakete nur zur Folge, das die Übersicht bestehen bleibt. Daher ist der Support dann ausgedehnter. Und gebau deswegen würde man einen kommerziellen Server kaufen: Support.
Wobei ich zugeben muss, noch keinen solchen gekauft zu haben.
Was ich damit jetzt eigentlich zum Ausdruck bringen wollte, ist dass das laufende System IMHO das kleinere Sicherheitsrisiko darstellt (diese vielleicht durch Bugs erhöht), das größte Risiko jedoch vor der Kiste sitzt, und sich um die Sicherheit wenig Gedanken macht. Das ist denke ich so der Normalfall.
Jo - da gebe ich Dir auch voll recht! Ist auch mit ein Grund, warum ich dies so überhaupt so losgetreten habe! Ich sehe immer wieder Leute, die sich auf der sicheren Seite wägen, nur weil sie Linux einsetzen! Da ist zwar alles enabled (Telnet, rsh, pop3, ...), aber da Linux verwendet ist, kann ja nichts passieren. Und dies kann so nicht richtig sein! Linux bietet vieles, aber es ist kein Allheilmittel! (Ich kriege Windows stabil und sicher hin ebenso wie ich Linux stabil und sicher hin kriege! Aber für mich sind beides keine ernsthaften Lösungen, wenn es um Server geht, die wirklich laufen müssen!) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53