On Wed, 20 May 2015 11:05:18 +0200
"Dr. Werner Fink"
On Wed, May 20, 2015 at 10:28:37AM +0200, Stephan von Krawczynski wrote:
On Wed, 20 May 2015 08:56:06 +0200 "Dr. Werner Fink"
wrote: On Tue, May 19, 2015 at 07:43:46PM +0200, Stephan von Krawczynski wrote:
Es geht wirklich nicht darum was ich tun koennte, es geht darum dass jemand der mehr Gewicht in solchen Diskussionen haben sollte (und dafuer bezahlt wird) Einfluss darauf nimmt dass keine Features die viele Leute benutzen _ausgebaut_ werden, weil heutige Maintainer zu jung sind und vergessen haben wofuer sie mal waren, selbst keine Server warten und genau deshalb keinen Bezug mehr zur Anwendungs-Realitaet des gewarteten Codes haben. Es geht also nicht darum _etwas_ zu tun, sondern zu verhindern, dass jemand etwas kaputtschrumpft. _Nichts tun_ ist das was ich verlange, und das sollte nicht ganz so schwer sein wie _hinterher_ ein bereits zerstoertes Projekt zu forken.
Wer wird hier für was bezahlt? Und wie jung Cristian ist, aber hier rummeckern ist IMHO schlechter Stil. Zumindest ein Bugreport und/oder ein Submitrequest wäre nett gewesen.
Irgendwie war meine Annahme dass Leute die fuer SuSE arbeiten auch von der Firma bezahlt werden. Und Da SuSE nichts anderes macht als eine Linux-Distribution und zusaetzliche Services verkaufen koennte man schon meinen dass das irgendwie zusammenhaengt...? Immer wenn jemand vom Stil einer Diskussion zu reden beginnt sind die Argumente ausgegangen.
Hmmm ... also openSUSE ist keine SLES und die Zeiten wo SUSE direkt CD oder DVD verkauft konnte und davon alles finanziert hatte, sind lange vorbei. Inzwischen macht das ein selbstständiger Fachbuchverlag und von jeder verkauften Version bekommt das openSUSE Projekt eine Spende. Und langsam habe ich keine Lust mehr auf Deine Diskussion.
Der tcpwrapper ist etwas out of date, Du darfst gerne mal den Autor Wietse Venema fragen. Mit einer Firewall wie der SuSEfirewall2 kann man TCP and UDP Ports und ICMP direkt für bestimmte Adressen und/oder Adressbereiche sperren, ohne das im Userspace dafür Programme gestartet werden. Immerhin bietet letzteres ein perfektes Ziel für eine DOS-Attacke. Auch logging ist mit einer Firewall problemlos möglich.
Auch die Autoren von Songs koennen den Sinn in ihren Werken manchmal nicht gut ergruenden. Der Autor ist kein Massstab. Man muss das Werk abstrakt betrachten. Eine Firewall ist in der Risikobetrachtung eine nachrangige Funktion im Hinblick auf aktive Services. Wenn diese (Services) selbst immanent keinerlei Schutzmechanismen mehr enthalten die exakt abbilden koennen was libwrap tut (immer noch kein entsprechendes Match-Konstrukt gesehen) hat sich die Sicherheitssituation eindeutig verschlechtert. Du verkaufst es hier als Feature dass eine Firewall keine Userspace Prozesse starten kann, aber die Realitaet ist dass es Anwendungen gab und gibt (wie wir gesehen haben) die das bei libwrap nutzen. Es spielt dabei keine Rolle ob das Ziel einer DoS-Attacke sein kann, denn es muss keines sein - je nach Einsatzfall. Damit entscheidet der Benutzer wie er das einsetzt. Jetzt kann er gar nichts mehr einsetzen weil die Funktion weg ist. Irgendwie habt ihr zugelassen dass aus dem Auto der Blinker ausgebaut wird weil der Konstrukteur der Meinung war man koennte auch mit der Hand winken. Ihr seid einen Riesenschritt zurueck in der Entwicklung gegangen und unfaehig/unwillig das zu verstehen. Euch ist ganz offensichtlich auch nicht klar dass Sicherheitsfeatures umso besser und sinnvoller sind je einfacher sie zu verstehen sind. Ich behaupte libwrap versteht jeder nach 3 Minuten Erklaerung. Und ich behaupte weiter mindestens 50% der allein in dieser Mailingliste anwesenden verstehen nicht wie die Firewall in Linux wirklich funktioniert und koennen deswegen auch keinerlei Luecken darin sehen. Und das hier ist sowas wie die Anwender-Elite. Das ist eigentlich kein Beinbruch, auch von Autos versteht nur die Haelfte der Fahrer (hoechstens) wie sie funktionieren, aber man hat einen fuer jeden verstaendlichen Weg gefunden sie zu benutzen. Eine Firewall kann das nicht, man braucht dazu immer ein gehoeriges Vorwissen. Ihr habt den ersten Grundsatz im Linux-Universum gebrochen: "Keep it simple". Ich denke der Mann hat schon darueber nachgedacht bevor er das gesagt hat...
Also hier gilt wohl eher "Keep it simple as possible", aber wie gesagt, openSUSE ist ein community project. Wenn Du Änderungen haben willst, dann bemühe zumindest den Bugzilla, Danke. Wenn Du yast2-firewall für zu kompliziert hälst, dann mache Bitte Vorschläge via Fate (https://features.opensuse.org/).
-- "Having a smoking section in a restaurant is like having a peeing section in a swimming pool." -- Edward Burr
Abschliessend zu diesem Thread stelle ich fest: keine Antwort auf die Frage wie libwrap durch neue Config-Konstrukte ersetzt werden soll. Niemand ist verantwortlich, wir wuenschen keine weiteren Fragen zu Themen die uns ein Jahr lang selbst nicht aufgefallen sind. Danke. -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org