Michael Lootz
Thorsten Haude wrote:
* Konrad Neitzel
[02-06-25 20:58]: Security-mässig ist Linux - ebenso wie Windows - das Letzte. Unfug. Schade, dass ich dies so nicht gesehen habe. Ich hätte gerne von Thorsten eine Begründung gelesen. Was macht Linux den "Security-Mässig" besser? Was für Sicherheitselemente hat Linux?
ohne Schrauber schon s. c't 24/200 S.248 "Router im Eigenbau" Abschnitt: Sicherheitsrisiko Linux. Naja - den Artikel kenne ich nicht. Was bemängelt denn die CT da alles an Linux?
Aber ich will einfach einmal ein paar Dinge bringen, die mich zu meiner Aussage bringen: a) Wie wäre es mit fehlenden Features? IPTables und so hat Linux ja recht spät bekommen. Netzwerkmässig war Linux einige Zeit mit das Letzte und das, wo es andere Betriebssysteme wie *BSD gut vorgemacht haben. Was bietet Linux Sicherheitsmässig? chroot Umgebungen und das war es doch schon fast, oder? Jails gehen da doch etwas weiter (Siehe *BSD!). Auch mein Hinweis auf Trojanproof ist durchaus etwas wert. (Gibt es in dieser Liste überhaupt irgendwen, der seine Linux Binaries regelmässig oder hin und wieder mal checkt? Es gibt einen neuen Wurm für Apache, der laut Heise Newsticker auf FreeBSD 4.5 zielt. Wie und wann entdeckt ihr sowas? Oder alles egal?) b) Wie wäre es mit den Prioritäten in der Entwicklung? - Was bezeichne ich als "stable"? (Wann war denn der 2.4er stable?) - Der Sourcecode ist zwar offen, aber wo wurde für Linux jemals ein richtiges Auditing gemacht? - Was packe ich wie rein in den Kernel? (features vs. security) - Wer entscheidet was wann wie? Ich glaube nicht an die Unfehlbarkeit vom papst und auch nicht an die Unfehlbarkeit von Linus oder sonstwem. Bei uns in der Firma wird dies oft als "4 Augen Prinzip" bezeichnet!) Ich sage nicht, dass Linux schlecht ist. Linux ist bestimmt für vieles gut zu gebrauchen. Ich denke z.B., dass Linux auf Desktops noch grösser rauskommen wird und die einzige ernsthafte Konkurenz für Microsoft ist. Aber in Sicherheitsfragen darf man nicht blind sein! Man kann vieles ausgleichen! Es ist kein KO Argument dabei - vollkommen klar! Ich habe nur mal wieder etwas gegen die absolute Blindheit mancher User. Und Aussagen wie "Mit Linux wäre das nicht passiert" hört man schlicht weg zu oft. Ich freue mich schon jetzt auf eine weitere Verbreitung von Linux! Wenn die Verbreitung etwas grösser ist, dann lohnen sich auch einige Attacken viel mehr. Und ich bin sicher, dass da viele "pseudo Admins" ganz schön Probleme kriegen werden! Was mich bei Linux auch stört, sind die Updates. Wie oft kommen neue Kernel raus? Was ist wo wie drin? Was wurde verändert? Klar muss ich nicht jedes Update mitmachen! Aber sicherheitsrelevante Dinge sind doch ein MUSS! Also hätte ich gerne bei sicherheitsrelevanten Dingen entsprechende Updates. Und ich will dann kein Update auf sonstwas sondern nur diesen einen Security-Bug will ich raus haben! Wobei dies weniger ein Problem von Linux oder Open Source ist sondern mehr von der Gesellschaft und der Herangehensweise! SuSE Linux gibt es ja "kostenlos" (via ftp). Warum sollte ich also z.B. einen kommerziellen Server von SuSE kaufen? So ein eMail-Server kostet ja viel viel Geld. Aber hier geht es dann auch etwas in diese Richtung. Die Anzahl der Produkte ist stark reduziert und es gibt länger Support und so ... Aber dennoch ist es recht hart, wenn ich mir ansehe, wie oft ich hier Updates einspielen darf. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53