Re: Sicherheit von Linux (Re: AW: VIRUS ALERT: BAT.Silly.B.gen)
Hallo Konrad Konrad Neitzel schrieb: [...]
Richtig. Ist ein Schritt in die richtige Richtung. Damit gehörst Du
aber zu einer gaaaanz kleinen Grupe von Linux Usern. Und genau von dieser Gruppe hört man nur sehr wenig Sprüche a.la. "Mit Linux wäre dies nicht passiert". Ich finde es einfach immer nur lustig, wenn Leute z.B. über Windows User meckern, wenn diese keinen Virenscanner haben, aber sie selbst nutzen auch nichts in der Art :-)) (Wobei mir Unterschiede durchaus klar sind!)
Ich benutze bei mir zwei Virenscanner ( f-prot und Panda ), die alle eingehenden Mails durchscannen --> obwohl ich gar kein Windows habe.... Jedenfalls habe ich mich mit dem Mechanismus vertraut gemacht. Es wird die Zeit kommen, da brauchen wir auf unseren Linuxmaschinen alle einen Virenscanner
Aber meine Hauptintention sind halt in erster Linie nur diese Rumschreier. Linux ist kein System, welches auf Security sooo grossen Wert legt (Habe ich in einer anderen eMail ja versucht zu erläutern) und daher ist so ein Überhebliches Getue garantiert fehl am Platz!
Du hast völlig Recht. Ohne ein gewisses KnowHow ist Linux mit Sicherheit ein Risiko. Ich kann mich an einen Kunden erinnern, ( er wollte Kosten sparen ) der seinen Webserver lieber selber konfigurieren wollte - schließlich hatte er schon mal Suse 7.3 installiert..... Nach ca. 3 Wochen Betrieb seines Servers hatte er sich ein root-kit über seinen FTP-Zugang aufspielen lassen, mit der Folge, daß er auf seinem eigenen System keinen Zugang mehr hatte. Sämtliche relevanten Programme sind ausgetauscht worden. Nun ja - wir haben dann letzendlich den Server doch konfiguriert.....:-)) Ich selber beschäftige mich seit ca. 2 Jahren intensiv mit Linux und stelle beim Lesen der Liste immer wieder fest, was mir an Wissen noch so alles fehlt. Ich frage mich dann immer, ob ich jemals behaupten könne, Ahnung von Linux zu haben.... Aber das ist ja auch das Schöne an Linux - man MUSS sich mit dem System intensiv auseinandersetzen - sonst wird es nichts. Und das ist auch das Schöne an dieser Liste - soviel Fachwissen wie hier versammelt ist, findet man sonst nirgendwo! - Überheblichkeit ist immer fehl am Platze - egal ob unter Windows oder Linux. viele Grüße PeteR -- Konstruktive Vorschläge scheinen hier unerwünscht zu sein, alleine Speichelleckerei und Fußküsserei der Helden der Neuzeit scheint hier erwünscht. [Lesnar]
Hallo Konrad, Uups, Mail ist nicht angekommen daher die etwas verspaetete Antwort:
Konrad Neitzel worte:
ohne Schrauber schon s. c't 24/2000 S.248 "Router im Eigenbau" Abschnitt: Sicherheitsrisiko Linux. Naja - den Artikel kenne ich nicht. Was bemängelt denn die CT da alles an Linux?
"Denn entgegen der landläufigen Meinung ist ein Linux-Rechner per se nicht sicherer als ein Windows-98-System - im Gegenteil: Auf einem Windows-Rechner laufen in der Regel außer der optionalen Datei- und Druckerfreigabe keine Dienste, die sich für einen Einbruch nutzen ließen (und die sollte man tunlichst abschalten). Ein Port-Scan gegen einen Linux-Rechner hingegen enthüllt eine Vielzahl von offenen Ports, auf denen Programme Pakete von außen entgegennehmen. Wer eine ältere Linux-Distribution verwendet, hat gute Chancen, dass auf seinem Rechner beispielsweise ein ftp-Server (wuftpd bis 2.6.0) Dienst tut, für den im Internet fertige Einbruchswerkzeuge verfügbar sind. In den DSL-Einwahlnetzen von Telekom und Arcor finden sich reihenweise Linux-Systeme, die offen wie Scheunentore sind." Gruss Michael
Michael Lootz wrote:
Hallo Konrad,
Uups, Mail ist nicht angekommen daher die etwas verspaetete Antwort:
Konrad Neitzel worte:
ohne Schrauber schon s. c't 24/2000 S.248 "Router im Eigenbau" Abschnitt: Sicherheitsrisiko Linux. Naja - den Artikel kenne ich nicht. Was bemängelt denn die CT da alles an Linux?
"Denn entgegen der landläufigen Meinung ist ein Linux-Rechner per se nicht sicherer als ein Windows-98-System - im Gegenteil: Auf
Bei einer "Pfeiffe" von Admin ist das Betriebssystem egal.
einem Windows-Rechner laufen in der Regel außer der optionalen Datei- und Druckerfreigabe keine Dienste, die sich für einen Einbruch
Außer? ....das sind die Angriffspunkte überhaupt, da der DAU sich darüber keine Gedanken macht und wenn, dann sowas wie Zonealarm als Allheilmittel sieht.
nutzen ließen (und die sollte man tunlichst abschalten). Ein Port-Scan gegen einen Linux-Rechner hingegen enthüllt eine Vielzahl von
siehe "Pfeiffe" von Admin
offenen Ports, auf denen Programme Pakete von außen entgegennehmen. Wer eine ältere Linux-Distribution verwendet, hat gute Chancen, dass auf seinem Rechner beispielsweise ein ftp-Server (wuftpd bis 2.6.0) Dienst tut, für den im Internet fertige Einbruchswerkzeuge verfügbar sind. In den DSL-Einwahlnetzen von Telekom und Arcor finden sich reihenweise Linux-Systeme, die offen wie Scheunentore sind."
Dieser Abschnitt sagt Null über die Sicherheit der Betriebssysteme aus, sondern nur etwas über die User / Admins. Ich kenne nicht mehr als diesen Abschnitt, aber mehr muss ich mir auch nicht antun davon. *g* Dienste, die nicht für alle Welt bestimmt sind, die bietet man dieser halt nicht an. Da pfuscht man auch keinen Packetfilter dazwischen, um fehlerhafte Konfigurationen zu flicken. Diese ganze Diskussion gehört eigendlich nach de.comp.security.firewall. Dort findet man hilfreiche FAQ's zum Thema. Wenn man in seiner Fragestellung den Ansatz von Lernbereitschaft zeigt, wird man auch hilfreiche Antworten erhalten. In einem Beitrag steht "...Sicherheit muss deterministisch sein. Wenn ich ein Geländer habe, dass mit 200kg belastbar ist, so ist das eine Größe, mit der ich rechnen kann" - Damit wäre ich bei Microsoft. Womit kann ich rechnen? Ist diese Software vertrauenswürdig? Linux? Das Argument, der Quellcode ist verfügbar sticht hier ganz gewaltig. Ich selbst kann keinen Quellcode analysieren, aber das know how kann ich kaufen. Wenn $ENTSCHEIDER einen $SCHULDIGEN braucht, dann kann er das auch unter Linux haben. Dafür gibts genug Distributoren und Komplettlösungen am Markt. Sicherheit ist ein Konzept. Wovor will ich mich schützen. Welche Schwachstellen hat mein System, bezogen auf meine Anforderungen. Wenn das Konzept steht, dann kann ich es von Fachleuten (zerreissen ;-) ) umsetzen lassen. Bei meinen Anforderungen als "Home(l)user kann ich folgendes mit Sicherheit leisten: - Handbücher, READMEs lesen ( bin ich Engländer? - nö, muss ich mich halt durchquälen) - nicht benötigte Dienste abschalten - sofort Sicherheitsupdates einspielen, - Logs analysieren - Tools wie das hier genannte chkrootkit oder nmap, ethereal etc. nutzen - ein regelmässiges Backup machen, - schauen, was sich auf meinen Platten tummelt - durch Kommunikation in Listen und Newsgroups ein feedback über ein fehlerhaftes (kompromittiertes System) erhalten Beispiel: Wenn mein Mailserver zur Spamschleuder wird, dann werde ich das nach max. 10h kalkulierbarer Zeit erfahren. - ich verwende nützliche Befehle, wie netstat, top, lsof, ps Was steht mir hier eigendlich als Win-User zur Verfügung? Ich meine als Bestandteil des Betriebssystems / der Distribution. Hier noch diverse Links. Der Tonfall wird sicher nicht jedem gefallen, aber es geht um technische Belange und nicht um Befindlichkeiten. :-> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html http://www.fefe.de/pffaq/halbesicherheit.txt http://home.arcor.de/nhb/pf-umgehen.txt MfG Benn -- #250319 - http://counter.li.org
Hallo Bernd, der c't-Artikel bzw. der Abschnitt bezog sich auf 'per se'. Und ich schrieb daß 'ohne Schrauber' auch Linux nicht sicherer ist. Bernd Schmelter wrote:
Michael Lootz wrote:
"...einem Windows-Rechner laufen in der Regel außer der optionalen Datei- und Druckerfreigabe keine Dienste, die sich für einen Einbruch
Außer? ....das sind die Angriffspunkte überhaupt, ...
es gibt da keine weiteren Dienste unter Windows, die nach einer Instal- lation laufen. --- schnip ---
Linux? Das Argument, der Quellcode ist verfügbar sticht hier ganz gewaltig. Ich selbst kann keinen Quellcode analysieren,
Tolle Argumentation. Ich hab was mit dem ich nichts anfangen kann. Aber ich kenn einen, der kennt einen dessen Schwager ....
aber das know how kann ich kaufen.
also M$=L$?
Wenn $ENTSCHEIDER einen $SCHULDIGEN braucht, dann kann er das auch unter Linux haben. Dafür gibts genug Distributoren und Komplettlösungen am Markt.
Sicherheit ist ein Konzept. Wovor will ich mich schützen. Welche Schwachstellen hat mein System, bezogen auf meine Anforderungen. Wenn das Konzept steht, dann kann ich es von Fachleuten (zerreissen ;-) ) umsetzen lassen.
ACK
Bei meinen Anforderungen als "Home(l)user kann ich folgendes mit Sicherheit leisten: - Handbücher, READMEs lesen ( bin ich Engländer? - nö, muss ich mich halt durchquälen) - nicht benötigte Dienste abschalten - sofort Sicherheitsupdates einspielen, - Logs analysieren - Tools wie das hier genannte chkrootkit oder nmap, ethereal etc. nutzen - ein regelmässiges Backup machen, - schauen, was sich auf meinen Platten tummelt - durch Kommunikation in Listen und Newsgroups ein feedback über ein fehlerhaftes (kompromittiertes System) erhalten Beispiel: Wenn mein Mailserver zur Spamschleuder wird, dann werde ich das nach max. 10h kalkulierbarer Zeit erfahren. - ich verwende nützliche Befehle, wie netstat, top, lsof, ps
ja, und dann noch das ganze in einem atomgesicherten Bunker auf dem Meeresgrund versenkt.... Schon das abschalten nicht benötigter Dienste dürfte für einen Home(l)user schwierig sein, zu mal er nicht mal weiß, welche denn nun alle laufen (die Argumentation mit dem Lesen kenn ich). Als Home(l)user genügt mir: - Sicherheitsupdates einspielen und - regelmässiges Backup machen
Was steht mir hier eigendlich als Win-User zur Verfügung?
Antwort für den Home(l)user: - Sicherheitsupdates einspielen und - regelmässiges Backup machen Gruss Michael
participants (3)
-
Bernd Schmelter -
Michael Lootz -
Peter Soltau