Michael Lootz wrote:
Hallo Konrad,
Uups, Mail ist nicht angekommen daher die etwas verspaetete Antwort:
Konrad Neitzel worte:
ohne Schrauber schon s. c't 24/2000 S.248 "Router im Eigenbau" Abschnitt: Sicherheitsrisiko Linux. Naja - den Artikel kenne ich nicht. Was bemängelt denn die CT da alles an Linux?
"Denn entgegen der landläufigen Meinung ist ein Linux-Rechner per se nicht sicherer als ein Windows-98-System - im Gegenteil: Auf
Bei einer "Pfeiffe" von Admin ist das Betriebssystem egal.
einem Windows-Rechner laufen in der Regel außer der optionalen Datei- und Druckerfreigabe keine Dienste, die sich für einen Einbruch
Außer? ....das sind die Angriffspunkte überhaupt, da der DAU sich darüber keine Gedanken macht und wenn, dann sowas wie Zonealarm als Allheilmittel sieht.
nutzen ließen (und die sollte man tunlichst abschalten). Ein Port-Scan gegen einen Linux-Rechner hingegen enthüllt eine Vielzahl von
siehe "Pfeiffe" von Admin
offenen Ports, auf denen Programme Pakete von außen entgegennehmen. Wer eine ältere Linux-Distribution verwendet, hat gute Chancen, dass auf seinem Rechner beispielsweise ein ftp-Server (wuftpd bis 2.6.0) Dienst tut, für den im Internet fertige Einbruchswerkzeuge verfügbar sind. In den DSL-Einwahlnetzen von Telekom und Arcor finden sich reihenweise Linux-Systeme, die offen wie Scheunentore sind."
Dieser Abschnitt sagt Null über die Sicherheit der Betriebssysteme aus, sondern nur etwas über die User / Admins. Ich kenne nicht mehr als diesen Abschnitt, aber mehr muss ich mir auch nicht antun davon. *g* Dienste, die nicht für alle Welt bestimmt sind, die bietet man dieser halt nicht an. Da pfuscht man auch keinen Packetfilter dazwischen, um fehlerhafte Konfigurationen zu flicken. Diese ganze Diskussion gehört eigendlich nach de.comp.security.firewall. Dort findet man hilfreiche FAQ's zum Thema. Wenn man in seiner Fragestellung den Ansatz von Lernbereitschaft zeigt, wird man auch hilfreiche Antworten erhalten. In einem Beitrag steht "...Sicherheit muss deterministisch sein. Wenn ich ein Geländer habe, dass mit 200kg belastbar ist, so ist das eine Größe, mit der ich rechnen kann" - Damit wäre ich bei Microsoft. Womit kann ich rechnen? Ist diese Software vertrauenswürdig? Linux? Das Argument, der Quellcode ist verfügbar sticht hier ganz gewaltig. Ich selbst kann keinen Quellcode analysieren, aber das know how kann ich kaufen. Wenn $ENTSCHEIDER einen $SCHULDIGEN braucht, dann kann er das auch unter Linux haben. Dafür gibts genug Distributoren und Komplettlösungen am Markt. Sicherheit ist ein Konzept. Wovor will ich mich schützen. Welche Schwachstellen hat mein System, bezogen auf meine Anforderungen. Wenn das Konzept steht, dann kann ich es von Fachleuten (zerreissen ;-) ) umsetzen lassen. Bei meinen Anforderungen als "Home(l)user kann ich folgendes mit Sicherheit leisten: - Handbücher, READMEs lesen ( bin ich Engländer? - nö, muss ich mich halt durchquälen) - nicht benötigte Dienste abschalten - sofort Sicherheitsupdates einspielen, - Logs analysieren - Tools wie das hier genannte chkrootkit oder nmap, ethereal etc. nutzen - ein regelmässiges Backup machen, - schauen, was sich auf meinen Platten tummelt - durch Kommunikation in Listen und Newsgroups ein feedback über ein fehlerhaftes (kompromittiertes System) erhalten Beispiel: Wenn mein Mailserver zur Spamschleuder wird, dann werde ich das nach max. 10h kalkulierbarer Zeit erfahren. - ich verwende nützliche Befehle, wie netstat, top, lsof, ps Was steht mir hier eigendlich als Win-User zur Verfügung? Ich meine als Bestandteil des Betriebssystems / der Distribution. Hier noch diverse Links. Der Tonfall wird sicher nicht jedem gefallen, aber es geht um technische Belange und nicht um Befindlichkeiten. :-> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html http://www.fefe.de/pffaq/halbesicherheit.txt http://home.arcor.de/nhb/pf-umgehen.txt MfG Benn -- #250319 - http://counter.li.org