Hallo Stefan, Am Don, den 15.01.2004 schrieb Stefan Onken um 07:10: ...
Und technisch: naja deren Reaktion auf den CT Bericht war nun ja nicht das gelbe vom Ei. Als Reaktion einen Ban im IRC auf Deutsche Adressen bzw. jeden als Nazi zu bezeichnen.....
Nur ganz kurz dazu: soviel ich mich erinnere bemängelte ein übereifriger Heise Redakteur, dass Smoothwall die Passwortdatei nicht als shadow ablegt, sondern in Klartext. Das war blinde Kritik, denn der Heise Mensch hat wohl das Konzept von Smoothwall gar nicht verstanden. In meinen Augen ist das kein Sicherheitsproblem gewesen, denn auf einer Smoothwall gibt es nur drei Benutzer: root, setup, admin. Alle drei haben die Möglichkeit, die Passwörter zu verändern. Insofern ist es einfach unnötiger Schnickschnack, die Passwortdatei als shadow abzulegen. Wenn Du Einsicht auf die Passwortdatei hast, dann besitzt Du ohnehin schon die Möglichkeit, alles zu verändern. Das macht dann in Problem, wenn Du die Standardinstallation von Smoothwall selbst um Dienste erweiterst, für die ein weiterer Benutzer benötigt wird. Das ist überhaupt nicht vorgesehen. Smoothwall ist als einfache Blackbox gedacht. Installieren und danach NUR über benutzen, nicht tweaken. Und dann funktioniert das auch bei jedem dummen Endbenutzer und annähernd 100% sicher. Eben so sicher wie Linux 2.2 mit ipchains sein kann (bezogen auf Version 1.0). Was ich momentan bemängele, ist der fehlende Patch für die beiden letzten local exploits des Kernel bei 2.4 und den do_brk() bug beim 2.2 Kernel. Das ist auch prinzipiell wieder kein Problem, denn wenn ein Angreifer lokalen Zugang zur Maschine hat, braucht er keinen exploit mehr zu nutzen, um root zu werden, denn es gibt lokal nur "roots". Ärgerlich ist das aber dann, wenn Du jemandem im internen Netz nicht trauen kannst und der vielleicht durch eine zukünftige Schwäche in OpenSSH ein root Passwort mitsniffen kann und dann auf der Smoothwall einen sniffer oder rootkit zum Ausspionieren des Datenverkehrs installiert oder Regeln ändert. Aber von außen ist Smoothwall so sicher wie jede andere Firewalldistribution auch. Für den Heimbereich und insbesondere Direktverbindungen an DSL Hardware ist Smoothwall in meinen Augen uneingeschränkt empfehlenswert, zumal es kostenlos ist und es neben einem Forum, einer Mailinglist und einer unabhängigen Newsgroup und IRC wirklich genügend kostenlosen Support gibt. Das kann IPCop nicht von sich behaupten ;-) Grüße, Tobias