> Zudem steht noch die ältere UCI-Methode zur Verfügung, die Anwendungen auf vorgefertigten kleinen > ISO-Images ins System einbinden kann und von den Entwicklern als Vorläufer des Klik-Systems bezeichnet > wird.
Mein ich das nur oder steht der Satz in wirklich jedem Artikel zu Damn Small Linux? So langsame habe ich begriefen das die Entwickler sehr stolz auf ihr Programm sind.
Ok überall ausser dem Artikel zu 2.4 (http://www.pro-linux.de/news/2006/9703.html) und 2.0 (http://www.pro-linux.de/news/2005/8939.html).
ich mag Puppy Linux irgendwie noch um einiges Lieber als DSL.
Von Puppy Linux gibt es eine spezielle Version die auf Qemu basiert und sich unter Windows und Linux starten lässt. Das qemu-Puppy kann ich dann auf meinem USB stick überal mitnehmen und kann dann auch auf der Arbeit meinen virtuellen PC mit meinen privaten Programmen starten. Da man das Qemu-Puppy ohne Installation starten kann ist das eine echt praktische Sache.
Da auf den Arbeitsplatzrechnern das installieren von eigenen Programmen nicht möglich ist lass ich meine ganzen privaten Anwendungen wie z.B Gimp, Open-Office usw halt in ner virtuellen Puppy linux Maschiene laufen ;)
So hab ich immer ne aktuelle skype und Instant Messenger unter Qemu-Puppy am laufen mit denen ich in der Mittagspause nachrichten versenden kann, auch einige Spiele laufen damit ganz gut.
Auch Für Profis dürfte Qemu-Puppy ganz net sein da es viele nützliche Tools wie z.B Portscanner, etliche netzwerkprogramme etc mitbringt.
Auf was für Hardware setzt du das üblicherweise ein? Läuft z.B. ein moderner Browser (Firefox, Konqueror, ...) unter Qemu mit brauchbarer Geschwindigkeit?
Ja man kann durchaus mit DSL und Firefox unter qemu arbeiten. Jedenfalls mit neuerer Hardware. Einfach mal die Live cd runterladen und am besten das Iso direkt mit qemu starten Beispielsweise auf der Konsole: qemu -cdrom /home/mark/Desktop/dsl-4.2.iso
Probleme habe ich nur bei größeren Distributionen. Dort dauert das Starten des Xservers (mir) einfach zu lange. Qemu kann auch noch beschleunigt werden, aber davon habe ich keine Ahnung. Gruß Mark
Man muss zwar ein paar abstriche bei der Geschwindikeit machen aber es funktioniert durchaus. Diesen Kommentar schreibe ich gerade mit DSL/Firefox/qemu auf einem AMD x2 4600 mit 1G Speicher.
...und morgen lerne ich, ein System zuerst genau anzugucken, bevor ich solchen Blödsinn nachplapper.
Ein auf .sfs Dateien basierendes System ist selbst als root sicherer als ein Standardsystem, in dem ich als Normaluser unterwegs bin. Root-kits lassen sich hier sofort finden, da sie bei Systemmodifikationen Spuren im rw-Bereich des Systems hinterlassen, prinzipbedingt.
Es gibt inzw. übrigens ein eingedeutschtes, und sehr umfangreiches Derivat: http://dotpups.de/Minisys-Linux/
Wir werden übermorgen 008 final hochladen nach einigen weiteren Tests.
Von another IT-Student am Mi, 19. Dezember 2007 um 05:11 #
Aber du musst deinen Kunden doch auch sagen, dass sfs nur "been tested on PowerPC, i586, Sparc and ARM architectures". Und was ist mit 64Bit hm? Und der rw-Bereich wird nicht durch dich, sondern durch einzelne geparste Subcommands im HASH festgelegt.
Den 008 final kann man bei einer solchen Presentation jedenfalls nich empfehlen. Nix für ungut (ich will nur helfen):-)
Der rw-Bereich entsteht dadurch, daß das Kernsystem in einer nicht-beschreibbaren Datei liegt, einem squashfs file. Schreibzugriffe finden bei solchen Systemen über unionfs oder aufs statt. Dieser Kerneltreiber sorgt dafür, daß eine änderung in einem Bereich des Dateisystems gespeichert wird, der zuvor mit dem schreibgeschützten Bereich gemerged wurde. Verständlicher auusgedrückt: Ein Schädling modifiziert /bin/sh Diese Datei ist read-only im squashfs. Wird die Änderung zurückgeschrieben, kann sie nicht in dieses squashfs. Daher wird sie in /initrd/pup_ro2/bin/sh abgelegt. Allein die Tatsache, das hier plötzlich diese Datei auftaucht, zeigt den Angriff.
Es wäre eine interessante Aufgabe, ein Programm zu schreiben, das nur darauf ausgelegt ist, solche Änderungen zu protokollieren, und Alarm zu schlagen.
Ein weiterer Punkt, der gerne übersehen wird: bei einem Angriff ist es egal, ob ich root oder user bin, was persönliche Daten angeht. Wenn ein Trojaner meine Bankdaten ausspäht, hab ich in beiden Fällen ein Problem. Einen Vorteil gibt es beim unpriviligierten User: hier kann der Angreifer nichts löschen, was root gehört (theoretisch). Er kann das System also nicht zerstören. Bei Squashfs-Systemen die als root laufen kann er z.B. /bin/sh zerstören. Aber: das schlägt sich legilich darin nieder, daß in /initrd ein wh file angelegt wird. Mit diesem markiert der unionfs-Treiber, daß /bin/sh "gelöscht", besser: "unsichtbar" sein soll. Denn richtig gelöscht werden kann sie ja nicht. In so einem Fall entfernt man dann die .wh Datei, und wie von Geisterhand ist /bin/sh wieder da. Ein Schaden ist also einfach wieder zu reparieren als bei Vollinstallationen. Und schliesslich: da bei der frugalen Installation ohnehin alles in einem gemounteten File gespeichert wird, gestalten sich Backups sehr einfach. 1 Datei kopieren - Backup fertig, in wenigen Sekunden. Bei Vollinstallationen verzichten User wegen des großen Aufwands nur zu oft auf Backups.
Wie man sieht, ist es mit einem einfachen "root ist böse" nicht getan, wichtig ist das Gesamtkonzept.
aber trotzdem ..mir egal ob es mit dem system blablaa sicher ist auch mit root-rechten im netz usw rumzusauen, ich mag trotzdem das gute alte "ich bin root -ich darf das --DU nicht!" system und wuerde mich eindeutig wohler fuehlen auf puppy wenn das so wäre ..ich denk das die userzahl auch drastisch steigen wuerde wenn das mal geändert wird denn das is nun wirkjlkich das einzigste was gegen puppy spricht. Ich hatte die CommunityEdition mal länger im Test und sie machte wirklich einen sehr sehr guten eindruck.
.. nun noch ne frage zum neun DSL: Wenn ich das DSL 4.2 installiere ..auf welchem debian mirror land ich dann? Immernoch 'woody' ? das war mit der vorherigen version nochn krampf denn da ging natuerlich dann garnichtsmehr -und das upgrade auf eine hoehere debian version warnatuerlich die fehlgeschlagende-"dependency-hölle".
es gibt mit Grafpup ein Derivat, das auf unpriviligierte User setzt. Hat interessanterweise keine grössere Verbreitung gefunden. Installiert man in Puppy Xampp, läuft Apache als "nobody". Auch kann man sich selbst einen User einrichten, "spot" ist schon dabei. Der ist aber wirklich nur geeignet, um z.B. zu surfen. Alle Admin-Tools müssen als root gestartet werden.
Wenn wir zukünftig erhöhte Nachfrage bekommen, werden wir ggf. eine Option einbauen, um als User mit sehr restriktiven Rechten arbeiten zu können, und wenn es nur darum geht, ein "Gefühl" von Sicherheit zu befriedigen.
Muppy habe ich kürzlich entdeckt und war prompt begeistert. So eine gute und flotte Zusammenstellung habe ich lange nicht gesehen - und es ist gerade für die Leute mit alter Hardware und ohne Englischkenntnisse interessant, bei denen Puppy nicht landen kann. Damit kommen meine Eltern endlich ohne neue Hardware von Wimp98 los - danke allen, die daran mitarbeiten!!! Freue mich schon auf die Release
Ich habe mir gerade DSL 4.2.1 angeschaut. Dort ist Firefox in der Version 1.0.6 enthalten. Aktuell ist aber Version 2.0.11. Wenn Firefox wirklich ein nicht weiter modifizierter Firefox 1.0.6 sein sollte (ein Backport der Sicherheitsupdates von Version 2.0.11 nach 1.0.6 halte ich in diesem Fall für nicht sehr wahrscheinlich), dann ist er löchrig wie ein Schweizer Käse und für Leute, die beispielsweise Online-Banking mit diesem Firefox machen, ein gigantisches Sicherheitsrisiko. Ob Live-CD oder nicht, ist hierbei irrelevant, da DSL ja RAM benutzt und solange das System nicht heruntergefahren ist, die Manipulationen hier stattfinden können. Also am besten nicht diesen Firefox im Internet benutzen.
Ja, das schaut wohl so aus. Bei einem Backport von 2.0.11 nach 1.0.6 würde man wohl auch eine kleine "Oberkrise" bekommen. Teste den enthaltenen Firefox 1.0.6 doch einfach. Auf heise.de gibt es den c't-Browsercheck. Diesen Check kann ich auch jedem empfehlen, der wirklich sicher gehen möchte, daß sein Browser so sicher ist wie zu einem bestimmten Zeitpunkt möglich.
Alternativ kann man in DSL vielleicht auch einen aktuellen GTK1-Seamonkey-1.1.7 verwenden: ftp://ftp.mozilla.org/pub/seamonkey/releases/1.1.7/contrib
Aktuelle GTK1-Firefox-2.x-Builds sind übrigens genauso möglich. Im Netz habe ich solche (aktuelle bzw. aktuellere) Firefox-Builds z.B. hier gefunden: http://www.nekochan.net/downloads/index.php?path=foetz/
Vor diesem Hintergrund sollte man einen Firefox 1.0.6, der nicht die Sicherheitspatches der Firefox 2.0.x-Reihe enthält, tunlichst nicht im Internet benutzen. Vielleicht sollte man die DSL-Crew einfach einmal fragen, was es mit ihrem Firefox auf sich hat, d.h., um welche Version es sich tatsächlich handelt.
Ich vermute, daß das keinen interessiert. Wenn das jetzt Microsoft gewesen wäre, dann würden hier schon 200 Kommentare stehen.
Aber eine kleine Live-CD, von der die Entwickler selbst sagen, daß man sie besser nicht auf die Festplatte installieren sollte?
Wer diesen Firefox 1.0.6 fürs Online-Banking benutzt, ist selber schuld, da hilft nur Computer abschaffen. Das klingt zwar sehr arrogant, stimmt aber.
Es gibt aber leider immer noch solche Anwender. Aus einem Forenposting an anderer Stelle geht hervor, daß jüngst ein DSL-Nutzer gerade für diesen Firefox 1.0.6 ein deutsches Sprachpaket suchte. Der dortige Admin war sichtlich geschockt und flehte den Poster auf Knien an, diesen alten Firefox bitte nicht mehr zu benutzen.
DSL hat mittlerweile sowieso ein großes Problem: Die GTK1-Ära geht unausweichlich dem Ende entgegen, irgendwann führt kein Weg mehr um ein größeres GTK2-DSL herum. Ab den nächsten Firefox- (nach 2.x) und Seamonkey-Versionen (nach 1.1.x) werden überhaupt keine GTK1-Builds mehr möglich sein, DSL wäre dann in jedem Fall auf einen uralten und unsicheren GTK1-Firefox festgelegt. Die mögliche Alternative Dillo wird ja leider nicht mehr weiter entwickelt. Das DSL-Team hat bestimmt nicht die Manpower, alle benötigten GTK1-Anwendungen in Zukunft selbst weiter zu entwickeln und zu patchen. Red Hat kann das, z.B. mit Red Hat Advanced Server 2.1 (bzw. CentOS 2.1; ein "Mix" von Red Hat 7.2/7.3 mit Gnome 1.4 und KDE 2.2.2), aber Red Hat wird ja dafür auch bezahlt.
Ich persönlich wünsche dem DSL-Team trotzdem alles Gute, vielleicht wird ja auch die Entwicklung von DSL-N wieder aufgenommen.
> ISO-Images ins System einbinden kann und von den Entwicklern als Vorläufer des Klik-Systems bezeichnet
> wird.
Mein ich das nur oder steht der Satz in wirklich jedem Artikel zu Damn Small Linux? So langsame habe ich begriefen das die Entwickler sehr stolz auf ihr Programm sind.
Ok überall ausser dem Artikel zu 2.4 (http://www.pro-linux.de/news/2006/9703.html) und 2.0 (http://www.pro-linux.de/news/2005/8939.html).
Von Puppy Linux gibt es eine spezielle Version die auf Qemu basiert und sich unter Windows und Linux starten lässt.
Das qemu-Puppy kann ich dann auf meinem USB stick überal mitnehmen und kann dann auch auf der Arbeit meinen virtuellen PC mit meinen privaten Programmen starten.
Da man das Qemu-Puppy ohne Installation starten kann ist das eine echt praktische Sache.
Da auf den Arbeitsplatzrechnern das installieren von eigenen Programmen nicht möglich ist lass ich meine ganzen privaten Anwendungen wie z.B Gimp, Open-Office usw halt in ner virtuellen Puppy linux Maschiene laufen ;)
So hab ich immer ne aktuelle skype und Instant Messenger unter Qemu-Puppy am laufen mit denen ich in der Mittagspause nachrichten versenden kann, auch einige Spiele laufen damit ganz gut.
Auch Für Profis dürfte Qemu-Puppy ganz net sein da es viele nützliche Tools wie z.B Portscanner, etliche netzwerkprogramme etc mitbringt.
Downloaden kann man das ganze hier:
https://sourceforge.net/project/showfiles.php?group_id=160696
.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-..-.
The Free Software Filk Song: (Ein Loblied auf freie Software)
http://blip.tv/file/543093
Jedenfalls mit neuerer Hardware.
Einfach mal die Live cd runterladen und am besten das Iso direkt mit qemu starten
Beispielsweise auf der Konsole:
qemu -cdrom /home/mark/Desktop/dsl-4.2.iso
Probleme habe ich nur bei größeren Distributionen.
Dort dauert das Starten des Xservers (mir) einfach zu lange.
Qemu kann auch noch beschleunigt werden, aber davon habe ich keine Ahnung.
Gruß
Mark
Diesen Kommentar schreibe ich gerade mit DSL/Firefox/qemu auf einem AMD x2 4600 mit 1G Speicher.
Ein auf .sfs Dateien basierendes System ist selbst als root sicherer als ein Standardsystem, in dem ich als Normaluser unterwegs bin.
Root-kits lassen sich hier sofort finden, da sie bei Systemmodifikationen Spuren im rw-Bereich des Systems hinterlassen, prinzipbedingt.
Es gibt inzw. übrigens ein eingedeutschtes, und sehr umfangreiches Derivat:
http://dotpups.de/Minisys-Linux/
Wir werden übermorgen 008 final hochladen nach einigen weiteren Tests.
Gruß, Mark
Den 008 final kann man bei einer solchen Presentation jedenfalls nich empfehlen.
Nix für ungut (ich will nur helfen):-)
Schreibzugriffe finden bei solchen Systemen über unionfs oder aufs statt.
Dieser Kerneltreiber sorgt dafür, daß eine änderung in einem Bereich des Dateisystems gespeichert wird, der zuvor mit dem schreibgeschützten Bereich gemerged wurde.
Verständlicher auusgedrückt:
Ein Schädling modifiziert /bin/sh
Diese Datei ist read-only im squashfs.
Wird die Änderung zurückgeschrieben, kann sie nicht in dieses squashfs.
Daher wird sie in /initrd/pup_ro2/bin/sh abgelegt.
Allein die Tatsache, das hier plötzlich diese Datei auftaucht, zeigt den Angriff.
Es wäre eine interessante Aufgabe, ein Programm zu schreiben, das nur darauf ausgelegt ist, solche Änderungen zu protokollieren, und Alarm zu schlagen.
Ein weiterer Punkt, der gerne übersehen wird:
bei einem Angriff ist es egal, ob ich root oder user bin, was persönliche Daten angeht.
Wenn ein Trojaner meine Bankdaten ausspäht, hab ich in beiden Fällen ein Problem.
Einen Vorteil gibt es beim unpriviligierten User: hier kann der Angreifer nichts löschen, was root gehört (theoretisch). Er kann das System also nicht zerstören.
Bei Squashfs-Systemen die als root laufen kann er z.B. /bin/sh zerstören.
Aber: das schlägt sich legilich darin nieder, daß in /initrd ein wh file angelegt wird.
Mit diesem markiert der unionfs-Treiber, daß /bin/sh "gelöscht", besser: "unsichtbar" sein soll.
Denn richtig gelöscht werden kann sie ja nicht.
In so einem Fall entfernt man dann die .wh Datei, und wie von Geisterhand ist /bin/sh wieder da.
Ein Schaden ist also einfach wieder zu reparieren als bei Vollinstallationen.
Und schliesslich: da bei der frugalen Installation ohnehin alles in einem gemounteten File gespeichert wird, gestalten sich Backups sehr einfach.
1 Datei kopieren - Backup fertig, in wenigen Sekunden.
Bei Vollinstallationen verzichten User wegen des großen Aufwands nur zu oft auf Backups.
Wie man sieht, ist es mit einem einfachen "root ist böse" nicht getan, wichtig ist das Gesamtkonzept.
Gruß, Mark (Muppy Final steht nun bereit)
..
?
nun noch ne frage zum neun DSL:
Wenn ich das DSL 4.2 installiere ..auf welchem debian mirror land ich dann?
Immernoch 'woody'
das war mit der vorherigen version nochn krampf denn da ging natuerlich dann garnichtsmehr -und das upgrade auf eine hoehere debian version warnatuerlich die fehlgeschlagende-"dependency-hölle".
Hat interessanterweise keine grössere Verbreitung gefunden.
Installiert man in Puppy Xampp, läuft Apache als "nobody".
Auch kann man sich selbst einen User einrichten, "spot" ist schon dabei.
Der ist aber wirklich nur geeignet, um z.B. zu surfen.
Alle Admin-Tools müssen als root gestartet werden.
Wenn wir zukünftig erhöhte Nachfrage bekommen, werden wir ggf. eine Option einbauen, um als User mit sehr restriktiven Rechten arbeiten zu können, und wenn es nur darum geht, ein "Gefühl" von Sicherheit zu befriedigen.
Grüße, Mark
Dort ist Firefox in der Version 1.0.6 enthalten.
Aktuell ist aber Version 2.0.11.
Wenn Firefox wirklich ein nicht weiter modifizierter Firefox 1.0.6 sein sollte (ein Backport der Sicherheitsupdates von Version 2.0.11 nach 1.0.6 halte ich in diesem Fall für nicht sehr wahrscheinlich), dann ist er löchrig wie ein Schweizer Käse und für Leute, die beispielsweise Online-Banking mit diesem Firefox machen, ein gigantisches Sicherheitsrisiko.
Ob Live-CD oder nicht, ist hierbei irrelevant, da DSL ja RAM benutzt und solange das System nicht heruntergefahren ist, die Manipulationen hier stattfinden können.
Also am besten nicht diesen Firefox im Internet benutzen.
Bei einem Backport von 2.0.11 nach 1.0.6 würde man wohl auch eine kleine "Oberkrise" bekommen.
Teste den enthaltenen Firefox 1.0.6 doch einfach. Auf heise.de gibt es den c't-Browsercheck. Diesen Check kann ich auch jedem empfehlen, der wirklich sicher gehen möchte, daß sein Browser so sicher ist wie zu einem bestimmten Zeitpunkt möglich.
Alternativ kann man in DSL vielleicht auch einen aktuellen GTK1-Seamonkey-1.1.7 verwenden:
ftp://ftp.mozilla.org/pub/seamonkey/releases/1.1.7/contrib
Aktuelle GTK1-Firefox-2.x-Builds sind übrigens genauso möglich.
Im Netz habe ich solche (aktuelle bzw. aktuellere) Firefox-Builds z.B. hier gefunden:
http://www.nekochan.net/downloads/index.php?path=foetz/
Vor diesem Hintergrund sollte man einen Firefox 1.0.6, der nicht die Sicherheitspatches der Firefox 2.0.x-Reihe enthält, tunlichst nicht im Internet benutzen.
Vielleicht sollte man die DSL-Crew einfach einmal fragen, was es mit ihrem Firefox auf sich hat, d.h., um welche Version es sich tatsächlich handelt.
Wenn das jetzt Microsoft gewesen wäre, dann würden hier schon 200 Kommentare stehen.
Aber eine kleine Live-CD, von der die Entwickler selbst sagen, daß man sie besser nicht auf die Festplatte installieren sollte?
Wer diesen Firefox 1.0.6 fürs Online-Banking benutzt, ist selber schuld, da hilft nur Computer abschaffen. Das klingt zwar sehr arrogant, stimmt aber.
Es gibt aber leider immer noch solche Anwender. Aus einem Forenposting an anderer Stelle geht hervor, daß jüngst ein DSL-Nutzer gerade für diesen Firefox 1.0.6 ein deutsches Sprachpaket suchte.
Der dortige Admin war sichtlich geschockt und flehte den Poster auf Knien an, diesen alten Firefox bitte nicht mehr zu benutzen.
DSL hat mittlerweile sowieso ein großes Problem: Die GTK1-Ära geht unausweichlich dem Ende entgegen, irgendwann führt kein Weg mehr um ein größeres GTK2-DSL herum. Ab den nächsten Firefox- (nach 2.x) und Seamonkey-Versionen (nach 1.1.x) werden überhaupt keine GTK1-Builds mehr möglich sein, DSL wäre dann in jedem Fall auf einen uralten und unsicheren GTK1-Firefox festgelegt. Die mögliche Alternative Dillo wird ja leider nicht mehr weiter entwickelt.
Das DSL-Team hat bestimmt nicht die Manpower, alle benötigten GTK1-Anwendungen in Zukunft selbst weiter zu entwickeln und zu patchen.
Red Hat kann das, z.B. mit Red Hat Advanced Server 2.1 (bzw. CentOS 2.1; ein "Mix" von Red Hat 7.2/7.3 mit Gnome 1.4 und KDE 2.2.2), aber Red Hat wird ja dafür auch bezahlt.
Ich persönlich wünsche dem DSL-Team trotzdem alles Gute, vielleicht wird ja auch die Entwicklung von DSL-N wieder aufgenommen.