Welcher Mythos? Das man in Linux allen Mist installieren kann und dennoch das System sicher ist?
Man kann Linux im Unterschied zu den NT-basierenden Windowsvarianten sehr sicher machen. Bei M$ muss man das System aufwendig härten und hinterher kann man das Arbeiten dann aber auch vergessen.
Hi RaBa, wiso Mythos? In der aktuellen c't (oder wars IX) ist ein Artickel über Viren drin - für Linux gibts über 40 Viren, die in der Regel aber harmlos sind.
Yahoo ist nur eine marktschreierische Zwischenstation dieser Meldung, relevante URL: SecurityFocus.com und wenn in diesem Moment 23:16 dort auf Linux geklickt wird, ist Suse von einer "Verletzlichkeit" befallen, tausende Löcher sind dort zu finden, auch exploits im Source hier: wu-lnx.c für Kiddies: gcc wu-lnx.c das a.out ist dann der binaere exploit, diesen dann auf IP Adressen loslassen, zuerst auf die eigene...
Von Hendrik Falk am Fr, 19. Januar 2001 um 14:21 #
Hallihallo,
Linux-Viren gibt es schon seit einiger Zeit, die Uni Magdeburg testet diese Linux-Scanner auch (neben FreeBSD & Co.) Das interessante: Die meisten AV-Programme fuer Linux finden keine Linux-Viren!!! (Stand unter "Test fuer ComputerChannel")
Hier der Link: http://www.av-test.de
btw: Die haben scheinbar auch den c't-Test gemacht.
Ist es nicht richtig das die meisten Linux-Virenscanner keihe Linux Viren finden. Mir war so als ob die meisten von denen nämlich nur dafür da sin Windows Viren abzuhalten (z.B. Mail Filtern).
Naja, ich bin SuSE-User, da kann ja som etwas nicht passieren. Neenee, Quatsch, klar kann das da auch passieren. Ich habe mein System aber einigermaßen dicht gemacht, das geht ganz gut in der rc.config sowie über das harden_suse-Script, was seit einiger Zeit auf der Distri mit drauf ist. Nur zu empfehlen. MfG
Tja, das hat man vom Kommerz. Immer größer, schneller, weiter, besser. Und die Sicherheit??? Die fällt total unter den Tisch. Firmen wie RedHat sind nunmal auf schwarze Zahlen angewiesen, was bedeutet: immer mehr Software, mehr CD's, höhere Versionsnummer (am besten im Monatstakt und immer gleichauf (noch besser eins höher) mit SuSe. Wenn ich mir die Configfiles von RedHat (auch von SuSe etc.) ansehe wird mir einfach nur schlecht. Da laufen zig Systemdienste die kein Mensch braucht, nur damit jeder 1.000.000ste Dödel auch "sofort" diesen Dienst nutzen kann ohne am System zu drehen. Mir wird ganz schwarz vor Augen wenn ich immer höre "Firma X setzt auf RedHat". Eigentlich eine feine Sache, wenn... tja... wenn der Admin nicht gerade eine dieser tollen IT-Ausbildungen hinter sich hat und ohne graphische Installation nicht mal ein X auf die Platte bekommt. Linux hin, Linux her... ohne ein anständiges Fachwissen ist auch die beste Distribution nur Schrott. Distrib. stellen den Grundstein für eine Linuxinstallation dar, die aber auf gegebene Umstände angepasst werden müssen. Das scheinen einige Leute nicht so ernst zu nehmen und hoffen, daß nach dem anklicken von Serverinst. schon alles glatt laufen wird. Da kann man auch ein NT hinstellen auf dem nichtmal ServicePack 1 installiert ist. Laufen tun beide Systeme, aber die Sicherheit... Karl B. aus G. "Ja klar. Warum sollte System X nicht sicher sein. Da läuft doch ein brandneues RedHat X. Das ist doch "das Linux schlecht hin". Und RedHat ist doch in aller Munde. Ich glaube nicht das die sich soetwas leisten können". Falsch gedacht... Leider!
Wenn mein Kater von Würmern befallen ist, normale Sache, da er Vögel jagt und frißt, dann bekommt er eine in Schweinsgehacktes verpackte halbe Antiwurmpille und die Angelegenheit ist erledigt
Moment mal, wer ne Redhat Default Install ohne nachzudenken ins Netz haengt ist selber schuld.
Aufgeschreckt durch die Meldungen hab ich bei meinem Rechner ausserhalb der Firewall (Redhat 6.2) mal nachgesehen. Den relevanten Fix für den wu-ftpd habe ich im _Juni_ letzten Jahres eingespielt. Ein portmapper ist dort natürlich noch nie gelaufen, geschweige denn ein lpd.
nunja was soll man von MR kommentar nun schlussfolgern ? Ich persönlich sehe die sache nicht so schwarz. Ich kenne Debian user, die keine Ahnung von internet-sicherheit haben und trotzdem ein relativ sehr sicheres system haben. Ich glaube, das es eben sicher (Debian z.B.) und unsicher (Suse z.B.) Distris gibt. Wie dem auch sei stimme ich MR zu, was nützt das sicherste sys., wenn der Admin keine Ahnung hat
Debian fällt nicht so stark unter Kommerzsysteme wie RedHat und SuSe. Außerdem geht es doch um die Installation von Rechnern, die quasi permanent am Netz hängen. Das ein Privatnutzer ein Sendmail vorkonfiguriert von einer Distri. leicht abgewandelt einsetzt ist die eine Sache. Man kann auch nicht von jedem Linuxnutzer erwarten, dass er eine Apache-, Sendmail-, SSH- und Firewall-Konf. im Schlaf vornimmt. Aber von einem Admin, der diesen Beruf ausübt, eine Firma im Internet vertritt und für dessen Datensicherheit verantwortlich ist (und dafür noch Geld bekommt ;op), möchte man das doch erwarten.
Ich finde nicht das es Sichere und unsichere Distries gibt. Nur welche mit anderen Schwerpunkten bei der Standartinstallation. Debian will vor allem Server -> Standartinstallation für Server optimiert. SuSE will vor allem Desktop-> Standartinstallation für Desktop Optimiert, wie auch der ganze Installer. Geht man aber bei SuSE (und das trifft sicher auch aufh Red Hat und co zu) mit dem gesichtspunkt der Sicherheit ran ud nimmt nicht Yast2 sonder Yast1 für die installation (Yast2 ist halt füt Desktop Optimiert) kann man auch SuSE sehr sicher machen, ist halt auch nur Linux. EinE Yast1 Installation ist dabei auch nicht schwerer als eine normale Debian installation. Ich Denke die größte gefahr sitzt immer vor de Rechner
Also ich habe SuSE. Wobei SuSe für mich sowieso das beste System ist. Es nimmt einem mit Yast und Sax sehr viele kleine Arbeiten ab, Arbeiten, wofür ich sowieso keine Lust habe in manueller Kleinarbeit mir einen abzubrechen, so wie die sogenannten Profis das gerne tuen. Sicherheitslücken werden immer sofort ins Netz gestellt, damit jeder sein Update machen kann, außer natürlich die sogen. Profis, die machen das sicherlich anders und professioneller. Ich habe vor kurzem mal Red Hat und Mandrake installiert. Habe fast die Krätze bekommen. Aber das lag wahrscheinlich daran, wenn man ein gutes System gewohnt ist auch was die Ad- ministration angeht. Wenn ich die bunten Bildchen bei Red und Mandrake sehe, werde ich immer an die Systemsteuerung von Windows erinnert. Freue mich schon auf Eure Kommentare.
Na denn... der erste Kommentar :-) Ich war jahrelang SuSE-User (seit 5.3). Aber mit der aktuellen 7er Version hat SuSE den Bogen deutlich überspannt. Die einzige SuSE-Version die ich ohne Probleme sowohl auf meinem Notebook als auch auf meinem DeskTop installieren konnte war die 5.3er! Entweder PCMCIA geht nicht, Modem geht nicht, Soundkarte geht nicht, Drucker geht nicht, kPPP geht nicht, NFS geht nicht. Es war jedesmal was anderes. Ich hab zwischenzeitlich von Caldera über RedHat bis zu CorelLinux alles ausprobiert. Alles war noch schlechter wie SuSE, da geb ich Dir recht Aaaaaaaaaber.... Dann hab ich Mandrake getestet und war sofort hin und weg! Was die Installation angeht kann sich SuSE, RedHat und sogar MS noch 'ne Scheibe abschneiden! Z.B. werde ich bei der Installation gefragt ob die lieber X3 oder X4 verwenden möchte und mir wird dabei noch erklärt was das eine oder das andere für Vorteile hat. Und das in einfachen unkomplizierten Dialogen. Auch die Paketverwaltung ist bei MD wesentlich besser gelößt (wer einmal SuSE auf einem Notebook mit YaST2 installiert hat der weis was ich meine ;-). Sicher hat DrakeConf viele bunte Bildchen und ist an die Systemsteuerung von Windows angelehnt. Ich aber als Otto-Normaluser möchte für ein Mini-NFS nicht ellenlange Handbücher wälzen oder mich mit etc.exports herumärgern. Da ist Mandrake einfach besser. Sicher ist keine Distri optimal, jeder muß für sich entscheiden was für ihn das beste ist. Und der Umstieg ist immer schwierig da nicht alle Distis gleich zu konfigurieren/verwalten sind...
ok, fuer den linux-einsteiger ist eine distribution sicher das bessere. wer aber genau wissen will, was wirklich in seinem system steckt sollte sein linux-system besser von grund auf selbst basteln (natuerlich von den sourcen und keine vorkompilierten sachen). wen das interessiert sollte mal http://www.linuxfromscratch.org/ oder http://www.netspace.net.au/~gok/power2bash/ checken.
Linuxfromscratch? Das ist doch Kinderkacke. Richtig professionell installiert man Linux, indem man mit einem Magneten die Moleküle auf der Festplatte richtig anordnet.
Von BufferOverflow am Fr, 19. Januar 2001 um 00:50 #
Hm, jetzt haben wir das Henne-Ei-Problem. Wie soll ich was kompilieren, wenn ich noch kein laufendes Dateisystem inkl Linuxkernel habe? Festplatte in nen anderen Rechner bauen, Dateisystem formatieren, Compiler installieren und dann wieder in den anderen Rechner einbauen und los gehts?
Um das ganze noch unertraeglicher zu machen: Sollte ich den Compiler voher auch noch kompilieren? Und wo wir schon dabei sind, warum loete ich die Hauptplatine und die Festplatten, etc nicht selber zusammen...wer weiss, vieleicht schiebt mir IBM, MSI, AMD, Intel ja irgendwie nen Trojaner unter........alles muss man selber machen.....
*lol* :) LFS ist wirklich nicht so gut geeignet um auf ein frisches system installiert zu werden. ;) aber es koennte nichts schaden, wenn diese systemadministratoren in ihrer freizeit ein wenig damit rumspielen wuerden. man lernt wirklich viel dabei, obwohl es eigentlich sehr simpel ist (man kriegt ja jeden schritt erklaert). eine WIRKLICHE aufgabe waere es wohl, sich ein komplett eigenes system zusammenzustellen, mit eigenen init scripten, eigener verzeichnisstruktur... aber nee, so noetig hab ich das nicht *g*
Natürlich musste irgendwie auf einem bestehenden System anfangen, um den Compiler, die libc, kernel, usw. zu bauen (vielleicht sogar unter DOS??? Aber ob nötig oder nicht, dem Bastler bringts viel Spass (andere haben Modelleisenbahnen o.ä.) And remember: Real programmers don't edit any code, they patch the binary
Mangelnde Alternativen? Allerdings hat RH dazugelernt, so dass RH7 in der Grundeinstellung ziemlich sicher ist und nur durch aktive Administratoreinwirkung Sicherheitsloecher entstehen...
Eine Ausnahme sind Bugs in grundlegenden Systemkomponenten (wie rpc.statd). Da sind andere Distributionen aber theoretisch genauso betroffen und hatten bei diesem Wurm nur Glueck wegen ihrer geringeren Verbreitung... ;)
> aus welchem Grund ein bekanntermaßen > unsicheres (wu-ftpd)
Stimmt, wu-ftpd ist unsicher. Aber welche sicherere Alternative gibt es fuer Linux? (Nein, proFTPD ist keine -- ich wollte eine _sicherere_).
Ausserdem ist wu-ftpd per default deaktiviert auf RH7 Maschinen.
Von Ralph Miguel am Fr, 19. Januar 2001 um 17:51 #
Ich schaeme mich dafuer, vorhin in meinem Posting den Wurm zum Virus befoerdert zu haben und werde zur Strafe meinen gesamten Schriftverkehr eine Woche lang mit dem Vi erledigen.
Wie Virus? Habe ich da was ueberlesen? Linux ist nach wie vor praktisch resistent gegenueber Viren. Das hier ist ein Wurm - eine Hackerangriff, meistens ueber ein Netzwerk. Das eine hat mit dem anderen nichts zu tun!
Von Christoph Hellwig am Fr, 19. Januar 2001 um 08:32 #
Ich finde es interresant, daß ihr hier alles auf RedHat schiebt, da der exploit prinzipiell mit jeder distri funktioniert, die noch die (ur-) alten packete hat.
Wer aber sein system nicht auf nem aktuellen Stand haelt, braucht sich ueberhaupt nicht wundern...
Hehe... jetzt ist RedHat nicht nur binär inkompatibel zu anden Linuxen, nein es emuliert mittlerweile sogar Windoof! ;-)
Nein, mal im Ernst - ich höre jetzt schon die WinDAUs schreien: "hab' ich doch gewußt!" Und dann muß man denen erneut den Unterschied zwischen Würmern und Viren erklären und das es einen erheblichen Unterschied macht, ob man Lücken in OSS Software hat oder ob ich auf die Service-Pack Gnade eines einzelnen Herstellers angewiesen bin.
Echt, Windows-User machen einem das Leben unglaublich schwer...
Sorry, Paule! Aber config-files mit dem vi bearbeiten ist mir nicht fremd. Und es tut mir Leid, wenn Du den Smiley respektive denn humoristischen Anstz in meinem Posting nicht erkannt hast und Dich daher *persönlich* angegriffen fühlst. Natürlich sind nicht alle Widoof-User blöd. Immerhin muß ich auf der Arbeit (zum Glück nur da...) ja selber oft mit NT arbeiten. Aber ich dachte, in einem Linux-Forum gehört das Klappern zum Handwerk?
Naja, bevor Du mir Unreife, Pickel und einen miesen Charakter unterstellst sollten wir uns mal lieber auf ein Bier treffen, gell?!
Von Hans Himbele am Fr, 19. Januar 2001 um 10:19 #
Ich weiss gar nicht, was die Diskussion den soll, die Probs sind doch seit Lichtjahren gefixt! Vielleicht sollte der eine oder andere auch mal unter Red Hat einfach up2date aufrufen oder das Red Hat Network (RHN) testen. Für echte Puristen gibts dann auch noch http://www.redhat.com/erata - das ggeht auch mit lynx!
Wie so oft hat diese Geschichte den Ausgangspunkt bei CNET und ist einfach schlecht recherchiert, bzw. der Schreiberling hat einfach keine Peilung.
Das Problem ist wohl eher von medialer Natur: täglich werden exploits und bugs von Entwicklern und Admins entdeckt und / oder gefixed. Nur wenn denn mal jemand 'nen Angriff auf eine Sicherheitslücke startet und irgendwer hat verpennt auf seinem System den wu-ftpd zu patchen - dann ist's halt wieder die Debatte nach dem besseren OS (Linux, was denn sonst?!).
So in etwa...
lodger, den man heute besser nicht all zu ernst nimmt...
gibts bei der suse-distri ne möglichkeit einen kompletten systemcheck zu machen ? ich habe keine lust hunderte von bugfixes und securityfixes runterzuladen und zu installieren.
Von ex-Anonymous am Fr, 19. Januar 2001 um 11:32 #
Das ist der Preis, den man für immer mehr "Einsteigerfreundlichkeit" zahlt. Natürlich ist man selbst schuld, wenn man eine "out of the box" Installation nutzt. Aber, auch WindowsNT/2000 wäre von "I love you" nicht befallen worden, wenn es vernünftig administriert worden wäre. Weil - Windows2000 kann abgesichert werden, ob ihr ihrs nun glaubt oder nicht.
Wenn jeder Linux einsetzten kann, ist die Verlockung groß, das die "Freizeitadmins" wieder kommen, die neben ihrer eigentlichen Arbeit noch nebenbei administrieren. So wie das mit Windows häufig der Fall war/ist. Nur hat Windows in Punkto Sicherheit keinen Ruf zu verlieren. Linux schon. Und das kann mal ganz gewaltig nach hinten losgehen.
Ein großer dt. Autoverleiher hat einen Apache auf einer out-of-the box Suse 7 installation stehen. Der wurde mal nebenbei aufgesetzt- weil, "Linux ist ja sicher und doch gar nicht so schwer" (Originalzitat; bezogen auf yast2).
Naja, mal sehen wo uns diese immer weitergehende Entfernung von den Unix Wurzeln bringen wird.
Kurze Antwort auf die Frage, wie man unter SuSE einen kompletten System-Check macht. Du kannst ja mal einen kleinen Portscan über dein System laufen lassen. Probier's mal mit nmap -p 1-50000 . Dann zeigt er dir alle ports an, die offen sind. Als weiteres kannst du von der Distri-CD das harden_suse Script über das System laufen lassen, das dichtet auch noch einiges ab. MfG
Da Yast Standart ist wirst du es damit machen müßen. Yast kann Software über System Updaten aktualisieren. Das sind dann allerdings komplette Versionen der Programme (kann aber gerade nicht nachsehen -> Windows). Die Bug Fixes sind ja nur änderungen, nicht alles nochmal. Man kann auch auswählen was aktualisiert werden soll.
Mal ne ganz kurze frage an euch _alle_ ! was denkt ihr eigenlich was das problem ist ?
#1, wie schon erwähnt, jeder der sich seine Updates nicht zieht is selberschuld. #2, wenn man als normaler user([fast] keine rechte) leuft, kann eigenlich garnix passiren , was system relevant sein könnte. Na schön, und wenn da halt n virus im Homeverzeichniss wütet, was soll er denn machen ? #3, hier mal ein appel an die progger von vieren: sagt mal hab ihr alle zu viel zeit ? schreibt lieber [vernünftige] tools. Und verschwendet eure zeut nicht mit Virus Progging. ihr könntet genau sogut system utilities schreiben, die allen helfen würden.
Ich hoffe, diese nehmen sich alle zu herzen, die sich angesprochen fühlen.
Zu #3: Die Selbstgefaelligkeit der Linux-Gemeinde in Bezug auf Viren & Co. hat das ja geradezu herausgefordert. Und da dieser aktuelle Wurm ja keine echte Schadfunktion hat, sollte man dem Programmierer dankbar sein und eine Spende zukommen lassen, auf das er seine aufklaererische Arbeit fortsetzen moege.
#2 ...... was willst Du denn damit sagen ? Wenn die Daten der User weg sind ist das nicht weiter tragisch ? Na da kenne ich aber etliche Leute die das garnicht witzig finden würden.
Das ist das Schöne am Tux, man(n) kann alles machen, wenn man es kann ... Es ist auch nicht jedermanns Sache ein System komplett über kryptische Text-Files zu steuern. Linux darf nicht den selben Fehler wie die in Redmont machen: Alles immer bunter auf Kosten der allgemeinen Systemsicherheit. Lasst uns den Wurm eine Warnung sein!
Ich bin mit SuSE 7.0 fast zufrieden. Vor allem die Hardwareerkennung für die wichtigsen Geräte find ich klasse. Weningstens kein lästiges einbinden mit irgendwelchen config-files. Mich stört nur das eine neue Distri mit veralteter Software daher kommt. Die Fehlerhinweise kommen auch immer ein bisschen später. Aber man wird weningstens mit Fehlern konfrontiert. So lernt man denn sehr schnell, das man bei der Installation vielleicht doch die Pakete selber ankreuzen sollte und nur das installiert, was man auch wirklich braucht. Linux muß man mit vollem Bewußtsein und Gewissen installieren. Es ist tödlich das alles mal so nebenbei zu machen und sowas dann noch ans Internet hängen ist dann die Höhe.
Ich kann dazu auch nur sagen, wer sich nicht mit der Materie beschäftigt und dann weint wenn er sich einen Wurm einfängt ist selbst schuld ! Nachwas zum Thema SuSE : Ich war selbst ca. 3 Jahre ein SuSE User und glücklich mit den ganzen *nützlichen* Tools die einem das System von ganz alleine konfigurieren, doch wenn wir mal ehrlich sind, dadurch lernt man sein System doch nicht kennen... Nach meinem Umstieg auf Debian bin ich jetzt sehr viel tiefer in die Systemeigenarten eingestiegen und mich mit der Sicherheitsfrage beschäftigt. Ich kann nur jedem raten der ein sicheres System haben will, auf Debian umzusteigen und die Config-Files mit vi von Hand zu konfigurieren. Das ist der einzige Weg zu wissen was genau auf dem System abgeht und Sicherheitslücken zu schließen und auch zu verstehen warum dies eine Sicherheitslücke darstellt !!
Von Ralph Miguel am Sa, 20. Januar 2001 um 18:37 #
Na klar, den Vi gibt es ja auch exklusiv nur fuer Debian und jeder, der damit umgehen kann, ist automatisch ein gesalbter Unix-Guru. Meine Guete, bei allen Unix/Linux-Versionen landet man frueher oder spaeter auf der Textzeile, weil die ganzen Konfigurationstools nur begrenzte Moeglichkeiten bieten. Das ist ganz normal (aber bitte mit dem Emacs) und macht Spass. Davon ab: selbst die Slackware-Leute sind gehackt worden, und die wissen bestimmt besser, wie man mit dem Vi umgeht.
Warum muß man sich eigentlich mit dem vi rumquälen? Da gibs doch noch andere Editoren. Ich seh beil allen irgendwie nicht richtig durch, desshalb nehm ich kwrite wo immer es geht. Läuft aber leider nur unter X. Gibs da nicht vieleicht ne Portierung für die Konsole?
mit vim quaelt man sich keinesfalls ab, im gegenteil. :) aber wer keine lust hat erst die bedienung eines editors zu lernen (obwohl es sich lohnen wuerde!) der kann auf der konsole z.b. joe verwenden. das war lange zeit mein lieblingseditor und einer der einfachsten. STRG+K um ins menue zu kommen. dann H fuer hilfe, Q zum beenden, W zum speichern u.s.w. ziemlich einfache und intuitiv. wer es noch einfacher haben will kann auch ee verwenden, der zeigt auf einem teil des bildschirms die wichtigsten shortcuts an. ;) pico habe ich auch schon oft erwaehnt gehoert, aber selber nie eingesetzt.
Von Ralph Miguel am So, 21. Januar 2001 um 08:44 #
Ausserdem waere da noch mcedit, das ist der Editor aus dem Midnight Commander. Der kann immerhin Suchen/Ersetzen und noch einiges mehr wie Highlighting usw. Der von Spark angesprochene Pico (PineComposer) ist absolut narrensicher, reisst aber nicht allzuviel. Immerhin hat er die Shortcuts unten im Fenster aufgelistet. Und wer Bock hat, etwas zu bueffeln, muss durchaus nicht den Vi nehmen sondern kann sich am (X)Emacs versuchen.
ich kenn da noch einen guten text editor edy. war bis suse 6.4 dabei. ähnlich dem dos programm "edit". Mit menüs und ohne kmplizierte commands. ich habe sämtliche config files mit diesem editor aus dem Jahre 1992 angepasst.
Oh ja, den kenn ich auch noch. War nett das ding. Aber mcedit ist denke ich umstieger noch einfacher zu verwenden. Ich persönlich finde ihn sehr gut. Ich mag vi wie viele auch nicht sonderlich, ich will Dateien Editieren, nicht den Editor bedienen lernen;)
Da fällt wohl ein Mythos ......
Naja, früher oder später musste es ja auch was für Linux geben.
RaBa
Das man in Linux allen Mist installieren kann und dennoch das System sicher ist?
Man kann Linux im Unterschied zu den NT-basierenden Windowsvarianten sehr sicher machen. Bei M$ muss man das System aufwendig härten und hinterher kann man das Arbeiten dann aber auch vergessen.
Das man auch aus einem Edelstein Schei**e machen kann, weiss jeder.
wiso Mythos? In der aktuellen c't (oder wars IX) ist ein Artickel über Viren drin - für Linux gibts über 40 Viren, die in der Regel aber harmlos sind.
Christian
tausende Löcher sind dort zu finden, auch exploits im Source hier: wu-lnx.c für Kiddies: gcc wu-lnx.c das a.out ist dann der binaere exploit, diesen dann auf IP Adressen loslassen, zuerst auf die eigene...
Linux-Viren gibt es schon seit einiger Zeit, die Uni Magdeburg testet diese Linux-Scanner auch (neben FreeBSD & Co.)
Das interessante: Die meisten AV-Programme fuer Linux finden keine Linux-Viren!!! (Stand unter "Test fuer ComputerChannel")
Hier der Link:
http://www.av-test.de
btw: Die haben scheinbar auch den c't-Test gemacht.
die sicherheitslücke war ja nun lange genug hinlänglich bekannt.
Nur zu empfehlen.
MfG
Aufgeschreckt durch die Meldungen hab ich bei meinem Rechner ausserhalb der Firewall (Redhat 6.2) mal nachgesehen. Den relevanten Fix für den wu-ftpd habe ich im _Juni_ letzten Jahres eingespielt. Ein portmapper ist dort natürlich noch nie gelaufen, geschweige denn ein lpd.
Am besten den wu-ftpd selbst kompilieren mit
paranoid und kein SITE EXEC , so ist auch ein hornalter wu-ftpd (relativ) sicher.
gehört zwar nicht hier her, aber gib Deiner Katze kein Schweinfleisch "is nich gut für se".
Debian will vor allem Server -> Standartinstallation für Server optimiert. SuSE will vor allem Desktop-> Standartinstallation für Desktop Optimiert, wie auch der ganze Installer.
Geht man aber bei SuSE (und das trifft sicher auch aufh Red Hat und co zu) mit dem gesichtspunkt der Sicherheit ran ud nimmt nicht Yast2 sonder Yast1 für die installation (Yast2 ist halt füt Desktop Optimiert) kann man auch SuSE sehr sicher machen, ist halt auch nur Linux. EinE Yast1 Installation ist dabei auch nicht schwerer als eine normale Debian installation.
Ich Denke die größte gefahr sitzt immer vor de Rechner
sowieso das beste System ist. Es nimmt
einem mit Yast und Sax sehr viele kleine Arbeiten ab, Arbeiten, wofür ich sowieso
keine Lust habe in manueller Kleinarbeit mir
einen abzubrechen, so wie die sogenannten
Profis das gerne tuen. Sicherheitslücken
werden immer sofort ins Netz gestellt, damit
jeder sein Update machen kann, außer
natürlich die sogen. Profis, die machen das
sicherlich anders und professioneller.
Ich habe vor kurzem mal Red Hat und Mandrake installiert.
Habe fast die Krätze bekommen. Aber das lag
wahrscheinlich daran, wenn man ein gutes
System gewohnt ist auch was die Ad-
ministration angeht. Wenn ich die bunten
Bildchen bei Red und Mandrake sehe, werde
ich immer an die Systemsteuerung von Windows
erinnert. Freue mich schon auf Eure Kommentare.
Ich war jahrelang SuSE-User (seit 5.3). Aber mit der aktuellen 7er Version hat SuSE den Bogen deutlich überspannt.
Die einzige SuSE-Version die ich ohne Probleme sowohl auf meinem Notebook als auch auf meinem DeskTop installieren konnte war die 5.3er! Entweder PCMCIA geht nicht, Modem geht nicht, Soundkarte geht nicht, Drucker geht nicht, kPPP geht nicht, NFS geht nicht. Es war jedesmal was anderes. Ich hab zwischenzeitlich von Caldera über RedHat bis zu CorelLinux alles ausprobiert. Alles war noch schlechter wie SuSE, da geb ich Dir recht Aaaaaaaaaber....
Dann hab ich Mandrake getestet und war sofort hin und weg! Was die Installation angeht kann sich SuSE, RedHat und sogar MS noch 'ne Scheibe abschneiden! Z.B. werde ich bei der Installation gefragt ob die lieber X3 oder X4 verwenden möchte und mir wird dabei noch erklärt was das eine oder das andere für Vorteile hat. Und das in einfachen unkomplizierten Dialogen. Auch die Paketverwaltung ist bei MD wesentlich besser gelößt (wer einmal SuSE auf einem Notebook mit YaST2 installiert hat der weis was ich meine ;-).
Sicher hat DrakeConf viele bunte Bildchen und ist an die Systemsteuerung von Windows angelehnt. Ich aber als Otto-Normaluser möchte für ein Mini-NFS nicht ellenlange Handbücher wälzen oder mich mit etc.exports herumärgern. Da ist Mandrake einfach besser.
Sicher ist keine Distri optimal, jeder muß für sich entscheiden was für ihn das beste ist. Und der Umstieg ist immer schwierig da nicht alle Distis gleich zu konfigurieren/verwalten sind...
DV
würmer gabs schon für +nixe bevor B.G. programmieren gelernt hat, upsss der kanns ja immer noch net
wer aber genau wissen will, was wirklich in seinem system steckt sollte sein linux-system besser von grund auf selbst basteln (natuerlich von den sourcen und keine vorkompilierten sachen).
wen das interessiert sollte mal http://www.linuxfromscratch.org/ oder http://www.netspace.net.au/~gok/power2bash/ checken.
indem man mit einem Magneten die Moleküle auf der Festplatte richtig anordnet.
;)
Wie soll ich was kompilieren, wenn ich noch kein laufendes Dateisystem inkl Linuxkernel habe?
Festplatte in nen anderen Rechner bauen, Dateisystem formatieren, Compiler installieren und dann wieder in den anderen Rechner einbauen und los gehts?
Um das ganze noch unertraeglicher zu machen: Sollte ich den Compiler voher auch noch kompilieren? Und wo wir schon dabei sind, warum loete ich die Hauptplatine und die Festplatten, etc nicht selber zusammen...wer weiss, vieleicht schiebt mir IBM, MSI, AMD, Intel ja irgendwie nen Trojaner unter........alles muss man selber machen.....
:-))))
LFS ist wirklich nicht so gut geeignet um auf ein frisches system installiert zu werden. ;)
aber es koennte nichts schaden, wenn diese systemadministratoren in ihrer freizeit ein wenig damit rumspielen wuerden. man lernt wirklich viel dabei, obwohl es eigentlich sehr simpel ist (man kriegt ja jeden schritt erklaert). eine WIRKLICHE aufgabe waere es wohl, sich ein komplett eigenes system zusammenzustellen, mit eigenen init scripten, eigener verzeichnisstruktur...
aber nee, so noetig hab ich das nicht *g*
bestehenden System anfangen, um den Compiler,
die libc, kernel, usw. zu bauen (vielleicht
sogar unter DOS??? Aber ob nötig oder nicht,
dem Bastler bringts viel Spass (andere haben
Modelleisenbahnen o.ä.) And remember:
Real programmers don't edit any code, they
patch the binary
Mit einem Magneten werden es die
Profi-Admins nicht machen. Die haben
sicherlich eine aufwendigere Methode
entwickelt.
(laut heise.de)
doch wurde genau diese version am 18 oktober 99 released...
Mangelnde Alternativen? Allerdings hat RH
dazugelernt, so dass RH7 in der Grundeinstellung ziemlich sicher ist und nur
durch aktive Administratoreinwirkung
Sicherheitsloecher entstehen...
Eine Ausnahme sind Bugs in grundlegenden
Systemkomponenten (wie rpc.statd). Da sind
andere Distributionen aber theoretisch
genauso betroffen und hatten bei diesem Wurm
nur Glueck wegen ihrer geringeren
Verbreitung... ;)
> aus welchem Grund ein bekanntermaßen
> unsicheres (wu-ftpd)
Stimmt, wu-ftpd ist unsicher. Aber welche
sicherere Alternative gibt es fuer Linux?
(Nein, proFTPD ist keine -- ich wollte eine _sicherere_).
Ausserdem ist wu-ftpd per default deaktiviert
auf RH7 Maschinen.
> und ein weitgehend nutzloses Programm
> (statd)
Du weisst, was rpc.statd macht, oder?
Bitte erlauetere um mich zu erhellen.
MfG, Gernot
> _sicherere_).
> Bitte erlauetere um mich zu erhellen.
Die letzten bei BugTraq gemeldeten remote-Exploits fuer wu-ftpd & proFTPD:
2000-12-21
http://www.securityfocus.com/bid/2185 (proFTPD)
2000-07-11
http://www.securityfocus.com/bid/1505 (wu-ftpd)
Wo soll proFTPD bitteschoen sicherer als
wu-ftpd sein?
Wer aber sein system nicht auf nem aktuellen Stand haelt, braucht sich ueberhaupt nicht wundern...
Christoph
inkompatibel zu anden Linuxen, nein es
emuliert mittlerweile sogar Windoof! ;-)
Nein, mal im Ernst - ich höre jetzt schon
die WinDAUs schreien: "hab' ich doch gewußt!"
Und dann muß man denen erneut den Unterschied
zwischen Würmern und Viren erklären und das
es einen erheblichen Unterschied macht, ob
man Lücken in OSS Software hat oder ob ich
auf die Service-Pack Gnade eines einzelnen
Herstellers angewiesen bin.
Echt, Windows-User machen einem das Leben
unglaublich schwer...
lodger
und jetzt erklaer mir bitte den unterschied...
bitte bitte, zeigs mir bloedem windows-user.
solche leute wie du kotzen mich an. haben wahrscheinlich selber noch nie ein config-file mit dem vi angefasst....
pm
Sorry, Paule! Aber config-files mit dem vi
bearbeiten ist mir nicht fremd. Und es tut
mir Leid, wenn Du den Smiley respektive denn
humoristischen Anstz in meinem Posting nicht
erkannt hast und Dich daher *persönlich*
angegriffen fühlst. Natürlich sind nicht alle
Widoof-User blöd. Immerhin muß ich auf der
Arbeit (zum Glück nur da...) ja selber oft
mit NT arbeiten. Aber ich dachte, in einem
Linux-Forum gehört das Klappern zum Handwerk?
Naja, bevor Du mir Unreife, Pickel und einen
miesen Charakter unterstellst sollten wir uns mal lieber auf ein Bier treffen, gell?!
lodger, dem das *wirklich* unangenehm ist!
aufrufen oder das Red Hat Network (RHN) testen. Für echte Puristen gibts dann auch noch http://www.redhat.com/erata - das ggeht auch mit lynx!
Wie so oft hat diese Geschichte den Ausgangspunkt bei CNET und ist einfach
schlecht recherchiert, bzw. der Schreiberling hat einfach keine Peilung.
cheers
Hans
http://www.redhat.com/errata heissen!
cheers
Hans
Natur: täglich werden exploits und bugs
von Entwicklern und Admins entdeckt und
/ oder gefixed. Nur wenn denn mal jemand
'nen Angriff auf eine Sicherheitslücke
startet und irgendwer hat verpennt auf
seinem System den wu-ftpd zu patchen
- dann ist's halt wieder die Debatte nach
dem besseren OS (Linux, was denn sonst?!).
So in etwa...
lodger, den man heute besser nicht all zu
ernst nimmt...
ich habe keine lust hunderte von bugfixes und securityfixes runterzuladen und zu installieren.
Weil - Windows2000 kann abgesichert werden, ob ihr ihrs nun glaubt oder nicht.
Wenn jeder Linux einsetzten kann, ist die Verlockung groß, das die "Freizeitadmins" wieder kommen, die neben ihrer eigentlichen Arbeit noch nebenbei administrieren. So wie das mit Windows häufig der Fall war/ist. Nur hat Windows in Punkto Sicherheit keinen Ruf zu verlieren. Linux schon. Und das kann mal ganz gewaltig nach hinten losgehen.
Ein großer dt. Autoverleiher hat einen Apache auf einer out-of-the box Suse 7 installation stehen. Der wurde mal nebenbei aufgesetzt- weil, "Linux ist ja sicher und doch gar nicht so schwer" (Originalzitat; bezogen auf yast2).
Naja, mal sehen wo uns diese immer weitergehende Entfernung von den Unix Wurzeln bringen wird.
Als weiteres kannst du von der Distri-CD das harden_suse Script über das System laufen lassen, das dichtet auch noch einiges ab.
MfG
bereinigt.
ODER soll das eine anspielung auf
den Debian atp-get update sein ?
Die Bug Fixes sind ja nur änderungen, nicht alles nochmal.
Man kann auch auswählen was aktualisiert werden soll.
Hackers Looooooooove Nudels
Und das finde ich echt witzig.
Mann hört schon die Win-Users lachen über
uns.
was denkt ihr eigenlich was das problem ist ?
#1, wie schon erwähnt, jeder der sich seine Updates nicht zieht is selberschuld.
#2, wenn man als normaler user([fast] keine rechte) leuft, kann eigenlich garnix passiren , was system relevant sein könnte. Na schön, und wenn da halt n virus im Homeverzeichniss wütet, was soll er denn machen ?
#3, hier mal ein appel an die progger von vieren: sagt mal hab ihr alle zu viel zeit ? schreibt lieber [vernünftige] tools. Und verschwendet eure zeut nicht mit Virus Progging. ihr könntet genau sogut system utilities schreiben, die allen helfen würden.
Ich hoffe, diese nehmen sich alle zu herzen, die sich angesprochen fühlen.
danke.
Und da dieser aktuelle Wurm ja keine echte Schadfunktion hat, sollte man dem Programmierer dankbar sein und eine Spende zukommen lassen, auf das er seine aufklaererische Arbeit fortsetzen moege.
was willst Du denn damit sagen ?
Wenn die Daten der User weg sind ist das nicht weiter tragisch ? Na da kenne ich aber etliche Leute die das garnicht witzig finden würden.
aber mal im ernst: fuer nen viren-programmierer muss linux doch echt ein reiz sein ... endlich mal ne (richtige) herausforderung.
Es ist auch nicht jedermanns Sache ein System komplett über kryptische Text-Files zu steuern. Linux darf nicht den selben Fehler wie die in Redmont machen: Alles immer bunter auf Kosten der allgemeinen Systemsicherheit.
Lasst uns den Wurm eine Warnung sein!
Nachwas zum Thema SuSE : Ich war selbst ca. 3 Jahre ein SuSE User und glücklich mit den ganzen *nützlichen* Tools die einem das System von ganz alleine konfigurieren, doch wenn wir mal ehrlich sind, dadurch lernt man sein System doch nicht kennen...
Nach meinem Umstieg auf Debian bin ich jetzt sehr viel tiefer in die Systemeigenarten eingestiegen und mich mit der Sicherheitsfrage beschäftigt. Ich kann nur jedem raten der ein sicheres System haben will, auf Debian umzusteigen und die Config-Files mit vi von Hand zu konfigurieren. Das ist der einzige Weg zu wissen was genau auf dem System abgeht und Sicherheitslücken zu schließen und auch zu verstehen warum dies eine Sicherheitslücke darstellt !!
aber wer keine lust hat erst die bedienung eines editors zu lernen (obwohl es sich lohnen wuerde!) der kann auf der konsole z.b. joe verwenden. das war lange zeit mein lieblingseditor und einer der einfachsten.
STRG+K um ins menue zu kommen.
dann H fuer hilfe, Q zum beenden, W zum speichern u.s.w. ziemlich einfache und intuitiv.
wer es noch einfacher haben will kann auch ee verwenden, der zeigt auf einem teil des bildschirms die wichtigsten shortcuts an. ;)
pico habe ich auch schon oft erwaehnt gehoert, aber selber nie eingesetzt.
text editor edy. war bis suse 6.4 dabei. ähnlich dem dos programm "edit". Mit menüs
und ohne kmplizierte commands.
ich habe sämtliche config files
mit diesem editor aus dem Jahre 1992 angepasst.
Ich mag vi wie viele auch nicht sonderlich, ich will Dateien Editieren, nicht den Editor bedienen lernen;)