Login
Newsletter
Werbung

Thema: Warnung vor dem Löwen

38 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Blade Runner am Sa, 24. März 2001 um 20:51 #
Ich finde es wirklich Schlimm das Administratoren nicht in der Lage sind nach fast 2 Monaten ein Update einzuspielen. Die News über den Wurm sind doch in alle Newsticker und alle Zeitschriften zu finden gewesen. Ich persönlich versuche sogar auf meinem System zu hause immer auf dem aktuellen Stand zu bleiben und Admins die einen Server zu bedreuen haben den ganzen Tag sind zu blöd dafür.

Ich kann dazu nur sagen SCHWACH!!!!

mfg
bladerunner

[
| Versenden | Drucken ]
  • 0
    Von hjb am Sa, 24. März 2001 um 20:58 #
    Ich betreue selbst ein paar Systeme und habe mich gleich nach Bekanntwerden des Problems um den Update gekümmert. Das geschah dann per Telnet und dauerte nur ein paar Minuten, ohne daß ich zum Kunden fahren mußte.
    [
    | Versenden | Drucken ]
    0
    Von DrFaust am Sa, 24. März 2001 um 21:30 #
    Und dann heißt es wieder "Seht ihr, Linux ist gar nicht so sicher". Dabei lehrt dies nur eins: Linux schützt vor Dummheit nicht.
    Allerdings muß man zur "Verteidigung" von Windows sagen, daß hier auch weniger Gefahren drohen würden, wenn die Nutzer sich nicht so seltsam verhalten würden.

    Gruß,
    DrFaust

    [
    | Versenden | Drucken ]
    0
    Von LH am Sa, 24. März 2001 um 22:22 #
    Ich denke hier macht es euch zu einfach.
    Nicht jeder Server wird full Time von einem Admin bewacht. Viele stehen einfach da und sollen arbeiten, der jeniger der ihn Installiert hat, hat meist noch andere Dinge zu tun. Manchmal flutschen dann auch solch wichtige Updates einfach durch und werden übersehen oder vergessen.
    Viel Schlimmer finde ich das es überhaupt zu solch Gravierenden Fehlern kommt!
    Gibt es eine Sichere Alternative?
    [
    | Versenden | Drucken ]
    0
    Von Spark am Sa, 24. März 2001 um 23:49 #
    LH, siehe Neo2k's Antwort.
    Einen cronjob kann wohl jeder beschaeftige Admin noch einstellen. So kann das System immer mit den neuesten Sicherheitsupdates gefuettert werden, ohne jeglichen Aufwand.
    [
    | Versenden | Drucken ]
    0
    Von LH am So, 25. März 2001 um 00:14 #
    Das ist aber nicht zwangläufig die beste Wahl.
    Ich nutze z.B. auf unserem Firmen Server Pro-FTP (ich mag das ding ;) ) und brauchte bestimte Funktionen aus der Developer Version. Es gab aber eine Version die konnte kein Passive FTP, also muste ich eine Spezielle Version besorgen die eben doch Passive FTP kann (war wichtig). Da hilft mir eben kein Auto Update. Entweder es hat nur eine alte Version vob Pro-FTP oder mit gar über die alte Funktionierende Version diese Kaputte gebügelt.
    Das ist nur ein Beispiel das mir Spontan aus meiner Erfahrung eingefallen ist.
    [
    | Versenden | Drucken ]
    0
    Von Anonymous am So, 25. März 2001 um 09:25 #
    An bladerunner:

    Etwas Strukturierung und an den passenden Stellen eingestreute Satzzeichen würden deinen Beitrag fast in die Nähe der Lesbarkeit hieven.

    Und dann kurz _vor_ dem Abschicken nochmal drüberschauen und die gröbsten Fehler beseitigen.

    Das wär auch für viele Andere in diesem und ähnlichen Foren eine gute Vorgehensweise.

    [
    | Versenden | Drucken ]
    0
    Von Klaro am So, 25. März 2001 um 11:05 #
    @LH
    Es gibt Alternativen! Schau mal unter http://cr.yp.to.
    Das Ding nennt sich djbdns.
    D.J. Bernstein hat sogar eine Sicherheitsgarantie ausgesprochen. Jeder der im ein Sicherheitsloch nennt erhält 500$. Bisher kam noch keiner in den genuss dieser 500 Mäuse :-)
    [
    | Versenden | Drucken ]
    0
    Von Blade Runner am So, 25. März 2001 um 12:59 #
    @Anonymous

    Es wäre schön wenn du dir mal einen Nick oder einen richtigen Namen zulegst.

    Wäre es dir lieber wenn ich sowas wie ERSTER!!!! hinschreibe? Das ist ja wirklich viel besser als Fehler und das kann ich (meistens) auch ohne Fehler schreiben.

    Falls hier ein Satzzeichen fehlt, bitte ich darum mich in diesem Forum offiziell zu beschimpfen, steinigen und zu erhängen.

    PS: Wer ohne Sünde ist, werfe den ersten Stein (oder so ähnlich)

    [
    | Versenden | Drucken ]
    0
    Von Robert am So, 25. März 2001 um 18:40 #
    @hjb:

    Sicherheitsupdates per Telnet einspielen? Sehr sicher.

    [
    | Versenden | Drucken ]
0
Von Lutz am Sa, 24. März 2001 um 22:11 #
@hjb
ich würde dir ssh empfehlen

Gruß

[
| Versenden | Drucken ]
0
Von Neo2k am Sa, 24. März 2001 um 23:22 #
bei meinem debian, kann ich das update einfach in die cron reinschreiben, und da bin ich mir sicher, das immer die neuesten pakete drauf sind :-)
[
| Versenden | Drucken ]
  • 0
    Von Anonymouse ? am So, 25. März 2001 um 16:03 #
    Aha! Du hast sicher kein slink und keine Zonenfiles mit 4.9er Format und an die 3000 Domains oder ?
    Ein update auf potato ist nicht möglich, ohne großen aufwand (mehrer tage), leider :(

    Also alle die hier meinen "man hätte das hinbekommen können" haben wohl langeweile bei der Arbeit. Man muss einfach sehen, dass Systembetreuung nicht das einzige ist und immer Zurückstecken muss, wenn "wichtig" = geldbringende Dinge anstehen.

    Gruß

    [
    | Versenden | Drucken ]
0
Von Anonymous am So, 25. März 2001 um 03:50 #
und dein CRON beantwortet dann auch alle Fragen mit RETURN und liest für dich das Changes-File ... welch super Update ;))))
[
| Versenden | Drucken ]
  • 0
    Von Spark am So, 25. März 2001 um 04:03 #
    Fragen muss man nicht beantworten. Die default Einstellungen sind meistens voellig ausreichend. Wichtige Informationen bekommt der Administrator dann sowieso noch einmal per Email.
    Ob man das changes File dann noch einmal lesen moechte oder nicht, das bleibt jedem selbst ueberlassen. Sollte normalerweise auch nicht notwendig sein.
    [
    | Versenden | Drucken ]
0
Von Anonymous am So, 25. März 2001 um 03:52 #
ähem - wie spielt man RPMs per cron-job ein ?
[
| Versenden | Drucken ]
  • 0
    Von Anonymous am Mo, 26. März 2001 um 11:58 #
    > ähem - wie spielt man RPMs per cron-job ein ?

    rpm -F ftp://updates.redhat.com///*

    an geeigneter Stelle in der Crontab. Automatische Updates wuerde ich trotzdem nicht empfehlen...

    [
    | Versenden | Drucken ]
0
Von Anonymous am So, 25. März 2001 um 04:05 #
RTFM
[
| Versenden | Drucken ]
0
Von Anonymous am So, 25. März 2001 um 04:08 #
...sorry im kde ist es bestimmt nicht so genau beschrieben. aber man rpm und man crontab hilft dir bestimmt weiter ;)
[
| Versenden | Drucken ]
0
Von Anonymous am So, 25. März 2001 um 04:12 #
...hups das wichtigste hab ich natürlich vergessen... MAN BASH! ;)
[
| Versenden | Drucken ]
0
Von Anony Maus am So, 25. März 2001 um 12:28 #
Selber nichts wissen aber auf eine Menge man-pages verweisen: Tolle Leistung. Übrigens im bashmanual steht's nicht drin.
[
| Versenden | Drucken ]
0
Von Markus Riedl am So, 25. März 2001 um 13:38 #
Nicht Linux selbst ist die Sicherheitslücke,
sondern BIND !!
Bitte das nicht vergessen !!
[
| Versenden | Drucken ]
0
Von tmmw am So, 25. März 2001 um 14:30 #
Die grösste Sicherheitslück ist und bleibt jedoch der Mensch. Aber man sieht ja was herauskommt wenn das OS einem alle Entscheidungen abnimmt....
Ich will damit sagen, das wer nach 2 Monaten noch kein patch für BIND hat selber schuld ist.
[
| Versenden | Drucken ]
  • 0
    Von Anonymouse ? am So, 25. März 2001 um 16:16 #
    lass mich raten: stundent ? schüler ?
    oder 100 admins ? und wenns nur einer ist ?

    diese aussage ist vielleicht beim "hobby system" zutreffend aber kaum bei firmen

    also denk nochmal über deine aussage nach ...

    [
    | Versenden | Drucken ]
    0
    Von Kai Lahmann am So, 25. März 2001 um 21:13 #
    @Anonymouse:
    sooo viele Sicherheitslöcher gibt es nun auch nicht, dass man mehr als 2 Monate hängt beim einspielen der Patches. Es mag ausnahmen geben (der Patch hat unerwünschte "Nebenwirkungen" o.ä.), aber in der Regel geht das...
    [
    | Versenden | Drucken ]
0
Von Martin Rasp am So, 25. März 2001 um 20:21 #
Hi Leute.

Also ich finde es ja schön und gut, dass Ihr Euch mit allen Linux-Befehlen so toll auskennt. Meint ihr nicht, dass einem eher geholfen ist, wenn statt RTFM die Befehlszeile (für automatisches Update von RPMs) mal kurz hingeschrieben wird?

Nur weil Ihr so lange dafür benötigt habt, alle Befehle (evtl. durch Ausprobieren) zu lernen, wollt ihr die Informationen nicht weitergeben, sondern bestraft die Linux-Anfänger durch Antworten wie "RTFM" ???

Das wirkt ziemlich uncool und unprofessionell... Vielleicht soll Linux ja in Euren Augen wirklich nur von angehenden Hackern benutzt werden... bloß keinem Anfänger helfen... ich musste mir auch alles selber aneignen...

Ihr solltet Euch mal ein Beispiel an den Linux-Foren unter www.linuxszene.de nehmen... da liest man glücklicherweise nicht...

Desweiteren ist es wohl scheißegal, wenn hier irgendwer Komma- und sonstige Rechtschreibfehler macht... Habt Ihr nix anderes worüber Ihr Euch aufregen könnt?

Martin

[
| Versenden | Drucken ]
  • 0
    Von grovel am So, 25. März 2001 um 21:43 #
    Junge, junge, bloss nicht heftig ;-)
    Nein, eigentlich stimme ich mit dir überein, viele regen sich über weiss Gott was auf und andere (meistens blutige Anfänger) zelebrieren hier z.T. "Ich bin ein Linux-Guru"-Aussagen.

    ABER: Dies ist ein Diskussionsforum und kein Supportforum. D.h., jeder kann mehr oder weniger schreiben und reagieren wie er will. Der andere kann ja die Antwort ignorieren. Kein Mensch ist verpflichtet Reaktionen zu lesen und darauf zu antworten. Genausowenig bist du verpflichtet, hier mehr als nur die News zu lesen (und nicht einmal das) wenn dir das "Klima" hier nicht passt. Damit will ich dich nicht vergraulen, aber in den Diskussionen findest du eigentlich nur selten Hilfe auf eine konkrete Frage, vielleicht hat es zu viele Trolls, vielleicht zu viele Gurus, ich weiss es auch nicht. Hier werden normalerweise nur impulsive, spontane Meinungen kundgetan. Im Dj-Center (zu finden in der Leiste rechts) bekommst du dagegen meist informative und klare Hilfe innert nützlicher Frist.

    P.S.: RTFM /R-T-F-M/ imp.
    [Unix] Abbreviation for `Read The Fucking Manual'. 1. Used by gurus to brush off questions they consider trivial or annoying.

    [
    | Versenden | Drucken ]
0
Von Locutus am So, 25. März 2001 um 22:18 #
Ich sag nur djbdns.

Wozu benutz auf dieser Welt eigentlich noch irgendein vernünftiger Admin bind? Kann ich persönlich nicht verstehen.

[
| Versenden | Drucken ]
  • 0
    Von Klaro am So, 25. März 2001 um 23:11 #
    @Locutus
    Du sagtst nur djbdns, ich sag nur djbdns s.o.

    Der Haken an der Sache ist aber, dass djbdns relativ unbekannt ist. Und es vielen Admins nicht passt mehrere bis viele konfigfiles zu haben.

    Der supervisior prozess ist einer der besten prozesse die ich jemals gesehen habe :-).

    [
    | Versenden | Drucken ]
    0
    Von Shakespeare am Mo, 26. März 2001 um 13:14 #
    Ich versteh' es schon. Wer sich im Studium mit UNIX-Netzwerken befasst und die einschlägige Literatur liest, kombiniert mit den einschlägigen Vorlesungs- und Prüfungsinhalten, der ist auf BIND einfach fixiert, weil es DAS Standardwerkzeug für den Nameservice ist. Genauso wie sich kaum ein älterer studierter Admin vorstellen kann, dass etwas anderes als sendmail den Port 25 sinnvoll zu überwachen imstande ist.

    Anders gesagt: Was die Leute fünf mal ,,aus berufenem Munde`` hören, wird nicht mehr hinterfragt.

    William

    [
    | Versenden | Drucken ]
    0
    Von LH am Mo, 26. März 2001 um 13:23 #
    WAS? KEIN Sendmail? Niemals ! ;))

    Hehe, und nun alle wiederholen: M$ ist gut, BG unser Kaiser, M$ ist gut, M$ bekommt aaallll unser Geld. BG wir lieben dich ... :)
    SCNR

    [
    | Versenden | Drucken ]
0
Von Udo am Mo, 26. März 2001 um 00:46 #
Ich frag mich nur,was haben die leute davon solche lücken ausfindig zu machen(ist mit sicherheit viel Arbeit) und dann in ein paar unbedeutende Rechnern rumzustöbern.
So wie ich das hier lese,wird es in sicherheitrelevanten bereichen eine bessere Administration geben und solche lücken nicht lange offen bleiben.
Also wo ist der Sinn sich mit einer solchen scheiße zu befassen, wie einen Virus schreiben?
Ist denn in so einem Bereich auch Geld zu verdienen,wo doch alles auf Komerz raus ist?
Wer sowas in seiner Freizeit entwickelt,der muss wirklich scheissen dämlich sein.
Sorry für meine ausdrucksweise,aber
über nutzlose Programierleistung bin ich nicht gerade angetahn.
Wenn die in einem Pentagonrechener damit kommen würden,aber nein es trifft nur einen Ahnungslosen Internetbenutzer der höchstens ein paar Raubkopien auf dem Rechner hat.
Gruß Udo
[
| Versenden | Drucken ]
  • 0
    Von Spark am Mo, 26. März 2001 um 08:10 #
    Gerade gegen Privatrechner ist dieser Wurm eigentlich sehr nutzlos. Der ist schon darauf ausgelegt, sich in "grosse" Systeme einzuschleusen. Im Endeffekt wird aber wohl niemand wirklich davon profitieren. Aber was meinst du wie toll sich die Programmierer jetzt fuehlen, weil ihr Wurm ueberall auf den Newsseiten auftaucht? Viele sehen es sicherlich auch einfach als Herrausforderung, eine Art Hackersport... Und seh es doch mal so: Gaebe es diese "Wuermer" nicht, waere jegliches "Securitydenken" vollkommen sinnlos. Aber gerade das scheint einigen a besonders viel Spass zu machen (regelmaessig erzaehlt mir jemand mit leuchtenden Augen von seiner neuen Firewall ;)). Jeder Mensch braucht sein Feindbild... Das Leben waere wohl ein scheiss langweiliger Film, wenn es nicht die "boesen" gaebe. ;)
    [
    | Versenden | Drucken ]
0
Von Jochen am Mo, 26. März 2001 um 08:55 #
Schön, dass Pro-Linux sich die Arbeit macht und eine deutsche Anleitung zum chrooten von BIND veröffentlicht! Wer ein einigermassen fittes Englisch hat, kann in der Zwischenzeit auch unter http://www.linuxdoc.org/HOWTO/Chroot-BIND-HOWTO.html eine sehr schöne und einfache Anleitung dazu lesen.
[
| Versenden | Drucken ]
0
Von ex-Anonymous am Mo, 26. März 2001 um 09:12 #
Ich kann mir vorstellen, das sowas in Zukunft häufiger passieren wird. In Zeiten, wo jeder "Hobby Admin" Linux aufsetzten kann, ist der Schritt zum Nebenberufsadmin im Firmennetz nicht weit.
Wo ich momentan arbeite, steht ein SuSE7.0 Name-Server, mit KDE, Gnome und einer unmodifizierten inetd.conf. Sprich, u.a. rsh und rlogin sind "offen". Dafür ist root login per Telnet aber nicht möglich. Noch Fragen ?

Erinnern wir uns, "I Love you", über das "wir" so hergezogen sind, war auch ein Admin Fehler. Es besteht keine Notwendigkeit, den Scripting-Host einzuschalten. Die meisten NT Login Skripte sind simple Batch Dateien.

Nur wissen das die am Fließband produzierten MCSEs (oft) nicht, weil es dafür kein Kreuz gab. Linux geht momentan den gleichen weg. Die Anforderungen, ein System zum laufen zu bringen, sinken halt. Aber einrichten und lauffähig machen sind halt immer noch zwei paar Schuhe. Einfachheit lockt halt, an der falschen Stelle zu sparen, in Zeiten, wo das IT Budget eher knapper wird.

Time will tell.

[
| Versenden | Drucken ]
  • 0
    Von Anonymous am Mo, 26. März 2001 um 11:45 #
    Wofür brauchst du den kde/gnome auf einem nameserver? ich denke das ist kein gut konfigurierter server, auf dem desktop anwednungen herumliegen.

    und inetd sollte man auch nicht verwenden, sonderen die entsprechenden anwendungen (ssh) direkt starten, denn sollte sich doch mal jemand auf dem rechner einschleichen, ist es per shellscript ziemlich einfach in der inetd.conf telnet/ftp usw wieder freizugeben.

    aber security benötigt zeit, diese sollten die admins auch bekommen und einfordern.

    [
    | Versenden | Drucken ]
    0
    Von LH am Mo, 26. März 2001 um 11:51 #
    @ Anonymous

    Ich glaube genau das wollte uns ex-Anonymous mit seiner "Noch fragen?" mitteilen.

    Kann mir eigentlich mal einer Erklären warum so viele Distries inetd verwenden? Das erste was ich mache ist immer dieses Viech zu deaktivieren. Den: Ein Server sollte die Anwendungen eh immer am laufen haben (FTP wenn ein Server das braucht), ein Desktop PC braucht die sachen aber meist garnicht. Welchen nutzen hat es also?
    Wozu so eine unsicheren Zwischenschicht?

    [
    | Versenden | Drucken ]
    0
    Von Udo am Mo, 26. März 2001 um 20:40 #
    @LH
    Wann kein ein Linuxneuling entscheiden,was gebrauch und was er deaktivieren kann?

    Wär mal ganz nett, so eine Anleitung zu finden,warum Distr. diese und jenes vorkonfigurieren,denn es sind doch "Experten" dort ,oder? Und ich als Anfänger in Sachen Linux, finde in den etlichen Büchern keine 100%tige Antworten für meine Fragen.Also testen und zerstören.:-))
    Gruß Udo

    [
    | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung