AW: Sicherheitsfragen von einem Windows Liebhaber
Arne schrieb:
Hallo zusammen,
Polemik ein:
ich bin leider ein armer Windows User, der sich nun einen V-Server unter Suse 9.3 angetan hat, um herauszubekommen, warum so viele von Linux angetan sind, und um mich über das System, seine Stärken und Schwächen gründlichst zu beschäftigen und zu informieren, bevor ich lauthals lachend (oder weinend?) zu meinem geliebten Windows zurück kehren kann, falls ich das dann noch einmal will....?
Polemik ende...
Dazu brauche ich nix zu schreiben, denn auf Polemik kann man nur mit Polemik antworten, das muß nicht sein
.
Nachdem ich ganz stolz und selbstbewusst Confixx unter Kontrolle gebracht, rpm, cd und ein Haufen weiterer Befehle und sogar auch webmin installiert bekommen habe, möchte ich gerne wissen:
- wie kann ich den webmin Aufruf sicher machen ?
Bisher greife ich nur via http auf das interface zu, wie bekomme ich eine https verschlüsselung hin ?
Hierzu haben wir ein Unterforum für Serverfragen. Einfach einen Thread eröffnen.
- wie ändere ich in der Oberfläche den Standard Port ?
Siehe oben, Serverforum.
- wie Sicher ist Linux wirklich, und warum sagen alle, Linux sei sicherer als Windows ?
Dazu könnte ich nun stundenlang schreiben, hier die Kurzform, ich verwende Linux als Synonym für ALLE unixoiden Systeme.
Windows war zunächst NIE für Multiuserbetrieb und Sicherheit konzipiert. Erst mit NT wurde ein RICHTIGES Multiuserkonzept mit privilegierten und eingeschränkten Nutzern eingeführt.
Für den Home-Bereich ist dies erst seit Windows 2000 der Fall. Leider ist die Umsetzung des Konzeptes ausgesprochen
a) schlecht auf Programmebene umgesetzt, viele Programme liefen/laufen nur mit Systemrechten (Das hat sich stark gebessert und ist auch eher ein Problem der Softwarehersteller).
b) schlecht konfiguriert (das ist immer noch so). Beantworte mir bitte folgende Frage (oder besser beantworte sie für Dich selbst):
Wenn ich schon das Konzept habe, daß es eingeschränkte Nutzer gibt, welche eben nicht vollen Zugriff auf das System haben und somit das System vor unberechtigten Zugriffen (z.B. Viren) schütze, indem ich eben standardmässig NICHT als Administrator arbeite (deshalb MACHE ich das Konzept ja auch so!), warum ist dann bei XP-Home (Prof weiß ich nicht, aber die Masse nutzt ja eh HOME, weil es auf der gekauften Kiste drauf war, Win2000 ist es wohl auch so *Ohne Gewähr*, Win98 gab es dieses Konzept noch nicht, also JEDER User war Administrator) die STANDARD(!)einstellung nach der Installation, daß der erste Benutzer AUTOMATISCH als Administrator angelegt wird, und auch noch OHNE Passwortabfrage eingeloggt wird? Wenn ich das so mache, dann heble ich mein Konzept doch von Anfang an selbst aus? Ist nur ein Beispiel, aber vielleicht das beste um Punkt b) zu verdeutlichen.
KEIN Linux-System macht das so (Ausnahme vielleicht Linspire, früher Lindows, aber die wollen auch Windows nachahmen und deshalb auch das kaputte Konzept übernehmen?!?).
Zugegebenermassen, SuSE macht das mit dem Autologin mittlerweile auch, aber a) der erste Nutzer ist eingeschränkt und b) Es gab einiges an Aufruhr, so daß man optimistisch sein kann, daß das wieder herausgenommen wird. Falls nicht, so ist es das erste, was man deaktivieren sollte.
(Siehe hierzu:
http://www.pc-forum24.de/showthread.php?t=417)
In anderen Forum hatt man mir bei Suse Linux von einer Firewall und Viren Programmen abgeraten.
Ist das wirklich zu vernachlässigen ?
Jein, dazu muß man Virenscanner und Firewall von einander trennen.
1. Verzicht auf Virenscanner:
Für Deine SuSE ja, aber ich habe z.B. einen Virenscanner auf meiner Linux-Kiste um damit Windows-Partitionen zu scannen. Damit kann man (Stichwort z.B. "Knoppicilin") ein potentiell kompromittiertes Windows-System scannen und reparieren OHNE daß es selbst läuft. Damit lassen sich dann z.B. auch Viren entfernen, die sich so fest ins System gehakt haben, daß solche netten Meldungen kommen wie "Diese Datei kann nicht gelöscht werden, weil sie noch benutzt wird".
Außerdem ist der BESTE Virenscanner immer noch "Brain 1.0", wer auf alles klickt, was nicht bei 3 auf dem Baum ist, der muß sich nicht wundern, wenn die (Windows)-Kiste nach kurzer Zeit verwanzt ist.
Es gibt noch viele weitere Gründe, warum Viren auf Linux-Systemen kaum eine Rolle spielen, einen möchte ich gerne noch nennen:
Es gibt unter Linux/Unix KEINE Dateiendungen, die anzeigen, ob eine Datei ausführbar ist. Eine .exe ist unter Windows IMMER ausführbar unter Linux kann z.B. eine .bin-Datei nur dann ausgeführt werden, wenn sie die Berechtigung dazu hat ("x" in den Dateirechten). Ein gutes Mailprogramm speichert standardmässig KEINEN Anhang mit Ausführungsrechte und ich kann noch so oft darauf klicken wie ich will, die Datei startet nicht.
Wenn ich sie allerdings selbst ausführbar mache und sie dann starte, dann kann der potentielle Virus natürlich Schaden anrichten, aber dazu gibt es ja "Brain 1.0".
Um systemweit Schaden zu verursachen, müsste die Datei auch ausführbar gemacht werden UND als ROOT(!) gestartet werden. Wer das dann noch BEIDES macht ist nicht zu doof für Linux sondern zu blöde für nen Rechner, oder?
2. Verzicht auf Firewall:
Nein und es ist auch standardmässig bei SuSE eine Firewall aktiviert. Es ist aber nicht das, was man unter Windows eine "Personal Firewall" nennt, und das ist auch gut so, denn Personal Firewalls ersetzen ein sicheres Konzept NICHT.
Bei Ubuntu z.B. ist standardmässig KEINE Firewall aktiv, aber das ist auch nicht nötig, denn es laufen keine Dienste.
Was Personal Friewalls auch verhindern sollen (ob sie es können, siehe Link unten) ist ja das "nach Hause telefonieren" von Anwendungen, denen der User nicht vertraut. Warum nutzt man dann solche Anwendungen? Wenn diese Anwendungen im Betriebssystem integriert sind, warum nutzt man dann dieses System? (Einfache Fragen, beantworte sie wenn überhaupt nur für Dich, ich habe sie schon für mich beantwortet).
http://www.ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html
(Sehr interessant, auch oder besser gesagt GERADE für Windows-Nutzer zu empfehlen)
Mein Gefühl sagt mir: Beschäftige Dich damit..
Dein Gefühl ist richtig. Sicherheit und Bequemlichkeit schließen sich fast immer aus. Egal welches System, ein sicheres System erfordert IMMER, daß man sich damit beschäftigt.
Und falls nein, und ich die Firewall in Suse endlich ans laufen bekomme
?? Wie bitte?? Die muß man doch explizit AUSschalten, standardmässig läuft sie.
:-> wo sind die Logfiles abgespeichert, um mich zu vergewissern, das Suse wirklich so sicher ist, wie die Welt meint ?
/var/log/firewall oder /var/log/messages (je nach SuSE-Version)
Allerdings darf die AFAIK nur ROOT lesen (auch ein Sicherheitsfeature, warum kannst Du Dir mal selbst überlegen).
- Ist der zugriff über ssh wirklich sicher ?
Ein offener Port ist immer ein potentielles Risiko.
SSH ist aber im Gegensatz zu Telnet sicherer, da verschlüsselt. Wenn jemand auf der Verbindung "mithört", dann hat er nur Datensalat. Unverschlüsselte Verbindungen sind da viel "witziger", man kann z.B. Passwörter im Klartext gleich mitlesen.
Ist ein laufender Dienst irgendwann mal fehlerhaft, dann bietet er eine Angriffsfläche, die man so schnell wie möglich durch einen Sicherheitspatch schließen sollte.
Hier komme ich wieder zurück auf oben. ALLE Linux-Distributoren veröffentlichen ALLE ihre Sicherheitspatches zeitnah, es gibt keinen solchen Schwachsinn, wie einen Patchday einmal im Monat.
Oder provokant ausgedrückt: Wenn ich Virenschreiber wäre und eine Sicherheitslücke in Windows fände und ausnutzen wollte (wow 3 mal Konjunktiv in einem Satz
), dann hätte (Nr. 4 *g*) ich durchschnittlich einen halben Monat Zeit, einen Virus/Wurm dazu zu schreiben.
aber wieder zurück zum Thema:
Egal ob Windows/Linux/Mac/anderes System: Patches sollten immer eingespielt werden, wenn ein laufender Dienst erreichbar sein soll, dann muß der Port offen sein, da kann die Firewall nichts machen. Die Firewall kann allerdings den Zugriff auf bestimmte IP-Adressen beschränken, das ist auch sehr sinnvoll, genauso wie das abändern des Ports. Auch hierzu, Thread im Serverforum eröffnen.
- Welche sichere Admin Oberfläche (ausser Webmin) könnt ihr mir zur Konfiguration meines Servers sonst noch empfehlen ?
Hierzu bitte einen Thread.. na Du weißt schon ....
Fragen über Fragen, aber irgendwie muss ich doch anfangen dürfen...
Viele Grüsse Arne
Ich hoffe, ich konnte einige der Fragen beantworten.
Und natürlich DARFST Du das. Linux ist vielleicht etwas "komplizierter", gerade weil man alles DARF. Man DARF unter die bunte Oberfläche schauen, man DARF sich sein gesamtes System so zusammenstellen, wie man MÖCHTE.
Das erfordert aber auch ein gewisses Maß an Zeit/Motivation sich damit zu beschäftigen.
Greetz,
RM
