Linux unsicher bei der Installation

#0
22.04.2003, 23:13
Member

Beiträge: 66
#1 Hi @all,

ich bin gerade dabei eine doku zu schreiben. Nun habe ich kleines Problem. Ich möchte da erklären das Linux bei der Standartinstallation unsicher ist, aber ich weiß nicht wie das genau formuliren soll:

"Linux Systeme sind bei der Installation sehr unsicher."

Ich muss das begründen, aber mir fällt nicht ein ;)(, habt ihr ein paar Tips für mich ???
Seitenanfang Seitenende
23.04.2003, 06:56
Ehrenmitglied
Avatar sh4rk

Beiträge: 1148
#2 Ist es wirklich BEI der Installation unsicher? ;)

Ich würde schreiben, dass die Standardinstallation unsicher ist.
Diese Unsicherheit entsteht, weil der Großteil so konfiguriert ist, dass er auf den meisten Systemen kompatibel ist.
Das geschieht auf Kosten der Sicherheit, weil jedes System andere Einstellungen benötigt.

Hört sich auch irgendwie blöd an.. vielleicht gibt es dir ja Denkanstöße ;)

Gruß sh4rk
__________
So wird mein Post von allen gelesen..
Seitenanfang Seitenende
23.04.2003, 07:16
Member

Themenstarter

Beiträge: 66
#3 HI,

genau, es ist ist bei der Standartinstallation unsicher ... aber wie kann ich das begründen bzw. gescheit formuliren .... ;)
Spufy
Seitenanfang Seitenende
23.04.2003, 08:03
Member

Beiträge: 3306
#4 Nun ja bei einer "Standardinstallation" werden als erstes mal bei fast allen kommerziellen Distributionen viele Pakete mitinstalliert die man womöglich nie braucht.
Desweiteren werden viele Dienste gestartet die auch oft nicht benötigt werden und ein Risiko sein können (telnet, ftp, rsh).

Dann fehlen natürlich meistens noch die neusten Security-Updates (ptrace etc.)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
23.04.2003, 11:50
Ehrenmitglied

Beiträge: 831
#5 Standardinstallationen müssen nicht unsicher sein

Suche mal als Beispiel nach "Trustix".

Fomulierung "Ein Linux von der Stange für Privatanwender ist oft sehr offen eingestellt. Gerade diese Distrubtionen benötigen spezielle Konfigurationen um sie Sicher zu machen. Aber auch Profesionellere Distrubtionen benötigen bei der Vielfalt der Einsatzmöglichkeiten einen Feinschlief der den Server auf die für ihn bestimmten Aufgaben abstimmt"

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
23.04.2003, 21:24
Member
Avatar framp

Beiträge: 326
#6 Ich denke das hat historische Gruende. Linux/Unix entstand zu einer Zeit, da gabe es noch nicht die Moeglichkeit aus aller Welt auf ein System zuzugreifen [und es anzugreifen]. Man kannte sich sozusagen ;) Leider/GottSeiDank hat sich das mittlerweile geandert. (Leider in Bezug auf Sicherheit, GottSeiDank in Bezug auf Connectivity)
Ganz so krass wie bei WIndows wuerde ich es nicht sehn. Da ist die Scheune offen wenn man alltaegliche Tools (z.B. IE) installiert hat. Im Gegensatz dazu existieren nach den LinuxInstallation Services, die bekanntermassen unsicher sind - sich aber allerdings recht leicht deaktivieren lassen ohne Grundfunktionionalitaet zu reduzieren.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
24.04.2003, 02:41
Member
Avatar Xeper

Beiträge: 5291
#7 @spufy

Nun vielleicht solltest du dir etwas mehr Gedanken machen worüber du da schreiben möchtest?

Was meinst du wirklich? Linux ist ein Kernel und kein Betriebsystem! Er hat einen langen Quellbaum und hat einige Bugs im moment sind wir bei prepatch 2.4.21-rc1 current. Seid 2.4.21-pre7 wurde ein ptrace() problem gefixt. Man konnte ptrace() (eine routine für modprobe) dazu ausnutzen root rechte zu erlagen und binarys auszuführen. Ein Mittel dagegen ist entweder den Kernel updaten oder modprobe abschalten. Wenn du die Distributionen meinst die Linux als ganzes OS unsicher machen dann ist das wieder was anderes. Grundsätzlich ist Linux nicht bei der Standardinstallation unsicher. Vielleicht solltest du dich noch vorher etwas informieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
25.04.2003, 16:59
Member

Themenstarter

Beiträge: 66
#8 Hi @all danke für die Anworten ;) Ich hab mir was aus allem zusammen gereimt bzw. ich bin noch dabei.

Jetzt habe ich ein andres Prob, ich hab jetzt 3 "Bekannte" Komerzielle bzw. Nichtkomerzille Scanner gewählt:

ISS
Saint
Nessus

Wie kann ich jetzt den erklären wieso gerade für die.
Also ich hab die ausgewählt weil ich die kenne und schon mal erfahrungen damit gemacht habe, aber kann ich das für eine doku einfach so schreiben ??? Das hört sich ein bischen unproffesionel an ??? Oder was sagt ihr ? Habt ihr villeicht ein paar vorschläge ???
Seitenanfang Seitenende
25.04.2003, 22:56
Member
Avatar Xeper

Beiträge: 5291
#9 @spufy
Ah Scanner? Portscanner?

Naja wenn wir schon bei GNU sind warum dann nicht gleich nmap?
http://www.insecure.org/nmap/

Ich möchte noch mal auf deinen Satz "Linux Systeme sind bei der Installation sehr unsicher" zurückkommen. Es stimmt das viele GNU/Linux Distributionen wie zb. SuSE, Redhat oder Mandrake von Haus aus einige Ports offen haben. Diese lassen sich aber durch einige kleine Sicherheitsvorkehrungen einfach schließen. Zb. inetd abschalten, dienste überprüfen etc. Bitte globalisiere diesen Satz nicht auf Debian oder Gentoo da diese Distributionen von Haus aus sehr sicher sind und kaum Software (bei dem normalen Basis System) installiert haben. Software kannst du dann durch die mächtigen Packetmanager wie apt-get bei Debian oder bei dem *BSD-like packettree von Gentoo über emerge installieren. Wie kommst du eigentlich zu diesem Satz? Schon mal ein Linux System gehacked?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
25.04.2003, 23:40
Member

Themenstarter

Beiträge: 66
#10 Nein ;D ich hab noch kein Linux System gehackt aber das ist Teil mein Projekarbeit...

Wenn es dich interessiert:

Also es geht darum, dass ich linux systeme, an hand einer von mir angefertigten Checkliste dem entsprechende härten möchte und werde ich einen geigneten scanner anhand einer Bewertungsmatrix auswählen ... damit möchte ich noch vorhandene lücken finden ...
Seitenanfang Seitenende
25.04.2003, 23:45
Member
Avatar Xeper

Beiträge: 5291
#11 Also ich habe es so verstanden das es um Port Scanner geht. Hoffe das ist richitg.

Nun du kannst zb. schreiben das man sein System mit diesem Scanner abscannen kann und sich dann all die Ports aufschreibt die 'offen' sind aber die man nicht braucht. Nun offene Ports == Dienst der diesen Port benutzt. Also du könntest auch screiben das alle dienste in /etc/init.d gehandhabt werden und das man diese Dienste erstmal abchecken könnte. Außerdem kann man in /etc/inetd.conf alle Dienste die man nicht brauch deaktivieren oder den Inetd Daemon komplett deaktivieren. Dann ist es auch möglich per ps aux | grep 'gesuchter dienst' all die Dienste aufzuspüren die ärger machen und die dann per 'killall dienst' beenden. Erst wenn man das alles gemacht hat und man braucht ein Dienst im Lan der sicht aber nicht manipulieren läßt ein bestimmtes Interface namens zb. eth0 abzuhören sollte man auch Packetfilter und Firewall zurückgreifen sprich Iptables.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: