Ähm, das kann ich beim betroffenen Dienst doch meist schon selber regeln.

Kann, wird es gemacht?
ssh? was machst du?

 

Eine PFW ist doch ein Paketfilter

Eine (auch: ein) Personal Firewall oder Desktop Firewall

und ein Paketfilter ist ein bissel was anderes

 

Ähm rootkit? Damit ein rootkit installiert werden kann muss ja eine Hürde erstmal genommen werden

ja, welche?


 

Nun, wer einen ssh server installiert sollte sich auch schon mit der Konfig auseinandergesetzt haben

Jeder, der schon mal hat! und ein Neuling!
auch du hast irgend wann mal zum ersten Mal installiert - oder?

 

Einfach da nur auf den Paketfilter vertrauen (wenn er denn vorhanden wäre   ) ist eine schlechte Idee

Das hat auch keiner gesagt! und darum ging es auch nicht!
Ja, richtig wenn er dann installiert wäre, was er ja nicht ist zumindest bei Ubuntu!

 

LinuxMint? Debian? Ist bei denen eine "Firewall" per default installiert und aktiv?

Mint - bin nicht sicher glaub' schon
Debian - ja

 

Was genau ist bei sudo eine Sicherheitslücke? Der erste User der bei Ubuntu im Setup angelegt wird ist quasi ein sudo-Admin und sollte demententprechend behandelt werden
 

Was bedeutet das "ollte demententprechend behandelt werden"

....hey hatten wir das nicht schonmal diskutiert?

ja und es hat sich noch nix geändert

 

Kann, wird es gemacht?
ssh? was machst du?

Zum Beispiel:
PermitRootLogin no
ListenAdress nicht auf 0.0.0.0
ssh-server aus der Schusslinie nehmen und auf anderen Port setzen

SSH ist aber eher ein doofes Beispiel, das hat man ja eher nicht auf einem Client und ein "echter" Server wird mit vernünftiger Firewall gesichert

 

und ein Paketfilter ist ein bissel was anderes

Was genau denn?

 

ja, welche?

Nun, damit ich das installieren kann muss ich ja root Rechte bekommen. Dann ist prinzipiell ja alles möglich. Da gibt es nicht *die* Lücke sondern verschiedene/mehrere Lücken um root zu werden wären denkbar oder?

 

Jeder, der schon mal hat! und ein Neuling!
auch du hast irgend wann mal zum ersten Mal installiert - oder?

Ein Neuling installiert sich gleich erstmal einen SSH Server oder watt? 

 

Ja, richtig wenn er dann installiert wäre, was er ja nicht ist zumindest bei Ubuntu!

Zum Problem wird es erst, wenn ich diesen Dienst überall hin offen hab.
In den meisten Fällen ist es ja eher so: Der normale User wird zu Hause hinter seinem Router sitzen, von daher ist es im Prinzip egal ob der Dienst von einem Ubuntu-Paketfilter gefiltert wird oder nicht. Hat der User aber vergessen, dass dieser Dienst aktiv ist könnte es zum Problem werden, wenn er mit diesem Rechner sich in ein öffentliches Netz begibt, zB Hotel oder Airport Hotspot. Das ist aber auch ein Problem mit Firewall/Paketfilter, auch da kann man ja vergessen, dass für bestimmte Dienste Ausnahmen aktiv sind.

 

Mint - bin nicht sicher glaub' schon
Debian - ja

Hm echt? Müsste ich nachher mal nachschauen in meiner Debian-VM

 

Was bedeutet das "ollte demententprechend behandelt werden"

Na, der erste angelegte User müsste im Prinzip wie "root" behandelt werden, er ist ja unter Ubuntu der Ersatz für root 

 

Ein Neuling installiert sich gleich erstmal einen SSH Server oder watt? 

Was denkst du wie viele das mit Standardwerten tuen!
Weil ja ssh soo sicher ist!

 

Zum Beispiel:
PermitRootLogin no
ListenAdress nicht auf 0.0.0.0
ssh-server aus der Schusslinie nehmen und auf anderen Port setzen

SSH ist aber eher ein doofes Beispiel, das hat man ja eher nicht auf einem Client und ein "echter" Server wird mit vernünftiger Firewall gesichert

Das hast du beim ersten Mal gemacht
 

PermitRootLogin no

Warum das? - root ist doch inaktiv!

 

Nun, damit ich das installieren kann muss ich ja root Rechte bekommen. Dann ist prinzipiell ja alles möglich. Da gibt es nicht *die* Lücke sondern verschiedene/mehrere Lücken um root zu werden wären denkbar oder?

Ja, sicher und da hilft die "sudo" - Lücke doch gewaltig!
hab' ich das Password vom Benutzer, sind mir keine Grenzen gesetzt, dank "sudo".
Ich brauch also nur ein Password!
 

In den meisten Fällen ist es ja eher so: Der normale User wird zu Hause hinter seinem Router sitzen,

Was denkst du wie viele Benutzer ich gesehen deren Router-FW aussahen wie'n Schweitzerkäse! - fehlende Kenntnisse!

 

Hm echt? Müsste ich nachher mal nachschauen in meiner Debian-VM

Ja, ist bei Debian aktiv und bei Mint auch, aber bei Mint wird auf die tolle Ubuntu-Seite verwiesen!
 

Das kann man aber keinem OS irgendwie zum Vorwurf machen wenn der Anwender blind und planlos irgendwas installiert oder so...und ja, schon wieder sind wir beim Punkt, jedes OS ist so sicher wie der Benutzer/Adminstrator damit umgeht.

Richtig und ja da sind wir bei dem Punkt
 Ein BS ist nur so sicher, wie der Benutzer der davor sitzt es macht!
Und das ist mein Reden!

Man kann es aber dem Benutzer auch nicht zum Vorwurf machen das ein angeblich so sicheres BS wie Ubuntu, so M.ist macht, (wie das do.ofe Windows angeblich macht!) - Dienste installieren und konfigurieren und gleich starten und das dumme an der Geschichte bei ca. 90% der User passt die Konfiguration dann am Ende! und weißt e bei welchen? - den Neulingen - Glückwunsch!

Aber cosinus - ähm @werder ich denke das recht jetzt, sonst kannst du ja unsere alten Diskussionen noch  mal lesen!
Warum der Namenswechsel?

was ich bei dieser ganzen Diskussion nicht nachvollziehen kann - warum geht man immer ganz selbstverständlich davon aus, dass ein Privat-PC (denn das ist ja die Ausgangslage) überhaupt immer hinter einem Router sitzt?
Ist etwas realitätsfremd.

Das ist bei Ubuntuuser selbstverständlich sie verstecken sich hinter der Router-FW, weil die eigene nicht istaliiert und keiner weis wie es geht!









Sorry vergaß Ubuntu ist todsicher

was ich bei dieser ganzen Diskussion nicht nachvollziehen kann - warum geht man immer ganz selbstverständlich davon aus, dass ein Privat-PC (denn das ist ja die Ausgangslage) überhaupt immer hinter einem Router sitzt?
Ist etwas realitätsfremd.

Wer hat denn heutzutage keinen Router? Das sind ja nur noch die Hand voll Leute, die direkt mit dem DSL-/Analogmodem oder noch per ISDN surfen 

... oder einige die ganz einfach Router als Modem benutzen.
Entweder absichtlich oder unwissentlich!

schau ganz einfach mal in die anderen Forenteile du wirst überrascht sein

... oder einige die ganz einfach Router als Modem benutzen.

...und es kommen sehr viele dazu, die eine UMTS/LTE-Lösung benutzen, weil sie mobil sein wollen/müssen und diejenigen, die diese Lösung nutzen, weil kein schnelles I-Net zur Verfügung steht. 
Und das sind sehr sehr viele in Deutschland.

Was denkst du wie viele das mit Standardwerten tuen!
Weil ja ssh soo sicher ist!

Was hast du eigentlich immer mit deinem "soooo sicher"  ???
Wer behauptet das, dass ssh "sooo sicher" sei?
Und welcher Neuling installiert sich einen ssherver nach ohne zu wissen wozu das Ding überhaupt gut ist?
Klingt ein wenig konstruiert oder hast du da schon welche gesehen die zwar nicht wissen was ssh ist aber einfach mal so ohne Plan installieren? 
 

Das hast du beim ersten Mal gemacht
 Warum das? - root ist doch inaktiv!  

Nein, das hab ich gemacht weil
a) ich meinen Rechner mal aus der Ferne über SSH brauchte
b) root bei mir aktiv ist
c) ich mir das angewöhnt habe, dass root sich nicht über ssh anmelden darf, das darf nur ein ssh-loginuser, nicht mal mein Standarduser

 

Ja, sicher und da hilft die "sudo" - Lücke doch gewaltig!

Und wieso ist das jetzt so ne Lücke wenn ich diesen ersten Adminuser wie einen root-user behandel?!

 

hab' ich das Password vom Benutzer, sind mir keine Grenzen gesetzt, dank "sudo".
Ich brauch also nur ein Password!

Ja und? Auf anderen Systemen brauch ich ja auch "nur" das root Passwort und ich kann alles   

Was denkst du wie viele Benutzer ich gesehen deren Router-FW aussahen wie'n Schweitzerkäse! - fehlende Kenntnisse! 

Was hat das damit zu tun? ???

 

Ja, ist bei Debian aktiv und bei Mint auch, aber bei Mint wird auf die tolle Ubuntu-Seite verwiesen!

Komisch, in meiner debianVM merk ich nichts von einer Firewall...ist ne Standard-Netinstall
Mint hab ich schon länger nicht mehr am Laufen gehabt. Werd aber wohl mal ne VM damit aufsetzen

Man kann es aber dem Benutzer auch nicht zum Vorwurf machen das ein angeblich so sicheres BS wie Ubuntu, so M.ist macht, 

Du meinst die Sache mit dem deaktivierten root und dafür sudo als "Adminuser"?
Wenn das so unsicher ist, warum hat sich da noch nichts getan bei Ubuntu? 

(wie das do.ofe Windows angeblich macht!) - Dienste installieren und konfigurieren und gleich starten und das dumme an der Geschichte bei ca. 90% der User passt die Konfiguration dann am Ende! und weißt e bei welchen? - den Neulingen - Glückwunsch!

Ohne die Windows-Firewall wäre Windows in der Standardeinstellung ja nun auch offen wie ein Scheunentor.
Ist ja im Prinzip auch gut, die Windows-Firewall macht einen guten Job.
Die Standardeinstellung bei Ubuntu passt wohl auch bei ca. 90% der User, und weißte welchen - den Neulingen   

Der Rest der User macht customizing - die müssen/sollten sich dann aber auch etwas ausgiebiger damit beschäftigen, wobei die Windows-User doch eher dazu neigen "Hauptsache Virenscanner und Firewall" laufen dann kann ja nichts passieren

Warum der Namenswechsel?   

Mir war einfach mal danach

Debian kommt definitiv mit FW, habe mehrere Debians im Einsatz

Und welcher Neuling installiert sich einen ssherver nach ohne zu wissen wozu das Ding überhaupt gut ist?

gerade Anfänger neigen dazu, sich Sachen zu installieren, von denen sie keinen Plan haben, Du würdest staunen 

Die Sudo-Diskussion hatten wir doch auch schon.

Ist zwar inzwischen auch schon wieder ein Jahr alt, fällt mir aber immer wieder spontan als Beispiel zu "sudo" ein:
http://www.gulli.com/news/17989-sicherheitsluecke-bei-sudo-entdeckt-2012-01-31

Ach wenn die folgenden Versionen nicht betroffen sind, ein Overflow (übrigens sehr beliebter Angriffspunkt) kann immer wieder entdeckt werden.

Übrigens hatte schon 2010 eine Lücke in Sudo das gleiche nette Ergebnis.
 

Mir war einfach mal danach

Meister werden'se trotzdem nicht.  

...und es kommen sehr viele dazu, die eine UMTS/LTE-Lösung benutzen, weil sie mobil sein wollen/müssen und diejenigen, die diese Lösung nutzen, weil kein schnelles I-Net zur Verfügung steht. 

Stimmt, diese Mobilzugänge hab ich eben außer Acht gelassen

Und das sind sehr sehr viele in Deutschland.  

Und es sind auch sehr viele in Deutschland mit vermurkster Windows-Firewall-Einstellung  ...nun aber das ist nicht der Punkt. Standardeinstellung Windows mit aktiver Windows-Firewall vs Standardeinstellung Ubuntu zwar ohne "Ubuntu-Firewall" (Paketfilter) aber keinem auf externem Interface gebundenem Dienst. Was ist denn jetzt "angreifbarer" und warum?

 

Meister werden'se trotzdem nicht.

Diese Saison garantiert net mehr! 

 

Debian kommt definitiv mit FW, habe mehrere Debians im Einsatz

Komisch...ich merk die nicht  ??? gib mir mal ein Tipp wie ich die merken soll  was hab ich an Debian anders anders installiert... 

 

gerade Anfänger neigen dazu, sich Sachen zu installieren, von denen sie keinen Plan haben, Du würdest staunen

Dazu müssten Anfänger erstmal über sowas wie ssh stolpern...als Anfänger wacht man nicht eines Tages auf weil man von ssh geträumt hat 

gib mal iptables -L ein

was hab ich an Debian anders anders installiert...

das weiss ich doch nicht  

Dazu müssten Anfänger erstmal über sowas wie ssh stolpern...als Anfänger wacht man nicht eines Tages auf weil man von ssh geträumt hat

sowas passiert meist schon bei der Installation 

bei iptables -L spuckt mir mein "echtes" Xubuntu Precise x86_64 das gleiche aus wie mein virtuelles Debian Squeeze x86....  ...ich seh jedenfalls keinen Unterschied

Ubuntu:
 

root@pebkac:/home/arne# uname -a
Linux pebkac 3.2.0-35-generic #55-Ubuntu SMP Wed Dec 5 17:42:16 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
root@pebkac:/home/arne# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Debian Squeeze
root@debianvm:/home/arne# uname -a
Linux debianvm 2.6.32-5-686 #1 SMP Sun Sep 23 09:49:36 UTC 2012 i686 GNU/Linux
root@debianvm:/home/arne# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination