Ubuntu

Warum wundert mich das nicht, dass so eine vor Unrat platzende kommerziell getriebene Distribution, hier unsicher konfiguriert wird? Das ist nicht mehr als ein Windows im Linux-Gewand, und wird an allen erdenklichen Ecken so konfiguriert, dass bedien-technisch kaum noch Unterschiede zu spüren sind, vor lauter Komfort. Das ist auch jene Distribution die wie der Artikel bereits beinhaltet, Coredumps an ein schlecht dokumentiertes automatisiertes Programm weiterleiten, dass vor wenigen Monaten noch Root-Exploits ermöglichte. Auch Fedora als ebenso kommerziell getriebene Entwicklungsspielwiese, ist wie Ubuntu untauglich für einen validen und vertrauenswürdigen Serverbetrieb.

Ich arbeite hier mit mehreren Distributionen, und keine einzige davon erlaubt die automatisierte Erstellung von Coredumps von Haus aus. Allen voran Debian wo niemals ungefragt Coredumps gespeichert werden, egal ob durch die Shell, systemd oder den Linux-Kernel selbst. Nichts loggt hier Speicherinhalte von abgestützten bzw. abgebrochenen Programmen. Ebenso wird bei aktiven Coredumps auch nichts an dubiose Drittprogramme weitergeleitet. Daher gibt es hier auch kein Problem. Und Distributionen wie jene die im Artikel angeführt werden, disqualifizieren sich schon durch ihre Entwicklungspolitik für eine sicherheits-fokussierte Verwendung, egal ob am Desktop oder am Server.

Auch ein Eintrag unter /etc/security/limits.conf ist überflüssig, wenn von Haus aus Coredumps deaktiviert sind. Warum sollte man Sicherheitsproblemen mit solchen Einstellungen entgegenwirken, wenn das Betriebssystem selbst das Problem ist? Weg mit Fedora und Ubuntu, und das Thema ist erledigt, und man bleibt von weiteren dubiosen Entwicklungen dieser verschont. Und wer Coredumps dauerhaft aktiviert, dem ist so oder so nicht mehr zu helfen. Das kann man auch partiell und temporär tun je nach Bedarf, und dann werden Coredumps auch dort gespeichert wo man sie erwartet, und nicht in wirren Verzeichnissen die von jenen Drittprogrammen definiert wurden. Aber wie man leider sieht, wird Ubuntu zu gerne von Noob-Administratoren für Server genutzt, trotz der Nutzung instabiler Pakete wie auch schlecht gepflegten Dritt-Repositorys, und dubiosen Designentscheidungen, womit Probleme geschaffen werden die es normal nicht gibt.



2 mal bearbeitet, zuletzt am 15.06.17 10:32 durch Wallbreaker.

Wallbreaker schrieb:
--------------------------------------------------------------------------------
und wird an allen erdenklichen Ecken
> so konfiguriert, dass bedien-technisch kaum noch Unterschiede zu spüren
> sind, vor lauter Komfort.
Oh nein, eine Desktop Linux Distribution, welche auch noch Komfort bietet, damit von Windows wechselnde Nutzer es bequem haben. Ach du heilige Kanone.

Ich will hier nicht unbedingt klickibuntu das Wort reden, aber
1. So beschissen apport auch ist, es scheint nicht das hier ausgemachte Problem zu sein
2. Debian betreibt keine Magie, sondern hat irgendwo einen sysctl Aufruf bzw. noch eher einen /etc/sysctl.d/* Eintrag, der das coredump pattern auf /dev/null setzen wird, bzw. einen "ulimit -c 0" Aufruf oder einen entsprechenden Eintrag in /etc/security/limits.conf
Löblich; Aber der einzige Grund, daß *Du* "Sicherheitsproblemen mit solchen Einstellungen [nicht] entgegenwirken" mußt liegt einzig daran, daß das jemand anderes für Dich getan hat. Die Einstellungen sind zwingend (sofern Debian nicht den kernel einschlägig patched, was einer entsprechend hardcodierten Einstellung entspräche)

Ich mag Xubuntu lokal zum arbeiten seit zig Jahren und mag Debian Stable auf dem Server noch viel länger.

Ein Linux ist so scheiße wie das andere ist so scheiße wie Windows. Jedes Sicherheitsproblem kann auf jedem System auftreten. Nur weil System X die entsprechenden Optionen von Hause aus deaktiviert hat, ist es nicht automatisch endlos besser als System Y, bei dem diese Option standardmäßig an oder nicht konfiguriert ist....

Es ist Aufgabe des Admins ein System sicher zu konfigurieren. Dabei mag es hilfreich sein, wenn ein System mit "sinnvollen" Defaults kommt, es entbindet den Admin aber nicht davon, seinen Job zu tun.

llutz schrieb:
--------------------------------------------------------------------------------
> Es ist Aufgabe des Admins ein System sicher zu konfigurieren. Dabei mag es
> hilfreich sein, wenn ein System mit "sinnvollen" Defaults kommt, es
> entbindet den Admin aber nicht davon, seinen Job zu tun.

Und du kennst jede Sicherheitslücke und jede Fehlerhafter Default-Einstellung in jedem OS und jedem Service und jeder Anwendung? Respekt!

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen Anwendungen gleichzeitig zu tun? Das kann ja nur Frickelei werden.

Mal angenommen es ist wirklich sein Job und ich wäre sein Kunde, dann würde es mir völlig reichen wenn er sich mit den Sicherheitslücken, Fehlerhaften Default-Einstellungen, Services und Anwendungen auskennt, die für seine täglichen Aufgaben relevant sind.

Ob er dafür deinen Respekt verdient hat weiß ich nicht (Respekt ist heut zu tage ja so eine Sache...), aber seine Arbeit kriegt er damit sicherlich hin, ohne dabei ein schlechtes Gewissen zu riskieren.

Alles was darüber hinaus geht kann er dann unter "Zusatzqualifikation" verbuchen.

Es ist mir auch Relativ egal ob sich mein KFZ-Meisterbetrieb auch mit Ferrari- oder Maserati-Technik auskennt, solange sie meinen BMW hinkriegen.



3 mal bearbeitet, zuletzt am 17.06.17 15:35 durch nachgefragt.