1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Wenn Sicherheitssoftware zu…

Linux!

  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Linux!

    Autor: Manfred89 09.02.10 - 18:17

    Zitate :

    Applikationsspezifische Access Control Lists (ACLs) und ein systemweites Datenmanagement mit Versionskontrolle und Erhaltung der alten Versionen, Daten und Konfigurationen nennt Bruijn als weitere nötige Punkte.

    Normale, also häufige Nutzungsvorgänge wie Drucken und Scannen, E-Mail, Onlinebanking, P2P-Filesharing und der Zugriff auf das Unternehmens-VPN sollten bei Sicherheitsüberlegungen ein höheres Gewicht erhalten.

    Allerdings: Noch gibt es kein Betriebssystem, das diesen Prinzipien folgt. Es wäre gerade auf dem freien Markt sehr schwer, es einzuführen.
    Zitate Ende :

    Linux!

  2. Re: Linux!

    Autor: xsosos 09.02.10 - 18:37

    Tatsächlich mit SELinux lässt sich alles was er gesagt hat umsetzten, aber das dann Administrieren phu…

    btw Seit Vista ist der Anwender nicht mehr standardmäßig "root"

  3. Re: Linux!

    Autor: HugoMüllerVogg 09.02.10 - 19:53

    xsosos schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich mit SELinux lässt sich alles was er gesagt hat umsetzten, aber
    > das dann Administrieren phu…
    >
    > btw Seit Vista ist der Anwender nicht mehr standardmäßig "root"


    Hat ja auch lange genug gedauert. Ich bin unter XP (aus Faulheit) als Admin unterwegs, allerdings bin ich mir - und hier unterscheide ich mich vom "Otto Normaluser" - der Sicherheitsrisiken die ein solches Verhalten mit sich bringt bewusst.

  4. Re: Linux!

    Autor: joppp 09.02.10 - 20:15

    hatte auch xp...bis mir mein laptop verreckt ist.war auch zu faul(ichweiss ich war doof! ;) )
    finde vista eigentlich gut. hab mir aber vorsichtshalber n internet-konto angelegt.

    sicher ist sicher ;)

  5. Re: Linux!

    Autor: joppp 09.02.10 - 20:18

    achja: bei mir wollte vor kurzem ne seite beim reload auf einmal ne setup.exe starten, die durch durch die vista-uac angezeigt wurde und von mir verhindert wurde^^ bei nem admin-account ,hätte ich wohl ne ar***karte gezogen^^

    mfg

  6. Re: Linux!

    Autor: joppp 09.02.10 - 20:20

    pps: wenn man sich mal an n eingeschränktes konto für inet ,unter vista, gewöhnt hat,ist es echt nich schlimm!

    mfg

  7. Re: Linux!

    Autor: HugoMüllerVogg 09.02.10 - 20:24

    Mein Browser fragt mich immer, bevor er was runterlädt. Da rutscht keine setup.exe durch.

  8. dito

    Autor: joppp 09.02.10 - 20:37

    dito! nur da war es auf einmal nich so...ich habe nur ne seite ohne flash neu geladen.dann kamm aufeinmal diese setup.exe meldung

    mfg

  9. Re: dito

    Autor: joppp 09.02.10 - 20:38

    edit: ohne flash-block.....also mit flash

  10. ich tippe auf....

    Autor: joppp 09.02.10 - 20:42

    ... http://de.wikipedia.org/wiki/Drive-by-Download

  11. Re: Linux!

    Autor: Machste einfach... 09.02.10 - 21:35

    http://sudowin.sourceforge.net auf Deine XP-Möhre, dann ist das auch kein Problem mehr.

  12. Re: Linux!

    Autor: oder auch 09.02.10 - 21:38

    http://sudown.sourceforge.net/, taugt ebenfalls wunderbar unter allen Version <= XP/2003.

  13. Inet user

    Autor: hux 09.02.10 - 22:54

    Nutzt du den inet user über runas oder loggst du dich immer aus bzw. wechelst effektiv den Benutzer?

    Ich habe bei mir seit längerem eine runas-Lösung laufen, bei der ich den Firefox mit low integrity in einem eignen inet user starte. Hier ist auch das Wählen eines "/trustlevel"s sinnvoll um ein Restricted Token zu erstellen und nebenbei dem Prozess auch alle Privilegien (Shutdown z.b.) zu entziehen. Der inet user hat dabei per ACLs auch nur Zugriff zu die allerwichtigsten Daten. Z.b. Lesezugriff auf Windowsverzeichnis und Firefox Programmordner sowie auf die Firefox typischen Verzeichnisse im Home des Benutzers. (Es bietet sich hier an, die ACL Vererbung von NTFS zu nutzen und dem inet user von C: an keine Rechte zu geben. Rechte können dann explizit für z.B. eben den Firefox-Programmordner gegeben werden.) Damit das Ganze auch noch sinnvoll nutzbar bleibt, habe ich die Konfigurationsdateien von Firefox sowie den "Downloads"-Ordner des Inet users auf den meines Hauptbenutzers umgebogen. So fühlt sich der Firefox in den meisten Fällen vollkommen identisch an, egal ob mit Hauptbenutzer oder inet user gestartet. Um den Zugriff auf private Daten weiter zu beschränken habe ich dem inet user für den Download Ordner keine generelle Leseberichtigung gegeben, sondern nur erlaubt neue Dateien zu erstellen. Wenn man sich dann einloggt fährt ein Script alle Dateien ab und ändert den Besitzer auf meinen Hauptbenutzer ab. So hat der Firefox immer nur für kurze Zeit Zugriff auf Daten, die er geschrieben hat.

    Auch wenn das Ganze so deutlich sicherer ist als eine Standardkonfiguration, hat es aber auch ein paar Nachteile. Zum einen ist die Konfiguration (mit Setzen der ACLs usw) etwas langwierig, wenn manuell ausgeführt. Zum Anderen verweigert Windows nun das Drucken aus dem Prozess heraus, was aber evt. speziell an meinem Gerät + Treibern liegt. Problematisch ist auch, dass wenn man Firefox eigentlich keinen Ort im Benutzerverzeichnis gibt, wo er Benutzerdaten lesen kann, tut man sich schwer mit Dateiuploads (z.B. Webmail). Dafür muss man sich dann extra einen Ordner mit generellen Leseberechtigungen für Firefox machen und alles was man uploaden will dort hinein kopieren. Auch nicht sehr kompfortabel. Aber Sicherheit & Kompfort waren ja noch nie beste Freunde ;-)

    Noch als kleinen Tipp: Man findet ja so manche Anleitung im Inet über das Starten von Firefox mit Low Integrity. Bisher habe ich aber keine Lösung gesehen, die die Sicherheitswarnung beim Starten von Firefox in dieser Konfiguration verhindert. Ich habe hier etwas getrickst und starte ein Script, was wiederum per runas Firefox startet. Auf diese Weise (Starten per Script) gibt Windows keine Meldung aus.

    Habt ihr ähnliche Lösungen im Einsatz?

  14. Re: Inet user

    Autor: hier_autor_eingeben 10.02.10 - 06:54

    hux schrieb:
    --------------------------------------------------------------------------------
    > Noch als kleinen Tipp: Man findet ja so manche Anleitung im Inet über das
    > Starten von Firefox mit Low Integrity.

    Bringt nix. Mit Admin Rechten einloggen nur um die sich dann selbst wieder zu entziehen - schon mal von IPC gehört ?
    Daher besser anders rum. Nutzer haben außer im "HOME" Verzeichnis nirgends Schreibrechte, in der Registry kann man notfalls noch die bekannten Autostart Keys mit Schreibschutz versehen und vor allem wird als normaler Benutzer gearbeitet.
    Und selbst wenn FF, Opera, Iron oder ein anderer Browser als IE im Einsatz ist - beim IE immer noch die "Zoneneinstellungen" auf "Hoch" setzen und falls da keine Programme streiken (Skype und vor allem MS Software macht dass gern) kann man den IE auch in den Offline Modus setzen.
    Dann hat sich die Sache mit eingebetteten IE Fenstern irgendwo und wenn man ohnehin dabei ist kann man sich selbst auch noch - wenn einmal eingerichtet - für die IE Einstellungen die Schreibrechte entziehen.

    Oder im Netzwerk halt per Richtlinie.

  15. Re: Inet user

    Autor: Auskenner 10.02.10 - 07:12

    Ihr beiden Windows Auskenner seid echt Sternchen. So einen Aufwand zu betreiben, nur um dann übersehen zu haben, dass Das Windows IPC seit je her der Grund für all die umgehbare Sicherheitsanflanschung in Windows ist ... Ganz herzig ...

    Windows ist konzeptuell unsicher, dass lässt sich auch durch minutenlanges verkonfigurieren nicht abstellen. Aber wenn kaputtoptimieren zum Selbstzweck wird ist das schon verständlich, dass einem Schein nach dem anderen hinterhergerannt wird ...

  16. Re: Linux!

    Autor: e-user 10.02.10 - 09:36

    xsosos schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich mit SELinux
    Oder grsecurity..

    > lässt sich alles was er gesagt hat umsetzten, aber
    > das dann Administrieren phu…
    Was ist daran jetzt schwer? Ich habe ueberall SELinux aktiviert - wenn es doch mal Probleme gibt, kann ich diese als Bugs melden (und sie werden geloest) oder schnell selber eben mit audit2allow drueber.
    Dokumentation gibt es auch en masse.

    --

    "Der Preis der Freiheit ist ewige Wachsamkeit."

    Windows 7, definition: 64 bit emulator for 32 bit extensions and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.

  17. Re: Linux!

    Autor: erterter 10.02.10 - 09:44

    Eine vernünftige Firewall verhindert auch auf w2k das Ausführen jeglicher Programme/Dateien, die unbekannt sind. Erinnert an UAC, ist aber nicht so lästig, weil bei erwünschten Programmmen nicht jedesmal nachgefragt wird. Die Erlaubnis kann man für einen oder für alle Benutzer ausstellen. Ergo: Mit vernünftiger Software ist auch ein "altes" Windows relativ sicher (sprich: mind. so sicher wie ein aktuelles).

  18. Re: Linux!

    Autor: OldFart 10.02.10 - 09:54

    Manfred89 schrieb:
    --------------------------------------------------------------------------------
    > Zitate :
    >
    > Applikationsspezifische Access Control Lists (ACLs) und ein systemweites
    > Datenmanagement mit Versionskontrolle und Erhaltung der alten Versionen,
    > Daten und Konfigurationen nennt Bruijn als weitere nötige Punkte.
    >
    > Normale, also häufige Nutzungsvorgänge wie Drucken und Scannen, E-Mail,
    > Onlinebanking, P2P-Filesharing und der Zugriff auf das Unternehmens-VPN
    > sollten bei Sicherheitsüberlegungen ein höheres Gewicht erhalten.
    >
    > Allerdings: Noch gibt es kein Betriebssystem, das diesen Prinzipien folgt.
    > Es wäre gerade auf dem freien Markt sehr schwer, es einzuführen.
    > Zitate Ende :

    Ergänzend sei genannt das all dieses die Komplexität wiederum erhöht und somit die Anzahl von möglichen Sicherheitslücken zunimmt.

    > Linux!

    Nope und ausserdem muss man es wissen. Schon unter XP Pro kann man festlegen das Anhänge und anderes in einem Verzeichnis landen aus dem heraus ein Ausführen nicht möglich ist. Geht ganz einfach und noch einfacher dürfte das Aufzählen der Firmen sein die solche Policies auch wirklich nutzen.

    Tja und auch unter Linux hatte ich genug Angriffe und auch hier galt nur wenn man *weiss* was man tut kann man es auch richtig machen.

    Mit seiner Verbreitung hat aber auch bei Linux das, bestenfalls, Halbwissen zugenommen. Schlimmer noch ist das viele glauben Linux sei Dank wären sie nun die 'Uldrahägga'.

    Es gibt einfach keine Technik die (besser) denken kann als der Mensch und das ist schon immer noch die grösste Schwachstelle.

    Solange jedenfalls wie vorhandenes nicht genutzt wird, es macht ja Arbeit und so, und Schlagworte (dazu gehört auch 'Linux!') Gehirnschmalz ersetzen sollen werden viele unsicherer unterwegs sein als notwendig.

    Ist aber auch ein Teil des allgemeinen Lebensrisikos und ein maximum an Sicherheit wäre, vom Standpunkt der Lebensqualität aus gesehen, auch nicht unbedingt wünschenswert und würde manches Unternehmen pleite gehen lassen weil vor lauter Sicherheit keine Zeit mehr für produktives wäre.

    Neu ist jedenfalls nichts von dem was Michiel de Bruijn da von sich gegeben hat und (IMHO) wird er das gleiche auch noch 2020, 2030 & 2040, ... erzählen können und es wird immer noch aktuell sein.

  19. Re: Inet user

    Autor: hux 10.02.10 - 19:00

    Ich habe nirgends gesagt, dass mein normaler Benutzer ein Admin ist?! Ich arbeite normal mit einem standard user account und für admin Aufgaben hab ich einen eigenen seperaten Account. Den kann man dann ja auch problemlos per UAC und PW Eingabe kompfortabel nutzen. Ich dachte das wäre selbstverständlich.

  20. Re: Inet user

    Autor: hux 10.02.10 - 19:43

    Sry, aber das ist totaler Unfug und lässt wieder auf Halbwissen schließen.

    Für direkte Manipulationen (z.B. Code/Threadinjection) von normalen Prozessen hat der Browserprozess in der beschriebenen Konfiguration keine Rechte mehr, da er kein Handle auf die entsprechenden Prozessobjekte bekommt. Gleiches gilt für IPC über Shared Memory, sprich Sections oder File Mapping. Named Pipes, Mailslots, ALPC Ports usw. sind ebenfalls Securable Objects und fallen damit auch als Kommunikationskanal weg. Hier fehlen überall die nötigen Rechte. Von NT wegen gibt es für den Prozess keine Möglichkeit mehr mit anderen Prozessen zu kommunizieren, es sei denn die Rechte sind explizit gesetzt. Ich gebe dir Recht, dass das Windows Subsystem bis auf das Desktop und WindowStation Objekt keine Securable Objects implementiert. Das ist in der Tat schade. Ich hätte mir auch gewünscht, dass z.B. Fenster als Securable Object implementiert sind. Nichtsdestotrotz, Shatter Attacks bleiben hier auch aus, da der Browserprozess mit einem Integrity Level von Low läuft und damit keine ernsthafte Kommunikation mit anderen Prozessen (welche üblicherweise mit Medium Level laufen) aufbauen kann (-> UIPI). Wenn man sich ganz sicher sein will (weil man z.B. weitere Low Prozesse laufen hat), kann man den Browser auch in ein Jobobjekt kapseln. Dann kann man auch die mögliche Anzahl Threads/Kindprozesse, den Speicherverbrauch, die CPU-Zeit und eine Menge mehr begrenzen und vorallem kann ein solcher Prozess garkeine Windows Messages mehr an Fenster von Prozessen außerhalb des Jobobjekts senden. Sogar der Zugriff auf das Clipboard ist gekappt. RPC benötigt Authentifizierung und da es sich um einen vollkommen anderen User handelt, kommt man hier auch nicht weiter. Gleiches gilt für DCOM.

    Was für IPC Mechanismen kennst du noch?

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP Business Experte Prozessmanagement (m/w/d)
    CUNOVA GMBH, Osnabrück
  2. IT Systemadministrator / Fachinformatiker (w/m/d)
    zeb.rolfes.schierenbeck.associates gmbh, Münster
  3. Data Engineer/BI Entwickler (m/w/d)
    Karl Simon GmbH & Co. KG, Aichhalden
  4. IT-Security Administrator (w/m/d)
    CeramTec GmbH, Plochingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de