Ich habe nie behauptet, dass es nicht die theoretische Möglichkeit gäbe sich den Code anzugucken. Aber genau hier ist auch die größte Schwäche von Linux. Wenn ich unter Windows Treiber entwickelt habe, so habe ich eine sehr gute Doku zu allen Schnittstellen und Funktionen (msdn), sogar bei Apple gibt es ähnliches. Und selbst die Dinge, die offiziell nicht in der Doku auftauchen, werden von fleißigen Researchern recht gut Dokumentiert und beantwortet. Wenn man nun zu Linux fragen stellt, findet man viele mit den gleichen/ähnlichen Fragen, die in Foren/Mailinglisten gestellt werden und immer die Antwort: RTFM / guck doch in die Source und diese sind schlecht bis garnicht dokumentiert..
![[HaBo]](/styles/default/logoklein.png){kind=small}
Linux Flame
- Themenstarter Chromatin
- Beginndatum
Defcon_5
0
@xrayn - Du hast ein Problem mit Frauen, und eins mit dem Niveau. Und was "Nutten", oder "Huren" anbetrifft, ich persönlich mag diese Ausdrücke nicht, aber da wir schon mal dabei sind, die meisten prozentual ihren Klasse zugehörenden Huren findest Du in der Heiheisoseiitie - die treibens da wie die Karnickel, aber keiner wagt es sie "Huren" zu nennen.
Außerdem, ohne den Nuttenbock, gäbe es auch keine Nutten!
(Ich habe mit diesem Scheißthema nich angefangen.)
Defcon_5
0
In über 14 Jahren habe ich gelernt, das Linuxuser eine Menge Geschichten erzählen. Ich nenne das "Gschichten aus´m Wienerwald". Auf gut deutsch, ich glaube Dir kein Wort, oder Du bist wirklich auf dem Niveau von Tante Erna.
Warum müßt ihr Linuxuser immer so einen Scheiß erzählen? Vermutlich, weil ihr aus eurem BS eine Glaubenskongregation gemacht habt. Eigentlich müßte man Mitleid mit euch haben.
Bei mir läuft schon seit xp-Zeiten SpyBot. Das Programm ist gut, und in Verbindung mit vernünftigen Einstellungen, und der nötigen Portion Vorsicht, fürchte ich nichts.
Von Virenscannern halte ich nicht viel! Was ich da so bis heute gehört und gelesen haben, da stellt sich ernsthaft die Frage was schlimmer ist, eine Virusinfektion, oder ein Virenscanner.Ein wirklich guter Artikel über die Szene: Luftbuchungen der freien Softwareszene | Telepolis
Zuletzt bearbeitet:
Defcon_5
0
Na ja, so ganz stimmt das auch nicht, denn da war noch der Next-Probier-Krempel dazwischen, der auch in Mac-OSX einfloß. Um zu erkennen das Apples-Produkte nicht immer das sind was sie vorgeben zu sein braucht man nur eine zeitlang im MacUser.de Community! Forum mitzulesen. Auch dort erfährt man in speziellen Threads über Apple mehr wie in diesem Thread über Linux, als in irgend einem üblichen bs-speziefischen Thread.
Und was die ix-Systeme allgemein betrifft, kennst Du auch/noch Alldas? Ich hatte das abbonniert, und bekam jeden Tag die gehackten Server serviert. Das Verhältnis von ix- zu MS-Servern betrug etwa 20 bis 25 zu Eins. Auf gut 20 gehackte ix-Server, Linux, und die meisten unter BSD, kam also ein MS-Server, und dies entsprach nun wirklich nicht der tatsächlichen Serverrealität, denn die lag bei etwa 2 zu 1, 60% zu 30%, so wie heute; das blieb immer ungefähr gleich. - Also, von einer höheren Sicherheit der BSD-Server konnte jedenfalls damals keine Rede sein. Und was ich dazu bis heute so mitverfolge glaube ich nicht, daß die heute höher ist. - Klar, BSD ist besser geworden, aber auch die Schadprogramme sind es.
bitmuncher
Senior-Nerd
Die Schadprogramme gegen BSD-Systeme richten sich aber wesentlich seltener auf den Kernel aus sondern primär auf irgendwelche darauf laufenden Applikationen, die unter Linux genau die gleichen Lücken aufweisen, während die meisten Rootkits für Linux mit LKM-Trojanern und Kernel-Exploits daher kommen. Ausserdem hatte BSD bisher weitaus weniger Lücken im Kernel, mit denen man root-Rechte erlangen konnte, als Linux und auch die Menge der Sicherheitslücken ist weitaus geringer. Werfen wir einfach mal einen Blick auf die letzten 12 Monate bei PSS:
- Linux IGMP Remote Denial Of Service
- Linux 2.6.37-rc1 serial_multiport_struct Local Leak
- Linux Kernel Econet Privilege Escalation
- Linux Kernel perf_count_sw_cpu_clock Denial Of Service
- Linux 2.6.37-rc1 serial_core TIOCGICOUNT Leak
- Linux Kernel 2.6 TCP_MAXSEG Denial Of Service
- Linux Kernel 2.6.37 Denial Of Service
- FreeBSD UIPC Socket Heap Overflow
- BSD IPcomp Kernel Stack Overflow
Drastischer wird's, wenn man sich alle Lücken anschaut, für die es noch keine passenden Exploits gab. Allein mit dem Fix vom 16.1.2012 hat Debian z.B. 10 Lücken im Kernel behoben. Im September gab es aber auch bereits einen Fix, der 16 Lücken behoben hat. Der folgte einem Fix vom Juni, bei dem 38 Lücken behoben wurde. Für ganz 2011 liefert aber die CVE Reference Map für FreeBSD lediglich 4 Hits. Ich denke die Unterschiede sind damit klar ersichtlich.
Hinzu kommen natürlich auch noch unzählige Lücken in verschiedenen Apps. Lücken in üblicher Server-Software wie Apache, MySQL etc. sind auf BSD aber zumeist genauso anwendbar wie auf Linux, ermöglichen aber noch lange keine Root- oder Kernel-Rechte, wenn die Software anständig konfiguriert ist. Die erlangt man dann häufig über Sicherheitslücken im Kernel oder in suid-Programmen.
Allerdings gilt für jedes System: Es ist nur so sicher, wie der zuständige Admin es sichern kann. Dennoch wird das Absichern des System den Linux-Admins unnötig schwer gemacht, da einfach zu häufig Lücken im essentiellsten Bestandteil, dem Kernel, auftauchen.
- Linux IGMP Remote Denial Of Service
- Linux 2.6.37-rc1 serial_multiport_struct Local Leak
- Linux Kernel Econet Privilege Escalation
- Linux Kernel perf_count_sw_cpu_clock Denial Of Service
- Linux 2.6.37-rc1 serial_core TIOCGICOUNT Leak
- Linux Kernel 2.6 TCP_MAXSEG Denial Of Service
- Linux Kernel 2.6.37 Denial Of Service
- FreeBSD UIPC Socket Heap Overflow
- BSD IPcomp Kernel Stack Overflow
Drastischer wird's, wenn man sich alle Lücken anschaut, für die es noch keine passenden Exploits gab. Allein mit dem Fix vom 16.1.2012 hat Debian z.B. 10 Lücken im Kernel behoben. Im September gab es aber auch bereits einen Fix, der 16 Lücken behoben hat. Der folgte einem Fix vom Juni, bei dem 38 Lücken behoben wurde. Für ganz 2011 liefert aber die CVE Reference Map für FreeBSD lediglich 4 Hits. Ich denke die Unterschiede sind damit klar ersichtlich.
Hinzu kommen natürlich auch noch unzählige Lücken in verschiedenen Apps. Lücken in üblicher Server-Software wie Apache, MySQL etc. sind auf BSD aber zumeist genauso anwendbar wie auf Linux, ermöglichen aber noch lange keine Root- oder Kernel-Rechte, wenn die Software anständig konfiguriert ist. Die erlangt man dann häufig über Sicherheitslücken im Kernel oder in suid-Programmen.
Allerdings gilt für jedes System: Es ist nur so sicher, wie der zuständige Admin es sichern kann. Dennoch wird das Absichern des System den Linux-Admins unnötig schwer gemacht, da einfach zu häufig Lücken im essentiellsten Bestandteil, dem Kernel, auftauchen.
Aha, 3rd-Party Programme sind nun schuld das Windows schlecht ist?
Wenn ich nun ein Open-Source Programm compiliere und es crashed.
Ist dann Windows schlecht weil es crashed?
Nun compile ich das ganze auch für Linux (angenommen es gibt eine Linux-Version) und diese crashed wieder.
Nun ist auch Linux schlecht, weil das Programm nicht funktioniert?
Wie schauts mit Linux aus?
Gibts dort einen vernünftigen Anti-Virus oder hat Linux sowieso keine Lücken? *hint* dup2
HP, Dell, Intel, Sony, ...
Was haben diese unbekannten Marken alle mit Foxconn zu tun? Google!
Ich ergänze mal...
- FreeBSD UNIX Domain Socket Local Privilege Escalation Vulnerabiity
- BSD Kernel 'IEEE80211_IOC_CHANINFO' IOCTL Local Information Disclosure Vulnerability
- FreeBSD 'mountd' Incorrect Netmask Access Control List (ACL) Security Bypass Vulnerability
- FreeBSD Kernel SendFile System Call Local Information Disclosure Vulnerability
- FreeBSD netgraph and bluetooth Local Privilege Escalation Vulnerabilities
- FreeBSD Crontab Multiple Information Disclosure Vulnerabilities
- FreeBSD NULL Pointer Dereference Local Denial of Service Vulnerability
- FreeBSD mbuf Handling Local Privilege Escalation Vulnerability
- FreeBSD Kernel 'pseudofs' Local Memory Overwrite Vulnerability
- Multiple BSD Platforms 'strfmon()' Function Integer Overflow Weakness
Nicht zu vergessen die letzten Peinlichkeiten beim telnetd und beim ftpd.
Micha
bitmuncher
Senior-Nerd
@mime: Du scheinst da 'ne gute Quelle zu haben. Kannst du mir die bitte mal via PN schicken? In der CVE Database - cve.mitre.org/ - tauchen weitaus weniger auf.
Im übrigen wurde aber die Lücke im telnetd mittlerweile auch auf Linux angewendet. Bei PSS findet sich ein passendes Exploit.
Im übrigen wurde aber die Lücke im telnetd mittlerweile auch auf Linux angewendet. Bei PSS findet sich ein passendes Exploit.
Die sind fast alle öffentlich Zugängig. Z.B.
http://www.securityfocus.com
http://osvdb.org/
1337day Inj3ct0r Exploit Database : vulnerability : 0day : shellcode by Inj3ct0r Team
Exploits Database by Offensive Security
Full Disclosure Mailing List
US-CERT Vulnerability Notes
Packet Storm ≈ Full Disclosure Information Security
Es wird nicht immer für jede Schwachstelle auch eine CVE beantragt. Dann kannst du sie natürlich bei cve.mitre.org nicht finden.
Ja, unter linux ist der BSD-basierende telnetd ebenfalls anfällig. Nicht alles was von BSD zu linux kommt ist also gut.
bitmuncher
Senior-Nerd
Gut ist selten irgendeine Software. Aber man kann durchaus unterscheiden zwischen schlecht, gut und besser.
Halten wir mal fest:
Linux - ganz schlecht ?
BSD - etwas besser ?
Windows - ein zwischen Ding ?
MacOSX - zwischen BSD und Windows ?
Na ganz so leicht ist die Sachen nicht zu klären.
Alle Systeme haben (aus meiner eigenen Sicht) ihre Daseins Berechtigung - solange sie ihren Zweck erfüllen und falls nicht kommt etwas neues an dessen Stelle her.
Codetechnisch haben alle Vor- und Nachteile ( gibt es überhaupt etwas Perfektes, also etwas dass dem höchsten Ideal entspricht - Nein oder vielleicht lässt sich doch dem einen oder anderem ein Ja heraus kitzeln ? )
Linux hat seine Macken wie auch alle anderen Existierenden Betriebssysteme eines Rechners auch.
BSD weist eine konservative Entwicklung auf was sich bei der Funktionalität bemerkbar macht ....
Und Windows naja richtet sich größten Teils nach den Vorstellung Microsofts
Die Frage ist doch was will ich erreichen und komme ich damit zurecht, es bringt keinem etwas einem Endanwender ein Betriebssystem welches für Server konzipiert worden ist, vor die Nase zu setzten wenn man diesen damit überfordert und den normalen Arbeitsablauf dadurch behindert.
Genauso verhält es sich wenn man einem "Systems Engineer" (wobei man zugeben muss dieser sich wohl von der bereitgestellten Lösung recht früh befreien wird) sagen wir irgend ein beschränktes System vorsetzt, welches diesem - gelinde gesagt - auf den Keks geht und diesem ebenso im Arbeitsablauf behindert.
Für jedes Problem gibt es meist eine Lösung, sollte es diese nicht geben stellt man sich eine her, erzielt man mit der Lösung nicht den gewünschten Erfolg muss man nach einer neuen "Lösung" ausschau halten.
Linux (nicht der Kern selbst) genießt ein sehr starkes Medienecho, was bei anderen OpenSource Projekten meist nicht der Fall ist.
Die Frage welche ich mir immer Stelle wenn ich ein Projekt aus dem OpenSource Szene interessant finde ist, welchen Zweck verfolgt dieses.
Soll es eine alternative zum "bösen" ClosedSource sein oder verfolgt das Ziel seine eigenen Vorstellungen umzusetzten.
Wie sieht dass Patch Managment bei Security Problemen aus ....
Welche Möglichkeiten bietet mir als User dass System von sich aus an um die jeweiligen Bits und Bytes zu schützen.
Mit Linux (sowohl Kern als auch einige Distributionen) habe ich deswegen ein zwiespältiges Verhältnis.
Mal Funktioniert etwas in Version A dann tauchen bei der selbigen Funktion in Version B plötzlich Fehler auf und da Frage ich mich .... muss dass sein ?!
Dann stellt sich mir immer wieder die Frage bei Linux wieso zum Hänker kriegen die (damit meine ich insbesondere das Kernteam der meisten Projekte) es nicht auf die Reihe sowohl Anfänger wie auch Fortgeschrittenen - Profis die Möglichkeit zu bieten den Funktionsumfang in einem solchen Maß in Balance zu bringen das jenes Fundament nicht ständig zusammen bricht - damit meine ich die ganzen Kernel Panic dich auch heute noch anscheinend gang und gäbe sind .....
Linux - ganz schlecht ?
BSD - etwas besser ?
Windows - ein zwischen Ding ?
MacOSX - zwischen BSD und Windows ?
Na ganz so leicht ist die Sachen nicht zu klären.
Alle Systeme haben (aus meiner eigenen Sicht) ihre Daseins Berechtigung - solange sie ihren Zweck erfüllen und falls nicht kommt etwas neues an dessen Stelle her.
Codetechnisch haben alle Vor- und Nachteile ( gibt es überhaupt etwas Perfektes, also etwas dass dem höchsten Ideal entspricht - Nein oder vielleicht lässt sich doch dem einen oder anderem ein Ja heraus kitzeln ? )
Linux hat seine Macken wie auch alle anderen Existierenden Betriebssysteme eines Rechners auch.
BSD weist eine konservative Entwicklung auf was sich bei der Funktionalität bemerkbar macht ....
Und Windows naja richtet sich größten Teils nach den Vorstellung Microsofts
Die Frage ist doch was will ich erreichen und komme ich damit zurecht, es bringt keinem etwas einem Endanwender ein Betriebssystem welches für Server konzipiert worden ist, vor die Nase zu setzten wenn man diesen damit überfordert und den normalen Arbeitsablauf dadurch behindert.
Genauso verhält es sich wenn man einem "Systems Engineer" (wobei man zugeben muss dieser sich wohl von der bereitgestellten Lösung recht früh befreien wird) sagen wir irgend ein beschränktes System vorsetzt, welches diesem - gelinde gesagt - auf den Keks geht und diesem ebenso im Arbeitsablauf behindert.
Für jedes Problem gibt es meist eine Lösung, sollte es diese nicht geben stellt man sich eine her, erzielt man mit der Lösung nicht den gewünschten Erfolg muss man nach einer neuen "Lösung" ausschau halten.
Linux (nicht der Kern selbst) genießt ein sehr starkes Medienecho, was bei anderen OpenSource Projekten meist nicht der Fall ist.
Die Frage welche ich mir immer Stelle wenn ich ein Projekt aus dem OpenSource Szene interessant finde ist, welchen Zweck verfolgt dieses.
Soll es eine alternative zum "bösen" ClosedSource sein oder verfolgt das Ziel seine eigenen Vorstellungen umzusetzten.
Wie sieht dass Patch Managment bei Security Problemen aus ....
Welche Möglichkeiten bietet mir als User dass System von sich aus an um die jeweiligen Bits und Bytes zu schützen.
Mit Linux (sowohl Kern als auch einige Distributionen) habe ich deswegen ein zwiespältiges Verhältnis.
Mal Funktioniert etwas in Version A dann tauchen bei der selbigen Funktion in Version B plötzlich Fehler auf und da Frage ich mich .... muss dass sein ?!
Dann stellt sich mir immer wieder die Frage bei Linux wieso zum Hänker kriegen die (damit meine ich insbesondere das Kernteam der meisten Projekte) es nicht auf die Reihe sowohl Anfänger wie auch Fortgeschrittenen - Profis die Möglichkeit zu bieten den Funktionsumfang in einem solchen Maß in Balance zu bringen das jenes Fundament nicht ständig zusammen bricht - damit meine ich die ganzen Kernel Panic dich auch heute noch anscheinend gang und gäbe sind .....
@ mime,
Gib doch mal bei OSVDB: The Open Source Vulnerability Database als Suchbegriffe "Apple" oder "Microsoft" ein.
Da bekommst Du wesentlich mehr angezeigt.
Man kann natürlich die Dinge immer so manipulieren, dass sie zu den Argumenten passen!
Gib doch mal bei OSVDB: The Open Source Vulnerability Database als Suchbegriffe "Apple" oder "Microsoft" ein.
Da bekommst Du wesentlich mehr angezeigt.
Man kann natürlich die Dinge immer so manipulieren, dass sie zu den Argumenten passen!
Kleiner Tipp: Du solltest dir dringend (!) mal angewöhnen, die Dinge im richtigen Kontext zu sehen und nicht in jeder Äußerung direkt einen Angriff auf dein geliebtes Linux zu sehen. Aber das wurde hier in diesem Thread ja auch schon angesprochen, Linux-Jünger nerven einfach extrem. Und nein, damit meine ich nicht Linux-User im Allgemeinen.
Davon abgesehen: Ich behaupte jetzt einfach mal, dass du selbst nicht in der Lage bist, zu beurteilen, wie sicher oder unsicher Windows/Linux/*BSD etc. sind. Jedenfalls kommt dein permanentes Windows Gebashe bei mir so an.
Linux: 2728
Windows: 2362
Mac OS: 972
Fazit von diesen m.M.n. bedeutungslosen Zahlen?
@ubertrager
ja, Du hast Recht. Ich habe keine Ahnung.
@
Inliferty
ubertrager hat auch bei Dir Recht. Du solltest die Zahlen mal im richtigen Kontext betrachten.
Aber abgesehen davon, dass Linux Sch... ist, benutzt es jeder!
Auch das geliebte HaBo läuft unter...
Netcraft What's That Site Running Results
ja, Du hast Recht. Ich habe keine Ahnung.
@
Inliferty
ubertrager hat auch bei Dir Recht. Du solltest die Zahlen mal im richtigen Kontext betrachten.
Aber abgesehen davon, dass Linux Sch... ist, benutzt es jeder!
Auch das geliebte HaBo läuft unter...
Netcraft What's That Site Running Results
Hier wurde ja schon mehrmals angesprochen, dass Ubuntu, Suse und Fedora die "falschen" Distributionen seien und man sich über Probleme nicht wundern solle.
Welche wären dann die voll korrekten für den Desktop?
Vorzugsweise solche, die nicht nur sporadisch gepflegt werden, nicht alle 6 Monate neu installiert werden müssen (also mit LTS) und bei denen man
nicht bei jedem Update die Daumen gedrückt halten muss?
Gentoo/Arch/Slackware?
PS:
Wenn man bei VulnDBs nach Linux sucht, bekommt man meist nur Treffer rund um den eigentlichen Kernel angezeigt. Bei "Windows" Suche sind auch viele
PPS:
die "Core i" CPUs der ersten Generation sind für FreeBSD immer noch zu "bleeding edge" - zumindest was die Unterstützung der integrierter GPU angeht
Welche wären dann die voll korrekten für den Desktop?
Vorzugsweise solche, die nicht nur sporadisch gepflegt werden, nicht alle 6 Monate neu installiert werden müssen (also mit LTS) und bei denen man
nicht bei jedem Update die Daumen gedrückt halten muss?
Gentoo/Arch/Slackware?
PS:
Wenn man bei VulnDBs nach Linux sucht, bekommt man meist nur Treffer rund um den eigentlichen Kernel angezeigt. Bei "Windows" Suche sind auch viele
Treffer dabei
PPS:
die "Core i" CPUs der ersten Generation sind für FreeBSD immer noch zu "bleeding edge" - zumindest was die Unterstützung der integrierter GPU angeht
Habe ich erwähnt das Linux sche*** ist?
Und welcher Zusammenhang ist deiner Meinung nach der richtige?
Rein objektiv (weil count(Vul(Linux)) > count(Vul(Windows))) betrachtet würde ich nun behaupten das Linux mehr Lücken hat als Windows?
MfG
Inliferty
Ich finde die Anzahl der Lücken gar nicht so massgeblich. Man kann schliesslich nicht von einem losen Haufen von Hobbyscriptern erwarten das sie echten code schreiben. Immerhin ist Linux ja aus einer reinen Hobbygemeinde "entstanden".
Trauriger finde ich jedoch, das die Linuxer die Fehler machen, die alle anderen schon längst ausgemerzt hatten und auch schmerzliche Erfahrungen damit. Für Linuxer ist es egal denn "musste ja nich nehmen", oder "machs doch besser..." oder "zieh doch netzwerkstecker..". Die Leier kennt man ja zu genuege. Insofern sage ich mal die Fehlerhaeufigkeit und die Art der fehler passen einfach zum Niveau des Produkts und das ist nunmal im besten Falle mittelmässig.
Trauriger finde ich jedoch, das die Linuxer die Fehler machen, die alle anderen schon längst ausgemerzt hatten und auch schmerzliche Erfahrungen damit. Für Linuxer ist es egal denn "musste ja nich nehmen", oder "machs doch besser..." oder "zieh doch netzwerkstecker..". Die Leier kennt man ja zu genuege. Insofern sage ich mal die Fehlerhaeufigkeit und die Art der fehler passen einfach zum Niveau des Produkts und das ist nunmal im besten Falle mittelmässig.