• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[solved]Sicherheit älterer Linux-Systeme

OsunSeyi

Hacker
Es wird oft (und gerne) darauf hingewiesen, man solle in jedem Fall sich an die neuesten Versionen halten.
Meine SuSE 9.3 bekommt angeblich keine Sicherheits-updates mehr, ein möglicher Grund für einen Wechsel also.
Mich interessiert die Frage, wie relevant diese Sicherheitsupdates für einen Einzelplatzrechner mit privatem Hintergrund überhaupt sind.
Ich dachte immer, eine SuSE 8er Version oder älter würde (Linux spezifisch eben, im Ggs. zu anderen OS) sowieso relativ sicher laufen, und Viren beispielsweise seien für Linux sowieso mehr oder weniger garnicht vorhanden.
Könnte man da nicht (als privater, wohlgemerkt) seine Dateien auch gefahrlos einem uralt-linux anvertrauen und sich die Sicherheitsupdates sparen ?
Gruß, tom
 

Grothesk

Ultimate Guru
Es tauchen immer mal wieder Lücken auf. Auch solche, die sich u. U. von entfernten Rechnern aus ausnutzen lassen.
Und deine Suse 9.3 wird nicht nur angeblich nicht mehr unterstützt, sondern tatsächlich nicht mehr. Die Unterstützung für 10.0 läuft im November aus. Ist schon über die entsprechenden Mailinglisten angekündigt worden.

Ein Linux ist ja nicht deswegen sicher, weil beim starten das Wort 'Linux' im Bootvorgang auftaucht, sondern weil es kontinuierlich verbessert wird.

Nimm nur z. B. diese aktuelle Meldung zu openoffice:

Affected Products: SUSE LINUX 10.0
SUSE LINUX 10.1
openSUSE 10.2
SuSE Linux Desktop 1.0
Novell Linux Desktop 9
SUSE Linux Enterprise Desktop 10 SP1
SLE SDK 10 SP1


1) Problem Description and Brief Discussion

OpenOffice_org was updated to fix a bug in TIFF parsing code that
lead to a heap overflow. (CVE-2007-2834)

This bug can be exploited with user assistance (a user opening a
malicious document) to execute arbitrary code.

Ich gebe dir Brief und Siegel, das die entsprechende Lücke auch in der OOo-Version in deiner nicht mehr unterstützten 9.3 zu finden ist.
 
OP
OsunSeyi

OsunSeyi

Hacker
Danke, das leuchtet ein.
Bleibt die Frage, ob es uU. trotzdem möglich ist, ein und dasselbe System über einen längeren Zeitraum zu nutzen (wie groß ist das Risiko, das tatsächlich was passiert, Datenbackup ist natürlich vorausgesetzt).
Gibt es Distri`s, die u.U durch Verzicht auf die neuesten Features eine besondere 'Langlebigkeit' bepflegen ?
Ich finde es persönlich nicht so spannend, alles neu zu installieren und einzurichten.
Oder sagen wir mal, der Nutzen sollte gegen das Risiko abgewogen sein.
Und es gibt ja auch Leute, die noch mit SuSE 8x arbeiten.
Also, in gewissem Sinne ist mir das vollkommen klar, daß die Sicherheitsupdates keineswegs überflüssig sind, und trotzdem frage ich mich, ob es nicht im Grunde sehr warscheinlich ist, daß man auch mit einer veralteten Version jahrelang täglich in´s Internet gehen könnte, ohne das was passiert.
Oder würest Du sagen, daß es im Ggs. warscheinlich eben nicht gutgehen würde ?
viele Grüße,
tom
 

na-cx

Hacker
Wenn man eine entsprechende Firewall vorschaltet (IPCop u.ä.), dann verringert sich das Risiko von Atacken aus dem Internet. Hierfür benötigt man aber einen zusätzlichen Rechner (ein älterer Thin-Client mit z.B. MediaGX(m) oder Geode Prozessor und einer HDD) reicht hierfür aus.



Debian ist sehr langlebig. Selbst die meisten "Upgrades" von Sarge auf Etch verliefen Problemlos ohne eine Neuinstallation.
Die LTS-Reihe von (K)Ubuntu wird für 3 Jahre (Desktop) bzw. 5 Jahre (Server) mit Updates versorgt.
Alternativ könnte man auf kostenpflichtige Produkte wie den SLED zurückgreifen.
 

panamajo

Guru
OsunSeyi schrieb:
Bleibt die Frage, ob es uU. trotzdem möglich ist, ein und dasselbe System über einen längeren Zeitraum zu nutzen
Ein System einmal zu installieren und dann ungewartet mehrere Jahre lang zu nutzen geht mit Sicherheit schief.
Bei entsprechender Kenntniss und Wartung ist es durchaus möglich ein System über den Supportzeitraum hinweg sicher zu halten, allerdings mit steigendem Aufwand.
OsunSeyi schrieb:
Gibt es Distri`s, die u.U durch Verzicht auf die neuesten Features eine besondere 'Langlebigkeit' bepflegen ?
Je weniger Features desto weniger Komponeten desto weniger potentielle Sicherheitslücken. Hilft aber nichts wenn z.B. eine Lücke im Kernel oder glibc etc. bekannt wird.
OsunSeyi schrieb:
Oder sagen wir mal, der Nutzen sollte gegen das Risiko abgewogen sein.
Ein System ist entweder (nach bester Kenntniss) sicher oder nicht. Ein "bisschen unsicher" gibt es nicht, ist ein System kompromittierbar gefährdet es sich und andere. Da gibt es keine Risikoabwägung, Updaten oder abschalten.
OsunSeyi schrieb:
Also, in gewissem Sinne ist mir das vollkommen klar, daß die Sicherheitsupdates keineswegs überflüssig sind, und trotzdem frage ich mich, ob es nicht im Grunde sehr warscheinlich ist, daß man auch mit einer veralteten Version jahrelang täglich in´s Internet gehen könnte, ohne das was passiert.
Oder würest Du sagen, daß es im Ggs. warscheinlich eben nicht gutgehen würde ?
Das wird mit Sicherheit schiefgehen.
Jeder mögliche remote exploit wird irgendwann in r00tkits aufgenommen, und es gibt Botnetze und Server die nichts anderes machen als das Internet nach potentiellen Opfern abzugrasen.
Ein unsicheres System wird somit auf alle Fälle betroffen sein, ist nur eine Frage der Zeit (Huch, ich fange an zu schäublen :mrgreen:)
 
OP
OsunSeyi

OsunSeyi

Hacker
Also noch weitere Fragen...
Zum Einen hört sich das ja sehr desillusionierend an.
Zum anderen, was den Kernel betrifft: ist es nicht so, zumindestens theoretisch, daß ein Programm wenn es nur lange genug 'bepflegt' wurde irgendwann keine Sicherheitslücken mehr aufweisen dürfte, woraus folgt, das neue Sicherheitslücken immer und stets aufgrund neuer Features erst entstehen.
Das ist gerade das: Wir sind doch langsam an einem Punkt angekommen, wo die Frage auftaucht, was der PC denn noch alles leisten soll.
Ist es nun ein Arbeitsgerät, was im Grunde schon seit einiger Zeit allen erdenklichen Aufgaben bestens gerecht wird oder ein Tummelplatz stetig neuer Entwicklungen, die aber in der Konsequenz immer auf Kosten von Schlichtheit, Integrität und Sicherheit gehen ?
Für mich persönlich ist es gerade einer der Beweggründe, Linux zu benutzen, daß man das Gefühl hat, in seinen Anligen ernst genommen zu werden und sich nicht unbedingt dem kommerziellen Feature-Wahnsinn aussetzen zu müssen.
Ich hoffe, ihr findet das jetzt nicht allzu esoterisch.
Und vielleicht ist es ja auch sachlich falsch...?
Gruß
tom
 

panamajo

Guru
OsunSeyi schrieb:
Zum Einen hört sich das ja sehr desillusionierend an.
Inwiefern?
OsunSeyi schrieb:
ist es nicht so, zumindestens theoretisch, daß ein Programm wenn es nur lange genug 'bepflegt' wurde irgendwann keine Sicherheitslücken mehr aufweisen dürfte, woraus folgt, das neue Sicherheitslücken immer und stets aufgrund neuer Features erst entstehen.
Nein.
Es gibt zwar auch unter *NIX Anwendungen durchaus Beispiele bei denen Stabilität gegen zumindest fragwürdige Features aus Spiel gesetzt werden (XGL, superkaramba, beagle, ...) aber meist wird auf bekannte Probleme hingewiesen und niemand zwingt den Anwender sowas zu installieren (außer openSUSE10.2 bei beagle :evil:)
Die These dass ein Programm nach genügend langer Zeit der Pflege fehlerfrei sein muss ist falsch, ich nenne mal als Gegenbeispiel sendmail, da glaubt keiner daran dass sich die Zahl von ca. 1 remote exploits/Jahr absehbar ändern wird. Stattdessen wurden mehrere Ersätze implementiert (postfix, smail, exim, ...), die vmtl. auch nicht fehlerfrei sind, aber aufgrund eines besseren Designs eine geringere Fehlerquote aufweisen.
Es gibt es auch durchaus Sicherheitslücken die durch den Wunsch nach mehr Sicherheit aber fehlerhafte Implementierung entstehen (Monitoring/Intrusion Software) :shock:.
Grundsätzlich würde ich sagen dass Programme heutzutage wesentlich sicherer sind als vor sagen wir mal 20 Jahren, da sich gerade durch die Vernetzung das damalige "Garbage in, garbage out" Paradigma als nicht mehr tragbar erwiesen hat. Und es gibt ein deutlich gesteigertes Interesse auch die absurdesten Versuche bestimmte Programme zu komprimittieren zu verfolgen und zu beseitigen (oder auszunutzen). Diese Punkte beträfe gerade Programme deren Feature Liste konstant bleibt.
OsunSeyi schrieb:
Das ist gerade das: Wir sind doch langsam an einem Punkt angekommen, wo die Frage auftaucht, was der PC denn noch alles leisten soll.
Ist es nun ein Arbeitsgerät, was im Grunde schon seit einiger Zeit allen erdenklichen Aufgaben bestens gerecht wird oder ein Tummelplatz stetig neuer Entwicklungen, die aber in der Konsequenz immer auf Kosten von Schlichtheit, Integrität und Sicherheit gehen ?
Diese Problematik findet sich in vielen Technologiezweigen wieder: natürlich könnte man heute noch den VW Käfer produzieren, ein Auto, dass an Schlichtheit unerreicht bleibt und sich im Notfall mit ein paar Ersatzteilen vom Baumarkt oder Sanitärhandel reparierennn lässt (gute alte Vorkriegstechnik :D).
Andererseits lässt der Käfer nicht nur bzgl. Fahrkomfort und Spitzenleistung (Features) sondern auch bzgl. Energieverbrauch, Fahrgastsicherheit, Leistung etc. zu wünschen übrig.
OsunSeyi schrieb:
Für mich persönlich ist es gerade einer der Beweggründe, Linux zu benutzen, daß man das Gefühl hat, in seinen Anligen ernst genommen zu werden und sich nicht unbedingt dem kommerziellen Feature-Wahnsinn aussetzen zu müssen.
Die Problematik ist unabhängig vom Betriebssystem. Unter OSS nur wesentlich transparenter.
"Esotherisch" sind deine Argumente nicht, ein gewisser Herr Weizenbaum hat sich mit ähnlichem Ansatz ("Die Systeme werden immer komplexer, wir können sie nicht mehr validieren") einen Platz in den Annalen der Informatik verdient.
 
OP
OsunSeyi

OsunSeyi

Hacker
Naja, desillusionierend, weil ich mich der (offenbar naiven) Vorstellung hingab, es gäbe so eine Art 'gute alte Computer-Mentalität' aus 'alten Tagen', wo alles noch einfach und dabei doch so sicher war, bis eine böse Firma namens MS alles verdorben und dem Konsum preisgegeben hat.
Vielen Dank also für die ausführlichen Antworten !
Es gibt ja durchaus Versuche, schlanke und schnelle Systeme auch für ältere PC´s zur Verfügung zu stellen.
Ein "bisschen unsicher" gibt es nicht, ist ein System kompromittierbar gefährdet es sich und andere.
...heißt also im Klartext, man sollte unabhängig von eigenen Vorstellungen betr. Sicherheit auf jeden Fall vermeiden, sich auf einem nicht mehr aktuellen Systemen im Netz zu tummeln.
Ich habe da allerdings bestimmte Erfahrungen mit meinem selbstgeschriebenen Formmailer gemacht. Da war es relativ schnell klar, daß es sich dabei um etwas Sensibles handelt (Spamschutz). Und als blutiger Anfänger war es ein Leichtes, den Formmailer zum laufen zu bekommen, aber deutlich schwerer, einen Spamschutz einzubauen.
In den betreffenden Anleitungen zum 'selberbauen' wurde nicht auf die absolute Notwendigkeit von Sowas hingewiesen.
Und ob der Spamschutz, so wie er jetzt ist reicht, weiß ich immer noch nicht.
Dies nur als Beispiel, daß garnichts selbstverständlich ist, solange das betreffende Hintergrundwissen fehlt.
viele Grüße,
tom
 
Oben