News Weiterer Fehler im Linux-Kernel

[Blutschlumpf]

Bei Websiten / Hoster eher Defacements... marketingtechnisch sehr wirkungsvoll.

Vielleicht bei 1&1, Strato und co, aber sicher nicht beim Ich-hab-mich-vor-nem-Jahr-selbstständig-gemacht-Provider mit 5 Servern, dessen Namen du dir eh nicht merken kannst, weil die ganzen IT-Firmen eh gleich klingen.
Da wirst du nirgens was von lesen.
Sobald der erste Kunde anruft und meckert zieht der den Stecker und aus ist.
Wenns einer gemerkt hat, der Terror machen will, dann kommts vielleicht auf webhostlist.de, aber das wars dann. Viel wahrscheinlicher wird die Kiste neu installiert, es kommt das Backup vom Morgen (falls vorhanden ) drauf und ne Mail geht an die Kunden wo drin steht, dass die Hardware kaputt gegangen ist.

Weil man für solche Zwecke bessere verwahrloste Clients nutzen kann auf denen smtp relays laufen, kleine httpds für 'schmuddelseiten' oder hidden ftp. Server werden idr von anderen überwacht. Auffällige Handlungen und Transfers lassen sich nur schwer fälschen.

Die verwahrlosten Clients haben aber meist keine feste IP und nur unzureichend Bandbreite, werden evtl. sogar mal runtergefahren.
Und auf die "Überwachung" würde ich nicht vertrauen, gerade in nem hart umkämpften Markt wie Webhosting hat oft mal einer keine Zeit um in weiser Vorraussicht auf Server draufzugucken, die akut keine Probleme machen. Und ob ein Rechner im Monat 500 oder 550GB macht fällt doch kaum auf, die Werte von Confixx und co stimmen doch eh nicht mit dem Überein was paktisch über die NIC geht.
Auffallen wird der evtl. erst wenn der plötzlich mit 50.000 Paketen/Sekunde zu flooden anfängt.

Experte?

Eher nicht, aber ich bin einer von den Leuten, die im Büro neben den Servern der ganzen Ich-hab-mich-vor-nem-Jahr-selbstständig-gemacht-Provider sitzen und beim Flood den IP-Hahn abdrehen bzw. den Server neu installieren wenn plötzlich nicht mehr das drauf ist was drauf sein sollte.

Ich hab schon Server gesehen, wo der letzte ssh-Login vor > 1 Jahr war.
IT-Sicherheit wird doch erst interessant wenn die Praxis bewiesen hat, dass es ohne nicht geht und das Kind in den Brunnen gefallen ist.

 

[BSDDaemon]

Die verwahrlosten Clients haben aber meist keine feste IP und nur unzureichend Bandbreite, werden evtl. sogar mal runtergefahren.

In der heutigen DSL und Flatrate Zeit sind diese Clients das perfekte Ziel. Wenn eine der Engines erst einmal läuft ist die wechselnde IP kein Problem. Genauso bei DDoS... da nützt dir ein Rootserer herzlich wenig. Du scheinst das Potential hinter den Clients dezent zu unterschätzen.

Und auf die "Überwachung" würde ich nicht vertrauen, gerade in nem hart umkämpften Markt wie Webhosting hat oft mal einer keine Zeit um in weiser Vorraussicht auf Server draufzugucken, die akut keine Probleme machen. Und ob ein Rechner im Monat 500 oder 550GB macht fällt doch kaum auf, die Werte von Confixx und co stimmen doch eh nicht mit dem Überein was paktisch über die NIC geht.

Du scheinst bei weniger kompetenten Anbietern zu arbeiten... es gibt aber auch auf dem hart umkämpften Markt noch Leute die was davon verstehen und eine Auge darauf halten. Denn die Kosten die durch solche Fehler entstehen können können sehr entscheidend sein.

Eher nicht, aber ich bin einer von den Leuten, die im Büro neben den Servern der ganzen Ich-hab-mich-vor-nem-Jahr-selbstständig-gemacht-Provider sitzen und beim Flood den IP-Hahn abdrehen bzw. den Server neu installieren wenn plötzlich nicht mehr das drauf ist was drauf sein sollte.

Also sehr sehr weit entfernt von der Adminstration und Konfiguration von Root Servern und Shell Accounts.

Ich hab schon Server gesehen, wo der letzte ssh-Login vor > 1 Jahr war.

Mancher hat auch schon Pferde kotzen sehen.

IT-Sicherheit wird doch erst interessant wenn die Praxis bewiesen hat, dass es ohne nicht geht und das Kind in den Brunnen gefallen ist.

Es ist Aufgabe der betreuenden Systemhäuser und anderer Dienstleister eben dem Kunden deutlich zu zeigen wie wichtig das ist. Die Fehler fangen nicht erst beim Kunden an... der Kunde kann nichts für seine Naivität wenn er nur mangelhaft aufgeklärt wurde.

 

[Blutschlumpf]

Du scheinst bei weniger kompetenten Anbietern zu arbeiten... es gibt aber auch auf dem hart umkämpften Markt noch Leute die was davon verstehen und eine Auge darauf halten.

a) du solltest mit bewertenden Äußerungen vorsichtiger umgehen, da du kaum wissen wirst, was genau ich tue und für wen.
b) Man kann (und tut es auch) den Kunden darauf hinweisen, aber zu nichts zwingen. Vorraussetzung ist aber, dass man es mitbekommt, was bei mir z.B. nur zufällig passiert, siehe auch Punkt a
c) Vielleicht mal die Nasenspitze wieder unter Augenhöhe halten.

Es ist Aufgabe der betreuenden Systemhäuser und anderer Dienstleister eben dem Kunden deutlich zu zeigen wie wichtig das ist. Die Fehler fangen nicht erst beim Kunden an... der Kunde kann nichts für seine Naivität wenn er nur mangelhaft aufgeklärt wurde.

Schön gesprochen, aber imo gehört eine gewisse Sorgfalt und auch ein gewisser technischer Background und Grundwissen dazu.
Es kann mir keiner erzählen, dass jemand so naiv ist an seinem System rein gar nix zu pflegen. Wer sich dann damit selbstständig macht und seinen Lebensunterhalt damit verdienen will, kann sich nicht mit "Hab ich nichts von gewusst" rausreden. Aber das ist wohl ein generelles Problem in der IT-Branche. Jeder Metzger, der nen Laden aufmacht, muss ich weiß nicht wie viele Jahre seinen Beruf ausgeübt haben und ne Meisterprüfung ablegen, IT-Dienstleister, Webhoster, usw. ist man nach 30 Minuten anstehen und 15 Euro für den Gewerbeschein.

 

[Siberian..Husky]

http://de.wikipedia.org/wiki/Naiv

@Husky:
Na und, das ist doch egal. Ob der Angriff von innen oder außen kommt ist in dem Falle auch egal.

@Deamon:
Das mag vielleicht bei einigen (wenigen) Großen so sein, aber bei so manchem Hoster kannste froh sein wenn da alle 3 Monate überhaupt mal ein neuer Kernel drauf kommt.

es ist also egal ob die 20 kunden auf deinem server rootrechte kriegen können oder jeder der milliarden user im internet?

ich vermuter ganz einfach mal das die warscheinlichkeit das jemand die lücke ausnutzt bei letzteren vorraussetzungen wesentlich höher liegt...

 

[Blutschlumpf]

Jein.
Wenn du betroffen bist, ist es egal aus welcher Richtung die Kugel kam meinte ich damit.
Die potentiellen Gefahrenquellen sind natürlich weniger.
Aber wenn von den 500 (20 ist was unrealistisch) Kunden nur einer ein schlechtes (leicht zu erratenes) passwort hat, dann steht der Server evtl. recht schnell auch nicht wenigen Leuten zur Verfügung. (@BSDDaemon: bitte keine Diskusion über Richtlinien zur pw-Setzung )
Auf der anderen Seite sind natürlich die möglichen Auswirkungen viel verheerender.
Für denjenigen, der es zuhause auf dem Desktop nutzt wärs natürlich jetzt weniger problematisch.

 

[BSDDaemon]

a) du solltest mit bewertenden Äußerungen vorsichtiger umgehen, da du kaum wissen wirst, was genau ich tue und für wen.

Habe ich dich angesprochen? Ist es nicht eher das du dich hast angesprochen gefühlt hast? Dann scheint ja was dran zu sein.

b) Man kann (und tut es auch) den Kunden darauf hinweisen, aber zu nichts zwingen. Vorraussetzung ist aber, dass man es mitbekommt, was bei mir z.B. nur zufällig passiert, siehe auch Punkt a

Die Kontrolle über die Systeme haben die Betreiber, genauso wie die Verantwortung. Wenn der Kunde es verlangt hat der Betreiber zu springen. Ob bei einem Kunden oder 1000 auf einem Server. Das klappt bei sehr kleinen Anbietern und auch bei sehr grossen. Wenn dem nicht folge geleistet wird folgen Defacements o.ä. Und ob nun ein Kunde von 10 auf einem Server oder 100 Kunden von 1000 auf einem ist dabei egal... wenn diese Kunden sich vernachlässigt fühlen und kündigen tut das beiden weh.

c) Vielleicht mal die Nasenspitze wieder unter Augenhöhe halten.

Warum sollte ich mich unter Wert verkaufen?

Schön gesprochen, aber imo gehört eine gewisse Sorgfalt und auch ein gewisser technischer Background und Grundwissen dazu.

Das sollte man alles haben wenn man entsprechende Accounts betreibt/vermietet.

Es kann mir keiner erzählen, dass jemand so naiv ist an seinem System rein gar nix zu pflegen.

Wenn ich so einzelne Strato Server prüfe... doch das gibt es... dort aber eher aus Faulheit als wegen Kompetenz Mangels. Wer nicht weiss wie man ein System am leichtesten und effektivsten verwaltet lässt gerne die Finger davon als sich zu informieren.

Wer sich dann damit selbstständig macht und seinen Lebensunterhalt damit verdienen will, kann sich nicht mit "Hab ich nichts von gewusst" rausreden.

Die reden sich dann gerne dahingehend aus dass sie sagen 'Nein wir können nicht upgraden weil wir erst ausgibig testen müssen und die Kosten zu hoch sind.' Die Masse der Kunden solcher Betreiber sind absolute Laien die davon rein gar nichts verstehen... und merkt ein Betreiber das wird das auch oft ausgenutzt. Bei Strato haben ich einigen Kunden so verholfen aktuelle Systeme zu bekommen, bei meinem WebHoster habe ich angestossen das PHP4 und PHP5 angeboten werden und das auf Wunsch auch der 2er Apache zur Verfügung steht.

Aber das ist wohl ein generelles Problem in der IT-Branche. Jeder Metzger, der nen Laden aufmacht, muss ich weiß nicht wie viele Jahre seinen Beruf ausgeübt haben und ne Meisterprüfung ablegen, IT-Dienstleister, Webhoster, usw. ist man nach 30 Minuten anstehen und 15 Euro für den Gewerbeschein.

Dann ist es aber auch Naivität und/oder Faulheit der Kunden sich kein Hintergrundwissen vom Anbieter einzuholen. Es spricht ja nichts dagegen dem Betreiber anzurufen und nach Referenzen etc zu fragen. Solange die Kunden nichts fordern sehen Betreiber sich auch nicht genötigt zu handen. Das sie es können wenn man ihnen auf die Füsse tritt sehe ich tag täglich.

 

[Blutschlumpf]

Habe ich dich angesprochen?

Durch das Wort "Du" fühle ich mich für gewöhnlich angesprochen.

Bei b haben wir wohl aneinader vorbeigeredet, für mich ist der Hoster mein Kunde, weil ich ihn anbinde.

Dann ist es aber auch Naivität und/oder Faulheit der Kunden sich kein Hintergrundwissen vom Anbieter einzuholen.

Imo nur bedingt.
Wie soll ein Betreiber denn darlegen, dass er was kann ?

Durch Referenzkunden ? Die sind zwar schön zur Werbung, aber sagen praktisch nicht über den Hoster als Techniker aus, eher ob der Vertrieb was taugt.

Durch Zertifikate ? Ein LPI zeigt, dass du das Grundprinzip verstehst, aber viel mehr auch nicht. Ein Wisch von RedHat zeigt, dass du dich auch noch mit den Eigenarten der Distri auskennst und zu viel Geld hast. Zumal die besten Auszeichnungen nicht bedeuten, dass das Wissen auch angewand wird. Seit dem Tage, an dem ich nem Informatik-Studenten (nach Abschluss des Studiums wohlgemerkt) WinXP installieren musste und nachher erklärt hab was ne Netzmaske ist, geb ich auf Zettel wo draufsteht was jemand kann nicht mehr viel.
Ich traue jemandem, der sich was eigenes auf Gentoo gebaut hat sicher mehr zu als nem SuSE + Confixx Hoster.
Einzige Möglichkeit wäre in einschlägigen Foren zu fragen ob jemand schon Erfahrungen gemacht hat oder auf einen der großen zu setzen und einfach zu hoffen.
Der Endkunde hat doch praktisch keine Möglichkeit wirklich herrauszufinden ab ein Hoster was taugt. Mal abgesehen davon, dass man sicher der Hälfte aller Kunden sagen könnte man würde google.de hosten und die könnte es nichtmal überprüfen.

 

[DarkAngel]

Ich traue jemandem, der sich was eigenes auf Gentoo gebaut hat sicher mehr zu als nem SuSE + Confixx Hoster.

Aha interessant... kannst du auch begründen wieso ? Nen emerge apache dürfte nicht wirklich schwer sein. Und nur weil er das also geschaft hat ist er jetzt ein besserer Hoster als jemand der Suse + Confixx benutzt.

 

[BSDDaemon]

Wie soll ein Betreiber denn darlegen, dass er was kann ?

Eingesetzte Software - aktuell verfügbare Version - installierte Version - Anzahl der Kunden - Anzahl der Kunden pro Server - Hard und Softwareumgebung der Rechner - durchschnittliche Frequentierung der Server - Durchschnittliche verfügbare Anbindung - Personal Menge - Anteil an Support und Admin Personal... es gibt so viele Fragen die man stellen kann.

Ich traue jemandem, der sich was eigenes auf Gentoo gebaut hat sicher mehr zu als nem SuSE + Confixx Hoster.

Ich traue einem Hersteller der zertifiziert ist eher als einer Bastel Distribution. Wenn ich nur Server habe ich ich verwalte und nur mir dienen kann ich auf Support etc verzichten weil ich fbsd mehr als nur im Griff habe, wenn ich eine Serverfarm betreibe will ich nicht nur den Support der grösseren Anbieter sondern auch deren Zertifizierungen... SuSE kann sehr bedeutende Zertifikate vorweisen... Gentoo auch? Zumal Gentoo nicht wirklich schwer ist, eher umständlich was den Zeitaufwand betrifft.

Der Endkunde hat doch praktisch keine Möglichkeit wirklich herrauszufinden ab ein Hoster was taugt. Mal abgesehen davon, dass man sicher der Hälfte aller Kunden sagen könnte man würde google.de hosten und die könnte es nichtmal überprüfen.

Siehe oben... es sind einfache Fragen die einem viel verraten können.

 

[Blutschlumpf]

Aha interessant... kannst du auch begründen wieso ? Nen emerge apache dürfte nicht wirklich schwer sein. Und nur weil er das also geschaft hat ist er jetzt ein besserer Hoster als jemand der Suse + Confixx benutzt.

Weil man Suse + Confixx an jeder Ecke vorinstalliert bekommt. Das kann ich vorzeigen ohne jeweils Linux auch nur benutzt zu haben.
In dem Moment wo sich jemand eine individuelle Lösung gemacht hat, also eine eigene Konfigurationslösung/Administrationsoberfläche, sehe ich, dass er Ahnung hat was er wo konfigurieren muss und da ein paar Monate Arbeit reingesteckt hat.

War jetzt nichts gegen SuSE und co an sich.

 

[NaturalSound]

[ ] Du kennst den Unterschied zwischen einer rein lokal ausnutzbaren Sicherheitslücke die einen gültigen Benutzeraccount verlangt und den Windows Lücken die sich von aussen ohne Account ausnutzen lassen.

*peng* Hier ist deine Merkbefreiung

genau für sollche sind die news ;D jaaaaa linux ist jaaaa auch aaanfällig...

 

[lightforce]

@32 NaturalSound

Naja es stimmt schon was BSDDaemon sagt. Es ist etwas anderes, wenn man eine Sicherheitslücke nur als User ausnutzen kann. Mal ein Beispiel: Ich hab 2 Useraccounts auf meinem Linux rechner. Also muss jemand zumindest von einem Benutzernamen und Passwort kennen. Überleg mal wie viele Leute an die ran kommen? Bei Windows XP sieht die Sache dann etwas anders aus. Man braucht für einige Exploits halt eben keinen Benutzernamen und kein Passwort. Also kann eigentlich jeder, der einen internetzugang hat, mein System angreifen.

cu light

 

[marcelcedric]

Ich traue einem Hersteller der zertifiziert ist eher als einer Bastel Distribution. Wenn ich nur Server habe ich ich verwalte und nur mir dienen kann ich auf Support etc verzichten weil ich fbsd mehr als nur im Griff habe, wenn ich eine Serverfarm betreibe will ich nicht nur den Support der grösseren Anbieter sondern auch deren Zertifizierungen... SuSE kann sehr bedeutende Zertifikate vorweisen... Gentoo auch? Zumal Gentoo nicht wirklich schwer ist, eher umständlich was den Zeitaufwand betrifft.

Oder RedHat.

Darf ich Flamen?

<Flame> Ich vertraue NetBSD, ist einfach besser und schneller. Wenns um Linux geht, einfach Debian. : ) </Flame>

Naja es stimmt schon was BSDDaemon sagt. Es ist etwas anderes, wenn man eine Sicherheitslücke nur als User ausnutzen kann. Mal ein Beispiel: Ich hab 2 Useraccounts auf meinem Linux rechner. Also muss jemand zumindest von einem Benutzernamen und Passwort kennen. Überleg mal wie viele Leute an die ran kommen? Bei Windows XP sieht die Sache dann etwas anders aus. Man braucht für einige Exploits halt eben keinen Benutzernamen und kein Passwort. Also kann eigentlich jeder, der einen internetzugang hat, mein System angreifen.

Stimmt. Zumal du eigentlich kein Exploit brauchst. Nimmst einfach n PortScanner und Dameware. Wenn du Glueck hast, was _OFT_ so ist, haste bei den ersten 20 Rechnern schon 3 - 4 Kisten ohne Adminpw. Danach stehen dir alle Tueren offen..

.oO(Ich hoff, ich hab nicht zu viel geschrieben. Sollte ja keine Anleitung sein)

mfg