• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Was gibt es Vorteile von freien UnixOSen gegenüber Linux?

holgerw

Well-Known Member
#51
Hallo @guru

schöner Beitrag, auch wenn ich manche Sachen etwas anders sehe - besonders das Stichwort
Binärkompatibilität zu Linux
Gelesen habe ich das schon oft und wer sich damit noch nicht befasst hat, gewinnt leicht den Eindruck, mit etwas vertretbarem Aufwand Linuxbinaries einfach zum Laufen zu bekommen.

Die kommenden Tage werde ich zum Thema "Turboprint (Linuxbinary für Fotodruck) unter FreeBSD" nochmal einen Anlauf nehmen, mein damaliger Versuch ist nach zahlreichen ziemlich nervigen Anläufen und Tests gescheitert. Es gibt sicherlich relativ anspruchslos einzurichtende Anwendungen, aber generell scheint es sooooo einfach dann doch nicht immer zu sein :D

Sorry für das leichte OffTopic.
 

ralli

BSD Fanboy
#53
Ein weiterer großer Vorteil zumindest bei FreeBSD ist die Freiheit der Selbstbestimmung, frei von Bevormundung und Entmündigung, frei von Zwängen und Fremdbestimmung. Bei FreeBSD kontrolliere ich weitestgehend das OS, und nicht das OS mich. Aber bei allen Komplettsystemen mit viel Automagie werde ich ja wieder an die Hand genommen, brauche wenig selbst zu denken und zu handeln. Man kann glücklich sein damit, muß man aber nicht. Wer hinter die Kulissen schauen will, kommt daher um eine gehörige Portion Eigeniniative nicht herum.
 

Vril

Well-Known Member
#54
...zumal ich relativ anarchistisch/kommunistisch eingestellt bin
Es mag Dich jetzt vielleicht überraschen und verwundern ,
aber nicht jeder glaubt einem Kommunisten
reflexartig in die dafür geeignete Körperöffnung kriechen zu müssen!
( ich persönlich trete lieber dahin )

...ist die Frage, welcher User du bist. Wenn du nur einen Ersatz für Windows suchst, kauf einen Mac. Dein Geldbörs'l ist zwar ein paar Größenordnungen schmäler, dafür wirst du mit einer eleganten Maschine belohnt....

Yeah!!! Erinnert mich jetzt spontan an (west)deutsche Grüne und Linke, die öffentlich von sozialer Gerechtigkeit und Klimaschutz
schwafeln - und privat Porsche fahren!


...Wenn du, wie ich, der Ansicht bist, man könne sich auf einem aus millionen Schaltkreisen
gefertigten Gerät nur dann adäquat durch ein aus milliarden Schaltkreisen
aufgebauten Computernetzwerk bewegen,...
Wow!
Selbst ein proletarischer, rot lackierter Klassenkampf-PC in Hammer- und Sichel Form, der bei Einschalten die Internationale spielt:
hat keine Millionen "Schaltkreise" ;-)

Einer Deiner Genossen sagte am 14. August 1989:
"Den Sozialismus in seinem Lauf hält weder Ochs noch Esel auf." Das sagte er beim Besuchs des
Erfurter Mikroelektronikwerks "Karl Marx",
als der DDR-32-bit-Speicherchip vorgestellt wurde.

In eigener Sache:
ich entschuldige mich hier für den OT Beitrag!
 

Lance

Well-Known Member
#57
Bezüglich der SICHERHEIT mal ganz naiv und doof gefragt: Ich habe Notebook A und Notebook B, mache auf A Ubuntu rauf, auf B FreeBSD. Dann jeweils Firefox, Thunderbird und das "übliche Zeugs" (Gimp, VLC usw.) auf beide.

Nehmen wir mal an ich mache mit beiden Notebooks das gleiche (auf den gleichen Seiten surfen, was downloaden usw.) Bislang nahm ich an, dass ich mit einem FreeBSD-System grundsätzlich sicherer unterwegs wäre als mit einem Linux-System. Aufgrund der geringeren Verbreitung und damit verbundene Seltenheit von Viren und weil ich z.B. vom "staff" nicht einfach mal zu "root" wechseln kann (normaluser gehört bei mir standardmässig nicht zu "wheel" , dafür habe ich einen extra user) und weil ich in den configs nicht alles blind freigeschaltet habe, fühlte ich mich weit sicherer als mit Linux.

Ist das so oder irre ich mich? Würde mich freuen das mal eindeutig zu klären wenn es möglich ist.

Gr Lance
 

pit234a

Well-Known Member
#59
Bezüglich der SICHERHEIT mal ganz naiv und doof gefragt: Ich habe Notebook A und Notebook B, mache auf A Ubuntu rauf, auf B FreeBSD. Dann jeweils Firefox, Thunderbird und das "übliche Zeugs" (Gimp, VLC usw.) auf beide.

Nehmen wir mal an ich mache mit beiden Notebooks das gleiche (auf den gleichen Seiten surfen, was downloaden usw.) Bislang nahm ich an, dass ich mit einem FreeBSD-System grundsätzlich sicherer unterwegs wäre als mit einem Linux-System. Aufgrund der geringeren Verbreitung und damit verbundene Seltenheit von Viren und weil ich z.B. vom "staff" nicht einfach mal zu "root" wechseln kann (normaluser gehört bei mir standardmässig nicht zu "wheel" , dafür habe ich einen extra user) und weil ich in den configs nicht alles blind freigeschaltet habe, fühlte ich mich weit sicherer als mit Linux.

Ist das so oder irre ich mich? Würde mich freuen das mal eindeutig zu klären wenn es möglich ist.

Gr Lance
ohne Details zu kennen, ist mir aber schon klar, dass so ziemlich all das was du positiv für FreeBSD beschreibst auch in einem GNU/Linux pure Einstellungssache ist. Man muss dort nicht sudo nutzen und kann es deinstallieren, man muss nicht seinem Standard-Nutzer erlauben, sudo zu dürfen und man kann ihn in beschränkte Gruppen stecken. Nur, weil viele GNU/Linux-Distributionen das eben in ihrem Sinne Endanwendergerecht ausliefern und damit Endanwender meinen, die möglichst alles sofort haben wollen, muss das nicht so bleiben und liegt auch nicht an irgendwelchen Eigenschaften von GNU oder Linux selbst.
Es gibt vielleicht ein paar Viren mehr für GNU/Linux Systeme und Linux hat vielleicht einige Punkte, die man kritisieren kann, wie etwa alleine die Möglichkeit, Teile mit verschlossenem Code zu integrieren (proprietäre Treiber) und ist vielleicht deshalb unsicherer, aber das dürfte für den Betrieb vollkommen irrelevant sein.
Ich glaube, dass der Code-Umfang zwischen GNU/Linux - FreeBSD und allen anderen zusätzlichen Programmen auf einem Desktop System vielleicht im Verhältnis 1 : 10 liegen dürfte (ganz grob geschätzt unter der Annahme, dass ein Desktop-System etwa 1300 installierte Pakete beinhaltet). Das heißt für mich, dass der weitaus größere Angriffsvektor auf den Anwendungen liegt, die gar nichts mit dem Betriebssystem zu tun haben und die bei FreeBSD und GNU/Linux (oder auch diversen anderen OpenSource-Systemen) aus den gleichen Quellen kommen und in etwa auch den gleichen Leistungsumfang bieten, also auch in etwa gleich große Gefahrenquellen darstellen.
Zahlen, die Auskunft über die pure Existenz von Schädlingen für bestimmte Systeme wiedergeben, sind nicht wirklich nützlich. Die allerwenigsten bekannten Schädlinge wirken heute noch irgendwie. Das sind für mich quasi akademische Sammlungen und keine aktuellen Meldungen über vitale Schädlinge, die sich durch die Infrastruktur fressen und vermehren.

Man muss natürlich bei Diskussionen über Sicherheit auch immer darüber reden, was man darunter eigentlich verstehen möchte.
Kein Betriebssystem führt heute dazu, dass irgendeine HW explodiert. In diesem Sinne sind sie also alle sicher.
Die meisten Betriebssysteme laufen auch zuverlässig über längere Zeiträume hinweg und verlieren dabei auch nicht irgendwelche Daten einfach mal so.
Dann gibt es die Sicherheit vor Zerstörung oder Manipulation von Daten und schließlich, gegenüber der Privatsphäre und dem Schutz der Daten vor dem Ausspähen durch unbefugte.
Ich habe oben keine Unterscheidung vorgenommen, meinte aber Sicherheit im Sinne von Stabilität und Schutz gegen Manipulation und Ausspähen von Daten.
 

pit234a

Well-Known Member
#60
vielleicht im Verhältnis 1 : 10 liegen dürfte (ganz grob geschätzt unter der Annahme, dass ein Desktop-System etwa 1300 installierte Pakete beinhaltet).
Ich möchte das noch erklären und vielleicht korrigieren:
dazu habe ich mir einfach angesehen, wie groß /usr/bin zu /usr/local/bin und /usr/lib zu /usr/local/lib ist und das gibt einmal in etwa 1 :3 und dann 1 : 40. Daraus habe ich dann in einem geistigen Höhenflug auf ein Verhältnis von 1 : 10 zwischen Basis-System und weiteren Anwendungen geschlossen.
Das ist alles andere als korrekt.
Man müsste natürlich die Menge an Code tatsächlich ansehen und zwar alles, nachdem es kompiliert ist, um solch ein Verhältnis korrekt bestimmen zu können. ich weiß nicht, ob das mal jemand gemacht hat oder auch nur mal die Anzahl von Zeilen Code vor dem Kompilieren gezählt hat. Das ist sicher nicht so einfach. Man könnte auch ein System installieren und einfach zu verschieden Zeitpunkten hinsehen, wie groß das gerade ist. Aus der Erinnerung glaube ich, dass 64Bit FreeBSD ohne Ports und Quellen zwischen 500M und 1G liegt. Ich habe es letzten erst installiert und schon wieder vergessen. Mein fertiger Desktop mit ca 1000 installierten Paketen bringt es in der Größenordnung dann auf rund 10G. Das Verhältnis 1 : 10, vielleicht sogar 1 : 20 könnte also durchaus im Bereich des Wahrscheinlichen liegen.
Es kommt mir hier auch nicht "auf das Komma an".
Ich will zeigen, dass der wirklich größere Part in einem Desktop-System, Drittanbieter SW ist, die unabhängig vom System entsteht.
 
#61
Nehmen wir mal an ich mache mit beiden Notebooks das gleiche (auf den gleichen Seiten surfen, was downloaden usw.) Bislang nahm ich an, dass ich mit einem FreeBSD-System grundsätzlich sicherer unterwegs wäre als mit einem Linux-System.
Jo, beim Downloaden und ausführen ist es warscheinlicher, dass du Binarys findest die unter Linux funktionieren

Bezüglich der SICHERHEIT mal ganz naiv und doof gefragt: Ich habe Notebook A und Notebook B, mache auf A Ubuntu rauf, auf B FreeBSD. Dann jeweils Firefox, Thunderbird und das "übliche Zeugs" (Gimp, VLC usw.) auf beide.
Sobald du diese Programme mit allen Dependencies installiert hast, gibt es soviele Wege Code auszuführen, dass das OS sich höchstens durch unterschiedliche Ordnerstrukturen wehren kann :ugly: oder komplexere Mechanismen, welche du einstellen musst (jails, firejail, container, VMs, usw.). Sobald ein Angreifer eine Shell oder einen Interpreter ohne Sandbox ausführen kann, fällt dein System
 

Azazyel

Well-Known Member
#62
Eine verschlüsselte Festplatte hilft gegen Spionagesoftware nicht. Die wird dann einfach mitverschlüsselt.
Vielleicht war es ein Laptop - die werden bekanntermaßen gerne geklaut. :zitter:

Wer unbedingt Fernkontoführung betreiben muss oder will, aus welchem Grund auch immer, der sollte zumindest die Angriffsvektoren minimieren.
Korrekt, aber man sollte nicht vergessen: klassische Überweisungsträger haben die höchste Missbrauchsquote. Wobei man sehr schnell bei Online-Banking als einzig praktikabler Alternative landet (nicht zuletzt als ITler).

Das heißt für mich, dass der weitaus größere Angriffsvektor auf den Anwendungen liegt, die gar nichts mit dem Betriebssystem zu tun haben und die bei FreeBSD und GNU/Linux (oder auch diversen anderen OpenSource-Systemen) aus den gleichen Quellen kommen und in etwa auch den gleichen Leistungsumfang bieten, also auch in etwa gleich große Gefahrenquellen darstellen.
Die krassesten Software-Sicherheitslücken der vergangenen Jahre - u.a. Heartbleed und Shellshock - untermauern deine Vermutung.

Ich kann mich auch eine Studie erinnern (die ich leider gerade nicht wiederfinde, sie erschien aber online), dass Rolling Release erheblich sicherer ist als konservative Versionspflege. Die Anzahl frisch eingebauter Sicherheitslücken liegt deutlich unterhalb der in Altcode lauernden Sicherheitslücken (der oftmals zu einer Zeit mit wenig Fokus auf Sicherheit geschrieben wurde). Zusätzlich werden viele Sicherheitslücken heimlich, still und leise behoben, bleiben in konservativen Distributionen aber noch jahrelang offen.

Zurück auf Ebene des Betriebssystems gibt es leider auch schlechte Beispiele: FreeBSD - a lesson in poor defaults
 

holgerw

Well-Known Member
#63
Ich kann mich auch eine Studie erinnern (die ich leider gerade nicht wiederfinde, sie erschien aber online), dass Rolling Release erheblich sicherer ist als konservative Versionspflege. Die Anzahl frisch eingebauter Sicherheitslücken liegt deutlich unterhalb der in Altcode lauernden Sicherheitslücken (der oftmals zu einer Zeit mit wenig Fokus auf Sicherheit geschrieben wurde). Zusätzlich werden viele Sicherheitslücken heimlich, still und leise behoben, bleiben in konservativen Distributionen aber noch jahrelang offen.
Hallo @Azazyel

ich kann doch auch ein FreeBSD rollen lassen, wer für den Port-Bau den Head Branch nimmt oder für pkg das Latest-Repo, der rollt doch, was das Userland anbelangt (und das Basis-System erhält über freebsd-update bei Bedarf Sicherheits-Patches).

Das ist mir sogar lieber so, unter sidux / aptosid / siduction rollte man auch, aber zum Teil sehr holprig, und da waren manchmal wochenlang auch sehr OS nahe Bereiche richtig broken (nun ist ein Derviat, was auf die Spielwiese Debian sid aufsetzt, vielleicht auch ein Sonderfall). Aber auch Antergos (Vanilla Arch plus eigenes Repo mit Paketen, die primär das Design betreffen) war längst nicht so handzahm, wie ein FreeBSD mit Latest Repo.

Eine Ausnahme mag Voidlinux sein, da ist mir beim Aktualisieren bisher nichts großartig kaputt gegangen.

Zurück auf Ebene des Betriebssystems gibt es leider auch schlechte Beispiele: FreeBSD - a lesson in poor defaults
Na ja, wie sind denn die Defaults vieler Linux-Distributionen? Da wird auch kein swap verschlüsselt u.s.f.
Ich habe nun keine Ahnung vom professionellen Umfeld: Wie ist es denn da bei einem RedHat z.B.? Vertraut man da einfach dem Distributor oder legt man nach der Installation nicht ebenso - bezogen auf den jeweiligen benötigten Workflow - auch im Bereich Absicherung und Härtung des OS mehr oder weniger Hand an wie bei FreeBSD?

Wie ich das von Dir zitierte Paper verstehe, geht es ja nicht darum, dass man FreeBSD nicht auch sehr sicher qua händischer Konfiguration bekommen kann, sondern um unglückliche Default-Einstellungen bei einer Standard-Installation.
 
#64
Wie ich das von Dir zitierte Paper verstehe, geht es ja nicht darum, dass man FreeBSD nicht auch sehr sicher qua händischer Konfiguration bekommen kann, sondern um unglückliche Default-Einstellungen bei einer Standard-Installation.
Natürlich gehen die vom Auslieferungszustand aus, von was sollte man auch sonst ausgehen?

Kurze Randbemerkung:
Ich denke ein im Default genutzter Schutz ist deutlich besser gewartet und implementiert, als ein Schalter den ein User umlegt.
 

ralli

BSD Fanboy
#65
Ich habe nun keine Ahnung vom professionellen Umfeld: Wie ist es denn da bei einem RedHat z.B.? Vertraut man da einfach dem Distributor oder legt man nach der Installation nicht ebenso - bezogen auf den jeweiligen benötigten Workflow - auch im Bereich Absicherung und Härtung des OS mehr oder weniger Hand an wie bei FreeBSD?
Mein Kenntnisstand ist der, das es bei Redhat bzw. dem Clone CentOS regelmäßige zeitnahe Sicherheitsupdates automatisch eingespielt werden. Eine manuelle Härtung ist demnach nicht notwendig. Ich denke schon, das man darauf vertrauen kann, denn die haben ja auch die nötige Manpower, der gute Wille bei anderen Distris reicht da leider nicht immer aus. Und weil bekannt ist, das die vorgenannten Distris überwiegend im produktiven und professionellen Umfeld zum Einsatz kommen, werden die schon darauf achten, das das alles reibungslos läuft.
 

Rakor

Administrator
Mitarbeiter
#66
Systemhärtung ist deutlich mehr als "Patches einspielen". Und gerade die Tatsache, dass RedHat/CentOS für allerlei Kram eingesetzt werden (und das eben von "Profis") ist ein möglicher Grund, dass die Systeme nicht von Hause aus gehärtet sind (was sie übrigens auch wirklich nicht sind).

Systemhärtung bedeutet u.A.: Abschalten nicht benötigter Dienste, Löschen nicht benötigter Pakete, ändern von Standardpasswörtern, Stilllegen von nicht benötigten Benutzerkonten, Einschalten von zusätzlichen Sicherheitsfeatures, Aktivieren von Firewalls, etc.
Da das alles stark vom Usecase abhängt kannst du ein System, dass für unterschiedlichste Zwecke verwendet wird gar nicht komplett vom Distributor aus härten. Abschließende Härtung erfolgt eigentlich immer auf der Maschine und nicht beim Entwickler.

Davon ausgehend, dass das System professionell eingesetzt wird ist aber davon auszugehen, dass es Härtungsguides gibt, es entsprechende Optionen gibt (gut, das ist iA bei jeder Distri so, nur mal mehr oder weniger komfortabel) und es schon mal durchgängig vernünftige Defaults geben sollte.

Aber denk dran, ein RH kannst du genauso auf nem Server installieren wie auf nem Desktop, und auf beiden will man dem Anwender ein gutes Erlebnis gönnen.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#67
Ich sehe das Thema "Sicherheit" eher pragmatisch. Simpel gesagt lassen sich fast alle Angriffe in zwei Gruppen einteilen. Da sind erst einmal die Angriffe nach dem Gießkannenprinzip. Spammails mit Malware im Anhang, verseuchte Werbebanner, anklopfen von SSH-Ports nach bekannten Standardkennwörtern und so weiter. Dagegen helfen der gesunde Menschenverstand, also nicht jede Mail die Millionenreichtum verspricht zu öffnen. Aktuelle Browser-Versionen mit einem Adblocker. Das Verwenden von Passwörtern mit ausreichend Entropie oder besser Two Factor Authentication. Und so weiter. Das alles ist weitgehend vom Betriebssystem unabhängig, denn (fast) alle Betriebssysteme und Linux-Distros stellen Patches für die besonders gefährdeten Anwendungen wie eben Browser zügig bereit.

Das andere sind gezielte Angriffe. Der Angreifer ermittelt möglichst viele Informationen über sein Ziel und baut darauf seine Angriffsstrategie auf. Das können Dinge wie Spear-Phishing sein, aber soziale Angriffe wie der Versuch frustrierte Mitarbeiter zur Herausgabe von Interna zu überreden. Dagegen helfen dann Dinge wie die schon genannten Härtungen. Entsprechende Netzwerkstrukturen. IDS. Beschränkte Zugriffe. Geprüfte Anwendungen. Und so weiter. Aber das ist eben ein Kräftemessen. Wer ist bereit mehr zu investieren? Der Angegriffene oder der Angreifer? Für Privatleute sind diese Szenarien aber gar nicht so relevant, denn bei ihnen gibt es nur wenig zu holen, was sie als Ziel eher uninterssant macht.

Bei Red Hat, SLES und co. geht es auch eher um Service License Agreements, also SLAs. Lange Supportzeiträume eines definierten Systemzustands, bestimmte Kompatibilitäseigenschaften und so weiter. Das Recht im Fehlerfall anrufen zu dürfen und innerhalb weniger Stunden eine kompetente Antwort zu bekommen. Und nicht zuletzt das für Schlipsträger sehr beruhigende Gefühl jemanden verklagen zu können. Nicht, dass so eine Klage Erfolg hätte, aber der Versucht reicht eben aus um den Schwarzen Peter weiterzuschieben. Allerdings kosten all diese Dinge auch eine schöne Stange Geld. Reine RHEL oder SLES-Umgebungen habe ich ewig nicht mehr gesehen, man setzt es meist selektiv an ausgewählten Stellen ein und ansonsten nutzt man die gleichen kostenfreien Systeme wie alle anderen auch.

Und eigentlich hat das alles auch nicht mehr viel mit der ursprünglichen Frage dieses Threads zu tun: :)
 

holgerw

Well-Known Member
#68
Wie ich das nun anhand der weiteren Beiträge verstehe:
- Dies Paper behauptet unsichere Defaults bei FreeBSD nach der Basis-Installation
- professionelle Systemhärtung und Sicherung bedeutet in jedem Fall gründliche Nacharbeit, wie @Rakor geschrieben hat
Ist damit nicht der Kern des Papers - in bezug auf professionellen Einsatz - ein wenig müßig, wenn eh noch intensiv Hand angelegt wird?

Und nun zur Desktop-Nutzung im Privat-Bereich:
- Sind - in bezug auf das Paper - GNU/Linux Installationen verschiedener Mainstream-Distributoren, die auf private Desktop-Nutzung zielen, mit ihren Defaults generell sicherer, als eine FreeBSD Installation unter Beibehaltung der Defaults und einer Ergänzung um xorg, ein DE, Mail, Browser und anderer Kleinigkeitem aus dem Userland-PKG-Repo?

Ich möchte übrigens gar nicht bezweifeln, dass in dem Paper an FreeBSD Defaults Unsicherheiten korrekt aufgezeigt werden. Aber der Threaderöffner möchte ja Vergleiche, und wenn sich heraus stellt, dass in manchen Bereichen - so z.B. Sicherheit - beide "Lager" unter dem Strich auch nur - flapsig gesagt - "mit Wasser kochen" und sich je nach Workflow bemühen, den jeweiligen Zielgruppen entgegen zu kommen ..... nun ja.

Ich lass hier jetzt allerdings mal OpenBSD heraus, das ist ein Spezialfall (und das meine ich überhaupt nicht abwertend)
 
#69
Ist damit nicht der Kern des Papers - in bezug auf professionellen Einsatz - ein wenig müßig, wenn eh noch intensiv Hand angelegt wird?
Jo, würde dir recht geben, wenns im Handbuch stehen würde. Tuts aber nicht

Man bekommts händisch definitiv gehärtet, aber woher soll man das Wissen dafür nehmen? Solange googeln bis man irgendwo wieder ein paar Fetzen findet?
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#71
Man bekommts händisch definitiv gehärtet, aber woher soll man das Wissen dafür nehmen? Solange googeln bis man irgendwo wieder ein paar Fetzen findet?
Oder das in 12-CURRENT neue Härtungsmenü in bsdinstall / bsdconfig benutzen. Kommt eventuell auch in 11.2, mir fehlt da leider etwas der Überblick.
 

-Nuke-

Well-Known Member
#72
Also CentOS kommt z.B. mit einer ziemlich weit hochgezogen SELinux (Sandbox) Konfiguration. Ein so installiertes nginx darf im Standard also an sich nicht mehr als die Daten in seinem www-root raus zu schicken. Selbst wenn man nginx konfiguriert /etc auszuliefern, wird da nicht viel passieren. Auch ist der Ausführen von Programmen recht stark eingeschränkt im Vergleich.

Dazu muss man aber sagen, dass viele Admins von Sandboxing keine Ahnung haben und darum in den meisten Anleitungen im Internet erst mal direkt SELinux deaktiviert wird, anstatt es ordentlich zu konfigurieren. Somit dürften nicht wenig CentOS Installationen direkt unsicherer sein als eigentlich mal gedacht.

Kommt halt immer darauf an vor welchen Angriffsszenarien man sich schützen will. Irgendwann ist immer eine Grenze des persönlich erträglichen erreicht und dann hat man auch schnell wieder potentielle Lücken.
 

SolarCatcher

Well-Known Member
#73
Ist damit nicht der Kern des Papers - in bezug auf professionellen Einsatz - ein wenig müßig, wenn eh noch intensiv Hand angelegt wird?
Ich muss sagen, dass ich es ein ganz schöne Herausforderung finde, auf allen möglichen Gebieten uptodate zu bleiben und alle Empfehlungen für Sicherheit, Performance usw. umzusetzen. Zumal sich verschiedene "Experten" dann auch gerne gegenseitig widersprechen, wenn es um den "besten" Crypto-Algorithmus, den Sinn oder Unsinn von bestimmten ASLR-Implementierunge etc geht. Ich möchte daher schon, dass sowohl das OS als auch darauf laufende Anwendungen von Haus aus eine vernünftige Grundsicherheit bieten und im Zweifelsfall vom User erwartet, dass er diese lockert um etwas tun zu können, was nicht per default vorgesehen war.

Ich habe auf einem unserer Produktiv-Server sowie auf meinem 2.-Laptop seit Sommer letzten Jahres HardenedBSD laufen und bin damit zufrieden. Da sind die Defaults im Zweifelsfall auf "sicher" gestellt und zusätzliche Compile-Optionen im Basis-System und den Ports sorgen für noch etwas mehr Sicherheit. OpenSSL ist durchgängig durch LibreSSL ersetzt usw.

Aber man erkauft sich diese zusätzliche Sicherheit durch mehr Aufwand bei Updates/Upgrades. So wie auch bei OpenBSD bedeutet mehr Sicherheit nämlich öfter mal auch, die Rückwärtskompatibilität aufgeben. LibreSSL wurde z.B. ins Basissystem aufgenommen während eines laufenden Major-Releases (11-STABLE). Daher mussten beim Update des Basissystems auch alle Packages aktualisiert werden und Ports ggf. neu gebaut werden. Sowas muss man bei FreeBSD nicht fürchten.

Größter Wehrmutstropfen für mich ist ansonsten, dass py-iocage bei HardenedBSD kein Update bzw. Upgrade des OS unterstützt. Aber diese Kröte bin ich bereit zu schlucken und ich mach's händisch.

Ansonsten bleibt HardenedBSD weiterhin eher eine Flavor von FreeBSD als ein Derivat (Ports und Basissystem werden ständige mit den neuesten Änderungen von FreeBSD abgeglichen).

Also: Wer FreeBSD aber mit mehr Sicherheit möchte, sollte ernsthaft einmal HardenedBSD in Erwägung ziehen.
 

holgerw

Well-Known Member
#74
Danke für Eure ausführlichen Erklärungen - und bitte bedenken:
Meine Kommentare zu dieser Thematik, auch wenn ich manchmal etwas nachbohre, sind die eines Nutzers, der mehr über Hintergründe wissen möchte - und der zu dem, was er schon weiß, gewisse Meinungen hat. Es liegt mir bei sowas immer fern, das Bemühen der Entwickler verschiedener Systeme abzuwerten (auch wenn mir bestimmte Sachen etwas mehr zu sagen, andere etwas weniger, und ich das dann natürlich auch sage). Und ich hoffe, mein Nachhaken hier ist noch im Groben im Rahmen dessen, was der Threadstarter wissen möchte.
 

Azazyel

Well-Known Member
#75
Na ja, wie sind denn die Defaults vieler Linux-Distributionen? Da wird auch kein swap verschlüsselt u.s.f.
Das halte ich persönlich auch für nicht so kritisch (außer am Laptop aufgrund des Diebstahlrisikos).

Nicht signierte Pakete via plain HTTP als root herunterladen und ausführen ist da schon etwas krasser...

Ich habe nun keine Ahnung vom professionellen Umfeld: Wie ist es denn da bei einem RedHat z.B.?
Dort gibt es schon während der Installation umfangreiche Sicherheitsprofile zur Auswahl. Meist belässt man es aber bei der Voreinstellung.

Ich denke ein im Default genutzter Schutz ist deutlich besser gewartet und implementiert, als ein Schalter den ein User umlegt.
In meiner Erfahrung bleiben auch 99,9% aller Installationen bei den Voreinstellungen. Deswegen ist deren sichere Vorbesetzung auch so wichtig.