Jack V. schrieb: > Die bekannte, kaputte Konfiguration bei ›sudo‹, wie du es nur zu kennen > scheinst, erlaubt es einem User ohne Kenntnis des Passworts für root, > trotzdem alles mit seinen Rechten zu machen. Effektiv hebelt es die > aus sicherheitstechnischer Sicht absolut sinnvolle Trennung zwischen > root (Administrator) und User vollkommen aus. Verzeihung, aber diese Konfiguration ist nicht kaputt, sondern enorm sinnvoll. Erstens muß ich dadurch für meine Maschinen kein Root-Paßwort setzen, so daß alle Angriffe auf schwache Root-Paßworte sofort unmöglich werden. Zweitens ist diese Konfiguration sinnvoll, wenn ich mehrere Systemadministratoren habe, denn so kann sich jeder der Betreffenden mit seinem eigenen Paßwort zum Superuser machen, und ich muß keine Root-Paßworte für meine Maschinen aufschreiben, verteilen, und nachgucken. Dafür bietet sudo(1) sogar eigens den Kommandozeilenparameter "-i" an. Du siehst: sogar die Autoren von sudo(1) selbst halten dieses, von Dir fälschlich als "kaputt" bezeichnete Konfiguration für so sinnvoll, daß sie dafür sogar extra einen eigenen Kommandozeilenschalter eingebaut haben. Also hör' bitte auf zu behaupten, diese Konfiguration sei "kaputt" oder unerwünscht, oder laufe dem zuwider, wie sudo(1) gedacht gewesen sei -- die Autoren wissen das sicherlich besser. Drittens ist es trotzdem immer noch möglich und sinnvoll, bestimmten Anwendern oder Gruppen bestimmte, definierte Befehle (womöglich sogar mit Kommandozeilenargumenten) zu erlauben. Sowas ist zum Beispiel für die Product Owner nützlich, die damit neue Konfigurationen einspielen oder ihre Applikation selbst neu starten können, ohne einen Systemadministrator bemühen zu müssen -- kurz gesagt: das Eine schließt das Andere nicht aus, sondern ausdrücklich ein. > Eigentlich gedacht war > ›sudo‹, um bestimmten Usern das Erledigen bestimmter Aufgaben als > bestimmter User (nicht zwangsweise root) zu ermöglichen und das zu > protokollieren – und in der Konfiguration ist ›sudo‹ ein exzellentes > Programm. Nein, dafür stehen Zugriffskontrollstrategien wie Mandatory Access Control, Role Based Access Control, und Ruleset Based Access Control zur Verfügung, zum Beispiel durch SELinux, Apparmor und Amon Ott's RSBAC. Diese Lösungen sind jedoch für den Administrator ziemlich komplex und aufwändig in der Umsetzung, und für einfachere Fälle ist sudo dazu vollkommen ausreichend und viel einfacher umzusetzen.
Sven schrieb: > Ich sagte ja, ich habe es aufgezwungen bekomnen. > Die Frage ist... kann man hier in dem Forum neutral und nüchtern ein > Problem diskutieren und lösen oder nicht. Das kann man ganz wunderbar. Es funktioniert allerdings wesentlich besser, wenn man als unerfahrener Fragesteller nicht gleich mit einer dummnaiven Provokation ("geht es noch antiquierter") um die Kurve kommt. Noch viel besser wäre es allerdings, direkt die richtige Frage zu stellen, nämlich nicht "wie kann ich etwas in /opt kopieren", sondern, "warum kann ich meine Qt-Applikation im debug/- oder release/-Ordner von Qt Creator ausführen, ich bekomme die Fehlermeldung <xy>". > Nur blöde Sprüche raushauen unterstreicht den Kleingeist. Ja, genau... und jetzt schau mal in den Spiegel und faß' Dir an Deine eigene Nase. Zumindest einen, der die richtige Antwort kennt, nämlich mich, hast Du mit Deinem Verhalten schon von vorneherein so verprellt, daß Du von mir in dieser Sache keine Antwort mehr bekommen wirst.
Fpgakuechle K. schrieb: > Sven schrieb: >> Bin doch gerade dabei. Mir durch Fragen das tolle Linux Wissen >> anzueignen. > > Das gilt aber als unhöflich; statt das Manual selbst zu lesen die > mitgefangenen 'Kollegen' mit -aus deren Sicht- dummen Fragen zu löchern. Es ist auch nicht sehr klug und führt zu nichts, weil einem dabei die logischen Zusammenhänge niemals verständlich werden. Der Benutzer löst immer nur sein gerade anliegendes, kleines Problemchen (wenn er seine Fragen nicht so ungeschickt und dumm stellt wie der TO), und in drei Wochen hat er die Lösung schon wieder vergessen und muß entweder nachsehen oder wieder jemanden fragen, der etwas davon versteht.
Sheeva P. schrieb: > Jack V. schrieb: >> Die bekannte, kaputte Konfiguration bei ›sudo‹, wie du es nur zu kennen >> scheinst, erlaubt es einem User ohne Kenntnis des Passworts für root, >> trotzdem alles mit seinen Rechten zu machen. Effektiv hebelt es die >> aus sicherheitstechnischer Sicht absolut sinnvolle Trennung zwischen >> root (Administrator) und User vollkommen aus. > > Verzeihung, aber diese Konfiguration ist nicht kaputt, sondern enorm > sinnvoll. > > Erstens muß ich dadurch für meine Maschinen kein Root-Paßwort setzen, so > daß alle Angriffe auf schwache Root-Paßworte sofort unmöglich werden. O-Gott, kein Passwort setzen ist noch schlimmer als ein schwaches zu setzen. Root login verhindert man anders, bspw debian: https://www.thomas-krenn.com/de/wiki/SSH_Root_Login_unter_Debian_verbieten dann kann root nur 'voninnen' gehackt werden. Jack hat schon völlig recht, das sudo im Gebrauchsinne des TO den Sicherheitsmechanismus aushebelt. sudo sollte deshalb sehr restriktiv genutzt werden: https://kofler.info/sudo-ohne-passwort/ Gerade Neuanfänger schiessen sich durch unüberlegten Gebrauch der superuser Privilegien selbst ins Knie.
Andreas S. schrieb: > Sven schrieb: >> Also qt.conf ist gesetzt. > > Das hat so gar nichts mit dem Bibliothekssuchpfad zu tun. > > LD_LIBRARY_PATH Auch das ist eigentlich nicht ganz richtig, das ist eher etwas für Fälle, in denen man dynamisch den Bibliothekssuchpfad verändern will. Etwa um statt der normalen Versionen von malloc(3) und free(3) Versionen zu laden, die einen Speichercheck durchführen, um Pufferüberläufe und Speicherlecks zu entdecken. Anstatt übrigens wild im Netz herum zu zeigen, wo man Dokumentation dazu findet, könnte man übrigens auch auf die Manpage von ld.so(8) verweisen, wo der Benutzer sicherlich noch allerlei mehr nützliche Gedanken und Erkenntnisse mitnehmen kann. In Fällen, wo Bibliotheken installiert sind und beim Aufruf von Programmen gefunden werden sollen, die diese Bibliotheken benutzen wollen, sollten die Pfade der installierten Bibliotheken von Systemverwalter in /etc/ld.so.conf eingetragen und danach ldconfig(8) ausgeführt werden. Dann werden die Bibliotheken in /etc/ld.so.cache eingetragen, und der dynamische Linker findet sie jederzeit und ohne weitere Angaben, Umgebungsvariablen, oder sonst etwas.
Frank schrieb: > ThomasW schrieb: >> Aber mal ne Frage an Dich: wenn dir jemand unter Windows den Begriff >> "path" hinwirft, was würdest Du da machen? Auch über Windows herziehen? > > Das ist der Unterschied. Ich frage einen, der sich mit Windiws auskennt > und der erklärt mir das. Frage ich einen Linuxer, kommt nur "RTFM". So > als würde man in der Schule den Kindern nur einen Stapel Bücher > hinstellen und erwarten das sie sich alles selbst beibringen. Du weißt aber schon, daß diese sogenannten "Schulbücher" sich auch heute immer noch großer Beliebtheit erfreuen und für nahezu jedes Schulfach ausgegeben werden oder von den Eltern gekauft werden müssen? Und daß Schulkinder auch heute noch regelmäßig die Hausaufgabe bekommen, sich etwas in ihren Schulbüchern oder elektronischen Medien zu erarbeiten? Unter Computerleuten -- egal ob Linuxer, Windowsler, MacOS-Freund, Entwickler, Sysop oder sonstwas -- gilt es als unhöflich und arrogant, wenn jemand seine Hausaufgaben nicht macht, zunächst die Dokumentation zu lesen und erst dann die Fachleute zu befragen, wenn er etwa in der Dokumentation nicht verstanden hat. Wir Fachleute haben nämlich selbst etwas zu tun, meistens etwas Besseres und Spannenderes, als lesefaulen Ignoranten alles immer wieder haarklein zu erklären. Und wir werden auch nicht dafür bezahlt, für so etwas kann man kommerziellen Support kaufen. Und, mal ganz ehrlich: was hat unser TO denn da für eine erbärmliche IT, die ihm ein neues Betriebssystem aufzwingt, ihm aber keine Schulung dazu gibt oder ihn auf eine Schulung schickt? Und die es anscheinend auch nicht hinbekommt, Qt korrekt -- also: mit Eintragung der Qt-Bibliothekspfade in /etc/ld.so.conf -- zu installieren? Da tut mir unser TO tatsächlich leid, aber sein Verhalten entschuldigt das auch nicht.
Sheeva P. schrieb: > Und, mal ganz ehrlich: was hat unser TO denn da für eine erbärmliche IT, > die ihm ein neues Betriebssystem aufzwingt, ihm aber keine Schulung dazu > gibt oder ihn auf eine Schulung schickt? Naja, wir wissen nicht wie der TO an den Linuxjob gekommen ist; womöglich hat er studiert und auf die Frage, ob er Linux kann, mit 'Ja' geantwortet, um den Job zu bekommen. Grundlegende IT-Kenntnisse wie Rechte/Privilegienteilung oder Dateioperationen werden heute in der Schule/Hochschule vermittelt und deshalb im Berufsleben als bekannt vorausgesetzt. Deshalb würde ich weniger der IT als der Personalabteilung den Vorwurf machen, jemanden den Job gegeben zu haben, der nicht dafür qualifiziert ist und auch nicht schafft, diesbezüglich Eigeninitiative zu entwickeln, resp. prinzipiell ablehnt, selbst ein Lehrbuch zu lesen und sich so weiterzubilden.
Sheeva P. schrieb: > Verzeihung, aber diese Konfiguration ist nicht kaputt, sondern enorm > sinnvoll. Nein. Aus sicherheitstechnischen Überlegungen ist sie schlicht kaputt. Sheeva P. schrieb: > Dafür bietet sudo(1) sogar eigens den Kommandozeilenparameter "-i" an. > Du siehst: sogar die Autoren von sudo(1) selbst halten dieses, von Dir > fälschlich als "kaputt" bezeichnete Konfiguration für so sinnvoll, daß > sie dafür sogar extra einen eigenen Kommandozeilenschalter eingebaut > haben. Also hör' bitte auf zu behaupten, diese Konfiguration sei > "kaputt" oder unerwünscht, oder laufe dem zuwider, wie sudo(1) gedacht > gewesen sei -- die Autoren wissen das sicherlich besser. Meine Güte – ich kann auch ’nen Apachen so confen, dass er auf Port 80 einen Index von / ausgibt. Die Autoren haben das so vorgesehen, technisch ist es möglich und doch würde keiner auf die Idee kommen, das als sichere Konfiguration zu bezeichnen. Ich kann mein System auch so konfigurieren, dass sich root mittels Passwort über ssh einloggen kann – die Autoren haben das so vorgesehen, es ist machbar, und doch wär’s aus sicherheitstechnischer Sicht eine schlechte Idee. Auch kann man das System so konfigurieren, dass es bis zum Desktop als root durchbootet, ohne dass ’ne weitere Eingabe erforderlich wäre. Die beteiligten Autoren haben das so vorgesehen, man kann es so konfigurieren, und doch ist es ’ne bescheuerte Idee. Ebenso kann man eben eben sudo mit ›ALL ALL=(ALL) ALL‹ in dessen Config so verbiegen, dass man eigentlich auch gleich in der passwd einfach „root“ durch den Usernamen ersetzen, und dessen ~ unter /home legen könnte. Ja, die Autoren haben das so vorgesehen, man kann es so machen – und doch ist es schlicht Mist. Die Autoren von ›sudo‹ haben nämlich auch vorgesehen, dass man eben das machen kann, was ich skizziert habe: einem definierten User das Recht zum Ausführen eines definierten Befehls mit den Rechten eines definierten anderen Users, der nicht root sein muss („su“ in ›sudo‹ steht immer noch für „select user“ , und nicht etwa für „SuperUser“, wie manche „Profis“ selbst in Zeitschriften schreiben), und das zu loggen. Das ist der ganze Rest der Manpage, das über und unter dem Absatz zu -i – falls du es nicht finden solltest. Die MAC-Systeme, die du erwähntest, haben auch wieder ’nen anderen Zweck, obwohl man sie möglicherweise auch so konfigurieren kann, dass sie nur das machen – wenngleich zumindest ich da nicht direkt sehe, wie etwa SELinux oder AppArmor einem User das Ausführen eines Programms als Root ermöglichen soll, sondern allenfalls, wie es ein eigentlich als Root auszuführendes Programm für den User ausführbar macht, und das knallt spätestens, wenn für den Job tatsächlich Rootrechte benötigt werden: „read kernel buffer failed: Operation not permitted“ … ups. Ja, Sticky und ab dafür – und schon ist der sicherheitstechnische Alptraum wieder da. Was sonst noch dagegen spricht, hast du ja selbst schon dargestellt: Sheeva P. schrieb: > Diese Lösungen sind jedoch für den Administrator ziemlich komplex > und aufwändig in der Umsetzung … und daher auf ’nem selbstadmistrierten Anwenderrechner nicht häufig anzutreffen – während es mit ›sudo‹ einige Minuten zum Einlesen bräuchte, da eine sinnvolle, und vor Allem sichere Konfiguration hinzubekommen – weil das nunmal die ursprüngliche Aufgabe von ›sudo‹ war, und es für diesen Zweck geschrieben worden ist. Nicht zuletzt noch eine kurze Darstellung, wie eine korrekte Konfiguration von ›sudo‹ diese verdammte Seuche, dass jeder ›sudo‹ vor jeden popeligen Befehl schreibt (und dass das kein Sicherheitsproblem wäre, möchtest hoffentlich nicht einmal du behaupten), hätte verhindern können:
1 | jack@PC ~ % sudo ls |
2 | [sudo] Passwort für jack: |
3 | Leider darf der Benutzer jack »/usr/bin/ls« als root auf PC nicht ausführen. |
:
Bearbeitet durch User
Nun aus dem Linux Lager kamen immerhin Ende der 90er so ernstzunehmende Wortschöpfungen wie 'Windoof', 'MostFuckingClass' etc. Wenn das mal nicht von einer eingebildeten Überlegenheit zeugt weiß ich auch nicht. ;-) Ich glaube das Echo dieser Arroganz färbt immer noch die Diskussionen. Leider. und ich kann auch nicht umhin bei einigen der Leute die in den Threads mitmachen immer noch herauszuhören, dass sie nicht nur das Betriebssystem Linux einfach besser finden. Schwarz/Weiß. Mehr Pragmatismus bitte. Tanzt doch wie ich auf mehreren Hochzeiten. Wenn ich so im Kollegen- und Bekanntenkreis, aber auch im Internet darauf achte, habe ich das Gefühl, dass Mac auch bei uns an Verbreitung gewinnt. Damit beziehe ich mich auf das festsitzen bei 2% Desktop von Linux. Lässt sich die Zunahme eines OS wo ja auch nicht alle bekannten Programme drauf laufen nur durch Marketing erklären? Ist das moderner und weniger antiquiert? Für mich ist es eher zeitgeist und Marketing.
Ich habe ehrlich gesagt keine Ahnung, wie sich aus der Unfähigkeit Qt richtig zu bedienen, wieder einer ewiger Linux-Windows-Bashing Thread entwickeln konnte?? - Qt installiert sich standardmäßig in /home und man braucht absolut keine root-Rechte. - Ein Projekt kann man sich an einem beliebigen Ort erstellen (man sollte es natürlich irgendwo in /home mit Rechten machen) - Selbst wenn man Qt in /opt installiert hat, sollte ein ausführen der Anwendung problemlos funktionieren, da aus dem Qt-Ordner ja nur gelesen wird. - qtdeploy kann man sich auch an jeden beliebigen Ort kopieren und ausführen. Man übergibt dem Programm dann bloß den Quellpfad vom Projekt und ein Ausgabeverzeichnis. qtdeploy kopiert dann bloß diverse Dateien/Verzeichnisse an den Ausgabepfad. Ich habe keine Ahnung wieso man irgendwo bei diesem Prozess root-Rechte benötigt. Ich habe diesen Prozess schon mehrfach bei mehreren Projekten durchlaufen und habe mehrere tausend Downloads auf GH. Bisher keine Beschwerden. Mein Fazit: Entweder ein üblicher Troll oder -> Qt for Dummies
Fluffi schrieb: > Ich glaube das Echo dieser Arroganz färbt immer noch die > Diskussionen. Dazu käme noch, dass die Linux/Unix Konsole verkannt wird! Sie ist nicht gestrig, wie die DOS-Konsole, die auch nicht gestrig ist, man fängt normalerweise an Konsoleprogramme zu schreiben, und nicht gleich Windows-Gui. Gut, Webprogrammierung ist da ein wenig anders. Viele Leute installieren sich Linux-Tools für Admin(usw.)-Aufgaben in Windows, gerade weil die Konsole aufgrund ihrer Verknüpftheit mit den "Tools" sehr gut funktioniert. Einige dieser Tools sind herausragende Programme von Herausragenden Köpfen aus den 50er und 60er Jahren. Freilich, gab es früher sehr gute professionelle Gui-Entwicklungspackete für Windows. So etwas würde man sich für Linux-Desktop-Prgs z.B. auch wünschen.
DANIEL D. schrieb: > Naja man könnte ja Gladiatorenkämpfe veranstalten, wo alle unabhängigen > Projekte mitmachen können. Jeder der es geil findet wirft Geld in den > Topf. Und das beste Projekt gewinnt dann, und bekommt eine Sperre für > eine gewisse Zeit bei den großen Festspielen. Diese "Gladiatorenkämpfe" finden ja statt und sind ein inhärenter Bestandteil der OpenSource-Bewegung. Nur daß die Teilnehmer sich nicht gegenseitig aufs Gesicht klopfen, sondern die Nutzer dabei abstimmen, und zwar mit den Füßen. Und da die Projekte jeweils einen mehr oder weniger unterschiedlichen Fokus haben, gibt es bis dato keinen eindeutigen Gewinner. XFCE und LXDE sind eher für kleine, leichtgewichtige Systeme ausgelegt, KDE, GNOME und Unity für richtige Maschinen. Aber warum sollte das ein Problem sein? KDE-Programme kann ich unter GNOME, Unity, XFCE, LXDE, und sogar unter WindowMaker und FVWM2 benutzen und umgekehrt. Und das ist doch letzten Endes die wesentliche Kernaufgabe eines Desktop Environment: die installierten Programme auszuführen. > Ich gebe aber offen zu ich habe keine Ahnung, wenn es so wäre würde ich > wahrscheinlich viel mehr Linux benutzen. Mit einem relativ überschaubaren Aufwand ist es nicht allzu schwierig, sich das gewünschte Wissen anzueignen. Also, wenn man Lesen kann -- und wer das nicht kann, kann natürlich auch einen Screenreader benutzen. > Aber diese Linux nerds wollen ja lieber > jeder für sich seinen eigenen Scheiß machen. Was ja irgendwie okay ist, > aber wenn 20% pragmatisch wären und was einheitlich universelles > schaffen würden wäre es schon cool. Nein, warum? Schon komisch: Leute, die sowas fordern, können sich im Supermarkt zwischen drölf Klopapier-, achtzig Pralinen- und im Pupermarkt zwischen hundert Windelsorten entscheiden, für eine bestimmte Hardware, für ein Auto, sogar einen Gartenschlauch. Und sie tun das in dem Wissen, daß das Klopapier mit dem Aus- und die Gummibärchen mit dem Eingang kompatibel sind, die Hardware mit ihrer Software, das Auto mit der Straße und der Gartenschlauch mit dem Garten. Und genau dasselbe ist es mit einem Desktop: man sucht sich einen aus, der einem gefällt, und kann damit jede Software benutzen, die man haben möchte. Ich, zum Beispiel, benutze gerne den PDF-Viewer Evince, der zum Gnome-Desktop gehört, aber auch auf meinem KDE perfekt funktioniert. Wo zum Henker ist das Problem? > Diese ganze Cloud Zwang Kacke von > kommerziellen Produkten, und was weiß ich geht mir immer mehr auf den > Sack. Tja... wie gesagt, Linux kann man lernen. Wenn man will. Und wenn man bereit ist, dafür ein bisschen Zeit zu investieren, das Altbekannte zu interfragen, und die lieb gewonnenen Tricks und Workarounds über Bord zu werfen. Wenn man dazu nicht bereit ist: kein Problem, bleib' einfach wo Du bist. Eigentlich ganz einfach, oder?
Nop schrieb: > DANIEL D. schrieb: > >> Ich gebe aber offen zu ich habe keine Ahnung, wenn es so wäre würde ich >> wahrscheinlich viel mehr Linux benutzen. > > Wenn es Dir effektiv egal ist, was Du nutzt, dann hast Du nach Aufwand > gestaffelt folgende Optionen: > > 1) Nimm irgendeinen Desktop. > 2) Schau Dir ein paar YT-Videos an und nimm einen Desktop, von dem Du > denkst, daß er etwas für Dich sein könnte. > 3) Zieh Dir eine Handvoll ISOs mit verschiedenen Default-Desktops auf > USB-Sticks, boote rein (ohne Installation) und guck Dich um. Dann > entscheide, welchen Desktop Du am ehesten magst. Dabei kannst Du > obendrein sehen, welche Distros sich mit Deiner Hardware verstehen. 4) Nimm eine der verbreiteten Linux-Distributionen, installiere dort einige der Dich interessierenden Desktops, probiere sie aus und lösche dann alle, die Dir nicht so zugesagt haben. 5) Entwickle Deinen eigenen Window Manager oder Dein eigenes Desktop Environment.
Cyblord -. schrieb: > Fpgakuechle K. schrieb: >> >> Du hast nicht 'DIE WAHRHEIT', Du hast nur deine eigene Meinung. > > Seine Meinung ist immerhin die der 97% die Linux nicht als Desktop > nutzen. Solange 95% dieser Leute nicht einmal wissen, daß man Linux auch ganz wunderbar auf dem Desktop benutzen kann, und 90% davon noch nicht einmal wissen, daß es Linux gibt, ist dieses "Argument" nur wieder eine dummnaive Provokation.
Cyblord -. schrieb: > Nop schrieb: >> In meiner Familie nutzen auch ausgesprochene IT-Laien Linux. > > Das darf ja nicht fehlen, endlich sind wir auf dem Niveau des > "Linux-Thread" angekommen. Man kann deutlich sehen, wie diebisch Du Dich darüber freust.
Sheeva P. schrieb: > Cyblord -. schrieb: >> Fpgakuechle K. schrieb: >>> >>> Du hast nicht 'DIE WAHRHEIT', Du hast nur deine eigene Meinung. >> >> Seine Meinung ist immerhin die der 97% die Linux nicht als Desktop >> nutzen. > > Solange 95% dieser Leute nicht einmal wissen, daß man Linux auch ganz > wunderbar auf dem Desktop benutzen kann, und 90% davon noch nicht einmal > wissen, daß es Linux gibt, ist dieses "Argument" nur wieder eine > dummnaive Provokation. Könnt ihr nicht den kompletten Theard lesen, genau das gleiche Geheule wurde schon mehrfach geschrieben. Und mehrfach argumentiert wo die eigentlichen Probleme sind. Ich habe es ja verstanden wenn auf die Nachteile dieser Betriebssysteme eingeht sind Leute persönlich angegriffen. Wenn man sich mit Linux beschäftigt stellt man fest, dass man sich ganz viel aus den Fingern saugen muss, dumm rum probieren muss, und das es jeder anders macht. Dass die Doku der Entwicklung nicht hinterher kommt. Dass jeder was anderes erzählt was der richtige Weg ist. Und dass es haufenweise beleidigte Heulsusen gibt, die keinerlei Kritikfähigkeit haben, und aus ihrem beleidigt sein heraus um die eigentlichen Probleme herum diskutieren. Als ob man ein Buch kaufen könnte das liest man und dann kann man den Scheiß komplett bedienen, dem ist aber nicht so und dem wird vermutlich auch nie so sein, und jegliche Argumentation die behaupten es wäre so sind realitätsferner Bullshit. Es entwickelt es sich laufend, es ist nicht immer alles aufgeschrieben wie man was macht. Usw also lebt damit das Leute die ist versuchen zu lernen sich schwer tun. Weil genau das ist es nämlich Komplex. Und diese Tatsachen wegzudiskutieren ist völliger Schwachsinn. Aber noch mal vielen Dank an die welche sinnvolle Tipps für den Umfang gegeben haben, wie z.B es Hans W getan.
Linux ist scheisse, ...oder wars jetzt Windows?? Keine Ahnung, worum gings denn eigentlich?
DANIEL D. schrieb: > Es ist mir ehrlich gesagt vollkommen egal wie der Kram aussieht, ob ich > nun oben oder unten Klicke ist mir bei Linux so wie windows vollkommen > egal. Das hörte sich bisher aber ganz anders an. > Mein eigentliche das aussage die Behauptung dieses system ist ohne > Konsole nicht sinnvoll zu Nutzen, die komplette Doku und alles ist > darauf ausgelegt wird ignoriert, Die Konsole tut nicht weh und hat in vielen Bereichen große Vorteile -- nicht nur, aber auch zum Beispiel bei der Dokumentation und dem Support. Man braucht sie aber heutzutage als einfacher Desktop-User nicht mehr, wenn man nicht will. Trotzdem ist so eine Kommandozeile unter modernen Betriebssystemen ein extrem flexibles und leistungsfähiges Profiwerkzeug, und auch unter Windows und MacOS ist es eine gute Idee, zumindest die Grundzüge ihrer Bedienung zu lernen. > und stattdessen unterstellt man mir das > ich mit optik oder was auch immer ein Problem hätte. Wie gesagt, Deine bisherigen Aussagen klangen vollkommen anders, da hast Du sogar angeregt, die Linux-Entwickler sollten sich kloppen, welcher Desktop sich durchsetzen sollte. Wobei ja auch eine Vereinheitlichung des Desktop natürlich nicht dabei helfen würde, die -- seltenen! -- Gelegenheiten zu umgehen, bei denen einmal eine Konsole notwendig wird, und auch die Tonnen an verfügbarer Dokumentation und Support, welche die Nutzung der Konsole empfehlen, würden nicht verschwinden.
DANIEL D. schrieb: > Ja das ist auch meine Ansicht, es ist bei weitem nicht so einfach wie es > dargestellt wird. Ich habe bei ubuntu alles an Desktops durch getestet, > die sind ja auch gar nicht schlecht, aber ich hab z.B erst gelernt wie > man eine Festplatte ins Dateisystem einhängt in dem man in die fstab die > Konfiguration einträgt, und erst später gerafft das man auch über den > Desktop die möglichkeit hat, man weiß ja nicht immer alles und wie du > schon sagst die möglichkeiten erschlagen einen. Also ist das Problem nicht Linux, sondern Deine Unwissenheit und Deine Ignoranz. Dagegen ist aber kein Kraut gewachsen, und, Pardon: dafür bist Du ganz alleine höchstselbst verantwortlich. > Aber ich kann mir durchaus vorstellen das es irgend wann von einem so > großen Teil der Leute genutzt wird, das sich Softwareauswahl und > Einfachheit stark verbessern. Hoffentlich nicht.
Sheeva P. schrieb: > Wie gesagt, Deine bisherigen Aussagen klangen vollkommen anders, da hast > Du sogar angeregt, die Linux-Entwickler sollten sich kloppen, welcher > Desktop sich durchsetzen sollte. Wobei ja auch eine Vereinheitlichung > des Desktop natürlich nicht dabei helfen würde, die -- seltenen! -- > Gelegenheiten zu umgehen, bei denen einmal eine Konsole notwendig wird, > und auch die Tonnen an verfügbarer Dokumentation und Support, welche die > Nutzung der Konsole empfehlen, würden nicht verschwinden. Ich hatte halt diese abstruse Vorstellung dass weniger Auswahl, oder ein besonders verbreitetes System, die Probleme welche Leute wie ich haben vereinfachen würden. Z.b. auch Erklärungen im Internet wie man Dinge über die GUI löst. So dass nicht andauernd der Glauben entsteht man bräuchte für alles die Konsole. Man kann sich Wissen nun mal nicht aus den Rippen schneiden. Man weiß auch nicht im Voraus was man alles lernen muss, oder was man eben nicht lernen muss um das System sinnvoll nutzen zu können.
Nano schrieb: > Und das Erstellen guter Dokus braucht Zeit. Da sitzt man schon nen > halben Nachmittag dran, bis auch wirklich alles dabei steht. Das Hauptproblem von Dokumentationen ist nicht, daß sie geschrieben werden müssen, sondern, daß sie auch gelesen werden müssen. Wer das nicht tut, der kommt halt um "Trial & Error"-Pfuschereien nicht herum und schießt sich damit höchstwahrscheinlich allenfalls ins eigene Knie, gerne auch mal in beide zugleich und gleichzeitig in den Kopf und in beide Füße -- das ist dann aber ein Fall von "selbst schuld". Gerade Linux ist hervorragend und in jeder gewünschten Detailtiefe dokumentiert, von einfacheren "Getting Started"- oder "Tutorial"-Dokumentationen über allerlei Blogposts und offen zugängliche Artikel in entsprechenden Fachmedien, über die üblicherweise installierten Manpages als Referenz bis hin zu den HOWTOs, die tiefer in die Details eintauchen. Und bei OpenSource-Software steht für Könner dann natürlich noch die ultimative Referenz zur Verfügung, nämlich der Quellcode.
Völliger Schwachsinn, vielleicht wenn man ein System nutzt was zehn Jahre alt ist. Das Internet ist voller Leute die Fragen stellen, und noch mehr die versuchen eine Antwort zu geben und es nicht mal können. Die sind dann wohl alle zu blöd zum Lesen oder was weiß ich von mir aus. Und das bei selbst banalen Dingen.
Nop schrieb: > Die lese ich nichtmal, weil ich gleich auf englisch suche und mein Linux > auch auf englisch läuft. Aber nicht jeder in meiner Familie kann > englisch, deswegen habe ich da dann Mint auf deutsch installiert. > Jedesmal wieder verwirrend für mich, wenn alles anders heißt als > gewohnt. Was viele nicht wissen, ist, daß die Spracheinstellungen nur in Umgebungsvariablen eingestellt werden und man deswegen in deutschen Umgebungen eine der installierten Locales benutzen kann:
1 | sheeva@plug $ echo $LANG |
2 | de_DE.UTF-8 |
3 | sheeva@plug $ ls asdfasdf |
4 | ls: Zugriff auf 'asdfasdf' nicht möglich: Datei oder Verzeichnis nicht gefunden |
5 | sheeva@plug $ LANG=C ls asdfasdf |
6 | ls: cannot access 'asdfasdf': No such file or directory |
Das ist manchmal ganz praktisch, wenn man eine zB deutschsprachige Fehlermeldung bekommt und bei der Suchmaschine des geringsten Mißtrauens nichts dazu findet.
DANIEL D. schrieb: > Ich hatte halt diese abstruse Vorstellung dass weniger Auswahl, oder ein > besonders verbreitetes System, die Probleme welche Leute wie ich haben > vereinfachen würden. Mit dieser Vorstellung könntest du durchaus richtig liegen, siehe MacOS und Android. Da ist Doku kein Thema, das scheint für jeden einfach zufriedenstellend zu laufen. Zumindest solange man sich innerhalb der vom Hersteller vorgesehenen Usecases bewegt. Mich würde mal interessieren ob ein stark kastriertes und auf den Mainstream zugeschnittenes Desktop-Linux, entwickelt für genau eine Hardware, auch so erfolgreich wäre. Es gibt zwar dutzende Distris, allerdings unterscheiden sich die meisten nur minimal. Radikal-Andere Konzepte probieren nur wenige aus, z.B. Gentoo oder im Ansatz noch Arch.
Fpgakuechle K. schrieb: > Sheeva P. schrieb: >> Erstens muß ich dadurch für meine Maschinen kein Root-Paßwort setzen, so >> daß alle Angriffe auf schwache Root-Paßworte sofort unmöglich werden. > > O-Gott, kein Passwort setzen ist noch schlimmer als ein schwaches zu > setzen. Du hast es nicht verstanden, fürchte ich. In der Standardeinstellung wird dabei ein ungültiges Paßwort gesetzt, also ein "!" im entsprechenden Feld der /etc/shadow. Da ein "!" keine gültige Rückgabe von crypt(3) ist, heißt das, daß das Paßwort zu dem Account gelockt ist, wie Du in der Manpage von shadow(5) nachlesen kannst. > Root login verhindert man anders, bspw debian: > https://www.thomas-krenn.com/de/wiki/SSH_Root_Login_unter_Debian_verbieten Das betrifft allerdings lediglich den Zugriff per SSH, nicht aber den auf der Konsole, Telnet, ... oder einem X-Login. Erfahrene und sicherheitsbewußte Admins werden sich über SSH ohnehin nur mit clientseitig paßwortgeschützten Schlüsseln anmelden und das Anmelden an SSH mit Paßwort komplett verbieten. > Jack hat schon völlig recht, das sudo im Gebrauchsinne des TO den > Sicherheitsmechanismus aushebelt. Quatsch. Es ist lediglich ein anderer Mechanismus, der -- wie ich ausgeführt habe -- für bestimmte Dinge sogar ein höheres Schutzniveau bietet. Das empfehlen übrigens auch die Leute vom Bundesamt für Sicherheit in der Informationstechnologie in ihrem BSI-Grundschutzhandbuch in Richtlinie SYS.2.3.A1: "Administratoren DÜRFEN sich NICHT im Normalbetrieb als „root“ anmelden. Für die Systemadministrationsaufgaben SOLLTE „sudo“ oder eine geeignete Alternative mit einer geeigneten Protokollierung genutzt werden." Vermutlich Stümper, das... rolleyes Doof nur, daß diese Stümper für mich, der ich in regulierten Bereichen (BaFin) arbeite, maßgeblich sind -- und für viele unserer Kunden ebenfalls. > sudo sollte deshalb sehr restriktiv genutzt werden: > https://kofler.info/sudo-ohne-passwort/ Lustig... ich benutze sudo(1) und OpenSSH seit über zwanzig Jahren und glaube nicht, daß es da allzu viel gibt, das Du mir darüber noch erzählen kannst. > Gerade Neuanfänger schiessen sich durch unüberlegten Gebrauch der > superuser Privilegien selbst ins Knie. Dabei spielt es allerdings keine Rolle, auf welche Weise sich ein normaler Benutzer diese Privilegien verschafft, ob per su(1) oder per sudo(1) spielt keine Rolle und ist daher kein valides Argument.
Jack V. schrieb: > Meine Güte – ich kann auch ’nen Apachen so confen, dass er auf Port 80 > einen Index von / ausgibt. Du brauchst viele Worte, um zu erklären, daß man Systeme unsicher konfigurieren kann. Das hatte aber niemand bestritten. Leider gehst Du mit keinem Wort auf meine Argumentation ein und erklärst insbesondere auch nicht, was und warum das gegen sudo(1) sprechen sollte. Und jetzt beruhige Dich bitte mal, geh' eine Runde spazieren, erfreue Dich an dem frühlingshaften Wetter und dem Aufblühen der Natur. Dann trink' ein Täßchen Tee und versuch' bitte noch einmal, mir ganz unaufgeregt und in aller Ruhe zu erklären, was falsch oder gar "kaputt" sein soll an sudo(1) oder an der Standardkonfiguration, die beispielsweise die Ubuntus ausliefern. Bitte berücksichtige dabei, daß ich sudo(1) seit vielen Jahren kenne und benutze, und zwar deutlich über "sudo -i" hinaus und obendrein sowohl für meine Systemadministratoren, damit hier keine Paßwortlisten herumgereicht werden müssen, sondern auch, um einigen meiner nichtprivilegierten Benutzer die Nutzung von Befehlen zu geben, die Privilegien erfordern. Nebenbei magst Du bitte auch bedenken, daß der Administrator seinen Benutzern per sudo(1) sogar die Möglichkeit geben kann, Befehle unter einer anderen Benutzerkennung als "root" oder ihrer eigenen auszuführen... Danke.
DANIEL D. schrieb: > Dass die Doku der Entwicklung nicht hinterher kommt. Das stimmt nicht. Das womit der TO Probleme hast, nämlich'basics' wie 'su' 'sudo' und das Prinzip von nutzer- und dateirechten ist seit mehreren Jahrzehnten dokumentiert, wahrscheinlich sogar als POSIX-Standard. https://de.wikipedia.org/wiki/Portable_Operating_System_Interface Lehrbücher, ja kostenlose PDF's in deutsch gibt es auch, Linux.magazine, FAQ's, Foren, ... Wer hier nicht hinterherkommt, sind die User die drauf pochen, daß alles nach ihrer Intuition zu funktionieren hat, auch wenn das den Entwicklern völlig unbekannt und konträr zu deren ist.
DANIEL D. schrieb: > Könnt ihr nicht den kompletten Theard lesen, Habe ich. > genau das gleiche Geheule wurde schon mehrfach geschrieben. Davon habe ich nichts gelesen. Außer von Dir habe ich auch kein "Geheule" gelesen und kann für mich selbst sagen, daß ich auch gar keinen Grund dazu habe: ich komme schließlich wunderbar mit Linux klar und Linux wunderbar mit mir. > Und mehrfach argumentiert wo die eigentlichen Probleme sind. Auch davon habe ich nichts gelesen. Was ich dagegen gelesen habe, ist, daß Du zunächst auf eine Vereinheitlichung der Desktops gedrängt hast und dann, als Dir erklärt wurde, wie unsinnig diese Idee ist, Dir plötzlich etwas ganz anderes aus den Fingern gesaugt hast. Deswegen bin ich mir aktuell nicht ganz sicher, ob Du nur ein bisschen trollen willst oder einfach nur spezielle Probleme mit den Kulturtechniken des verstehenden Lesens und einer sachlichen Argumentationsführung hast. Aber zu Deinem Vorteil nehme ich natürlich einstweilen das Letztere an. > Ich habe es ja verstanden wenn auf die Nachteile dieser > Betriebssysteme eingeht sind Leute persönlich angegriffen. Da kann ich natürlich nur für mich sprechen, aber ich fühle mich überhaupt nicht angegriffen. Wovon auch? Davon, daß Du Linux nicht magst, nicht konsistent zu argumentieren imstande bist, und es am Liebsten sehen würdest, wenn sich diese Linuxleute mal gegenseitig die Fresse polieren? All das sagt doch vielmehr über Dich als über Linux oder seine Entwickler, Freunde, oder Nutzer aus. > Als ob man ein Buch kaufen könnte das liest man und dann kann man den > Scheiß komplett bedienen, Es gibt mehrere solcher Bücher, zum Beispiel [1] sowie [2] und [3] -- wobei letztere idealerweise nacheinander in dieser Reihenfolge gelesen werden sollten. Auf den Rest Deiner etwas erhitzt und verwirrt erscheinenden Ausführungen gehe ich lieber nicht ein. Du mußt schon selbst wissen, welche Außenwirkung Du damit erzielst und was Dein Verhalten über Dich selbst aussagt. Guten Tag. [1] https://kofler.info/buecher/linux/ [2] https://debiananwenderhandbuch.de/ [3] https://debian-handbook.info/browse/de-DE/stable/
Hotel Mama ist abgebrannt schrieb: > Wer hier nicht hinterherkommt, sind die User die drauf pochen, daß alles > nach ihrer Intuition zu funktionieren hat, auch wenn das den Entwicklern > völlig unbekannt und konträr zu deren ist. Falsch die User die darauf Pochen das sie es überhaupt schaffen das es Funktioniert. Und TO hat eher bemängelt das es einfacher ist über die Konsole eine Datei zu verschieben, als herauszufinden wie es mit der GUI funktioniert. Man kann auch einfach immer das in Aussagen anderer genau hineininterpretieren, das es einem ins eigene Weltbild passt. Das wird hier in diesem Thread scheinbar sehr oft gemacht. Es gibt einen Haufen Elitär daherkommender Leute die einfach alles und jeden, der nicht nicht die Ansicht teilt als unfähig bezeichnen. Das kommt in Anbetracht der Tatsache wie wenig fähige Menschen es doch gibt, und wie extrem viele Unfähige total unglaubwürdig herüber. Dann sagt auch noch jeder der elitären Kenner etwas anderes, mal ist es für jeden Leicht zu Lernen, mal ist die Doku wohl doch nicht so vollständig, dann muss man am Besten mit Englischer Doku arbeiten usw. Hmm ja was soll ich dazu sagen, ich mein es ist ja schon einiges an Doku aufgeschrieben, und macht im Großen und Ganzen was es soll, aber ich finde es trotzdem sehr umfangreich und Kompliziert, usw, und Menschen mit einer binären Wahrnehmung was das Thema Linux angeht verstehe ich halt nicht, für mich sind da eindeutig die von mir genannten Nachteile wahrnehmbar.
DANIEL D. schrieb: > Hotel Mama ist abgebrannt schrieb: >> Wer hier nicht hinterherkommt, sind die User die drauf pochen, daß alles >> nach ihrer Intuition zu funktionieren hat, auch wenn das den Entwicklern >> völlig unbekannt und konträr zu deren ist. > > Falsch die User die darauf Pochen das sie es überhaupt schaffen das es > Funktioniert. Naja wenn die user sich nicht das 'basic'-wissen aneignen, wie das mit den Rechten so unter UNIX und Derivate ist, dann ist es auch nicht verwunderlich, das es nicht so funktioniert wie sa das gerne hätten. > Und TO hat eher bemängelt das es einfacher ist über die > Konsole eine Datei zu verschieben, als herauszufinden wie es mit der GUI > funktioniert. Es soll ja nicht mit der GUI funktionieren, das hat mit den Rechten für normale und priviligierte user zu tun. Wie gesagt, das sind basics die man verstanden haben muß, bevor man losschnattert. >und Menschen >mit einer binären Wahrnehmung was das Thema Linux angeht verstehe ich >halt nicht, für mich sind da eindeutig die von mir genannten Nachteile >wahrnehmbar. Naja Vor und Nachteile sind eben auch subjektiv. Was für Dich als Nachteil erscheint, ist für die user die die basics kennen und Wissenslüken proaktiv abbauen simple notwendig, ein vorteil oder einfach nicht der Rede wert, weil jeder der sich mit einer positiven grundeinstellung damit befasst, mindestens eine Lösung kennt, sollte es zum Problem werden. >Es gibt einen Haufen >Elitär daherkommender Leute die einfach alles und jeden, der nicht nicht >die Ansicht teilt als unfähig bezeichnen. Naja, es gibt halt 'Unfähige' und 'Unwillige', das hat wenig mit 'passender Meinung' zu tun. 'Passende meinung' und 'unfähig' in einer Person bezeichnet man wohl auch als 'Trittbrettfahrer' und 'A*kriecher'.
Hotel Mama ist abgebrannt schrieb: > Naja, es gibt halt 'Unfähige' und 'Unwillige', das hat wenig mit > 'passender Meinung' zu tun. 'Passende meinung' und 'unfähig' in einer > Person bezeichnet man wohl auch als 'Trittbrettfahrer' und > 'A*kriecher'. Aber Linux ist natürlich perfekt, das einzig Perfekte auf der ganzen Welt wo es nicht einen erwähnenswerten Nachteil gibt. Aber es gibt natürlich 'Unfähige' und 'Unwillige' soso. Mal sehen vielleicht gebe ich ja die 50€ für 1400 Seiten Linux verstehen aus, und lese das alles, dann verstehe ich sicher diese schier unglaubliche Perfektion. Hoffentlich.
DANIEL D. schrieb: > Hotel Mama ist abgebrannt schrieb: >> Naja, es gibt halt 'Unfähige' und 'Unwillige', das hat wenig mit >> 'passender Meinung' zu tun. 'Passende meinung' und 'unfähig' in einer >> Person bezeichnet man wohl auch als 'Trittbrettfahrer' und >> 'A*kriecher'. > > Aber Linux ist natürlich perfekt, das einzig Perfekte auf der ganzen > Welt wo es nicht einen erwähnenswerten Nachteil gibt. Wenn Du das sagst stimmt das nicht, wenn es ein andere sagt auch nicht. Linux ist nicht perfekt, muss es garnicht sein. > Aber es gibt > natürlich 'Unfähige' und 'Unwillige' soso. Na klar, nimm dir bspw. ein beliebiges Musikinstrument. Ist es jetzt ein Nachteil des Instrumentes, das Du oder die 99,99% der Weltbevölkerung keinen vernümftigen Ton daraufspielen kann oder simple Unfähigkeit?! Unfähigkeit ist 'heilbar', meistens. > Mal sehen vielleicht gebe > ich ja die 50€ für 1400 Seiten Linux verstehen aus, und lese das alles, > dann verstehe ich sicher diese schier unglaubliche Perfektion. > Hoffentlich. Es gibt auch kostenlose PDF, Doc und Anleitung, wurden schon mehrfach verlinkt. Oder du gehst in die Bibliothek. Oder besuchst ne entsprechende Ausbildung, Studium. Für letzteres bekommste sogar noch in Form von Bafög Geld 'hinterhergeschmissen'.
Hotel Mama ist abgebrannt schrieb: > Na klar, nimm dir bspw. ein beliebiges Musikinstrument. Ist es jetzt ein > Nachteil des Instrumentes, das Du oder die 99,99% der Weltbevölkerung > keinen vernümftigen Ton daraufspielen kann oder simple Unfähigkeit?! > Unfähigkeit ist 'heilbar', meistens. Mit dem unterschied das wenn einer ne Geige lernen will, es nicht 350 in der Bedienung sehr unterschiedliche Geigen gibt, wo jegliche Lernmethoden verstreut durcheinander und inkonsistent sind. Und vor allem sind die Geiger nicht so elitär den Rest der Welt als unfähig zu betrachten, weil er nicht Geige spielen kann.
DANIEL D. schrieb: > Hotel Mama ist abgebrannt schrieb: >> Na klar, nimm dir bspw. ein beliebiges Musikinstrument. Ist es jetzt ein >> Nachteil des Instrumentes, das Du oder die 99,99% der Weltbevölkerung >> keinen vernümftigen Ton daraufspielen kann oder simple Unfähigkeit?! >> Unfähigkeit ist 'heilbar', meistens. > > Mit dem unterschied das wenn einer ne Geige lernen will, es nicht 350 in > der Bedienung sehr unterschiedliche Geigen gibt, wo jegliche > Lernmethoden verstreut durcheinander und inkonsistent sind. Och, da wäre ich mir nicht sicher. Wobei "ein Instrumente lernen" wahrscheinlich schwieriger ist als "Linux lernen", weil man Ersterem nachsagt, das man dazu 'Talent' mitbringen sollte. > Und vor > allem sind die Geiger nicht so elitär den Rest der Welt als unfähig zu > betrachten, weil er nicht Geige spielen kann. Geh mal zu Psychoanalyse, irgendwie setzt Dein logisches Denken aus, sobald es den Begriff 'Elite' hört. Daran scheint 'dein denken' auch noch Gefallen zu finden, weil es den Begriff 'Elite' völlig unnötig ins Spiel bringt. Der Zutritt zur Gruppe der 'Linuxer' ist nicht wie bei 'Eliten' künstlich beschränkt, jeder kann dazu gehören.
Hotel Mama ist abgebrannt schrieb: > Geh mal zu Psychoanalyse, irgendwie setzt Dein logisches Denken aus, > sobald es den Begriff 'Elite' hört. > Daran scheint 'dein denken' auch noch Gefallen zu finden, weil es den > Begriff 'Elite' völlig unnötig ins Spiel bringt. Der Zutritt zur Gruppe > der 'Linuxer' ist nicht wie bei 'Eliten' künstlich beschränkt, jeder > kann dazu gehören. Finde ich aber sehr passend den Begriff für Leute welche ihre Mitmenschen in "es gibt halt 'Unfähige' und 'Unwillige'" unterteilen.
DANIEL D. schrieb: >> Daran scheint 'dein denken' auch noch Gefallen zu finden, weil es den >> Begriff 'Elite' völlig unnötig ins Spiel bringt. Der Zutritt zur Gruppe >> der 'Linuxer' ist nicht wie bei 'Eliten' künstlich beschränkt, jeder >> kann dazu gehören. > > Finde ich aber sehr passend den Begriff für Leute welche ihre > Mitmenschen in "es gibt halt 'Unfähige' und 'Unwillige'" unterteilen. Nö, das machen nicht (nur) Eliten, das macht jeder. Ist halt ne universale frühkindliche Erfahrung, nicht alle sind zu etwas Bestimmten fähig, Papa kann beispielsweise keine Babies stillen. Und Mama will auch nichtimmr 'Klein-Kläuschen' die Brust geben. Ist halt so, sind alle Individuen. https://www.youtube.com/watch?v=rhJCQCk3sO0&ab_channel=Buhrli
DANIEL D. schrieb: > Und vor allem sind die Geiger nicht so elitär den > Rest der Welt als unfähig zu betrachten, weil er > nicht Geige spielen kann. Niemand wird verachtet, weil er nicht Geige spielen kann. Man wird dafür verachtet, dass man für die Misstöne, die man produziert, diese "uralte, voll unpraktische Stradivari" verantwortlich macht -- statt sich die eigene Unfähigkeit einzugestehen. Das Muster ist übrigens schon SEHR alt. Lies mal "Der Fuchs und die Trauben".
DANIEL D. schrieb: > Mit dem unterschied das wenn einer ne Geige lernen will, es nicht 350 in > der Bedienung sehr unterschiedliche Geigen gibt, wo jegliche > Lernmethoden verstreut durcheinander und inkonsistent sind. Naja, eine Geige ist zunächst mal nur ein Streichinstrument und kann insofern eine Fidel,eine Violine, eine Bratsche, ein Violoncello, einen Kontrabaß oder auch eine Gambe bezeichnen. Alle diese Streichinstrumente werden mehr oder weniger unterschiedlich gespielt, und sogar die besten Geiger können nicht so einfach und ohne zu üben auf einen Kontrabaß umsteigen. > Und vor > allem sind die Geiger nicht so elitär den Rest der Welt als unfähig zu > betrachten, weil er nicht Geige spielen kann. Es kommt ja auch keiner auf die unglaublich bescheuerte Idee, alle Geigen als "antiquiert", "schlecht", "doof", "Fehlkonstruktion" oder sonstetwas abzutun, nur weil er selbst nicht damit umgehen kann. Genau das tun der OP und Du aber mit Linux... merkste selber, wie dumm das ist?
DANIEL D. schrieb: >> Daran scheint 'dein denken' auch noch Gefallen zu finden, weil es den >> Begriff 'Elite' völlig unnötig ins Spiel bringt. Der Zutritt zur Gruppe >> der 'Linuxer' ist nicht wie bei 'Eliten' künstlich beschränkt, jeder >> kann dazu gehören. > > Finde ich aber sehr passend den Begriff für Leute welche ihre > Mitmenschen in "es gibt halt 'Unfähige' und 'Unwillige'" unterteilen. Nö, 'unterteilen' aka 'unterscheiden' machen nicht (nur) Eliten, das macht jeder. Ist halt ne universale frühkindliche Erfahrung: Nicht alle sind zu etwas Bestimmten fähig, Papa kann beispielsweise keine Babies stillen. Und Mama will auch nichtimmr 'Klein-Kläuschen' die Brust geben. Ist halt so, sind alle Individuen. https://www.youtube.com/watch?v=rhJCQCk3sO0&ab_channel=Buhrli PS: Manche meinen aber, sie können ihre individuelle leistung aufwerten, wenn sie sich als 'Opfer' von 'Eliten' o.ä. darstellen.
Sorry für die beinahe Doublette durch Re-Post, hab hier Verbindungsaussetzer.
In meinen Augen sind hier einige Leute die unfähig sind sich mal gewisse Dinge einzugestehen. Scheinbar gibt es eine 0% Toleranzgrenze was Kritik angeht. Ich habe doch schon akzeptiert das nur die Leute die sich schwer tuen das Problem sind, und alles kritisierte in Wirklichkeit Perfekt ist. Und ein Instrument zu lernen ist meiner Meinung nach deutlich einfacher, und überhaupt nicht vergleichbar. Sollten die mal beim Download von Linux darauf hinweisen, das man Unfähig und Unwillig ist, falls man auch nach längerer Zeit immer sehr viel Arbeit investieren muss um gewünschte Ergebnisse zu erziehen. Und das Verbesserungspotential und Punkte welche man Kritisieren könnte nicht existieren. Mann muss wohl so als elitärer Linux Fan Binär denken um das wirklich verstehen zu können.
Sheeva P. schrieb: > Und jetzt beruhige Dich bitte mal, geh' eine Runde spazieren, erfreue > Dich an dem frühlingshaften Wetter und dem Aufblühen der Natur. Du weißt aber schon, dass das angesichts der Timestamps auf andere Weise witzig wirkt, als du vielleicht beabsichtigt hast? Ich war den Tag über arbeiten … > Dann > trink' ein Täßchen Tee und versuch' bitte noch einmal, mir ganz > unaufgeregt und in aller Ruhe zu erklären, was falsch oder gar "kaputt" > sein soll an sudo(1) oder an der Standardkonfiguration, die > beispielsweise die Ubuntus ausliefern. Bitte berücksichtige dabei, daß > ich sudo(1) seit vielen Jahren kenne und benutze Gut, also mit wenigen Worten: eine Konfiguration, die ohne Kenntnis des Rootpasswortes dieses neu setzen lässt und die einen User auf einer gegebenen Shell beliebige Dinge als Root machen lässt, ohne auch nur diese Pseudolegitimation erneut abzufragen und die es zulässt und gar forciert, dass der technisch weniger interessierte User sein ›sudo‹ bald vor alles malt, ist, aus Sicherheitssicht, ein Alptraum. Kaputt. FUBAR, zumindest nach einiger Zeit. Katastrophal. Furchtbar. Schrecklich. Untragbar. Völlig daneben. Oh, schon wieder so viele Worte :| Ich habe ausdrücklich nicht geschrieben, dass ›sudo‹ selbst das Problem wäre, und wie dir aufgefallen sein könnte, wenn du’s aufmerksam gelesen hättest, nutze ich ›sudo‹ selbst höchst gerne – wenn auch in einer weniger durchgeknallten Konfiguration, was sich mit ausreichender Aufmerksamkeit ebenfalls hätte erkennen lassen können. Sheeva P. schrieb: > Das empfehlen übrigens auch die Leute vom Bundesamt für > Sicherheit in der Informationstechnologie in ihrem > BSI-Grundschutzhandbuch in Richtlinie SYS.2.3.A1: "Administratoren > DÜRFEN sich NICHT im Normalbetrieb als „root“ anmelden. Für die > Systemadministrationsaufgaben SOLLTE „sudo“ oder eine geeignete > Alternative mit einer geeigneten Protokollierung genutzt werden." Jup, solange ›sudo bash‹ erlaubt ist, ist das stümperhaft – und genau das ist mit der von mir als kaputt bezeichneten Konfiguration, die wir Ubuntu zu verdanken haben, erlaubt. Nochmal: ›sudo‹ selbst ist genial. Ich prangere ausdrücklich die kaputte Konfiguration an, die einen User oder dem aus dem Netz geladenen, supertollen Häckerscript, alles (incl. sudo passwd, sudo su, sudo bash, you name it) machen lässt, das mit sudo eigentlich vermieden werden sollte (und mit der richtigen Config eben auch kann). Und das BSI mit seinen „Sicherheitstipps“ auf Computerbild-Niveau … nein, ich denke nicht, dass man die freiwillig als Referenz anführen sollte. Wenn man gezwungen wird, die als Referenz zu nehmen, sollte man drüber schweigen. Meine persönliche Meinung zu denen.
:
Bearbeitet durch User
DANIEL D. schrieb: > In meinen Augen sind hier einige Leute die unfähig sind sich mal gewisse > Dinge einzugestehen. Phrasendrescherei. https://wiki.yoga-vidya.de/Phrasendrescherei > Scheinbar gibt es eine 0% Toleranzgrenze was Kritik > angeht. Da trügt Dich dein Schein, Kritik wird hier nicht nur toleriert, sondern auch analysiert, ob und welcher Kern dahinter steckt. Nicht alles, was als 'Kritikw' bemäntelt daher kommt, ist tatsächlich konstruktive Kritik.
Sheeva P. schrieb: > Cyblord -. schrieb: >> Seine Meinung ist immerhin die der 97% die Linux nicht als Desktop >> nutzen. > Solange 95% dieser Leute nicht einmal wissen, daß man Linux auch ganz > wunderbar auf dem Desktop benutzen kann, und 90% davon noch nicht einmal > wissen, daß es Linux gibt, ist dieses "Argument" nur wieder eine > dummnaive Provokation. Exakt. Und wer sich nicht vorstellen kann, daß 90% der Leute nichtmal wissen, daß man Liux am Desktop/Laptop nutzen kann, oder was Linux überhaupt ist, steckt selber tief in der Nerd-Filterblase drin. Eine "Entscheidung" würde bedingen, sich zumindest mal ein Linux-ISO auf USB zu ziehen und reinzubooten, um sich das mal anzusehen - und dann zu sagen "nee danke". Wer ernsthaft glaubt, daß ein mehr als vernachlässigbarer Anteil der Leute sowas tut, sollte dringend mal einen Realitäts-Check machen.
DANIEL D. schrieb: > Und TO hat eher bemängelt das es einfacher ist über die > Konsole eine Datei zu verschieben, als herauszufinden wie es mit der GUI > funktioniert. Quatsch. Das habe ich schon auf der ersten Seite erklärt: Beitrag "Re: Linux geht es noch antiquierter?"
Jack V. schrieb: > Gut, also mit wenigen Worten: eine Konfiguration, die ohne Kenntnis des > Rootpasswortes dieses neu setzen lässt und die einen User auf einer Nicht "einen User". Sondern: einen berechtigten User. Das ist ein riesengroßer Unterschied, weißt Du. > gegebenen Shell beliebige Dinge als Root machen lässt, ohne auch nur > diese Pseudolegitimation erneut abzufragen und die es zulässt und gar > forciert, dass der technisch weniger interessierte User sein ›sudo‹ bald > vor alles malt, ist, aus Sicherheitssicht, ein Stimmt, da ist es sicher viel besser, daß der technisch weniger interessierte User einfach direkt in einer Rootshell arbeitet. > Alptraum. Kaputt. > FUBAR, zumindest nach einiger Zeit. Katastrophal. Furchtbar. > Schrecklich. Untragbar. Völlig daneben. Oh, schon wieder so viele Worte Ja, und leider ist wieder nicht ein einziges valides oder sogar sachliches Argument dabei. Du hast meinen Rat, Dich mal zu entspannen und zu besinnen, also leider nicht angenommen. Schade eigentlich, normalerweise bist Du ja ein kluger Kopf. > Ich habe ausdrücklich nicht geschrieben, dass ›sudo‹ selbst das Problem > wäre, und wie dir aufgefallen sein könnte, wenn du’s aufmerksam gelesen > hättest, nutze ich ›sudo‹ selbst höchst gerne – wenn auch in einer > weniger durchgeknallten Konfiguration, was sich mit ausreichender > Aufmerksamkeit ebenfalls hätte erkennen lassen können. Diese "durchgeknallte" Konfiguation wird nicht nur im Grundschutz-Handbuch des Bundesamtes für Sicherheit in der Informationstechnologie, sondern auch in vielen Werken, Empfehlungen und Durchführungsverordnungen zu Sicherheitsstandards wie HIPAA, HITECH, und PCI-DSS so empfohlen, und als Standardkonfiguration sowohl in allen Ubuntus, als auch in MacOS/X benutzt. Und ja, ich arbeite in und mit höchst sensiblen Umgebungen, und auch ich halte diese Konfiguration für sinnvoller und deutlich sicherer als die klassische Variante mit Root-Paßwort. Gegen Deppen kann das System mit nahezu keiner Art der Priviligienerweiterung geschützt werden, weder mit su(1) und Root-Paßwort, noch mit sudo(1). Mit sudo(1) habe ich aber immerhin die Möglichkeit, feingranulare Berechtigungen auf definierte Befehle und Parameter zu vergeben, ohne ein MAC- oder RBAC-System einrichten zu müssen. Mit Root-Paßworten und su(1) hingegen kann ich noch nicht einmal das. > Jup, solange ›sudo bash‹ erlaubt ist, ist das stümperhaft Du hälst es in einer Umgebung, in der mehrere Admins arbeiten, also für sinnvoller, eine -- sagen wir: GPG-verschlüsselte -- Datei im Netzwerk herumliegen zu lassen, die jedesmal aktualisiert und in der für jeden Root-Zugriff das Paßwort der Büchse nachgeschaut werden muß? Und wie willst Du das zum Beispiel mit einer automatischen Systemkonfiguration mittels Ansible machen, das sich -- aus guten Gründen -- darauf verläßt, daß es sich mit sudo(1) und dem angegebenen Benutzerpaßwort die nötigen Privilegien verschaffen kann? PermitRootLogin im SSH-Server zulassen, und das soll (zumal in Verbindung mit der Paßwortdatei) sicherer sein? > – und genau > das ist mit der von mir als kaputt bezeichneten Konfiguration, die wir > Ubuntu zu verdanken haben, erlaubt. Nochmal: ›sudo‹ selbst ist genial. > Ich prangere ausdrücklich die kaputte Konfiguration an, die einen User > oder dem aus dem Netz geladenen, supertollen Häckerscript, /alles/ > (incl. sudo passwd, sudo su, sudo bash, you name it) machen lässt, das > mit sudo eigentlich vermieden werden sollte (und mit der richtigen > Config eben auch kann). Stimmt, da ist es natürlich VIEL besser, wenn der Benutzer das "Häckerscript" einfach mit seiner Rootshell ausführt. Sooo sicher... nicht. Nebenbei: den Timeout des sudo(1)-Token kann man natürlich konfigurieren. > Und das BSI mit seinen „Sicherheitstipps“ auf Computerbild-Niveau … > nein, ich denke nicht, dass man die freiwillig als Referenz anführen > sollte. Wenn man gezwungen wird, die als Referenz zu nehmen, sollte man > drüber schweigen. Meine persönliche Meinung zu denen. Das ist wirklich lustig. Ich kenne eine ganze Reihe von gestandenen UNIX-Sysops, die das Grundschutzhandbuch des BSI für eine der besten Leistungen einer Behörde halten, die ihnen jemals begegnet ist. Daß die Admins bei unseren deutschen Kunden sich dran halten, ist keine Überraschung, aber ich kenne auch mindestens eine niederländische Großbank, einen großen, international tätigen Payment-Provider, sowie einen großen Versicherer in den USA, die die BSI-Empfehlungen in ihren Rechenzentren umsetzen und zur Dokumentation dessen sogar das BSI-Tools "Verinice" einsetzen. Vielleicht magst Du das selbst mal lesen? Edit: Typo korrigiert.
:
Bearbeitet durch User
Sheeva P. schrieb: > [viel zu viel Text] Weißt was? Träum weiter davon, dass sudo in seiner Buntu-Default-Config das Tollste seit geschnitten Brot wäre. Wenn jemand Probleme mit etwas nicht sehen will, und nicht mal die Beispiele erkennen kann, wenn er sich genau auf den Beitrag bezieht, in dem die stehen, dann bringt’s auch nicht, noch mehr Beispiele zu bringen – die wird das gleiche Schicksal ereignen – vertane Zeit. Aber gib mir doch bitte noch deine Mailadresse, damit ich die User, die aufgrund der kaputten sudo-Config von Ubuntu, die leider immer mehr übernommen haben, ihr System aufgemacht bekommen, oder es auch nur selbst kaputtgemacht haben, zu dir schicken kann. Du kannst denen dann erzählen, warum sie sich das nur einbilden, und es ja überhaupt gar kein Problem damit gibt. Sheeva P. schrieb: > Mit sudo(1) habe ich aber immerhin die > Möglichkeit, feingranulare Berechtigungen auf definierte Befehle und > Parameter zu vergeben und Sheeva P. schrieb: > Nebenbei: den Timeout des sudo(1)-Token kann man natürlich > konfigurieren. Ja – darum geht es doch die ganze Zeit: natürlich kann man sudo einwandfrei konfigurieren, und genau das muss man halt auch, wenn man die Ubuntu-Config (aka „Scheunentor“) vorliegen hat. Weißt du überhaupt selbst noch, was du sagen willst? Du sagst, es wäre unsicher, wenn ein User alles direkt als Root, etwa mittels ›su‹, machen würde, und das ist es auch, keine Frage – genau deswegen steht in den einschlägigen Tutorials: „arbeite nur als Root, wenn du weißt, dass du die Rechte tatsächlich benötigst – und mach nur das als Root, was nötig ist“, während der Tenor bei ›sudo‹ ist: „Wenn’s irgendwie Probleme gibt, versuch doch erstmal ›sudo‹ – meist hilft das schon!“. Inwiefern ist’s sicherer, wenn der User dann direkt vor alles ›sudo‹ schreibt, damit die Probleme gar nicht erst auftreten? Oder gleich ›sudo su‹ startet, weil das halt bequemer ist? Ja, meine Fresse – natürlich hilft ›sudo‹ mit dieser Config, wenn supertolles_script.sh meldet: „cat: keine Berechtigung: /bin/init“. Und natürlich ist’s ein Problem auf Layer 8 – das es aber ohne eine vernünftige Konfiguration von ›sudo‹ nicht geben würde. Bin dann fertig.
:
Bearbeitet durch User
Jack V. schrieb: > Du sagst, es wäre unsicher, wenn ein User alles mit su machen würde, und > das ist es auch, keine Frage. Aber inwiefern ist’s sicherer, wenn der > User stattdessen vor alles ›sudo‹ schreibt? Das ist nicht sicherer, sondern dasselbe. Aber ich muß im Falle von sudo(1) trotzdem kein Root-Paßwort setzen. Und da "root" nun einmal ein bekannter Benutzername ist, ist der Root-Account anfällig für BruteForce- und Dictionary-Angriffe. Ich kann Dir gerne ein paar Gigabyte Syslogs von öffentlich erreichbaren Servern schicken, bei denen jeden Tag irgendwelche Leute aus Rußland, China und anderen Ländern versuchen, sich mit dem Benutzernamen "root" anzumelden. Schau, sudo(1) schützt Benutzer nicht vor Fehlern. su(1) aber auch nicht. > Oder gleich ›sudo su‹ startet, weil das halt bequemer ist? Dann hat er wieder eine Rootshell. Huch! Die hat er mit su(1) ja auch! Und das soll dann sicherer sein? Im Ernst? Edit: Da fällt mir gerade noch etwas ein. Du kennst doch diese... Menschen, die bei jedem Problem mit Zugriffsrechten unter Linux direkt erstmal ein chmod 777 auf alles machen? Diese... Menschen kannst Du mit keiner Priviligienerweiterungs- oder anderen Sicherheitstechnik davon abhalten, sich selbst in die Füße zu schießen. Dasselbe gilt für.. Menschen, die sich irgendwelche Skripte aus dem Netz laden und so, ohne sie verstanden zu haben, einfach mit sudo(1) oder in einer Rootshell ausführen. Aber das sind sie dann selbst schuld, weißt Du, und da kann, will und muß ich auch kein Mitleid mit haben.
:
Bearbeitet durch User
Sheeva P. schrieb: > Ich kann > Dir gerne ein paar Gigabyte Syslogs von öffentlich erreichbaren Servern > schicken, bei denen jeden Tag irgendwelche Leute aus Rußland, China und > anderen Ländern versuchen, sich mit dem Benutzernamen "root" anzumelden. Jaja, hab ich selbst, danke. Wollen wir die doppelten IPs tauschen? Sheeva P. schrieb: > Dann hat er wieder eine Rootshell. Huch! Die hat er mit su(1) ja auch! > Und das soll dann sicherer sein? Im Ernst? Liest du bitte mal, was ich da eigentlich die ganze Zeit schreibe? Das war explizit ein Beispiel dafür, wie es bei einer korrekten Konfiguration nicht funktionieren darf, und wie es aber in Ubuntus Konfiguration funktioniert! Und du sagtest, das solle sicher sein. Und du scheinst es auch ernst gemeint zu haben, hast gar irgendwelche Leitfäden vom BSI (dem Laden, der lange Zeit den IE (nicht Edge, das alte Dingens) als sichersten Browser hingestellt hat) herangezogen, um das zu untermauern.
Jack V. schrieb: > Du sagst, es wäre unsicher, wenn ein User alles direkt als Root, etwa > mittels ›su‹, machen würde, und das ist es auch, keine Frage – genau > deswegen steht in den einschlägigen Tutorials: „arbeite nur als Root, > wenn du weißt, dass du die Rechte tatsächlich benötigst – und mach nur > das als Root, was nötig ist“, während der Tenor bei ›sudo‹ ist: „Wenn’s > irgendwie Probleme gibt, versuch doch erstmal ›sudo‹ – meist hilft das > schon!“. Ach so, noch etwas: sudo(1) gibt bei der ersten Benutzung eine sehr eindeutige Warnung aus, daß es jetzt gefährlich wird. Tut su(1) das auch? :-) > Inwiefern ist’s sicherer, wenn der User dann direkt vor alles > ›sudo‹ schreibt, damit die Probleme gar nicht erst auftreten? Was der hypothetische User in Deinem Kopf tut, dafür bin ich ebenso glücklicher- wie erfreulicherweise nicht verantwortlich. Und wenn er stattdessen gleich mit su(1) in einer Rootshell arbeitet, dann hast Du dasselbe Problem -- und obendrein womöglich auch noch ein zu schwaches Root-Paßwort gesetzt. Herzlichen Glückwunsch, riesiger Sicherheitsgewinn... oder so.
Sheeva P. schrieb: > Ach so, noch etwas: sudo(1) gibt bei der ersten Benutzung eine sehr > eindeutige Warnung aus, daß es jetzt gefährlich wird. Tut su(1) das > auch? :-) Bei geschätzt 30k Benutzungen im ersten Jahr wird die Warnung beim allerersten Mal keine große Rolle spielen. Bei ›su‹ und ’ner Rootshell hast du aber bei jedem Aufruf wieder einen hübschen ›root@host$‹–Prompt, wobei Root bei den meisten Distris hübsch fett rot eingefärbt ist – was ziemlich gut ins Auge fällt, wenn der User bei seinem Prompt grün dargestellt wird. Sheeva P. schrieb: > Was der hypothetische User in Deinem Kopf tut, dafür bin ich ebenso > glücklicher- wie erfreulicherweise nicht verantwortlich. Und wenn er > stattdessen gleich mit su(1) in einer Rootshell arbeitet, dann hast Du > dasselbe Problem -- und obendrein womöglich auch noch ein zu schwaches > Root-Paßwort gesetzt. Herzlichen Glückwunsch, riesiger > Sicherheitsgewinn. a) könnte ich tatsächliche User und die Threads in den einschlägigen Foren nennen, bin aber kein Freund davon, andere Leute ohne ihr Wissen bloßzustellen (und auch nicht mit ihrem Wissen, btw.), und b) ist selbst ein schwaches Passwort immer noch mehr Sicherheit, als gar keines (›sudo su‹ und die ganzen anderen Varianten – du erinnerst dich, dass ich sie als Beispiele für das Problem mit der Buntu-Config hingeschrieben hatte?). Ich schreib’s auch gerne noch ein fünftes Mal hin: ›sudo‹ selbst ist eine prima Software. Ich nutze die absolut gerne. Aber die Konfiguration, die sie unter Ubuntu per default mitbekommt, ist kaputt. Nur die, nicht das Programm selbst. Weil: sudo su.
:
Bearbeitet durch User
Jack V. schrieb: > Ich schreib’s auch gerne noch ein fünftes Mal hin: ›sudo‹ selbst ist > eine prima Software. Ich nutze die absolut gerne. Aber die > Konfiguration, die sie unter Ubuntu per default mitbekommt, ist kaputt. > Nur die, nicht das Programm selbst. Weil: sudo su. Das liest sich so als wäre es Kritik, das kann nicht sein, das System ist zu 100% perfekt.
Jack V. schrieb: > Jaja, hab ich selbst, danke. Wollen wir die doppelten IPs tauschen? Hm, aber wäre das das nicht "Intellectual Property" unserer Arbeitgeber und / oder unserer Kunden? ;-) > Sheeva P. schrieb: >> Dann hat er wieder eine Rootshell. Huch! Die hat er mit su(1) ja auch! >> Und das soll dann sicherer sein? Im Ernst? > > Liest du bitte mal, was ich da eigentlich die ganze Zeit schreibe? Das > war explizit ein Beispiel dafür, wie es bei einer korrekten > Konfiguration nicht funktionieren darf, und wie es aber in Ubuntus > Konfiguration funktioniert! Wenn ich das richtig sehe, beziehen sich Deine Rants ausschließlich darauf, daß der Paßwort-Timeout gesetzt ist. Das ist aber die Standardkonfiguration von sudo(1) und haargenau die Idee von dem ganzen Ding. Und im Kern genommen ist das auch gar nicht so schlecht, solange man nicht Deinen hypothetischen Irrenhaus-User hat -- denn wenn die Leute ständig und immer wieder für jeden Befehl ihr Paßwort eintippen müssen, dann arbeiten sie ratzfatz wieder mit einer Rootshell, was -- da scheinen wir uns wohl einig zu sein -- dann auch so gar keinen Sicherheitsgewinn mehr darstellt. Allerdings scheine ich auch philosophisch einen anderen Ansatz zu vertreten. Ich halte ignorante Benutzer -- und zumindest im Falle von sudo(1), das ja wie gesagt sogar eine Warnung anzeigt, geht es nur um Ignoranz -- für ein soziales Problem, nicht für ein technisches. Und wie jeder gute Admin und Entwickler weiß ich, daß soziale Probleme nicht technisch gelöst werden können, unabhängig davon, wie viel Zeit oder Geld man darauf wirft. Wenn Dein User also eine hohle Frucht ist und Du ihm ermöglichst, sich dämlich zu verhalten und dadurch ein winziges Bisschen an Komfort zu gewinnen, dann wird er genau das tun, und zwar vollkommen unabhängig davon, ob er es per su(1) oder per sudo(1) macht. Insofern reden wir beide von zwei unterschiedlichen Dingen, nämlich einmal dem Ignorantesten Anzunehmenden User einerseits, der jedoch erweiterte Privilegien benötigt, um sein System aktualisieren, konfigurieren, Pakete zu installieren, Datenträger zu mounten, ... you name it. Dieser Benutzer benötigt also eine Möglichkeit, sich die dazu notwendigen Privilegien zu verschaffen, und wenn er hinreichend dämlich ist, wird er diesen Mechanismus womöglich mißbrauchen. Andererseits reden wir -- okay: ich jedenfalls -- von professionellen, erfahrenen Systemadministratoren wie meinem Admin-Team, Dir, oder mir. Aber wir alle wissen, wie su(1) und sudo(1) funktionieren, inklusive Timeout, und für uns bietet diese Lösung mit dem sudo(1) viele Vorteile -- angefangen bei der Auditierbarkeit, weil sudo(1) auch ohne auditd(8) anständig loggt, über den Komfort im Umgang mit der Shell und Werkzeugen wie Fabric2 und Ansible, bis hin zum absolut sicheren Schutz unseres paßwortlosen Root-Accounts und dem Wegfall der Notwendigkeit, Rootpaßworte teilen oder verteilen zu müssen, wenn wir im Team arbeiten. > Und du sagtest, das solle sicher sein. Und du scheinst es auch ernst > gemeint zu haben, hast gar irgendwelche Leitfäden vom BSI (dem Laden, > der lange Zeit den IE (nicht Edge, das alte Dingens) als sichersten > Browser hingestellt hat) herangezogen, um das zu untermauern. Oh, das fand ich jetzt sehr interessant, hast Du dazu womöglich eine Quelle für mich? Trotz längerer Recherchen konnte ich nämlich keine einzige finden, ganz im Gegenteil: in allen Veröffentlichungen und in etlichen Kommentaren und Artikeln seriöser Publikationen stand immer ausdrücklich, daß das BSI zumindest seit der jüngsten Überarbeitung seiner Mindeststandards für Web-Browser Mozillas Firefox empfiehlt. Diese Mindeststandards gibt es übrigens seit 2017, leider sind die alten Dokumente auf der BSI-Seite nicht mehr auffindbar. Aus einer Drittquelle des ersten dieser Tests habe ich allerdings die angehängte Grafik gezogen, die für mich nach einer klaren Empfehlung für den Firefox ausieht. Dann habe ich nach "BSI empfiehlt Internet Explorer" und "BSI empfiehlt Edge" gegoogelt, aber bei keiner dieser Suchen ein Ergebnis erzielt. Im Gegenteil: alle Ergebnisse, darunter eines von 2014, sagen aus, daß das BSI vom Internet Explorer und vom Edge abrät.
Jack V. schrieb: > Bei geschätzt 30k Benutzungen im ersten Jahr wird die Warnung beim > allerersten Mal keine große Rolle spielen. Bei ›su‹ und ’ner Rootshell > hast du aber bei jedem Aufruf wieder einen hübschen ›root@host$‹–Prompt, > wobei Root bei den meisten Distris hübsch fett rot eingefärbt ist – was > ziemlich gut ins Auge fällt, wenn der User bei seinem Prompt grün > dargestellt wird. In früh(er)en Versionen von SuSE Linux wurde der Desktop-Hintergrund als Bomben dargestellt, wenn man sich als "root" eingeloggt hatte und den X-Server gestartet hat. Das fand ich ebenso lustig wie deutlich und auch sehr angemessen. Aber Dein Hirni-User... echt mal, glaubst Du ernsthaft, der interessiert sich für die Farbe von $PS1? > a) könnte ich tatsächliche User und die Threads in den einschlägigen > Foren nennen, bin aber kein Freund davon, andere Leute ohne ihr Wissen > bloßzustellen (und auch nicht mit ihrem Wissen, btw.), und b) ist selbst > ein schwaches Passwort immer noch mehr Sicherheit, als gar keines (›sudo > su‹ und die ganzen anderen Varianten – du erinnerst dich, dass ich sie > als Beispiele für das Problem mit der Buntu-Config hingeschrieben > hatte?). Lustigerweise ist das aber gar nicht die *buntu-Konfiguration, sondern die von Raspbian. Die *buntu-Konfiguration fragt das Benutzerpaßwort ab, wenn der User sudo(1) aufruft. Im Übrigen tut sich auch das nichts: ob die Deppen jetzt "mach einfach mal 'su' und ruf das Kommando auf" oder "schreib mal 'sudo' davor" als Ratschlag erteilen, tut sich nichts. Und wie Benutzer so 'drauf sein können, haben wir doch gerade erst in diesem Thread wieder gesehen, als tatsächlich jemand empfohlen hat, Schreib- und Ausführrechte für die Gruppe auf das Systemverzeichnis opt zu vergeben. Im Endeffekt müssen wie da wohl konstatieren, daß es viele Mittel und Wege gibt, ein Linux kaputt zu machen, wenn man root-Rechte hat. Darin unterscheidet sich Linux in nichts von so ziemlich allen anderen mir bekannten Betriebssystemen. > Ich schreib’s auch gerne noch ein fünftes Mal hin: ›sudo‹ selbst ist > eine prima Software. Ich nutze die absolut gerne. Aber die > Konfiguration, die sie unter Ubuntu per default mitbekommt, ist kaputt. > Nur die, nicht das Programm selbst. Weil: sudo su. Was ist an "sudo su", "sudo su -" oder "sudo -i" schlechter als an "su"? Richtig: am Ende hast Du eine Rootshell.
DANIEL D. schrieb: > Das liest sich so als wäre es Kritik, das kann nicht sein, das System > ist zu 100% perfekt. Womit meine wohlwollende Vermutung eindeutig widerlegt wäre, q.e.d. Danke für diese eindrucksvolle Klarstellung.
Sheeva P. schrieb: > Lustigerweise ist das aber gar nicht die *buntu-Konfiguration, sondern > die von Raspbian. Nachtrag:
1 | sheeva@cam1 $ lsb_release -a |
2 | No LSB modules are available. |
3 | Distributor ID: Raspbian |
4 | Description: Raspbian GNU/Linux 10 (buster) |
5 | Release: 10 |
6 | Codename: buster |
7 | sheeva@cam1 $ sudo cat /etc/sudoers.d/010_pi-nopasswd |
8 | pi ALL=(ALL) NOPASSWD: ALL |
9 | sheeva@cam1 $ |
Betrifft mich allerdings auch nicht. Das Allerallererste, was ich mit einem Raspbian mache, ist, den Benutzer "pi" umzubenennen und ihm ein neues Paßwort zu geben.
Auf meine PIs (sind alles 3B+) kommt ein selbst gebootstraptes devuan drauf. Sollte auch mit debian gehen (kernel und co. von testing oder unstable nehmen). Einfach datei erstellen, partitionieren, loopdevice erstellen, mounten (inklusive /boot/firmware), dann mit debootstrap bootstrappen, chrooten, benutzer, locale, fstab, usw. konfigurieren, model in /etc/flash-kernel/machine eintragen, und dannach kernel, flash-kernel und raspi-firmware installieren. Das sollte dann alle nötigen Dateien an den richtigen Platz schicken. Dann alles unmounten und fertig. Etwas komplexer, als ein fertiges raspbian zu nehmen, aber so weiss ich wenigstens, was in dem Image drinn ist, und kann überall devuan/debian nehmen, und muss nicht auch noch raspbian vertrauen. Das bootstrappen ist ja immer gleich, nur das mit dem /boot/firmware und raspi-firmware packet muss man wissen. Das man das bei devuan/debian so einfach machen kann, (mit flash-kernel, normalem distro kernel, und aller firmware in einem Paket), ist glaub ich noch relativ neu. Flash-kernel ist schon eine echt coole sache, es gibt immer wie mehr arm Geräte, mit denen das Ding umgehen kann. Zu sudo, bei privaten Rechnern und Servern installiere ich sudo nicht. Ich bin ja der einzige Admin, bei einer Firma würde ich das anders machen. Login mache ich immer per linux console oder per ssh (mit key, und nicht von dem account aus, wo ich webbrowse oder sonstiges.). Im unwahrscheinlichen Fall, dass mal ein Virus auf meinen haupt account kommt, kann der dann wenigstens nicht root werden oder auf die Server überspringen beim nächsten login. Wie man so etwas am besten handhabt, ist am Ende aber immer davon abhängig wovor man sich überhaupt schützen will.
DANIEL D. schrieb: > Als ob man ein Buch kaufen > könnte das liest man und dann kann man den Scheiß komplett bedienen, dem > ist aber nicht so und dem wird vermutlich auch nie so sein, und jegliche > Argumentation die behaupten es wäre so sind realitätsferner Bullshit. Das funktioniert auch in anderen Bereichen nicht. Nichtmal da, wo die Leute das lernen muessen und das auch noch in einer ziemlich scharfen Pruefung beweisen muessen. Prominentes alltaegliches Beispiel: Sieh Dich einfach im Strassenverkehr um. DANIEL D. schrieb: > Scheinbar gibt es eine 0% Toleranzgrenze was Kritik > angeht. Und dann sage mal den schlimmsten Gewegparkern, dass sie falsch parken. wendelsberg
Sheeva P. schrieb: > Wenn ich das richtig sehe, beziehen sich Deine Rants ausschließlich > darauf, daß der Paßwort-Timeout gesetzt ist. Das, und darauf, dass ›sudo‹ gleich alles zulässt – statt den User auf die Sachen einzuschränken, für die ein User höhere Rechte benötigen könnte. Denn administrative Aufgaben sollte weiterhin dem Administrator (oder, auf privaten Einbenutzersystemen, dem User, nachdem er explizit die Administratorrolle angenommen hat) vorbehalten sein. Die kann der dann ja von mir aus auch gerne via ›sudo -i‹ erlangen – dann aber doch bitte unter Eingabe des Administratorpassworts, und nicht des Userpassworts. Und ja, es ist eine philosophische Frage. Ich halte User für menschlich und imperfekt, aber doch insgesamt für zurechnungsfähig und nicht völlig dämlich, während es für dich nur zwei Extreme zu geben scheint: der perfekte User, der immer alles korrekt und mit den jeweils richtigen Rechten ausführt (und für den die Default-Config überhaupt kein Problem darstellt), und den unzurechnungsfähigen User, der gar nicht weiß, was er macht (und gegen den selbst größte Anstrengungen nix helfen würden, weswegen man’s ja auch gleich lassen könne). Das scheint mir an der Realität vorbeizuschrammen – da gibt es weder das eine, noch das andere Extrem. Der User, mit dem ich rechne, existiert nachgewiesenermaßen hunderttausendfach – es ist der, der u.A. ›sudo‹ vor alles malt, weil er das mal irgendwo so gelesen hat, und festgestellt hat, dass es tatsächlich viel weniger Probleme macht – und dem nicht bewusst ist, dass er so effektiv als Root arbeitet (worauf ihn der rote, fette Prompt, den er hätte, wenn er tatsächlich als Root arbeiten würde, hinwiese). Sheeva P. schrieb: > Was ist an "sudo su", "sudo su -" oder "sudo -i" schlechter als an "su"? Der Unterschied ist: für das Eine muss der User das Userpasswort eingeben, das er sowieso ’zig Mal am Tag eingibt, so dass es ihm teils schon gar nicht mehr bewusst wird; und je nach Umständen muss er dafür auch gar kein Passwort eingeben, wenn er nämlich kurz vorher in der Shell irgendwas anderes mit ›sudo‹ ausgeführt hat, und der Timer noch nicht abgelaufen ist. Für das Andere muss der User das Administratorpasswort eingeben, was eine bewusste Entscheidung erfordert, weil das eben dadurch, dass er die alltäglichen Sachen mit ›sudo‹ und dem Nutzerpasswort erledigen kann, höchst selten benötigt. Und ja: natürlich kann man ›sudo‹ auch so konfigurieren, dass bei solchen Sachen das Rootpasswort abgefragt wird – jedes Mal, ohne die Bequemlichkeitsfunktion des Timeouts. Und ja, das wäre die beste Variante. Und ja: genau das ist doch mein Punkt: nicht „su is viel toller!!k“, oder „sudo ist foll doff!“, sondern „die Defaultkonfiguration von sudo unter zunehmend vielen Systemen ist geradezu ’ne Einladung für den »überwiegend Anwender«, Fehler zu machen“ – und die „Andere Seite“ weiß das verdammt gut, und weiß es auch zu nutzen! So, zumindest von meiner Seite ist nun mehrfach alles gesagt worden – du hast mich nicht überzeugen können, dass eine Konfiguration, die nach ›sudo su‹, hier beispielhaft für destruktive Befehle, auch lange nach der Eingabe des Userpassworts (in einem ganz anderen Kontext, etwa für ein Update) ermöglicht, nicht kaputt wäre. Ich hab dich nicht überzeugen können, dass eine solche Konfiguration schlicht als kaputt anzusehen ist. Es ist nicht absehbar, dass sich das im Weiteren ändern kann → wollen wir’s hierbei belassen?
wendelsberg schrieb: > Das funktioniert auch in anderen Bereichen nicht. Nichtmal da, wo die > Leute das lernen muessen und das auch noch in einer ziemlich scharfen > Pruefung beweisen muessen. Damit gibst du mir recht, bei meiner Behauptung das es alles andere als einfach ist. > Prominentes alltaegliches Beispiel: Sieh Dich einfach im Strassenverkehr > um. > DANIEL D. schrieb: > >> Scheinbar gibt es eine 0% Toleranzgrenze was Kritik >> angeht. > > Und dann sage mal den schlimmsten Gewegparkern, dass sie falsch parken. > wendelsberg Der letzte ist dann einfach weggefahren und hat sich entschuldigt, und ich konnte meine Einfahrt benutzen und Parken. Allein die Ebene wie diskutiert wird zeigt dass es komplett sinnbefreit ist. Das ist ja alles so dermaßen schwarz und weiß, wie man mit diesem Thema umgeht, dass man die Leute überhaupt nicht ernst nehmen kann. Du könntest jetzt noch 100 Beispiele suchen, wo man auch nicht mal eben alles so einfach lernen kann, und es eben komplex und schwer ist. Nur ich bezweifle dass dort auch diese Attitüde herrscht, ich bin mir sogar verdammt sicher dass dem nicht so ist. Wenn man z.b. WIG schweißen lernen will ist es viel einfacher, es ist einfach überall das gleiche Wissen, da gibt es nicht so viele Kontroversen wie z.b. wenn man sich in eine Linux Distribution einarbeiten will. Und das ist aus logisch nachvollziehbaren Gründen so, es schweißen einfach alle auf der Welt, mehr oder weniger auf die gleiche Weise Wig. Es wird nicht laufend weiterentwickelt von kleineren Gruppen. Und am Ende genauer betrachtet, auch überhaupt ist es nicht so dermaßen umfangreich. Und genau deswegen empfinde ich es als realitätsfern, wie Leute dieses System hier darstellen. Und Leuten die sich versuchen da einzuarbeiten, zu erzählen wie einfach das doch wäre, und das sie einfach nur zu dumm oder zu Faul sind. Besonders wenn man sich die Tatsache vor Augen führt, dass einfach allgegenwärtig, zu erkennen in Millionen Internet Diskussionen, Leute daran scheiterten. Andere Gewerke, Gemeinschaften, was auch immer sind sich ihrer Komplexität bewusst, und leben nicht in einer Traumwelt.
DANIEL D. schrieb: > Und genau deswegen empfinde ich es als realitätsfern, > wie Leute dieses System hier darstellen. Und warum nörgelst Du dann an der Technik herum, wenn Dir eigentlich die Leute auf den Geist gehen, die für das System missionieren? > Und Leuten die sich versuchen da einzuarbeiten, zu > erzählen wie einfach das doch wäre, und das sie > einfach nur zu dumm oder zu Faul sind. Meiner Erfahrung nach stimmt das so nicht. Wer höflich und sachlich fragt, bekommt meistens eine zielführende Antwort, die manchmal sogar höflich ist. Was die Leute aber -- völlig zu Recht -- auf die Palme bringt, das ist die Anspruchshaltung "Ich verstehe das nicht --> das ist Scheisse und muss SOFORT geändert werden!" > Besonders wenn man sich die Tatsache vor Augen führt, > dass einfach allgegenwärtig, zu erkennen in Millionen > Internet Diskussionen, Leute daran scheiterten. Ja... und Abermillionen Schulkinder scheitern daran, Klavier oder Geige spielen zu lernen. Was beweist das jetzt? > Andere Gewerke, Gemeinschaften, was auch immer sind > sich ihrer Komplexität bewusst, und leben nicht in > einer Traumwelt. Das tun die meisten Linuxer auch nicht.
Egon D. schrieb: > Was die Leute aber -- völlig zu Recht -- auf die Palme > bringt, das ist die Anspruchshaltung "Ich verstehe das > nicht --> das ist Scheisse und muss SOFORT geändert > werden!" Eine Unterstellung deinerseinerseits, man hatte ein paar Vorschläge wie man es vielleicht verbessern könnte, und die nicht mal so geäußert als wären sie das Allheilmittel. Sorry wenn das Leute auf die Palme bringt sollten Sie mal zum Psychologen gehen. Und wie es in den Wald hineinruft so schallt es auch wieder hinaus, wenn bei der kleinsten Kritik herum geheult wird, und jeder und alles als dumm und unfähig und unwillig deklariert wird, dann habe ich sogar Spaß daran solchen einseitigen Charakteren, ihre sinnlose Weltanschauung vor zu kauen und mich darüber lustig zu machen. Warum sollte ich denn jetzt auf einmal irgendwelche neu Interpretationen meiner Worte ernst nehmen.
DANIEL D. schrieb: > Egon D. schrieb: >> Was die Leute aber -- völlig zu Recht -- auf die Palme >> bringt, das ist die Anspruchshaltung "Ich verstehe das >> nicht --> das ist Scheisse und muss SOFORT geändert >> werden!" > > Eine Unterstellung deinerseinerseits, Nein -- eine Erfahrung. > man hatte ein paar Vorschläge wie man es vielleicht > verbessern könnte, und die nicht mal so geäußert als > wären sie das Allheilmittel. > > Sorry wenn das Leute auf die Palme bringt sollten Sie > mal zum Psychologen gehen. Jaja... Du hast nur ganz ruhig und sachlich ein paar Vorschläge gemacht, und daraufhin bist Du völlig ohne Anlass auf das übelste beschimpft worden... :) > Und wie es in den Wald hineinruft so schallt es auch > wieder hinaus, wenn bei der kleinsten Kritik herum > geheult wird, und jeder und alles als dumm und unfähig > und unwillig deklariert wird, dann habe ich sogar Spaß > daran solchen einseitigen Charakteren, ihre sinnlose > Weltanschauung vor zu kauen und mich darüber lustig zu > machen. > > Warum sollte ich denn jetzt auf einmal irgendwelche neu > Interpretationen meiner Worte ernst nehmen. Vielleicht deshalb, weil Du im Abschnitt darüber selbst ausdrücklich bestätigst, dass es Dir nicht um Sachfragen geht, sondern nur ums Stänkern?
Herrlich. Jetzt vergleichen wir schon Schweißen mit Linux. Es ist wie RTL-gucken. Faszination, wie am Affengehege.
> Jetzt vergleichen wir schon Schweißen mit Linux.
Linux kann man lernen. Schweissen nicht, das ist Kunst, entweder man
kanns oder nicht.
Egon D. schrieb: > Vielleicht deshalb, weil Du im Abschnitt darüber selbst > ausdrücklich bestätigst, dass es Dir nicht um Sachfragen > geht, sondern nur ums Stänkern? Klar geht es mittlerweile darum, wenn in 4 von 5 Antowrten Aussagen neu interpretiert werden, um einem irgendwas in dem Mund zu Legen, und das als fadenscheine Grundlage zu nehmen, um Verbesserungsvorschläge und Kritik damit zu neutralisieren seinen gegenüber als dumm oder unwillig zu diffamieren,dann ist das eindeutig der bessere weg, diesen Leuten ihr Verhalten aufzuzeigen. Ich kann mich noch an einen Artikel erinnern wo Linus Torvald gesagt hat das der Umgang der Linux Entwickler untereinander sehr schlecht wäre, und das dies ein Problem sei wo man in Zukunft dran arbeiten müsse. So wie ich das verstanden haben, war es wohl üblich bei denen sich gegenseitig in Diskussionen/Foren fertig zu machen. Ich persönlich würde mir halt nicht besser vorkommen, wenn ich versuchen würde mein Ego damit zu verbessern, in dem ich versuche andere schlechter dastehen zu lassen. Dadurch habe ich viele Freunde die Dinge können welche ich nicht kann, und umgekehrt.
DANIEL D. schrieb: > Ich kann mich noch an einen Artikel erinnern wo Linus Torvald gesagt hat > das der Umgang der Linux Entwickler untereinander sehr schlecht wäre, Dass Torvalds den Umgang unter den Entwicklern bemängelt, ist ja schon Realsatire an sich. Falls du nicht verstehst warum das Realsatire ist, dann lese mal die Flamewars von Torvalds zwischen 1991 und 2015.
MaWin schrieb: > Falls du nicht verstehst warum das Realsatire ist, dann lese mal die > Flamewars von Torvalds zwischen 1991 und 2015. Da es etwas länger her war, habe ich das sogar eben nochmal grob nachgelesen. Und ja scheinbar ging es wohl auch darum dass er die Anderen fertig macht. Bzw nicht so der sachliche Typ ist oder sowas.
MaWin schrieb: > Falls du nicht verstehst warum das Realsatire ist, dann lese mal die > Flamewars von Torvalds zwischen 1991 und 2015. Ehrenmann! (wie die jungen Leute heute sagen)
2014: "Er sei aber großartig darin, Anwender und Entwickler mit seinem Umgangston abzuschrecken." https://www.golem.de/news/linus-torvalds-mein-ton-schreckt-menschen-ab-1410-109927.html 2018 ist er deshalb eine Weile in sich gegangen. https://www.zdnet.de/88342341/linus-torvalds-nimmt-auszeit-und-stellt-arbeit-an-linux-kernel-ein/
:
Bearbeitet durch User
DANIEL D. schrieb: > Da es etwas länger her war, habe ich das sogar eben nochmal grob > nachgelesen. Und ja scheinbar ging es wohl auch darum dass er die > Anderen fertig macht. Bzw nicht so der sachliche Typ ist oder sowas. Doch da geht es schon um die Sache, Linus wird nicht aus Vergnügen so drastisch mit seiner Wortwahl. Da hat wohl jemanden den erst deb Load balancer/kernel als buggy bezeichnet so dass Linus mal selber sich den C-Compiler anschaute und dort die eigentliche Ursache für den Bockmist fand und so bewiesen das (sein) Linux-Kernel völlig zu Unrecht verdächtigt wurde. Da hat halt einer seine Hausaufgaben gemacht und wollte dafür Linus an den Pranger stellen: https://www.heise.de/developer/meldung/Linus-Torvalds-wettert-gegen-Compiler-Collection-GCC-4-9-2268920.html Zitat: "Nachdem Entwickler auf der Mailing-Liste des Linux-Kernels über Fehlverhalten in einer Load-Balancer-Funktion für die kommende Kernel-Version 3.16 informierten, warf Linus Torvalds selbst einen genaueren Blick auf die verfügbaren Daten. Denen ließ sich entnehmen, dass der verwendete Compiler (GCC 4.9) den Fehler verursachte, ... Die Compiler Collection des GNU-Projekts sei in der aktuellen Version "kompletter Mist" und scheine "unreparierbar kaputt", da sie beim Spilling einige, seiner Meinung nach sehr dumme, Fehler verursache. ... Trotz den Vergleichen mit auf den Kopf gefallenen Faultieren half Torvalds im Anschluss aber doch, die Mängel zu beheben. "
(prx) A. K. schrieb: > 2014: "Er sei aber großartig darin, Anwender und Entwickler mit seinem > Umgangston abzuschrecken." > https://www.golem.de/news/linus-torvalds-mein-ton-schreckt-menschen-ab-1410-109927.html Das spannende Zitat in diesem Text ist aber ein anderes: "Wenn technisch orientierte Menschen mit starken Meinungen und einem ebenso starken Willen etwas technisch Überlegenes zustandebringen wollten, würden sie oft eine starke Sprache nutzen, um ihren Standpunkt zu verteidigen, sagte Torvalds." Das interpretiere ich so: "Wenn sich jemand nicht durch technisch sachliche Argumente überzeugen lässt, dann muß man eben den Umgangston verschärfen um ihn davon abzuhalten, seinen, technisch betrachtet, 'madigen' Vorschlag umzusetzen." Oder wie man es in manchen Landesteilen auszudrücken pflegt, "Den selbst fabrizierten Scheiß rechts und link um die Ohren schlagen, bis er es endlich kapiert."
Fpgakuechle K. schrieb: > Das interpretiere ich so: Leider hast du gar keine Ahnung von den früheren Flamewars des Linus Torvalds. Lies sie halt einmal und bilde dir eine Meinung aus erster Instanz. Linus Meinung war immer auf technischen Fakten basiert. Und ja, es sind die früheren Flamewars. Mittlerweile hält er sich deutlich zurück, weil er von seiner Tochter zurückgepfiffen wurde. Ob das die Situation in der Community jetzt verbessert, mag jeder selbst bewerten.
MaWin schrieb: > Fpgakuechle K. schrieb: >> Das interpretiere ich so: > > Leider hast du gar keine Ahnung von den früheren Flamewars des Linus > Torvalds. Du hast keine Ahnung, wovon ich Ahnung habe. > Lies sie halt einmal und bilde dir eine Meinung aus erster Instanz. Hab ich doch. > Linus Meinung war immer auf technischen Fakten basiert. Ganz man Reden: "Doch da geht es schon um die Sache, Linus wird nicht aus Vergnügen so drastisch mit seiner Wortwahl." Auch bei dem Referenziertem: " Ok, so I'm looking at the code generation and your compiler is pure and utter shit. Adding Jakub to the cc, because gcc-4.9.0 seems to be terminally broken. Lookie here, your compiler does some absolutely insane things with the spilling, including spilling a constant. For chrissake, that compiler shouldn't have been allowed to graduate from kindergarten. We're talking "sloth that was dropped on the head as a baby" level retardation levels Natürlich muß man wissen, das 'spilling a constant' ein Sachargument ist. Es ist halt so, das Assemblerprogrammierer schon mal Wutausbrüche bekommen, wenn sie sich anschauen welchen suboptimalen Code ein C-Compiler generiert. Genau das ist mit Linus passiert. https://news.ycombinator.com/item?id=8089321
Fpgakuechle K. schrieb: > Ganz man Reden: Ok. Ich habe denen Text anders verstanden, dass Torvalds Vorschläge technisch madig seien.
MaWin schrieb: > Fpgakuechle K. schrieb: >> Ganz man Reden: > > Ok. Ich habe denen Text anders verstanden, dass Torvalds Vorschläge > technisch madig seien. Stimmt, in meinen Text kann man schon verwechseln wer gegen wessen (madige) Vorschläge argumentiert. Ich finde es verständlich, das der Puls von Linus in die Höhe schnellte, als ihm klar wurde, das der Compiler buggy arbeitet und so auf die Ergebnisse des Compilers kein Verlass ist. Aber üblicherweise wird immer allein dem Source-Autor der Bug-report zugeschoben und nicht dem Compilerbauer oder dem makefile-script-kiddie.
DANIEL D. schrieb: > Egon D. schrieb: >> Vielleicht deshalb, weil Du im Abschnitt darüber selbst >> ausdrücklich bestätigst, dass es Dir nicht um Sachfragen >> geht, sondern nur ums Stänkern? > > Klar geht es mittlerweile darum, So klar war mir das bisher nicht. > wenn in 4 von 5 Antowrten Aussagen neu interpretiert > werden, um einem irgendwas in dem Mund zu Legen, und > das als fadenscheine Grundlage zu nehmen, um > Verbesserungsvorschläge und Kritik damit zu neutralisieren > seinen gegenüber als dumm oder unwillig zu diffamieren, Ahh ja. Verstehe ich Dich richtig: Wenn Du uns vorwirfst, wir würden "neu interpretieren", "in den Mund legen", etwas als "fadenscheinige Grundlage nehmen" und "diffamieren", dann ist das eine ganz sachliche Feststellung und die reine Wahrheit. Wenn wir aber dasselbe Dir vorwerfen, sind es perfide Unterstellungen. Ist das korrekt wiedergegeben? > dann ist das eindeutig der bessere weg, diesen Leuten ihr > Verhalten aufzuzeigen. Das wage ich zu bezweifeln. Die einzige Wirkung ist nämlich, dass "diese Leute" dann ganz schnell zu der Schlussfolgerung gelangen "Das ist ein Idiot, mit dem man nicht sachlich diskutieren kann." Du solltest nämlich eins bedenken: Hier im Forum bist Du das, was Du schreibst. Die anderen Teilnehmer -- Deine Leser -- haben und kennen nichts anderes von Dir als eben die Beiträge, die Du verfasst hast. > Ich kann mich noch an einen Artikel erinnern wo Linus > Torvald gesagt hat das der Umgang der Linux Entwickler > untereinander sehr schlecht wäre, Das mag sein -- aber das hat ÜBERHAUPT nichts mit dem Thema zu tun. > Ich persönlich würde mir halt nicht besser vorkommen, > wenn ich versuchen würde mein Ego damit zu verbessern, > in dem ich versuche andere schlechter dastehen zu > lassen. Das hast Dir gegenüber auch niemand getan. > Dadurch habe ich viele Freunde die Dinge können welche > ich nicht kann, und umgekehrt. Das Problem ist nicht, dass Du keine Ahnung hast. (Meine eigene Ahnung von Linux hält sich auch in relativ engen Grenzen.) Das Problem ist, dass Du in diese Diskussion eingestiegen bist, abseitige Vorschläge gemacht hast, ohne Ahnung von der Sache zu haben -- und die Schuld für Deine Ablehnung bei den "arroganten Nerds" suchst. So wird das aber nix. Das führt zu nichts. Linux ist ein gigantisches weltweites Projekt, bei dem technische Fragen der Software-Entwicklung, anwendungs- bezogene Fragen und Fragen der Zusammenarbeit eine Rolle spielen. Von IRGEND einem dieser Themen sollte man schon Ahnung haben, wenn man mitreden will.
Egon D. schrieb: > Was die Leute aber -- völlig zu Recht -- auf die Palme > bringt, das ist die Anspruchshaltung "Ich verstehe das > nicht --> das ist Scheisse und muss SOFORT geändert > werden!" Fangen wir doch einfach mal damit an, dass du irgendein Zitat von mir raus suchst, was dieser Behauptung entspricht.
DANIEL D. schrieb: > Fangen wir doch einfach mal damit an, dass du irgendein Zitat von mir > raus suchst, was dieser Behauptung entspricht. Ich fände angesichts der Threadlänge 'aufhören' statt nochmal 'anfangen' zielführender.
Egon D. schrieb: > Das Problem ist, dass Du in diese Diskussion eingestiegen > bist, abseitige Vorschläge gemacht hast, ohne Ahnung von > der Sache zu haben -- und die Schuld für Deine Ablehnung > bei den "arroganten Nerds" suchst. Naja also ich habe das System schon einige Jahre benutzt. Ich habe sogar geschafft ein Shell-Script welches die Squeeze PlugPlayer Software, auf einem Raspberry Pi startet für meinen Ubuntu System anzupassen. Ich habe auch openhab in Betrieb genommen, die SMB config bearbeitet, und mit mySQL und Apache herumgespielt, um eine sinnlose interne Webseite zu bauen welche auf die internen Netzwerkteilnehmer verlinkt, und auf die von mir am liebsten besuchten Webseiten. Habe zoneminder zum laufen bekommen, Festplatten konfiguriert dass sie sich von alleine abschalten usw. Bei einige Dinge war ich zu blöd z.b. die nextcloud zu installieren dass sie funktioniert. Und noch einige Programme mehr habe ich genutzt. Naja auf jeden Fall habe ich mich auch mit diesem System beschäftigt, nichtsdestotrotz habe ich immer noch das Gefühl, dass ich keine Ahnung habe was es genau macht, und einfach noch verdammt viel unklar ist und so weiter. Und wenn man mir nicht andauernd versuchen würde irgendwas in den Mund zu legen was ich nie gesagt habe, dass ich irgendwie Leute provoziert habe mit schwachsinniger Kritik? Müsste man sich auch nicht mit so einem ahnungslosen wie mir herum ärgern. Die meiste Software welche ich verwendet habe funktioniert auf Windows gleichermaßen. Na ja so abseitig können meine Vorschläge auch nicht gewesen sein, der eine oder andere hat ja durchaus Potenzial gesehen, das es dieses System pragmatische und einfacher machen würde. Also wenn ich etwas beurteilen kann, dann ist es eindeutig den Aufwand für einen Ahnungslosen mich, sich in das System einzuarbeiten. Und dementsprechend erlaube ich mir da auch ein Urteil.
DANIEL D. schrieb: > Egon D. schrieb: >> Was die Leute aber -- völlig zu Recht -- auf die Palme >> bringt, das ist die Anspruchshaltung "Ich verstehe das >> nicht --> das ist Scheisse und muss SOFORT geändert >> werden!" > > Fangen wir doch einfach mal damit an, dass du irgendein > Zitat von mir raus suchst, was dieser Behauptung entspricht. Gegenvorschlag: Du versuchst mal, nicht jede Aussage von mir als Angriff auf Deine Person aufzufassen.
Fpgakuechle K. schrieb: > DANIEL D. schrieb: > >> Fangen wir doch einfach mal damit an, dass du >> irgendein Zitat von mir raus suchst, was dieser >> Behauptung entspricht. > > Ich fände angesichts der Threadlänge 'aufhören' > statt nochmal 'anfangen' zielführender. Dein Diskussionsbeitrag in einem Diskussionsforum ist tatsächlich der, dass man endlich mit dem diskutieren aufhören sollte?
Egon D. schrieb: > Gegenvorschlag: Du versuchst mal, nicht jede Aussage von > mir als Angriff auf Deine Person aufzufassen. Naja also angegriffen fühle ich mich nicht, in deinem Fall nur Missverstanden. Ich finde auch nicht das Linux schlecht ist, durch Linux habe ich überhaupt erst gelernt was Dateirechte sind, das hat mir persönlich dann sogar Windows verständlicher gemacht. Ich finde es halt nur sonderbar das die meine Kernaussage, das System ist Komplex und nicht einfach zu beherrschen, mit teilweise sehr fragwürdigen Interpretationen meiner Texte versucht wird zu zerreden. Einigen wir uns doch darauf, das es ein Komplexes System ist, dadurch das es sehr umfangreich ist, und laufender Veränderung unterliegt. Und ich dafür nicht die Kompetenz habe zu beurteilen, ob das ganze auch einfacher, überschaubarer und pragmatischer gehen würde? Ist das nicht ein Angebot?
DANIEL D. schrieb: > Egon D. schrieb: >> Das Problem ist, dass Du in diese Diskussion eingestiegen >> bist, abseitige Vorschläge gemacht hast, ohne Ahnung von >> der Sache zu haben -- und die Schuld für Deine Ablehnung >> bei den "arroganten Nerds" suchst. > > Naja also ich habe das System schon einige Jahre benutzt. Okay. Um so besser. Das macht Dir ja auch niemand madig. > Naja auf jeden Fall habe ich mich auch mit diesem System > beschäftigt, nichtsdestotrotz habe ich immer noch das > Gefühl, dass ich keine Ahnung habe was es genau macht, > und einfach noch verdammt viel unklar ist und so weiter. Das verstehe ich; das geht mir ähnlich. > Und wenn man mir nicht andauernd versuchen würde > irgendwas in den Mund zu legen was ich nie gesagt > habe, dass ich irgendwie Leute provoziert habe mit > schwachsinniger Kritik? Bei allem Respekt -- aber bei den Sprüchen über Gladiatorenkämpfe habe ich mich schon gefragt, ob der Verfasser alle Latten am Zaun hat, wie man so sagt. > Also wenn ich etwas beurteilen kann, dann ist es > eindeutig den Aufwand für einen Ahnungslosen mich, > sich in das System einzuarbeiten. Und dementsprechend > erlaube ich mir da auch ein Urteil. So. Und weisst Du, was jetzt lustig ist? Ich gebe Dir Recht. Das war aber der einfache Teil des Problems -- der schwierige kommt jetzt: Warum ist die Situation so, wie sie ist?
Egon D. schrieb: > Das war aber der einfache Teil des Problems -- der > schwierige kommt jetzt: Warum ist die Situation so, wie > sie ist? Also ich bin Handwerker baue Zutrittskontrolle, Einbruchmelde, Netzwerk, Kameras, ZK, BMA, Service Wartung etc und noch einige Dinge wenn ich es nicht schaffe mich davor zu Drücken. Naja auf jedenfall ist es so das es gewisse firmeninterne Standards gibt wie Anlagen gebaut werden, nichts desto Trotz habe ich Kollegen denen es wichtiger ist zu machen was sie wollen, da werden dann irgendwelche LEDs in die EMA eingelötet, und eine Fernwartung beim W-lan eingerichtet, bei Kunden welche die Aussage tätigen, "hängen sie die Dinger nur auf schreiben Passwort und IP Adresse auf, und den Rest macht mein IT-ler". Also ein Aspekt ist das es vermutlich einigen egal ist, wie die Handhabung für andere ist, und sie einfach das machen was sie wollen. Einen 2 Aspekt welchen ich vermute ist einfach das Management. Es ist halt so das ein guter Manager gewisse dinge weiß welche der Entwickler nicht weiß. Z.B werden unfähige Leute auf Positionen befördert wo sie keinerlei Verantwortung mehr haben. Ich denke das bei so Projekten grundsätzlich Leute mit wissen im Bereich der Entwicklung tätig sind. Dann vermute ich noch das es vielleicht auch nicht mit einem Arbeitgeber vergleichbar ist, wo z.B eine Struktur vorgegeben wird, und sich alle daran halten müssen, ich könnte mir vorstellen das viel mehr Freiheit herrscht und das grade die Menschen ausnutzen welche ihre eigenen wünsche, über das gesamte stellen. Sprich jeder erwartet Anpassung von dem anderen, ohne sich anpassen zu wollen. Aber da ich noch nicht bei einem Open Source Projekt mitgewirkt habe, kann ich wirklich nur Mutmaßungen anstellen. Und sich meine Programmierkenntnisse auf Webinhalte in Abhängigkeit von Datenbank-Inhalt anzeigen, und ein Blinklicht mit Atmega8 zu Programmieren, bezweifle das sich das auch in nächster zeit ändern wird. Und wie gesagt ich könnte mir vorstellen das direkter Konkurrenzkampf die Situation verbessert. Sprich das halt klar ist wer der bessere ist, was das bessere ist. Wenn ich im Sportverein den Kürzeren ziehe, ist es Klar wer die bessere Technik hatte, oder was auch immer besser gemacht hat. Ich hatte halt die Hoffnung das man dies auch auf die Open Source gemeinde irgendwie übertragen kann, sowas schafft halt eine klare Hierarchie unabhängig von persönlichen Sympathien, und anderen Aspekten die dem Gesamtergebnis am ende nur schaden.
Egon D. schrieb: > Fpgakuechle K. schrieb: > >> DANIEL D. schrieb: >> >>> Fangen wir doch einfach mal damit an, dass du >>> irgendein Zitat von mir raus suchst, was dieser >>> Behauptung entspricht. >> >> Ich fände angesichts der Threadlänge 'aufhören' >> statt nochmal 'anfangen' zielführender. > > Dein Diskussionsbeitrag in einem Diskussionsforum > ist tatsächlich der, dass man endlich mit dem > diskutieren aufhören sollte? Ja, weil Ziel jeder Diskussion ist, diese (mit einem Ergebnis) abzuschließen. Auch 'Ergebnis-offen' heisst in diesem Kontext nicht, ohne Ergebnis, endlos weiterdiksutieren und immer wieder neu anfangen.
DANIEL D. schrieb: > Ich finde es halt nur sonderbar das die meine Kernaussage, > das System ist Komplex und nicht einfach zu beherrschen, > mit teilweise sehr fragwürdigen Interpretationen meiner > Texte versucht wird zu zerreden. Nun ja... ich fand, dass diese Kernaussage nicht so ganz leicht zu entdecken war in Deinen Texten. :) > Einigen wir uns doch darauf, das es ein Komplexes System > ist, dadurch das es sehr umfangreich ist, und laufender > Veränderung unterliegt. Selbstverständlich. Kann man sofort unterscheiben. > Und ich dafür nicht die Kompetenz habe zu beurteilen, > ob das ganze auch einfacher, überschaubarer und > pragmatischer gehen würde? Nur nicht so schüchtern :) Vom Standpunkt des technisch interessierten Anwenders aus würde ich sagen: Die allerersten Schritte sind nicht so sehr schwierig, dafür gibt es zahlreiche Anleitungen -- aber sobald man ETWAS tiefer einsteigen möchte, wird es schnell nervtötend. Das Urteil ist leicht gesprochen -- viel spannender aber ist die Frage: Warum ist das so, und wie geht es besser?
Sorry für die schlechte Rechtsreibung und Grammatik, ich muss mir unbedingt angewöhnen genauer Korrektur zu lesen.
Fpgakuechle K. schrieb: >> Dein Diskussionsbeitrag in einem Diskussionsforum >> ist tatsächlich der, dass man endlich mit dem >> diskutieren aufhören sollte? > > Ja, weil Ziel jeder Diskussion ist, diese (mit > einem Ergebnis) abzuschließen. Soweit kann ich zustimmen. > Auch 'Ergebnis-offen' heisst in diesem Kontext > nicht, ohne Ergebnis, endlos weiterdiksutieren > und immer wieder neu anfangen. Und DU kannst verbindlich beurteilen, dass ICH kein Ergebnis in solchen Diskussionen erziele?
Egon D. schrieb: > Und DU kannst verbindlich beurteilen, dass ICH kein > Ergebnis in solchen Diskussionen erziele? Naja, das man hier jeden Beitrag benutzt, um eine neue Diskussions-Front zu eröffnen, verweisst deutlich auf eine Diskussions-(Un)-Kultur a la "vom Hundersten ins Tausendste" und "Hört sich gerne selber reden". Bei einer ernsthaften Diskussion gehts um die Sache, nicht um die Personen. Aber hier werden ja offensichtlich die Personalpronomen ganz groß geschrieben.
DANIEL D. schrieb: > Und wie gesagt ich könnte mir vorstellen das direkter Konkurrenzkampf > die Situation verbessert. Sprich das halt klar ist wer der bessere ist, > was das bessere ist. Wenn ich im Sportverein den Kürzeren ziehe, ist es > Klar wer die bessere Technik hatte, oder was auch immer besser gemacht > hat. Der eine läuft 100m in 10s und der andere 42km in 2:20h. Ganz klar, wer die bessere Technik hat? DANIEL D. schrieb: > Ich hatte halt die Hoffnung das man dies auch auf die Open Source > gemeinde irgendwie übertragen kann, sowas schafft halt eine klare > Hierarchie unabhängig von persönlichen Sympathien, und anderen Aspekten > die dem Gesamtergebnis am ende nur schaden. Und wie verhindert das, dass Menschen neue Projekte starten / alte Projekte forken und verändern / Dinge anders machen? Wie bringt es Menschen dazu, Dokumentation zu schreiben, alte Dokumentation zu überarbeiten oder ganz zu löschen? Zumal der direkte Konkurrenzkampf längst läuft. Es gibt kaum zählbar viele Projekte, die entweder ungefähr einen Entwickler und zwei User haben, weil es viele, viele andere Wege zum Ziel gibt. Und es gibt auch kaum zählbar viele Projekte, die keinen Entwickler mehr haben. Beide Sorten von Projekten sterben irgendwann mehr oder weniger leise aus. MfG, Arno
Arno schrieb: > Der eine läuft 100m in 10s und der andere 42km in 2:20h. Ganz klar, wer > die bessere Technik hat? Na ja es gibt sicher Beispiele wo es überhaupt keinen Sinn ergibt Konkurrenzkampf zu etablieren. Besonders wenn beides seine Berechtigung hat. Arno schrieb: > Und wie verhindert das, dass Menschen neue Projekte starten / alte > Projekte forken und verändern / Dinge anders machen? Wie bringt es > Menschen dazu, Dokumentation zu schreiben, alte Dokumentation zu > überarbeiten oder ganz zu löschen? Grundsätzlich wäre es kontraproduktiv irgendwas zu erzwingen oder zu verbieten. Einzig und allein sinnvoll ist es Anreize zu schaffen, und Strukturen zu etablieren, welche genau die Projekte fördern welche gut zu warten, und von einer großen Gruppe gepflegt werden können. Also wie gesagt man darf das ja nicht komplett schwarz-weiß betrachten, aber mit guter Organisation kann man extrem viel erreichen. Wenn es zwei drei Kleinigkeiten verbessert war es ja schon mal nicht umsonst. Und die meisten Menschen mögen es wenn es Strukturen gibt nach denen sie sich richten können. Das reduziert Streit und Diskussionen gerade da wo sie überflüssig sind. Und so bleibt dann mehr Zeit für das Wesentliche. Naja aber im Prinzip ziemlich sinnlos was ich hier so sage, weil ich ja wie gesagt nicht genau weiß wie das so abläuft bei so Projekten. Deswegen möchte ich jetzt auch nicht unterstellen dass man an sowas nicht denken würde. Und es ist mir durchaus klar, dass man nicht einfach alle möglichen Leute, mit allen möglichen Fähigkeiten aus den Fingern saugen kann, welche ein Projekt starten. Aber falls sich darüber noch nie einer Gedanken gemacht hat, würde ich da schon Verbesserungspotential sehen. Vielleicht reicht es ja dann schon wenn einer der Entscheidungsträger ein Buch abseits der Informatik liest.
Jack V. schrieb: > Sheeva P. schrieb: >> Wenn ich das richtig sehe, beziehen sich Deine Rants ausschließlich >> darauf, daß der Paßwort-Timeout gesetzt ist. > > Das, und darauf, dass ›sudo‹ gleich alles zulässt – statt den User auf > die Sachen einzuschränken, für die ein User höhere Rechte benötigen > könnte. Welche Sachen wären denn das? Mach' doch einfach mal eine Konfigurationsdatei mit den entsprechenden Kommandos für /etc/suders.d/, dann können wir uns das gern mal gemeinsam anschauen. > Und ja, es ist eine philosophische Frage. Ich halte User für menschlich > und imperfekt, aber doch insgesamt für zurechnungsfähig und nicht völlig > dämlich, In diesem Zusammenhang gibt es nur zwei Arten von Benutzern: die, die mit sudo(1) umgehen können und wissen, was sie tun, und jene, die Du beschreibst als: > Der User, mit dem ich rechne, existiert nachgewiesenermaßen > hunderttausendfach – es ist der, der u.A. ›sudo‹ vor alles malt, Den Nachweis hätte ich gerne gesehen, aber selbst wenn es ihn geben sollte: die Ignoranz dieser Leute ist kein technisches Problem und kann daher auch nicht mit technischen Mitteln behoben werden. Wenn Du sudo(1) einschränkst, nutzen sie halt su(1) -- und ein roter Prompt ist denen ohnehin vollkommen gleichgültig. Letzten Endes spielt es aus Sicherheitssicht überhaupt keine Rolle, ob ein Nutzer ständig sudo(1) vor alles schreibt oder gleich mit su(1) eine Rootshell startet. Es ist haargenau dasselbe -- vermutlich ist die Rootshell sogar noch gefährlicher. Mir ist auch Dein Beharren auf dem Root-Paßwort unverständlich, und -- wie ich schon mehrmals gesagt und Du ebenso gekonnt wie geflissentlich ignoriert hast -- halte ich Root-Paßwörter ohnehin für ein grundsätzliches Sicherheitsproblem. Denn der Benutzer "root" ist bekannt, so daß ein Angreifer nur noch das Paßwort knacken muß, um vollen administrativen Zugang zum System zu erhalten. Wenn es kein Root-Paßwort gibt, dann kann ein Angreifer es auch nicht angreifen -- beziehungsweise: er kann es versuchen, wird sich daran aber die Zähne ausbeißen und ist hoffentlich schön beschäftigt. Das Root-Paßwort wird zudem ein noch größeres Problem, weil Leute, die sudo(1) nicht lernen wolle, ganz sicher auch in der sshd-Konfigurationen das PermitRootLogin nicht abschalten und die PasswordAuthentication ebenfalls nicht. Da kannst Du gleich eine nette Datei "welcome-hacker.txt" mit warmen Willkommensgrüßen ins Rootdir legen, die ASCII-Art aber bitte nicht vergessen! :-) > Und ja: natürlich kann man ›sudo‹ auch so konfigurieren, dass bei > solchen Sachen das Rootpasswort abgefragt wird – jedes Mal, ohne die > Bequemlichkeitsfunktion des Timeouts. > Und ja, das wäre die beste Variante. Nein, wäre es nicht. Denn dann hast Du nicht nur ein Root-Paßwort angelegt, das anfällig für Dictionary- und BruteForce-Angriffe ist, Sicherheitsgewinn: -100. Und dann zwingst Du den Anwender auch noch dazu, das Paßwort alle naselang immer wieder einzugeben, was den dann in kürzester Zeit so sehr nervt, daß er sich ein besonders kurzes und schnell einzugebendes, vuldo: schwaches Root-Paßwort setzt, sowas wie "qwer" oder "asdf". Sicherheitsgewinn: -100000. Schau, der Timeout von sudo(1) hat einen tieferen Sinn -- nämlich, daß Benutzer eben NICHT ständig und immer wieder mit der Eingabe eines Paßwortes genervt werden, DAMIT sie eben NICHT in Versuchung geführt werden, schwache Paßworte zu benutzen. Weil die nämlich der sicherheitstechnische Super-GAU sind! Im Endeffekt geht es bei IT-Sicherheit auch um Psychologie. Wenn Du Deine Benutzter damit zu sehr nervst, dann werden sie sich Mittel und Wege suchen, Deine Maßnahmen zu umgehen, und Deine Maßnahmen werden nutzlos. Schlimmer noch: im Zweifelsfall ist das, was die Benutzer dann zur Umgehung Deiner Maßnahmen machen, die Sicherheit des Systems sogar in weit höherem Maße gewährden, etwa mit schwachen Paßworten. > So, zumindest von meiner Seite ist nun mehrfach alles gesagt worden Ja, das stimmt. Im Grunde genommen sagst Du immer dasselbe, gehst mit keinem Wort auf meine Argumente ein und lieferst auch nicht die Belege für Deine Behauptungen, um die ich Dich gebeten habe. Darum ist... > Es ist nicht absehbar, dass sich das im Weiteren ändern kann → > wollen wir’s hierbei belassen? ...das wohl das Beste.
Egon D. schrieb: > DANIEL D. schrieb: >> Egon D. schrieb: >>> Vielleicht deshalb, weil Du im Abschnitt darüber selbst >>> ausdrücklich bestätigst, dass es Dir nicht um Sachfragen >>> geht, sondern nur ums Stänkern? >> >> Klar geht es mittlerweile darum, > > So klar war mir das bisher nicht. Entschuldige bitte, Egon, aber ich fürchte, Du verschwendest Deine Zeit. Der Herr hat von vorneherein klar gemacht, daß er keine Ahnung hat, aber trotzdem alles besser weiß, vor allem, wie die dummen Linux-Leute es richtig machen würden, um einen höheren Desktop-Marktanteil zu erlangen. (Ob die das auch wollen, ist eine andere Geschichte und soll ein andermal erzählt werden...) Sein erster Vorschlag war, die Desktops zusammenzulegen und dazu idealerweise eine große Prügelei zu veranstalten. Mal abgesehen davon, daß ich mir nicht vorstellen kann, daß eine Prügelei unter pickeligen, blassen Nerds besonders amüsant wäre, ist dieses Ansinnen inkonsistent mit seiner später getätigten Aussage, daß ein "fairer Konkurrenzkampf erst richtig gute Innovationen und Qualität zustande bringt". Mit einem Sekundenbruchteil des Nachdenkens wäre er sicher selbst darauf gekommen, daß sich die verschiedenen Desktops haargenau das liefern: einen fairen Konkurrenzkampf, der für richtig gute Innovationen und Qualität sorgt. Auch sonst läßt schon die Form seiner vor Rechtschreib- und Grammatikfehlern nur so strotzenden Beiträge gewisse Rückschlüsse auf einen gravierenden Mangel an Respekt vor den Menschen zu, die seine "Beiträge" lesen.
Sheeva P. schrieb: > Entschuldige bitte, Egon, aber ich fürchte, Du verschwendest Deine Zeit. > Der Herr hat von vorneherein klar gemacht, daß er keine Ahnung hat, aber > trotzdem alles besser weiß, vor allem, wie die dummen Linux-Leute es > richtig machen würden, um einen höheren Desktop-Marktanteil zu erlangen. > (Ob die das auch wollen, ist eine andere Geschichte und soll ein > andermal erzählt werden...) Also du solltest mal aufhören immer alles in nur in Extremen zu betrachten, die Wahrheit liegt naturgemäß immer irgendwo dazwischen. Wenn du das auch mal akzeptieren könntest, bei den Anderen also nicht nur bei mir, wären die Diskussionen deutlich gewinnbringender für beide Seiten. Sheeva P. schrieb: > Sein erster Vorschlag war, die Desktops zusammenzulegen und dazu > idealerweise eine große Prügelei zu veranstalten. Mal abgesehen davon, > daß ich mir nicht vorstellen kann, daß eine Prügelei unter pickeligen, > blassen Nerds besonders amüsant wäre, ist dieses Ansinnen inkonsistent > mit seiner später getätigten Aussage, daß ein "fairer Konkurrenzkampf > erst richtig gute Innovationen und Qualität zustande bringt". Mit einem > Sekundenbruchteil des Nachdenkens wäre er sicher selbst darauf gekommen, > daß sich die verschiedenen Desktops haargenau das liefern: einen fairen > Konkurrenzkampf, der für richtig gute Innovationen und Qualität sorgt. Linus Torvalds hätte diese Idee früher sicher sehr gut gefallen. Was die Texte angeht ich gelobe Besserung, aber es gibt halt Menschen die nicht intuitiv richtig schreiben können, und sich alles immer mit Regeln herleiten müssen. Aber Übung mach den Meister.
DANIEL D. schrieb: > Also du solltest mal aufhören immer alles in nur in Extremen zu > betrachten Das ist lustig, weil Sheeva hier der Großajatollah des Linux ist. Da gibt es nur Extreme und Fanatismus. Und Häme und Spott für jeden der anderer Meinung ist.
Was Sicher ist, und was nicht, hängt immer vom eigenen Threat Model ab: https://en.wikipedia.org/wiki/Threat_model Sheeva P. schrieb: > Denn der Benutzer "root" ist > bekannt, so daß ein Angreifer nur noch das Paßwort knacken muß, um > vollen administrativen Zugang zum System zu erhalten. Wenn es kein > Root-Paßwort gibt, dann kann ein Angreifer es auch nicht angreifen Dein Threat-model beinhaltet also: * Logins auf Benutzer mit typischem Namen (root, pi, etc.) werden häufig versucht. * Gute Passwörter vergeben ist schwer Und deine Konsequenzen daraus sind: * Solche Accounts sperren * Login als Root per sudo von berechtigten Benutzern aus * Eventuell die Verwendung noch weiter einschränken (User X nur Befehl Y) Die Massnahmen sind durchaus angebracht bei diesem Threat Model, aber es hat halt nicht jeder dieses Threat Model. Mein Threat Model für meine eigenen privaten PCs ist: * Auf dem Desktop sind User Accounts am anfälligsten für Viren * Ein infizierter User Account könnte sudo, su und co. mit Aliassen ersetzen, und beim nächsten root login selbst root werden & das restliche System infizieren. * Setuid Binaries, inklusive sudo und su, könnten Sicherheitslücken beinhalten (erst gerade kürzlich wieder: https://www.bleepingcomputer.com/news/security/new-linux-sudo-flaw-lets-local-users-gain-root-privileges/) Meine Konsequenzen daraus sind: * Login als Root nur direkt von Konsole oder von speziell dafür angelegten Benutzern aus * Kein sudo * Ein automatisches Backup, auf welches der Desktop PC nicht direkt zugreifen kann Das Threat Model von Jack V. scheint zu sein: * Benutzer brauchen für vieles ihr Passwort * Wenn sie damit etwas als root ausführen können, werden sie es ohne viel nachdenken aus Gewohnheit machen Seine Konsequenzen daraus: * Benutzern nicht mit ihrem eigenen Passwort das root Login ermöglichen Die diversen Threat Models und deren Konsequenzen machen durchaus sinn. Man könnte sich nun höchstens fragen, wenn man alle Punkte in ein Threat Models packt, welche Konsequenzen zieht man dann, um alles abzudecken? Naja, perfekt kann man nicht alles Abdecken, aber ich würde sagen, wenn man möglichst viel abdecken will, brauchte man: * Dedizierte Useraccounts speziell für administrative Zwecke * Separate Passwörter um mit diesen Root zu werden * Root Account sperren Separate Passwörter um mit diesen Root zu werden, wäre dann etwas wohl der schwierigste teil. su braucht das Passwort des Zielusers, sudo das des aufrufenden Users, aber was, wenn man ein anderes Passwort für den aufrufenden User will? Da bräuchte es wohl erst ein extra Programm speziell dafür? Dann stellt sich noch die frage, was man mit Polkit anfangen will. Polkit ist ja viel granularer aufgestellt als sudo und su, und verwaltet den Zugriff auf dbus services. Was darf ohne Passwort gehen, was braucht das Passwort des Users, oder ist das generell ein zu grosses Einfallstor? pkexec sollte man vermutlich erstmal deaktivieren? Was dort auch noch fehlt, ist etwas in die Richtung UAC. Also konkret, man bräuchte einen Authentifizierungsprompt, der von anderen normalen User Programmen visuell nicht repliziert werden kann. Sowas gibt's hier glaube ich noch nicht. Hätte man sowas, könnte man für gewisse Dinge eventuell auch mal einen polkit Agent einführen, der kein Passwort braucht, sondern nur <ja> <nein> fragt. "Dedizierte Useraccounts speziell für administrative Zwecke" und "Separate Passwörter um mit diesen Root zu werden" beissen sich auch etwas mit meinem Threat Model "Auf dem Desktop sind User Accounts am anfälligsten für Viren", denn trotz Dedizierte Account muss man ja trotzdem noch separat root werden, und dann ist die Versuchung schon gross, dort doch schnell mal noch was zu Googlen oder für sonst was zu verwenden. Man könnte statt verschiedene User auch mehrere Usernamen & Passwörter für root machen, aber ob das nicht andere Probleme verursacht? Oder was, wenn man statt root (uid 0), anderen Benutzern (nicht uid 0) CAP_SYS_ADMIN und co. gibt, so dass diese quasi selbst gleich root sind. Dann würde man auch immer sehen, wer wirklich alles kaputt gemacht hat. Andererseits könnte man das auch als noch unsicherer betrachten, weil man dann zwangsläufig Programme als Root startet, die das nicht brauchen, insbesondere, wenn man mit GUIs arbeitet. Das könnte man wiederum teilweise lösen, indem man doch polkit oder sudo und normale user nimmt, aber dann hat man das Problem, dass dort eventuell nicht alles erlaubt ist, was man braucht, und wenn man alles Erlaubt, dann passt das wieder nicht mehr für mein Threat Model, "Auf dem Desktop sind User Accounts am anfälligsten für Viren"... Wie man es auch dreht und wendet, es scheint keine Lösung zu geben, die für alle fälle ideal ist.
🐧 DPA 🐧 schrieb: > Threat-model Wenn mein Nutzer-Account Virenbefall hat, dann interessiert es mich überhaupt nicht, was mit root passiert. Root ist trivial wiederherstellbar, indem ich das Betriebssystem neuinstalliere.
MaWin schrieb: > 🐧 DPA 🐧 schrieb: >> Threat-model > > Wenn mein Nutzer-Account Virenbefall hat, dann interessiert es mich > überhaupt nicht, was mit root passiert. > Root ist trivial wiederherstellbar, indem ich das Betriebssystem > neuinstalliere. Mein Nutzeraccount auch, einfach neuen anlegen, und das Backup mit den Nutzdaten zurück kopieren. Mir geht es darum, in so einem Fall die Ausbreitung des Virus zu verringern. Wer weiss, wie lange der schon da ist, wenn / falls ich ihn bemerke? Ich will dann nicht alle meine PCs und Server neu aufsetzen und deren Backups zurück spielen müssen. Wenn root Virenbefall hat, muss ich gleich alles als potentiell verseucht betrachten.
🐧 DPA 🐧 schrieb: > Ich will dann nicht alle meine PCs und Server neu aufsetzen und > deren Backups zurück spielen müssen. > Wenn root Virenbefall hat, muss ich gleich alles als potentiell > verseucht betrachten. Warum sollen dann alle Rechner im Netz infiziert sein?
Sie müssen nicht, aber könnten. Ich logge mich auf denen ja per ssh ein. Dafür nutze ich nicht den selben User wie zum Webbrowsen usw. Wenn root infiziert wird, kann der alle lokalen Accounts übernehmen, inklusive den, mit dem ich meine Server warte, oder sich gleich in ssh selbst einnisten. Und beim nächsten mal ssh auf einen Server könnte der dann auch betroffen sein.
🐧 DPA 🐧 schrieb: > Und beim nächsten mal ssh auf einen Server könnte der dann > auch betroffen sein. Ja, natürlich. Haben die Betreuer dir heute schon dein Mittagessen gebracht?
🐧 DPA 🐧 schrieb: > Was Sicher ist, und was nicht, hängt immer vom eigenen Threat Model ab: > https://en.wikipedia.org/wiki/Threat_model > [...] > Man könnte sich nun höchstens fragen, wenn man alle Punkte in ein Threat > Models packt, welche Konsequenzen zieht man dann, um alles abzudecken? Aus meiner Perspektive ist das Threat Model, das wir alle drei abdecken wollen, im Kern sehr simpel: zu verhindern, daß Benutzeraccounts und vor allem der besonders bedrohte Root-Account kompromittiert werden. Ich ziele dabei nun im Wesentlichen auf böswillige Angreifer ab, Du anscheinend vornehmlich auf Malware, und Jack auf, sagen wir das mal ganz diplomatisch, "unbedarfte" Anwender. > Naja, perfekt kann man nicht alles Abdecken, aber ich würde sagen, wenn > man möglichst viel abdecken will, brauchte man: > * Dedizierte Useraccounts speziell für administrative Zwecke > * Separate Passwörter um mit diesen Root zu werden > * Root Account sperren > Separate Passwörter um mit diesen Root zu werden, wäre dann etwas wohl > der schwierigste teil. su braucht das Passwort des Zielusers, sudo das > des aufrufenden Users, aber was, wenn man ein anderes Passwort für den > aufrufenden User will? Da bräuchte es wohl erst ein extra Programm > speziell dafür? Man könnte einem normalen Anwender, nennen wir ihn "sheeva", einen weiteren User "adm_sheeva" mit einem anderen Paßwort zuordnen, und "sheeva" über sudo(1) die Berechtigung geben, den Befehl "sudo su - adm_sheeva" -- und keinen weiteren -- auszuführen; in diesem Szenario ist es auch sinnvoll, für diesen Benutzer die timestamp_timeout-Option zu deaktivieren. Der Benutzer "adm_sheeva" bekommt dann volle Rechte für sudo(1) mit seinem eigenen Paßwort. Auf diese Weise bekommst Du eine eigene "Zwischenschicht", und es ist sogar kompatibel mit einer zentralen Benutzerverwaltung etwa über einen Verzeichnisdienst wie NIS oder LDAP. Für Jack können einer oder beide dieser Accounts dabei sogar so konfiguriert sein, daß das Paßwort des Zielbenutzers ("adm_sheeva" oder "root") abgefragt wird, dafür kennt sudo(1) schließlich die Konfigurationsoptionen "targetpw" und "rootpw". Aber -- und das ist der Punkt: das muß irgendjemand so konfigurieren, und das wird ein Benutzer, den Jack vor sich selbst schützen will, sicher nicht tun. Doof. > Dann stellt sich noch die frage, was man mit Polkit anfangen will. ... und noch viel drängender die Frage, ob man dann nicht vielleicht gleich auf ein MAC- oder RBAC-System wie SELinux, RSBAC oder AppArmor gehen möchte. Dumm, daß dies sogar für gestandene und erfahrene Systemadministratoren eine echte Herausforderung und dauerhaft sehr aufwändig ist -- und Jacks "unbedarften" Anwender mit Sicherheit heillos überfordern würde. Eine andere Alternative könnte es sein, ein Pluggable Authentication Module dafür zu implementieren und / oder eine Two-Factor-Authentication zu benutzen. So könnte zum Beispiel ein zufälliges Sicherheitstoken erzeugt, an eine Handynummer geschickt, und dann abgefragt werden, wenn der Benutzer su(1), sudo(1) oder Ähnliches aufruft. Also treten wir mal zurück und stellen fest: Leute!, bitte, erinnert Euch noch mal an den Grund dieses Threads! Da ist ein Anwender, der offensichtlich eine... etwas kaputte Qt-Installation sowie wenig Ahnung von UNIX-Sicherheit, UNIX-Benutzer- und Zugriffsrechten hat und sich darüber beschwert, daß er seine Binaries händisch(!) manuell(!) mit einer Shell(!) in opt kopieren soll -- und der sicher eher nicht verstanden hat, daß es einen guten Grund dafür gibt, warum die meisten grafischen Dateimanager unter Linux genau diese Option normalerweise nicht anbieten. > Wie man es auch dreht und wendet, es scheint keine Lösung zu geben, die > für alle fälle ideal ist. Jaein, MAC- und RBAC-Systeme bieten durchaus entsprechende Möglichkeiten. Aber sie sind halt für "normale" Systeme mit nicht allzu hohen Sicherheitsanforderungen nun einmal nicht praktikabel. Und, auf die Gefahr hin, mich zu wiederholen: das Problem, das Jack beschreibt, nämlich "unbedarfte" Anwender, die überall "sudo" vorschreiben und aus dem Netz heruntergeladene Skripte ohne inhaltliche Prüfung ausführen, dieses Problem läßt sich gar nicht lösen, weder mit seinen Vorschlägen, noch sonstwie. Allerdings sehe ich auch nicht, daß Jack, Du, ich, die Linux-Community oder sonst irgendjemand für die Sicherheit von Leuten verantwortlich sein sollte, die offenbar überhaupt keinen Wert auf ihre Sicherheit legen und nicht dazu bereit sind, einmal verdammte zwei Minuten lang die Manpage von sudo(1) oder den Wikipedia-Eintrag zu sudo(1) [1] zu lesen. Meine Güte. Und auch wenn ich jetzt ein furchtbar schrecklich böser Mensch bin und ganz viele "Nicht lesenswert" kassiere: solche Leute haben es sich redlichst verdient, alle ihre Daten und am Besten noch ihre ganze Systeminstallation zu verlieren. Weil sie mit an Sicherheit grenzender Wahrscheinlichkeit auch kein Backup haben, ist dieses Erlebnis hoffentlich unangenehm genug, um das mit riesigem Abstand allerwichtigste Sicherheitswerkzeug nachhaltig zu aktivieren: ihr Gehirn. (Und wenn sie das nach so einem Erlebnis nicht tun, sondern Linux die Schuld geben und sich in Zukunft davon fernhalten, soll's mir auch Recht sein.) [1] https://de.wikipedia.org/wiki/Sudo
MaWin schrieb: > Root ist trivial wiederherstellbar, indem ich das Betriebssystem > neuinstalliere. Viel einfacher: von einem anderen Medium (USB-Stick?) booten, installiertes System mounten, mit chroot(8) hineinhüpfen und den Root-Account wiederherstellen.
Sheeva P. schrieb: > Welche Sachen wären denn das? Mach' doch einfach mal eine > Konfigurationsdatei mit den entsprechenden Kommandos für /etc/suders.d/, > dann können wir uns das gern mal gemeinsam anschauen. > […] >> wollen wir’s hierbei belassen? > > ...das wohl das Beste. … ich würde sagen, du machst dir erstmal ’ne Tasse Tee, gehst ein wenig raus, spazieren (hier in Mitteleuropa erwacht die Natur erst in einigen Wochen, aber da du davon schriebst, wird’s bei dir ja anders sein) und überlegst dir mal, was du eigentlich möchtest. Im Moment sehe ich hier nur ein „aber ich MUSS dagegen sein!“ – was ich recht schade finde, denn vor diesem Thread habe ich dich eigentlich als User gesehen, der durchaus zur Reflektion fähig wäre. Meine sudo-Konfiguration hängt vom konkreten Fall ab, btw. In der Regel erlaubt sie mit dem Userpasswort nur genau das Anstoßen von Updates über das Paketmanagement. Wie auch immer … du machst den Eindruck, schon mal vor ’nem Linuxsystem gesessen zu haben, und zumindest einige Grundlagen scheinen dir auch geläufig zu sein. Insofern interessiert’s mich schon noch, von welchem Szenario du eigentlich ausgehst. Ich nenne dir mal das, von dem ich die ganze Zeit ausgegangen bin, und das ist nunmal das, welches bei über 90% aller Sicherheitsvorfälle anzutreffen ist: Der User macht was Dummes. Absichtlich oder nicht, aus Unwissenheit oder wider besseren Wissens – völlig unerheblich. Weitere 9% haben einen anderen Anfang, aber ab dann den gleichen Verlauf: eine ausgenutzte Sicherheitslücke in der Software, die der User verwendet. Der Angreifer hat nun temporär mit den Rechten des Users Zugriff auf das System (ob nun interaktiv, oder Script – auch völlig egal), und möchte gerne zwei Dinge: einen permanenten Zugang, und seine Anwesenheit möglichst gut verstecken. Dazu braucht er Rootrechte. Er muss also, im Gegensatz zu dem Szenario, von dem du auszugehen scheinst, den Usernamen überhaupt nicht raten – wenn er den wissen will, setzt er ein ›whoami‹ oder ›id‹ ab, oder so – aber eigentlich interessiert der ihn überhaupt gar nicht. Und wenn er, wie bei der von dir propagierten Konfiguration, nur das Userpasswort benötigt, während der User sowieso alles mit ›sudo‹ als Präfix versieht, … ja, ist vielleicht nicht ganz so sicher, oder? > Den Nachweis hätte ich gerne gesehen, aber selbst wenn es ihn geben > sollte: die Ignoranz dieser Leute ist kein technisches Problem und kann > daher auch nicht mit technischen Mitteln behoben werden. Wenn Du sudo(1) > einschränkst, nutzen sie halt su(1) -- und ein roter Prompt ist denen > ohnehin vollkommen gleichgültig. Letzten Endes spielt es aus > Sicherheitssicht überhaupt keine Rolle, ob ein Nutzer ständig sudo(1) > vor alles schreibt oder gleich mit su(1) eine Rootshell startet. Es ist > haargenau dasselbe -- vermutlich ist die Rootshell sogar noch > gefährlicher. Der Nachweis: mach die Augen auf, schau in die einschlägigen Foren in den Anfängerbereichen. Folgendes ist da keine Seltenheit: „Zeig mal die Ausgabe von ›ls -l ~/.config/‹“ → „Hier: ›sudo ls -l ~/.config/ […]‹“ – und das ist bei Weitem nicht das Schlimmste, was man da zu sehen bekommt. Wenn man’s denen dann erklärt, merkt man, dass sie’s wirklich nicht besser wussten. So erschreckend das auch ist – aber das ist, wo die kaputte Buntu-Config uns hingebracht hat. > Mir ist auch Dein Beharren auf dem Root-Paßwort unverständlich, > […] > Denn der Benutzer "root" ist > bekannt, so daß ein Angreifer nur noch das Paßwort knacken muß, um > vollen administrativen Zugang zum System zu erhalten. Es ist schlicht eine weitere Maßnahme in der Kette. Im Übrigen beharre ich nicht mal auf das Passwort: auf von mir betreuten Servern hat Root gar kein Passwort (allerdings gibt’s auch kein ›sudo -i‹ oder ›sudo su‹ oder sonstwas aus den Horrorkabinett), sondern: Root muss sich von außen via ssh einloggen – ich weiß, was du jetzt denkst, und du hast völlig Recht! An so ’nem 4096-Bit-Schlüssel rechnet ein Angreifer nach derzeitigem Stand der Wissenschaft ja nur wenige Fantastillionen Jahre, weil der Username ja „well known“ ist, und daher nicht mehr in Erfahrung gebracht werden muss. Aber das Risiko nehme ich in Kauf, nach dem Aufblähen der Sonne zum Roten Riesen wollte ich eh in Rente gehen – soll sich mein Nachfolger drum kümmern. > Schau, der Timeout von sudo(1) hat einen tieferen Sinn -- nämlich, daß > Benutzer eben NICHT ständig und immer wieder mit der Eingabe eines > Paßwortes genervt werden, DAMIT sie eben NICHT in Versuchung geführt > werden, schwache Paßworte zu benutzen. Weil die nämlich der > sicherheitstechnische Super-GAU sind! Exzellente Idee: wir machen’s sicherer, indem wir dafür sorgen, dass jemand, der gerade Zugriff auf die betreffenden Ein-/Ausgabestreams des Nutzers hat, sämtliche Superuser-Rechte auf dem System ohne weitere Authentifikation haben kann. Beeindruckende Logik. Nicht. Nein, sorry – da gehe ich nicht mit. Aber vielleicht möchtest du ja endlich mal das Szenario aufzeigen, in dem ›sudo su‹ + gar kein Passwort (weil der User es nämlich Sekunden vorher für ein ›sudo ls‹ eingegeben hat) sicherer ist, als ›sudo zsh‹ mit dem Rootpasswort – oder gar keine Möglichkeit, auf dem Weg zu UID 0 zu gelangen (s.o.)?
Also ich finde man muss Prioritäten setzen. Wenn ein PC mal durch Unachtsamkeit Fehlbedienung kaputt geht, ist es ja immer deutlich harmloser wie z.b. ein Personenschaden. Oder weniger gefährlich wie z.b. Werkzeug wo sich Leute verletzen könnten. In den meisten Fällen wird ja nur ein System neu installiert, und ab und zu mal das PayPal Konto von irgendwem leergeräumt. Nicht schön aber alles noch zu verschmerzen. Klar im gewerblichen Bereich müssen da andere Standards gesetzt werden. Aber ich nehme z.b. den Bau einer Brandmeldeanlage (möglicher Personenschaden) deutlich ernster wie den Bau einer Einbruchmeldeanlage (möglicher Sachschaden) Jetzt mal eine Frage an die Fachmänner, neigt ein Linux System mehr dazu von Hackern, als Angriff Station ausgenutzt zu werden? Weil die meisten Windows-PCs werden ja immer ausgeschaltet, da sie nicht als Server genutzt werden. Bzw sind Desktop-PCs normaler User überhaupt ein großes Ziel von Angriffen?
Jack V. schrieb: > Meine sudo-Konfiguration hängt vom konkreten Fall ab, btw. In der Regel > erlaubt sie mit dem Userpasswort nur genau das Anstoßen von Updates über > das Paketmanagement. Da muss man bei sudo immer aufpassen, dass man keine extra Argumente erlaubt. Das ist leider der Default.
1 | sudo apt-get upgrade kate gimp+ gedit- ./fancy.deb |
Jack V. schrieb: > … ich würde sagen, du machst dir erstmal ’ne Tasse Tee, gehst ein wenig > raus, spazieren (hier in Mitteleuropa erwacht die Natur erst in einigen > Wochen, Das hab' ich heute mittag schon gemacht, und hier in Aachen war es zwar kalt, aber die Sonne schien, und die Natur erwacht langsam wieder. Aber natürlich liegt das auch an meinen lieben Mit-Aachenern, wir haben eben die Sonne im Herzen. > Meine sudo-Konfiguration hängt vom konkreten Fall ab, btw. In der Regel > erlaubt sie mit dem Userpasswort nur genau das Anstoßen von Updates über > das Paketmanagement. Hm, nichtmal /sbin/reboot, /sbin/poweroff, "dmesg" und "tail -f /var/log/syslog"? > Wie auch immer … du machst den Eindruck, schon mal vor ’nem Linuxsystem > gesessen zu haben, und zumindest einige Grundlagen scheinen dir auch > geläufig zu sein. Insofern interessiert’s mich schon noch, von welchem > Szenario du eigentlich ausgehst. Ach, mein Szenario ist relativ simpel. Mein Team und ich betreiben etwas über 100 Server, im internen Netzwerk, in einer DMZ, und in einigen Rechenzentren, die quer über die Welt verteilt sind. Die dort verarbeiteten Daten sind üblicherweise enorm sensibel -- Bank- und Kreditkartendaten, Versicherungsdaten -- die in den meisten Ländern dieser Welt jeweils eigenen Regularien unterliegen, oft zivilrechtlicher Natur wie PCI-DSS, häufig aber auch gesetzlicher Natur wie HIPAA und HITECH. Wir sind ISO27k-zertifiziert und haben (mindestens) einmal im Jahr einen Auditor bei uns, in den letzten Jahren nimmt die Frequenz der Audits allerdings zu, da viele Kunden mittlerweile ihrerseits Auditoren vorbeischicken. Außerdem lassen wir für unsere Software für jedes neue Release einen Penetration Test durchführen, zudem jährlich für unsere gesamten Infrastrukturen. Zusätzlich zu meinen Admins und mir haben wir für jede Installation unserer Software auch noch einen Product Owner, also einen für das Projekt verantwortlichen Berater, der einerseits im engen Kontakt zu unseren Kunden steht und seinerseits auch häufig Änderungen an der Konfiguration unserer Software oder den Regelwerken macht. Früher mußten die Product Owner für jede Änderung einen Change Request bei meinen Admins einreichen, aber mittlerweile machen wir das anders: die Berater haben ohnehin alle ein SSH-Schlüsselpaar und können sich damit direkt auf die Projektserver einloggen. Dort können sie entweder über einen SSH-Tunnel direkt neuere Regelwerke hochladen, oder über scp(1)/sftp(1)/MobaXTerm/FileZilla neue Konfigurationen auf den Server laden, installieren, und die Serversoftware restarten, starten, oder stoppen. Dazu können sie die Logdateien der Serversoftware lesen und -- je nach Vereinbarung mit dem Kunden -- die Möglichkeit, ein Backup-Programm zu starten und sich damit die Kundendaten und Berechnungsergebnisse zu Analysezwecken herunterzuladen. Und, oh, stimmt: in etliche unserer Umgebungen kommen Admins und User nur über ein VPN hinein, bei den von uns betriebenen ein OpenVPN, bei anderen aber auch gerne mal eines von F5, Cisco oder Juniper. All das -- der Root-Zugriff für die Admins, aber eben auch die beschränkten Rechte der Product Owner -- wird über sudo(1) gesteuert. Dabei übernehmen wir einfach die Default-Konfiguration von sudo(1) unter Ubuntu, stecken die Admins in die Gruppe "admin" und richten für die Product Owner jeweils Dateien in /etc/sudoers.d/ ein, die ihnen die Ausführung der für ihre Aufgaben nötigen Befehle ermöglicht. Zudem entziehen wir dem Programm su(1) alle Rechte (chmod 000), alles in einer hübsch konfigurierbaren Ansible-Rolle, und obendrein gibt es für einige Sonderaufgaben jeweils winzige C++-Programme, und die Product Owner bekommen nur eine restricted Shell (rbash(1)). Für all das haben wir eine hübsch konfigurierbare Ansible-Rolle entwickelt, für die im Kern nur ein paar Variablen korrekt gesetzt werden müssen. Damit sind wir in den letzten Jahren durch etliche Security-Audits, drei oder vier Penetration Tests, die ISO27k- und einige weitere Zertifizierungen gekommen. Zwei Auditoren haben sich sogar zu Aussagen wie "vorbildlich" und "excellent" hinreißen lassen. Also mit genau der Konfiguration, die Du "kaputt" nennst. > Ich nenne dir mal das, von dem ich die ganze Zeit ausgegangen bin, und das ist > nunmal das, welches bei über 90% aller Sicherheitsvorfälle anzutreffen ist: > Der User macht was Dummes. Kommt vor. Sogar bei gestandenen Admins. Erst vor ein paar Monaten hab' ich mich vertippt und mußte eine Datei aus dem Backup wiederherstellen. > Der Angreifer hat nun temporär mit den Rechten des Users Zugriff auf > das System Schon das gilt es grundsätzlich und so wirksam wie möglich zu verhindern. > (ob > nun interaktiv, oder Script – auch völlig egal), und möchte gerne zwei > Dinge: einen permanenten Zugang, und seine Anwesenheit möglichst gut > verstecken. Dazu braucht er Rootrechte. Er muss also, im Gegensatz zu > dem Szenario, von dem du auszugehen scheinst, den Usernamen überhaupt > nicht raten – wenn er den wissen will, setzt er ein ›whoami‹ oder ›id‹ > ab, oder so – aber eigentlich interessiert der ihn überhaupt gar nicht. Er will die Root-Rechte, um ... Angreiferdinge auf dem System zu machen. Um seinen Zugang zu persistieren, sind sie aber nicht zwingend notwendig. > Und wenn er, wie bei der von dir propagierten Konfiguration, nur das > Userpasswort benötigt, während der User sowieso alles mit ›sudo‹ als > Präfix versieht, … ja, ist vielleicht nicht ganz so sicher, oder? Aber ja doch, was sollte daran unsicher sein? Als nichtprivilegierter Benutzer kann er das die Paßwortdatei /etc/shadow ohnehin nicht lesen, und selbst wenn er könnte, stehen dort nur gesalzene Hashes (IIRC DES) des Paßwortes drin. Was kann unser Angreifer jetzt noch machen? Ach ja: er kann Aliase für gksu(do)(1), kdesu(do)(1), su(1) und sudo(1) anlegen und dem User seine eigenen Versionen dieser Programme unterjubeln. Den Timeout-Token eines sudo(1) zu kapern ginge vielleicht auch noch, allerdings ist der Token an das jeweilige TTY gebunden und mir ist bis dato (außer mit screen und tmux) keine Möglichkeit bekannt, etwas in einem anderen TTY auszuführen. Auch das Szenario mit den Aliassen gilt allerdings SOWOHL für den Fall, daß sudo(1) zur Privilegienerweiterung genutzt wird, ALS AUCH für den Fall, daß su(1) verwendet wird. Insofern sehe ich auch in diesem Fall keinen Unterschied im Sicherheitsniveau zwischen sudo(1) und su(1). > Der Nachweis: mach die Augen auf, schau in die einschlägigen Foren in > den Anfängerbereichen. Folgendes ist da keine Seltenheit: „Zeig mal die > Ausgabe von ›ls -l ~/.config/‹“ → „Hier: ›sudo ls -l ~/.config/ […]‹“ – > und das ist bei Weitem nicht das Schlimmste, was man da zu sehen > bekommt. Wenn man’s denen dann erklärt, merkt man, dass sie’s wirklich > nicht besser wussten. So erschreckend das auch ist – aber das ist, wo > die kaputte Buntu-Config uns hingebracht hat. Neien! Wenn es diese Ubuntu-Konfiguration nicht gäbe, dann würden sie statt sudo(1) eben su(1) benutzen, und auf die Gefahr hin, mich zu wiederholen: das wäre in keinem denkbaren Szenario ein Sicherheitsgewinn, im Gegenteil: dann würden diese Menschen alles nurmehr als "root" machen, auch das, wozu sie gar keine Privilegien benötigen. Tippfehler, ick' hör' Dir trappsen... > Es ist schlicht eine weitere Maßnahme in der Kette. Im Übrigen beharre > ich nicht mal auf das Passwort: auf von mir betreuten Servern hat Root > gar kein Passwort (allerdings gibt’s auch kein ›sudo -i‹ oder ›sudo su‹ > oder sonstwas aus den Horrorkabinett), sondern: Root muss sich von außen > via ssh einloggen – ich weiß, was du jetzt denkst, und du hast völlig > Recht! Das bedeutet dann also, daß die ganze Sicherheit Deiner Server ausschließlich, einzig und alleine an Deinem SSH-Schlüsseln hängt, richtig? Hast Du den bei Dir lokal wenigstens mit einem Paßwort geschützt? Und dann... sei bitte so lieb und erkläre mir, inwieweit das in irgendeiner Weise sicherer sein soll als meine Konfiguration, bei der man sich weder als "root" noch mit Paßwort einloggen kann? Unsere Root-Accounts und die unserer Product Owner sind nämlich durch eine echte Two-Factor-Authentication geschützt: "what you have" sind die SSH-Schlüssel des betreffenden Benutzers, "what you know" ist das Paßwort, um privilegierte Operationen ausführen zu dürfen. > Exzellente Idee: wir machen’s sicherer, indem wir dafür sorgen, dass > jemand, der gerade Zugriff auf die betreffenden Ein-/Ausgabestreams des > Nutzers hat, sämtliche Superuser-Rechte auf dem System ohne weitere > Authentifikation haben kann. Beeindruckende Logik. Nicht. Ich möchte Dir nicht zu Nahe treten, aber... wenn jemand Zugriff auf die IO-Streams eines Benutzers hat, dann hat er ohnehin "root" auf der Büchse, und dann ist es für jedwede Sicherheitsmaßnahme zu spät. Dann hat der Angreifer auch Zugriff auf Deine SSH-Keys, und alle Deine Maschinen darfst Du als kompromittiert betrachten. Yay! > Nein, sorry – da gehe ich nicht mit. Aber vielleicht möchtest du ja > endlich mal das Szenario aufzeigen, in dem ›sudo su‹ + gar kein Passwort > (weil der User es nämlich Sekunden vorher für ein ›sudo ls‹ eingegeben > hat) sicherer ist, als ›sudo zsh‹ mit dem Rootpasswort – oder gar keine > Möglichkeit, auf dem Weg zu UID 0 zu gelangen (s.o.)? Wie schon gesagt, das ist Psychologie. Wenn Du den User zu oft mit der Sicherheit nervst, weil er ständig ein achtunddrölfzig Zeigen langes Paßwort eingeben muß, um mal in /var/log/syslog zu gucken oder "journalctl" aufzurufen, dann springt er Dir mit seinem nackten Arsch ins Gesicht und sucht sich dann Mittel und Wege, um Deine Restriktion zu umgehen. Schlimmstenfalls verfällt er sogar noch in eine Form der Risikokompensation bzw. Peltzman-Effekt und hält sich damit für so sicher, daß er jeden Scheiß macht und sich gar nicht mehr um Sicherheitsrichtlinien und -Hinweise kümmert. Was soll ich dazu sagen? Ansonsten bleibt mir nur noch der Hinweis darauf, daß wir offensichlich über zwei sehr unterschiedliche Dinge reden. Jetzt gerade sind wir hier bei Server Security, aber vorher ging es -- zumindest mir -- im Wesentlichen um den Desktop. Und gegen böswillige oder dumme Benutzer, die zudem privilegierte Operationen durchführen müssen, ist nun einmal kein Kraut gewachsen. Die kannst Du nur so schnell und gut wie irgend möglich erkennen und isolieren.
Beitrag #6610499 wurde von einem Moderator gelöscht.
Sheeva P. schrieb: > Hm, nichtmal /sbin/reboot, /sbin/poweroff, "dmesg" und "tail -f > /var/log/syslog"? Das ist heute nicht mehr notwendig. Gruppen und polkit tun den Job. Sheeva P. schrieb: > Ach, mein Szenario ist relativ simpel. Mein Team und ich betreiben etwas > über 100 Server, im internen Netzwerk, in einer DMZ, und in einigen > Rechenzentren, die quer über die Welt verteilt sind. > […] > vorher ging es -- zumindest mir -- im > Wesentlichen um den Desktop. Den Tee, Mann! Zum entspannten Klarwerden darüber, worum es denn nun gehen soll. Bei mir geht’s um den Desktop, btw. – ich hab keine Server mit Shell für fremde Leute. Würde ich auch nie machen – es sei denn, ich bekäme angemessen viel Geld dafür. Geht’s denn nun um Desktop? Dann werfe ich X11 mit absolut problemlosen Mitlesen sämtlicher Eingaben des betreffenden Users, und die Tatsache, dass bei vielen Systemen sowas wie /home/user/.local/bin vor den anderen Einträgen in der PATH steht wodurch ein Angreifer ganz ausgezeichnet das vom User beim Aufruf von irgendwas mit sudo eingegebene Passwort abzweigen kann, in den Raum und möchte lösen: alleine diese beiden Sachen, jede für sich, hebelt das sudo in der Buntu-Config einfach aus. Sheeva P. schrieb: > Und gegen böswillige oder dumme Benutzer, > die zudem privilegierte Operationen durchführen müssen, ist nun einmal > kein Kraut gewachsen. Ähm … ja … doch! Genau dafür ist die feingranulare Konfigurationsmöglichkeit von ›sudo‹ gedacht und geeignet. Nicht für das verschrumpelte Feigenblatt nach Buntu-Art.
DANIEL D. schrieb: > Also ich finde man muss Prioritäten setzen. Wenn ein PC mal durch > Unachtsamkeit Fehlbedienung kaputt geht, ist es ja immer deutlich > harmloser wie z.b. ein Personenschaden. Oder weniger gefährlich wie z.b. > Werkzeug wo sich Leute verletzen könnten. Wow, endlich mal ein Beitrag von Dir, dem ich ein "lesenswert" geben kann. Danke! > Aber ich nehme z.b. den Bau einer Brandmeldeanlage (möglicher > Personenschaden) deutlich ernster wie den Bau einer Einbruchmeldeanlage > (möglicher Sachschaden) Find' ich gut. > Jetzt mal eine Frage an die Fachmänner, neigt ein Linux System mehr dazu > von Hackern, als Angriff Station ausgenutzt zu werden? > > Weil die meisten Windows-PCs werden ja immer ausgeschaltet, da sie nicht > als Server genutzt werden. Bzw sind Desktop-PCs normaler User überhaupt > ein großes Ziel von Angriffen? Nunja, wenn man ein bisschen genauer hinguckt, ergeben sich in den letzten 15, 20 Jahren gewisse... Trends. Zunächst müssen wir feststellen, daß die Angreiferprofile sich ändern. Waren das vor geraumer Zeit noch primär Skriptkiddies, die einfach nur mal zeigen wollten, wie sie fremde Rechner beschädigen und ganze Netzwerke lahmlegen konnten, hat diese "Szene" sich mittlerweile deutlich professionalisiert. Heutige Angreifer verfolgen andere Ziele als noch vor fünfzehn oder zwanzig Jahren, und diese Ziele bestimmen daher auch ihre Vorgehensweise(n). Heute sind Angreifer oft keine randalierenden Kinder mehr, sondern gut organisiert, und sie wollen nicht mehr zeigen, daß sie die beste Supermalware schreiben können, sondern haben ganz andere Interessen. Häufig sind das kommerzielle, in den letzten Jahren aber auch immer öfter staatliche Interessen. Bei den kommerziellen Interessen ist heute häufig die organisierte Kriminalität im Spiel. Da geht es meist um Identitätsdiebstahl und Erpressung, die Zielplattformen sind (meistens) Windows und Android. Diese Leute wollen unerkannt bleiben und das "Opfer" möglichst lange "benutzen". Zu dieser Kategorie gehören jedoch auch jene Angreifer, die Serverinfrastrukturen angreifen, um Benutzerdatenbanken abzugreifen und dann wahlweise den Betreiber oder die Benutzer zu erpressen. Daneben gibt es allerdings auch immer häufiger staatliche Akteure. Ein Beispiel war der Stuxnet-Trojaner, der iranische Atomanlagen befallen und zerstört hat, und von dem bis heute nur sehr wenige wissen, wo er herkam. Beim Angriff auf die Server der demokratischen Partei (und der Veröffentlichung kompromittierender interner E-Mails) waren höchstwahrscheinlich russische Angreifer beteiligt, ebenso bei dem Angriff mit "NotPetya", der sich wohl vornehmlich gegen die Ukraine richten sollte und dann... ein wenig entgleist ist. Diesen Angreifern geht es im Wesentlichen um kriegerische Aktivitäten, ihnen geht es erstens um Verbreitung und zweitens um Zerstörung. Dabei wird alles angegriffen, zu dem man einen Angriffsvektor findet: Windows, Linux, iOS, staatliche Institutionen und Organisationen, Unternehmen, Privatanwender -- egal.
Jack V. schrieb: > Den Tee, Mann! BTDT, got the shirt. > Geht’s denn nun um Desktop? Dann werfe ich X11 mit absolut problemlosen > Mitlesen sämtlicher Eingaben des betreffenden Users, und die Tatsache, > dass bei vielen Systemen sowas wie /home/user/.local/bin vor den anderen > Einträgen in der PATH steht wodurch ein Angreifer ganz ausgezeichnet das > vom User beim Aufruf von irgendwas mit sudo eingegebene Passwort > abzweigen kann, in den Raum und möchte lösen: alleine diese beiden > Sachen, jede für sich, hebelt das sudo in der Buntu-Config einfach aus. Äh... nein. Zum Mitlesen der Eingaben anderer Benutzer unter X brauchst Du root, aber dann ist das Kind schon im Brunnen. > Sheeva P. schrieb: >> Und gegen böswillige oder dumme Benutzer, >> die zudem privilegierte Operationen durchführen müssen, ist nun einmal >> kein Kraut gewachsen. > > Ähm … ja … doch! Genau dafür ist die feingranulare > Konfigurationsmöglichkeit von ›sudo‹ gedacht und geeignet. Ach. Dazu muß man es aber konfigurieren, oder? Und der dumme Benutzer, den Du als Beispiel erwähnst: der tut das?
Beitrag #6610594 wurde von einem Moderator gelöscht.
Taucher schrieb im Beitrag #6610594: > Seit es Windows und Linux gibt, ist Kaisers Bart als Streitobjekt > überflüssig geworden… Na ja das System soll ja scheinbar auch beides, den gewerblichen Anwender mit hohen Ansprüchen zufriedenstellen. Und den normalen Desktop Anwender.
Sheeva P. schrieb: > Äh... nein. Zum Mitlesen der Eingaben anderer Benutzer unter X brauchst > Du root, aber dann ist das Kind schon im Brunnen. Es geht nicht um andere Nutzer: Jack V. schrieb: > mit absolut problemlosen > Mitlesen sämtlicher Eingaben des betreffenden Users Es geht um den Nutzer, der da gerade arbeitet, und der mal wieder Copypasta von $irgendwo in die Shell geschmissen, und sich so ’nen Prozess gestartet hat, der das Userpasswort für ›sudo‹ abfangen soll. Und das ist unter X11 recht einfach – gerade weil die User durch die kaputte Buntu-Config drauf konditioniert wurden, ›sudo‹ als „tu so“ wahrzunehmen, nicht als „GEFAHR!“, und es daher prophylaktisch vor alles schreiben. Sheeva P. schrieb: > Ach. Dazu muß man es aber konfigurieren, oder? Und der dumme Benutzer, > den Du als Beispiel erwähnst: der tut das? Nein, die Konfiguration würden die Maintainer des ›sudo‹-Pakets der jeweiligen Distribution mitliefern. Oder der Administrator. Denn das Szenario, in dem jemand, der sich damit auskennt, jemandem, der „nur surfen und ’n bisschen Mail machen will“ (und auch recht naiv auf Dinge klickt und Passwörter eingibt, wenn er danach gefragt wird …) einen Rechner aufsetzt, ist nicht zu selten – und das sind eben die User, die ich mit „unwissend“ (nicht zwangsweise „dumm“) meine.
Sheeva P. schrieb: > Allerdings sehe ich auch nicht, daß Jack, Du, ich, die Linux-Community > oder sonst irgendjemand für die Sicherheit von Leuten verantwortlich > sein sollte, die offenbar überhaupt keinen Wert auf ihre Sicherheit > legen und nicht dazu bereit sind, einmal verdammte zwei Minuten lang die > Manpage von sudo(1) oder den Wikipedia-Eintrag zu sudo(1) [1] zu lesen. > Meine Güte. > Und auch wenn ich jetzt ein furchtbar schrecklich böser Mensch bin und > ganz viele "Nicht lesenswert" kassiere: solche Leute haben es sich > redlichst verdient, alle ihre Daten und am Besten noch ihre ganze > Systeminstallation zu verlieren. Die gelebte Realität sieht halt so aus dass der AVR-Bastler hterm und andere Gammelsoftware per sudo startet weil er sonst sein ttyUSB0 nicht öffnen kann. Da hilft auch die manpage von sudo nichts weil das Buzzwort zum googeln "udev" wäre. Aber den Begriff muss man halt erstmal kennen. Da kann man sich jetzt hämisch freuen wenn mal was passiert. Zielführend finde ich das aber nicht. Eure Diskussion ist zwar für Mitleser wie mich interessant, für Onkel Ernst's Computeralltag aber zu akademisch, um nicht zu sagen, fernab jeglicher Realität.
Le X. schrieb: > Da hilft auch die manpage von sudo nichts weil das Buzzwort zum googeln > "udev" wäre. > Aber den Begriff muss man halt erstmal kennen. Bla. Ich würde folgende Suchanfrage nutzen, die nur aus Wörtern der Fehlermeldung besteht: https://www.google.de/search?q=ubuntu+ttyusb0+permission+denied&oq=ubuntu+ttyUSB0 Und siehe da, man bekommt sofort die richtige Lösung, dass man der Gruppe dialout beitreten soll. Nix sudo. Nix udev.
Le X. schrieb: > Eure Diskussion ist zwar für Mitleser wie mich interessant, für Onkel > Ernst's Computeralltag aber zu akademisch, um nicht zu sagen, fernab > jeglicher Realität. Hast Du bei diesem Threadthema was anderes erwartet? Ich nicht. Da haben sich wieder die richtigen 2 gefunden und die diskutieren jetzt bis die Schwarte kracht.
Zeno schrieb: > Le X. schrieb: >> Eure Diskussion ist zwar für Mitleser wie mich interessant, für Onkel >> Ernst's Computeralltag aber zu akademisch, um nicht zu sagen, fernab >> jeglicher Realität. > > Hast Du bei diesem Threadthema was anderes erwartet? Ich nicht. Da haben > sich wieder die richtigen 2 gefunden und die diskutieren jetzt bis die > Schwarte kracht. Solange sich die dummen Geeks (damit meine ich nicht alle Teilnehmer hier) in den Grundsatzdiskussionen austoben, können die guten Leute in Ruhe sinnvolles machen. Man muss halt nur als wissen, dass die Geeks nicht repräsentativ für die gesamte Linuxwelt sind. Ich zum Beispiel hatte genau das angesprochene Problem mit dem Programmer. Ich habe hier nachgefragt und habe eine schnelle Antwort bekommen, die den richtigen Ansatz geliefert hat. (Ohne Diskussion, wie dumm ich doch sei, weil ich eine Klicki-Klacki-Tastatur benutze und es nicht mit Lochkarten konfiguriere.)
Schöne Grüße an die Windows-Fans: Beitrag "Ordner löschen nicht möglich" (einen einfachen Ordner löschen→ unter Windows schon mal kompliziert)
IT-Abteilung schrieb: > Schöne Grüße an die Windows-Fans: > Beitrag "Ordner löschen nicht möglich" > (einen einfachen Ordner löschen→ unter Windows schon mal kompliziert) Ach komm, das ist unter Windows auch nicht der Normalfall. Und wenn du unter Linux mit ExtAttr und/oder Posix-ACLs kreativ wirst, dann werden auch viele "Admins" damit Probleme haben.
IT-Abteilung schrieb: > (einen einfachen Ordner löschen→ unter Windows schon mal kompliziert)
1 | root@machine:~# ls -la test |
2 | total 8 |
3 | drwxr-xr-x 2 root root 4096 Mar 6 22:06 . |
4 | drwx------ 23 root root 4096 Mar 6 22:06 .. |
5 | root@machine:~# rmdir test |
6 | rmdir: failed to remove 'test': Operation not permitted |
Und jetzt?
Fpgakuechle K. schrieb: > Das stimmt so nicht. > Es meint nicht nicht Hardcore-User, sondern (Hobby-) > Linux-Server-Administratoren. > Ein Server wird nun mal per command-line und scripte 'bedient', > zumindest effektiv. Auch als Propgrammierer sollte man doch fähig sein, > scripte zu schreiben statt mit Klicki-Kacki - Maus - Harakiri das OS in > den Wahnsinn zu treiben. Ich lese mir jetzt doch nicht den Thread durch. Hierzu habe ich aber eine kleine Bemerkung. Das gilt nicht nur für Server unter Linux. Auch Windows wird von Profis (wieder) per Kommandozeile bedient. Da kann man wenigstens alles machen und wird nicht durch die grafische Benutzeroberfläche eingeschränkt.
MaWin schrieb: > Und jetzt? Jetzt nimmst du das ›immutable‹-Flag weg und löschst das Verzeichnis. Wird ja wohl nicht so schwer sein, hast es ja auch dranbekommen.
Jack V. schrieb: > Es geht um den Nutzer, der da gerade arbeitet, und der mal wieder > Copypasta von $irgendwo in die Shell geschmissen, und sich so ’nen > Prozess gestartet hat, der das Userpasswort für ›sudo‹ abfangen soll. ... und wenn der Angreifer kein sudo(1) hat, benutzt er dialog(1) oder sonstwas. Nochmal: sudo(1) ist nicht kaputt. Auch die Standardkonfiguration von Ubuntu ist keineswegs kaputt. All das, was Du sudo(1) vorwirfst, ist intendiert. Gewünscht. Wurde von den Autoren der Software so eingebaut. Sogar der Default, daß bestimmte Gruppen nach Eingabe ihres eigenen Paßwortes alle Befehle ausführen dürfen, ist als Default in sudo(1) eingebaut -- dort allerdings als Gruppe "wheel", nicht wie in Ubuntu als die Gruppen "admin" und "sudo". Auch der Timeout ist gezielt und bewußt intendiert und eingebaut worden, damit die Nutzer von sudo(1) nicht ständig nach ihrem Paßwort gefragt und dadurch dazu verleitet werden, ein schwaches zu benutzen. Tut mir leid, Don Quijote, aber Du kämpfst gegen Windmühlen. > Und das ist unter X11 recht einfach – gerade weil die User durch die > kaputte Buntu-Config drauf konditioniert wurden, ›sudo‹ als „tu so“ > wahrzunehmen, nicht als „GEFAHR!“, und es daher prophylaktisch vor > alles schreiben. Dann ist immer noch nicht sudo(1), sondern dann sind Deine Benutzer kaputt. Spiel ein Update ein, wobei die Erfahrung lehrt: immer, wenn die Entwickler und Admins versuchen, etwas idiotensicher zu machen, entwickelt die Natur bessere Idioten.
Le X. schrieb: > Die gelebte Realität sieht halt so aus dass der AVR-Bastler hterm und > andere Gammelsoftware per sudo startet weil er sonst sein ttyUSB0 nicht > öffnen kann. ... und alles, weil er sich nicht mal für fünf Minuten mit den -- nun wirklich sehr, sehr einfachen -- Datei- und Benutzerrechten unter UNIX beschäftigt hat. > Da kann man sich jetzt hämisch freuen wenn mal was passiert. > Zielführend finde ich das aber nicht. Falsch verstanden: ich freue mich nicht -- sondern hoffe, daß die Erfahrung heilsam genug war, um sich künftig eine andere Strategie anzueignen.
Sheeva P. schrieb: > Tut mir leid, Don Quijote, aber Du kämpfst gegen Windmühlen. Ein wahrer Punkt. Allerdings: nur, weil derartige Abstriche in der Sicherheit gemacht wurden, nur, damit die User ihr gewohntes Windows-Verhalten beibehalten können („ausführen als: Administrator“ – ohne weitere Legitimation), muss das weder gut sein, noch muss ich das gut finden. Du argumentierst damit, dass die Entwickler deine Sichtweise ja vorsehen würden, und sie daher die Richtige sein müsse. Und übersiehst dabei, dass 95% der Manpage andere, gleichermaßen von den Entwicklern vorgesehene, Konfigurationsoptionen aufzeigen, und daher aus dem einfachen Vorhandensein der einen von dir präferierten Konfigurationsmöglichkeit keinesfalls abgeleitet werden kann, dass dies die vorgesehene oder gar beste Art der Verwendung von sudo wäre. Wenn’s dich wirklich interessiert, wie sudo mal gedacht war: such nach den alten Sourcen/Dokumentationen der Prä-Canonical-Ära. Unglücklicherweise hast du auch keinen einzigen technischen Punkt dafür nennen können, dass das Erlangen von uneingeschränkten Rootrechten mit dem Nutzerpasswort in irgendeiner Form sicherer sein könnte, als eine Betrachtung der Nutzungshäufigkeit einzelner Programme und Parameter, sowie deren Schadenspotential, und einer darauf aufbauenden, entsprechend differenzierten, Konfiguration. Abgesehen davon solltest du dir wirklich mal darüber klarwerden, was du vermitteln möchtest: einerseits argumentierst du selbst, dass die Sache eine große psychologische Komponente hat – wenn’s dir nämlich gerade in die Argumentation passt, andererseits negierst du diese – wenn’s nämlich grad nicht so passt. Ebenso sind deine User entweder komplett perfekt, oder aber völlig dämlich – je nachdem, was dir gerade passend erscheint. Dazu kamen einige andere Punkte, bei denen deine Position je nach Bezug variierte. Ich denke, eine klarere und insbesondere stabilere Position hätte das Mäandern dieses Diskussionsfadens deutlich dämpfen können. Und wenn du nun meinst, man müsse dich als Institution oder Autorität auf dem Gebiet ansehen („… mein Team, hunderte Server weltweit …“, Vorgaben kämen von der BaFin [die Witze über den Laden angesichts aktueller und kürzlicher Entwicklungen spare ich mir an dieser Stelle mal, wie auch die lustigen Anekdoten zum BSI], und wasnichtalles), und dürfe deine Behauptungen daher nicht hinterfragen, so muss ich dich auch da enttäuschen – der Halo-Effekt funktioniert hier nicht so gut. Umso weniger, als dass man dich ja lediglich von deiner strahlenden Selbstdarstellung her kennt – und auf Selbstdarstellungen gebe zumindest ich nach all den Jahren Erfahrung nur noch wenig. Wie auch immer: ich will der Nutzung deiner heißen Luft als Windkraft nicht länger im Weg stehen, und verabschiede mich hiermit aus diesem Teil der Diskussion. o/
Jack V. schrieb: > Sheeva P. schrieb: >> Tut mir leid, Don Quijote, aber Du kämpfst gegen Windmühlen. > > Ein wahrer Punkt. Leider anscheinend auch ein wunder Punkt. > Allerdings: nur, weil derartige Abstriche in der Sicherheit gemacht > wurden, nur, damit die User ihr gewohntes Windows-Verhalten beibehalten > können („ausführen als: Administrator“ – ohne weitere Legitimation), > muss das weder gut sein, noch muss ich das gut finden. Nein, eben nicht "ohne weitere Legitimation". Im Gegenteil. Mit Legitimation. > Du argumentierst damit, dass die Entwickler deine Sichtweise ja vorsehen > würden, und sie daher die Richtige sein müsse. Nein. Ich argumentiere damit, daß haargenau das die Default-Konfiguration der Autoren von sudo(1) ist -- die, die sie selbst benutzen. > Und übersiehst dabei, > dass 95% der Manpage andere, gleichermaßen von den Entwicklern > vorgesehene, Konfigurationsoptionen aufzeigen, Langsam wird es ein bisschen lächerlich, findest Du nicht? > Wenn’s > dich wirklich interessiert, wie sudo mal gedacht war: such nach den > alten Sourcen/Dokumentationen der Prä-Canonical-Ära. Oh, ich habe in den letzten Tagen häufiger mal auf die Website und in den Weblog des Projekts geschaut. Ich frage auch nicht mehr nach Links auf diese ominösen "alten Sourcen/Dokumentationen der Prä-Canonical-Ära". Einerseits, weil Du mir Nachweise für Deine Behauptungen sicher ebenso schuldig bleiben wirst, wie Du es bei meinen letzten ausdrücklichen Bitten um Belege schon getan hast. Andererseits aber auch, weil ich sudo(1) schon seit einer Zeit benutze, als es Canonical (und übrigens die Konfigurationsparameter rootpw und targetpw) noch gar nicht gab. > Unglücklicherweise hast du auch keinen einzigen technischen Punkt dafür > nennen können, dass das Erlangen von uneingeschränkten Rootrechten mit > dem Nutzerpasswort in irgendeiner Form sicherer sein könnte, als eine > Betrachtung der Nutzungshäufigkeit einzelner Programme und Parameter, > sowie deren Schadenspotential, und einer darauf aufbauenden, > entsprechend differenzierten, Konfiguration. Nein, das habe ich nicht, das stimmt. Weil es keine Rolle spielt. Deswegen nutzen wir für unsere Product Owner auch genau diese Möglichkeiten -- und zwar nicht nach "Nutzungshäufigkeiten", die sowieso höchstgradig individuell sind, sondern nach der Notwendigkeit dessen, was sie dazu brauchen, um ihre Arbeit zu machen, ohne ständig auf uns Admins warten zu müssen. Ich habe auch zu anderen Themen sehr valide technische Punkte genannt, die nicht einfach verschwinden, weil Du sie ignorierst und nicht darauf eingehen kannst oder willst, weil sie Dir nicht in den Kram passen: - daß Root-Paßworte grundsätzlich anfällig für Angriffe sind - daß Root-Paßworte in Teams verteilt werden müssen, was neue Angriffsvektoren eröffnet - daß die Privilegieneskalation mithilfe einer Multifaktor-Authentifizierung als sicherste Methode anerkannt und heute maßgeblicher Stand der Technik ist Schau, es bist Du, dessen gesamte Serversicherheit ausschließlich an der Sicherheit Deiner SSH-Schlüssel hängt. Und Du willst mir was über Sicherheit verklickern? > Abgesehen davon solltest du dir wirklich mal darüber klarwerden, was du > vermitteln möchtest: einerseits argumentierst du selbst, dass die Sache > eine große psychologische Komponente hat – wenn’s dir nämlich gerade in > die Argumentation passt, andererseits negierst du diese – wenn’s nämlich > grad nicht so passt. Ebenso sind deine User entweder komplett perfekt, > oder aber völlig dämlich – je nachdem, was dir gerade passend erscheint. Bitte verzeih', mein lieber Jack, aber die dämlichen User sind nicht meine User. Es sind Deine dämlichen User. Die, die Du hier als Beispiel anführst. Die Copypaster ohne Sinn und Verstand. Deine Copypaster. Deine, Deine, Deine. Bei uns würde diese Art von Usern höchstens einen Taschenrechner bekommen. Aus Play-Doh. Alle Menschen, die ich kenne, sind klug genug um zu wissen, daß es etwas bedeutet, wenn einen ein Computer nach einem Paßwort fragt. Egal nach welchem. Zudem bestreite ich vehement, daß Deine "genialen Ideen" irgendwen vor irgendwas schützen können. Die Sorte User, die Dir anscheinend vorschwebt, werden sich ganz einfach einen anderen Weg zur Privilegieneskalation suchen. Vielleicht melden sie sich sogar gleich als "root" an, dann hast Du echt was gewonnen mit Deinem Unfug. Und ja, das sind valide technische Argumente. Sie werden nicht weniger valide noch weniger technisch, wenn Du sie ignorierst und nicht darauf eingehen kannst oder willst, nur weil sie Dir nicht in Deine merkwürdigen Ideen passen. > Und wenn du nun meinst, man müsse dich als Institution oder Autorität > auf dem Gebiet ansehen („… mein Team, hunderte Server weltweit …“, > Vorgaben kämen von der BaFin [die Witze über den Laden angesichts > aktueller und kürzlicher Entwicklungen spare ich mir an dieser Stelle > mal, wie auch die lustigen Anekdoten zum BSI], und wasnichtalles), und Das sind nun einmal die gesetzlich vorgeschriebenen Regularien. > dürfe deine Behauptungen daher nicht hinterfragen, so muss ich dich auch > da enttäuschen – der Halo-Effekt funktioniert hier nicht so gut. Du hattest ausdrücklich nach meinem Anwendungsfall gefragt, schon vergessen? Daher habe ich Dir erklärt, wie sudo(1) auf meinen Systemen genutzt wird. Nebenbei: alle (!) mir bekannten Linux-Distributionen mit Ausnahme von SuSE liefern sudo(1) in genau dieser, von Dir als "kaputt" und Schlimmeres beschimpften Default-Konfiguration aus -- sogar jene, die sudo(1) nicht standardmäßig installieren, dazu noch MacOS/X. > Umso weniger, als dass man dich ja lediglich von deiner strahlenden > Selbstdarstellung her kennt – und auf Selbstdarstellungen gebe zumindest > ich nach all den Jahren Erfahrung nur noch wenig. lol Ach, weißt Du, meine Kollegen, unsere Auditoren, die Admins unserer Kunden, die Leute vom BSI und, ja, nicht zuletzt auch ich machen dieses Sicherheitsdingsi halt tatsächlich professionell, und wie gut wir unsere Arbeit tun, wird regelmäßig von anderen Profis überprüft. Wir halten uns dabei im Wesentlichen an einen Mix aus Fachwissen, Erfahrung, gesunden Menschenverstand und die einschlägigen Gesetze und Vorschriften -- und riskieren unseren Job und womöglich sogar unsere Existenz, wenn wir das nicht tun würden. Jetzt sollen wir uns von einem dahergelaufenen Besserwisser aus dem Netz, der so seine Handvoll Webserverchen betreibt, belehren lassen, daß wir alle dumm und unfähig und "kaputt" sind? Weil er irrsinnige Benutzer, die noch nie ein Mensch gesehen hat und die auf unseren Maschinen nichtmal eine restricted shell bekommen würden, vor sich selbst schützen will, indem er sie stattdessen ermuntert, ständig in einer Rootshell zu arbeiten oder sich gar direkt als "root" anzumelden? > Wie auch immer: ich will der Nutzung deiner heißen Luft als Windkraft > nicht länger im Weg stehen, und verabschiede mich hiermit aus diesem > Teil der Diskussion. Du nennst es eine "Diskussion", wenn Du auf kein Argument eingehst, Deine wirren Behauptungen nicht belegst, und immer wieder denselben naiven Sermon repetierst? Diese Windmühlen, Don, denk' doch mal an die Windmühlen. Apropos Windmühlen: Du kannst Dich jederzeit anders verhalten als Dein Super-DAU, den Du hier sinn- und zweckloserweise vor sich selbst schützen willst. Du kannst Deine Systeme für Deine Benutzer so unkomfortabel und restriktiv gestalten, wie Du das für nötig hälst. Das mache ich mit meinen ja auch... :-)
:
Bearbeitet durch User
Welcher Teil von „ich […] verabschiede mich hiermit aus diesem Teil der Diskussion.“ war für dich unverständlich, so dass du nochmal ’ne Wand aus viel Text und wenig Inhalt und dafür persönlichen Angriffen und offensichtlich dem Zweck, eine Reaktion zu provozieren, hochziehen musstest?
:
Bearbeitet durch User
Also ich lese die ganze Zeit immer nur, aber in Situation XYZ ist dieses besser! Und dann kommet, aber in Situation ZXY ist aber das besser! Das ist wirklich eine gute Grundlage für eine Diskussion welche niemals Enden wird.
Jack V. schrieb: > Welcher Teil von „ich […] verabschiede mich hiermit aus diesem > Teil der Diskussion.“ war für dich unverständlich, so dass du nochmal > ’ne Wand aus viel Text und wenig Inhalt und dafür persönlichen Angriffen > und offensichtlich dem Zweck, eine Reaktion zu provozieren, hochziehen > musstest? Ah. Also darfst Du aggressiven Unsinn faseln, Dich wie ein trotziges Baby aufführen, mich persönlich angreifen, und wenn Du Dich dann "verabschiedest", soll ich den Mund halten? So läuft das nicht, werd' erwachsen.
Bei uns in der Pampa war es in der Vergangenheit oftmals so, daß wenn die Dorfnazis niemanden zum pöpeln fanden, sich dann gerne gegenseitig verkloppt haben. Ich erkenne hier langsam Parallelen dazu...
DANIEL D. schrieb: > Also ich lese die ganze Zeit immer nur, aber in Situation XYZ ist dieses > besser! Und dann kommet, aber in Situation ZXY ist aber das besser! > > Das ist wirklich eine gute Grundlage für eine Diskussion welche niemals > Enden wird. Das träfe zu, wenn es um Situationen ginge. Es geht aber um Jacks Konstruktion von Benutzern, die sich irgendetwas aus dem Internet herunterladen, und es einfach auf ihrem System mit Root-Rechten ausführen, ohne zu wissen, was sie tun. Jack glaubt nun, daß man diese Sorte von Benutzern vor sich selbst schützen könne, indem man ihnen nur wenige, eng begrenzte Befehle erlaubt. Auf den ersten Blick hat diese Idee sogar etwas: wer wenig kann, kann auch wenig kaputtmachen. Außerdem denkt Jack, daß es für diese Benutzer eine besondere Warnung wäre, wenn sie ein anderes Paßwort als ihr eigenes eingeben müßten, und dann einen roten Prompt sehen. Ich dagegen bin davon überzeugt, daß diese Art von Benutzern sich dann nur einen Weg sucht, das zu tun, was sie tun wollen. Ich denke, daß sein Weg noch unsicherer ist, weil sie dann ständig mit erweiterten Privilegien arbeiten. Denn denen geht es nicht um Paßworte oder Prompts, sondern nur darum, das zu tun, was sie tun wollen. Zudem halte ich es für problematisch, das von Jack gewünschte Paßwort zu setzen, besonders dann, wenn man den Benutzer dazu zwingt, es ständig und immer wieder einzugeben. Im Grunde kann man also sagen: ich halte Jacks Ideen für gefährlich, weil sie auf der einen Seite einen weiteren, unnötigen Angriffsvektor eröffnen, und weil sie auf der anderen Seite rein gar nichts zur Sicherheit der Jack genannten Benutzer beitragen. Im Kern geht es also um Benutzer, und da vertreten Jack und ich eben deutlichst verschiedene... "Modelle". Als Vergleich für Nichtfachleute bietet sich eventuell an, die... Rechtssysteme in den USA und Europa heranzuziehen. In den USA habe ich Mikrowellenherde gesehen, auf denen tatsächlich stand, daß man keine Haustiere in dem Gerät trocknen soll, in fast allen Autos in den USA findet sich eine Warnung im Spiegel "objects in the mirror might be closer than they appear", und Kaffee gibt es dort nur mit Temperaturen unter 60°C, damit sich niemand verbrühen kann. Ich folge dagegen der europäischen Rechtstradition, Menschen für mündig zu halten. Vernunftbegabte Menschen wissen, daß man Haustiere nicht in Mikrowellen trocknet und daß Kaffee heiß sein kann. Wir haben in der Fahrschule gelernt, wie man mit einem Rückspiegel umgeht. Und, wie bereits angedeutet: ich glaube auch nicht, daß eine Aufschrift auf einer Mikrowelle einen Vollidioten davon abhalten kann, eine nasse Katze in ebenjener zu ermorden. Nebenbei sehe ich aber noch ein anderes Problem, nämlich, daß die verdammte Aufschrift im Rückspiegel ausgerechnet den verdammten Pfosten verdeckt, an dem ich mir meine Stoßstange verbeule -- und ich mag meinen Kaffee obendrein gerne heiß und nicht lauwarm.
Jack V. schrieb: > OT: ›sudo cp irgendwas /irgendwohin‹ ist mal wieder ein gutes Beispiel > dafür, wozu ›sudo‹ nicht gedacht und geeignet ist – das funktioniert > auch nur mit ’ner kaputten Konfiguration. Kann ich so jetzt nicht unterschreiben. Kommt auch immer auf die Distribution an. Unter Ubuntu muss ich in der Shell immer ein Passwort angeben, wenn ich was mit sudo tun möchte. Wenn ich jetzt auf meinem Raspi sudo nutze, dann nicht - auf dem läuft Rasbian (Debian). Da ist sicher nichts kaputt, nur anders konfiguriert. Aber mich würde es auch mal interessieren, wie man in Nautilus unter Ubuntu 20.04 LTS (Gnome) solch eine Passwortabfrage einschalten kann, wenn man z.B. als Normaluser in einen Root-Ordner kopieren will. gEdit fragt mich z.B. nach einem Passwort, wenn ich eine "rechtlich höher gestellte" Datei öffnen will.
Johannes M. schrieb: > > Aber mich würde es auch mal interessieren, wie man in Nautilus unter `nautilus actions', but: https://ajreissig.com/root-nautilus/
etwas neuer nautilus-admin https://itsfoss.com/open-nautilus-as-administrator/ ---- einfach mal ein apt search nautilus-actions nautilus-admin gnome ts, TDE ;)
1of1 schrieb: > etwas neuer nautilus-admin > > https://itsfoss.com/open-nautilus-as-administrator/ > > > ---- > > einfach mal ein apt search > > nautilus-actions > nautilus-admin Danke Dir! 1of1 schrieb: > gnome ts, TDE ;) TDE? Ich kenn' nur noch KDE und LXDE.
Kann es sein das man Ubuntu 20.04LTS nicht ohne Internet installieren kann? Ich habe eben eine Stunde herumprobiert und dann kam das Bild mit dem Vektorpanther, und dann hat sich die Sache komplett aufgehängt. Dann habe ich den W-lan Stick herausgezogen und ein Ethernet Kabel herein gesteckt, und im "grafisch abgesicherten Modus" die Installation jetzt geht es. Und obwohl ich sogar die Festplatte ausgebaut und Formatiert hatte ist das Mistvieh Grub immer noch da gewesen. Mal sehen ob es jetzt wirklich richtig installiert. Okay irgendwie ist da noch was Faul. Man kann nichts anklicken. Naja das soll ja jetzt hier nicht das Thema sein. Mit Ubuntu 16.xxLTS hat jedenfalls noch alles funktioniert. Super 2 Stunden für nichts.
DANIEL D. schrieb: > Super 2 Stunden für nichts. Ich hatte XUbuntu auf meinem Desktop hier installiert als ich noch keinen DSL-Anschluss hatte und alles lief ohne Probleme. Das einzige Problem ist einfach nur dass die Sprachpakete nicht installiert werden, dazu muss man online sein.
Mike J. schrieb: > Ich hatte XUbuntu auf meinem Desktop hier installiert als ich noch > keinen DSL-Anschluss hatte und alles lief ohne Probleme. Ja ich habe das Problem im ubuntu irc gemeldet, aber dort konnte man sich auch nicht erklären warum das so ist. Aber das wird mein nächster Versuch werden xUbuntu, es ist auch das erste Mal dass eine Linux-Installation nicht geklappt hat.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.