ubuntuusers.de

Viele Benutzer sind nach der Installation von Ubuntu sofort auf der Suche nach neuen, anderen, besseren Softwarequellen als diejenigen, die von Ubuntu selber betrieben werden. Man möchte ja immer und sofort die neuesten und besten Software-Versionen nutzen. So wird jede Paketquelle vertrauensvoll zur Paketverwaltung hinzugefügt und nie hinterfragt, was das eigentlich bedeutet.

So kommt es zu solchen Auswüchsen. Wahllos werden etliche Quellen in die sources.list geschrieben und diese dann in Foren als Empfehlung beworben. Hunderte User gehen darauf hin und binden sich solche Listen mit Quellen in die sources.list ein ohne zu wissen was für Quellen das überhaupt sind.

So erging es Jοhan Kiviniemi. Johan betreibt eine kleine Paketquelle für seine Entwicklungen und Tests. Eine Handvoll User nutzen die Paketquelle um seine Software schnell testen zu können. Irgendwie wurde diese Paketquelle mit in die oben vorgestellte Paketliste aufgenommen, ohne dass der Entwickler kontaktiert wurde, ob das ihm überhaupt recht ist. Und auf einmal beziehen hunderte User Pakete über eine kleine Dial-Up Leitung, die eigentlich nur für wenige Leute gedacht ist.

Als er das bemerkte, wählte er eine kleine Überraschung für seine "Abonnenten". Er erzeugte eine neuere Version von "edgy-wallpapers" für seine Paketquelle und ersetze das Standard-Wallpaper durch diese Version. Ein harmloser, aber wirkungsvoller Scherz, der auf einmal die Benutzer in helle Panik/blinde Aufruhr versetzte. Denn diese wurden natürlich durch die automatischen Updates auch mit diesem Paket versorgt und fanden auf einmal das besagte Wallpaper auf ihrem Desktop wieder. Johan hat seine Meinung in dieser Erklärung abgegeben.

Und man muss zugeben er hat Recht. Bitte liebe Benutzer. Die Linux Welt ist meistens freundlich. Doch es würde ein leichtes sein, eine Softwarequelle aufzusetzen, diese eine Weile durch aktuelle Updates populär zu machen und dann eine wichtige Systemkomponente gegen z.B. Malware auszutauschen. Bitte fügt nicht jede Quelle blind zu eurer Paketverwaltung hinzu. Wenn ihr meint eine bestimmte Quelle zu brauchen, dann installiert aus ihr NUR die Programme, die interessant sind und deaktiviert sie danach wieder. Compiliert kleine Programme lieber selber und baut primär auf die Programme und Versionen, die Ubuntu selber mitbringt.

Was soll man dazu sagen? Jeder ist für sein System selbst verantwortlich. Um extra nochmal drüber nachdenken zu können muss man sogar extra mit root-Pw bestätigen. Gut so und was er getan hat war auch genau das Richtige. Wieso pissen sich die kleinen Leute denn an, nur weil ihr Wallpaper (zu Recht!) geändert wurde? Pfft... 😕

Leute die sich auch noch über ihn aufregen sollten lieber zu Windows zurück. Ihnen bietet Linux keinerlei Vorteile (wenn doch sowieso alles installiert und getan wird und tärämtärämtäräm) und sie haben nichts gelernt.

Die source.list ist ja wohl der Hammer 😲

Irgendwie macht mich das schon nachdenklich. Mitlerweile hab ich das Gefühl, hier geht es nicht darum, dass man sich mit Ubuntu, OpenSource oder Linux identifizieren kann, oder zu den Grundgedanken steht. Sondern eher, um 3D Effeckte, schneller weiter länger tiefer u.s.w.. Um dann endlich, die lang ersehnte Aufmerksamkeit zu erhalten. Ich finde das Verhalten, Jοhan Kiviniemi gegenüber, teilweise einfach nur arm. Langsam aber sicher, entwlickelt sich der Begriff "Konsument" als ein Schimpfwort. Das ist meine Meinung dazu.

Compiliert kleine Programme lieber selber

Hm, und da kann dein kein bösartiger Code drin sein? 😕

Ein Ratschlag, der nicht wirklich überzeugt.

Die Versuchung ist gross, wenn man etwas installieren möchte, zu dem es keine "offiziellen" Quellen gibt.
Ging mir genauso mit dem neusten nVidia Treiber und Beryl.
Im Beryl Forum habe ich Quellen entdeckt, die ich dann auch in meine "sources.list" eingetragen habe.
Ist eigentlich genauso, wie unter Windows:
"Doppelklicke ich die EXE jetzt oder nicht?"
😀
Denke, über das Risiko muss jeder selbst entscheiden.

Eventuell sollte man bei einem Update explizit nochmals automatisch darauf hinweisen, das man fremde Quellen verwendet und das diese Malware enthalten könten.

Hallo zusammen,

da muss ich mich meinem Vorredner ralph_ubuntu anschließen:

Wie kann man sich denn überhaupt sicher sein, dass man durch eine der eingebundenen Quellen nicht MALWARE bezieht???

Auch wenn ich nur Ubuntu-Quellen dauerhaft aktiviert habe, so kommt es doch ab und zu vor, dass ich aus Ubuntu-fremden Paketquellen etwas installiere.

Doch wie steht es selbst um die Ubuntu-Paketquellen???

Selbst kompilieren bringt da nicht wirklich was! Auch wenn ich weiß, was mit "selbst-kompilieren" gemeint war, so ist man doch als einfacher User solchen Angriffen mehr oder weniger schutzlos ausgeliefert - oder seh ich das falsch?

Gruß
Piccolino81

Piccolino81 hat geschrieben:

Hallo zusammen,

da muss ich mich meinem Vorredner ralph_ubuntu anschließen:

Wie kann man sich denn überhaupt sicher sein, dass man durch eine der eingebundenen Quellen nicht MALWARE bezieht???

Auch wenn ich nur Ubuntu-Quellen dauerhaft aktiviert habe, so kommt es doch ab und zu vor, dass ich aus Ubuntu-fremden Paketquellen etwas installiere.

Doch wie steht es selbst um die Ubuntu-Paketquellen???

Selbst kompilieren bringt da nicht wirklich was! Auch wenn ich weiß, was mit "selbst-kompilieren" gemeint war, so ist man doch als einfacher User solchen Angriffen mehr oder weniger schutzlos ausgeliefert - oder seh ich das falsch?

Gruß
Piccolino81

Das ist genau mein Reden, wer Gnu/Linux einsetzt sollte sich auch bis zu einem gewissen Grad damit auseinandersetzen. Dieses "blauaeugige" ich hab keine Ahnung aber es ist cool Linux zu installieren, bringt gerade eine Zielgruppe fuer Malware. Nur weil es Leute gibt, die alles ohne zu hinterfragen aus welchen Quellen es stammt installieren, kann sich Malware so rasant verbreiten.
Zu deinen Fragen: Installiere nur Binaries oder kompiliere nur aus Quellcode, der aus einer offiziellen, vertrauenswuerdigen Quelle stammt und dessen Pruefsumme und gpg Signatur die Authenthizitaet bestaetigt! Damit ist einigermassen gewaerleistet, dass kein boesartig manipulierter Code Einzug auf dein System erhaelt.
Und fuer alle gilt: Lest News, informiert euch ueber Sicherheitsluecken und News rund um Linux, lernt euer System besser kennen! (Ach so, ich vergass, das macht ja Arbeit, und um Ubuntu zu benutzen braucht man ja auch eigentlich keinerlei Grundwissen, warum auch, das kann man ja einem Neueinsteiger doch nicht zumuten, gell?)

Und was ist dann erst mit Automatix und Easyubuntu? Die SuperEXE für Ubuntu?

Kann Dir nur voll und ganz zustimmen mdk.
Dieses "klicken" wollen und immer weiter, höher, schneller, im Endeffekt nicht lernen wollen, ko... mich an.
Einem mit einer solchen source.list, dem ist nicht mehr zu helfen. 😉

Andy1 hat geschrieben:

Kann Dir nur voll und ganz zustimmen mdk.
Dieses "klicken" wollen und immer weiter, höher, schneller, im Endeffekt nicht lernen wollen, ko... mich an.
Einem mit einer solchen source.list, dem ist nicht mehr zu helfen. 😉

FULL ACK!
Leider kappieren die Betroffenen nicht, das sie sich nur helfen koennen wenn sie sich informieren und dazulernen.

ralph_ubuntu hat geschrieben:

Compiliert kleine Programme lieber selber

Hm, und da kann dein kein bösartiger Code drin sein? 😕

Ein Ratschlag, der nicht wirklich überzeugt.

Niemand, aber man kann eher davon ausgehen das die bei sourceforge gehosteten Quellen oder die Quellen direkt vom Author geprüfter sind, als irgendwelche Repositorys die gar nichts mit der eigentlichen Entwicklung des Programms zu tun haben.

Letztenendes ist die Installation von Software von irgendwo aus dem Internet immer Russisch Roulette, egal unter welchem Betriebssystem, irgendwann erwischt es jemanden.

Piccolino81 hat geschrieben:

Selbst kompilieren bringt da nicht wirklich was! Auch wenn ich weiß, was mit "selbst-kompilieren" gemeint war, so ist man doch als einfacher User solchen Angriffen mehr oder weniger schutzlos ausgeliefert - oder seh ich das falsch?

Irgendwo muss das Vertrauen nunmal anfangen. Wenn du den Binaries deiner Distribution nicht traust, dann solltest du diese erst gar nicht installieren. Genauso siehst bei Sourcecode aus dubiosen Quellen aus. Es ist jedoch oftmals so, dass Sourcecode tatsächlich angeschaut wird. Sei es von Hobby-Programmierern, die ein ähnliches Programm schreiben und sich Anregungen holen. Sei es Firmen, die sich Code "ausleihen". Usw. und so fort... Wie gesagt, die grosse Paranoia muss man nicht schieben.

Fremde Paketquellen haben jedoch den Nachteil, dass der Betreiber dieser Quellen *automatisch* Software auf deinem Rechner installieren kann. Angenommen du bindest eine Quelle ein, weil es dort mit SoftwareA ein Programmpaket gibt, das du installieren möchtest. Du bindest daher die Quelle ein und installierst SoftwarePaketA. Irgendwann beschließt der Betreiber, hey ich kann doch auch mal was fieses machen und definiert eine Abhängigkeit zwischen SoftwarePaketA und MalwarePaketB. Dadurch wird dieses Paket automatisch bei euch installiert, ohne nur einen Finger krum zu machen. *Das* ist die Moral, die der Artikel zeigen soll.

Tschuess
Christoph

Hallo mdkuser,
hallo Andy1,

sich in die LINUX-Materie einarbeiten und "Verstehen-was-unter-der-Haube-passiert" mag ja lobenswert - von Euch sogar erwünscht sein.

Doch eines scheint Ihr dabei völlig außer acht zu lassen:

Es gibt zunehmend User, welche genug von WINDOOF haben und gerne auf LINUX umsteigen würden. Diesen Leuten sei es doch vergönnt, dass sie eben NICHT (schon wieder) in die Materie einsteigen wollen!

Es kann doch auch gar nicht gehen, dass jeder, der nun anfängt Ubuntu - oder LINUX allgemein - zu nutzen, zuerst ein LINUX-Studium hinter sich bringen muss. Es gibt auch Leute, die den Computer einfach nur dazu nutzen wollen, wofür er doch im Grunde gedacht ist - dem Menschen das Leben zu erleichtern.

Und gerade diese Art von Usern sollte man mit LINUX zukünftig noch weiter "ins Visier nehmen". Warum? Nun, sie machen nun mal die Mehrheit aller Computer-User aus und sind damit eben genau die Möglichkeit, MICROWEICH zum umdenken zu bewegen.

Oder wer von Euch hat nicht mit einer der "anfängerfreundlicheren" Distributionen, wie z.B. Suse, Mandriva (ehemals Mandrake), Fedora (ehemals RedHat) angefangen, sich mit LINUX zu beschäftigen?

Versteht mich nicht falsch, ich finde es gut, wenn es Leute gibt, die auch verstehen wollen, was hinter den Kulissen passiert. Das ist nicht nur gut, für OpenSource ist das sogar die obereste Prämisse! Denn wo kämen wir hin, wenn keiner mehr kritisch hinterfragen würde, was "in den Paketen" steckt!

Was nun, wenn nun aber jemand daher kommt, der einfach nur das vermeintlich beste aus seinem LINUX herausholen will - jemand, der eben nicht so wie andere sich um die Hintergründe schert - jemand, der soviele Programme wie möglich NUTZEN will, um damit vielleicht sogar endlich von WINDOOF unabhängig zu werden - ... Sollte man ihm nicht mit Rat und Tat zur Seite stehen und ihn über seinen vermeintlichen Fehler aufklären, anstatt ihn oder "Leute wie ihn" hier nieder zu machen???

Gruß
Piccolino81

seh ich genauso ... Ubuntu ist doch unter anderem dazu da, auch Einsteigern das Leben leichter zu machen. Und standardmäßig sind ja sichere Paketquellen angegeben... auch wenn man auf die universe und muliverse erweitert.
Und von fremden Paketquellen kann man dann nur noch warnen... und genau das wurde ja getan, mit diesem Thread!
Auf Linux umsteigen soll nicht so sein, dass man ein vollständiges Verständnis dafür braucht. Für e-mails, Internet und sonstige Kleinigkeiten muss man sich da nicht extra einarbeiten, find ich. Bzw. laut vielen Posts hier würdet ihr fordern, für Benutzer, die den PC nur für so was verwenden (und nicht mehr wissen (wollen)), Windows zu benutzen ...

Ich finde die Aktion mit dem Panik Desktop prima.
Das hält die Leute ein bisschen ab vom Einlullen.

@Piccolino81:

Sollte man ihm nicht mit Rat und Tat zur Seite stehen und ihn über seinen vermeintlichen Fehler aufklären, anstatt ihn oder "Leute wie ihn" hier nieder zu machen???

Ich habe das nicht so empfunden, dass hier jemand nieder gemacht wurde. Maximal ein ernstes Wort gesprochen - aber das ganze ist eben als Hilfe und wirklich guter Rat gemeint.

Ich behaupte, man kann sich nur auf zwei Weisen verhalten:
- Entweder man traut so gut wie ausschließlich auf die Ubuntu-Quellen (ergänzt durch minimale Ergänzungen). Ich gedulde mich, bis der FF2 da ist (nun - er war definitiv schnell da), verzichte auf die Ergänzungen durch Automatix etc.
- Oder ich wähle mir sorgsam (!) zusätzliche Quellen aus. Dabei spielt es erst mal keine Rolle, ob die schon packetiert sind oder sonstwie vorliegen. Entscheidend ist, dass ich weiß, wie das Paket bzw. die Quelle in Bezug zum Entwickler steht (er packetiert selbst, er empfiehlt ein Paket, kein erkennbarer Zusammenhang) oder zu mir selbst (privat bekannt, vertrauenswürdige Unternehmung, oder doch ein dubioser Server in einem fernen Land).

In letzterem Fall ist es aber unabdingbar, dass man sich irgendwie mit der Sache auseinandersetzt: Fremde Repositories nur vorübergehend aktivieren. (Security)-Updates selber prüfen, sich (beispielsweise per ubuntuusers.de) auf dem Laufenden halten und eine strengere Backup-Strategie fahren

Ich komme noch mal auf Dich zurück, Piccolino81:

Was nun, wenn nun aber jemand daher kommt, der einfach nur das vermeintlich beste aus seinem LINUX herausholen will - jemand, der eben nicht so wie andere sich um die Hintergründe schert - jemand, der soviele Programme wie möglich NUTZEN will, um damit vielleicht sogar endlich von WINDOOF unabhängig zu werden

Ich glaube, gerade ubuntuusers.de zeigt in den meisten Fällen Nachsicht mit jeglichen Formen von - nennen wir sie mal provokant und nicht ganz ernst - "Chaoten" und "Wiederholungstätern". Ich habe davon selbst schon profitiert. Es gibt dann Rat und Tat.
Aber die beste Tat ist manchmal, das Desaster zu vermeiden, bevor es geschieht.

Ich bin von Windows seit Warty privat ganz weg (meine Wine-Ausflüge zähle ich nicht) und für meinen persönlichen Bedarf fehlt nur wirklich wenig (gutes Video-Compositing wäre mal ganz hübsch). Was ich aber seit Warty auch schnell abgelegt habe: "Ich muss mal ganz schnell diese Exe ausprobieren..."
Nicht gleich am Anfang - ich war es ja nicht anders gewohnt. Aber mit der Zeit sah ich den Sinn der klaren Ubuntu-Repositories: Andere Leute prüfen sehr genau, ob eine Software ausgereift genug ist - das muss ich nicht im Produktivbetrieb übernehmen.
Und das erspart mir das Ausprobieren und auch das Saubermachen danach.

P.S.: Piccolino81, magst Du Deinen Gebrauch an Fettschrift bitte etwas zurücknehmen. Das Auge springt immer sofort dahin - das ist wahrnehmungsmäßig recht konfus.