Dr._Zarkov
Anmeldungsdatum: 14. Juli 2006
Beiträge: Zähle...
|
[Polemik] „He, Kalle, haste dat gelesen? Gibt’s so’n Ding, dat soll dir die Rechte einschränkn tun bei die Programmens. Dat tut mal bestimmt nich wieder funktioknalln, wie dat soll, he? Köntt’ste ja auch gleich hingehn und die Rechte von die Benutzer einschränkn tun, wie? So weit tuts noch kommen, daß ich nich überall reinschreibn darf, wo ich will! Dat is bestimmt wieder so ne Feuerwall und dann brauchste wieder’n Paßwort, wo sich kein Mensch merken tun kann, nur wennste wat installiern wisst aus die Intanet. Also, ich sach ma, der kleine Mann, der muß dat wieder ausbaden tun am Schluß. Und wat is, wenn der Brauser mal dringend im Körnel rumopperiern tun muß, weil da wieder so’n Virenpferd drinsteckn tut, und du tust das nich rauskriegn sonst, he? Dat kann mal wieder’n schöner Mist sein, wie? Gib mich ma noch’n Bier her, Kalle.” [/Polemik] Oder, anders gesagt: AppArmor ist ne feine Sache, wie ich finde, und ich hoffe nur, daß sich genügend Leute für die Pflege und Profilerstellung finden. Bitte um Verzeihung für das polemische Gepolter, aber in diesem Fall lohnt es sich durchaus, erst mal nachzulesen, worum es eigentlich geht, anstatt gleich loszuunken und absolut irreführende Vergleiche mit Paketfiltern und anderem zu ziehen. Schließlich kann man auch mit Bordmitteln bereits drastisch einschränken, was einzelne Anwendungen alles können dürfen müssen sollen, nur macht sich fast keiner die Mühe, auch, wenn es oft sinnvoll wäre. Sich nur auf die grundlegende Rechtevergabe zu verlassen wird auf Dauer nicht genügen, wenn man wirklich wert auf halbwegs akzeptable Sicherheit legt, und AppArmor scheint mir ein ausgezeichneter Weg auch für unerfahrene Anwender, ohne große Mühe ein deutlich erhöhtes Maß an Sicherheit zu gewinnen. Wenn es denn Fuß fassen kann. Aber da vertrau ich auf die Entwicklergemeinde.
|
McRelax
Anmeldungsdatum: 12. März 2007
Beiträge: 161
Wohnort: Österreich, irgendwo bei Wien
|
Ich kenn mich da jetzt zwar nicht wirklich aus, aber ist es nicht ein bisschen überflüssig, nur wegen CUPS ein komplettes Tool zu installieren, dass die ganze Zeit im Hintergrund läuft? Trägt das nicht negativ zur Systemauslastung bei? Jason E. Leroy
|
beowulfof
Anmeldungsdatum: 27. April 2007
Beiträge: 366
|
McRelax hat geschrieben: Ich kenn mich da jetzt zwar nicht wirklich aus, aber ist es nicht ein bisschen überflüssig, nur wegen CUPS ein komplettes Tool zu installieren, dass die ganze Zeit im Hintergrund läuft? Trägt das nicht negativ zur Systemauslastung bei?
Lesen ist nicht alles... weitere Profile können Nachinstalliert werden, und es ist eine erstaufnahme, um später das ganze (hoffentlich) fest in die Distribution zu übernehmen, damit später im Idealfall, jedes .deb automatisch die Profile für sich selbst mitinstalliert, und das gesamte System dadurch gehärtet wird. MFG BeowulfOF
|
simpson-fan
Anmeldungsdatum: 29. April 2007
Beiträge: 1088
|
dass-Fehler: Vegeta hat geschrieben: im besten Fall ohne das der Anwender davon etwas bemerkt
Richtige Version:
im besten Fall ohne dass der Anwender davon etwas bemerkt
Ich will nicht pingelig sein, aber dass/das-Wörter findet man im Internet häufiger falsch geschrieben als richtig, deshalb sollten sich gute Seiten davon auszeichnen dass dort mindestens richtig geschrieben wird 😀 . Ansonsten vielen Dank für einen weiteren informativen Beitrag 8) Gruß simpson-fan
|
Vegeta
(Themenstarter)
Anmeldungsdatum: 29. April 2006
Beiträge: 7943
|
simpson-fan hat geschrieben: dass-Fehler
Tja da hatte ich schon immer eine Schwäche, die hätten den Mist bei der Reform kippen sollen. Werde versuchen meine Rechtschreibung zu verbessern, aber versprechen kann ich nix 😛
Ansonsten vielen Dank für einen weiteren informativen Beitrag 8)
Freut mich, dass dir der Artikel ansonsten gefällt. Werde die Korrektur gleich noch einfügen und auch noch einen Link zu Zero-Day-Exploits, falls jemand den Begriff nicht kennt.
|
Kerberos
Anmeldungsdatum: 18. Juni 2007
Beiträge: 330
|
Coole Sache, find ich besser als und sinnvoller als das komische Compiz das eh auf der Halfte der Rechner nid funktioniert oder nur unnütz Systemresurcen klaut... komischerweise ist es bei meiner Alternate Installation irgendwie nid dabei... 😕 Muss ich es wohl nachinstallieren... ☺ EDIT: Ist doch installiert... es ist aber ein fehler in der Wiki: der Befehl zum abrufen des Status ist apparmor_status in der Wiki steht fälschlicherweise apparmor-status
|
haraldkl
Anmeldungsdatum: 21. Juli 2005
Beiträge: 1903
Wohnort: Würselen
|
Hier gibt es ein nettes Paper über diese syscall-Kontroll-Tools: Exploiting Concurrency Vulnerabilities in System Call Wrappers. Darauf verlassen, dass ein solcher Wrapper einen auf jedenfall schützt, sollte man sich also nicht...
|
psych
Anmeldungsdatum: 21. April 2005
Beiträge: 338
Wohnort: Krefeld
|
Oh Oh Leutz... was hier teilweise für ein Unfug verbreitet wird.... Also mal zusammengefasst. Niemand muss sich wegen Apparmor aufregen das es: 1. ... keine spürbare Systemlast verursacht. 2. ... den Nutzer nicht in seinen Rechten beschneidet und sich dazu auch nicht missbrauchen lässt. 3. ... In der derzeitigen Implementierung in Gutsy keine Auswirkungen auf die Funktionsfähigkeit der Programme hat. Theoretisch kann derzeit jedes als normaler User ausgeführtes Programm auf alles zugreifen, worauf der normale Nutzer eben auch Zugriff hat. Programme für die ein Apparmor Profil existiert dürfen nur noch auf das zugreifen, was sie benötigen um zu funktionieren. Exisitiert also eine Sicherheitslücke in Pidgin, kann diese bei einem System mit Apparmor und Pidgin Profil nur noch dazu missbraucht werden Pidgin zu manipulieren ohne das der Rest des Systems beeinträchtigt wird. Das ganze hat wenig mit einer Firewall zu tun und kann auch nur sehr schwer gehackt werden. Meiner Ansicht nach ist Apparmor eine sinnvolle Ergänzung für Ubuntu. Im Moment bringt es zwar noch nicht viel... es schadet aber auch niemandem. Grüße, Psych
|
HeinBloed
Anmeldungsdatum: 19. Februar 2007
Beiträge: 173
|
psych hat geschrieben: Oh Oh Leutz... was hier teilweise für ein Unfug verbreitet wird.... Also mal zusammengefasst. Niemand muss sich wegen Apparmor aufregen das es:
Der einzige der sich hier aufregt ist Dirk Sohler. Und der hat sich schon über Compiz und Tracker beschwert... vielleicht sollte er einfach das 7.10er release auslassen, wenn er all das Neue nicht mag.
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
haraldkl hat geschrieben: Darauf verlassen, dass ein solcher Wrapper einen auf jedenfall schützt, sollte man sich also nicht...
Von der Vorstellung, dass es absolute Sicherheit gibt, sollte man sich sowieso ganz schnell verabschieden. 😉
|
d1rk
Anmeldungsdatum: 5. April 2006
Beiträge: 2420
|
HeinBloed hat geschrieben: Der einzige der sich hier aufregt ist Dirk Sohler. Und der hat sich schon über Compiz und Tracker beschwert... vielleicht sollte er einfach das 7.10er release auslassen, wenn er all das Neue nicht mag.
Compiz: Wurde nicht selbst gesagt, dass es noch getestet werden muss, und dass es aber jetzt schon eingebaut wurde, nur damit es getestet wird? Und was ist für die Updatesystem-Entwickler eigentlich das Problem, einen simplen Dialog („Wollen Sie, das versucht wird, Compiz-Fusion zu aktivieren?“ Inklusive zwei, drei Zeilen darüber, Stattdessen wird unabwählbar einfach versucht, den Kram zu aktivieren. Ob und wie das letztendlich funktioniert sei mal dahingestellt, aber bei so einer gravierenden Änderung am System sollte der User vorher zumindest GEFRAGT werden, oder? Tracker: Wer es nicht benötigt, sollte es komplett abschalten, oder gar problemlos deinstallieren können, meine Befürchtung war, dass dies eventuell nicht „einfach so“ möglich wäre, wie bei anderen Ubuntu-System-Programmen. AppArmor: Zum jetzigen Zeitpunkt nützt es niemandem, ob es jemandem Schadet (Dinge, die vorhanden sind, werden genutzt. „Hey, ich hab gehört, damit kann man sein System noch sicherer machen - Warum muss /usr/bin/gnome-panel eigentlich in /usr/lib/ lesen können?“) muss sich erst noch rausstellen. Warum man es aber praktisch „funktionslos“ (mit nachinstallierbaren „Test-Dateien“) in der finalen Version einer Distribution unterbringen kann, ist mir nicht ganz klar. Ich bin sehr für Neuerungen! Aber Tests bitte in Testversionen der Distribution. Außerdem will ich gefragt werden, wenn bei einem simplen Update theoretisch mein Fenstermanager ausgetauscht wird.
|
FaulesD
Anmeldungsdatum: 13. September 2005
Beiträge: 43
|
Dirk Sohler hat geschrieben: HeinBloed hat geschrieben: Der einzige der sich hier aufregt ist Dirk Sohler. Und der hat sich schon über Compiz und Tracker beschwert... vielleicht sollte er einfach das 7.10er release auslassen, wenn er all das Neue nicht mag.
Compiz: Wurde nicht selbst gesagt, dass es noch getestet werden muss, und dass es aber jetzt schon eingebaut wurde, nur damit es getestet wird? Und was ist für die Updatesystem-Entwickler eigentlich das Problem, einen simplen Dialog („Wollen Sie, das versucht wird, Compiz-Fusion zu aktivieren?“ Inklusive zwei, drei Zeilen darüber, Stattdessen wird unabwählbar einfach versucht, den Kram zu aktivieren. Ob und wie das letztendlich funktioniert sei mal dahingestellt, aber bei so einer gravierenden Änderung am System sollte der User vorher zumindest GEFRAGT werden, oder? Tracker: Wer es nicht benötigt, sollte es komplett abschalten, oder gar problemlos deinstallieren können, meine Befürchtung war, dass dies eventuell nicht „einfach so“ möglich wäre, wie bei anderen Ubuntu-System-Programmen. AppArmor: Zum jetzigen Zeitpunkt nützt es niemandem, ob es jemandem Schadet (Dinge, die vorhanden sind, werden genutzt. „Hey, ich hab gehört, damit kann man sein System noch sicherer machen - Warum muss /usr/bin/gnome-panel eigentlich in /usr/lib/ lesen können?“) muss sich erst noch rausstellen. Warum man es aber praktisch „funktionslos“ (mit nachinstallierbaren „Test-Dateien“) in der finalen Version einer Distribution unterbringen kann, ist mir nicht ganz klar. Ich bin sehr für Neuerungen! Aber Tests bitte in Testversionen der Distribution. Außerdem will ich gefragt werden, wenn bei einem simplen Update theoretisch mein Fenstermanager ausgetauscht wird.
Warum bleibst du nicht einfach bei den LTS Versionen? Dafür gibt es die doch 🙄
|
droebbel
Anmeldungsdatum: 19. Oktober 2004
Beiträge: 5388
|
Nicht daß ich bisher mit gutem Beispiel vorangegangen wäre 😳 , aber ist es nicht an der Zeit, den erklärten Troll zu ignorieren? Richtiggestellt wurde IMO all sein Unfug ( 😉 ) soweit, daß sein FUD bei mitdenkenden Lesern kein großes Unheil anrichten kann. Mehr kann man bei so jemandem nicht erreichen.
|
d1rk
Anmeldungsdatum: 5. April 2006
Beiträge: 2420
|
Ob und wie meine Befürchtungen eintreffen, wird sich im Laufe der nächsten beiden Wochen zeigen, in denen wohl ein Großteil der User upgraden - und mit den neuen Funktionen konfrontiert werden - wird. ☺
|
Schafdieb
Anmeldungsdatum: 16. November 2006
Beiträge: 111
|
Compiz ist definitiv reif um in Ubuntu "eingebaut" zu werden, bei zB läuft es seit April einwandfrei. Ob man es nun mit 2 Klicks aus- oder einschaltet ist doch wurscht. So, jetzt hör ich aber auf dich zu füttern. BTT: Ich finde AppArmor ne sinnvolle Neuerung. Gibt es allerdings Gründe, warum AppArmor und nicht SELinux verwendet wurde? afaik geht die Rechteabstimmung mit SELinux noch feinkörniger (zumindest stand was in der Richtung im neuen Kofler, denk ich)...
|