Virenscanner-Info

> > > Es gab mehrfach Versuche, eine feingranulare Rechtevergabe in Linux
> > > vorzusehen. Durchgesetzt hat sich augenscheinlich kein Ansatz. Keine
> > > der groszen Distrubtionen bietet eine unterstuetzung feingranualrer
> > > Rechte an.
> >
> > NaJa, schau Dir mal ‘man setfacl’ und ‘man getfacl’ an > >
> Kennen wir/ich. Trotzdem sind diese Ansaetze nicht ausreichend weit
> unterstuetzt. Gruende siehe u.a. Beitrag von HErrn Schillling, muss
> ich hier nicht wiederholen …..
Ok. Für den Virenscanner würde es reichen, da man so einem weiteren
Nutzer dediziert Rechte zuweisen kann.
> > > Falls ich REchte feingestuft zuteilen kann, brauche ich auch keinen
> > > omnipotenten Root-Benutzer mehr, vgl Solaris.
> >
> > Und wer hat Das Recht derartige Rechte zu vergeben?
>
> Muss/Darf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> DAtei, FAehigkeiten: ausgefuehrt zu werden ….
Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
nicht hat.
Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
System einen Nutzer geben, welcher — direkt oder indirekt — alle
Rechte ausüben kann.
Tschau
Stm

href=”http://www.ecomdev.de/2008/09/01/vmware-fusion-20-mit-virenscanner/”>virenscannerrf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> > vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> > DAtei, FAehigkeiten: ausgefuehrt zu werden ….
>
> Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
> auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
> nicht hat.
Wenn man das will, dann muesste man saemtliche Filesysteme erweitern.
Klar sind Loesungen denkbar bei denen ein ausfuehrbares File
zusaetzliche Metadaten bekommt die eine Rechteliste darstellen.
Das Problem ist hier aber, dasz dies wenig flexibel ist, weil man
nicht einem Binary unterschiedliche Moeglichkeiten nach den Rechten
der Nutzer geben kann.
Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
Rechte hat, muesste man alle Dateien im Filesystem abklappern.
> Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> System einen Nutzer geben, welcher — direkt oder indirekt — alle
> Rechte ausüben kann.
Das ist nicht noetig.
Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
berauben ist.

virenscannerbt http://ntvscfg.de
>
> Kenn ich schon. Eignet sich aber nicht im geringsten, um von den DAUs
> aus meinem Freundeskreis verstanden geschweige denn nachvollzogen zu
> werden.
Was eine PFW tut, können sie genausowenig nachvollziehen. Nur hat das
Skript den Vorteil, dass es das zugrundeliegende Problem *löst*,
anstatt es nur zu verdecken.
> > Außerdem: Wenn ein Benutzer keine Ahnung hat von Netzwerken, soll er
> > deiner Meinung nach eine Software installieren, welche zur
> > Konfiguration Ahnung von Netzwerken voraussetzt (mal unabhängig vom
> > Sinn oder Unsinn von PFWs)?
>
> Um ein Progrämmchen wie ZoneAlarm zu installieren braucht man
> wirklich keinerlei Netzwerkkenntnisse,
Um es zu installieren nicht. Um es sinnvoll zu konfigurieren schon.
> da schon in der Standardkonfiguration alle offenen Ports von außen
> nicht mehr sichtbar sind.
Und bei Anwendung des oben genannten Skripts gibt es gar keine
offenen Ports mehr, die von aussen sichtbar sein könnten.
cu
59cobalt

> > > Muss/Darf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> > > vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> > > DAtei, FAehigkeiten: ausgefuehrt zu werden ….
> >
> > Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
> > auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
> > nicht hat.
>
> Wenn man das will, dann muesste man saemtliche Filesysteme erweitern.
> Klar sind Loesungen denkbar bei denen ein ausfuehrbares File
> zusaetzliche Metadaten bekommt die eine Rechteliste darstellen.
> Das Problem ist hier aber, dasz dies wenig flexibel ist, weil man
> nicht einem Binary unterschiedliche Moeglichkeiten nach den Rechten
> der Nutzer geben kann.
Ließ Objekt hier als Nutzer. Ob das angesprochene Objekt ein Nutzer,
ein Executable (mit suid XYZ) o.ä. ist macht eigendlich wenig
unterschiede.
> Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
> die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
> denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
> Rechte hat, muesste man alle Dateien im Filesystem abklappern.
s.o. Die REchte eines Nutzers sind nur die die er selber hat. Alles
andere sind indirekte REchte.
> > Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> > Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> > Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> > ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> > System einen Nutzer geben, welcher — direkt oder indirekt — alle
> > Rechte ausüben kann.
>
> Das ist nicht noetig.
>
> Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
> geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
> zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
> berauben ist.
Hilfe. Ich möchte garnicht erst wissen wie man so ein System nach
einem Crash aus dem Backup wiederherstellen soll… Ganz zu schweigen
wie man erst ein Backup macht…
Tschau
Stm

> > Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
> > die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
> > denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
> > Rechte hat, muesste man alle Dateien im Filesystem abklappern.
>
> s.o. Die REchte eines Nutzers sind nur die die er selber hat. Alles
> andere sind indirekte REchte.
Wenn Du das so siehst, dann denkst Du noch zu sehr in alten
Kategorien.
> > > Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> > > Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> > > Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> > > ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> > > System einen Nutzer geben, welcher — direkt oder indirekt — alle
> > > Rechte ausüben kann.
> >
> > Das ist nicht noetig.
> >
> > Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
> > geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
> > zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
> > berauben ist.
>
> Hilfe. Ich möchte garnicht erst wissen wie man so ein System nach
> einem Crash aus dem Backup wiederherstellen soll… Ganz zu schweigen
> wie man erst ein Backup macht…
Ganz einfach: Du brauchst mit der Rolle als Backup Administrator nur
das Recht “star” aufzurufen und das System gibt dem Programm
star (wenn von Dir gestartet) die Rechte beliebige lokale
Files zu schreiben und beliebige lokale chown’s zu machen.

virenscannere REchte eines Nutzers sind nur die die er selber hat. Alles
> > andere sind indirekte REchte.
>
> Wenn Du das so siehst, dann denkst Du noch zu sehr in alten
> Kategorien.
Mag sein, aber das Problem ist sonst vermutlich nicht deterministisch
lösbar (bzw. zumindest exponentiell mit der Anzahl der Dateien die
indirekte Rechte haben (können)).
> > Hilfe. Ich möchte garnicht erst wissen wie man so ein System nach
> > einem Crash aus dem Backup wiederherstellen soll… Ganz zu schweigen
> > wie man erst ein Backup macht…
>
> Ganz einfach: Du brauchst mit der Rolle als Backup Administrator nur
> das Recht “star” aufzurufen und das System gibt dem Programm
> star (wenn von Dir gestartet) die Rechte beliebige lokale
> Files zu schreiben und beliebige lokale chown’s zu machen.
Lesen muß ich sie auch (sonst kann ich sie schlecht sichern) Aber
damit ist der Angriff doch schon möglich. Ich muß nur dafür sorgen,
daß aus dem Backup repository die Datei mit der die Rechtevergabe
geregelt wird neu geschrieben wird. Als Backup Administrator dürftest
Du auch zugriff auf die Bänder haben und kannst diese dann außerhalb
manipulieren. (Wenn Du jetzt mit Checksummen usw. kommst, Auf die
Schlüssel zur Erzeugung brauche ich auch Zugriff — abgesehen davon
daß sie auch irgendwo im Backup stehen dürften). Das ist zugegebener
maßen sehr vereinfacht — da Du ja nur den einzelnen Programmen die
REchte gibst für mich zu lesen — aber auf diesem Weg sollte es
trotzdem möglich sein belibige REchte zu erhalten.
Tschau
Stm

> > Wenn sie das nicht müssen, dann schaltet man diese Dienste ab. Ganz
> > einfach. Dazu braucht man keine Firewall, schon gar keine, die aus
> > Prinzip nicht funktionieren kann.
a) Personalfirewalls funktionieren.
b) Abschalten ist problematisch: schalte mal den Dienst ab über
den der Blaster reingekommen ist.
> > Richtig. Also schaltet man auf Rechnern für diese Leute selbige ganz
> > einfach ab.
Nun, da kommt ein Problem auf: entweder geht das nicht,
oder (ich bin kein Windows-Profi) ich *kenne* die Dienste
und ihre Optionen schlichtweg nicht.
Ich habe auch auf meinen Linux-Kisten die PFWs an; dort sind
“interne” Server zwar, wenn möglich, so konfiguriert daß sie
nicht auf ppp und ipsec lauschen — aber sicher ist sicher.
> > > — und das sogar
> > > ohne Wartungsaufwand (d.h. man richtet das Ding bei
> > > der Inbetriebnahme ein und fertig).
> >
> > Erzähl noch mehr von Deinen Märchen.
Wo ist denn Wartungsaufwand nötig? Vergiß nicht — ich
rede von Lieschen Müller, andererorts auch “Otto Normal”
genannt. Lieschen und Otto brauchen heute keine Server,
und morgen auch nicht.
> > > Problematisch wird’s allenfalls für Leute die im Internet
> > > auch zocken wollen — da stört so eine PFW etwas. Da
> > > muß man die Sache dann halt umdrehen: alles eingehende
> > > freigeben, und die von den Serverdiensten verwendeten
> > > Ports sperren.
>
> Also ich habe da wirklich gar keine Probleme.
Das liegt aber daran daß Du Deine PFW umkonfigurieren kannst.
Ich gehe dagegen nicht von mir selber aus sondern von meinen
Eltern: dort kann ich halt gelegentlich mal Hand an die Kiste
legen wenn ich sie besuche, und sonst hat die Kiste zu laufen:
ohne Popups, ohne Probleme, ohne Sicherheitslöcher, ohne
Administration. Ohne Personalfirewall wäre das Chaos und
ständige Rumtelefoniererei (”jetzt dorthin klicken, dann
dahin, …) um irgendwelche Updates rechtzeitig auf die
Kiste zu bringen — so ist das Update gegen den Blaster
halt an Weihnachten auf der Büchse gelandet (das Problem mit
dem automatischen Update ist daß ich noch nicht weiß ob
das funktioniert wenn die Kiste nie mit Admin-Rechten
gebootet wird… und ob man es komplett silent stellen
kann (keine Progressanzeigen, keine Aufforderung zum
reboot, kein reboot).
Bei Gelegenheit werde ich mich zwar mal damit beschäftigen
müssen einen “unsichtbaren” VPN-Tunnel zu mir einzurichten
so daß ich ggfs. über einen VNC-Server oder RDP (letzteres
kenne ich noch nicht… insbesondere weiß ich nicht ob man
dafür noch zusätzliche Software braucht, oder was es kann)
Zugriff auf die Kiste habe, aber auch da kann ich nicht
ständig aktiv sein — das wäre ein Notfallzugang. Und VNC
über eine Leitung wo ein 56K Modem auf der einen und TDSL
auf der anderen Seite sitzt ist garantiert auch kein Spaß Alles was ich da aber bisher “weiß” ist daß XP bereits
IPSec kann und Linux kein PPTP, so daß zumindest die
Protokollfrage schon geklärt ist Und für mich selber
brauche ich das eigentlich auch — derzeit gilt mein
gesamter LAN-Traffic als “gut” und darf z.B. durch den
VPN in die Firma, weshalb ich bei LAN-Parties einfach
den Tunnel abstelle. Besser ist es aber natürlich einfach
auf den Desktops einen Tunnel zum Gateway einzurichten
und nur Traffic aus dem LAN-Tunnel in den Firmen-Tunnel
zu lassen In diesselbe Richtung gehen auch andere Ãœberlegungen —
beispielsweise könnte man versuchen über den VPN-Tunnel
eine Art inkrementelles Backup anzufertigen das halt
unsichtbar läuft solange die Kiste online ist; das dürfte
aber, selbst wenn ich geeignete Software finde, schon
daran scheitern daß kurze Modemverbindungen die Datenmengen
wie sich durch Word-Dateien entstehen wahrscheinlich
nicht transportieren können und das Backlog für’s Backup
daher ständig wachsen wird…
Oder ich beschränke mich nicht darauf meinen Eltern zu
erklären daß man keine Attachments startet, sondern route
die Mails durch meine Kiste (VPN-Tunnel = Authentifizierung,
und ich öffne keine zusätzlichen Angriffspunkte) und
installiere dort einen Spamfilter der sich automatisch
updated — das umgeht dann auch die Probleme mit dem
Zeitlimit bei web.de. Das sind derzeit aber nur
Ãœberlegungen was ich verbessern könnte, wenn ich mal
die Zeit dafür finde (haha… ich komme ja nichtmal
dazu die Brennsoftware auf meinem Server zusammenzubasteln,
oder dort einen IMAP-Server für mich einzurichten…).
Das ist auch aus Usersicht unproblematisch, da ich ja
nur die OE-Einstellungen anpassen muß und sich für meine
Eltern nichts ändert.
Hm… ich glaube ich bin etwas abgeschweift Aber egal;
Sicherheits- und Wartungspolicies für den elterlichen
Rechner und Sicherheitspolicies für Firmennetze unterscheiden
sich halt nunmal ziemlich stark.
Christian

> Ich bin überzeugt davon!!!
Dann brauchen wir mehr Trolle. Spam gibt es als Ablenkung für die
Fahnder ja eher nicht hier.
> Das Forum ist öffentlich, für jedermann
> zugänglich. Also auch für Rolli (ohne das er gegen das GG verstossen
> muß). Ich behaupte das diese Daten alle irgendwo zentral gespeichert
> werden.
Also die zentrale Speicherung der Daten muß man doch gar nicht
“behaupten” - sie ist gegeben. Beim Heise-Verlag gibt es sicherlich
eine relativ zentrale Speicherung der Posts (naja, könnte auch ein
RAID sein).
> Denk einfach mal an die “alten” Geheimdienste… Zeitungen werden
> (wurden) gesammelt, alles was irgendwann irgendwo geschrieben wurde
> liegt noch irgendwo in irgendeinem Ordner. Und heut? Digitalisierung
> macht alles viel einfacher und schneller.
> Ich bin mir sicher das die Foren mitgelesen und gespeichert werden.
> Kann mich natürlich irren was mich aber positiv überraschen würde..
Ach was solls, meine Meinung über die Zypresse wird aber sicherlich
nicht ihr zu Ohren kommen. Für so wichtig halte ich mich dann doch
nicht…
> Ãœbrigends, bis vor kurzem hab ich für einen SW Hersteller im Bereich
> DMS (Dokumentenarchivierung / -management) gearbeitet… Ich weiss
> wovon ich rede. :-))
Du, ich bastel Software in dem Bereich. Vllt. hast du sogar mal ein
Programm von mir benutzt Grüße,
-CG

was willste den damit scannen?
google mal nach bartpe
is ne livecd mit windows xp/2003…
da haste den vorteil dass du vollzugriff aufs dateisystem hast, an
die registry ran kommst - pw zurücksetzen usw. und das teil auch auf
viren scannen kannst.
hat sich hier bei mir bewährt, auch wenn ichs meistens nehm um images
aufzuspielen…
die bösen dell-server haben keine richtigen treiber für dos um ein
ghostimage zurückzuspielen. (raid-controller nich netz)
auf meiner bartpe läuft stinger, mcaffe (lol) antivir usw.
die kannste von da aus auch updaten wenn du netzwerk (w)lan dsl oder
modem hast.
schau da mal drauf:
www.ubcd4win.com/
damit kannste dir ne relativ gut vorkonfigurierte bartpe-cd incl.
virenscanner erstellen.
schau aber nach dem entpacken mal die pluginorder durch. du musst zum
teil noch die aktuellsten definitionen runterladen und reinkopieren.
erklärt sich fast von selbst.
lad ich mir auch ab und zu runter wenn ich neue plugins suche.
hab meine bartpe aber selbst gemacht und angepasst. wenn du fragen zu
treiber usw hast, einfach fragen.

> Wunderbar, dann bist Du also auch meiner Meinung, dasz
> die von Dir beschriebene Idee Rechte Tags an Dateien zu
> haengen sehr schlecht ist.
Das würde ich so nicht sagen.
Das Problem ist unabhängig vom Ort der Speicherung. Es ist nur eine
Frage wie die REchte sich ggf. vererben. Wenn lediglich
Nutzer->Programm möglich ist und nicht auch Programm->Programm dann
ist das Ganze mit O(N) tivial.
Dann sind allerdings solche Sonderregelungen wie für das Backup
beschrieben fraglich (Es geht solange keine executable Rechte
dazukommen sondern nur lese/schreibrechte (usw.)).
> Mit der Sun Loesung sage ich welcher Nutzer/Rolle mit welchem
> Programm welche Rechte bekommt. Diese Rechte vererben sich
> auf alle gerufenen Programme aber nicht mehr.
Die Frage bleibt: Kann ein Nutzer über ein Programm X ein zweites Y
aufrufen, welches er selber nicht aufrufen darf?
> Bei dem System von kann niemand auf indirektem Wege mehr als
> auf den direkten Weg.
s.o.
Tschau
Stm