Puppy Sicherheit

Post Reply
Message
Author
ottto
Posts: 51
Joined: Wed 23 Dec 2009, 19:22

Puppy Sicherheit

#1 Post by ottto »

Hallo zusammen,
man liest immer wieder, dass puppy im Netz unsicher ist, da man immer als root unterwegs ist. Und das noch ohne Passwortabfrage.
Wenn ich jetzt mit einer Live-CD arbeite, wäre mir die Sicherheit des BS relativ egal.
Wie steht es aber mit den Daten, die ich auf einer gemounteten Festplatte liegen hab?
Wenn ich min WinXP als "nicht Root" angemeldet bin, hab ich ja meine Daten auch im Zugriff. Da hätte der "Angreifer" aber immer noch die Aufgabe mein UserPasswort zu knacken.
Kann man bei puppy dem root ein Passwort mit geben? So dass dieses bei der Anmedung abgefragt würde. Dann wäre man ja aus meiner Sicht zumindest genau so sicher wie mit WinXP, oder???
Kann mir das vielleicht jemand erklären?

Danke.
Gruß.
ottto

oui

#2 Post by oui »

Hallo o3to

Du musst das anders sehen: Ich kam 2003 zu Puppy, weil unsere MS-Windows-PC's noch laufend angegriffen wurden (Sohn war noch Gymnasiast, aber auch ohne Kinder war man oft Opfer von Angriffen) und ich einen Grossteil meiner Freizeit verbrachte, die PC's wieder lauffähig zu machen... Damals war Linux noch sehr schwach, und es gehörte eine gute Portion Heldentum, statt Windows, Linux zu nehmen. Ich kam sogar nicht zu Puppy (lange Linux-Experimente hatte ich schon ab 1995, aus dieser Zeit habe ich immer noch CD-Sammlungen von Canecreek usw.) sondern zu micro-Systemen, wo ein gewisser Barry Kauler sich auch noch tummelte. Er war von der Miniaturisierung ein Anhänger, unterhielt sehr informative Webseiten, und fing an sein in der Entstehung befindlichen Puppy Linux anzupreisen.

Puppy war damals eine Distro bestehend aus einer ganz kleinen ISO-Datei, mit welcher man eine bootfähige CD brennen konnten, und lief im RAM von alten 486igern mit nur 64 MB den ganzen Tag ohne Klage. Noch besser, mir ging sogar mal eine Festplatte kaputt, und der Rechner konnte vollkommen ohne Festplatte laufen. Und auf der CD gab es genug Stoff, um das Tägliche in einer Freizeit- und Privat-Haushaltsumgebung bewerkstelligen zu können, ohne Windows irgendwie zu vermissen: Windows brachte ohne (oft) kostenpflichtigen Software oder Raubkopien (Gymnasiasten brachten zur grossen Aufregung deren Eltern Raubkopien mit nach Hause, mit Viren sogar noch dazu!) viel weniger...

Schaltete man ab, war alles verloren (so hat man den Rechner ab und zu mehrere Tage hintereinander laufen lassen müssen, um so was wie ein Bewerbungsschreiben, oder eine Kalkulationstabelle, etwas länger festzuhalten).

Speichern konnte man nur, indem man es schaffte, die Internetverbindung hinzukriegen, und Dateien seiner eigenen email-Adresse anvertraute.

Der PC war total unangreifbar, da es nicht mal eine Schnittstelle zur Festplatte gab. Niemand konnte damals eine ISO-Datei aus der Ferne verändern, und schon gar nicht auf einer normalen CD! Wenn es ein Angriff gegeben haben sollte, und man hatte es gemerkt, Neustart und weg war es! Nach dem täglichen Abschalten auch.

Warum brauchst Du dann Zeug wie User-Name, Passwort usw.? Welche Sicherheiten hätte es gebracht?

Und Puppy war zuerst nur so mehrere Jahren. Und exakt so kann man heute noch immer noch vorgehen!

Dann kamen tropfenweise mehr Möglichkeiten hinzu... Eine der interessantesten (in einer Zeit wo es noch kaum ein PC mit USB und schon gar nicht zum Speichern gab) ist gewesen, statt CD, CD-RW zu benutzen und darauf dann zu schreiben! Aber auch auf normalen CD's im Mehrsessionsmodus, da Puppy so klein war (20 MB am Anfang, und dann sehr lange Zeit nur 50 MB, eine magische Grenze, die es galt, zu bewahren), konnte man User-Daten für das System als Sessionsprotokoll abspeichern. Man konnte so sogar bis zu 10 Sessionen usw. hintereinander festhalten, und bei Start eine davon wählen, so dass Mann und Frau die gleiche CD benutzen konnten, dass jeder dabei von der gleichen CD und ISO seine eigene gültige Session einsetzen kann, um bei Start nicht die Abfrage der immer gleichen Userparameter erleiden zu müssen...

Immer noch keine Gefährdung!

Und dann fing man an, herkömmliche Daten, Texte, Tabellen, Tonaufnahmen, und pipapo abspeichern zu können und wollen. Aber das hat man in einer besonderer Datei gemacht, eine Art von Pseudo-Laufwerk auf der CD-RW, oder eben direkt auf der Festplatte, in einer sogen. Datensicherungsdatei! Normale Systeme benutzen so was nicht... Damals nicht, heute nicht. Die Datensicherungsdatei verhält sich wie eine kleine Partition mit einer eigenen und ziemlich eigenwilligen Verwaltungstechnik... Man kann da in der Tat Daten verlieren. Dafür kann man leicht täglich diese Datei kopieren. Wenn man einen Angriff merkt, dann kann man leicht einen Schrittchen, zur Session des Tags vorher oder noch davor, zurückgehen, und hat wenig verloren.

Und exakt so kann man heute noch immer noch vorgehen! Auch diesbezüglich.

Der Schutz beruht also darauf:

- wenig Angriffsfläche zu geben,
- eine eigenwillige Verwaltung einzusetzen, die fast keiner kennt (und nicht ein mal innerhalb aller Puppy's gleich ist!),
- häufig seine Datensicherung selber zu sichern.

Das Problem der (mangelnden) Sicherheit kommt erst hervor, wenn man mit Puppy Aufgaben meistern will, die Experteneigenschaften voraussetzen.

Aber da auch gibt es eine Hilfe: Der Partitionswechsel ist immer noch keine alltägliche Sache. Viren und Angreifer erkennen nicht sofort: «Das ist ein Puppy-Linux, dann ist das und das zu tun, und "das" und "das" möglich», sage ich mal so. Was wäre "das" und "das"? Partitionserkennung, Partitionen alle ausloten, und mit diesem Wissen etwas machen... Aber zuerst müsste man erkennen, es ist Ubuntu-Software, aber es ist nicht Ubuntu (Slackware, Debian, Arch)...

Man kann Puppy, und das ist ein der Erfolgsgründe, besonders leicht Remasteurisieren (eine neue ISO-Datei mit einem so gut wie völlig freiem Datenbestand daraus wieder anfertigen). Gibt man genug persönliche Daten drin ein, ja, direkt in der neuen ISO, damit das System ganz aus dem RAM laufen kann, dann baut man eine neue Schwierigkeit ein: Der Angreifer muss vom Laufwerk RAM in ein noch nicht abgeklärtem anderen Laufwerk überwechseln, bevor er an da stehenden Daten herankommt...

Und Systeme, die vollständig und gut im RAM als Programm- UND Datenlaufwerk laufen können, gibt es nicht viele!

Als Sport, als persönliche Herausforderung ...
... ja, so ein Angriffsprogramm könnte sich lohnen! Aber kaum zu realistischen Zielen!

Und wer sind Puppyisten? Oft User von uralten Kisten... Was willst Du da breitflächig holen?

Solange man mit Puppy nicht ein komplettes Produktionsnetzwerk betreiben will, hm, wozu?

Allerdings sage ich auch, Puppy ist kein gutes, sicheres Linux: Da liegt der Hase im Pfeffer - Puppy ist, wenn man es genau nimmt, kein richtiges Linux mehr, sondern ein eigenständiges neues und andersartiges System, und daher ist der Vergleich nicht wirklich möglich!
Es setzt Verantwortungsgefühl und klare Erkennung der Grenzen voraus. Wahrscheinlich deshalb unterstützt Barry Kauler kaum etwas anderes als seine inzwischen uralte (10 Jahre) Mixtur von Programmen, diejenigen, die in jeder seiner ISO's dabei sind (und ein breitgefächterte tägliche Benutzbarkeit im Heimbereich und Studium ermöglichen, theoretisch ohne jegliche Ergänzung zu benötigen, sogar flash etc. ist schon dabei):

Der Rest, diese zusätzlichen *.pet's (dotpets) und *.sfs's (dotsfs) ist, sage ich so, scherzend, Teufelsbeiwerk des Users :roll: selbst: Er soll die Verantwortung dann der etwaigen Probleme auch selbst tragen, bzw. die Erbauer der dotpets und dotsfs...

Gruss

User avatar
L18L
Posts: 3479
Joined: Sat 19 Jun 2010, 18:56
Location: www.eussenheim.de/

Re: Puppy Sicherheit

#3 Post by L18L »

ottto wrote:Kann man bei puppy dem root ein Passwort mit geben?
Falsche Frage. Er hat doch ein Passwort, wenn Du es noch nicht auf nichts geändert hast. Ändere halt das Password.

Code: Select all

passwd
ottto wrote:..So dass dieses bei der Anmedung abgefragt würde.
Ändere die Datei /etc/inittab so:

Code: Select all

::sysinit:/etc/rc.d/rc.sysinit
#tty1::respawn:/sbin/mingetty --autologin root tty1
tty1::respawn:/sbin/getty 38400 tty1
tty2::respawn:/sbin/getty 38400 tty2
tty3::respawn:/sbin/getty 38400 tty3
::ctrlaltdel:/sbin/reboot
Nach erfolgreicher Anmeldung dann mit

Code: Select all

xwin
X starten.

antilet
Posts: 213
Joined: Fri 17 Aug 2012, 09:24

Re: Puppy Sicherheit

#4 Post by antilet »

L18L wrote:
ottto wrote:Kann man bei puppy dem root ein Passwort mit geben?
Falsche Frage. Er hat doch ein Passwort, wenn Du es noch nicht auf nichts geändert hast. Ändere halt das Password.
Vielleicht habe ich es ja falsch verstanden, aber ist nicht die Kritik an puppy, dass man immer als root-User unterwegs ist? Bestimmte Aktionen müssen nicht per Passwort freigegeben werden. (Wobei der Laie idR. auch bei anderen Distributionen nicht immer weiß, wofür gerade das Passwort angefordert wurde...)
Daran ändert doch auch das Ändern des Passwortes nichts.

Oft befindet sich das größere Sicherheitsrisiko vor dem Rechner... ;)
[color=blue][size=75]Toshiba Satallite M30X-124 | ATI Mobility Radeon 9700 | Intel PRO/Wireless 2200BG
Most Linux need special boot options to boot on this laptop: i8042.nomux=1 highres=off nohz=off irqpoll[/size][/color]

User avatar
L18L
Posts: 3479
Joined: Sat 19 Jun 2010, 18:56
Location: www.eussenheim.de/

Re: Puppy Sicherheit

#5 Post by L18L »

antilet wrote:Oft befindet sich das größere Sicherheitsrisiko vor dem Rechner... ;)
Wie wahr, ganz besonders, wenn er nie das vom Hersteller mitgelieferte Passwort ändert.
In anderen Systemen heisst es halt admin oder supervis oder toor oder ..... :wink:

PS: ich hatte nicht vor, in eine Diskussion über "Kritik an Puppy" einzusteigen (das hat oui wunderbar erledigt) sondern nur eine konkrete Frage zu beantworten.

antilet
Posts: 213
Joined: Fri 17 Aug 2012, 09:24

#6 Post by antilet »

Wie ist denn das "Herstellerpasswort"?
Ich hatte vor geraumer Zeit schon mal danach gesucht, bin aber nicht drüber gestolpert bisher...

PS. Ging mir auch nicht um Kritik an puppy sondern darum, wie viel das Ändern des root-Passwortes bringt. Wird eine initiale Änderung diese Passwortes vom "Hersteller" empfohlen (wäre mir zumindest noch nicht aufgefallen) ?
[color=blue][size=75]Toshiba Satallite M30X-124 | ATI Mobility Radeon 9700 | Intel PRO/Wireless 2200BG
Most Linux need special boot options to boot on this laptop: i8042.nomux=1 highres=off nohz=off irqpoll[/size][/color]

User avatar
L18L
Posts: 3479
Joined: Sat 19 Jun 2010, 18:56
Location: www.eussenheim.de/

#7 Post by L18L »

antilet wrote:Wie ist denn das "Herstellerpasswort"?
Ich hatte vor geraumer Zeit schon mal danach gesucht, bin aber nicht drüber gestolpert bisher...
Dann hast du es auch noch nie gebraucht. z.B. zum Einloggen in einer echten Konsole > Ctrl-Alt F2 8) Es ist wauwau auf Englisch
antilet wrote:PS. Ging mir auch nicht um Kritik an puppy sondern darum, wie viel das Ändern des root-Passwortes bringt. Wird eine initiale Änderung diese Passwortes vom "Hersteller" empfohlen (wäre mir zumindest noch nicht aufgefallen) ?
Wenn man nur das hat, was auf der CD ist, nichts. Aber wenn du z.B. einen Dateiserver oder webserver oder ... hast, die mit anderen kommunizieren, dann schon.
Passwortänderung ist doch eine Selbstverständlichkeit.

Post Reply