Gedanken nach Torvalds Wutausbruch zur “dämlichen Linux-Sicherheit”
Linus Torvalds hat es wieder einmal krachen lassen und möchte einige Leute am liebsten zum Mond jagen. Auf Google+ hat er recht unverblümt dargestellt, dass die Eingabe eines root-passworts bei der Verwendung eines Druckers absolut verblödet ist. Im Speziellen richtete sich sein Zorn gegen openSUSE.
In der Tat gibt es hier wirklich Handlungsbedarf und die Rechte sollten wesentlich feiner eingestellt werden können. Heutzutage sollte es selbstverständlich sein, dass ein Anwender selbst ein WLAN hinzufügen kann. Aber auch hier sollte der Administrator das letzte Wort haben. Bei Firmenrechnern ist dies vielleicht nicht erwünscht. Gewisse Dinge komplett zu öffnen ist auch nicht der Stein der Weisen.
Aber eigentlich wollte ich was ganz anderes erzählen – einen Schwank aus der Steinzeit des Linux-Desktops. Erinnert sich noch jemand an Lindows oder Linspire (Debian basierend)? Diese wurden von mp3.com-Gründer Michael Robertson ins Leben gerufen. Ich hatte damals eine Testkopie von Linpire 5, dem selbsternannten “Windows Killer”, bekommen und war auch auf die Pressekonferenz in München eingeladen.
Sehr neugierig hatte ich damals Linspire 5 installiert und es hatte mir sogar recht gut gefallen – zumindest der Ansatz es weniger geekig und angenehmer für den Anwender zu machen. Robertson war eigentlich seiner Zeit voraus und erkannte, dass man Lieschen Müller das Leben so einfach wie möglich machen muss. Es gab in Linspire schon so etwas wie einen App-Store (CNR – Click ‘N’ Run), in dem auch kommerzielle Software angeboten wurde. Währen alle anderen Distributionen noch mit der Legalität des Abspielens von verschlüsselten DVDs kämpften, gab es zum Beispiel einen legalen, aber kostenpflichtigen DVD-Player in Linspire.
Eine Sache störte mich allerdings sehr. Der Anwender war automatisch root. Also ohne irgendwelche Kennwort-Abfragen konnte ich alles verändern, installieren – auf dem Rechner hausen, wie ich wollte. Genau das “Killer Feature”, was die Linux-Sicherheit von Windows unterschied hat Robertson einfach ausgehebelt.
Mit diesem Wissen bewaffnet machte ich mich dann auf den Weg zu der Pressekonferenz. Wir lauschten dem Vortrag von Robertson und ich wartete geduldig, bis das Frage- und Antwort-Spiel begann. Natürlich war meine Frage die root-Sache und die Antwort schockierte mich irgendwie schon.
“Ah, meine Daten sind nicht so wichtig, die kann mir gerne jeder klauen, da habe ich kein Problem damit”. Ich wollte das aber nicht so stehen lassen und bohrte nach, dass es vielleicht aber Leute gibt, denen ihre Daten sehr wohl am Herzen liegen. Allerdings wich mir Robertson damals aus und beharrte weiterhin nur darauf, dass seine Nutzerdaten extrem uninteressant sind.
Ich ging mit der Einsicht nach Hause, dass zumindest für mich Linspire gestorben ist. Linspire hat auch so nicht überlebt und wurde im Jahre 2008 von Xandros geschluckt. Von deren Desktop-Bestrebungen hat man allerdings auch schon lange nichts mehr gehört. Xandros hat wohl das Hauptaugenmerkt auf Scalix gelegt.
zumindest das Problem mit dem W-Lan hat Ubuntu ja gelösst. Das andere weiss ich gerade nicht, habe keinen Drucker.
Das mit dem Drucker eigentlich auch: reinstecken, läuft. Wenn man nicht gerade irgendeinen seltsamen Kodak-Drucker hat. Dann viel Spaß 😀
Sehr seltsam finde ich allerdings auch diese Linspire-Geschichte oder der Wirbel um die UAC unter Windows. Warum sollte man Probleme mit gelegentlichen Sicherheitsabfragen haben? Die kommen doch so selten, dass es kaum stört. Ich kenne kaum Benutzer, die jeden Tag an ihren Systemdateien rumpfuschen. Eigentlich fasse ich meine selten bis nie an, unter Windows steht die UAC bei mir sogar auf höchster Stufe und ich empfinde es in keinster Art und Weise als störend. Deswegen: Warum ist es überhaupt notwendig, sich als Admin/Root dauerhaft anzumelden? Ist doch Quatsch und gefährdet nur die Sicherheit.
Ich frag mich wieso heute überhaupt noch Papier notwendig ist? Man kann nahezu alles über Scanner und E-Mail regeln. Linux ist dafür wie geschaffen (Sicherheit).
Also ich finde unter Ubuntu sollte man die normalen Sicherheits- & Programmupdates (ohne Distributions updates) ohne eingeben das Passwort installieren können.
Updates sind ja immer gut 🙂
kann man so nicht pauschalisieren. Wenn Du eine Firma mit speziell angepasster Software im Einsatz hast, möchtest Du Updates zunächst in einer Test-Umgebung ausprobieren, ob wieder alles funktioniert. Ansonsten kannst Du ganz schnell eine ganze Firma lahmlegen.
Ein spezielle Fall fällt mir jetzt nur unter Windows ein, wenn Virenscanner-Updates plötzlich "False Positives" haben und dann das Betriebssystem nicht mehr startet. Stell Dir eine Firma mit mehreren Tausend Mitarbeitern vor, die plötzlich ihren Rechner nicht mehr booten können. Der letzte macht dann das Licht aus 🙂
"Xandros hat wohl das Hauptaugenmerkt auf Scalix gelegt."
Schön wärs. Seit Herbst 2009 keine Aktualisierungen der Website mehr, keine Programmupdates (http://www.scalix.com/forums/viewtopic.php?f=7&t=19763 , http://www.scalix.com/forums/viewtopic.php?f=2&t=14683 ). Von HP zu Scalix zu Xandros zu Sebring zu R.I.P.
Traurig.
Jetzt wo Du es sagst - stimmt ... von Scalix hat man wirklich schon lange nichts mehr gehört. Persönlich war mir Axigen eh immer symphatischer, weil die offiziell mehr Plattformen unterstützen.
Auf der Pressekonf war ich damals auch - sogar für den gleichen Verlag. Roberts meinte danach noch sowas nach dem Motto "This root issue seems really bad, doesn't it?". Es war wohl nur eine Notlösung, da eine feinere Abstufung der Benutzerrechte per Groups den Entwicklern zu aufwändig gewesen wäre. Das sollte in den nächsten Versionen von Linspire behoben werden, aber dazu kam es wohl nie.
Roberts erschien mir wie jemand, der schnell was mit einem Trend-Thema nach dem Rezept von mp3.com verdienen wollte. Aber viel da nicht dahinter.