PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Welches ist die sicherste Distribution?



Deehimself
22.03.2004, 10:17
Hallo zusammen

Was meint ihr dazu?
Hat SuSE 9.0 Prof, Fedora Core 1 oder Debian 3.0 den Kopf vorne?

Gruss DEE

NiceDay
22.03.2004, 10:23
Sicherste? Wie genau? EIne System ist so sicher wie sicher der User es gemacht hat :-)
Also was meinste nun genau? Sicher im Bezug zu Schutz gegen Hacker und Kiddies oder, Sicher in der Benutzung d.h. klare Struktur, man kann gut nachvollziehen was man macht bzw. wie das System abläuft/ es sich verhält... mir fällt sicher noch was ein *gg*

Deehimself
22.03.2004, 10:43
Ich meine aber im Bezug auf die Standart installation, offene Ports, laufende Dienste, etc.,

schwedenmann
22.03.2004, 10:51
Hallo

Deehimself schrieb:

Ich meine aber im Bezug auf die Standart installation, offene Ports, laufende Dienste, etc.,

Also jede Distri hat Vor - und Nachteile

Einfache Installation wie Windoof, Suse und Mandrake, ev. Red Hat

Stabilität und Sicherheit Debian, Gentoo

Du mußt eben Kompromisse machen, oder eben Prioritäten setzen, alles auf einmal bekommst du nicht sofort, aber du kannst ja später (nach der Grundinstallation) alles nachbessern (offene ports schließen, etc)

MfG
Schwedenmnann

bananenman
22.03.2004, 10:52
unter den großen 5 wirst du die "sicherste" mit sicherheit vergeblich suchen - die sind viel zu sehr auf comfort, usability, usw., ... getrimmt. aber bei den kleinen gibt es eine ganze reihe, die sich auf systemsicherheit spezialisiert haben - Adamantix ist so eine spezialgehärtete distrie (die zwar auf einem debian woody aufbaut, das ist aber eher der persönlichen vorliebe des projektleiters zuzuschreiben, als einem wie auch immer gearteten sicherheitskonzept) - allerdings bietet sie nicht den comfort einer der großen "alleskönner" und verlangt ziemlich viel arbeit - das system ist nämlich (wie jede andere distrie auch) nicht persee sicher, sondern nur durch häufiges, regelmäßiges überprüfen der bug-/security-tracks.

mfg

bananenman

ozoon
22.03.2004, 11:01
OpenBSD

qmasterrr
22.03.2004, 14:12
also ich würde mal sagen so individueller so sicherer wenn zb wie bei slackware einige daten zb der init ordner nicht vorhanden sind ist es für manche viren möglicher weise schwiriger als bei einer massen distrie

zb bei slackware wähle ich nach der installation direckt aus welche service ich staren möchte und welche nicht

es liegt aber auch in erster linie an dem zweck des rechners und ob er hinter einer firewall hängt sonnst kann es zb große probleme mit schwachen pws + ssh telenet ftp ... kommen
und wenn man eine alte version installiert kann diese natürlich noch nicht die neusten security patches intus haben

Luzifer
22.03.2004, 14:13
Ja OpenBSD ist meiner Meinung nach am Sichersten.
Beim Entwickeln wurde die extra berücksichtigt. :)


MfG Lupus

Leno
22.03.2004, 14:56
-

Deehimself
22.03.2004, 16:01
Habe einmal einige Checks gemacht.


SuSE 9.0 Prof. Standart Installation (Online Updates: 19.4.04)

• NMAP Scan
# nmap -sS
(The 65529 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
631/tcp open ipp
6000/tcp open X11

Nmap run completed -- 1 IP address (1 host up) scanned in 6.646 seconds

• Nessus Scan
Security Risk:
Low: 67%
Medium: 17%
Serious: 17%

The Nessus Security Scanner was used to assess the security of 1 host
• 6 security warnings have been found
• 13 security notes have been found

List of open ports:
• ssh (22/tcp) (Security warning found)
• sunrpc (111/tcp) (Security notes found)
• ipp (631/tcp) (Security warnings found)
• x11 (6000/tcp) (Security warnings found)
• general/tcp (Security notes found)
• general/udp (Security notes found)
• general/icmp (Security warnings found)
• sunrpc (111/udp) (Security notes found)


Fedora Core 1 Persönlicher Desktop (Online Updates: 19.4.04)

• NMAP Scan
# nmap -sS
(The 65530 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
32770/tcp open sometimes-rpc3

Nmap run completed -- 1 IP address (1 host up) scanned in 6.819 seconds

• Nessus Scan
Security Risk:
Low: 33%
Medium: 11%
High: 56%

The Nessus Security Scanner was used to assess the security of 1 host
• 3 security holes have been found
• 5 security warnings have been found
• 10 security notes have been found

List of open ports:
• ssh (22/tcp) (Security hole found)
• sunrpc (111/tcp) (Security notes found)
• sometimes-rpc3 (32770/tcp) (Security notes found)
• general/udp (Security hole found)
• sometimes-rpc5 (32771/tcp) (Security warnings found)
• sunrpc (111/udp) (Security notes found)
• omad (32768/udp) (Security hole found)
• general/icmp (Security warnings found)
• general/tcp (Security warnings found)


Debian 3.0 Standart * (Online Updates: 19.4.04)
* immer die vom Programm vorgeschlagene Option gewählt.

• NMAP Scan
# nmap -sS
(The 1652 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
9/tcp open discard
13/tcp open daytime
22/tcp open ssh
25/tcp open smtp
37/tcp open time
111/tcp open rpcbind
113/tcp open auth

Nmap run completed -- 1 IP address (1 host up) scanned in 0.470 seconds

• Nessus Scan
Security Risk:
Low: 60%
Medium: 10%
High: 30%

The Nessus Security Scanner was used to assess the security of 1 host
• 2 security holes have been found
• 7 security warnings have been found
• 14 security notes have been found

List of open ports:
• smtp (25/tcp) (Security hole found)
• ssh (22/tcp) (Security warnings found)
• daytime (13/tcp) (Security warnings found)
• discard (9/tcp) (Security warnings found)
• time (37/tcp) (Security notes found)
• auth (113/tcp) (Security warnings found)
• sunrpc (111/tcp) (Security notes found)
• unknown (32768/tcp) (Security notes found)
• general/udp (Security notes found)
• general/icmp (Security warnings found)
• sunrpc (111/udp) (Security notes found)
• omad (32768/udp) (Security hole found)
• general/tcp (Security warnings found)


Vergleiche:

CIS Scan

SuSE 9.0 Pro Fedora Core 1 Debian 3.0
Anzahl Testes 132 149 155
davon Positiv 43 35 42
davon Negativ 89 114 113
Positiv in % 33% 23% 27%
Negativ in % 67% 77% 73%
Score: (max 10) 6.62 5.38 6.41

Hier ist es schwierig einen direkten Vergleich zumachen. Da ich einerseits das Programm überlisten musste, gefakte /etc/redhat-release mit dem Inhalt: Red Hat Linux release 9, ansonsten bekam ich eine Fehlermeldung, und es wurde auch nicht überall dasselbe getestet.


Bin Angeneh überascht von SuSE 9.0 Prf, hätte ich nicht gedacht...

Gruss DEE

bananenman
22.03.2004, 18:38
währe mal interessant zu wissen, wie die spezialdistributionen abschneiden - wahrscheinlich um längen besser! und by the way: openbsd ist keine linuxdistribution!

mfg

bananenman

Edward Nigma
23.03.2004, 00:05
Also ein sicheres Linux is meiner Meinung nach Adamantix.
Das ist eine Disrtibution die auf Debian aufbaut.

Gronau
26.03.2004, 23:45
Zwar aus einem anderen forum, aber das trifft den nagel auf den kopf:


Original geschrieben von Liberace
Eine Distribution ist nur sicher wie ihr Admin.
Das ist die einzig moegliche Antwort.

kuk-sol
27.03.2004, 07:25
würde sagen Freebsd + Gentoo

SilverHawK
27.03.2004, 10:06
kennt jemand das Problem Suse9.0
Internetverbindung
Neustart
alle Benuzer weg ?

also egal welche distri firewall einschalten :)
gibt ja jetzt auch schon zusatzfirewalls die nichma schlecht sein sollen

miret
27.03.2004, 11:04
Die mit Sicherheit "sicherste Distribution" ist mit Sicherheit diejenige, die von einem sicherheitserfahrenen Administrator eingerichtet und gepflegt wird!
Und da kann ich mir nicht vorstellen, das es was mit einer Distribution zu tun hat!

tig
27.03.2004, 12:37
Die mit Sicherheit "sicherste Distribution" ist mit Sicherheit diejenige, die von einem sicherheitserfahrenen Administrator eingerichtet und gepflegt wird!
Und da kann ich mir nicht vorstellen, das es was mit einer Distribution zu tun hat!

sicherste distribution heißt ja auch, wie gut sie gepflegt ist. die neuesten, sichersten packages und so. aber natürlich bringt es auch nichts, eine sichere distribution zu haben und keine ahnung von sicherheit zu haben ;) .

bananenman
27.03.2004, 15:32
genau da liegt das problem - die neuesten pakete sind üblicherweise nicht die sichersten, sondern die unsichersten. der punkt liegt in der verwendung älterer gut verstandener und vielleicht schon mit mehreren patches überarbeiteter pakete, die dann natürlich weiterhin aktuell gehalten werden müssen. zum einen ist das viel arbeit, zum anderen sind einige distributionen von fornherein konservativer eingestellt als andere. spezialgehärtete distributionen wie adamantix vereinen konservatives design mit spezialpaketen und restriktiven skripten. da auch ein extrem sicherheitserfahrener administrator nicht jedes paket gegen eine ältere, langzeitgeprüfte version austauschen wird, sind die distributionen schon aufgrund ihrer paketzusammenstellung unterschiedlich sicher, und wer keinen chat-client installiert, braucht sich natürlich auch nicht um die entsprechenden sicherheitspatches zu kümmern.

mfg

bananenman

HangLoose
27.03.2004, 16:01
moin

hier mal ein paar distris, die sich das thema sicherheit auf ihre fahnen geschrieben haben.


trustix (http://www.trustix.net/)

adamantix (http://www.adamantix.org/de/)

selinux (http://www.securityenhancedlinux.de/)

devil-linux (http://www.devil-linux.org/)


Gruß HL

blue
27.03.2004, 19:32
SELinux ist keine Distribution, sondern das sind Kernelpatches.
mfg

HangLoose
27.03.2004, 19:56
hi


SELinux ist keine Distribution, sondern das sind Kernelpatches.
mfg

stimmt ;).


Gruß HL

Locke
26.04.2004, 02:38
die sichersten dürften die sein, wo du selber compilen darfst und zwar so ziemlich alles.
nimmste zB nen hardened gentoo mit selinux im kernel und nutzt -fstack-protector über propolice in gcc. propolice is zwar nun net der überflieger aber besser als nix.
die meiste arbeit haste eh mit dem konfigurieren, ein gutes tripwire und nen brauchbares backupsystem ala bacula runden das ganze dann ab.
wichtig is insbesondere nutzerverwaltung und servereinstellungen, da wirste ne ganze zeit mit verbringen. DIE sicherste distro gibt es eh nicht aber mit selbst gebastelten kommste da meist am ehesten ran.
also noch viel spass ^^

miret
26.04.2004, 17:50
Ich denke mal, wenn ich ein System selber compilen würde und mich da zum Administrator aufschwingen würde, wäre es wohl eine der unsichersten Linuxe überhaupt, weil ich davon gar keine große Kenne habe!
Ein bisschen kommt's wohl auch auf den Menschen an, da könnt ihr noch so lange nach dem Stein der Weisen, bzw. der Distributiponen suchen!
Ein fitter Admin macht ein Windows2000 wohl um einiges sicherer als viele der Linuxanwender ihr Linux! Nur mal so als in den Raum geschmissenen Vergleich! :devil:

Locke
26.04.2004, 19:48
najo sicherheit is vom konzept abhängig. damit steigt und fällt die ganze lösung.
wenn man nicht das notwendige knowhow hat, is es sinnvoller sich von jemandem helfen zu lassen, oder die finger davon zu lassen. gibt ja nun nicht wenig dokumentation dazu.