1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. In diesem Bereich findet ihr Tutorials und Reviews. Die Forenrechte zur Erstellung neuer Themen sind hier eingeschränkt, da Problemdiskussionen bitte in den übrigen Forenbereichen auf Apfeltalk zu führen sind. Wer ein Tutorial oder Review einstellen möchte, kann im Unterforum "Einreichung neuer Tutorials" ein neues Thema erstellen. Die Moderatoren verschieben den Beitrag dann in den passenden Bereich.
    Information ausblenden

Sicherheitsworkshop Teil 1 - Bastille OS X

Dieses Thema im Forum "Software-Tutorials" wurde erstellt von Bier, 03.10.07.

  1. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    [​IMG]

    [yt]Aa_D4rejiHc[/yt]
    Wem das als Erklärung reicht, der möge evtl. nicht weiterlesen. Ich persönlich halte das für großen Schwachsinn. Wer eine so schlecht implementierte Firewall mitliefert, wie Apple das tut, sollte keineswegs Zeit mit Spott verschwenden.

    Bastille unter OS X


    Kurzes Vorwort:

    Ich bin Sicherheitsfan. Das kein Witz: nichtsdestotrotz, dass es manchmal kompliziert ist, macht sie mir Spaß. Ich geh auch auf diverse Konferenzen, zwar nicht auf die ganz weit weg im Ausland, aber doch auf manche.

    Und in der heutigen Zeit, in der selbst der Staat Interesse hat, einem PC Nutzer hinterherzuspionieren und schreibend dumme Pläne gefasst werden, um diese Spionage zu realisieren, kann sich keiner mehr sicher sein, dass sein Computer nicht auch diskreditiert wird.
    Keiner? Fast keiner.

    Ich bin mir nie zu 100% sicher, dass es unmöglich ist.


    Der geneigte Leser wird es kennen, der weniger Geneigte nun kennen lernen. Es gibt diverse andere Möglichkeiten, manche davon kenne selbst ich nicht. Aber die eine hier, die ich kenne, stelle ich nun mal kurz vor:

    Bastille – die Philosophie dahinter

    [​IMG]


    [​IMG]

    • Es handelt um eine X-11 basierte Anwendung.
    • Sonst schwerer zugängliche allgemeine Sicherheitseinstellungen werden einfach zugänglich gemacht.
    • die Änderungen sind gut dokumentiert
    • sie sind wichtig fürs System

    Warum?

    Meiner Meinung nach, und der Meinung der Macher nach, gilt Folgendes:

    Der Missstand mit der ipfw-Implementation in OS X beginnt ja schon in der standardisierten Deaktivierung. Dies ist zwar übers GUI schnell änderbar, und man kann auch wenige andere sicherheitsbezogene Optionen vornehmen. Aber so wirklich in die Tiefe geht das alles nicht.

    Auch Daemons, die man als OS Xler in der Regeln nicht braucht, kann man doch deaktivieren. Wer von uns hat schließlich lokal einen Webserver am Laufen?

    Zudem gab es in der Vergangenheit in iTunes sowie Safari gravierende Implementationsmängel:

    [yt]3uC4TDxumWI[/yt]
    Es ging allerdings hier um einen im root-Modus arbeitenden Nutzer, der auf eine altbekannte Sache hereinfiel, weshalb dieses kleine Video keineswegs aktuell-referenziell zu werten ist. Vielmehr warnend, dass es anderes gibt, was aktuell und ein wenig komplizierter ist. Mit konfigurieter Firewall/angeschalteter Firewall war das Ganze dann witziger.

    Installation

    Die Installation ist nicht einfach. Unix Power User sehen das sicher anders. Ich nicht, ich finde, das könnte man einfacher machen, zumal die relativ sinnigen Konfigurationen übers GUI vorgenommen werden, einem X11 GUI.

    Nun ja... gehen wir es an. Ich schätze die Zeit auf 30 Minuten.

    Herunterladen

    http://bastille-linux.sourceforge.net/running_bastille_on.htm

    Da führt kein Weg dran vorbei. Ganz unten finden wir es. Wir laden es herunter. Nun kommen viele Unix-Leute immer gern mit tar. Ich mag tar, aber wir sind hier unter OS X. Wir sind crude-cool:

    Code:
    open bastille.tar
    Oder wie auch immer ihr das File nennt. Es wird entpackt mit dem Archiv-Dienstprogramm oder der standardisierten Wahlanwendung. Klick-ersetzend geht’s im Programmverzeichnis weiter:

    Code:
    more README
    Ist immer gut. Manch einer möchte jetzt sicher noch as Skript Install-OSX.sh durchlesen. Schließlich muss es mit root-Rechten ausgeführt werden.

    Abhängigkeiten

    Gebraucht werden: wget, ncftp, lynx

    Die installiert man am besten per dports. Beispiel:

    Code:
    sudo port install lynx
    
    Ist das gemacht geht’s weiter:

    Code:
    sudo cpan
    Nun werden, sofern es der erste Start ist, config-Files ins Homes gelegt. Perl sollte aber insoweit noch ein normales Verhalten an den Tag legen.
    In der Shell geben wir an:

    Code:
    install module Tk
    
    Das dauert ein wenig. Haben wir das, geht’s zu Bastille ins programmzugehörige Verzeichnis.

    Wir führen aus:

    Code:
    sudo ./Install-OSX.sh
    
    Und dann wieder in der BaSh oder was auch immer ihr nutzt:

    Code:
    sudo Bastille
    
    Es öffnet sich das X11 Fenster.

    Um das Ganze ein wenig zu vereinfachen:

    Video

    Hier ein thematisches Video dazu:

    http://video.google.com/videoplay?docid=4776177192339716238

    Wenn jemand weiß wie man GoogleVideo hier einbindet bitte ich um eine PM. Danke ;)

    Fazit

    Englischkenntnisse vorausgesetzt informiert dieses Tool wunderbar genau, darüber was und wie es konfiguriert.

    Soviel erst mal... ich schau mal. Vielleicht setz ich noch nen II. Teil rein oder so. Vielleicht hat auch wer anders noch gute Tipps für mich, die in die gleiche Richtung gehen.

    Vergesst nicht

    Code:
    sudo Bastille -b
    
    nach dem Konfigurieren auszuführen. Ob es geklappt hat sehr ihr per
    Code:
     sudo ipfw show
    .

    Wem das zu komplex sein sollte... keine Sorge. Leopard wird sicher auch einige Verbesserungen in dem Bereich bringen. Wenn nicht... ;) ihr wisst ja wo ihr fortan Bastille findet.

    So Freunde,
    schönen Abend noch!

    Bier

    Quellen und Infos:
    http://www.toorcon.org/
    http://macsecurity.wordpress.com/2006/01/05/running-bastille-on-os-x-103/
    http://bastille-linux.sourceforge.net/
    http://www.apfelwiki.de/Main/Bastille

    p.s.: Ich würde mich hier besonders über Anfängerfragen freuen, da ich denke, dass jeder eine ordendliche Sicherheitskonfiguration verdient hat. ;)
     
    #1 Bier, 03.10.07
    Zuletzt bearbeitet: 04.10.07
    Skeeve gefällt das.
  2. Gastone

    Gastone Bismarckapfel

    Dabei seit:
    16.08.06
    Beiträge:
    145
    Vielen Dank für das Tutorial.

    Endlich mal ein fundierter Bericht zum Thema Sicherheit und Mac OS. Der Videobeitrag von der Sicherheitskonferenz war sehr informativ.

    Du hattest gefragt, was Anfänger von Deinem Bericht halten. Ich habe mein MacBook jetzt seit etwa einem Jahr und bin technisch nicht ganz unbewandert. Deine Ausführungen sind verständlich und zugänglich. Allerdings traue ich mich nicht wirklich "unter der Haube des Mac OS" zu schrauben. Mein System läuft stabil und ich bin damit sehr zufrieden. Ich habe ehrlich gesagt Angst, dass ich das System zerschiesse. Dies liegt insbesondere daran, dass ich im Falle eines Gaus nicht wüßte, welche Schritte ich für eine Systemwiederherstellung einleiten müsste, geschweige denn, dass ich jemanden kenne, der mir helfen könnte, da ich keine anderen Mac User kenne.

    Insgesamt ist mir allerdings klar, dass man regelmäßig in Sachen Sicherheit etwas unternehmen muss.
     
  3. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Hi!

    Ja... das Schöne an Bastille ist mitunter, dass nur beim Ausführen von bastille -b eine wirkliche Systemänderung geschieht. Das heißt der Weiterbildungseffekt ist sowieso vorhanden. Das Programm wird industriell eingesetzt; d. h. damit werden teils 100te Rechner "konfiguriert".

    Ich hab persönlich mein System 1:1 im Backupkasten auf 3 DoubleLayer DVDs. Die booten, schreiben sich auf meine Festplatte, und das System ist wieder da, wenn ich das will. Sorum fährt man eigentlich ein sehr geringes Risiko.
     
  4. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Welcher Dienst läuft denn in der Standardeinstellung, den Du abschirmen möchtest?
    Der Webserver ist standardmäßig aus. Der zugehörige Dämon "httpd" läuft standardmäßig nicht.
     
  5. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Bonjour, ntpd, CUPS, dann später PGP Desktop (wenn installiert natürlich), Word (frag MS warum)...
     
    #5 Bier, 14.10.07
    Zuletzt bearbeitet: 15.10.07
  6. KayHH

    KayHH Gast

    Okay, (erst) bis zum ersten Abschnitt habe ich gelesen.

    Zitat: „Wer eine so schlecht implementierte Firewall mitliefert, wie Apple das tut, sollte keineswegs Zeit mit Spott verschwenden.“

    Was ist an der Firewall schlecht? Es ist die aus jedem BSD bekannt Firewall und BSD gilt jetzt nicht gerade als besonders unsicher. BTW, der Nutzen einer Firewall wird weit überschätzt. Das Hauptrisiko ist der Anwender selbst.


    KayHH


    PS: Ich lese dann mal weiter …
     
  7. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Oh, sorry, ich meinte natürlich nicht die Firewall selbst, sondern die Einstellungsoptionen. Den "Stealth Mode" z. B., dessen Beschreibung von keiner sehr tiefgehenden Kenntniss von TCP/IP zeugt... die ipfw liefert Apple ja selbst nicht wirklich.
     
  8. KayHH

    KayHH Gast

    Okay, die GUI bietet nicht sehr viele Einstellmöglichkeiten, aber das ist ja auch so gewollt. Keep it simple, das ist Apple-Philosophie. Alles weitere geht über das Terminal und einen normalen Editor.

    Was meinst du mit Stealth-Mode? Bist du ein Anhänger des selbigen? Der Stealth-Mode ist alles andere als unumstritten und verhindert weder Portscans noch Angriffe. Auch sich nicht konform zu verhalten lenkt die Aufmerksamkeit der Angreifer auf sich.


    KayH
     
  9. KayHH

    KayHH Gast

    Welche Dämons laufen denn standardmäßig? Wer bitte arbeitet als root? Es gibt Leute die als Admin arbeiten, aber auch das sollte man vermeiden, zumindest sollte sich das rumgesprochen haben. Ich weiß, viele tun es trotzdem.

    Aus dem Rest bin ich nicht schlau geworden. Was macht Bastille besser?



    KayHH
     
  10. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Im Endeffekt ist das eine vielfältige Konfigurationsplattform. Es wird ein Framework für allerhand Einstellungen geboten, die _alle_ auch manuell ohne möglich sind.
    Zu Sagen ist wohl, dass es sich keineswegs um "nur" eine Firewall handelt. Die spezielle Konfiguration der ipfw für den passenden Einsatzzweck kann lediglich verbessert werden.

    Neben diesem Feature kann man auch noch vieles andere einstellen, anpassen, und sich informieren. Das steht eigentlich alles recht eindeutig da.
    Ziel ist es halt, dass man nicht alles manuell einstellen muss. Dass man nicht das Terminal oder einen Editor nutzen muss und als "Fortgeschrittenerer" nicht überfordert wird. Und man kann auch ne Menge technischen Mist bauen, gerade da.
    Weiß ich aus eigener sehr leidlicher Erfahrung ;)

    Natürlich macht Bastille das Betriebssystem weder besser oder sicher(er), noch verändert es dieses durch meintwegen Kernel-Erweiterungen. Es setzt halt gewisse Limits, sodass zum Beispiel DoS Attacken weniger ausmachen und weniger Plattform erhalten.
    So ist es ein allgemeines Konfigurationsframework, mehr aber auch nicht.

    Und ja, eine Firewall ist stark überschätzt. Wobei Mac-User sie gemeinhin unterschätzen, indem sie sie auslassen.
    "Keep it simple" - nettes Motto. Aber der "Stealth Mode" ist faktisch eindeutig FALSCH beschrieben. Stichwort "unsichtbar". Das ist Humbug! Wer meint unsichtbar zu sein, sollte bei den Fantastic Four anfangen als "Invisibel 'User'". ;)

    Was die Frage zum Thema "Wer arbeitet als root?" betrifft. Das lenkt wohl auf dieses Youtube Video. Da habe ich zu gesagt, dass das lediglich ein Kleinstbeispiel ist. Ich möchte hier nicht anfangen einschlägige Offensivanleitungen zu verbreiten, obwohl ich meinerseits sage, dass sie sinnvoll und wichtig sind. Es geht auch gar nicht darum, oder?
     
  11. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Der Network Time Protocol Dämon "ntpd" läuft nur, wenn Du "Set date & time automatically" aktiviert hast, was standardmäßig aus ist. Bei OS X (Non-Server) wird er sogar nur im Client-Mode gestartet werden.

    Der Common UNIX Printing System Dämon "cupsd" läuft nur, wenn Du "Printer Sharing" aktiviert hast, was standardmäßig aus ist.

    Zu "Bonjour": Der Multicast DNS Dämon "mDNSResponder". Ein Sperren seiner Ports wäre widersinnig, weil er für automatische Netzwerkkonfiguration mit anderen Geräte inklusive Rechnern verwendet wird, und eingesperrt nutzlos würde.

    Wenn, dann sollte man "Bonjour" komplett deaktivieren. Zuständig ist /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist, welche Input für launchd ist. Fummeln an der /System/Library/ ist jedoch nicht zu empfehlen, weil es um Systemprozesse geht, die nicht für Admins gedacht sind (dafür ist /Library/ da) und weil Daten dort beim nächsten Update überschrieben werden eventuell.
     
  12. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Hi MacMark!

    Ja seit dem Unix-Thread widerspreche ich Dir ja ungerne. Das hier ist aber eher kontrovers zu betrachten. Ich hab mich da schon mit vielen Leuten drüber unterhalten.

    Einig waren wir uns da eigentlich alle, dass "Bonjour" (UDP 5353) seinerseits ein Sicherheitsrisiko bedeuten kann, wenn man updatefaul ist. Denn man kann über Bonjour erfragen, welche Status das System da hat. Sorum kann ich als Angreifer meine Exploitdatenbank doch darauf ausrichten. Ah... Es ist 10.4.8, darum versuche ich mal etwas Älteres; es ist ja ungepatched. Auf - connecten!
    Und Feuer!.

    Dadurch, dass man diese Information quasi bereitwillig ausgibt, macht man sich zum Ziel. Das ist gar nicht so unwahrscheinlich. Also ich hab Versuche erlebt, teils sogar erst später bemerkt. Ist ja nichts dabei, wenn man auf ner Konferenz oder so ist.

    CUPS - läuft eigentlich, so würde man vermuten, dann, wenn Printer Sharing aktiviert ist. Dem ist aber nicht so. Mich hat das auch immer gewundert. Vielleicht hast Du ja ne Erklärung, wobei was das GUI Dir sagt: das ist nicht unbedingt Richting. Du kannst an CUPS immer senden, die Frage ist Was.
    Warum aber sollte man diesen Daemon anlassen, wenn man ihn nicht braucht. Oder warum sollte man überhaupt etwas offen lassen, was man nicht braucht?

    Steht irgendwo, wie die derzeitige Standardkonfiguration ist? Kann man das in irgendeinem ADC Archiv nachlesen; ich hab da nichts gefunden. Weil auch beim ntpd war/bin/recherschiere ich der/die Meinung, dass er normalerweise an ist.

    Jedenfalls ist das doch auch nicht der Punkt, um den es bei Bastille geht. Mir würden da ganz andere Sachen, viel gewichtere, ins Auge stechen, außer der Abschirmung (potenziell) laufender Daemons über die Firewall. Das ist ein Punkt, nur einer. Mir ist nebenbei bemerkt auch keine Buffer Overflow Protection in OS X bekannt. Das würde mich noch mal mehr stören, als CUPS oder Bonjour. ;)
     
  13. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Bezüglich Bonjour würde ich die Leute mal fragen, seit wann sie glauben, daß "security by obscurity" funktioniert. Glauben die nicht mehr an ihre eigene These, wenn es um OS X geht?

    Standardkonfiguration ist das, was man vorfindet, wenn man OS X das erste Mal bootet (oder das, was man nach einer Installation, die nicht "drüberinstalliert" und keine Voreinstellungen übernimmt, bekommt).

    Der cupsd startet erst, wenn man Printer Sharing anschaltet. Sieht man gut im Activity Monitor oder top oder ps und so weiter. Er wird jedoch beim Ausschalten von Printer Sharing nicht sofort wieder beendet, wenn ich das richtig sehe. Er ist jedoch nach Neustart dann weg.

    Es ist auch nicht jeder Dämon zwingend ein Server, der Dienste über das Netz anbietet.

    An dem verlinkten Vortrag gefällt mir nicht, daß sie die Situation falsch darstellen. Sie übertreiben und provozieren falsche Schlußfolgerungen. Die Firewall von OS X ist vollkommen ok und hat sich nicht nur auf OS X bewährt, sondern auch auf anderen Systemen vorher. Sie erwarten jedoch zu Unrecht eine OS X (Non-Server)-GUI, die einen Profi zufriedenstellt. Der Profi konfiguriert sie direkt per Terminal. Die GUI ist für den Graphiker von nebenan (oder seine Freundin). Die haben nicht Informatik studiert. ;) Wichtig ist nur, daß alle Dienste, die man nicht unbedingt als Normalo braucht, erstmal aus sind - und das sind sie.

    Es gibt jedoch andere Systeme, die muß man per Firewall abschotten, weil sie allerlei Zeug, was nicht ins Netz gehört, großzügig dort anbieten. Und dann heulen sie rum, ihr System wäre ja nur so arm dran, weil es soviel Marktanteil hätte. Das ist so, als wenn eine Firma 90% aller Schiffe baut, aber ihre Schiffe haben alle unten Löcher. Beim Schwimmen saufen die dann ab, weil das böse Wasser sich reingehackt hat ins Boot. Der Grund für's Absaufen ist, daß sie bei Schiffen den größten Marktanteil haben. Die anderen Boote sind Loser, weil sie nur im Binnengewässer rumschiffen. Die saufen nur deshalb nicht ab, weil das Wasser keine Wellen hat auf dem Dümmer. Es liegt nicht daran, daß sie untenrum keine Löcher haben.

    Eine Firewall ist ein Flicken auf Löcher. Wenn man keine Löcher hat, dann sind Flicken unsinnig. Leute mit Löchern im Schiff halten Flicken jedoch für toll wichtig und vergeben Preise für den Flicken des Jahres. Es wird neuerdings sogar ein hauseigener Flicken für hauseigene Löcher mitgeliefert. Die Loser-Boote haben nicht einmal Flicken! Wie trauen die sich nur ins Wasser?

    Ihr versteht, was ich meine, gelle?
     
  14. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Gelle!

    Wobei ich grundlegend der Meinung bin, dass ein System, welches ich (oder jemand) allgemein einsetze, im Prozess Sicherheit definiert gehört. Ich glaube, und bin der festen Überzeugung, dass starke Sicherheit bei jedem System (auch beim Grafiker und seiner Freundin) von entscheidener Bedeutung ist. Und in diesem speziellen Falle bei OS X nicht ausreichend ist.
    (Schließlich soll man das System für Arbeit und Kreativität verwenden, für Dinge, die wertvoll sind.)

    Das ist ziemlich das, was ich meine, und weshalb ich mit der Handhabung der Firewall GUI (ist ja der Aufhänger geworden) alles andere als einverstanden bin ;). (Dass dieses 90% Marktanteilsystem einfach nur *würg* ist, da man diese systemfremden Firewall- und Sontewassysteme sehr einfach exploiten kann, sei mal nebenbei bemerkt.)
    Das GUI arbeitet nicht ausreichend mit der ipfw zusammen, und da ist Aqua Teil der Sicherheitsarchitektur, weil es verwendet wird, um diesen Prozess Sicherheit zu definieren und zu "aktivieren".

    Nun kann man also anfangen diesen Prozess anderweitig zu betreiben:

    Richtig, aber was macht der, der sich nicht 100% in allen Belangen sicher ist?

    Es wäre nicht das erste Sicherheitsloch, würde mir jetzt eins auffallen. Wir Apple-Kunden verfügen alle für generisch gleiche Hardware. Das lässt extremst zuverlässiges Ausnutzen zu.
    Natürlich funktioniert Sicherheit nur bei 100%iger Quelloffenheit.
    Und mit "die Leute" kannst Du mich sogar einschliessen. Ich werde nicht durch die Gegend in einem öffentlichen WLAN meine Details zu meinem Betriebssystem in die Gegend posaunen. Das sollte keiner machen. ;)

    Ich sags mal so: Wer Bastille nicht mag, weil ihm dieses Framework nicht weit genug geht... naja... der braucht es nicht. Wer aber mal umfassend allgemein informiert werden will, dem könnte es gefallen. Das hier ist ja auch ein wirklich schreiend inkompletter Leitfaden zu dem unermesslich großen Thema "Sicherheit und OS X". Wobei das Thema meine Interessenlage irgendwie gut tangiert, seitdem ich nen MacBook hab.
     
  15. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Nachtrag zu cupsd. Der läuft natürlich auch, wenn man druckt. Allerdings ist ganz toll viel einstellbar unter /etc/cupsd/. Man kann beispielsweise den Zugriff von außen verwehren, wie es in der Defaultkonfiguration der Fall ist:
    ## Restrict access to local domain
    Order Deny,Allow
    Deny From All
    Allow From 127.0.0.1
    Eine Firewall ist hier also überflüssig.

    Für das Printersharing sind folgende Einstellungen relevant:
    sudo diff on off
    52c52
    < #ServerName hostname
    ---
    > ServerName 127.0.0.1
    450,451c450,451
    < Port 631
    < #Listen 127.0.0.1:631
    ---
    > #Port 631
    > Listen 127.0.0.1:631
    578c578
    < BrowseAddress @LOCAL
    ---
    > #BrowseAddress @LOCAL
    632c632
    < BrowseInterval 30
    ---
    > BrowseInterval 0
    823d822
    < Allow From @LOCAL

    Ich habe es an und aus gehabt und dann die Konfiguration verglichen.
     
    #15 MacMark, 16.10.07
    Zuletzt bearbeitet: 16.10.07
  16. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
  17. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Aus aktuellem Anlass:
    http://www.heise.de/security/artikel/98090/Ein-zweiter-Blick-auf-die-Firewall-in-Mac-OS-X-Leopard

    War ja klar, dass sich Halbkompetente darüber wieder das Maul zerreißen. Ich werd mal versuchen Bastille auf 10.5 zu installieren ;)
    Diesen FUD könnten die sich sparen. Sich überhaupt anzumaßen ein 1 1/2 Werktage verfügbares System so schnell sicherheitskritisch bewerten zu können... anhand einer, einer, billigen Implementation, lässt Rückschlüsse auf die Qualität des technisch-boulvedesken Heise-Online-Blattes zu. Schwachmaten...

    edit: mir ist es bisweilen nicht gelungnen Tk zu installieren!!!

    Hier hab ich mal andere Ideen reingepackt. Wenn ich Zeit finde penteste ich mein System auch mal ernsthaft. Aber so was dauert ja bekanntlich.
    Bisweilen verunsichert mich dieses Gelaber kein Stück!
     
    #17 Bier, 29.10.07
    Zuletzt bearbeitet: 30.10.07
  18. wmchris

    wmchris Gast

    auf leopard verweigert es seinen dienst:
    Code:
    sh-3.2# bastille -b
    NOTE:    Entering Critical Code Execution.
             Bastille has disabled keyboard interrupts.
    
    
    ERROR:   'unknown' is not a supported operating system.
             Valid operating system versions are as follows:
             OSX:
             'OSX10.2' 'OSX10.3' 'OSX10.4' 
             HP-UX:
             'HP-UX11.00' 'HP-UX11.11' 'HP-UX11.22' 'HP-UX11.23' 'HP-UX11.31' 
             
             LINUX:
             'DB2.2' 'DB3.0' 'RH6.0' 'RH6.1' 'RH6.2' 
             'RH7.0' 'RH7.1' 'RH7.2' 'RH7.3' 'RH8.0' 
             'RH9' 'RHEL4AS' 'RHEL4ES' 'RHEL4WS' 'RHEL3AS' 
             'RHEL3ES' 'RHEL3WS' 'RHEL2AS' 'RHEL2ES' 'RHEL2WS' 
             'RHFC1' 'RHFC2' 'RHFC3' 'RHFC4' 'RHFC5' 
             'MN6.0' 'MN6.1 ' 'MN7.0' 'MN7.1' 'MN7.2' 
             'MN8.0' 'MN8.1' 'MN8.2' 'MN9.2' 'MN10.0' 
             'MN10.1' 'MN2006.0' 'SE7.2' 'SE7.3' 'SE8.0' 
             'SE8.1' 'SE9.0' 'SE9.1' 'SE9.2' 'SE9.3' 
             'SE10.0' 'SESLES8' 'SESLES9' 'TB7.0' 
    
    Invalid argument list:
             Usage: bastille [ -b | -c | -r | -x [ --os version ] ]
             -b : use a saved config file to apply changes
                  directly to system
             -c : use the Curses (non-X11) TUI
             -r : revert all Bastille changes to-date
             -x : use the Perl/Tk (X11) GUI
             --os version : ask all questions for the given operating system
                            version.  e.g. --os RH6.0
    sh-3.2# 
    
    
    
    da heists wohl abwarten bis es ne neue version gibt.
     
  19. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Ah... das hab ich mir irgendwie fast gedacht... ich werd mal was Eigenes schreiben... orientiert an WaterRoof. Problem ist letztendlich, dass ich kein Cocoa kann und meistens für so was schnell nen shell Skript schreibe. Ob die Dialoge da für "den Normal bis Gelegenheitsnutzer" geführt genug sein können?

    Hmm... kann man so was über Swing mit Java realisieren. Ansonsten kann ich halt einfach kein GUI Design :(
     
  20. koule kafe

    koule kafe Gast

    Kann die Installation eines weiteren Programmes jemals meinen Rechner sicherer machen?

    Wenn ich bei der NSA oder ähnlichem arbeiten würde, dann würde ich ein solches Programm anbieten und damit meinen Zugang gewährleisteten.
     

Diese Seite empfehlen