• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[solved]SUSE 9.1 Live Cd Bug ?

tost

tost

Hallo,

in dem Kofler - Buch war von einem Bug in einer SUSE 9.1 Live-Cd die Rede, angeblich soll dadurch ein Sicherheitsloch entstehen, über dem ein andere User auf den Pc zugreifen kann, wenn ich die Stelle in dem Buch finde, kann ich genauer berichten.

Falls einer diesen Bug schon kennt, hätte ich zwei Fragen:

- Wie schließt man dieses Sicherheitsloch wieder ?
- Ist man jetzt ständig gefährdet ?

thx
tost
 
P

Paulchen

Guckst Du Google.

Findest Du:
http://www.edv-jr.de/monatsnews.htm

Steht da:
Suse Linux 9.1: Live-CD unsicher
Der Personal Edition von Suse Linux 9.1 liegt eine Live-CD bei, von der sich ähnlich wie bei Knoppix direkt und ohne Installation Linux starten lässt. Allerdings hat Suse es versäumt, den SSH-Zugang (Secure Shell) mit einem Passwort zu schützen. So kann sich auf einem solchen System jeder über das Netzwerk oder das Internet ohne Passwortabfrage anmelden und erhält volle Zugriffsrechte. Um sich zu schützen, sollte man entweder den SSH-Zugang nach jedem Start manuell abschalten oder sich eine korrigierte Live-CD herunterladen und brennen - Suse hat dafür ein CD-Image im ISO-Format zum kostenlosen Download bereitgestellt. Download unter ftp://ftp.suse.com/pub/suse/i386/live-cd-9.1/ (673 MB).

Gruß Paulchen :wink:
 
OP
tost

tost

Allerdings hat Suse es versäumt, den SSH-Zugang (Secure Shell) mit einem Passwort zu schützen. So kann sich auf einem solchen System jeder über das Netzwerk oder das Internet ohne Passwortabfrage anmelden und erhält volle Zugriffsrechte. Um sich zu schützen, sollte man entweder den SSH-Zugang nach jedem Start manuell abschalten oder sich eine korrigierte Live-CD herunterladen und brennen - Suse hat dafür ein CD-Image im ISO-Format zum kostenlosen Download bereitgestellt.
Zum Vergrößern anklicken....

ja, nur meine Frage war, wie ich das Sicherheitsloch wieder zu bekomme, oder ob es sich nachdem man wieder ein "normales" Linux oder Windows benutzt automatisch schließt, bzw. ob es offen bleibt ?

Das konnte ich aus der Antwort von dir nicht ganz entnehmen :oops:

mfg
tost
 
P

Paulchen

Das Sicherheitsloch ist nach Bekanntwerden geschlossen worden. D.h., auf der Live-CD, die Du aktuell bei suse.de downloaden kannst, ist diese Lücke behoben.

Wenn Du von einer CD bootest, auf der die Lücke noch besteht, must Du diese manuell schließen, indem Du SSH deaktivierst. Da Du aber von CD bootest, wird die Veränderung der Einstellungen beim Runterfahren nicht übernommen und gespeichert. Wenn Du also neu von der CD bootest, ist der Zustand genau wie beim vorherigen Booten.

Da die Live-CD von SUSE zum Ausprobieren ohne Installation gedacht war, nimmt sie auch keine automatischen Änderungen an den Dateien der Festplatte vor. Du bootest praktisch das gesamte System von CD. Auch wenn Du auf der Platte SUSE installiert hast, werden keine Dateien dieser Installation benötigt. Wenn Du danach von Festplatte bootest, greifst Du wieder auf die installierten Dateien zu, die unverändert geblieben sind, egal ob Linux oder ....
Wie die Rechtezuteilung für Schreibzugriffe auf die Festplatte generell gehandhabt wird, weiß ich nicht, weil ich mich damit nicht näher beschäftigt habe. Vielleicht weiß jemand anders mehr dazu.

Gruß Paulchen
 
M

Miami_TEC_Nec

und wenn wa schon mal bei Live CD sind...

wie schaut es eigentlich von der rechtlichen seite aus?
Im moment habe ich noch SuSE 8.1 Pro als Original hier zu liegen.
Doch ich wollte gerne auf SuSE 9.1 Pro umsteigen!
Die Personal Version von 9.1 kriegt man ja an jeder ecke im Internet zum download angeboten. aber wie schaut es denn mit der Pro Version aus??
Ist der download und die daraus resultierende benutzung illegal ( ala Microsoft ) oder darf man sich auch diese version downloaden?
bei eMule gibt es ja genug Quellen dafür, aber auch nur da.
oder kennt man ne HP wo mans bekommt?!

thx miami
 
S

spunti

Das wurde hier schon mal heiß diskutiert. Selbst Suse hat zwischendurch mal gesagt, daß es legal ist. Der letzte Stand ist aber der, daß es nicht legal ist.
Am besten ist also noch die personal CD zu laden und den Rest per Ftp zu holen.

Ich persönlich würde mich daran nicht stören, wenn ich das nur privat nutze.
spunti
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben