Linux des tages

Die folgende geschichte aus der alltagspraxis mit linux mint 18.2 und 18.3 wurde mir heute zugetragen, und ich habe keinen grund, daran zu zweifeln — hier kurz und flott nacherzählt: „Auf meinem rechner lief linux mint 18.2. Ich habe gestern eine neue festplatte gekauft und mit veracrypt verschlüsselt. Während der verschlüsselung ging der bildschirmschoner an. Danach konnte ich mich nicht mehr einloggen. Die eingabeaufforderung sieht völlig anders aus, mein passwort (garantiert richtig eingegeben) wird nicht akzeptiert. Ich habe das system von einer mint-18.3-DVD neu installiert, auch danach war es nicht möglich, sich einzuloggen — und nein, ich habe kein fehler beim einrichten des users gemacht“.

Nur für den fall, dass jemand über linux mint nachdenkt, weil das oberflächlich recht nett aussieht. Ich habe mir nicht angeschaut, was da wohl zerschossen wurde (und wie man es vielleicht flicken könnte), und der mensch, der sich über diesen rottigen strokelschrott geärgert hat, hatte auch kein bedürfnis, noch einmal in seinem leben linux mint zu benutzen und ist jetzt wieder bei unbuntu (wo das nächste mittelgroße problem nur eine frage der zeit sein wird).

Linux mint des tages

Achtung, keine tischkanten in gebissnähe!

Könnt ihr euch noch erinnern, dass linux mint so richtig derbe aufgekräckt wurde? Na ja, kann mal passieren. Sogar die nutzerdatenbank des forums wurde mitgenommen. Na ja, kann auch mal passieren, wenn ein kräcker die konfigurazjon des forums lesen kann und einen SQL-dump der datenbank mit den zugangsdaten hinbekommt. Und nein, so richtig schwierig war es nicht, aus der datenbank dann die passwörter rauszukriegen. Das ist schon ein bisschen hässlicher, denn mit einem richtig gut gesalzenen häsching der passwörter wäre das eben richtig schwierig gewesen. Aber hej, kann ja mal passieren; wer achtet schon auf datensicherheit, wenn schnell ein webforum aufgesetzt wird. Aber natürlich müssen jetzt die ollen passwörter weg, die sind ja doch ein bisschen gefährlich geworden. Damit könnte sich ja jeder als jemand anders am forum anmelden. Deshalb bekommen jetzt alle rund hundertfuffzichtausend dort registrierten nutzer ein neues passwort… so weit die gute nachricht. Und damit die nachricht nicht ganz so gut bleibt: sie bekommen es in einer unverschlüsselten mäjhl zugesendet. Und wenn das jemand kritisiert, weil das jetzt ja doch nicht die richtige herangehensweise an die sicherheit sein könnte, ist das ja gar nicht so schlimm, weil sich damit nur schlimmstenfalls jeder mitleser dieser offen wie eine postkarte durchs internetz bewegten passwörter als jemand anders am forum anmelden kann.

Weia! Die halten bei mint so kompetenzmäßig ja alles, was unbuntu nur versprochen hat. Na ja, wenn man vor allem ein unbuntu mit ein paar zusatzpaketen und einem benutzbaren desktop¹ ist… :mrgreen:

¹Gibt es übrigens alles auch mit unbuntu: für menschen, die keine neuen bedienimpulse mehr erlernen wollen (so wie ich) gibts den XFCE mit xubuntu; für menschen, die etwas betagtere hardwäjhr rumstehen haben, gibts LXDE mit lubuntu (besser ist allerdings debian mit LXDE, weil es viel schlanker ist); und für menschen, die es gern etwas moderner haben möchten, gibts den KDE mit kubuntu (allerdings ist SuSE dann auch einen blick wert, denn ich kenne keine andere linux-distribuzjon, die mit KDE so gut und rund läuft wie SuSE). Und für alles andere heißt es: selbst ein paar pakete (für gnome oder mate) installieren oder paketkwellen (für cinnamon oder für mate auf 14.04 LTS) finden, was jetzt auch keine entmutigend schwierige aufgabe ist. Wer keinen aufgeplusterten desktop, sondern einen ollen fenstermänätscher haben will, weiß sich sowieso selbst zu helfen.

Datenschleuder des tages

Die datenbank zum forum von linux mint ist mindestens einen monat vor der öffentlichen mitteilung durch einen kräck vollständig kompromittiert gewesen — und wird seit dem 16. januar fröhlich gehandelt. Ja, die ganzen dort angesammelten daten, einschließlich der mäjhladressen, der nicks, der gehäschten passwörter und was sonst so angegeben wurde, befinden sich in den händen von kriminellen. Und dass das jemand gemerkt und dem projekt übers zwitscherchen mitgeteilt hat, scheint auch keinen interessiert zu haben. Bis es dann auf einmal ein ISO mit schadsoftwäjhr zum daunload auf der linux-mint-homepäjtsch gab…

Weia!

Security des tages

Könnt ihr euch noch daran erinnern, wie neulich die webseit von linux mint gekräckt wurde und wie dort ein linux mit vorinstallierter schadsoftwäjhr zum daunlohd hingelegt wurde?

Nun, inzwischen ist etwas klarer, wie es dazu kommen konnte: mit wordpress natürlich, dem lieblings-CMS der kräcker und kriminellen.

Und nicht nur das:

Zwar haben die Betreiber der Webseite wohl die neueste WordPress-Version ohne verwundbare Plug-ins im Einsatz gehabt, aber ein selbst angepasstes Theme und eine „laxe Rechtevergabe“ hätten wohl zu der Lücke geführt

Die betreiber der webseit einer großen linuxdistribuzjon — da müsst ihr jetzt alle andächtig murmeln: „linux ist sicherer als windohs“ — haben sich als richtige spezjalexperten erwiesen. Mit der „laxen rechtevergabe“ sind nämlich vermutlich die rechte im dateisystem des webservers gemeint. Leute, die es auf ihrem serverrechner nicht hinbekommen, so viel wie möglich für den webserver nur lesbar zu machen und dafür zu sorgen, dass der webserver in schreibbaren verzeichnissen keine möglicherweise irgendwie hochgeladenen CGI- oder PHP-skriptchen ausführen kann, kennen sich bestimmt so richtig pralle toll mit security aus!

Klar ist wordpress ein biest, das keineswegs einfach so zu installieren ist, dass angreifer vor ihrem erfolg entmutigt werden. Aber die webseit eines linux-distributors ist ja auch kein blog eines gartenzwergzuchtvereines aus hinterndorf im dunkeln.

Da wünsche ich auch allen gläubigen und blinden weiterhin viel spaß dabei, linux mint zu benutzen und sich „sicher“ zu fühlen, weil linux nun einmal „sicher“ ist, denn sonst würde das ja nicht jeder sagen, dass linux „sicher“ ist… und ansonsten ist es bekwem und hübsch und mausklick und dabei noch „sicher“, weil jeder sagt, dass es „sicher“ ist… :mrgreen:

Kein betrübssystem — auch ein einigermaßen gutes nicht — ist ein ersatz für ein funkzjonierendes, aktiv und lernbereit benutztes gehirn!

Datenschleuder des tages

Linux mint hat sich nicht nur seine webseit von kriminellen übernehmen lassen, damit sich die leute vorinstallierte schadsoftwäjhr daunlohden, sondern auch die datenbank seines forums „veröffentlicht“, natürlich mit allem, was dazugehört: mäjhladressen, nicks, avatare, angegebene metadaten wie geburtsdaten, geschlecht, etc. Die passwörter sollen nach aussage des kräckers so sicher gespeichert worden sein, dass sie allesamt bereits gekräckt sind. Die daten werden bereits gehandelt.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den schutz irgendwo eingegebener daten! Die liste wird länger und länger und länger

Linux mint 16 „petra“, XFCE-versjon

Die distributoren von linux mint 16 „petra“, XFCE versjon, haben nicht daran gedacht, standardmäßig ein paar elementare grafische progrämmchen für die systemverwaltung (zum beispiel die gruppen- und benutzerverwaltung) mitzuinstallieren. Klar, so etwas macht man ja auch in einem terminal-fenster mit adduser und addgroup… 😉

Aber wer so etwas nicht im terminal machen will, der tippe im terminal…

sudo apt-get install gnome-system-tools

…und habe es danach wieder klickig.