Sicherheitsworkshop Teil 1 - Bastille OS X

[Bier]

[yt]Aa_D4rejiHc[/yt]
Wem das als Erklärung reicht, der möge evtl. nicht weiterlesen. Ich persönlich halte das für großen Schwachsinn. Wer eine so schlecht implementierte Firewall mitliefert, wie Apple das tut, sollte keineswegs Zeit mit Spott verschwenden.

Bastille unter OS X


Kurzes Vorwort:

Ich bin Sicherheitsfan. Das kein Witz: nichtsdestotrotz, dass es manchmal kompliziert ist, macht sie mir Spaß. Ich geh auch auf diverse Konferenzen, zwar nicht auf die ganz weit weg im Ausland, aber doch auf manche.

Und in der heutigen Zeit, in der selbst der Staat Interesse hat, einem PC Nutzer hinterherzuspionieren und schreibend dumme Pläne gefasst werden, um diese Spionage zu realisieren, kann sich keiner mehr sicher sein, dass sein Computer nicht auch diskreditiert wird.
Keiner? Fast keiner.

Ich bin mir nie zu 100% sicher, dass es unmöglich ist.


Der geneigte Leser wird es kennen, der weniger Geneigte nun kennen lernen. Es gibt diverse andere Möglichkeiten, manche davon kenne selbst ich nicht. Aber die eine hier, die ich kenne, stelle ich nun mal kurz vor:

Bastille – die Philosophie dahinter

Bastille broke new ground by working to educate users about security, and help them make balanced, informed choices. Many users have found Bastille's secondary goal of educational just as useful as its primary goal of system hardening, leading some organizations to make an interactive Bastille hardening session part of their training regimen for new system administrators. In this spirit, Bastille can allow the user to run through the entire interactive portion without applying the chosen changes.

• Es handelt um eine X-11 basierte Anwendung.
• Sonst schwerer zugängliche allgemeine Sicherheitseinstellungen werden einfach zugänglich gemacht.
• die Änderungen sind gut dokumentiert
• sie sind wichtig fürs System

Warum?

Meiner Meinung nach, und der Meinung der Macher nach, gilt Folgendes:

„The OSX firewall is weaker than it should be.“

Der Missstand mit der ipfw-Implementation in OS X beginnt ja schon in der standardisierten Deaktivierung. Dies ist zwar übers GUI schnell änderbar, und man kann auch wenige andere sicherheitsbezogene Optionen vornehmen. Aber so wirklich in die Tiefe geht das alles nicht.

Auch Daemons, die man als OS Xler in der Regeln nicht braucht, kann man doch deaktivieren. Wer von uns hat schließlich lokal einen Webserver am Laufen?

Zudem gab es in der Vergangenheit in iTunes sowie Safari gravierende Implementationsmängel:

[yt]3uC4TDxumWI[/yt]
Es ging allerdings hier um einen im root-Modus arbeitenden Nutzer, der auf eine altbekannte Sache hereinfiel, weshalb dieses kleine Video keineswegs aktuell-referenziell zu werten ist. Vielmehr warnend, dass es anderes gibt, was aktuell und ein wenig komplizierter ist. Mit konfigurieter Firewall/angeschalteter Firewall war das Ganze dann witziger.

Installation

Die Installation ist nicht einfach. Unix Power User sehen das sicher anders. Ich nicht, ich finde, das könnte man einfacher machen, zumal die relativ sinnigen Konfigurationen übers GUI vorgenommen werden, einem X11 GUI.

Nun ja... gehen wir es an. Ich schätze die Zeit auf 30 Minuten.

Herunterladen

http://bastille-linux.sourceforge.net/running_bastille_on.htm

Da führt kein Weg dran vorbei. Ganz unten finden wir es. Wir laden es herunter. Nun kommen viele Unix-Leute immer gern mit tar. Ich mag tar, aber wir sind hier unter OS X. Wir sind crude-cool:

open bastille.tar

Oder wie auch immer ihr das File nennt. Es wird entpackt mit dem Archiv-Dienstprogramm oder der standardisierten Wahlanwendung. Klick-ersetzend geht’s im Programmverzeichnis weiter:

more README

Ist immer gut. Manch einer möchte jetzt sicher noch as Skript Install-OSX.sh durchlesen. Schließlich muss es mit root-Rechten ausgeführt werden.

Abhängigkeiten

Gebraucht werden: wget, ncftp, lynx

Die installiert man am besten per dports. Beispiel:

sudo port install lynx

Ist das gemacht geht’s weiter:

sudo cpan

Nun werden, sofern es der erste Start ist, config-Files ins Homes gelegt. Perl sollte aber insoweit noch ein normales Verhalten an den Tag legen.
In der Shell geben wir an:

install module Tk

Das dauert ein wenig. Haben wir das, geht’s zu Bastille ins programmzugehörige Verzeichnis.

Wir führen aus:

sudo ./Install-OSX.sh

Und dann wieder in der BaSh oder was auch immer ihr nutzt:

sudo Bastille

Es öffnet sich das X11 Fenster.

Um das Ganze ein wenig zu vereinfachen:

Video

Hier ein thematisches Video dazu:

http://video.google.com/videoplay?docid=4776177192339716238

Wenn jemand weiß wie man GoogleVideo hier einbindet bitte ich um eine PM. Danke

Fazit

Englischkenntnisse vorausgesetzt informiert dieses Tool wunderbar genau, darüber was und wie es konfiguriert.

Soviel erst mal... ich schau mal. Vielleicht setz ich noch nen II. Teil rein oder so. Vielleicht hat auch wer anders noch gute Tipps für mich, die in die gleiche Richtung gehen.

Vergesst nicht

sudo Bastille -b

nach dem Konfigurieren auszuführen. Ob es geklappt hat sehr ihr per

 sudo ipfw show

.

% sudo ipfw show
02000 73175 7341171 allow ip from any to any via lo*
02010 0 0 deny ip from 127.0.0.0/8 to any in
02020 0 0 deny ip from any to 127.0.0.0/8 in
02030 0 0 deny ip from 224.0.0.0/3 to any in
02040 0 0 deny tcp from any to 224.0.0.0/3 in
02050 101972 6593055 allow tcp from any to any out
02060 175347 251113921 allow tcp from any to any established
02065 0 0 allow tcp from any to any frag
12190 0 0 deny log tcp from any to any
20000 0 0 deny log icmp from any to me in icmptypes 8
20310 0 0 allow udp from any to any dst-port 53 in
20320 3 1156 allow udp from any to any dst-port 68 in
20321 0 0 allow udp from any 67 to me in
20322 0 0 allow udp from any 5353 to me in
20340 0 0 allow udp from any to any dst-port 137 in
20350 150 9716 allow udp from any to any dst-port 427 in
20360 0 0 allow udp from any to any dst-port 631 in
20370 97 17941 allow udp from any to any dst-port 5353 in
22000 0 0 allow udp from any to any dst-port 123 in
30510 664 75471 allow udp from me to any out keep-state
30520 0 0 allow udp from any to any in frag
35000 512 178319 deny log udp from any to any in
65535 16 512 allow ip from any to any

Wem das zu komplex sein sollte... keine Sorge. Leopard wird sicher auch einige Verbesserungen in dem Bereich bringen. Wenn nicht... ihr wisst ja wo ihr fortan Bastille findet.

So Freunde,
schönen Abend noch!

Bier

Quellen und Infos:
http://www.toorcon.org/
http://macsecurity.wordpress.com/2006/01/05/running-bastille-on-os-x-103/
http://bastille-linux.sourceforge.net/
http://www.apfelwiki.de/Main/Bastille

p.s.: Ich würde mich hier besonders über Anfängerfragen freuen, da ich denke, dass jeder eine ordendliche Sicherheitskonfiguration verdient hat.

 

[Gastone]

Vielen Dank für das Tutorial.

Endlich mal ein fundierter Bericht zum Thema Sicherheit und Mac OS. Der Videobeitrag von der Sicherheitskonferenz war sehr informativ.

Du hattest gefragt, was Anfänger von Deinem Bericht halten. Ich habe mein MacBook jetzt seit etwa einem Jahr und bin technisch nicht ganz unbewandert. Deine Ausführungen sind verständlich und zugänglich. Allerdings traue ich mich nicht wirklich "unter der Haube des Mac OS" zu schrauben. Mein System läuft stabil und ich bin damit sehr zufrieden. Ich habe ehrlich gesagt Angst, dass ich das System zerschiesse. Dies liegt insbesondere daran, dass ich im Falle eines Gaus nicht wüßte, welche Schritte ich für eine Systemwiederherstellung einleiten müsste, geschweige denn, dass ich jemanden kenne, der mir helfen könnte, da ich keine anderen Mac User kenne.

Insgesamt ist mir allerdings klar, dass man regelmäßig in Sachen Sicherheit etwas unternehmen muss.

 

[Bier]

Hi!

Ja... das Schöne an Bastille ist mitunter, dass nur beim Ausführen von bastille -b eine wirkliche Systemänderung geschieht. Das heißt der Weiterbildungseffekt ist sowieso vorhanden. Das Programm wird industriell eingesetzt; d. h. damit werden teils 100te Rechner "konfiguriert".

Ich hab persönlich mein System 1:1 im Backupkasten auf 3 DoubleLayer DVDs. Die booten, schreiben sich auf meine Festplatte, und das System ist wieder da, wenn ich das will. Sorum fährt man eigentlich ein sehr geringes Risiko.

 

[MacMark]

[…] Der Missstand mit der ipfw-Implementation in OS X beginnt ja schon in der standardisierten Deaktivierung. […]

Welcher Dienst läuft denn in der Standardeinstellung, den Du abschirmen möchtest?

[…] Auch Daemons, die man als OS Xler in der Regeln nicht braucht, kann man doch deaktivieren. Wer von uns hat schließlich lokal einen Webserver am Laufen? […]

Der Webserver ist standardmäßig aus. Der zugehörige Dämon "httpd" läuft standardmäßig nicht.

 

[Bier]

Welcher Dienst läuft denn in der Standardeinstellung, den Du abschirmen möchtest?

Bonjour, ntpd, CUPS, dann später PGP Desktop (wenn installiert natürlich), Word (frag MS warum)...

 

[KayHH]

Okay, (erst) bis zum ersten Abschnitt habe ich gelesen.

Zitat: „Wer eine so schlecht implementierte Firewall mitliefert, wie Apple das tut, sollte keineswegs Zeit mit Spott verschwenden.“

Was ist an der Firewall schlecht? Es ist die aus jedem BSD bekannt Firewall und BSD gilt jetzt nicht gerade als besonders unsicher. BTW, der Nutzen einer Firewall wird weit überschätzt. Das Hauptrisiko ist der Anwender selbst.


KayHH


PS: Ich lese dann mal weiter …

 

[Bier]

Oh, sorry, ich meinte natürlich nicht die Firewall selbst, sondern die Einstellungsoptionen. Den "Stealth Mode" z. B., dessen Beschreibung von keiner sehr tiefgehenden Kenntniss von TCP/IP zeugt... die ipfw liefert Apple ja selbst nicht wirklich.

 

[KayHH]

Okay, die GUI bietet nicht sehr viele Einstellmöglichkeiten, aber das ist ja auch so gewollt. Keep it simple, das ist Apple-Philosophie. Alles weitere geht über das Terminal und einen normalen Editor.

Was meinst du mit Stealth-Mode? Bist du ein Anhänger des selbigen? Der Stealth-Mode ist alles andere als unumstritten und verhindert weder Portscans noch Angriffe. Auch sich nicht konform zu verhalten lenkt die Aufmerksamkeit der Angreifer auf sich.


KayH

 

[KayHH]

Welche Dämons laufen denn standardmäßig? Wer bitte arbeitet als root? Es gibt Leute die als Admin arbeiten, aber auch das sollte man vermeiden, zumindest sollte sich das rumgesprochen haben. Ich weiß, viele tun es trotzdem.

Aus dem Rest bin ich nicht schlau geworden. Was macht Bastille besser?



KayHH

 

[Bier]

Im Endeffekt ist das eine vielfältige Konfigurationsplattform. Es wird ein Framework für allerhand Einstellungen geboten, die _alle_ auch manuell ohne möglich sind.
Zu Sagen ist wohl, dass es sich keineswegs um "nur" eine Firewall handelt. Die spezielle Konfiguration der ipfw für den passenden Einsatzzweck kann lediglich verbessert werden.

Neben diesem Feature kann man auch noch vieles andere einstellen, anpassen, und sich informieren. Das steht eigentlich alles recht eindeutig da.
Ziel ist es halt, dass man nicht alles manuell einstellen muss. Dass man nicht das Terminal oder einen Editor nutzen muss und als "Fortgeschrittenerer" nicht überfordert wird. Und man kann auch ne Menge technischen Mist bauen, gerade da.
Weiß ich aus eigener sehr leidlicher Erfahrung

Natürlich macht Bastille das Betriebssystem weder besser oder sicher(er), noch verändert es dieses durch meintwegen Kernel-Erweiterungen. Es setzt halt gewisse Limits, sodass zum Beispiel DoS Attacken weniger ausmachen und weniger Plattform erhalten.
So ist es ein allgemeines Konfigurationsframework, mehr aber auch nicht.

Und ja, eine Firewall ist stark überschätzt. Wobei Mac-User sie gemeinhin unterschätzen, indem sie sie auslassen.
"Keep it simple" - nettes Motto. Aber der "Stealth Mode" ist faktisch eindeutig FALSCH beschrieben. Stichwort "unsichtbar". Das ist Humbug! Wer meint unsichtbar zu sein, sollte bei den Fantastic Four anfangen als "Invisibel 'User'".

Was die Frage zum Thema "Wer arbeitet als root?" betrifft. Das lenkt wohl auf dieses Youtube Video. Da habe ich zu gesagt, dass das lediglich ein Kleinstbeispiel ist. Ich möchte hier nicht anfangen einschlägige Offensivanleitungen zu verbreiten, obwohl ich meinerseits sage, dass sie sinnvoll und wichtig sind. Es geht auch gar nicht darum, oder?

 

[MacMark]

Bonjour, ntpd, CUPS, dann später PGP Desktop (wenn installiert natürlich), Word (frag MS warum)...

Der Network Time Protocol Dämon "ntpd" läuft nur, wenn Du "Set date & time automatically" aktiviert hast, was standardmäßig aus ist. Bei OS X (Non-Server) wird er sogar nur im Client-Mode gestartet werden.

Der Common UNIX Printing System Dämon "cupsd" läuft nur, wenn Du "Printer Sharing" aktiviert hast, was standardmäßig aus ist.

Zu "Bonjour": Der Multicast DNS Dämon "mDNSResponder". Ein Sperren seiner Ports wäre widersinnig, weil er für automatische Netzwerkkonfiguration mit anderen Geräte inklusive Rechnern verwendet wird, und eingesperrt nutzlos würde.

Wenn, dann sollte man "Bonjour" komplett deaktivieren. Zuständig ist /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist, welche Input für launchd ist. Fummeln an der /System/Library/ ist jedoch nicht zu empfehlen, weil es um Systemprozesse geht, die nicht für Admins gedacht sind (dafür ist /Library/ da) und weil Daten dort beim nächsten Update überschrieben werden eventuell.

 

[Bier]

Hi MacMark!

Ja seit dem Unix-Thread widerspreche ich Dir ja ungerne. Das hier ist aber eher kontrovers zu betrachten. Ich hab mich da schon mit vielen Leuten drüber unterhalten.

Einig waren wir uns da eigentlich alle, dass "Bonjour" (UDP 5353) seinerseits ein Sicherheitsrisiko bedeuten kann, wenn man updatefaul ist. Denn man kann über Bonjour erfragen, welche Status das System da hat. Sorum kann ich als Angreifer meine Exploitdatenbank doch darauf ausrichten. Ah... Es ist 10.4.8, darum versuche ich mal etwas Älteres; es ist ja ungepatched. Auf - connecten!
Und Feuer!.

Dadurch, dass man diese Information quasi bereitwillig ausgibt, macht man sich zum Ziel. Das ist gar nicht so unwahrscheinlich. Also ich hab Versuche erlebt, teils sogar erst später bemerkt. Ist ja nichts dabei, wenn man auf ner Konferenz oder so ist.

CUPS - läuft eigentlich, so würde man vermuten, dann, wenn Printer Sharing aktiviert ist. Dem ist aber nicht so. Mich hat das auch immer gewundert. Vielleicht hast Du ja ne Erklärung, wobei was das GUI Dir sagt: das ist nicht unbedingt Richting. Du kannst an CUPS immer senden, die Frage ist Was.
Warum aber sollte man diesen Daemon anlassen, wenn man ihn nicht braucht. Oder warum sollte man überhaupt etwas offen lassen, was man nicht braucht?

Steht irgendwo, wie die derzeitige Standardkonfiguration ist? Kann man das in irgendeinem ADC Archiv nachlesen; ich hab da nichts gefunden. Weil auch beim ntpd war/bin/recherschiere ich der/die Meinung, dass er normalerweise an ist.

Jedenfalls ist das doch auch nicht der Punkt, um den es bei Bastille geht. Mir würden da ganz andere Sachen, viel gewichtere, ins Auge stechen, außer der Abschirmung (potenziell) laufender Daemons über die Firewall. Das ist ein Punkt, nur einer. Mir ist nebenbei bemerkt auch keine Buffer Overflow Protection in OS X bekannt. Das würde mich noch mal mehr stören, als CUPS oder Bonjour.

 

[MacMark]

Bezüglich Bonjour würde ich die Leute mal fragen, seit wann sie glauben, daß "security by obscurity" funktioniert. Glauben die nicht mehr an ihre eigene These, wenn es um OS X geht?

Standardkonfiguration ist das, was man vorfindet, wenn man OS X das erste Mal bootet (oder das, was man nach einer Installation, die nicht "drüberinstalliert" und keine Voreinstellungen übernimmt, bekommt).

Der cupsd startet erst, wenn man Printer Sharing anschaltet. Sieht man gut im Activity Monitor oder top oder ps und so weiter. Er wird jedoch beim Ausschalten von Printer Sharing nicht sofort wieder beendet, wenn ich das richtig sehe. Er ist jedoch nach Neustart dann weg.

Es ist auch nicht jeder Dämon zwingend ein Server, der Dienste über das Netz anbietet.

An dem verlinkten Vortrag gefällt mir nicht, daß sie die Situation falsch darstellen. Sie übertreiben und provozieren falsche Schlußfolgerungen. Die Firewall von OS X ist vollkommen ok und hat sich nicht nur auf OS X bewährt, sondern auch auf anderen Systemen vorher. Sie erwarten jedoch zu Unrecht eine OS X (Non-Server)-GUI, die einen Profi zufriedenstellt. Der Profi konfiguriert sie direkt per Terminal. Die GUI ist für den Graphiker von nebenan (oder seine Freundin). Die haben nicht Informatik studiert. Wichtig ist nur, daß alle Dienste, die man nicht unbedingt als Normalo braucht, erstmal aus sind - und das sind sie.

Es gibt jedoch andere Systeme, die muß man per Firewall abschotten, weil sie allerlei Zeug, was nicht ins Netz gehört, großzügig dort anbieten. Und dann heulen sie rum, ihr System wäre ja nur so arm dran, weil es soviel Marktanteil hätte. Das ist so, als wenn eine Firma 90% aller Schiffe baut, aber ihre Schiffe haben alle unten Löcher. Beim Schwimmen saufen die dann ab, weil das böse Wasser sich reingehackt hat ins Boot. Der Grund für's Absaufen ist, daß sie bei Schiffen den größten Marktanteil haben. Die anderen Boote sind Loser, weil sie nur im Binnengewässer rumschiffen. Die saufen nur deshalb nicht ab, weil das Wasser keine Wellen hat auf dem Dümmer. Es liegt nicht daran, daß sie untenrum keine Löcher haben.

Eine Firewall ist ein Flicken auf Löcher. Wenn man keine Löcher hat, dann sind Flicken unsinnig. Leute mit Löchern im Schiff halten Flicken jedoch für toll wichtig und vergeben Preise für den Flicken des Jahres. Es wird neuerdings sogar ein hauseigener Flicken für hauseigene Löcher mitgeliefert. Die Loser-Boote haben nicht einmal Flicken! Wie trauen die sich nur ins Wasser?

Ihr versteht, was ich meine, gelle?

 

[Bier]

Gelle!

Wobei ich grundlegend der Meinung bin, dass ein System, welches ich (oder jemand) allgemein einsetze, im Prozess Sicherheit definiert gehört. Ich glaube, und bin der festen Überzeugung, dass starke Sicherheit bei jedem System (auch beim Grafiker und seiner Freundin) von entscheidener Bedeutung ist. Und in diesem speziellen Falle bei OS X nicht ausreichend ist.
(Schließlich soll man das System für Arbeit und Kreativität verwenden, für Dinge, die wertvoll sind.)

Der Leitfaden eines jeden guten Sicherheitsingenieurs ist: »Sicherheit ist kein Produkt sondern ein Prozess.« Es steckt mehr dahinter, als starke Kryptographie in ein System zu integrieren. Es bedeutet, das gesamte System so zu entwerfen, dass alle Sicherheitsmaßnahmen - inklusive der Kryptographie - zusammenarbeiten.

- Bruce Schneier, Autor von Applied Cryptography.

Das ist ziemlich das, was ich meine, und weshalb ich mit der Handhabung der Firewall GUI (ist ja der Aufhänger geworden) alles andere als einverstanden bin . (Dass dieses 90% Marktanteilsystem einfach nur *würg* ist, da man diese systemfremden Firewall- und Sontewassysteme sehr einfach exploiten kann, sei mal nebenbei bemerkt.)
Das GUI arbeitet nicht ausreichend mit der ipfw zusammen, und da ist Aqua Teil der Sicherheitsarchitektur, weil es verwendet wird, um diesen Prozess Sicherheit zu definieren und zu "aktivieren".

Nun kann man also anfangen diesen Prozess anderweitig zu betreiben:

Der Profi konfiguriert sie direkt per Terminal.

Richtig, aber was macht der, der sich nicht 100% in allen Belangen sicher ist?

Bezüglich Bonjour würde ich die Leute mal fragen, seit wann sie glauben, daß "security by obscurity" funktioniert. Glauben die nicht mehr an ihre eigene These, wenn es um OS X geht?

Es wäre nicht das erste Sicherheitsloch, würde mir jetzt eins auffallen. Wir Apple-Kunden verfügen alle für generisch gleiche Hardware. Das lässt extremst zuverlässiges Ausnutzen zu.
Natürlich funktioniert Sicherheit nur bei 100%iger Quelloffenheit.
Und mit "die Leute" kannst Du mich sogar einschliessen. Ich werde nicht durch die Gegend in einem öffentlichen WLAN meine Details zu meinem Betriebssystem in die Gegend posaunen. Das sollte keiner machen.

Ich sags mal so: Wer Bastille nicht mag, weil ihm dieses Framework nicht weit genug geht... naja... der braucht es nicht. Wer aber mal umfassend allgemein informiert werden will, dem könnte es gefallen. Das hier ist ja auch ein wirklich schreiend inkompletter Leitfaden zu dem unermesslich großen Thema "Sicherheit und OS X". Wobei das Thema meine Interessenlage irgendwie gut tangiert, seitdem ich nen MacBook hab.

 

[MacMark]

Nachtrag zu cupsd. Der läuft natürlich auch, wenn man druckt. Allerdings ist ganz toll viel einstellbar unter /etc/cupsd/. Man kann beispielsweise den Zugriff von außen verwehren, wie es in der Defaultkonfiguration der Fall ist:
## Restrict access to local domain
Order Deny,Allow
Deny From All
Allow From 127.0.0.1
Eine Firewall ist hier also überflüssig.

Für das Printersharing sind folgende Einstellungen relevant:
sudo diff on off
52c52
< #ServerName hostname
---
> ServerName 127.0.0.1
450,451c450,451
< Port 631
< #Listen 127.0.0.1:631
---
> #Port 631
> Listen 127.0.0.1:631
578c578
< BrowseAddress @LOCAL
---
> #BrowseAddress @LOCAL
632c632
< BrowseInterval 30
---
> BrowseInterval 0
823d822
< Allow From @LOCAL

Ich habe es an und aus gehabt und dann die Konfiguration verglichen.

 

[MacMark]

… Mir ist nebenbei bemerkt auch keine Buffer Overflow Protection in OS X bekannt…

PROT_EXEC
http://developer.apple.com/documentation/Darwin/Reference/ManPages/man2/mmap.2.html

gcc (GCC) 3.3.5 (propolice)

NX bit seit 10.4.4

OS X übernimmt viel von OpenBSD diesbezüglich.

 

[Bier]

Aus aktuellem Anlass:
http://www.heise.de/security/artikel/98090/Ein-zweiter-Blick-auf-die-Firewall-in-Mac-OS-X-Leopard

War ja klar, dass sich Halbkompetente darüber wieder das Maul zerreißen. Ich werd mal versuchen Bastille auf 10.5 zu installieren
Diesen FUD könnten die sich sparen. Sich überhaupt anzumaßen ein 1 1/2 Werktage verfügbares System so schnell sicherheitskritisch bewerten zu können... anhand einer, einer, billigen Implementation, lässt Rückschlüsse auf die Qualität des technisch-boulvedesken Heise-Online-Blattes zu. Schwachmaten...

edit: mir ist es bisweilen nicht gelungnen Tk zu installieren!!!

Hier hab ich mal andere Ideen reingepackt. Wenn ich Zeit finde penteste ich mein System auch mal ernsthaft. Aber so was dauert ja bekanntlich.
Bisweilen verunsichert mich dieses Gelaber kein Stück!

 

[wmchris]

auf leopard verweigert es seinen dienst:

sh-3.2# bastille -b
NOTE:    Entering Critical Code Execution.
         Bastille has disabled keyboard interrupts.


ERROR:   'unknown' is not a supported operating system.
         Valid operating system versions are as follows:
         OSX:
         'OSX10.2' 'OSX10.3' 'OSX10.4' 
         HP-UX:
         'HP-UX11.00' 'HP-UX11.11' 'HP-UX11.22' 'HP-UX11.23' 'HP-UX11.31' 
         
         LINUX:
         'DB2.2' 'DB3.0' 'RH6.0' 'RH6.1' 'RH6.2' 
         'RH7.0' 'RH7.1' 'RH7.2' 'RH7.3' 'RH8.0' 
         'RH9' 'RHEL4AS' 'RHEL4ES' 'RHEL4WS' 'RHEL3AS' 
         'RHEL3ES' 'RHEL3WS' 'RHEL2AS' 'RHEL2ES' 'RHEL2WS' 
         'RHFC1' 'RHFC2' 'RHFC3' 'RHFC4' 'RHFC5' 
         'MN6.0' 'MN6.1 ' 'MN7.0' 'MN7.1' 'MN7.2' 
         'MN8.0' 'MN8.1' 'MN8.2' 'MN9.2' 'MN10.0' 
         'MN10.1' 'MN2006.0' 'SE7.2' 'SE7.3' 'SE8.0' 
         'SE8.1' 'SE9.0' 'SE9.1' 'SE9.2' 'SE9.3' 
         'SE10.0' 'SESLES8' 'SESLES9' 'TB7.0' 

Invalid argument list:
         Usage: bastille [ -b | -c | -r | -x [ --os version ] ]
         -b : use a saved config file to apply changes
              directly to system
         -c : use the Curses (non-X11) TUI
         -r : revert all Bastille changes to-date
         -x : use the Perl/Tk (X11) GUI
         --os version : ask all questions for the given operating system
                        version.  e.g. --os RH6.0
sh-3.2#

da heists wohl abwarten bis es ne neue version gibt.

 

[Bier]

Ah... das hab ich mir irgendwie fast gedacht... ich werd mal was Eigenes schreiben... orientiert an WaterRoof. Problem ist letztendlich, dass ich kein Cocoa kann und meistens für so was schnell nen shell Skript schreibe. Ob die Dialoge da für "den Normal bis Gelegenheitsnutzer" geführt genug sein können?

Hmm... kann man so was über Swing mit Java realisieren. Ansonsten kann ich halt einfach kein GUI Design

 

[koule kafe]

Kann die Installation eines weiteren Programmes jemals meinen Rechner sicherer machen?

Wenn ich bei der NSA oder ähnlichem arbeiten würde, dann würde ich ein solches Programm anbieten und damit meinen Zugang gewährleisteten.