Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Paul Hänsch
paul at fsfe.org
Di Jun 28 14:48:30 UTC 2016
On Sun, Jun 26, 2016 at 09:50:57PM +0200, Erik Grun wrote:
> "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit
> unterzogen werden?"
> [...]
> Außerdem bin ich am überlegen, bei welcher Software ich es mir
> am ehesten wünschte, dass man sie einem Audit unterzöge.
Da gucke ich doch mal in meine Prozessliste, meine APT-Dependencies, etc. und schaue nach der Software, die wohl irgendwie Installiert sein muss und die ganze Zeit läuft, obwohl ich sie *nicht* benutze, jedenfalls nicht direkt und willentlich.
Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben wir uns einige dieser Dienste auch auf Serversystemen eingetreten.
Macht mal alle ein `htop -u root`.
Wer sieht den polkitd laufen? (das ist quasi sudo als unix-daemon)
Wer weiß auf Anhieb, wo der Konfiguriert wird, und welche rules der per Default mitbringt?
Liegt das an mir, oder habt ihr auch das Gefühl, dass diese Dinge neben *zig Apache- und MySQL-Audits immerwieder unter dem Radar durch fliegen? Wenn _die_ Audits raus kommen, will ich Popcorn im Haus haben.
Ich habe jedenfalls DBUS und Polkit mal reingeworfen, jetzt habe ich keine lust mehr auf das ReCaptcha.
--
Paul
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 819 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160628/e69fca75/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de