Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
23.11.2017, 12:02:28

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 19131
  • Letzte: mrs.cc.66
Statistiken
  • Beiträge insgesamt: 493560
  • Themen insgesamt: 39647
  • Heute online: 342
  • Am meisten online: 679
  • (03.04.2017, 15:20:01)
Benutzer Online

Autor Thema:  "App Rechte" zuteilen  (Gelesen 661 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

"App Rechte" zuteilen
« am: 23.01.2017, 15:24:25 »
Hallo zusammen,

ich finde es toll wie die Unterschiedlichen Plattformen voneinander lernen können. Viele Android Benutzer fangen langsam an zu verstehen, dass es doof sein könnte wenn ihr Hardwarehersteller auf einmal keine Updates mehr für ein noch relativ neue Gerät anbietet.

Hier aber jetzt die Frage an die Linux(-Mint) Welt: Auf den Smartphone wurde nun ja verstanden, dass es großen Sinn macht die Rechte der Programme zu kontrollieren. Welches darf auf Kamera, Mikrophon, Kontakte usw. zugreifen und welches eben nicht. Muss z.B. eine App für eine Taschenlampe all dies dürfen ...? Wie weit ist diese Erkenntnis schon auf den Desktops angekommen? Kann ich das unter Mint irgendwie kontrollieren, bzw. festlegen? 

Danke und Grüße

Odin   


(Mein System: LMDE Cinnamon auf Acer TravelMate 5740)
« Letzte Änderung: 23.01.2017, 15:33:43 von odin »

Re: "App Rechte" zuteilen
« Antwort #1 am: 23.01.2017, 15:33:25 »
Bei Linux, also auch bei Debian, Ubuntu bzw LinuxMint, gibt es schon immer eine differenzierte Regelung der Zugriffsrechte, weil Linux von Anfang an als Mehrbenutzersystem konzipiert war.
Übersichtsartikel zu den Rechten bei Linux:
https://wiki.ubuntuusers.de/Rechte/

Re: "App Rechte" zuteilen
« Antwort #2 am: 23.01.2017, 15:35:15 »
Danke, aber es geht mir wirklich um die Rechte der Programme, nicht um die der Benutzer.

Re: "App Rechte" zuteilen
« Antwort #3 am: 23.01.2017, 15:38:20 »
Ein Programm (genauer ein Prozess) hat immer die Rechte, die der Benutzer hat, der das Programm (bzw Prozess) gestartet hat.

Re: "App Rechte" zuteilen
« Antwort #4 am: 23.01.2017, 15:51:39 »
Ergänzend dazu:
Zitat
Neben den eigentlichen Benutzerkonten für reale Personen existieren auf dem System noch viele Systemdienste mit einem eigenen Benutzerkonto. Dadurch wird erreicht, dass eine mögliche Schwachstelle in einem Dienst nicht zu große Auswirkungen auf das System haben kann.
https://wiki.ubuntuusers.de/Benutzer_und_Gruppen/

Der Begriff "App" ist mMn sehr schwammig und wenig nützlich, um sich der Sache "Zugriffsrechte" anzunähern.
« Letzte Änderung: 23.01.2017, 15:55:38 von aexe »

Re: "App Rechte" zuteilen
« Antwort #5 am: 23.01.2017, 16:11:56 »
Danke für die Klarstellung. dann frage ich anders: Wie kann ich unterbinden, dass irgendwelche Programme meine Kamera oder mein Mikrofon heimlich aktivieren und meine Kontakte und Standortdaten heimlich an den Programmierer versenden?

Re: "App Rechte" zuteilen
« Antwort #6 am: 23.01.2017, 16:22:56 »
Zitat
Wie kann ich unterbinden, dass irgendwelche Programme meine Kamera oder mein Mikrofon heimlich aktivieren
So etwas passiert unter Linux im Normalfall nicht.

toffifee

  • Global Moderator
  • *****
Re: "App Rechte" zuteilen
« Antwort #7 am: 23.01.2017, 16:24:33 »
Android basiert zwar auf dem Linux-Kernel, dennoch kannst du nicht alles aus der Android-Welt auf Linux übertragen. Das Abfischen und Verkaufen von Standort- und sonstigen Userdaten würde bei FOS Software sicher schnell auffliegen und für böses Blut sorgen. Da würde ich mir keine Sorgen machen.
Was anderes sind die berüchtigten Webcam Hacks... Die Kam kann man abkleben, das ist dann auch sicher, aber das Mikro ist schon schwieriger. Einfaches Stummschalten dürfte die NSA nicht abhalten... ;)

PS: ein besseres Brett wäre "Sicherheit" gewesen.

Re: "App Rechte" zuteilen
« Antwort #8 am: 23.01.2017, 17:13:28 »

Hier aber jetzt die Frage an die Linux(-Mint) Welt: Auf den Smartphone wurde nun ja verstanden, dass es großen Sinn macht die Rechte der Programme zu kontrollieren. Welches darf auf Kamera, Mikrophon, Kontakte usw. zugreifen und welches eben nicht. Muss z.B. eine App für eine Taschenlampe all dies dürfen ...? Wie weit ist diese Erkenntnis schon auf den Desktops angekommen?

Die Erkenntnis ist schon angekommen, erfolgreich umgesetzt ist das leider noch nicht, zumindest nicht für die breite Masse an Anwendungen.
Unix/Linux an sich gibt das ja quasi nicht her, die feinste Granulierung von Rechten läuft auf pro-User Basis, was natürlich auf dem Desktop im Bezug auf dein Anliegen keine Lösung ist.
Eine App die du startest darf alles was du auch darfst. Man muss also mit irgend einer Technologie ankommen die das Ganze feiner einschränkt.
Leider ist es in Linux ziemlich schwierig mit einer Lösung anzukommen die auch wirklich tiefgreifende Sicherheit bietet und nicht nur gut aussieht und alle Projekte haben noch so ihre Probleme.
Das man darin noch nicht den entscheidenden Schritt gemacht hat ist vllt das größte Problem was Desktop-Sicherheit unter Linux angeht.
Die ersten die die Situation verbessern werden sind vermutlich Flatpak.
http://subuser.org/ setzt ein Android ähnliches Konzept um und klappt ganz gut, bietet aber nur eine handvoll an Apps an.

Insofern heißt es wohl einfach: Geduldig sein und warten bis sich die Lage bessert, es wird daran gearbeitet  ;)
Bis dahin kannst du einzelne Anwendungen sandboxen, eine wirklich tolle Lösung dazu gibt es aber nicht.
Firejail ist die bekannteste.

Re: "App Rechte" zuteilen
« Antwort #9 am: 26.01.2017, 11:26:03 »
Das Abfischen und Verkaufen von Standort- und sonstigen Userdaten würde bei FOS Software sicher schnell auffliegen und für böses Blut sorgen.

Bist du da ganz sicher? Bei dem Browser Plugin "Web of Trust" ging es ja ewig bis bekannt wurde, dass es den Webverlauf der User an den Programmierer sendet. Und ein richtiger Aufschrei fehlt da ja eigentlich immer noch.

Und Microsoft sendet ja auch alles heim, was bei 3 nicht auf den Bäumen ist.

@Bobby: Vielen Dank für die Ausführung und den Tipp mit Flatpak. Das schaue ich auf jeden Fall mal an. Sinnvoll ist das Ganze sicherlich.

Grüße Odin

Re: "App Rechte" zuteilen
« Antwort #10 am: 26.01.2017, 11:29:49 »
Zitat
Bei dem Browser Plugin "Web of Trust"
Das ist ein Browser Plugin und keine App, also keine Linux Software.
Programme aus den Quellen sammeln keine Daten und verkaufen sie.

Re: "App Rechte" zuteilen
« Antwort #11 am: 26.01.2017, 13:15:08 »
Programme aus den Quellen sammeln keine Daten und verkaufen sie.
Ich weiß natürlich nicht genau was exakt die Sorge des TE war, aber der Grund wieso man an sowas arbeitet ist prinzipiell deutlich weitreichender als die Angst vor Anwendungen die Daten sammeln.
Man greift damit gleich einer ganzen Menge an Problemen vor und auf sein allgemeine Art.
Eine verbieten-by-default und erlauben wenn es Grund dazu gibt Einstellung ist bei allem was Fehler beinhalten kann eigentlich immer gesünder. Die Frage ist ja eigentlich nicht "Wieso will ich Anwendung XY einschränken??" sonder "wieso sollte irgend eine Anwendung überhaupt Zugriff auf Teile des System haben die es garnicht braucht?" Wieso sollte das Standard sein?
Programme können und werden immer mal grobe Fehlfunktionen haben oder Sicherheitslücken aufweisen. Und bevor wird uns in lange Diskussionen verstricken wie oft Linux angegriffen wird, es gibt ja nicht nur den privaten Desktop, sondern Server und IT-Infrastrukturen von Unternehmen, embedded Geräte und so weiter. Und die werden ständig angegriffen. Von einer Lösung können alle inklusive der private Desktop profitieren - schon bevor man es vllt mal aufgrund weiterer Verbreitung dann tatsächlich braucht. Deswegen arbeit man daran.

Zum Daten sammeln oder sonstigem "absichtlichem" Fehlverhalten: Momentan setzt man da in erster Linie auf Vertrauen. Du sagst "unter Linux machen Apps das nicht" aber im Endeffekt machen es Anwendungen wenn der Programmierer es so geschrieben hat und sie machen es nicht wenn er das nicht getan hat. Entgegen landläufiger Meinung wird Software keinem Audit unterzogen bevor sie in offizielle Repos kommt. Egal für wie groß man die Gefahr hält, ein Schritt von "Vertrauen" zu "Kontrolle" ist doch eigentlich immer besser.

Aus den oben genannten Gründen werden auf Servern ja gerne MAC Systeme wie SELinux eingesetzt die dafür sorgen dass nur Anwendungen und Teile des Systems aufeinander Zugriff haben die das auch brauchen. Dass SELinux auf dem Desktop sehr schwierig ist beweist ja eigentlich dass es kein so eindeutiges "Nicht-Problem" ist wie man denkt. Es ist schwierig weil in der Praxis extrem viele Anwendungen sich ständig so verhalten wie man es eigentlich nicht erwartet und hier und da zugreifen etc. Einen "vollen" Desktop mit einer Menge an Anwendungen zu nutzen und alles mit streng mit SELinux zu beschränken ist oft zum Haare ausraufen. Dass da so ein Unterschied ist und dass einem das im Normalfall (ohne so ein System) aber gar nicht auffällt bedeutet in gewisser Weise auch dass einem ein absichtliches Fehlverhalten (Zugriff auf Daten etc) auch nicht auffallen würde.


Re: "App Rechte" zuteilen
« Antwort #12 am: 26.01.2017, 13:21:21 »
Das ich deine Einstellung zu diesem Thema nicht teile, ist dir ja bekannt, daher ziehe ich mich nun aus diesem Beitrag zurück und denke mir meinen Teil.

Re: "App Rechte" zuteilen
« Antwort #13 am: 26.01.2017, 13:28:40 »
Das ich deine Einstellung zu diesem Thema nicht teile, ist dir ja bekannt, daher ziehe ich mich nun aus diesem Beitrag zurück und denke mir meinen Teil.
Das wir öfter unterschiedliche Einstellungen haben ist bekannt.
Was ich hier beschrieben habe sind aber keine Einstellungen sondern Fakten.
Ich hab dir erklärt wieso Entwickler zZ daran arbeiten, was deren Motivation ist, das ist nun mal so wie es ist.
Oder welche Probleme SELinux in der Praxis aufzeigt, das ist nun mal so.
Und dass es keine Überprüfung von Software in den offiziellen Repos gibt, das ist halt auch so.
Da gibts nicht viel zu interpretieren und mein Beitrag enthält keine große Interpretation.

Re: "App Rechte" zuteilen
« Antwort #14 am: 26.01.2017, 13:35:49 »
Zitat
Oder welche Probleme SELinux in der Praxis aufzeigt, das ist nun mal so.
Nutze ich nicht und habe ich auch nicht installiert und brauche ich auch nicht.
So einfach kann das sein.