Eine solche bietet AppArmor, welches bei Ubuntu und openSuse zum Lieferumfang gehört. Mit Hilfe von Profilen wird festgelegt, worauf ein Programm – etwa Firefox – zugreifen und welche Befehle es ausführen darf. So kann man etwa den Zugriff auf das Home-Verzeichnis des Benutzers sperren und Firefox nur auf sein Profil (unter ~/.mozilla/firefox) Zugriff gewähren, obwohl der Benutzer, unter dem Firefox läuft, natürlich auch in sein Home-Verzeichnis schreiben kann. Dies schließt zwar keine Sicherheitslücken, sollte jedoch eine ausgenutzt werden, kann sich der Schädling nicht im System festsetzen, da für ihn die gleichen Regeln wie für Firefox gelten.

Ich habe solche Profile für Mozilla Firefox sowie Thunderbird unter Ubuntu 7.10 erstellt. Sie sind so konzipiert, dass der Benutzer keinen Unterschied spürt. Dennoch dürfen die Anwendungen nur auf die Verzeichnisse zugreifen, bei denen dies nötig ist. Schreibender Zugriff ist nur noch auf das Profilverzeichnis (indem Einstellungen, Browsercache, etc. liegen), sowie einem Ordner downloads im Home-Verzeichnis des aktuellen Benutzers möglich. Dies heißt aber auch, dass Downloads und Mailanhänge (dazu zählen auch PDF-Dateien) zunächst in diesem Verzeichnis abgelegt werden müssen und das ein direkter Start einer Anwendung aus Firefox oder Thunderbird heraus (etwa OpenOffice, um ein Textdokument zu öffnen) nicht mehr möglich ist. Stattdessen muss die Datei im downloads-Ordner abgelegt und dann ganz normal mit der jeweiligen Anwendung, etwa OpenOffice, geöffnet werden. Dieser Komfortverlust ist sicher zu verschmerzen, zumal der Sicherheitsgewinn deutlich höher liegt. Denn diese Vorgehensweise blockiert auch das unabsichtliche Ausführen von Dateianhängen an Emails. Vor einem Risikofaktor schützt jedoch auch AppArmor nicht: Dem Benutzer, der alles bedenkenlos öffnet und ausführt, egal wie dubios die Quelle sein mag.

Um die AppArmor-Profile zu nutzen, müssen die Pakete apparmor und apparmor-utils installiert sein, was bei Ubuntu 7.10 standardmäßig der Fall ist. Laden Sie nun die Profile herunter und entpacken Sie sie in das Verzeichnis /etc/apparmor.d/ (dazu benötigen Sie root-Rechte). Öffnen Sie dazu ein Terminal und wechseln Sie mit cd in das Verzeichnis, in das Sie die Datei ….tgz heruntergeladen haben. Geben Sie dann folgende Befehle ein:

tar xvfz aa-profiles.tgz

sudo cp usr.lib.firefox.firefox /etc/apparmor.d

sudo cp usr.lib.thunderbird.thunderbird /etc/apparmor.d

Nun aktivieren Sie die beiden Profile noch im Enforcing-Modus:

sudo aa-enforce /etc/apparmor.d/*

sudo /etc/init.d/apparmor restart

Mit sudo aa-status können Sie überprüfen, ob alles funktioniert hat. Von nun an Schützt AppArmor Firefox und Thunderbird. Sollten Probleme auftreten, können sie mit folgenden Kommandos den Schutz wieder abstellen:

sudo aa-complain /etc/apparmor.d/usr.lib.firefox.firefox

sudo aa-complain /etc/apparmor.d/usr.lib.thunderbird.thunderbird

sudo /etc/init.d/apparmor restart

Um die Profile weiter zu verbessern, bitte ich Sie, auftretende Probleme entweder in den Kommentaren zu diesem Artikel oder per Email zu melden. Ich werde dann versuchen, das Profil soweit möglich anzupassen.

“Fremdsprache”;”Übersetzung”

haben, in ISO-8859-15-Codierung vorliegen und “vokabeln.csv” heißen. Der Aufruf des Scripts erfolgt auf der Kommandozeile einfach mittels “python abfrage.py”. Derzeit erfolgt die Vokabelabfrage ebenfalls auf der Kommandozeile.

Das Script sowie eine Beispieldatei findet man hier, das zugehörige PyDev-Eclipse-Projekt hier. Wer selber an dem Script basteln möchte, kann das ganze Projekt mittels

svn checkout http://stefanonline.net/svn/vokabeltrainer/trunk/

herunterladen (oder mittels subclipse).

Todo:

• GUI mit Tkinter
• Mehrere “Vokabelkästen”
• Statistik abspeichern

Wer mit Suse bisher zufrieden war und nur den zmd loswerden will, kann auf apt4rpm umsteigen. Das aus der Debian-Welt bekannte Tool wurde schon bei Suse 10.0 mitgeliefert und kann auch unter Suse 10.1 mit wenigen Handgriffen ans Laufen gebracht werden.

Zunächst öffnet man ein Root-Terminal. Folgende Befehle installieren dann apt4rpm auf dem System:

wget http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.1-i386/RPMS.suser-rbos/apt-0.5.15lorg3.2-12.2.i586.rpm

wget http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.1-i386/RPMS.suser-rbos/apt-libs-0.5.15lorg3.2-12.2.i586.rpm

wget http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.1-i386/RPMS.suser-rbos/synaptic-0.57.2-11.3.i586.rpm

rpm -i apt-libs-0.5.15lorg3.2-12.2.i586.rpm

rpm -i apt-0.5.15lorg3.2-12.2.i586.rpm

Danach muss erstmal die aktuelle Paketliste heruntergeladen werden:

apt-get update

Als ersten Test kann man das für Synaptic (GUI für apt) benötigte scrollkeeper-Paket installieren:

apt-get install scrollkeeper

Mit

rpm -i synaptic-0.57.2-11.3.i586.rpm

installiert man das auch von Ubuntu bekannte Synaptic, mit dem man nun bequem Pakete nachinstallieren kann.

Da man den zmd nicht mehr braucht, kann man ihn problemlos entsorgen:

apt-get remove zmd

apt-get remove zmd-inventory

Auch Mono wird nicht mehr zwingend benötigt, wer auf die Desktop-Suche Beagle verzichten kann, kann es auch entfernen:

apt-get remove mono-core

Weitere Repositories (z.B. die von Packman) lassen sich in der /etc/apt/sources.list eintragen. Eine Liste mit allen Repositories für Suse 10.1 findet sich hier.

Yast lässt sich übrigens weiterhin wie von Suse 10.0 gewohnt verwenden, um zum Beispiel Pakete von den Installationsmedien nachzuinstallieren. Das Fehlen des zmd fällt überaschender Weise gar nicht auf.

Um die Sourcen zu laden, benötigt man Mercurial (zu installieren per apt-get install mercurial oder per yast). Danach befördert ein

hg clone http://mcentral.de/hg/~mrec/v4l-dvb-kernel

die Sourcen im Unterverzeichnis v4l-dvb-kernel auf die Platte.

Danach lädt man noch hier die für seine Karte passende Firmware herunter (für die Terratec Cinergy T USB XS ist dies die “Version 1″ (firmware. tgz). Diese entpackt man noch nach /lib/firmware (manchmal auch /lib/firmware/$(uname -r):

tar xvzf firmware.tgz -C /lib/firmware/

Bevor man das Kernel-Modul kompilieren kann, müssen folgende Pakete installiert sein:

• Kernel-Header (bei Ubuntu linux-header, bei Debian Etch linux-header-2.6.18-4-686, bei Suse kernel-headers)
• gcc, autoconf, automake (bei Ubuntu build-essential, bei Suse und Debian gcc und automake)

Das Kompilieren startet man nun mit

cd v4l-dvb-kernel
make
make install

Nach einem Neustart kann man mittels

modprobe em28xx
modprobe em2880-dvb

die Kernel-Module laden. Ein erster Test z.B. mit Kaffeine sollte erfolgreich verlaufen. Läuft alles wie gewünscht, kann man die Module an die /etc/modules anhängen, sodass sie beim Start geladen werden.

Nun kann man entweder mit Kaffeine fernsehen schauen, oder gleich den VDR installieren.