Noch immer zeigen Linux-Distributionen gravierende "Risiken und Nebenwirkungen" – vom möglichen Datenverlust beim Check des Dateisystems bis hin zu abhörfreundlichen Notebooks. Wer in der Unix-Liga mitspielen will, kann sich das nicht leisten.

Apache-Logfiles haben ihren Charme: Um 9.17 Uhr kam der erste Zugriff aus der Domain eines Nürnberger Linux-Anbieters, drei Minuten später brach ein Sturm los, der sich den ganzen Tag nicht legen sollte und dessen Ausläufer auch an den Folgetagen noch deutlich spürbar waren. Das Objekt der Begierde war ein Gastkommentar[1] aus der November-Ausgabe des Linux-Magazins. Gelesen hatte man ihn also und ein Blick auf die Referrer im Logfile zeigte nicht nur, dass etliche Bookmarks angelegt worden waren, sondern auch, dass Links zu dieser URL in einer hausinternen Newsgroup existierten.

Damals wie heute geht es nicht darum, einen Linux-Anbieter vorzuführen, doch endgültig pass? sind die Zeiten, in denen man über Mängel den Mantel des Schweigens breitete, nur um das zarte Pflänzchen Linux nicht zu beschädigen. Der Coupon für besonders milde Weichspülung ist mittlerweile verbraucht; auch Linux-Distributoren müssen sich mit normalen Maßstäben messen lassen. Doch wer nach dem denkwürdigen Morgen glaubte, die Dinge würden sich bessern, sah sich getäuscht. Zwar fand sich kurze Zeit später ein neuer Kernel auf dem FTP-Server, der eines der gravierendsten Probleme löste, doch auf die Online-Supportseiten schaffte es keines der angesprochenen Probleme.

Dringend nötig wäre es gewesen, die Anwender zu warnen und schleunigst davon abzurücken, dass man mit den Daten des Kunden russisches Roulette spielt, indem man selbst Neulingen ausgerechnet ReiserFS als Default-Dateisystem anbietet. Dessen schnelle Dateisystem-“Reparatur” hat es nämlich ganz schön in sich: Nach einem Absturz und anschließender Reparatur kann bei vermeintlich intakten Dateien durch »reiserfsck« der Inhalt verfälscht worden sein. – Wie immer fehlt es natürlich nicht an Stimmen, die beteuern, bei ihnen sei bisher nichts Böses passiert.

Unterschied zwischen Ernst und Gewurschtel

In der Bewertung solcher Risiken zeigt sich aber gerade der Unterschied zwischen PC-Gewurschtel und ernsthaftem Systembetrieb, wie er in der Unix-Welt üblich ist. Wer in dieser Liga mitspielen will, muss sich mental umstellen, Business-Getöne allein genügt hier nicht. Auch das Handeln nach der Maxime “Schneller, höher, neuer” ist bei Festlegung der Default-Pakete und -Versionen denkbar fehl am Platz. Der Hauptgrund für das Vabanquespiel bei der Auswahl des Dateisystemtyps liegt fraglos im Zeitgewinn beim Hochfahren.

Dass Geschwindigkeitsvorteile der treibende Faktor gewesen sein dürften, zeigt sich auch daran, dass der mitgelieferte Installationskernel mit der Option »CONFIG_REISERFS_CHECK=n« übersetzt wurde. Die schaltet eine Reihe Reiser-interner Konsistenz-Prüfungen ab, macht dafür das Dateisystem im laufenden Betrieb aber erheblich schneller, allerdings auch risikoreicher.

Wer sich auf seinem Server die Zeit beim Hochfahren wirklich nicht leisten kann, sollte lieber gleich zu FreeBSD greifen, denn das Soft Updates File System[2] bringt garantierte Konsistenz und schnelle Überprüfung samt Reparatur unter einen Hut. Dessen »fsck« kann sogar im Hintergrund laufen[3], und zwar ganz ohne Kasino-Effekt.

Daten weg – kein Problem?

Irritierend ist, dass auch Teile der Fachpresse zum Thema Dateisysteme mitunter ausgesprochen fragwürdige Maßstäbe vermitteln. Erst im März erschien in einem renommierten Computermagazin ein Artikel über JFS, XFS, ReiserFS und Ext 3. In seinem Fazit stellt der Autor fest, dass “mit Ausnahme von JFS … die Journaling File Systems für Linux problemlos einsetzbar” sind, lässt dann aber wenige Sätze später die Katze aus dem Sack: “Nur dieses Dateisystem [Ext 3] stellt sicher, dass bei einem Systemcrash keine alten Daten in neuen Dateien auftauchen …”

Problemlos einsetzbar? In meinen zwanzig Unix-Jahren habe ich eine weniger tolerante Sichtweise entwickelt: Mit Ausnahme von Ext 3 sind die genannten Journaling File Systems für jeden ernsthaften Betrieb völlig unbrauchbar, denn russisches Roulette mit Daten ist für mich kein Thema. Jeder Anbieter, der ReiserFS selbst jenen aufs Auge drückt, die dieses Risiko mangels Sachkenntnis nicht einschätzen können, handelt ausgesprochen fahrlässig.

Als Berater würde ich solchen Kunden empfehlen, rechtliche Schritte zu prüfen, sofern sie dadurch Schaden erlitten haben, dass bei dieser Distribution nach einer ReiserFS-Reparatur Datei-Inhalte ohne Warnung verfälscht wurden. Auch Linux-Distributoren leben nicht im rechtlichen Vakuum und haften sehr wohl für ihren Teil der Gesamtleistung, wie der Siepmann-Vortrag auf dem Linuxtag deutlich zeigte.[4]

Notebook hört mit

Stiefkind ist auch das Thema Sicherheit. Zwar gibt es eine Sicherheit-Seite auf dem Webserver des Distributors, doch die wirkt eher wie ein Feigenblatt und ist auch nur schwer zu finden. Die gute Tarnung hat wohl ihren Grund, denn wer die Seite schließlich gefunden hat, ist ernüchtert. So gab es erst Ende April einen Netscape-6- und Mozilla-Security-Bug, mit dessen Hilfe der Angreifer den Inhalt der Festplatte ausspionieren kann.

Der Bug wurde flugs behoben und auch dieser Anbieter stellte unverzüglich RPMs auf seinem FTP-Server bereit. Einen Hinweis auf der Sicherheit-Seite oder in der Support-Datenbank schien das Loch im Browser aber nicht wert zu sein. Möge der Kunde doch die Online-Newsticker lesen.

Einen traurigen Rekord stellt diese Distribution in Sachen Notebook-Sicherheit auf, denn wer Sound auf dem Rechner konfiguriert, ist fortan als Abhör-Opfer leichte Beute. Anders als beim Mitbewerber sind die Gerätedateien »/dev /dsp*« für jedermann schreib- und vor allem lesbar. Das bedeutet, dass jeder, der auf diesem Notebook Kommandos ausführen darf, das Mikrofon zum Abhören benutzen kann.

In dieser Rolle wären beispielsweise legale Zweitbenutzer des Geräts denkbar oder Personen, die sich per authentifiziertem Zugriff über das LAN völlig legal in das Notebook einloggen dürfen, während der Notebook-Eigentümer daran arbeitet oder in einer Konferenz eine Präsentation hält.

Wie eine Überprüfung älterer Versionen (6.4 und 7.2) ergab, besteht dieses Sicherheitsloch schon seit Jahren, ohne dass sich die so genannten Linux-Experten darüber Gedanken gemacht hätten. Da heutzutage wohl kein Notebook mehr ohne eingebautes Mikrofon ausgeliefert wird, könnte die Dunkelziffer bereits begangener Abhör-Delikte durchaus erheblich sein.

Selbst so grundlegende Dingen wie Software-Installation, -Update und -Konfiguration sind augenscheinlich nur bei Schönwetter-Bedingungen verifiziert worden. Anwender, die zuvor per IDE-SCSI einen CD-Brenner benutzt hatten, mussten nach einem Update auf 8.0 feststellen, dass sie per Yast 2 keine Software mehr von diesem Laufwerk installieren konnten. Für alte Unixer kein ernstes Problem, doch die typische Yast-2-Klientel stand erst einmal im Regen.

Hier drängt sich die Parallele zu einem Auto auf, das nur bergab und bei Rückenwind so richtig zeigt, was in ihm steckt. Nachts fährt es allerdings normalerweise nur bei Vollmond, weil der Lichtschalter defekt ist – doch für richtige Kenner ist es ja ohnehin nur eine Kleinigkeit, den Schalter in wenigen Handgriffen mit einem Stück Draht zu überbrücken.

Pinguingehege oder Augiasstall

Und die Moral? Damit das Pinguingehege nicht vollends zum Augiasstall wird, sollten Business-Kunden ihre kommerziellen Linux-Anbieter vielleicht doch einmal bohrend nach einem ISO9000-Zertifikat für die Distributions-Erstellung fragen. Und es mag sich lohnen, über den feinen Unterschied zwischen Support und Mängelbeseitigung nachzudenken (uwo)