Die Woche: Sicherheit oder Komfort?

Wenige Tage nach der Freigabe von Fedora 12 erregt ein neues Feature die Gemüter: Anwender jetzt dürfen "einfach so" Software aus den Fedora-Repositories systemweit installieren, ohne sich mit einem Passwort legitimieren zu müssen. Die Änderung, die Linux-Neulingen das Leben leichter machen soll, stößt auf Bedenken bei alten Linux-Hasen, weil sie potenziell die Sicherheit des Systems untergräbt.

Verantwortlich für das veränderte Verhalten des Systems gegenüber früheren Fedora-Versionen und anderen Linux-Distributionen ist eine veränderte Regel im Sicherheits-Framework PolicyKit. Die erlaubt es unprivilegierten Benutzern (also denjenigen mit normalen User-Rechten), aus dem GUI zur Softwareverwaltung ohne Kennworteingabe neue Software zu installieren – allerdings nur aus vertrauenswürdigen Quellen. Nicht-signierte Pakete (oder solche mit fehlerhaften Signaturen) erfordern weiterhin die Eingabe des Root-Kennworts, wenn ein Anwender sie auf die Platte bringen möchte. Das gleiche gilt für Pakete, die mittels yum auf der Kommandozeile installiert werden. Auch für das Entfernen von Software ist nach wie vor ein Kennwort erforderlich.

Mit der Umstellung soll es für unbedarfte Anwender einfacher werden, Software zu installieren. Der Maintainer des Paketmanagers PackageKit bei Fedora, Richard Hughes, betont, dass die Änderung explizit für die Desktop-Variante der Distribution gedacht ist – und da sitze der Anwender normalerweise direkt am Computer und habe daher sowieso vollen Zugriff auf das System. Außerdem weist er darauf hin, dass es für Administratoren und erfahrene Linux-Anwender ein Leichtes ist, die alten Einschränkungen wieder zu aktivieren.

Auf Vorwürfe einer mangelnden Kommunkation entgegnet Hughes, dass er bereits vor neun Monaten auf die Änderung aufmerksam gemacht habe. Zudem sei die neue Regel von dem Start von Fedora 12 an im Fedora-Entwicklungszweig rawhide aktiv gewesen, wo sie offensichtlich niemanden gestört habe. Allerdings hätte ein Hinweis in den Release Notes bei Erscheinen der neuen Version in diesem Fall sicher nicht geschadet. Inzwischen hat das Fedora-Team jedoch auf die Proteste reagiert und einen entsprechenden, sogar rot gekennzeichneten, Abschnitt nachgeschoben.

Mit seiner neuen PolicyKit-Regel rüttelt Hughes an dem alten Unix-Prinzip, dass ein normaler User keine Änderungen durchführen darf, die sich systemweit auswirken, ohne das Root-Kennwort einzugeben oder über einen Mechanismus wie sudo vorübergehend Root-Rechte anzufordern. Kein Wunder also, dass es in Fedoras Bugtracker zur Zeit hoch hergeht. Auch wenn sich die Situation in diesem konkreten Fall leicht wieder auf das alte Verhalten umstellen lässt, beschwört die Änderung eine bereits uralte Grundsatzdiskussion herauf: Was ist wichtiger: Komfort oder Sicherheit?

Mit dieser Frage müssen sich allerdings nicht nur die Entwickler und Systemverwalter von Unix- oder Linux-Systemen herumschlagen. Sie gilt im Prinzip für alle Betriebssysteme. Und eigentlich sollten beide Begriffe keine Gegensätze sein. Leider ist es in der Praxis häufig so, dass ein durch strenge System-Richtlinien – sei es unter Linux oder unter Windows – gut abgesichertes System nicht unbedingt dasjenige ist, mit dem sich der Normalanwender anfreunden kann.

Zu viele Schranken sorgen dafür, dass der User entweder kapituliert oder aber nach Wegen sucht, sie zu umgehen. Fordert man ihn zum Beispiel häufig dazu auf, sein Kennwort zu ändern, ist er schnell geneigt, ein leicht zu knackendes zu nehmen, oder es auf dem sprichwörtlichen Post-it-Zettel unter der Tastatur aufzubewahren.

Außerdem ist Sicherheit in vielen Fällen auch nur vermeintliche Sicherheit. Wer erinnert sich nicht an die unzähligen Nachfragen von Vistas Benutzerkontensteuerung UAC nach dem Muster "Wollen Sie wirklich x ausführen/abbrechen/zulassen/löschen"? "x" ist dabei nur allzu häufig ein für den Durchschnittsanwender eh nicht verständlicher Befehlsname oder Fehlercode. Solche Nervereien schaffen keine Sicherheit, sie sind nur noch lästig.

Da macht es Linux besser. Zwar ist das freie Betriebssystem auch nicht gefeit von kryptischen oder nichtssagenden Meldungen. Zumindest die großen Distributionen Debian, Ubuntu, OpenSuse, Mandriva und Fedora machen jedoch einen strikten Unterschied zwischen normalen Anwendern und dem allmächtigen Root.

In einer Art Spagat zwischen Benutzerfreundlichkeit und Sicherheit weicht Fedora nun diese Regel auf. Die Argumentation: In den allermeisten Fällen wird der Desktop-Anwender der Eigentümer und zugleich einziger User des Systems sein. Allein er bestimmt, welche Software er installieren will.

Und für dieses eine Szenario liegen die Entwickler richtig – das neue Standardverhalten erhöht den Bedienkomfort und macht dem Anwender das Leben einfacher. Ganz anders sieht es jedoch aus, sobald ein Rechner von mehreren Personen wie Familienmitgliedern oder WG-Mitbewohnern genutzt wird, von denen eben nicht jeder das Recht haben soll, nach Lust und Laune Programme, Bibliotheken oder gar Hardware-Treiber einzuspielen.

Technisch sauberer wäre es gewesen, die Installation von zusätzlicher Software ohne Passwort-Eingabe nur dann zu erlauben, wenn auf dem System nur ein einziger Benutzer-Account eingerichtet ist; sobald ein weiterer hinzukommt, sollte das alte Standardverhalten wiederhergestellt werden, bei dem sich der installationsfreudige Anwender zunächst als Root ausweisen muss.

Update (20.11.2009): Inzwischen ist Fedora bei den Installationsrechten doch zurückgerudert : Ein Update für PackageKit soll das alte Verhalten erstmal wiederherstellen.

(akl) (akl)