Ja schon, aber weil man (früher wegen Netscape, heute wegen allem Möglichen) kein NFS Home mehr hat, muss man halt anders arbeiten. Für mich passt es am besten, dass mein ~ ein Git Repo ist, für andere passt bestimmt was anderes.
Heute kannst Du an einem systemd Linux meines Wissens nach keine zwei lokalen Sessions mehr machen. Also zwei Grafikkarten, zwei Tastaturen usw und zwei Benutzer gleichzeitig, das kommt heute durcheinander, weil die Freedesktop-Bewegung der Meinung ist, es gibt nur PCs, also *personal* computer (keine multi-user). Ein lokaler Desktopbenutzer kann z.b. das Netzwerk konfigurieren. Auf einem Laptop ist das für WLAN, ja selbst für OpenVPN prima (und ich finde gut, dass es dafür was gibt - ich hab ja auch ein paar Laptops). Irgendwann seit systemd ist es aber nur noch so möglich. Das systemd Team, ich glaube, sogar Herr Poettering persönlich, sagte dazu treffend "systemd kann man nicht forken, wir sind so mächtig, wir ändern schneller und verteilter, als ihr nachziehen könnt" und das ist leider richtig. Das finde ich doof. Gut, ich habe aktuell keinen Linux-Server, wo ich (wie ganz früher mal) 4 Grafikkarten für 4 Arbeitsplätze drin habe (ich hätte nicht mal ein Mainboard dafür), aber wenn man z.B. kaum noch sowas simples wie einen eigenen DNS resolver oder routing scripts oder was auch immer so bauen kann, dass es mit einem normalen Linux (also so eine übliche Distribution, wobei alle "Großen" ja systemd haben), dann machen das auch wenige und es gibt entsprechende Software einfach nicht mehr. Es gibt dann keine andere resolver. Oder DHCP clients etc. Wenn man es versucht, hat man schnell viele komische Probleme, da geht hier was nicht richtig und da was nicht, Bugs reports bei systemd brauchst für sowas auch gar nicht einkippen ("works as designed"). Damit ist sowas kaum wartbar und Monokultur entsteht (ähnliche Probleme sehe ich auch bei Wayland, da geht halt nur ein User pro Gerät und "iss so", "works as designed", wobei Wayland eigentlich ja "nur" eine Spec für die Anzeige von Bitmaps ist und überhaupt nicht verbietet, all das zu machen, ja, man könnte Wayland in X11 rendern und vermutlich gibt es irgendwo einen Prototypen dafür
).Dann ist es IMHO kaputt.
NFS (Not For Security) macht IMHO keinen Sinn, wenn ich nicht vertrauenswürdigen Admins oder Geräten darauf Zugriff gebe. Ich darf auch niemand nicht vertrauenswürdigen an meine (unverschlüsselte) SSD ranlassen.
(NFS ist damit so ein "perimeter-gesicherter" Kram, auch wenn die Zone sehr klein ist (je ein LAN oder so). Das passt in irgendwelche zero trust IMHO einfach nicht rein. Dafür ist es relativ einfach, kann viele Benutzer und der NFS Server muss die nicht mal kennen. Manchmal funktioniert es sogar mit locking)
ja klar
Die Leute sind IMHO dabei kein Problem (wenn Du jemand im Team hast, der sowas macht, schmeißt ihn halt raus und spielst die Backups ein), sondern Angreifer, die Zugriff auf die Konten von Leuten haben (wobei heute der Zugriff aufs Mailpostfach meistens so oder so vollständige Accountübernahmen ermöglicht)
Das ist mit CIFS/SMB unter Windows aber genauso, das wissen nur nicht so viele, aber da kann sich ein Administrator SeDiskOperator oder SeBackupOperator (aus dem Kopf) geben (bzw. hat schon) und kann alles machen (allerdings nicht mit explorer.exe, daher wissen das manche gar nicht). Auch kann ein Administrator über \\host\C$ (SMB) remote winlogin.exe tauschen usw. Ein Administrator kann auch Terminalsessions übernehmen und so weiter. Und mimikatz kann ein Administrator natürlich auch nutzen.
Genau (und da müsste man IPv6+IPSec nehmen, oder dedizierte Links, und fürs Management LAN auch, aber sieht man in der Praxis vermutlich eher selten und IPSec kann auch wirklich nervig sein).
(na ja, kommt drauf an, was man will und braucht, ich habe hier z.B. VMs, die an NAS rankommen, es direkt mounten, um ihre Jobergebnislogfiles abzulegen, geben tuts immer alles
)
Last edited:
