Wiki-Kommentar: war Konfigurierbarkeit => Blödsinn

[Hans-Dietrich Kirmse]

Hans-Dietrich Kirmse schrieb:
> 
  [...]
> 
>  Schilderung einiger konkreter SituationenUndErlebnisse
> 
>  http://www.lug-owl.de/cgi-bin/wiki/SituationenUndErlebnisse
> 


Danke an RG für den Kommentar. ich möchte aber lieber die Antwort
(Diskussion) dazu in der Liste geben.

> Meines Erachtens wird hier wieder einmal deutlich, wie allein 
> gelassen die Schulen sind, wenn es darum geht, die bewilligten 
> Mittel in Hardware und Konzepte umzusetzen. 

das trifft es nicht. Ich hatte für alle PCs Protectorkarten bestellt
und auch ein Backupsystem für den Server. Die Protectorkarten wurden
von den Entscheidungsträgern ersatzlos gestrichen (sie kannten das 
wahrscheinlich nicht) und statt des Backupsystems wurde ein Raid
geliefert. Protest nutzte nichts. Es zeigt, dass die Administration
auch noch mit einem mächtigen Gegner zu kämpfen hat, den 
Entscheidungsträgern. Und wenn man spart bzw. sparen muß dann bekommt
man oft unbrauchbares Material, bei Firmen häufig die Inkompetenten.

Für das Image war Ghost geliefert wurden, natürlich nur eine Einzel-
lizenz und die weigert sich beharrlich, ein Image auf den Server zu
schieben. Das macht nur eine Netzversion, die natürlich teurer ist.

> wenig abgesicherter Server: Ich weiß nicht, _wie_ die Passwörter 
> geknackt wurden. 

Das Rechtesystem war ausgehebelt worden. Anleitung aus dem Internet 
und der Schüler hatte viel Zeit. Ziel war übrigens nichts weiter, als
bei einem Mädchen Eindruck zu schinden. Er begrüßte seine Klassen-
kameraden mit ihren Passwörtern. - auch eine Möglichkeit zu zeigen
was man so drauf hat :-)

> Brute-Force (zu einfaches Passwort) oder per spoofing (telnet 
> ist unverschlüsselt). 

wir haben nur für ausgewählte User shell-Accounts. Der betreffende
Schüler hatte keinen. aber samba läuft bei uns auch unverschlüsselt
und wenn er mein Passwort hat, dann hat er natürlich einen 
Shell-Account. Ob Telnet oder ssh ist wirklich egal, wenn es nur
einen einzigen "Dienst" gibt, wo die Passwörter im Klartext übers 
Netz gehen. Am attraktivsten sind m.E. die cgi-Scripte. die laufen
auch bei Arktur nicht verschlüsselt und Mail (POP) auch nicht.

> Vielleicht war die Lücke aber auch sozialer Natur und freundliche
> Kollegen kannten Admin-Passwörter, 

nein. bei mir haben die Lehrer keine weiterreichenden Rechte, also
auch keine Fachlehrershell. Es gibt noch 2 Schüler, die eine Shell
haben, alle anderen haben die passwd als shell. 

> Aber auch der Verlust von Papier oder das heimliche Brennen von 
> Raubkopien zeigen, dass Schüler der Sek. I ohne Aufsicht nichts 
> an einem Rechner zu suchen haben, der Internetzugang hat. 

was unterscheidet die Sek I von der Sek II diesbezüglich? Es reicht 
doch, wenn ein Schüler der Sek II solche Anwandlungen hat.
die installierten Raubkopien auf t waren bis auf wenige Ausnahmen 
von Schülern der Sek II.


[...]

> Wer in den Wilden Weiten Westen posten will, soll sich eine Adresse 
> bei GMX oder WEB.DE besorgen. Damit ersparen wir uns nicht nur, 
> dass Ausfälle in fremden Foren auf die Schule zurück fallen - die 
> Mails der Schüler unterliegen so auch nicht dem Briefgeheimnis... 

Dann kann man aber Mail-Projekte nicht in der Schule machen. GMX und
Co. ist für privat. Ich bekomme Bauchschmerzen, wenn die Schüler in
der Schule auf ihre Privatpostfächer zugreifen können und bei der
Konstruktion auch müssen, denn da haben die ja ein Alibi, ihr privates
Zeug im Unterricht zu machen. Außerdem hat im Fall eines Problems
(und nur um diesen Fall geht es) die Schule keinerlei Handhabe.
ich glaube nicht, das z.B. bei Verdacht auf E-Mail-Terror gegen einen
Schüler irgendein Provider danach seine Logfiles analysiert, es sei
denn er bekommt dafür entsprechend Geld. andererseits war es während
der Schulzeit und damit ist der Admin in der Pflicht. - es ist mir
zu heiß. Trotzdem will _ich_ nicht auf E-mail in der Schule 
verzichten. 

m.E. reicht aus, wenn man einen wirksamen Schutz gegen 
Absenderfälschung hat, (eigentlich bräuchte man ja noch eine Signatur,
sonst könnte auch der Empfänger manipulieren) und wenn man durch
technische und organisatorische Maßnahmen dafür sorgen kann, daß die
Schüler erst dann in die "weite Welt" posten können, wenn sie die
Verantwortung dafür auch übernehmen können (oder die Eltern).

Wenn der Server das könnte, dann würde er natürlich auch deinem 
Modell genügen.


Habe übrigens noch drei Mails ergänzt. die zweite ist krass.

            

                                  /"\
Mit freundlichen Grüßen           \ / ASCII ribbon campaign
Hans-Dietrich                      X  against HTML mail 
                                  / \ and postings