                    HINWEISE ZUM SICHERHEITSKONZEPT VON KNOPPIX
                    ===========================================

1.) Es werden keine extern zugreifbaren Dienste automatisch gestartet.

2.) Es existieren keine Default-Passwrter, d.h. smtliche Accounts sind
    zunchst "gesperrt". Ein Einloggen, auch lokal, ist nicht mglich.

3.) Smtliche interaktiven lokalen Prozesse werden daher durch init
    gestartet und erfordern keine Autorisation.
    Die graphische Benutzeroberflche luft unter der unprivilegierten
    User-ID "knoppix". Programme, die unter root-ID laufen mssen
    (nessus, ethereal etc.) werden mit "sudo" ohne Passwort gestartet.
    Dies hat den Vorteil, dass Schden durch Softwarefehler recht
    unwahrscheinlich werden, bringt aber keinen Gewinn bezglich der
    lokalen Sicherheit, da von knoppix nach root einfach mit "sudo"
    gewechselt werden kann. Insbesondere sollte der "knoppix"-Benutzer
    sich nicht von auen einloggen drfen (fr den Fall, dass sshd o..
    gestartet wird).
 
4.) Gltige Passwrter knnen mit "sudo passwd [benutzername]" in der
    Shell individuell erzeugt werden.

                       SECURITY CONSIDERATIONS FOR KNOPPIX
                       ====================================

1.) There is no automatic start of external accessible services.

2.) There are no default passwords. All accounts are locked by default.
    Even local logins are not possible (unless you set a password or create
    new user accounts as root).

3.) Therefore, all local interactive processes are started by init without
    authorization.
    The graphical desktop is started with the unprivileged user id
    "knoppix". Programs that only work for root are started using sudo
    without password. This has the advantage of making faults caused by
    defective software very unlikely, but does not enhance local security,
    since it is fairly easy to switch between the "knoppix" and "root"
    account. The knoppix user should never be allowed for external logins
    (in the case that sshd or similar servers are being launched).

4.) You can create valid passwords using "sudo passwd [username]" from the
    Shell, individually.
