Woody / stable, Aktualität und sicherheit

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
filou
Beiträge: 190
Registriert: 02.02.2004 21:21:40

Woody / stable, Aktualität und sicherheit

Beitrag von filou » 03.02.2004 11:33:26

Hallo,

ich habe zum Einsatz von Debian ein paar Fragen:

Debian steht ja für Stabilität und nicht gerade für Aktualität. - Gut Stabis Produktivsystem ist mir lieber als ein aktuelles das man alle 3 Wochen Rebooten muss.
Was ist aber mit der Sicherheit ?? Z.B. Gibt es in Woody doch recht "alte" Pakete. Für diese sind z.B. Exploits, SecurityHoles bekannt.

So, nun gibt es ja für apt den security-mirror. Heißt das, wenn ich regelmäßig mir die Updates von diesem Security-mirror ziehe und installiere, das meine Pakete dann für bekannte Exploits, Securityholes, etc.. nicht mehr anfällig sind, oder muss ich ich mir z.B. immer den aktuellsten Apachen aus den Sourcen basteln ??

Das ganze ist relevant für eine Produktivsystem mit Anbindung ans I-Net.
Themen wie Firewall und "100%" Sicherheit sind klar.

Danke für eure Antworten.

mfg

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Re: Woody / stable, Aktualität und sicherheit

Beitrag von eagle » 03.02.2004 11:48:11

filou hat geschrieben:Was ist aber mit der Sicherheit ?? Z.B. Gibt es in Woody doch recht "alte" Pakete. Für diese sind z.B. Exploits, SecurityHoles bekannt.
Lasse dich nicht durch die alten Versionsnummer täuschen, die Pakete in Woody werden ständig mit Sicherheitsupdates versorgt. Nur wird dabei nicht das aktuelle Paket installiert, sondern die sicherheitsrelevanten Änderungen auf die Woody Version zurückportiert.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
Picknicker
Beiträge: 654
Registriert: 25.04.2003 16:28:02
Wohnort: Saarland

Beitrag von Picknicker » 03.02.2004 11:48:55

Also meine Erfahrung mit Debian sind folgende.

Auf einen Server gehöhrt Woody mit den Security Updates . dann ist dein System recht sicher und STABIL.
Du solltest dann aber nur Packete aus der Woody Reihe installieren und nichts selbst compilieren bzw Packete aus backports installieren.
Da diese nicht von den Security Updates unterstützt werden.

Bei dem Desktop kommt es darauf an .. wenn du dich schon ein wenig auskennst und auf Aktualität wert legts würde ich dir sogar SID empfehlen. 1. Top aktuell und 2. haste hier im Forum ne 1a Anlaufstelle wenn du trotzdem mal nicht weiter kommst.

Die Sache WOODY mit backports.org Packeten "aufzubohren" halte ich für Schwachsinn da es dann im Grunde ja kein WOODY mehr ist . Ich hab die Idee schnell aufgegeben da ich recht schnell abhängigkeits Probleme hatte. Denn auf einem Desktop System musst du schon einiges aus backports aufspielen um aktuell zu sein.
cu
Picknicker

Benutzeravatar
RHase
Beiträge: 177
Registriert: 20.11.2003 10:09:49
Wohnort: Munich/Germoney
Kontaktdaten:

Woody / stable, Aktualität und sicherheit

Beitrag von RHase » 03.02.2004 11:54:14

Debian steht ja für Stabilität und nicht gerade für Aktualität. - Gut Stabis Produktivsystem ist mir lieber als ein aktuelles das man alle 3 Wochen Rebooten muss.
Im Bezug auf Server bzw. sicherheitsrelevante Desktop-Umgebungen stimme ich Dir zu.

Meines Wissens werden bei den Deb security-updates sicherheitsrelevante Luecken bereingt (also die "alte" Debian Software verbessert).
Heißt das, wenn ich regelmäßig mir die Updates von diesem Security-mirror ziehe und installiere, das meine Pakete dann für bekannte Exploits, Securityholes, etc.. nicht mehr anfällig sind
Ich wuerde es vorsichtiger formulieren, da es nie eine 100% Sicherheit geben wird.

Bei selbst kompilierten Programmen (Bsp. Apache) und nicht offiziellen Debian-Paketen musst Du Dich alleine um Updates kuemmern, da hat Debian (apt-get update/upgrade) keine Chance.

Kleiner Tip:

Schau' Dir mal Adamantix an (http://www.adamantix.org/). Das basiert auf Debian und beinhaltet weitere Sicherheitsfunktionalitaeten.

filou
Beiträge: 190
Registriert: 02.02.2004 21:21:40

Beitrag von filou » 03.02.2004 12:02:29

Super fixe Antworten hier, thx.

Die Sache ist mir deshalb mal aufgefallen, da ich ein bisschen mit Nessus im internen Netz rumteste. Die Aussagen von Nessus "erschrecken" mich ein wenig, da es immer heißt - "veraltet, Sicherheitsloch in der Version X.xx von Apache...."

Deshalb war mein Anliegen ersteinmal zu checken, wie Aussagekräftig denn die Ausgaben von Nessus sind. Vor allem da das gescannte System alle Updates hat.

mfg

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 03.02.2004 12:44:21

filou hat geschrieben:Die Sache ist mir deshalb mal aufgefallen, da ich ein bisschen mit Nessus im internen Netz rumteste. Die Aussagen von Nessus "erschrecken" mich ein wenig, da es immer heißt - "veraltet, Sicherheitsloch in der Version X.xx von Apache...."
Ja das ist das dumme an solchen Programm, die testen auf Versionsnummern und machen somit eine falsche Aussage.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
joahlen
Beiträge: 1725
Registriert: 22.10.2010 03:02:41

Beitrag von joahlen » 17.02.2004 21:23:34

...die Antwort auf die Frage ist - wie üblich jein... :wink:

Wie auch immer, ich habe es mit Woody und Sarge probiert und bin zu folgenden für mich optimalen Kompromiss gekommen. (Wie gesagt für mich)

Woody im Original (ohne KDE2.2) installieren.

Neuen Kernel (2.4.22) und KDE 3.1.4 (von Lehmann-Schlitterman DVD) installiert und von Sarge synaptic, gkdebconf und diverse andere Kleinigkeiten (incl. Abhängigkeiten)gezogen.

(Die Lehmann-DVD als Erstinstallation hat zu viele Abhängigkeitsprobleme und die Deutsche Lokalisierung funktioniert nicht...)

OpenOffice 1.1 einfach aus Knoppix (3.3) kopiert - also nicht als Paket, ist aber unabhängig in /opt/openoffice/ und funzt.

k3b, Acrobat und ein paar Spielereien teilweise mit alien vom RedHat-rpm zum .deb gemacht und mit dpkg --install installiert oder diverse Script aufgerufen (acroread, Opera, Mozilla 1.6 z.B.)

Auch wenn apt dann nicht alle Pakete kennt - ich kenn sie ja und ich bin /root.... :P

Für mein Gusto bester Komprimiss aus bewährt und modern.


Gruß Jo.

P.S. Ehe einer schreit: warum machste das Ganze nicht übers Internet mit /etc/apt/source.list spielereien und so....

Habe nur Modem - geht weder ISDN noch DSL hier - und das "morst" mit 28k oder 14k, wenn diverse Gewitterfronten irgentwo in Europa lauern. Telefon kommt hier noch über Freileitungen - wie im Wilden Westen..... :D
Zuletzt geändert von joahlen am 18.02.2004 13:16:58, insgesamt 1-mal geändert.
Es ist alles schon gesagt, nur nicht von allen.... Karl Valentin

Debian Jessie, XFCE auf älteren Think_pads (ab T21 bis T60/X60) und IBM/M55 SFF (C2D, 8 GB)
Any customer can have a car painted any colour that he wants so long as it is black. Henry Ford
Gilt auch für Laptops

Benutzeravatar
Vinc
Beiträge: 488
Registriert: 12.03.2003 10:11:55
Wohnort: Speyer (RLP)
Kontaktdaten:

Beitrag von Vinc » 18.02.2004 17:01:25

Picknicker hat geschrieben:Die Sache WOODY mit backports.org Packeten "aufzubohren" halte ich für Schwachsinn da es dann im Grunde ja kein WOODY mehr ist . Ich hab die Idee schnell aufgegeben da ich recht schnell abhängigkeits Probleme hatte. Denn auf einem Desktop System musst du schon einiges aus backports aufspielen um aktuell zu sein.
Also ich fahre seit 2 Wochen wieder woody + backports und bin bisher sehr zufrieden.
Hatte auch bis auf den libfreetype6 Ausrutscher keine Abhängigkeitsprobleme. Die für mich relevante Software ist auch recht aktuell. Nungut, es ist im grunde kein woody mehr, es ist aber auch kein SID! ;)

Benutzeravatar
joahlen
Beiträge: 1725
Registriert: 22.10.2010 03:02:41

Doch ne Geschmacktfrage...

Beitrag von joahlen » 26.02.2004 18:33:38

Womit bewiesen wäre - es ist doch 'ne Geschmacksfrage wie man es macht...

Jo.

Benutzeravatar
zyta2k
Beiträge: 2446
Registriert: 14.03.2003 09:18:00
Kontaktdaten:

Re: Doch ne Geschmacktfrage...

Beitrag von zyta2k » 26.02.2004 19:08:06

joachima hat geschrieben:Womit bewiesen wäre - es ist doch 'ne Geschmacksfrage wie man es macht...
Ich für meinen Geschmack lass auch nur Woody (bzw. stable) auf meine Server.

Was ich aber mache:
Einen eigenen Kernel backen (2.4er Serie -> momentan 2.4.24) und ihm den grsecurity-Patch gönnen.

Stopft zusätzlich eine Menge "löcher" und minimiert das Risiko ein weiteres Mal.

fago
Beiträge: 242
Registriert: 26.02.2003 18:19:05
Kontaktdaten:

Beitrag von fago » 26.02.2004 20:50:57

den grsecurity patch muss ich auch mal ausprobieren, sind da beim umstieg probleme zu erwarten mit geläufigen woody packeten? (postfix,courier,samba,apache,...................)
Quis custodit custodes?

Benutzeravatar
zyta2k
Beiträge: 2446
Registriert: 14.03.2003 09:18:00
Kontaktdaten:

Beitrag von zyta2k » 26.02.2004 22:34:17

fago hat geschrieben:den grsecurity patch muss ich auch mal ausprobieren, sind da beim umstieg probleme zu erwarten mit geläufigen woody packeten? (postfix,courier,samba,apache,...................)
sollte eigentlich keine Probleme machen.

Mir wär auf jedenfall noch nix aufgefallen.

Einzig Dinge die direkt auf memory zugreifen: X, oder bspw. java müssen via chpax Utility von grsecurity ausgeschlossen werden ;)

Antworten