Apache unter Debian immer aktuell halten - wie?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Crazystorm
Beiträge: 7
Registriert: 24.02.2012 10:39:53

Apache unter Debian immer aktuell halten - wie?

Beitrag von Crazystorm » 09.02.2015 01:22:23

Moin zusammen,
ich habe einen Webserver mit Debian am Laufen. Ich will sehr auf die Sicherheit achten. Daher ist beispielsweise SSH nicht direkt erreichbar aus dem Internet, sondern nur über einen VPN-Zugang. Der einzige Dienst, welcher sonst nach außen erreichbar ist, ist Apache. Ich setze Debian 7.8 ein. Als Paketquellen habe ich

deb http://ftp.de.debian.org/debian/ stable main contrib non-free
deb-src http://ftp.de.debian.org/debian/ stable main contrib non-free
deb http://security.debian.org/ stable/updates main contrib non-free
deb-src http://security.debian.org/ stable/updates main contrib non-free
"Die folgende sources.list reicht im Grunde vollkommen aus. Sie bindet das aktuelle stable-Release sowie die Sicherheitsaktualisierungen ein: "
https://wiki.debianforum.de/Sources.list

Also die reinen Stablereleases. Bei einem Sicherheitscheck des Servers ist mir nun aufgefallen, dass Apache 2.2.22 installiert ist.
Es handelt sich allerdings um die aktuelle Version aus dem Stablerelease (https://packages.debian.org/search?keywords=apache2)
Der Apache scheint schon etwas älter zu sein. Mein Verständnis war bisher eigl, dass ich mit den obigen Paketlisten
und apt-get update & apt-get upgrade meinen Server aktuell halte und alle Sicherheitslücken geschlossen sind soweit.
Apache bleibt aber auf einer alten Version hocken. Daher bin ich in Versuchung, die Paketquellen von stable auf testing umzustellen,
um die aktuellste Apacheversion immer zu haben. Es kann ja nicht sein, dass Debian als sicher gilt, wenn man es aktuell patcht,
und dann da ein Apache steht, der offen wie ein Scheunentor ist.
Ich habe nun gelesen, dass man nicht auf testing aus Sicherheitsgründen umstellen soll, da hier Sicherheitsaktualisierungen vom Team nur zeitverzögert kommen.
Ich würde gerne wissen, wie Serveradmins hier das Problem lösen bzw. wie eure source.list aussieht. Google spuckt zwar einiges aus,
aber ich will bei diesem Thema lieber nochmal Leute fragen,d eren täglich Brot das ist ;-)
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Apache unter Debian immer aktuell halten - wie?

Beitrag von Cae » 09.02.2015 02:29:13

Crazystorm hat geschrieben:Bei einem Sicherheitscheck des Servers ist mir nun aufgefallen, dass Apache 2.2.22 installiert ist.
Es handelt sich allerdings um die aktuelle Version aus dem Stablerelease (https://packages.debian.org/search?keywords=apache2)
Der Apache scheint schon etwas älter zu sein.
Kannst du diesen Schein erhaerten? Was sagt apt-cache policy apache2 zum Paket?

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
Benutzeravatar
4A4B
Beiträge: 981
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: Apache unter Debian immer aktuell halten - wie?

Beitrag von 4A4B » 09.02.2015 08:22:25

Crazystorm hat geschrieben:Bei einem Sicherheitscheck des Servers ist mir nun aufgefallen, dass Apache 2.2.22 installiert ist.
Es handelt sich allerdings um die aktuelle Version aus dem Stablerelease (https://packages.debian.org/search?keywords=apache2)
Also 2.2.22-13+deb7u4 (?) In Debian Stable gibt es keine Feature-Updates auf neuere Versionen, sehr wohl aber Sicherheitsupdates, die von Debian integriert werden. Der hintere Teil der Versionsnummer +deb7u4 zeigt hierbei an, auf welchem Stand der Apache diesbezüglich ist. Siehe hierzu auch das auf der Paketseite verlinkte Changelog:

http://metadata.ftp-master.debian.org/c ... _changelog
Nach oben
Benutzeravatar
sys_op
Beiträge: 672
Registriert: 17.09.2007 19:10:47
Lizenz eigener Beiträge: GNU General Public License

Re: Apache unter Debian immer aktuell halten - wie?

Beitrag von sys_op » 09.02.2015 10:59:36

Ich halte meine Systeme, die nach aussen offen sind, mit auto-apt auf dem letzten Stand, was mir zumindest die Sicherheitsupdates sicherstellt.
gruss sys;-)
Nach oben
Crazystorm
Beiträge: 7
Registriert: 24.02.2012 10:39:53

Re: Apache unter Debian immer aktuell halten - wie?

Beitrag von Crazystorm » 09.02.2015 11:11:29

@Cae

Code: Alles auswählen

apt-cache policy apache2
apache2:
  Installed: 2.2.22-13+deb7u4
  Candidate: 2.2.22-13+deb7u4
  Version table:
 *** 2.2.22-13+deb7u4 0
        500 http://ftp.debian.org/debian/ wheezy/main amd64 Packages
        100 /var/lib/dpkg/status
     2.2.22-13+deb7u3 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
@4A4B
Ah. Gut zu wissen. Dessen war ich mir nicht bewusst.

@sys_op
Das hatte ich die Tage auch noch vor zu integrieren :-)
Nach oben
uname
Beiträge: 12540
Registriert: 03.06.2008 09:33:02

Re: Apache unter Debian immer aktuell halten - wie?

Beitrag von uname » 09.02.2015 11:25:14

Also die Notwendigkeit von Debianauto-apt während des Releases sehe ich irgendwie nicht bzw. nur dann, wenn man generell irgendwelche abweichenden z.B. Kernel oder Fremdquellen nutzen muss. Normalerweise sollte die Paketverwaltung alles selbst lösen. Als weitere Möglichkeit möchte ich noch https://wiki.debian.org/UnattendedUpgrades anführen, wobei ich nicht weiß ob man es auf Servern nutzen sollte. Wenn die Sicherheit über die Verfügbarkeit steht erscheint der Einsatz z.B. in Verbindung mit einer automatischen Benachrichtigung jedoch denkbar.
Nach oben
Antworten

Zurück zu „Web- und Mailserver“