Woody / stable, Aktualität und sicherheit

[filou]

Hallo,

ich habe zum Einsatz von Debian ein paar Fragen:

Debian steht ja für Stabilität und nicht gerade für Aktualität. - Gut Stabis Produktivsystem ist mir lieber als ein aktuelles das man alle 3 Wochen Rebooten muss.
Was ist aber mit der Sicherheit ?? Z.B. Gibt es in Woody doch recht "alte" Pakete. Für diese sind z.B. Exploits, SecurityHoles bekannt.

So, nun gibt es ja für apt den security-mirror. Heißt das, wenn ich regelmäßig mir die Updates von diesem Security-mirror ziehe und installiere, das meine Pakete dann für bekannte Exploits, Securityholes, etc.. nicht mehr anfällig sind, oder muss ich ich mir z.B. immer den aktuellsten Apachen aus den Sourcen basteln ??

Das ganze ist relevant für eine Produktivsystem mit Anbindung ans I-Net.
Themen wie Firewall und "100%" Sicherheit sind klar.

Danke für eure Antworten.

mfg

[eagle]

Was ist aber mit der Sicherheit ?? Z.B. Gibt es in Woody doch recht "alte" Pakete. Für diese sind z.B. Exploits, SecurityHoles bekannt.

Lasse dich nicht durch die alten Versionsnummer täuschen, die Pakete in Woody werden ständig mit Sicherheitsupdates versorgt. Nur wird dabei nicht das aktuelle Paket installiert, sondern die sicherheitsrelevanten Änderungen auf die Woody Version zurückportiert.

eagle

[Picknicker]

Also meine Erfahrung mit Debian sind folgende.

Auf einen Server gehöhrt Woody mit den Security Updates . dann ist dein System recht sicher und STABIL.
Du solltest dann aber nur Packete aus der Woody Reihe installieren und nichts selbst compilieren bzw Packete aus backports installieren.
Da diese nicht von den Security Updates unterstützt werden.

Bei dem Desktop kommt es darauf an .. wenn du dich schon ein wenig auskennst und auf Aktualität wert legts würde ich dir sogar SID empfehlen. 1. Top aktuell und 2. haste hier im Forum ne 1a Anlaufstelle wenn du trotzdem mal nicht weiter kommst.

Die Sache WOODY mit backports.org Packeten "aufzubohren" halte ich für Schwachsinn da es dann im Grunde ja kein WOODY mehr ist . Ich hab die Idee schnell aufgegeben da ich recht schnell abhängigkeits Probleme hatte. Denn auf einem Desktop System musst du schon einiges aus backports aufspielen um aktuell zu sein.

[RHase]

Debian steht ja für Stabilität und nicht gerade für Aktualität. - Gut Stabis Produktivsystem ist mir lieber als ein aktuelles das man alle 3 Wochen Rebooten muss.

Im Bezug auf Server bzw. sicherheitsrelevante Desktop-Umgebungen stimme ich Dir zu.

Meines Wissens werden bei den Deb security-updates sicherheitsrelevante Luecken bereingt (also die "alte" Debian Software verbessert).

Heißt das, wenn ich regelmäßig mir die Updates von diesem Security-mirror ziehe und installiere, das meine Pakete dann für bekannte Exploits, Securityholes, etc.. nicht mehr anfällig sind

Ich wuerde es vorsichtiger formulieren, da es nie eine 100% Sicherheit geben wird.

Bei selbst kompilierten Programmen (Bsp. Apache) und nicht offiziellen Debian-Paketen musst Du Dich alleine um Updates kuemmern, da hat Debian (apt-get update/upgrade) keine Chance.

Kleiner Tip:

Schau' Dir mal Adamantix an (http://www.adamantix.org/). Das basiert auf Debian und beinhaltet weitere Sicherheitsfunktionalitaeten.

[filou]

Super fixe Antworten hier, thx.

Die Sache ist mir deshalb mal aufgefallen, da ich ein bisschen mit Nessus im internen Netz rumteste. Die Aussagen von Nessus "erschrecken" mich ein wenig, da es immer heißt - "veraltet, Sicherheitsloch in der Version X.xx von Apache...."

Deshalb war mein Anliegen ersteinmal zu checken, wie Aussagekräftig denn die Ausgaben von Nessus sind. Vor allem da das gescannte System alle Updates hat.

mfg

[eagle]

Die Sache ist mir deshalb mal aufgefallen, da ich ein bisschen mit Nessus im internen Netz rumteste. Die Aussagen von Nessus "erschrecken" mich ein wenig, da es immer heißt - "veraltet, Sicherheitsloch in der Version X.xx von Apache...."

Ja das ist das dumme an solchen Programm, die testen auf Versionsnummern und machen somit eine falsche Aussage.

eagle

[joahlen]

...die Antwort auf die Frage ist - wie üblich jein...

Wie auch immer, ich habe es mit Woody und Sarge probiert und bin zu folgenden für mich optimalen Kompromiss gekommen. (Wie gesagt für mich)

Woody im Original (ohne KDE2.2) installieren.

Neuen Kernel (2.4.22) und KDE 3.1.4 (von Lehmann-Schlitterman DVD) installiert und von Sarge synaptic, gkdebconf und diverse andere Kleinigkeiten (incl. Abhängigkeiten)gezogen.

(Die Lehmann-DVD als Erstinstallation hat zu viele Abhängigkeitsprobleme und die Deutsche Lokalisierung funktioniert nicht...)

OpenOffice 1.1 einfach aus Knoppix (3.3) kopiert - also nicht als Paket, ist aber unabhängig in /opt/openoffice/ und funzt.

k3b, Acrobat und ein paar Spielereien teilweise mit alien vom RedHat-rpm zum .deb gemacht und mit dpkg --install installiert oder diverse Script aufgerufen (acroread, Opera, Mozilla 1.6 z.B.)

Auch wenn apt dann nicht alle Pakete kennt - ich kenn sie ja und ich bin /root....

Für mein Gusto bester Komprimiss aus bewährt und modern.


Gruß Jo.

P.S. Ehe einer schreit: warum machste das Ganze nicht übers Internet mit /etc/apt/source.list spielereien und so....

Habe nur Modem - geht weder ISDN noch DSL hier - und das "morst" mit 28k oder 14k, wenn diverse Gewitterfronten irgentwo in Europa lauern. Telefon kommt hier noch über Freileitungen - wie im Wilden Westen.....

[Vinc]

Die Sache WOODY mit backports.org Packeten "aufzubohren" halte ich für Schwachsinn da es dann im Grunde ja kein WOODY mehr ist . Ich hab die Idee schnell aufgegeben da ich recht schnell abhängigkeits Probleme hatte. Denn auf einem Desktop System musst du schon einiges aus backports aufspielen um aktuell zu sein.

Also ich fahre seit 2 Wochen wieder woody + backports und bin bisher sehr zufrieden.
Hatte auch bis auf den libfreetype6 Ausrutscher keine Abhängigkeitsprobleme. Die für mich relevante Software ist auch recht aktuell. Nungut, es ist im grunde kein woody mehr, es ist aber auch kein SID!

[joahlen]

Womit bewiesen wäre - es ist doch 'ne Geschmacksfrage wie man es macht...

Jo.

[zyta2k]

Womit bewiesen wäre - es ist doch 'ne Geschmacksfrage wie man es macht...

Ich für meinen Geschmack lass auch nur Woody (bzw. stable) auf meine Server.

Was ich aber mache:
Einen eigenen Kernel backen (2.4er Serie -> momentan 2.4.24) und ihm den grsecurity-Patch gönnen.

Stopft zusätzlich eine Menge "löcher" und minimiert das Risiko ein weiteres Mal.

[fago]

den grsecurity patch muss ich auch mal ausprobieren, sind da beim umstieg probleme zu erwarten mit geläufigen woody packeten? (postfix,courier,samba,apache,...................)

[zyta2k]

den grsecurity patch muss ich auch mal ausprobieren, sind da beim umstieg probleme zu erwarten mit geläufigen woody packeten? (postfix,courier,samba,apache,...................)

sollte eigentlich keine Probleme machen.

Mir wär auf jedenfall noch nix aufgefallen.

Einzig Dinge die direkt auf memory zugreifen: X, oder bspw. java müssen via chpax Utility von grsecurity ausgeschlossen werden