Jul 03, 2010, updated at 20:58:54 (UTC)

4614

Sicherheit Debia (Updates)

Hallo,
vorweg, ich habe nicht vor das zu machen.

Ich habe, um das mal gemacht zu haben denn ich komme aus der Windows-Welt, in einer VM Debian installiert.
Dazu noch den Apache2 und MySQL5. Wenn man mal weiß apt-get ist, ja auch ganz einfach. Mit Vi komme ich auch leidlich zurecht.

Wie sieht es eigentlich mit dem Thema Sicherheit, bzwl. Sicherheitsupdates aus?
Reicht ein apt-get updates? Oder wie macht man sowas?

Danke

Stefan

Please also mark the comments that contributed to the solution of the article

Content-Key: 146161

Url: https://administrator.de/contentid/146161

Printed on: April 26, 2024 at 07:04 o'clock

13 Comments

Latest comment

Hi,

nur bedingt.
http://de.wikipedia.org/wiki/Aptitude

Du brauchst:
aptitude update
und dannach
aptitude safe-upgrade

mfg

Sollte man noch erwähnen, dass debian extrem träge ist, was alle Updates angeht.

PHP 5.2 ist z.B. derzeit bei 5.2.13 und debian noch bei 5.2.6
Wir reden hier von einem Unterschied von 2 Jahren und haufenweise Sicherheitslücken.

Debian hat sich aber schon häufiger Eigentore durch ihr Paketmanagement geschossen (siehe OpenSSL-Debakel) - darum gilt:
Im Produktiveinsatz immer selbst bauen...

Leider ist dies bei vielen Servern sehr mühsam.

Für PHP und MySQL gibt es z.B. Dotdeb.
Dort sind neue Versionen per aptitude verfügbar ohne selber zu bauen. Auch PHP 5.3 ist dort schon verfügbar.

Wenn du dotdeb benutzen willst musst du folgende Datei bearbeiten.

#vielleicht kommst du mit nano besser zurecht
nano /etc/apt/sources.list

Dort musst du folgendes einfügen:

deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all

Nun kannst du auf die Pakete zugreifen.

aptitude update
aptitude full-upgrade

Es könnte sein das aptitude dir eine große Anzahl von Paketen entfernen will, weil du vorher apt-get benutzt hast. Falls dies der Fall ist:
http://wiki.debianforum.de/SoftwareVerwalten/AptitudeVsAptGet#head-2111 ...

Hallo,

so stimmt das aber auch nicht ganz.
Die Debianer patchen Sicherheitslücken in alten Versionen.
So hat man zwar nicht die neueste Versionsnummer mit allen frischen Features, aber noch kein unsicheres System.

https://secure.wikimedia.org/wikipedia/de/wiki/Debian#Debian_und_Sicherh ...

Ob du immer alle Bugs so schnell mitbekommst und die Systeme updatest wie die Paketmaintainer,
da habe ich doch so meine Zweifel.
Oder bist du auf x Mailingslisten für Apache, Mysql; smbd, FTP; postfix usw.

Die Debianer patchen

Das ist ja eben das große Problem (siehe zweiten Block in dem Wikipedia-Artikel).
Da spielen Leute mit dem Code rum, die selbst eigentlich gar nicht wirklich wissen was sie da tun...

hmmm.
Gegenfrage: Welches Linux sollte man denn verwenden wenn man hauptsächlich, Apache2 mit PHP5 und MySQL5 einsetzen möchte?
Stefan

Zitat von @StefanKittel:

hmmm.
Gegenfrage: Welches Linux sollte man denn verwenden wenn man hauptsächlich, Apache2 mit PHP5 und MySQL5 einsetzen
möchte?
Stefan

Da gibt ein kein Super heil mittel. Ist geschmackssache. Aber Debian ist schon eine gute Wahl. Ich auch mein Favorit, ich habe mehrere Webserver produktiv laufen.

Hallo EvilMoe,
[quelleausschlacht]oh... prima. Benutzer apt oder aptitude? Welche Quellen? Hast Du die hardends installiert? [/quelleausschlacht]
Danke
Stefan

Je nachdem was ich auf dem Server noch habe. Bei einem Etch benutze ich noch apt, da ich Probleme bekomme wenn ich aptitude benutzen würde (mischen von apt und aptitude sollte man NIE machen!).
Ansonsten sollte man aptitude benutzen bei einem frischen System.

Vorteile kannst du hier nachlesen: http://wiki.debianforum.de/SoftwareVerwalten/AptitudeVsAptGet#head-0404 ...

Die Standard Debian Quellen + die von dotdeb falls ich einen Apache verwende. Ich habe auch einen Webserver mit lighttpd.

sorces.list

#die sind Server spezifisch und würdest du nicht benötigen deswegen auskommentiert!
#deb ftp:{{comment_single_line_double_slash:0}}
#deb-src ftp:{{comment_single_line_double_slash:0}}

deb http://ftp.de.debian.org/debian/ lenny main contrib non-free
deb-src http://ftp.de.debian.org/debian/ lenny main

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main


#
# dotdeb.org sources
deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all

Danke

das hier hatte ich auch gefunden: http://www.tecchannel.de/server/linux/433931/linux_systemsicherheit_unt ...

Zitat von @dog:

> Die Debianer patchen

Das ist ja eben das große Problem (siehe zweiten Block in dem Wikipedia-Artikel).
Da spielen Leute mit dem Code rum, die selbst eigentlich gar nicht wirklich wissen was sie da tun...

Naja, dass war das eine Paket, von daher würde ich jetzt nicht auf alle schliessen.
Bugs gibt es bei jeder Software mal, ob nun von den Debianern gepatched oder "normal" released.
Das war natürlich extrem übel, aber sicher bist du vor sowas mit selber bauen auch nicht.

Es war nicht nur das eine Mal.

Vor kurzem haben Sie es mit der selben Methodik geschafft Suhosin auszuhebeln - das hat Stefan Esser zum Glück noch selbst gemerkt.
Da drängt sich die Frage auf, was da noch alles unentdeckt ist...

Mit selber Bauen bin ich zumindest davor sicher, dass ich auch noch die Bugs einer Third-Party mit reingeklebt bekomme.
So habe ich nur die Bugs vom Hersteller selbst

Zitat von @dog:

Es war nicht nur das eine Mal.

Vor kurzem haben Sie es mit der selben Methodik geschafft Suhosin auszuhebeln - das hat Stefan Esser zum Glück noch selbst
gemerkt.
Da drängt sich die Frage auf, was da noch alles unentdeckt ist...

Mit selber Bauen bin ich zumindest davor sicher, dass ich auch noch die Bugs einer Third-Party mit reingeklebt bekomme.
So habe ich nur die Bugs vom Hersteller selbst

Da spricht auch nix dagegen. ABER wenn du erstmal 5 Server produktiv hast, dort jede update manuell einspielen musst, bekommt man sehr schnell einen langen Hals^^

German solved Question Linux