Sicherheit Debia (Updates)
Hallo,
vorweg, ich habe nicht vor das zu machen.
Ich habe, um das mal gemacht zu haben denn ich komme aus der Windows-Welt, in einer VM Debian installiert.
Dazu noch den Apache2 und MySQL5. Wenn man mal weiß apt-get ist, ja auch ganz einfach. Mit Vi komme ich auch leidlich zurecht.
Wie sieht es eigentlich mit dem Thema Sicherheit, bzwl. Sicherheitsupdates aus?
Reicht ein apt-get updates? Oder wie macht man sowas?
Danke
Stefan
vorweg, ich habe nicht vor das zu machen.
Ich habe, um das mal gemacht zu haben denn ich komme aus der Windows-Welt, in einer VM Debian installiert.
Dazu noch den Apache2 und MySQL5. Wenn man mal weiß apt-get ist, ja auch ganz einfach. Mit Vi komme ich auch leidlich zurecht.
Wie sieht es eigentlich mit dem Thema Sicherheit, bzwl. Sicherheitsupdates aus?
Reicht ein apt-get updates? Oder wie macht man sowas?
Danke
Stefan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 146161
Url: https://administrator.de/forum/sicherheit-debia-updates-146161.html
Ausgedruckt am: 10.05.2025 um 10:05 Uhr
13 Kommentare
Neuester Kommentar
Hi,
nur bedingt.
http://de.wikipedia.org/wiki/Aptitude
Du brauchst:
aptitude update
und dannach
aptitude safe-upgrade
mfg
nur bedingt.
http://de.wikipedia.org/wiki/Aptitude
Du brauchst:
aptitude update
und dannach
aptitude safe-upgrade
mfg
Sollte man noch erwähnen, dass debian extrem träge ist, was alle Updates angeht.
PHP 5.2 ist z.B. derzeit bei 5.2.13 und debian noch bei 5.2.6
Wir reden hier von einem Unterschied von 2 Jahren und haufenweise Sicherheitslücken.
Debian hat sich aber schon häufiger Eigentore durch ihr Paketmanagement geschossen (siehe OpenSSL-Debakel) - darum gilt:
Im Produktiveinsatz immer selbst bauen...
PHP 5.2 ist z.B. derzeit bei 5.2.13 und debian noch bei 5.2.6
Wir reden hier von einem Unterschied von 2 Jahren und haufenweise Sicherheitslücken.
Debian hat sich aber schon häufiger Eigentore durch ihr Paketmanagement geschossen (siehe OpenSSL-Debakel) - darum gilt:
Im Produktiveinsatz immer selbst bauen...
Leider ist dies bei vielen Servern sehr mühsam.
Für PHP und MySQL gibt es z.B. Dotdeb.
Dort sind neue Versionen per aptitude verfügbar ohne selber zu bauen. Auch PHP 5.3 ist dort schon verfügbar.
Wenn du dotdeb benutzen willst musst du folgende Datei bearbeiten.
Dort musst du folgendes einfügen:
Nun kannst du auf die Pakete zugreifen.
Es könnte sein das aptitude dir eine große Anzahl von Paketen entfernen will, weil du vorher apt-get benutzt hast. Falls dies der Fall ist:
http://wiki.debianforum.de/SoftwareVerwalten/AptitudeVsAptGet#head-2111 ...
Für PHP und MySQL gibt es z.B. Dotdeb.
Dort sind neue Versionen per aptitude verfügbar ohne selber zu bauen. Auch PHP 5.3 ist dort schon verfügbar.
Wenn du dotdeb benutzen willst musst du folgende Datei bearbeiten.
#vielleicht kommst du mit nano besser zurecht
nano /etc/apt/sources.listdeb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable allNun kannst du auf die Pakete zugreifen.
aptitude update
aptitude full-upgradeEs könnte sein das aptitude dir eine große Anzahl von Paketen entfernen will, weil du vorher apt-get benutzt hast. Falls dies der Fall ist:
http://wiki.debianforum.de/SoftwareVerwalten/AptitudeVsAptGet#head-2111 ...
Hallo,
so stimmt das aber auch nicht ganz.
Die Debianer patchen Sicherheitslücken in alten Versionen.
So hat man zwar nicht die neueste Versionsnummer mit allen frischen Features, aber noch kein unsicheres System.
https://secure.wikimedia.org/wikipedia/de/wiki/Debian#Debian_und_Sicherh ...
Ob du immer alle Bugs so schnell mitbekommst und die Systeme updatest wie die Paketmaintainer,
da habe ich doch so meine Zweifel.
Oder bist du auf x Mailingslisten für Apache, Mysql; smbd, FTP; postfix usw.
so stimmt das aber auch nicht ganz.
Die Debianer patchen Sicherheitslücken in alten Versionen.
So hat man zwar nicht die neueste Versionsnummer mit allen frischen Features, aber noch kein unsicheres System.
https://secure.wikimedia.org/wikipedia/de/wiki/Debian#Debian_und_Sicherh ...
Ob du immer alle Bugs so schnell mitbekommst und die Systeme updatest wie die Paketmaintainer,
da habe ich doch so meine Zweifel.
Oder bist du auf x Mailingslisten für Apache, Mysql; smbd, FTP; postfix usw.
Die Debianer patchen
Das ist ja eben das große Problem (siehe zweiten Block in dem Wikipedia-Artikel).
Da spielen Leute mit dem Code rum, die selbst eigentlich gar nicht wirklich wissen was sie da tun...
hmmm.
Gegenfrage: Welches Linux sollte man denn verwenden wenn man hauptsächlich, Apache2 mit PHP5 und MySQL5 einsetzen möchte?
Stefan
Gegenfrage: Welches Linux sollte man denn verwenden wenn man hauptsächlich, Apache2 mit PHP5 und MySQL5 einsetzen möchte?
Stefan
Zitat von @StefanKittel:
hmmm.
Gegenfrage: Welches Linux sollte man denn verwenden wenn man hauptsächlich, Apache2 mit PHP5 und MySQL5 einsetzen
möchte?
Stefan
Da gibt ein kein Super heil mittel. Ist geschmackssache. Aber Debian ist schon eine gute Wahl. Ich auch mein Favorit, ich habe mehrere Webserver produktiv laufen.hmmm.
Gegenfrage: Welches Linux sollte man denn verwenden wenn man hauptsächlich, Apache2 mit PHP5 und MySQL5 einsetzen
möchte?
Stefan
Hallo EvilMoe,
[quelleausschlacht]oh... prima. Benutzer apt oder aptitude? Welche Quellen? Hast Du die hardends installiert? [/quelleausschlacht]
Danke
Stefan
[quelleausschlacht]oh... prima. Benutzer apt oder aptitude? Welche Quellen? Hast Du die hardends installiert? [/quelleausschlacht]
Danke
Stefan
Je nachdem was ich auf dem Server noch habe. Bei einem Etch benutze ich noch apt, da ich Probleme bekomme wenn ich aptitude benutzen würde (mischen von apt und aptitude sollte man NIE machen!).
Ansonsten sollte man aptitude benutzen bei einem frischen System.
Vorteile kannst du hier nachlesen: http://wiki.debianforum.de/SoftwareVerwalten/AptitudeVsAptGet#head-0404 ...
Die Standard Debian Quellen + die von dotdeb falls ich einen Apache verwende. Ich habe auch einen Webserver mit lighttpd.
sorces.list
Ansonsten sollte man aptitude benutzen bei einem frischen System.
Vorteile kannst du hier nachlesen: http://wiki.debianforum.de/SoftwareVerwalten/AptitudeVsAptGet#head-0404 ...
Die Standard Debian Quellen + die von dotdeb falls ich einen Apache verwende. Ich habe auch einen Webserver mit lighttpd.
sorces.list
#die sind Server spezifisch und würdest du nicht benötigen deswegen auskommentiert!
#deb ftp:{{comment_single_line_double_slash:0}}
#deb-src ftp:{{comment_single_line_double_slash:0}}
deb http://ftp.de.debian.org/debian/ lenny main contrib non-free
deb-src http://ftp.de.debian.org/debian/ lenny main
deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main
#
# dotdeb.org sources
deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all
Danke
das hier hatte ich auch gefunden: http://www.tecchannel.de/server/linux/433931/linux_systemsicherheit_unt ...
das hier hatte ich auch gefunden: http://www.tecchannel.de/server/linux/433931/linux_systemsicherheit_unt ...
Zitat von @dog:
> Die Debianer patchen
Das ist ja eben das große Problem (siehe zweiten Block in dem Wikipedia-Artikel).
Da spielen Leute mit dem Code rum, die selbst eigentlich gar nicht wirklich wissen was sie da tun...
> Die Debianer patchen
Das ist ja eben das große Problem (siehe zweiten Block in dem Wikipedia-Artikel).
Da spielen Leute mit dem Code rum, die selbst eigentlich gar nicht wirklich wissen was sie da tun...
Naja, dass war das eine Paket, von daher würde ich jetzt nicht auf alle schliessen.
Bugs gibt es bei jeder Software mal, ob nun von den Debianern gepatched oder "normal" released.
Das war natürlich extrem übel, aber sicher bist du vor sowas mit selber bauen auch nicht.
Es war nicht nur das eine Mal. 
Vor kurzem haben Sie es mit der selben Methodik geschafft Suhosin auszuhebeln - das hat Stefan Esser zum Glück noch selbst gemerkt.
Da drängt sich die Frage auf, was da noch alles unentdeckt ist...
Mit selber Bauen bin ich zumindest davor sicher, dass ich auch noch die Bugs einer Third-Party mit reingeklebt bekomme.
So habe ich nur die Bugs vom Hersteller selbst
Vor kurzem haben Sie es mit der selben Methodik geschafft Suhosin auszuhebeln - das hat Stefan Esser zum Glück noch selbst gemerkt.
Da drängt sich die Frage auf, was da noch alles unentdeckt ist...
Mit selber Bauen bin ich zumindest davor sicher, dass ich auch noch die Bugs einer Third-Party mit reingeklebt bekomme.
So habe ich nur die Bugs vom Hersteller selbst
Zitat von @dog:
Es war nicht nur das eine Mal.
Vor kurzem haben Sie es mit der selben Methodik geschafft Suhosin auszuhebeln - das hat Stefan Esser zum Glück noch selbst
gemerkt.
Da drängt sich die Frage auf, was da noch alles unentdeckt ist...
Mit selber Bauen bin ich zumindest davor sicher, dass ich auch noch die Bugs einer Third-Party mit reingeklebt bekomme.
So habe ich nur die Bugs vom Hersteller selbst
Da spricht auch nix dagegen. ABER wenn du erstmal 5 Server produktiv hast, dort jede update manuell einspielen musst, bekommt man sehr schnell einen langen Hals^^Es war nicht nur das eine Mal.
Vor kurzem haben Sie es mit der selben Methodik geschafft Suhosin auszuhebeln - das hat Stefan Esser zum Glück noch selbst
gemerkt.
Da drängt sich die Frage auf, was da noch alles unentdeckt ist...
Mit selber Bauen bin ich zumindest davor sicher, dass ich auch noch die Bugs einer Third-Party mit reingeklebt bekomme.
So habe ich nur die Bugs vom Hersteller selbst
