Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern

To: user@skolelinux.de
Subject: Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
From: "Juergen.Leibner@t-online.de" <Juergen.Leibner@t-online.de>
Date: Wed, 13 Sep 2006 12:19:22 +0200
Message-id: <[🔎] 1GNRpz-0wzoZ60@fwd34.aul.t-online.de>
In-reply-to: <[🔎] 4507A93F.1060903@mauscircus.net>
References: <[🔎] 200609122132.32829.juergen.leibner@t-online.de> <[🔎] 4507A93F.1060903@mauscircus.net>

Am Mittwoch, 13. September 2006 08:46 schrieb Frank Weißer:
> Jürgen Leibner schrieb:
> > Hallo Tjeneradmins,
> >
> > diese Mail richtet sich aus gegebenen Anlass an alle Admins von
> > Skolelinux-Servern.
...
> Hallo!
>
> Die Nachricht kam etwas zu spät. Ich hatte das Upgrade schon aufgespielt
> und den Fehler bestaunt. Zum Glück deuteten die Fehler schnell auf einen
> Ausstieg des bind9 und in den Logs war ein Hinweis auf falsche
> Berechtigungen bei der /etc/bind/rndc.key. Da ich mehrere Tjener laufen
> habe konnte ich 'mal eben' vergleichen und die Berechtigungen von
> 'bind:bind 640' auf 'root:bind 640' zurücksetzen. Alles scheint zu
> laufen.

So war es bei mir auch.
(Von Joey erfuhr ich auch von deinem Problem, Gestern. Ein Grund, warum 
diese Mail als "head up Mail" herausgegeben wurde.)

>
> Wenn ich Deine Lösung nachvollziehe läuft der named aber auch wenn
> /etc/bind/rndc.key dem user bind gehört. Ist das ein Sicherheitsaspekt?
> Ich stehe diesbezüglich in Kontakt mit dem Debian-Security-Team.

Diese Lösung ist nicht von mir alleine. Sie wurde gestern im Chat #debian.de

und #debian-edu erarbeitet. Ich habe die Mail als Konsens der gestrigen 
Diskussion auf #debian-edu geschrieben und dann in Absprache veröffentlicht 
(in englisch auch auf debian-edu@lists.debian.org, siehe 
http://lists.debian.org/debian-edu/2006/09/msg00061.html). 
Sie stellt die Sache so dar, wie sie sein sollte, wenn alles so gewesen 
wäre, wie es hätte sein sollen. ;-)

Soll heissen: Der named sollte, wie bei debian sarge üblich, unter dem user 
bind laufen. Warum er das bei einigen Installationen von Skolelinux nicht 
tut, war gestern nicht herauszufinden. Um die Sache also auf einen Standard 
von debian zurückzubringen, sollten o.g. Dinge getan werden.

Grundsätzlich sollte man sich immer, so ist die einhellige Meinung aller 
Beteiligten, der BugTrackingSysteme bedienen, bevor man essentielle 
Änderungen am System macht, wozu auch das Einspielen von Upgrades gehört.

Grüsse Jürgen Leibner

Reply to:

Follow-Ups:
- Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
  - From: Kurt Gramlich <kurt@skolelinux.de>

References:
- [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
  - From: Jürgen Leibner <juergen.leibner@t-online.de>
- Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
  - From: Frank Weißer <skolelinux@mauscircus.net>

Prev by Date: Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
Next by Date: Re: IGEL Terminals Winestra
Previous by thread: Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
Next by thread: Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
Index(es):
- Date
- Thread