Re: [Achtung] Informationen zu Debian Security Advisory DSA 1172-1 auf Skolelinux-Servern
Am Mittwoch, 13. September 2006 08:46 schrieb Frank Weißer:
> Jürgen Leibner schrieb:
> > Hallo Tjeneradmins,
> >
> > diese Mail richtet sich aus gegebenen Anlass an alle Admins von
> > Skolelinux-Servern.
...
> Hallo!
>
> Die Nachricht kam etwas zu spät. Ich hatte das Upgrade schon aufgespielt
> und den Fehler bestaunt. Zum Glück deuteten die Fehler schnell auf einen
> Ausstieg des bind9 und in den Logs war ein Hinweis auf falsche
> Berechtigungen bei der /etc/bind/rndc.key. Da ich mehrere Tjener laufen
> habe konnte ich 'mal eben' vergleichen und die Berechtigungen von
> 'bind:bind 640' auf 'root:bind 640' zurücksetzen. Alles scheint zu
> laufen.
So war es bei mir auch.
(Von Joey erfuhr ich auch von deinem Problem, Gestern. Ein Grund, warum
diese Mail als "head up Mail" herausgegeben wurde.)
>
> Wenn ich Deine Lösung nachvollziehe läuft der named aber auch wenn
> /etc/bind/rndc.key dem user bind gehört. Ist das ein Sicherheitsaspekt?
> Ich stehe diesbezüglich in Kontakt mit dem Debian-Security-Team.
Diese Lösung ist nicht von mir alleine. Sie wurde gestern im Chat #debian.de
und #debian-edu erarbeitet. Ich habe die Mail als Konsens der gestrigen
Diskussion auf #debian-edu geschrieben und dann in Absprache veröffentlicht
(in englisch auch auf debian-edu@lists.debian.org, siehe
http://lists.debian.org/debian-edu/2006/09/msg00061.html).
Sie stellt die Sache so dar, wie sie sein sollte, wenn alles so gewesen
wäre, wie es hätte sein sollen. ;-)
Soll heissen: Der named sollte, wie bei debian sarge üblich, unter dem user
bind laufen. Warum er das bei einigen Installationen von Skolelinux nicht
tut, war gestern nicht herauszufinden. Um die Sache also auf einen Standard
von debian zurückzubringen, sollten o.g. Dinge getan werden.
Grundsätzlich sollte man sich immer, so ist die einhellige Meinung aller
Beteiligten, der BugTrackingSysteme bedienen, bevor man essentielle
Änderungen am System macht, wozu auch das Einspielen von Upgrades gehört.
Grüsse Jürgen Leibner
Reply to: