Hallo Simon, > Index: before-compromise.sgml > =================================================================== > --- before-compromise.sgml (revision 10339) > +++ before-compromise.sgml (working copy) > @@ -148,127 +147,144 @@ > <url id="http://www.debian.org/security/2003/dsa-232" name="DSA-232"> (für > <package>cupsys</package>). > > -<p>Es ist zu beachten, dass der Rechner neugestartet werden muss, wenn der > +<p>Denken Sie daran, den Rechner neuzustarten, wenn der > Kernel aktualisiert wurde. > > +<sect2 id="update-desktop">Überprüfung von Aktualisierungen auf dem Desktop > > -<sect2 id="cron-apt">Automatisches Überprüfung von Aktualisierungen mit > -cron-apt > +<p>Seit Debian 4.0 <em>Lenny</em> gibt es in > +Debian <package>update-notifier</package>, das in einer > +Standardinstallation installiert wird. Es ist eine GNOME-Anwendung, > +die beim Öffnen des Desktops gestartet wird, mit der geprüft werden Ich würde eher schreiben: die beim Starten des Desktops mitgestartet wird. Sie prüft dann, welche … > +kann, welche Aktualisierungen für Ihr System zur Verfügung stehen, und > +diese installiert werden können. Dafür verwendet Auch ohne die Änderung oben ist der Satz ab »und« schief. In meiner Variante: und installiert die Aktualisierungen auch. > +es <package>update-manager</package>. > > -<p>Eine andere Methode für automatische Sicherheitsaktualisierungen ist die > -Verwendung von <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug > -zur Verfügung, mit dem das System in regelmäßigen Abständen (mit einem Cronjob) > -aktualisiert wird. Standardmäßig wird es die Paketliste aktualisieren und neue > -Pakete herunterladen. Es kann auch so konfiguriert werden, dass es Mails an den > -Systemadministrator schickt. > +<p>In dem Stable-Zweig gibt es Aktualisierungen nur zum Entfernen von > +Sicherheitsproblemen oder, wenn eine Zwischenveröffentlichung (point s/oder,/oder/ > +release) angeboten wird. Wenn das System richtig konfiguriert ist (wie > +in <ref id="security-update"> beschrieben) und Sie s/konfiguriert ist,/konfiguriert ist, um Sicherhheitsaktualisierungen zu erhalten, > +mit <prgn>cron</prgn> die Paketinformationen aktualisieren, werden Sie > +durch ein Desktop-Symbol in dem Benachrichtigungsbereich des Desktops > +über Aktualisierungen informiert werden. > > -<p>Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch > -wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die > -Distributionsversion ansehen, wie in <ref id="check-releases"> beschrieben > -wird. Anderenfalls können Sie sich nicht sicher sein, dass die > -heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen. > +<p>Diese Benachrichtigung soll nicht aufdringlich sein und den Benutzer > +nicht dazu zwingen, die Aktualisierungen zu installieren. Über das s/soll nicht … sein/ist nicht …/ s/den Benutzer nicht dazu zwingen/zwingt den Benutzer nicht dazu/ > +Symbol kann der Desktop-Benutzer (mit dem Passwort des > +Systemadministrators) zu einer einfachen graphischen > +Benutzeroberfläche gelangen, um sich die verfügbaren Aktualisierungen > +anzeigen zu lassen und zu installieren. > > +<p>Diese Anwendung arbeitet damit, dass sie die Paketdatenbank abruft > +und ihren Inhalt mit dem System vergleicht. Wenn die Datenbank > +regelmäßig mit <prgn>cron</prgn> aktualisiert wird, ist ihr Inhalt > +aktueller als die auf dem System installierten Pakete, worauf die > +Anwendung Sie hinweisen wird. > > -<sect2>Verwendung von Tiger, um automatisch Sicherheitsaktualisierungen > -zu überprüfen > +<p><prgn>Apt</prgn> richtet eine solche Aufgabe ein > +(<file>/etc/cron.d/apt</file>), die abhängig von der Konfiguration von > +Apt ausgeführt wird (genauer gesagt je > +nach <em>APT::Periodic</em>). In der GNOME-Umgebung kann dieser Wert > +über System > Admin > Software origins > Updates oder > +mit <prgn>/usr/bin/software-properties</prgn> geändert werden. Sind die Menüeintragäge auf die Du referenziert (z.B. »Software origins«) nicht eingedeutsch? > -<p>Wenn Sie nach einem Programm suchen, das schnell die Verwundbarkeit des > -Systems überprüft und gefundene Sicherheitslücken meldet, sollten Sie das Paket > -<package>tiger</package> ausprobieren. Das Paket besteht aus einer Anzahl von > -Skripten für die Bourne-Shell, C-Programmen und Datendateien, die dazu > -verwendet werden, um Sicherheitsaudits durchzuführen. Das Paket in Debian > -GNU/Linux beinhaltet zusätzliche Erweiterungen, die auf die Debian-Distribution > -abgestimmt sind. Damit stehen mehr Funktionen zur Verfügung als in den > -Tigerskripten von TAMU (oder sogar von TARA, eine Tigerversion, die von ARSC > -vertrieben wird). Lesen Sie für weitere Informationen die Datei > -<file>README.Debian</file> und die Handbuchseite <manref section="8" name="tiger">. > +<p>Wenn Ihr System täglich die Paketliste herunterladen soll, aber > +nicht die Pakete selbst, > +sollte <file>/etc/apt/apt.conf.d/10periodic</file> etwa so aussehen: > > -<p>Eine dieser Verbesserungen ist das Skript > -<tt>deb_checkadvisories</tt>. Diese Skript verwendet eine Liste von DSAs und > -gleicht sie mit den installierten Paketen ab. Es meldete dann alle Pakete, die > -laut dem Debian Security Team verwundbar sind. Dies ist eine etwas andere, > -allgemeinere Herangehensweise als im Tigerskript <tt>check_signatures</tt>, das > -die MD5-Summen von Programmen mit bekannten Lücken testet. > - > -<p>Da Debian im Moment keine Liste der MD5-Summen von Programmen mit bekannten > -Lücken liefert (wie sie von anderen Betriebssystemen wie Sun Solaris verwendet > -wird), wird die <em>Überprüfung-der-DSAs-Herangehensweise</em> verwendet. Das > -Problem sowohl der Herangehensweise mit DSAs als auch der mit MD5-Summen ist, > -dass die Signaturen regelmäßig aktualisiert werden müssen. > - > -<p>Im Moment wird das dadurch gelöst, indem einen neue Version des Tigerpakets > -erstellt wird. Aber es steht nicht fest, dass der Paketbetreuer jedes Mal eine > -neue Version erstellt, wenn ein DSA bekannt gegeben wird. Eine nette > -Erweiterung, die aber noch nicht implementiert ist, wäre es, wenn das > -eigenständig durchgeführt wird. Das umfasst, dass die DSAs aus dem Netz > -heruntergeladen werden, eine Liste erstellt wird und dann die Prüfung > -durchgeführt wird. Die DSAs werden im Moment aus der lokalen CVS-Aktualisierung > -der WML-Quellen des Betreuers aktualisiert, die dazu verwendet werden, <url > -id="http://security.debian.org"> (der Webserver) zu erstellen. > - > -<p>Ein Programm wäre wünschenswert, das die DSAs, die per E-Mail empfangen > -wurden oder auf security.debian.org verfügbar sind, analysiert und dann die > -Datei erstellt, die von <prgn>deb_checkadvisories</prgn> verwendet wird, um > -Verwundbarkeiten zu bestätigen. Schicken Sie es als einen Fehlerbericht von > -<package>tiger</package>. > - > -<p>Die erwähnte Überprüfung wird über die Standardkonfiguration des Programms > -ausgeführt, wenn sie einmal eingerichtet wurde (siehe > -<file>/etc/tiger/cronrc</file>): > - > <example> > -# Check for Debian security measures every day at 1 AM > -# > -1 * * deb_checkmd5sums deb_nopackfiles deb_checkadvisories > -# > +APT::Periodic::Update-Package-Lists "1"; > +APT::Periodic::Download-Upgradeable-Packages "0"; > </example> > > -<p>Es gibt noch eine zusätzliche Überprüfung, die Sie vielleicht hinzufügen > -sollten, und welche noch kein Bestandteil des > -Standard-<prgn>Cron</prgn>-Skripts ist. Diese Überprüfung ist das Skript > -<tt>check_patches</tt>, das auf folgende Art und Weise funktioniert: > +<p>Sie können auch eine andere cron-Aufgabe verwenden, z.B. die > +von <package>cron-apt</package> installierte > +(vgl. <ref id="cron-apt">). Damit können Sie auch nur per Hand nach > +Aktualisierungen suchen. > > -<list> > +<p>Benutzer der KDE-Umgebung sollten > +stattdessen <package>adept</package> > +und <package>adept-notifier</package> installieren, die vergleichbare > +Funktionen anbieten, aber nicht in der Standardinstallation enthalten > +sind. > > -<item>führt <tt>apt-get update</tt> aus. > +<sect2 id="cron-apt">Automatisches Überprüfung von Aktualisierungen mit > +cron-apt > > -<item>überprüft, ob neue Pakete verfügbar sind. > +<p>Eine andere Methode für automatische Sicherheitsaktualisierungen > +ist <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug zur > +Verfügung, mit dem das System in regelmäßigen Abständen (mit einem > +Cronjob) aktualisiert wird. Es kann so konfiguriert werden, dass es > +Mails mit dem lokalen Mail-Transport-Agent an den Systemadministrator s/Mail/E-Mail/g > +schickt. Standardmäßig wird es nur die Paketliste aktualisieren und > +neue Pakete herunterladen. Es kann aber so konfiguriert werden, dass > +es automatisch Aktualisierungen installiert. > > -</list> > +<p>Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch > +wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die > +Distributionsversion ansehen, wie in <ref id="check-releases"> beschrieben Version für Release finde ich unglücklich. Entweder »Veröffentlichung« oder (gefällt mir nicht ganz so) »Release«. > +wird. Anderenfalls können Sie sich nicht sicher sein, dass die > +heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen. > > -<p>Wenn Sie ein <em>Stable</em>-System betreiben und Sie die > -<prgn>Apt</prgn>-Quellen security.debian.org in Ihre > -<file>/etc/apt/sources.list</file> eingetragen haben (wie in <ref > -id="security-update"> beschrieben), wird dieses Skript Ihnen mitteilen können, > -ob neue Pakete verfügbar sind, die Sie installieren sollten. Da die einzigen > -Pakete, die sich bei dieser Einstellung verändern, Sicherheitsaktualisierungen > -sind, bekommen Sie genau das, was Sie wollen. > +<p>Weitere Informationen finden Sie auf > +der <url id="http://www.debian-administration.org/articles/162" > +name="Debian-Administration-Seite">. s/Seite/Site/ (ja, das steht auch im Duden und der Wortliste, Seite != Site) > -<p>Das funktioniert natürlich nicht, wenn Sie <em>Testing</em> oder > -<em>Sid/Unstable</em> am Laufen haben, da wahrscheinlich neue Pakete zahlreicher > -sind als Sicherheitsaktualisierungen. > +<sect2 id="debsecan">Automatisches Überprüfung von Aktualisierungen > +mit debsecan > > -<p>Sie können dieses Skript den Überprüfungen hinzufügen, die vom > -<prgn>Cron</prgn>-Job durchgeführt werden (in der obigen > -Konfigurationsdatei). Dadurch würde <prgn>tigercron</prgn> Mails mit neuen > -Paketen verschicken (an denjenigen, der von <tt>Tiger_Mail_RCPT</tt> in > -<file>/etc/tiger/tigerrc</file> bezeichnet wurde). > +<p>Das Programm <prgn>debsecan</prgn> ermittelt den Sicherheitsstatus, > +indem es sowohl nicht installierte Sicherheitsaktualisierungen als > +auch Sicherheitslücken meldet. Im Gegensatz > +zu <package>cron-apt</package>, das nur Informationen zu verfügbaren > +Sicherheitsaktualisierungen bereitstellt, bezieht dieses Werkzeug auch > +Informationen von der Datenbank über Sicherheitslücken, die von > +Debians Sicherheitsteam verwaltet wird. Darin befinden sich auch > +Informationen über Lücken, die noch nicht durch eine > +Sicherheitsaktualisierung geschlossen wurden. Daher kann es > +Administratoren besser helfen, Sicherheitslücken im Blick zu behalten > +(wie unter <ref id="track-vulns"> beschrieben). > > -<example> > -# Check for Debian security measures every day at 1 am > -# > -1 * * deb_checkmd5sums deb_nopackfiles check_patches > -# > -</example> > +<p>Nach der Installation des Debian-Pakets <package>debsecan</package> > +wird es mit Zustimmung des Administrators eine cron-Aufgabe erstellen, > +die das Programm aufruft und das Ergebnis an einen bestimmten Benutzer > +schickt, wenn sie ein verwundbares Paket findet. Sie wird auch > +Informationen aus dem Internet laden. Bei der Installation wird auch > +nach dem Ort der Sicherheitsdatenbank gefragt, dieser wird > +in <file>/etc/default/debsecan</file> gespeichert. Er kann leicht so > +angepasst werden, damit Systeme ohne Internetzugang auf einen lokale > +Spiegelserver zugreifen können und nur dieser mit der > +Sicherheitsdatenbank verbunden sein muss. > > +<p>Beachten Sie jedoch, dass das Sicherheitsteam viele > +Verwundbarkeiten aufführt, die (wie risikoarme Probleme) nicht mit > +einer Sicherheitsaktualisierung ausgebessert werden oder bei denen > +sich später herausstellt, dass sie, anders als zunächst angenommen, > +Debian nicht betreffen. <prgn>Debsecan</prgn> wird alle > +Verwundbarkeiten melden, wodurch diese Meldungen deutlich > +umfangreicher werden als bei den anderen beschriebenen Werkzeugen. > > +<p>Weitere Informationen finden Sie auf > +der <url id="http://www.enyo.de/fw/software/debsecan/" name="Seite des > +Autors">. s.o. Seite → Site (und Tippfehler im Original: siste → site) > + > <sect2>Andere Methoden für Sicherheitsaktualisierungen > > -<p>Sie sollten auch einen Blick auf <url > +<p>Es gibt auch <package>apticron</package>, das ähnlich > +wie <package>cron-apt</package> nach Aktualisierungen sucht und eine > +E-Mail an den Administrator schickt. Weitere Informationen über > +apticron finden Sie auf > +der <url id="http://www.debian-administration.org/articles/491" > +name="Seite über Debian-Administration">. s.o. s/Seite/Site/ > +<p>Sie können auch einen Blick auf <url > id="http://clemens.endorphin.org/secpack/" name="secpack"> werfen. Es ist ein > inoffizielles Programm, um Sicherheitsaktualisierungen von security.debian.org > mit Prüfung der Signatur durchzuführen. Es wurde von Fruhwirth Clemens > geschrieben. > +Eine weitere Alternative bietet das Nagios > +Plugin <url id="http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages" > +name="check_debian_updates.sh"> von Dean Wilson. s/Plugin/Erweiterung/ (finde ich besser, Plugin auch in Wortliste) > <sect1>Vermeiden Sie den Unstable-Zweig > @@ -736,7 +751,7 @@ > > <item>Mit Pluggable Authentication Modules (PAM) herum spielen. Wie in einem > phrack 56 Artikel geschrieben wurde, ist > -das schöne an PAM, dass "Ihrer Fantasie keine Grenzen > +das Schöne an PAM, dass "Ihrer Fantasie keine Grenzen > gesetzt sind." Das stimmt. Stellen Sie sich vor, Root kann sich nur mit Anführungszeichen (hier und an anderen Stellen) korrigieren "" → »« > einen Fingerabdruck oder Abtastung des Auges oder einer Kryptokarte einloggen > (warum habe ich hier nur "oder" und nicht "und" gesagt?). Viele Grüße Helge -- Dr. Helge Kreutzmann debian@helgefjell.de Dipl.-Phys. http://www.helgefjell.de/debian.php 64bit GNU powered gpg signed mail preferred Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: Digital signature