Re: Serverumzug und Debian
Wolfgang Jeltsch schrieb:
Wir werden schon z.T. neuere Software-Versionen brauchen. Mit woody müssten
wir auf Backported Packages zurück greifen und die machen ja m.W. einige
Probleme beim dist-upgrade.
Welche? Quelle in /etc/apt/sources.list eintragen, und gut ist.
(Unter "vertrauenswürdiger Quelle" verstehe ich persönlich einen Package
Maintainer, der in der Lage ist, updatefähige .debs zu bauen...)
Ach so, beim Umstieg auf sarge, Entschuldigung. Nun, beim Hochziehen des
Systems werden sicher so oder so Anpassungsarbeiten notwendig werden.
Die Migration eine Produktivsystems würde ich immer als eigenes Projekt
betrachten, deshalb würde ich _vorsichtshalber_ nicht einmal davon
ausgehen, daß ein Upgrade von Woody nach Sarge reibungslos über die
Bühne geht. Man kann IMHO gar nicht erwarten, daß sich Backports dann
glatt integrieren würden.
Aber andererseits - schon mal versucht, eine andere Distribution als
Ganzes über eine Versionsnummer hinweg zu hieven?
Been there, done that, and chose to reinstall.
Wie groß ist denn die Wahrscheinlichkeit, dass ein testing-System während der
paar Monate, die sarge vermutlich noch testing ist, einem Hackerangriff zum
Opfer fällt?
Das hängt von der verwendeten Security Policy ab und wie gut das Konzept
ausgearbeitet ist. Aus irgendeiner Quelle (deshalb völlig unzuverlässig)
habe ich einmal die Information erhalten, daß es bei bekannten IP-Ranges
von z. B. Unis keine Viertelstunde dauert, bis die ersten Script-Kiddies
an den Vorder- und Hintertüren neu angeschlossener Systeme prokeln.
Jetzt setze das genau so auf eine Maschine um, die 24/7 am Netz hängt.
Reicht da die Firewall-Hardware allein zum Schutz wirklich aus? - Ich
gehe mal davon aus, daß die Applikationen, die darauf laufen werden,
unternehmenskritisch sind und man sich deshalb keine längeren Downtimes
leisten kann.
Das heißt, Security by Obscurity (= darauf hoffen, daß das installierte
System für ein einige Monate nicht gefunden wird und nicht weiter
auffällt) ist in etwa äquivalent damit, den nackerten Hintern im
Erdgeschoß aus dem Fenster zu hängen und zu glauben, daß keiner
im Vorbeigehen draufklatschen wird - sehr bildlich gesprochen. :)
Einmal ganz abgesehen davon, daß das erstere wohl auch etwas dem
angestrebten Geschäftskonzept widersprechen würde, nehme ich an.
Werden Sicherheitslöcher in testing-Paketen eigentlich in
akzeptabler Zeit gefunden und werden solche Löcher immer als Bugs gemeldet?
Dann könnte man sich ja anhand der einschlägigen Bugübersichten ein Bild
davon machen, inwieweit der Einsatz von testing die Serversicherheit gefärden
würde.
Es geht ja nicht nur um Sicherheitsupdates allein. Nach einem der
letzten Wochenberichte (man korrigiere mich, wenn ich falsch liege) will
man die Anzahl noch vorhandener Bugs im nächsten Schritt auf ca. 200
drücken. Selbst wenn dieser Wert lediglich exotische Pakete betrifft,
warte ich lieber noch, bevor ich mir einen Auszug derart vieler
bekannter(!) Fehler auf einen Server hole.
--
Viele Grüße, Kai
Reply to: