[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Das Problem mit SID

Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat:

> On 30.May 2004 - 20:11:52, Peter Kuechler wrote:
> > Am Sonntag, 30. Mai 2004 18:05 schrieb Michelle Konzack:
> > > Am 2004-05-30 10:13:27, schrieb Peter Kuechler:
> > > >Warum denn?
> > > >Du hast doch recht.
> > > >Ich hatte noch nie beser laufende Rechner wie die mit Debian SID.
> > >
> > > Dan hast Du aber die Maschine nur über einen Router/Firewall
> > > am Internet, denn die Sicherheitslöchet die SID hat sind nicht
> > > übersehbar.
> >
> > Die gibt es überall und immer wieder, oder warum glaubst Du, gibt es dei
> > Patches für Woody?
>
> Ja und bei Sid musst du selber Patchen oder hoffen das der Maintainer
> nicht schlaeft und nen fix bereitstellt...

Du scheinst keine besonders hohe Meinung über die Entwickler zu haben...
Es liegt schon in ihrem eigenen Interesse, solche Sicherheitslöcher in ihrem 
aktuellen Code zu stopfen, findest Du nicht? 

Und, oh Wunder, tauchen neue Versionen der Software in SID am ehesten auf.

> > > Habe pro Tag mehr als 50 Portsscans und noch wesentlich mehrere
> > > Hackangriffe. Die Logdateien sind voll damit... und abundzu
> > > verendet der pppd...
> >
> > Die beissen sich an meinem Paketfilter die Zähne aus:-)
>
> Was ist wenn der nen Fehler hat?

Der Paketfilter hat weder was mit SID, Woody, Suse oder sonst was zu tun.
Er ist Sache des Kernels, und da bediene ich mich schon seit Jahren nur der 
Vanilla-Kernel. Dort passt wenigstens jeder Patch.

> > Übrigens habe ich nicht meine Arbeitsplatzrechner am Internet, sondern
> > meinen Fileserver/DNS/Timeserver/DHCP/Mailserver/Einwahlrechnen für
> > Fernwartung. Naja und Firewall für meinen DSL-Zugang ist er auch noch.
>
> Ich schliesse mal daraus dass du diese Dienste fuers Internet
> freigegeben hast? 

Falsch, alle Dienste gehen nur ins interne Netz. 
Ich würde mir sehr gut überlegen, ob ich auf einem Rechner, der _auch_ als 
Firewall dient, Dienste für den Zugriff von aussen zur Verfügung stelle:->

> Was ist wenn einer davon ein Sicherheitsloch hat und 
> der Maintainer grad 4 Wochen in Urlaub? 

Interessiert mich aus o.g. Grund nicht, muß es ja auch nicht;-)

> Machst du wirklich nur alle 
> paar Monate ein Upgrade? Na dann lass mal lieber niemanden der
> boeswillig ist deine IP rauskriegen..

s.o.

Ok, noch mal zur Erklärung:

Ich habe den Eindruck, das hier alles über einen Kamm geschoren wird. Es muß 
doch jedem einleuchten, das an einen Rechner, der Dienste ins Internet zur 
Verfügung stellt, ander Anforderungen gestellt werden wie an einen Rechner, 
der solchen Gefahren nicht direkt ausgesetzt ist.
Oder nochmal deutlicher:

Wenn ich einen Rechner habe, der als nur als Paketfilter dienen soll, dann 
kann es mir scheißegal sein, ob der apache in SID gerade ein Sicherheitsloch 
hat.

Ich kenne KEINEN, der mit seinem Arbeitsplatzrechner, den er jeden Tag nach 
der Arbeit für 2 Stunden einschaltet, Dienste im Internet zur Verfügug 
stellt. Somit reicht ein Paketfilter, der KEINEN Verbindungsaufbau von aussen 
zulässt, aus. 

Wenn ich einen Rechner ins Internet stellen muß, dann steht er in einer DMZ, 
und es laufen nur die Programme darauf, die für diesen einen Dienst gebraucht 
werden. Hier kann man sicher nochmal neu überlegen, was man einsetzt.
SID, Woody, Suse oder sogar BSD, wie es Dieter in einer Mail geschrieben hat.


-- 

mfg

Peter Küchler
Reply to: