Debian: Security durch richtige Versions

[kase]

Mal wieder ein kleines HowTo, um Debian noch sicherer zu machen:

Die ganze Idee ist mir gekommen durch Arty, zudem hier auch nochmal spez. THX gehn, wegen dem Security Update von OpenSSL, dass aus unbekanntem Grund nicht alleine upgedated werden wollte, sondern manuell gemacht werden musste.

Der Grund war folgender: (inzwischen bekannt *gg*)
OpenSSL war nicht das Packet aus Stable, sondern das Packet aus Proposed Updates, dass relativ viele in der Sources.List haben. Für diese Proposed Updates gibt es aber keine Security Updates, weswegen inzwischen vermutlich immer noch viele die angreifbare Version von OpenSSL nutzen.

Kann man rausfinden durch:

Code: Select all

dpkg -l openssl | grep openssl

Sollte dort "ii openssl 0.9.6g-0.woody Secure Socket Layer (SSL) binary and related" kommen, benutzt man die unsichere Version, kommt dort "ii openssl 0.9.6c-2.woody Secure Socket Layer (SSL) binary and related", benutzt man das Security Update.

=>

Hier fängt nun das eigentliche HowTo an:

Zuerst installieren wir apt-show-versions, falls dieses Packet noch nicht vorhanden ist:

Code: Select all

apt-get install apt-show-versions

Nun können wir uns alle installierten Packete mit Version anzeigen lassen, mit:

Code: Select all

apt-show-versions -b

Wir wollen aber nur die Versions, die NICHT aus Stable sind, also benutzen wir folgenden Befehl:

Code: Select all

apt-show-versions -b | grep -v stable

Sollte hier nun eine Ausgabe erfolgen, benötigt ihr wahrscheinlich dieses HowTo.

Zuerst müssen wir die /etc/apt/sources.list anpassen:
Diese sollte so oder ähnlich aussehen:

Code: Select all

deb     http://ftp.debian.de/debian woody main
deb-src http://ftp.debian.de/debian woody main
deb     http://ftp.debian.de/debian-non-US woody/non-US main
deb-src http://ftp.debian.de/debian-non-US woody/non-US main
deb     http://security.debian.org/ stable/updates main
deb-src http://security.debian.org/ stable/updates main

deb ftp://ftp.de.debian.org/debian/ stable main
deb-src ftp://ftp.de.debian.org/debian/ stable main
deb http://non-us.debian.org/debian-non-US stable/non-US main
deb-src http://non-us.debian.org/debian-non-US stable/non-US main
deb http://security.debian.org/ woody/updates main contrib non-free

Natürlich kann es sein, dass ihr einen anderen Mirror verwendet, oder dass ihr weitere Sources eingetragen habt. Wichtig hierbei ist folgendes:

Dieser Eintrag MUSS auf jeden Fall in der sources.list drinstehen

Code: Select all

deb     http://security.debian.org/ stable/updates main
deb-src http://security.debian.org/ stable/updates main
deb http://security.debian.org/ woody/updates main contrib non-free

Und dieser Eintrag darf auf KEINEN FALL in der sources.list stehen:

Code: Select all

deb http://ftp.debian.de/debian/ woody-proposed-updates main
deb-src http://ftp.debian.de/debian/ woody-proposed-updates main

oder ähnlich. (anderer Mirror, oder leicht veränderte Zeile, wichtig ist, dass kein Eintrag mit proposed in der Sources.list steht.)

Nun speichern wir alles. Unsichere sollten vorher die "alte" soruces.list backupen.

Nun erneuern wir unsere Liste mit

Code: Select all

apt-get update

Nun führen wir wieder folgendes Befehl aus:

Code: Select all

apt-show-versions -b | grep -v stable

Ab jetzt ist Handarbeit angesagt:
Für jeden Eintrag, der aufgelistet wird, machen wir ein:

Code: Select all

apt-get --reinstall install packet/stable

zB:

Code: Select all

apt-get --reinstall install openssl/stable

Solltet ihr irgendwelche selbstgemachten Packete haben, oder anderer Kernel oder oder oder, dürft ihr diese natürlich nicht ersetzen. Bei allen anderen sollte das "Downgrade" auf Stable ohne Probleme funktionieren.

Am Ende sollte der Befehl:

Code: Select all

apt-show-versions -b | grep -v stable

sogut wie keine Treffer mehr landen. (außer die gewollten, bei mir zB gar keine mehr)

Nun können wir sicher sein, dass auch wirklich jedes Security Update mit folgendem Befehl automatisch eingespielt wird:

Code: Select all

apt-get update && apt-get upgrade

was wir natürlich dann gleich mal durchführen ^^

Nun sollten wir auch bei OpenSSL das Security Update haben, um dies nachzuprüfen, lesen wir nochmal die ersten paar Zeilen dieses HowTos.

Ich übernehme wie in jedem HowTo keinerlei Verantwortung, wenn ihr euch was zerschiesst.

[gamecrash]

Danke für das HowTo... hatte mich schon gewundert, warum der OpenSSL ned aktualisiert hat...

[kase]

Da warst du nicht der einzige ;) *ggg*

[asn]

Habe das gerade mal beim Testserver gemacht.
Läuft alles, nur nach Neustart hängt er dann.

Werde das morgen nochmal versuchen und dann syslog auf *.* stellen, mal sehn wo er hängen bleibt.

Alex

[kase]

Hmm, ich habe bisher auch noch nicht neugestartet, hast mir jetzt ein bißchen Grusel gemacht, werde wohl auch mal neustarten müssen...

[[monk]]

ohh gott ich werd mich hüten neuzustarten..
hab das auch gemacht weil ich die openssl version hatte (obwohl ich nie die Proposed Updates in meiner source-list hatte)

drückt mir die daumen das der server auf immer und ewig online bleibt *g*

[kase]

Ich habe nun zu Testzwecken schweren Herzens einen Reboot gemacht, und es funktioniert alles noch einwandfrei.

Muss wohl ein Problem direkt bei dir sein. Ich habe wie gesagt inzwischen keine einzige nichtstable Version mehr, habe wirklich ALLES auf stable ersetzt.

[asn]

Habe das gerade mal beim Testserver gemacht.
Läuft alles, nur nach Neustart hängt er dann.

Werde das morgen nochmal versuchen und dann syslog auf *.* stellen, mal sehn wo er hängen bleibt.

Alex

Habe jetzt nochmal alles durchgespielt.

Installation ist von gestern frisch, genau nach Anleitung von Lordy, da sind ja auch die proposed mit drin.
Habe dann das notwendige für confixx über apt-get install installiert und dann confixx 2.07 drauf. so wie halt immer. läuft auch immer super.

Dann dein HowTo von oben befolgt, geht auch alles, ausser das er zwischendurch wohl mysql-server löscht. kann man aber per hand wieder neu installieren.
beim neustart bleibt er dann vor dem star von syslogd hängen. dmesg im rescue-system bringt mich nicht wirklich weiter, ist aber alles genauso, wie als ich versucht habe, auf kernel 2.4.20 mit apt-get install zu wechseln. ging auch nicht.

Verwende 1&1 Root-Server L.

Gruß,

Alex

PS Debian hat bei mir auch schon uptimes von über 90 Tagen, halt als ich auf Debian wechselte.

[kase]

dass er mysql-server deinstalliert, ist normal. mysql-server ist ein proposed update, aber du installiert ja wieder die stable davon.

Ist das ganze jetzt zum 2. Mal passiert ?

Falls ja, muss es an einem Packet liegen, dass du für Confixx installiert hast. Es wäre gut, wenn du irgendwie rausfinden könntest, an welchem Packet es liegt. Ich benutze kein Confixx, und kann auch nicht allzuviel testen, da auf meinem Server Sachen laufen, für die ich Geld bekomme *ggg*

Edit: Der Kernel 2.4.20 sollte noch nicht in Stable sein. Da du alle anderen Sources als Stable vermutlich aus deiner Sources.List entfernt hast, wird er das Packet nicht finden.

[captaincrunch]

Das Problem mit dem Reboot wird mit an Sicherheit grenzender Wahrscheinlichkeit nichts mit den Paketen aus stable zu tun haben. Du fasst schließlich nichts an, was systemkritisch wäre. Ich vermute eher, dass du dir da was durch den 2.4.20er-Kernel zerhaust, da der IMHO die Module etwas anders handhabt.

[kase]

Sie wie ich es verstanden habe, WOLLTE er auf den neueren Kernel wechseln, es hat aber nicht funktioniert. Und er hat inzwischen immer noch den alten.

Allerdings glaube ich auch, dass es eigentlich nicht viel mit dem DownGrade auf Stable zu tun hat. Vermutlich wäre ein Reboot vor dem HowTo auch missglückt...

[asn]

So, alles noch mal durchgespielt.

Habe alles auf dem Backup Server platt gemacht und erstmal nach Lordy neu installiert (incl. proposed).
Dann neustart und das howto von oben abgearbeitet, neustart

.
.
.
.

und es läuft.

Tut mir leid an Euch gezweifelt zu haben. Auf einem Debian-Gundsystem geht das also einwandfrei. Werde die Installation in Zukunft gleich ohne proposed vornehmen.

Gruß,

Alex

[kase]

du musst dich doch nicht dafür entschuldigen, uns angezweifelt zu haben...

Es war bei dir nun mal so, dass nach dem HowTo kein Reboot mehr ging, also liegt doch der Verdacht nah...

Wie so ein Problem dann letztendlich endet, weiß keiner, vielleicht meldet sich hier ja morgen schon der nächste, der das HowTo ausführt, und vorher alles für Confixx installiert hat, und dann kein Reboot mehr geht.

[sacha]

Hi Kase,

danke fuer die gute Anleitung. Bin gerade das Security-Howto durchgegangen und habe danach den Server neu gestartet.

Hat alles wunderbar geklappt, nur der mysql-Server war danach weg. Den musste ich mit apt-get install mysql-server erst wieder installieren. Meine Datenbanken hat er alle brav behalten. Koenntest du ja evtl. noch ergaenzen, damit man keinen Schreck bekommt ;-).

Ciao,

Sacha

[asn]

Steht schon weiter oben im Thema, das der ertmal gelöscht wird.

[sfeni]

Hab grad auch mal das howto durchgemacht. Danke schön

Nur eine Frage:
Kann ich folgende Pakete denn auch updaten mit apt-get? (Wäre mir nämlich neu, da es aus sourcen gebaut wurde)

ucspi-tcp: No available version
qmail: No available version
kernel-image-2.4.20: No available version

das ucspi-tcp wurde mit apt-get ?? heruntergeladen und mit build-ucspi-tcp gebaut.
das wmail wurde auch mit apt-get ?? heruntergeladen und mit build-qmail gebaut.
Kann man diese wie im howto beschrieben updaten?

Wirde der kernel auch geupdatet?

[kase]

Es steht ja bereits schon in meinem ersten Post, Sachen, die du selbst gebaut hast, würde ich nicht upgraden. zB dein Kernel würde zirmlich sicher auf den aktuellen in stable, den 2.4.18 downgegradet werden.

Ich denke mal, du kannst bedenkenlos diese 3 Packete so lassen wie sie sind.

[cybermage]

noch eine kleine anmerkung:
ich hab die proposed-updates in meiner sources.list drinnen, hab aber mein default release auf stable gesetzt.
einfach APT::Default-Release "stable"; in die /etx/apt/apt.conf eintragen und schon bekommt man nur noch stable pakete, und kann bei bedarf die proposed-aupdates dennoch installieren. :)