security.debian.org

[matbehns]

Hallo, weiß jemand warum der Server security.debian.org nicht erreichbar ist? Wollte apt-get update machen, aber Kontakt ist nicht möglich!

MfG matbehns

[fritz]

nein, aber evtl. gibt es dort eher Informationen.
http://www.debianforum.de/forum/viewtopic.php?t=19522
Gruss Fritz

[dodolin]

Irgendwo hatte ich was von "vermutetem Hardwareschaden" vernommen, aber genaues scheint man momentan nicht zu wissen... Ich hatte es vorhin auch schon bemerkt.

[matbehns]

hier das stand in der lists.debian.org


On Sun, Feb 01, 2004 at 05:35:32PM -0500, Antonio Rodriguez wrote:
> It seems that non-us.debian.org is down. At least it doesn't responde
> to calls for update from aptitude. Anyone knows what's going on?

klecker went down earlier today and isn't responding to its remote power
switch. Wichert will be visiting the site tomorrow to have a look at it.

This affects security.debian.org, qa.debian.org, and nm.debian.org too.

Cheers,

--
Colin Watson [cjwatson@flatline.org.uk]


@Fritz

danke, das Forum kannte ich noch gar nicht :)

[thorsten]

Bis klecker wieder funktioniert, könnte auch das weiterhelfen:

deb ftp://ftp.de.debian.org/debian-security stable/updates main contrib non-free

HTH
thorsten

[matbehns]

danke Thorsten, funktioniert!

[lambras]

Spricht was dagegen, den freenet-Mirror permanent als Quelle für security-packages zu nehmen?
Wie lange hängt der denn hinterher? Ich aktualisiere meist eh nicht in der gleichen Sekunde, in der ein Security Bulletin reinkommt.

[frosty]

i.d.R. machen die mirrors 4x am tag n abgleich, manche aber auch nur 1x am tag

[dodolin]

Spricht was dagegen, den freenet-Mirror permanent als Quelle für security-packages zu nehmen?

http://www.de.debian.org/security/faq#mirror

[thorsten]

Eine aktuelle Meldung dazu: http://www.heise.de/newsticker/meldung/44274

[phil]

Ã?rgerlich ist, daß es die Leute vom Debian Projekt es nicht fertig bringen eine klitzekleine Notiz auf http://www.debian.org über diesen Umstand zu setzen. Ich bin ja wirklich mehr als zufrieden mit Debian auf meiner handvoll Kisten, aber es wäre doch schön, wenn man nicht eine Mailingliste mit irrem Traffic abonnieren müßte, wo dann auf Nachfrage jemand Bescheid weiß.

just my 2 cents.

[captaincrunch]

[ ] Du hast die zuständigen Mailinglisten verfolgt.

Wenn du das getan hättest, wäre dir http://lists.debian.org/debian-news/deb ... 00005.html aufgefallen.

www-master.debian.org

The internal master website. This means that no updates to the
public webserver are possible until klecker is restored.

Btw.: Debian-Announce und Debian-News sind nun wirklich keine High-Volume-Listen, ansonsten gibt's (wie hier gesehen) ja noch die frei zugäglichen Archive.

Nur _meine_ 0,02 Teuro.

[squize]

@CC: Hätte er, dann hätte er die News bekommen, da stimme ich dir zu. :) Hätten sie aber die News auf die Seite gesetzt, dann hätte dies garantiert einen Haufen Traffic gespart, der durch die unzähligen Fragen was los ist entstanden ist.

Ich denke da an 2 Lösungen:

1. Der News Button wird entfernt, dann ist klar, dass es keine News gibt
2. MAn versucht die News ein bissen aktueller zu gestalten

Gruss

Marc :)

[dodolin]

Hätten sie aber die News auf die Seite gesetzt

LIEST du eigentlich auch, was CC zitiert hat?!

Zum Thema: Es funktioniert wieder alles.

[phil]

Mit meinem Satz wollte ich nicht sagen, daß ich die Mailingliste lese. Vielmehr wollte ich sagen, daß ich es ärgerlich finde, daß man Sie lesen muß(müßte|sollte|könnte), um zu erfahren, daß ein zentraler Dienst ausgefallen ist. Das die Leute http://www.debian.org nicht updaten können, wenn Klecker down ist, ist da natürlich ein interessanter Zusammenhang. Also Ihr Mods vergebt uns unsere Schuld, denn auch wir sind nur Menschen und keine Halbgötter wie Ihr es zu sein scheint.

mfg Phil

[dodolin]

Vielmehr wollte ich sagen, daß ich es ärgerlich finde, daß man Sie lesen muß(müßte|sollte|könnte), um zu erfahren, daß ein zentraler Dienst ausgefallen ist.

Also debian-security-announce und debian-news sollte eigentlich JEDER Debian-User abonniert haben, der Traffic dort hält sich auch sehr in Grenzen. "Müssen" tust du natürlich nichts, aber das security.debian.org down ist, hatte ich schon wesentlich früher selbst bemerkt, bevor die Mail über debian-news kam. Insofern hatte ich bereits längst selbst erfahren...

Das die Leute http://www.debian.org nicht updaten können, wenn Klecker down ist, ist da natürlich ein interessanter Zusammenhang.

Darauf wollte ich hinaus.

[phil]

Zu merken, daß security.debian.org down ist war nie das Problem. Nur ist es interessant zu wissen dass wirklich deren Server schlicht down ist und man nicht selbst irgendein Problem hat. Nach einer Begründung wieso und weshalb der Server down ist frägt ja niemand. Keine Reaktion finde ich einfach schwach und erst auf Nachfrage reagieren nochmal. Wieso nicht offensiv: "Hey die Kiste ist down. Wir kümmer uns drum." Ob auf der Mailingliste oder im Web. Security Announce hab ich im Abo. Hier kam bisher nichts wegen der Downtime. Ist ja mittlerweile auch schon wieder online. Genau hier hätte ich es aber auch als sehr sinnvoll empfunden. Solche Kommunikationsgeschichten ist wohl genau ein Punkt weswegen es sich ein Unternehmen zweimal überlegt ob es Debian auswählt oder eine Distribution wo kommerzieller Support dahinter steht. Fällt bei Suse, Redhat etc. ein wichtiger Server für längere Zeit (mehrere Stunden) aus, wird das kommuniziert und nicht gewartet bis jemand frägt.

[dodolin]

Nur keine Reaktion finde ich schwach und dann erst auf Nachfrage. Wieso nicht offensiv: "Hey die Kiste ist down. Wir kümmer uns drum." Ob auf der Mailingliste

... was geschehen ist. Also wo ist dein Punkt?

Security Announce hab ich im Abo. Hier kam bisher nichts wegen der Downtime.

Wenn die Kiste nur abgeraucht ist (und nicht wie beim letzten Mail gecrackt wurde), dann hat das ja auch nichts mit Security zu tun, ergo sollte es auch nicht auf der Security-Liste erscheinen. Meinjanur...

[captaincrunch]

Die Art und Weise, wie diese Geschichte diesmal (leider wieder) von den Debianern gehandhabt wurde, ist sicherlich extrem diskussionsfähig. Ich persönlich bin (spätestens) seit dem Crack vor gar nicht allzu langer Zeit auch nicht gerade sehr begeistert über die "ach so offene" Entwicklung dort. Diesen Punkt hier mit uns zu diskutieren bringt aber wohl herzlich wenig, da (IMHO) keine DDs unter uns sind.

Ansonsten hat ein wenig Eigeninitiative wohl noch niemandem geschadet, dazu muss man nun wirklich kein "Halbgott" sein. ;)

[dodolin]

Die Art und Weise, wie diese Geschichte diesmal (leider wieder) von den Debianern gehandhabt wurde, ist sicherlich extrem diskussionsfähig. Ich persönlich bin (spätestens) seit dem Crack vor gar nicht allzu langer Zeit auch nicht gerade sehr begeistert über die "ach so offene" Entwicklung dort.

Aber Meinungen kann man ja mal hier austauschen dazu, oder (auch ohne DDs)? ;)

Ich finde es eigentlich ganz OK. Mei, ein bisschen schnelle Information wäre zwar gut, aber ich denke, die Verantwortlichen sollten halt schon abwägen, ob es Sinn macht, schon sehr früh Informationen zu verschicken (mit dem Nachteil, selbst noch keine brauchbaren Infos zu haben) oder halt erst etwas zu warten, bis man selbst gesicherte Informationen hat und dann eine (halbwegs) fundierte Aussage veröffentlichen zu können. Ich selbst finde die 2. Methode auch besser.

[captaincrunch]

Fundierte Aussagen gut und schön, nur ist IMHO die Meldung, dass klecker ausgefallen ist, und man selbst nicht genau weiß was los ist eben keine solche, vor allem, da sie erst Tage nach dem eigentlichen Ausfall kam. ;) IMHO entspricht das nicht wirklich der so oft gepriesenen "offenen" Entwicklung bei Debian.

Genau so gut hätte es sein können, dass jemand wieder einmal eine noch unbekannte Sicherheitslücke ausgenutzt hat, um die Kiste zu knacken, was zigtausend andere Debian-Server genau so gefährdet hätte.

[floschi]

Ich muss da CC recht geben - ich habe mich auch gewundert, warum eine Meldung so lange dauert. Und es diskutieren ja nicht nur wir, auf jeglichen Debian-bezogenen Seiten kamen diese Fragen, nur keine Antworten.

Ich für meinen Teil würde mir schneller die Nachricht wünschen, dass etwas nicht stimmt. Wenn schon ein so großes Servernetzwerk, wie wär's da mit Monitoring *g*

[captaincrunch]

Ich denke dabei nicht nur ans Monitoring. Solche Single Point of Failures sind IMHO nicht allzu vertrauenserweckend, aber das ist ja auch nicht meine Sache. ;)

[squize]

@dodolin: Ist mir schon klar, das es ja nicht ging, weil der tote Server zum updaten gebraucht wird.

Mir ging es eher um eine generelle Aussage, dass die News Seite von Debian nicht wirklich mit Neuigkeiten überflutet ist. Ich kann damit ohne Probleme leben :) und mache keinem einen Vorwurf, da ich mich ja auch nicht selbst darum kümmere.

Gruss

Marc