Was ist das Problem mit cron-apt?

Rund um die Sicherheit des Systems und die Applikationen
jeltsch
Posts: 15
Joined: 2004-12-13 17:03
Location: Cottbus

Was ist das Problem mit cron-apt?

Post by jeltsch » 2005-03-19 12:52

Hallo,

die cron-apt-Paketbeschreibung sagt folgendes:
Observe that this tool is a security risk, so you should not set it to do more than necessary (automatic upgrade of all packages is NOT recommended).
Warum genau ist nun cron-apt ein Sicherheitsrisiko und warum sollte man nicht automatische Upgrades fahren?

Viele Grüße
Wolfgang

cfreak
Posts: 74
Joined: 2002-08-12 19:51
Location: Regensburg

Re: Was ist das Problem mit cron-apt?

Post by cfreak » 2005-03-19 13:05

ganz einfach: updated er mitten in der Nacht irgendetwas und es gibt dabei irgendein Problem was dann?

suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Was ist das Problem mit cron-apt?

Post by suntzu » 2005-03-19 13:32

Eben. Man bedenke was passiert, wenn konkurrierende Konfigurationsdateien vorliegen.

Daher ist mein Cron-Apt auch nur so eingestellt, dass es neue Paketversionen zwar schonmal runterlädt aber noch nicht installiert. Ich kriege dann aber eine E-Mail aus der ich erkennen kann, dass es neue Versionen gibt. Installieren muss ich die dann zwar selber aber so behalte ich wenigstens die Kontrolle.

tcs
Posts: 107
Joined: 2003-11-16 12:05
Location: Woodcastle

Re: Was ist das Problem mit cron-apt?

Post by tcs » 2005-03-19 14:25

Unbedingt noch

Code: Select all

apt-get install apt-listbugs
-falls noch nicht geschehen.

Cheers

tcs

jeltsch
Posts: 15
Joined: 2004-12-13 17:03
Location: Cottbus

Ist die manuelle Installation ein Sicherheitsrisiko?

Post by jeltsch » 2005-03-19 20:53

SunTzu wrote:Daher ist mein Cron-Apt auch nur so eingestellt, dass es neue Paketversionen zwar schonmal runterlädt aber noch nicht installiert. Ich kriege dann aber eine E-Mail aus der ich erkennen kann, dass es neue Versionen gibt. Installieren muss ich die dann zwar selber aber so behalte ich wenigstens die Kontrolle.
Ist die Zeitverzögerung bis zum Installieren der Sicherheitsupgrades nicht unnötig hoch?

Viele Grüße
Wolfgang

suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Was ist das Problem mit cron-apt?

Post by suntzu » 2005-03-19 21:08

Es sind dann üblicherweise ca. einige Stunden, aber ich kann und will einfach nicht alle fünf Minuten schauen, ob es neue Versionen oder Sicherheitslücken, etc. gibt. Selbst mit mehreren Admins kannst du einfach keine 100%ig perfekte, verzögerungslose Updatepolitik fahren. Ist zumindest meine, aus praktischer Erfahrung gewachsene Meinung.

Außerdem sollte man ja auch überlegen, dass wenn eine Sicherheitslücke in Amerika bekannt wird, sagen wir mal dort abends, dann ist es hier Nacht. Und wenn genau in dem Zeitrahmen zwischen Bekanntwerden der Lücke und unserem Lesen der Mail jemand sich reinhackt - OK, Pech, shit happens. Da ist dann vor allem die Sicherung der einzelnen Dienste und eine gute Backup-Strategie wichtig. IMHO sogar wichtiger als mehrmals täglich nach neuen Softwareversionen ausschau halten.

Zusätzlich sollte man noch beachten, dass viele Sicherheitslücken in, nennen wir sie mal ausgereifteren Programmen für mich bei weitem nicht so missionskritisch sind wie es einem manchmal erzählt wird. So ist auf Webservern eine Lücke in einer Datenbank, mit der sich ein unprivilegierter Shellnutzer alle vorhandenen Datenbanken anzeigen lassen kann nicht sonderlich kritisch, da ich keine Shellnutzer zulasse.

So, genug geredet.

Gruß,
Dominik

moe``
Posts: 12
Joined: 2004-02-25 15:33
Location: Siegen

Re: Was ist das Problem mit cron-apt?

Post by moe`` » 2005-03-19 22:51

die grösste "sicherheitslücke" sitzt eh immer vorm pc :>