Reichen die apt-get updates?

[user996]

Hallo,

ich beschäftige mich zurzeit mit dem aktuell halten eines Debian Systems.
Mein Frage ist eigentlich nur, reicht es aus den server ueber apt-get update und upgrade aktuell zu halten (hiermit meine ich ob apt-get wirklich zuverlässig immer alles auf den neusten stand bringt) oder gibts noch weiter Sachen
die zu beachten sind.
Was mich desweitern noch interessieren würde gibt es Debian Security-Announce-Mailingliste wo in deutsch verfasst sind?

[thorsten]

Hi,

Hallo,

ich beschäftige mich zurzeit mit dem aktuell halten eines Debian Systems.
Mein Frage ist eigentlich nur, reicht es aus den server ueber apt-get update und upgrade aktuell zu halten (hiermit meine ich ob apt-get wirklich zuverlässig immer alles auf den neusten stand bringt)

Für die debian Seite ist das erstmal alles

oder gibts noch weiter Sachen die zu beachten sind.

Na klar, du mußt dein System schon von Hand sicherer konfigurieren als es ist. Ein Einstiegspunkt ist hier: http://www.debian.org/doc/manuals/secur ... ian-howto/

Wenn du am Paketsystem vorbei Software installierst - wie z.B. eine BoardSoftware oder ein CMS, dann mußt du da natürlich noch die sec-Meldungen lesen und die Installation absichern.
Out-of-the-box läuft viel, von Hause aus sicher sind die wenigsten Installationen - da mußt du Arbeit reinstecken.

Was mich desweitern noch interessieren würde gibt es Debian Security-Announce-Mailingliste wo in deutsch verfasst sind?

Nein, du kannst nur die englischen securuty-announce mails von Martin Schulze erhalten: http://lists.debian.org/debian-security-announce/

[user996]

http://www.debian.org/doc/manuals/secur ... ian-howto/

da werde ich morgen kräftig lesen :)

Thx fuer deine Antwort

Noch eine Frage zur Mailingliste, stehen da dann nur Updates drinne die
sowieso beim apt-get update geupdatetet werden oder welche weiter Informationen erhalte ich daraus?

[thorsten]

Auf der Seite ist doch ein link zu archivierten Mails - lies dir die mal durch.
Meistens gibt es auch eine CAN- Nummer zu dem Bug.

Willst du z.B. zu dem Security Announce DSA 622-1 (New htmlheadline) nähere Informationen bekommen, such z.B. hier danach:
http://icat.nist.gov/icat.cfm?cvename=CAN-2004-1181

Englisch ist die Sprache die du hier können mußt - da führt kein Weg dran vorbei.

[mausgreck]

reicht es aus den server ueber apt-get update und upgrade aktuell zu halten (hiermit meine ich ob apt-get wirklich zuverlässig immer alles auf den neusten stand bringt)

Also ich bin kein Freund von regelmäßigem apt-get upgrade. Jedes Software-Update stellt ein kleines, aber doch vorhandenes, Risiko dar. Ich update nur Software, wenn ich eine neue Version brauche, oder wenn es eine Sicherheitslücke gibt. debian-security-announce ist ein Muss, Englisch auch.

[thorsten]

reicht es aus den server ueber apt-get update und upgrade aktuell zu halten (hiermit meine ich ob apt-get wirklich zuverlässig immer alles auf den neusten stand bringt)

Also ich bin kein Freund von regelmäßigem apt-get upgrade. Jedes Software-Update stellt ein kleines, aber doch vorhandenes, Risiko dar. Ich update nur Software, wenn ich eine neue Version brauche, oder wenn es eine Sicherheitslücke gibt. debian-security-announce ist ein Muss, Englisch auch.

Benutzt du sarge oder woody?
Wenn du woody hast, hast du das System nicht verstanden...

[lufthansen]

http://www.symlink.ch/kolumnen/05/05/04/1654244.shtml

lest euch das mal durch mit kommentaren.
[/list]

[mausgreck]

Benutzt du sarge oder woody?

sarge & sid(am desktop)
(Der Originalposter spricht vom Aktuellhalten eines Debiansystems. Das schließt woody IMHO aus.)

[thorsten]

Wenn es für woody updates gibt, dann sind das in 90% der Fälle Sicherheitsupdates. Die restlich geschätzen 10% sind Bugfixe.
Somit sind also _sämtliche_ Pakete, die über die security Server kommen im eigenen Interesse zu installieren.

Ich verstehe unter aktuell halten nicht nur die neueste Version zu nutzen sondern die aktuellste gepatchte Version meiner Software. In woody gibt es in den major/minor Nummern keine Versionwechsel mehr.
Das ist ja der Grund warum es eingefroren wurde...

Ich habe noch nie länger einen debian Kernel benutzt, der ist in meinen Augen zum Installieren und ist danach durch einen aktuellen auszutauschen.
Außerdem packe ich andere Patche rein als das Debian Team.

Das es weder für sarge [1] noch sid ein security Team gibt, sind dort in jedem Fall mehr exploidable-Pakete vorhanden als in stable/woody - das ist außer Frage.

[1] eigentlich gibt es das schon, aber die Jungs stecken noch mitten in der Arbeit

[user996]

@Thorsten
Debian Sarge 3.1 *Testing*

[mausgreck]

Ich verstehe unter aktuell halten nicht nur die neueste Version zu nutzen sondern die aktuellste gepatchte Version meiner Software. In woody gibt es in den major/minor Nummern keine Versionwechsel mehr.
Das ist ja der Grund warum es eingefroren wurde...

Und der Grund, dass es für mich unbrauchbar ist...

Ich habe noch nie länger einen debian Kernel benutzt, der ist in meinen Augen zum Installieren und ist danach durch einen aktuellen auszutauschen.
Außerdem packe ich andere Patche rein als das Debian Team.

Hast du schon jemals Probleme mit dem default Kernel gehabt? Ich nicht.

Das es weder für sarge [1] noch sid ein security Team gibt, sind dort in jedem Fall mehr exploidable-Pakete vorhanden als in stable/woody - das ist außer Frage.

Ich kann mich nicht erinnern, dass auch nur einmal Security-Breaches nicht sofort in sid gefixt wären. Zumindest die für mich relevanten.

User996: apt-get upgrade hilft in diesem Fall *nicht*. Siehe auch anderen Thread in diesem Forum.

[thorsten]

Ich verstehe unter aktuell halten nicht nur die neueste Version zu nutzen sondern die aktuellste gepatchte Version meiner Software. In woody gibt es in den major/minor Nummern keine Versionwechsel mehr.
Das ist ja der Grund warum es eingefroren wurde...

Und der Grund, dass es für mich unbrauchbar ist...

Und für mcih der Grund es einzusetzen.

Ich habe noch nie länger einen debian Kernel benutzt, der ist in meinen Augen zum Installieren und ist danach durch einen aktuellen auszutauschen.
Außerdem packe ich andere Patche rein als das Debian Team.

Hast du schon jemals Probleme mit dem default Kernel gehabt? Ich nicht.

Hast du schonmal Probleme mit einem eigenen Kernel gehabt? Ich noch nicht und ich benutze Linux nun seit 6 Jahren.

Das es weder für sarge [1] noch sid ein security Team gibt, sind dort in jedem Fall mehr exploidable-Pakete vorhanden als in stable/woody - das ist außer Frage.

Ich kann mich nicht erinnern, dass auch nur einmal Security-Breaches nicht sofort in sid gefixt wären. Zumindest die für mich relevanten.

sid kommt für mich im Serverbetrieb überhaupt nicht in Frage!
Allein das Spamassassinn Update neulich in sarge hat durch den Sprung auf 3.x viele schreien lassen, weil deren 2.xer configs nicht mehr liefen.
Bei sid ist das noch viel extremer.

Wenn man nur 1-2 Server hat, kann man das verschmerzen. Wenn man mehrere Server administriert und täglich schaut wann welches Paket in sarge aufgenommen wird, dann kann man das auch verschmerzen.
Das setzt aber voraus, dass man dafür Zeit hat. Ich muß mich auch um andere Sachen kümmern und bin daher froh, dass ich woody benutzen kann.

[mausgreck]

und ich benutze Linux nun seit 6 Jahren.

You can't teach an old dog new tricks.
Da du bis jetzt nicht mehr als "Das geht doch nicht!!!" hervorgebracht hast, und es sowieso OT ist, lassen wir die Diskussion lieber bleiben...

[thorsten]

Du kannst meine Antworten gerne aus dem Kontext reißen und für dich und diesen blöden Spruch benutzen.
Aber du brauchst nun nicht zu denken, dass du nun recht hast.

Wer mit Linux Systemen arbeitet, kann jeden Tag was dazulernen (und das tue ich, weil ich eben 'neue Tricks' zu lernen bereit bin).
EOT