Von NichtAllesNegativSeher am Do, 10. März 2016 um 13:57 #
Debian, für mich ein Enterprise Produkt, das ich zuhause nutzen kann. Bin zwar schon bei Version 7 angelangt, aber vorher war es 6. Leicht zu händeln, robust, aussagekräftige Fehlermeldungen. Laaangzeitunterstützung durch Upgradefähigkeit, professioneller Support im Internet oder der lokalen Community.
Ich bin seit Debian 3 dabei, und es war mir immer ein Genuss. Ab und an gehe ich schon mal fremd, aber ich verliere die beste Distribution nie aus den Augen ;).
Für mich war GNU/Linux Debian für Server immer die Distribution der Wahl.
Durch meinen neuen Arbeitgeber habe ich RHEL und deren Ableger SL/CentOS kennengelernt und muss sagen, dass Red Hat + Klone für mich noch stabiler und sauberer/standardkonformer wirken. Im Enterprise-Segment trifft man häufiger auf RHEL/SLES als auf Debian, zumindest empfinde ich es so.
Hinzu kommt, dass ich bei RHEL + Klone knapp 10 Jahre Updates bzw. zumindest Patches bekomme, bei Debian waren es mal "nur" 3 Jahre, jetzt immerhin 5 Jahre.
Mittlerweile betreibe ich neben GNU/Linux Debian die ersten CentOS 7-Installationen und bin sehr zufrieden damit.
"Die veröffentlichten Sicherheitsupdates werden aber weiterhin auf security.debian.org verfügbar bleiben."
Ist das wirklich noch so? Die betreffenden Updates stammen ja jüngstens aus 2014, während die aktuelleren Squeeze LTS-Security-Updates von 2014 bis 2016 sich bereits auf archive.debian.org befinden.
Aktuell sind die entsprechenden Dateien und Verzeichnisse noch auf security.debian.org zu finden. Das wird aber nicht immer so bleiben. Die Dateien von Lenny z.B. sind schon lange weg.
Hier die sources.list von unseren letzten verbliebenen Squeeze-Server:
deb http://archive.debian.org/debian/ squeeze main non-free contrib deb-src http://archive.debian.org/debian/ squeeze main non-free contrib
deb http://security.debian.org/ squeeze/updates main contrib non-free deb-src http://security.debian.org/ squeeze/updates main contrib non-free
# squeeze-updates, previously known as 'volatile' #deb http://archive.debian.org/debian/ squeeze-updates main contrib non-free #deb-src http://archive.debian.org/debian/ squeeze-updates main contrib non-free
deb http://backports.debian.org/debian-backports squeeze-backports main deb-src http://backports.debian.org/debian-backports squeeze-backports main
# PostgreSQL deb http://apt.postgresql.org/pub/repos/apt squeeze-pgdg main
deb http://opensource.wandisco.com/debian squeeze svn17
# LTS #deb http://ftp.de.debian.org/debian/ squeeze-lts main contrib non-free #deb-src http://ftp.de.debian.org/debian/ squeeze-lts main contrib non-free deb http://archive.debian.org/debian/ squeeze-lts main contrib non-free deb-src http://archive.debian.org/debian/ squeeze-lts main contrib non-free
Ob er noch bis Ostern oder Weihnachten für uns arbeiten wird? Wird halt 24/7 benötigt ...
Falls dieser Server am Internet hängt und falls Ihr das squeezeeigene Openssl benutzt, so wird es vermutlich keinen Monat dauern, bis der Server kompromittiert ist.
Das hier https://www.openssl.org/news/secadv/20160301.txt wurde in Squeeze nicht mehr gefixt.
In openssl_0.9.8o-4squeeze23_i386.deb (i.e. die letzte Squeeze-LTS-Version) ist zudem kein einziges 2016er-CVE gepatcht worden.
Oder patcht Ihr Squeeze jetzt selbst? Wobei ein sauberer Openssl-Backport für Squeeze auch nicht gerade einfach ist: Nur ein kleiner Fehler im gepatchten Code kann ein anderes Sicherheitsloch aufreißen, gerade der Debian-Openssl-Maintainer kann hiervon ein Lied singen.
Ich will mit diesem Posting nur verhindern, dass ein Otto Normalnutzer Dein Posting liest und Deinem Beispiel im Hinblick auf seine eigene Internetrechnerdesktopkiste folgt.
Von .,-.,-.,-.,-.,-.,-., am Sa, 12. März 2016 um 23:43 #
Heftig. Das konterkariert ja gewissermaßen das unerschütterliche Debian-Vertrauen Deines direkten Vorposters, das so klingt, als hätten die Debian-Entwickler niemals gesagt, dass Squeeze jetzt wirklich EOL ist.
Um das Debianarchiv und einige wenige Fremd-Apt-Repos zu erreichen, muss die EOL-Distro ans Internet angeschlossen sein. Dann bleibt nur die Frage, wie sich ein solches nicht aktualisiertes, fehlerhaftes Openssl-Paket direkt auf die Systemsicherheit auswirken kann.
Wie dem auch sei: Hier habe ich einen Anbieter, den ich nicht persönlich kenne, gefunden, der aktualisierte Openssl-Pakete samt Sourcen für Squeeze und Lenny anbietet: https://www.anexia-it.com/blog/de/drown-debian-pakete-fuer-squeeze-und-lenny-und-check-script/
Debian, für mich ein Enterprise Produkt, das ich zuhause nutzen kann. Bin zwar schon bei Version 7 angelangt, aber vorher war es 6. Leicht zu händeln, robust, aussagekräftige Fehlermeldungen. Laaangzeitunterstützung durch Upgradefähigkeit, professioneller Support im Internet oder der lokalen Community.
Danke.
Schließe mich meinem Mitforisten an.
Meine 6erLive bleibt auch in meinem CD-Archiv. Für ein Bastelprojekt immer wieder gerne, weils läuft.
Ich bin seit Debian 3 dabei, und es war mir immer
ein Genuss. Ab und an gehe ich schon mal fremd, aber
ich verliere die beste Distribution nie aus den Augen ;).
Danke für ALLES!!
Für mich war GNU/Linux Debian für Server immer die Distribution der Wahl.
Durch meinen neuen Arbeitgeber habe ich RHEL und deren Ableger SL/CentOS kennengelernt und muss sagen, dass Red Hat + Klone für mich noch stabiler und sauberer/standardkonformer wirken. Im Enterprise-Segment trifft man häufiger auf RHEL/SLES als auf Debian, zumindest empfinde ich es so.
Hinzu kommt, dass ich bei RHEL + Klone knapp 10 Jahre Updates bzw. zumindest Patches bekomme, bei Debian waren es mal "nur" 3 Jahre, jetzt immerhin 5 Jahre.
Mittlerweile betreibe ich neben GNU/Linux Debian die ersten CentOS 7-Installationen und bin sehr zufrieden damit.
Vielleicht ist jmd. einen ähnlichen Weg gegangen?
Ja, wir hier in der IT der Uni
"Die veröffentlichten Sicherheitsupdates werden aber weiterhin auf security.debian.org verfügbar bleiben."
Ist das wirklich noch so?
Die betreffenden Updates stammen ja jüngstens aus 2014, während die aktuelleren Squeeze LTS-Security-Updates von 2014 bis 2016 sich bereits auf archive.debian.org befinden.
Aktuell sind die entsprechenden Dateien und Verzeichnisse noch auf security.debian.org zu finden.
Das wird aber nicht immer so bleiben. Die Dateien von Lenny z.B. sind schon lange weg.
Hier die sources.list von unseren letzten verbliebenen Squeeze-Server:
deb http://archive.debian.org/debian/ squeeze main non-free contrib
deb-src http://archive.debian.org/debian/ squeeze main non-free contrib
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
# squeeze-updates, previously known as 'volatile'
#deb http://archive.debian.org/debian/ squeeze-updates main contrib non-free
#deb-src http://archive.debian.org/debian/ squeeze-updates main contrib non-free
deb http://backports.debian.org/debian-backports squeeze-backports main
deb-src http://backports.debian.org/debian-backports squeeze-backports main
# PostgreSQL
deb http://apt.postgresql.org/pub/repos/apt squeeze-pgdg main
deb http://opensource.wandisco.com/debian squeeze svn17
# LTS
#deb http://ftp.de.debian.org/debian/ squeeze-lts main contrib non-free
#deb-src http://ftp.de.debian.org/debian/ squeeze-lts main contrib non-free
deb http://archive.debian.org/debian/ squeeze-lts main contrib non-free
deb-src http://archive.debian.org/debian/ squeeze-lts main contrib non-free
Ob er noch bis Ostern oder Weihnachten für uns arbeiten wird?
Wird halt 24/7 benötigt ...
Falls dieser Server am Internet hängt und falls Ihr das squeezeeigene Openssl benutzt, so wird es vermutlich keinen Monat dauern, bis der Server kompromittiert ist.
Das hier
https://www.openssl.org/news/secadv/20160301.txt
wurde in Squeeze nicht mehr gefixt.
In openssl_0.9.8o-4squeeze23_i386.deb (i.e. die letzte Squeeze-LTS-Version) ist zudem kein einziges 2016er-CVE gepatcht worden.
Oder patcht Ihr Squeeze jetzt selbst? Wobei ein sauberer Openssl-Backport für Squeeze auch nicht gerade einfach ist: Nur ein kleiner Fehler im gepatchten Code kann ein anderes Sicherheitsloch aufreißen, gerade der Debian-Openssl-Maintainer kann hiervon ein Lied singen.
Ich will mit diesem Posting nur verhindern, dass ein Otto Normalnutzer Dein Posting liest und Deinem Beispiel im Hinblick auf seine eigene Internetrechnerdesktopkiste folgt.
Heftig. Das konterkariert ja gewissermaßen das unerschütterliche Debian-Vertrauen Deines direkten Vorposters, das so klingt, als hätten die Debian-Entwickler niemals gesagt, dass Squeeze jetzt wirklich EOL ist.
Um das Debianarchiv und einige wenige Fremd-Apt-Repos zu erreichen, muss die EOL-Distro ans Internet angeschlossen sein. Dann bleibt nur die Frage, wie sich ein solches nicht aktualisiertes, fehlerhaftes Openssl-Paket direkt auf die Systemsicherheit auswirken kann.
Wie dem auch sei: Hier habe ich einen Anbieter, den ich nicht persönlich kenne, gefunden, der aktualisierte Openssl-Pakete samt Sourcen für Squeeze und Lenny anbietet:
https://www.anexia-it.com/blog/de/drown-debian-pakete-fuer-squeeze-und-lenny-und-check-script/
Weiter viel Spaß beim Squeeze-Hacking!