das hört sich ja durchaus interessant an, hat es denn schon jemand in längerem gebrauch und kann was zur stabilität sagen?
Ich mein größtmögliche sicherheit ist gut, schön und notwendig, aber wenn die Büchsen dann nicht mehr stabil laufen dreht mir mein Auftraggeber den Hals um.
ist doch das man schnell auf Sicherheitslücken reagieren kann. Da bin ich jedesmal dankbar um apt-get Klappt das hier auch noch? Oder ist man auf schnelle Reaktion seitens Trusteddebian angewiesen? Ich denke der nächste Server wird mal damit installiert.
ach gerade gesehen: "Trusted Debian is based on Debian, it is not Debian and has no direct relation to the Debian project (yet)." Damit dürfte es klar sein.
Von Michael Flaig am Fr, 25. April 2003 um 12:02 #
Vorsicht: Es wird eine Woody vorausgesetzt, diese wird aber komplett ersetzt mit neuen packages. Die normalen Woody packages dürften zwar auf trusteddebian laufen, untergraben aber die sicherheit des systems.
lest euch bitte die doku zu trusteddebian durch, da wird beschrieben, wie sich das verhält. trusteddebian hat einen speziell gepatchten kernel und: alle packages von trusted debian sind speziell compiliert, um bei einem buffer overflow diesen zu erkennen und den angriff abzuwehren. Die normalen debian packages haben das nicht! Wer packages aus dem normalen woody installiert kann also gleich auf trusted debian verzichten, (zumindest wenn ich das richtig verstanden habe). interessant wäre, ob man sich sichere packages für trusted debian bauen kann, wenn man sich von debian das source package holt und mit dpkg-buildpackage durchcompiliert, oder ob die packages anpassungen benötigen, um sie mit den entsprechenden trusted-debian erweiterungen zu compilieren.
ich werd mir das auf jeden fall mal genau anschauen, da sich das ganze sehr interessant anhört.
Ich weiss nicht so recht, in letzter Zeit war ich etwas entäuscht über den Response des Debian-Security-Teams. Beispielsweise ist der ptrace-Bug erst offiziell für die MIPS-Architektur behoben. Für alle anderen heisst es da nur:
This advisory only covers kernel packages for the big and little endian MIPS architectures. Other architectures will be covered by separate advisories.
Und das ist jetzt einen Monat her. Natürlich hat es auf den Mailinglists Hinweise auf Patches und fertige Packages. Trotzdem warten jene, welche nur die Advisories abonniert haben oder einfach apt-get update, apt-get upgrade verwenden immer noch auf eine Lösung.
SuSE hat da leider auch etwas geschlampt. Sie haben zwar gepatchte Pakete und ein Advisory rausgebracht, aber YOU gibt keine Meldung, dass ein Update fällig wäre. Aber immerhin mehr als bei Debian.
die gefixten kernel sind in propsed-updates und in 3.0r1a, nicht aber auf security. automagisch kriegen das nur leute mit debian-ftp pools mit ueber. schade.
Erstmal, auch debian ist nur so sicher wie der admin was auf der Pfanne hat.
Natürlich kannst du debian von Hand mit diesen erweiterungen/verbesserungen versehen, nur landest du dann im endeffekt bei einem LFS das mal ein debian war (na ja, denke das kommt dem zumindest nahe), hier haben dir einfach leute die arbeit abgenommen alles selbst für stackguard neu zu kompilieren.
Das hat nichts damit zu tun ob debian selber recht sicher ist oder nicht, wohl eher damit das die Paketverwaltung sehr gut ist und grade auf Servern ihre volle Leistung ausspielen kann, daher eben auch eine größtmögliche sicherheit ohne dem admin seinen Job zu erschweren.
Von Michael Flaig am So, 27. April 2003 um 14:44 #
Hi,
ja Debian standard ist unsicher, wie alle GNU/Linux distributionen, da trusted debian scheinbar das erste? GNU/Linux projekt dieser art ist. Ich wüsste nicht, dass andere GNU/Linux distributionen bereits entsprechend gepatcht sind...
das hört sich ja durchaus interessant an, hat es denn schon jemand in längerem gebrauch und kann was zur stabilität sagen?
Ich mein größtmögliche sicherheit ist gut, schön und notwendig, aber wenn die Büchsen dann nicht mehr stabil laufen dreht mir mein Auftraggeber den Hals um.
Jens
ed/de/1.0.3/
Da bin ich jedesmal dankbar um apt-get
Klappt das hier auch noch?
Oder ist man auf schnelle Reaktion seitens Trusteddebian angewiesen?
Ich denke der nächste Server wird mal damit installiert.
ach gerade gesehen:
"Trusted Debian is based on Debian, it is not Debian and has no direct relation to the Debian project (yet)."
Damit dürfte es klar sein.
Grüße
Sturmkind
Die normalen Woody packages dürften zwar auf trusteddebian laufen, untergraben aber die sicherheit des systems.
lest euch bitte die doku zu trusteddebian durch, da wird beschrieben, wie sich das verhält.
trusteddebian hat einen speziell gepatchten kernel
und: alle packages von trusted debian sind speziell compiliert, um bei einem buffer overflow diesen zu erkennen und den angriff abzuwehren. Die normalen debian packages haben das nicht! Wer packages aus dem normalen woody installiert kann also gleich auf trusted debian verzichten, (zumindest wenn ich das richtig verstanden habe). interessant wäre, ob man sich sichere packages für trusted debian bauen kann, wenn man sich von debian das source package holt und mit dpkg-buildpackage durchcompiliert, oder ob die packages anpassungen benötigen, um sie mit den entsprechenden trusted-debian erweiterungen zu compilieren.
ich werd mir das auf jeden fall mal genau anschauen, da sich das ganze sehr interessant anhört.
stackguard
> packages für trusted debian bauen kann...
ja, fuer stackguard ist 'nur' eine re-compilierung des entsprechenden packages notwendig.
kann man nicht manuell debian sicherer machen?
diese neue Distribution vermuttlich auf Debian.
This advisory only covers kernel packages for the big and little endian MIPS
architectures. Other architectures will be covered by separate advisories.
Und das ist jetzt einen Monat her. Natürlich hat es auf den Mailinglists Hinweise auf Patches und fertige Packages. Trotzdem warten jene, welche nur die Advisories abonniert haben oder einfach apt-get update, apt-get upgrade verwenden immer noch auf eine Lösung.
SuSE hat da leider auch etwas geschlampt. Sie haben zwar gepatchte Pakete und ein Advisory rausgebracht, aber YOU gibt keine Meldung, dass ein Update fällig wäre. Aber immerhin mehr als bei Debian.
Natürlich kannst du debian von Hand mit diesen erweiterungen/verbesserungen versehen, nur landest du dann im endeffekt bei einem LFS das mal ein debian war
(na ja, denke das kommt dem zumindest nahe), hier haben dir einfach leute die arbeit abgenommen alles selbst für stackguard neu zu kompilieren.
Das hat nichts damit zu tun ob debian selber recht sicher ist oder nicht, wohl eher damit das die Paketverwaltung sehr gut ist und grade auf Servern ihre volle Leistung ausspielen kann, daher eben auch eine größtmögliche sicherheit ohne dem admin seinen Job zu erschweren.
Jens
ja Debian standard ist unsicher, wie alle GNU/Linux distributionen, da trusted debian scheinbar das erste? GNU/Linux projekt dieser art ist. Ich wüsste nicht, dass andere GNU/Linux distributionen bereits entsprechend gepatcht sind...
Gruß,
Michael Flaig