* Michael Heydekamp <[EMAIL PROTECTED]> wrote:
> IMO w�re dann erstmal Steve am Zug, seine Position zu begr�nden, und
> anschliessend Martin, diese Begr�ndung zu zerpfl�cken oder ihr ggf.
> zuzustimmen.
Ich war der Meinung, meine Position bereits mehrfach dargestellt zu
haben. Wenn das nicht ausreichend klar durchgedrungen ist, tut es mir
leid. Hier also nochmal kurz um b�ndig:
Sarge ist die aktuelle Testing-Version von Debian GNU/Linux. Debian
br�stet sich damit, ein besonders stabiles und sicheres Linux zu bauen
(weshalb der stable-Ableger, woody, im Volksmund auch als
'asbach-uralt') gilt. Es gibt mindestens drei M�glichkeiten, dieser
alten Software zu entgehen:
(a) backports, d.h., neue Programme auf die Abh�ngigkeiten der alten
Version woody kompilieren,
(b) selber kompilieren, oder
(c) ein neues Debian (testing = sarge, oder unstable = sid) zu
verwenden.
Es kann durchaus kompliziert sein, eine FreeXP-Support-Struktur mit der
~zwei Jahre alten Software von woody aufzubauen. Vermutlich daher hat
sich Martin f�r sarge entschieden.
Sarge bringt nun wiederum den Nachteil mit sich, dass es daf�r keine
Security-Updates vom Security-Team gibt. Diese gibt es nur in Debian
woody. Das hei�t f�r den Administrator, er mu� sich selber um die
sicherheitstechnischen Belange des Servers k�mmern (wovon ihn nat�rlich
auch woody nicht entbindet). Es steht sicher au�er Frage, dass Martin da
nicht auf den Kopf gefallen ist und alles tut, um seinen Server zu
sch�tzen (der ja auch eigene private Zwecke f�r ihn erf�llt). Trotzdem
gibt es kaum sicherheitsrelevante Anleitungen und Texte, in denen nicht
darauf hingewiesen wird, m�glichst wenig Informationen vom System
preiszugeben, um etwaigen Angreifern nicht unn�tig Angriffsfl�che zu
bieten. Erst k�rzlich bin ich unsanft darauf hingewiesen worden, dass
schon meine Systeminformation mit OS-Version zu aussagekr�ftig sei. Eine
�hnliche Diskussion hat es mal in Crosspoint-Kreisen gegeben, als es
darum ging, ob man das genutzte OS im User-Agent unterbringt.
Ich will in der Hinsicht auch nicht �bervorsichtig sein, ich wei� aber
auch, wie schnell bei meinen Servern nach Bekanntwerden von
Sicherheitsl�cken die ersten Angreifer aufschlagen und versuchen,
ebendiese L�cken auszunutzen. Zwischen meinen Servern und denen von
FreeXP besteht jedoch ein ma�geblicher Unterschied: ich hoste lediglich
ein paar Einzelseiten einiger Leute/Kunden, w�hrend die Server von
FreeXP eine ganze Infrastruktur bereitstellen. Daraus w�rde ich
schlu�folgern, dass das Interesse eines Angreifers an FreeXP wesentlich
h�her anzusiedeln ist, als an meinen unbekannten Servern.
Gucken wir uns z.B. den Webserver an (vorsicht, ggf. lange Zeilen):
,----
| Apache/2.0.49 (Debian GNU/Linux) Server at www.martinwodrich.de Port 80
`----
Und erinnern wir uns daran, dass es f�r sarge keine Sicherheitsupdates
gibt:
,----
| Apache/2.0.50 (FreeBSD) PHP/4.3.8 mod_ssl/2.0.50 OpenSSL/0.9.7d Server at
zeus.crashmail.de Port 80[1]
`----
Eine neuere Version ist zwangsl�ufig kein Garant daf�r, dass der Fehler
dort behoben ist, bzw. auch eine �ltere Version k�nnte gegen den Fehler
gepatcht sein, aber die Chance, dass Martin mal einige Tage nicht
verf�gbar ist, ist doch immerhin gegeben. Die o.a. Version ist
jedenfalls nicht unanf�llig gegen Angriffe[2]. Und ja, man kann einen
Server nie 100% sicher halten und ja, es ist 'nur' ein privates Projekt,
aber ich bleibe nach wie vor auf dem Standpunkt, dass Technik-Infos in
dieser Detailtreue ein unn�tiges Schmankerl f�r Skript-Kiddies
darstellt, zumal die Infos bei google abrufbar sind.
Ich m�chte keinesfalls in die Entscheidung seitens FreeXP eingreifen und
ich m�chte ebenfalls keinesfalls nur bl�d rumst�nkern, wie mir ganz
gerne mal vorgeworfen wird. Ich m�chte lediglich meine Ansicht zu
sicherheitstechnischen Aspekten darstellen, bevor irgendwas passiert und
man sich dann fragen lasse mu� "Warum haste nicht gleich bescheid
gesagt".
Footnotes:
[1] Privater Server, der lediglich ein paar Spielzeuge f�r mich privat
hostet und daher keinem Sicherheitskonzept unterliegt
[2] http://www.tecchannel.de/sicherheit/reports/3217.html
--
By(t)e,
Steve /\ http://www.crashmail.de
GnuPG/PGP: 0x9B6C7E15, encrypted mail prefered, see header
------------------------------------------------------------------------
FreeXP Support-Mailingliste
[EMAIL PROTECTED]
http://www.freexp.de/cgi-bin/mailman/listinfo/support-list
