[linux-l] *BSD und Linux (war: smfs 2GB )
Jan Krueger
jk at microgalaxy.net
Mo Sep 15 14:05:57 CEST 2003
On Monday 15 September 2003 12:01, Ralph Angenendt wrote:
> Jan Krueger wrote:
> > Was ich ebenfalls gut finde sind die vorhersagbaren Wartungszyklen die
> > man als Admin einplanen kann oder muß. Desweiteren die geringe Anzahl an
> > updates welche man zwischendurch enspielen muß. Diese Anzahl ist bei
> > OpenBSD halt noch in wenig kleiner als bei FreeBSD.
>
> <http://openbsd.org/security.html#33> (und weiter die Seite runter) ist
> dir aber bekannt, ja? Und das ist *nur* das Kernsystem, da ist nichts
> dabei, was du irgendwie aus dem Portstree hast.
Jaja, schon klar. Das ist was ich brauche. Ein gesundes Kernsystem. Und da
kommen dan genau die Dienste drauf die ich anbieten möchte, ebenfalls gesunde
Dienste. Wenn ich mir die Liste bei den Linux-Distries anschaue..., dann ist
die Liste von OpenBSD 3.3 Security Problemen recht kurz: 3 Einträge in 5
Monaten. Von diesen hätte ich bei genau 2 die Notwendigkeit zum handeln
gesehen. Bei einem der beiden wäre ein Neustart notwendig gewesen. Ein
Neustart in 5 Monaten klingt für mich recht gut.
Eine ganze Reihe der weiteren Einträge sind auf mitdazugepackte Dienste
bezogen die ich nicht verwende: bind, sendmail, lpd, usw., oder auf Dinge die
sowieso alle verwenden: openssl, httpd.
Also bleibt eine gesunde Betriebsbasis.
bugtraq (http://www.securityfocus.com/bid/vendor)/ Einträge (alle) seit dem
1.6.1999: (und seit dem 1.1.2003 in Klammern)
OpenBSD: 85 (24)
RedHat: 220 (bei 40 hab ich aufgehört zu zählen ...)
Linux: 78 (22)
Debian: 72 (10)
FreeBSD: 139 (28)
Und wenn ich dann das wegstreiche, was mich nicht interessiert, weil ich es
nicht verwende schlägt sich OpenBSD ganz wacker.
Die geringen Debian-Werte sind verwunderlich. Mal sehen, was Debian.org dazu
sagt: http://www.debian.org/security/2003/ Sage und schreibe 163 Stück!
Also wer Debian verwendet wird mit bugtraq nicht glücklich...
Bei RedHat schau ich mal lieber nicht nach ... sonst krieg ich noch Panik,
immerhin habe ich 2 noch nicht OpenBSD-Rechner am Netz ..., kein RedHat, kein
Debian, aber wer weiß...
Hierbei ist auch zu beachten, daß Debian einen ganz anderen Umfang hat als
OpenBSD. Nur diesen Umfang brauch ich halt nicht, müßte als admin aber doch
jedesmal überprüfen: triffts mich oder triffts mich nicht?
> Seit dem OpenSSH-Debakel und der (IMNSHO) unnötigen Pusherei von
> Privilege-Separation durch den Mountainbiker *bevor* vernünftig bekannt
> gegeben wurde, dass es sehr simple Workarounds für das Problem gibt, ist
> mir so ziemlich alles, was von Theo kommt, ziemlich suspekt.
Ich bin sehr glücklich, daß es openssh gibt. Wenn es eine bessere Alternative
gäbe, wäre ich natürlich noch glücklicher, nur sehe ich nicht die
Notwendigkeit. Da OpenSSH quasi das Monopol hat kommt es natürlich zu solchen
Effekten. Ungefähr genauso schlimm ist es, wenn im apache etwas kritisches
auftaucht, dann sind ziemlich viele dran ...
Auch muß man privilege separation ja gar nicht verwenden. Ich verwende es
nicht. Wozu auch?
> Nein, erstmal mußte alles auf die gepushte Version umsteigen (was dann
> unter Linux bei 2.2er Kerneln einiges kaputt gemacht hat), was bei
> etlichen Distributoren ob der schlechten Politik für ziemliche Aufregung
> gesorgt hat.
Der Mountainbiker kümmert sich nicht um sowas. Wär mir auch egal was die
vendors machen. Sie müssen ja OpenSSH nicht integrieren.
Und wenn Berlin Mointains hätte, wär ich auch noch Mountainbiker... :)
> Und das mit dem "einen" remote Hole, mit dem man root-Rechte bekommt:
> Local Holes gab es zu genüge - dann mußte halt nur noch ein Dienst ein
> Loch aufweisen, welcher es einem erlaubte "normaler" User auf der
> Maschine zu werden. Aber das zählt ja nicht als "remote root
> compromise".
Die Einschränkung geht ja noch weiter "remote hole in the default
installation". Da in der default installation außer sendmail und ssh quasi
nix läuft ist das ja korrekt. Was der admin da aus der ferne ausbeutbares
hinzupackt liegt beim admin. Local holes haben alle noch und nöcher, auch
linux, das ist kein Geheimnis.
Gruß
Jan
Mehr Informationen über die Mailingliste linux-l