[linux-l] *BSD und Linux (war: smfs 2GB )

[Jan Krueger]

On Monday 15 September 2003 12:01, Ralph Angenendt wrote:
> Jan Krueger wrote:
> > Was ich ebenfalls gut finde sind die vorhersagbaren Wartungszyklen die
> > man als Admin einplanen kann oder muß. Desweiteren die geringe Anzahl an
> > updates welche man zwischendurch enspielen muß. Diese Anzahl ist bei
> > OpenBSD halt noch in wenig kleiner als bei FreeBSD.
>
> <http://openbsd.org/security.html#33> (und weiter die Seite runter) ist
> dir aber bekannt, ja? Und das ist *nur* das Kernsystem, da ist nichts
> dabei, was du irgendwie aus dem Portstree hast.

Jaja, schon klar. Das ist was ich brauche. Ein gesundes Kernsystem. Und da 
kommen dan genau die Dienste drauf die ich anbieten möchte, ebenfalls gesunde 
Dienste. Wenn ich mir die Liste bei den Linux-Distries anschaue..., dann ist 
die Liste von OpenBSD 3.3 Security Problemen recht kurz: 3 Einträge in 5 
Monaten. Von diesen hätte ich bei genau 2 die Notwendigkeit zum handeln 
gesehen. Bei einem der beiden wäre ein Neustart notwendig gewesen. Ein 
Neustart in 5 Monaten klingt für mich recht gut.

Eine ganze Reihe der weiteren Einträge sind auf mitdazugepackte Dienste 
bezogen die ich nicht verwende: bind, sendmail, lpd, usw., oder auf Dinge die 
sowieso alle verwenden: openssl, httpd.

Also bleibt eine gesunde Betriebsbasis.

bugtraq (http://www.securityfocus.com/bid/vendor)/ Einträge (alle) seit dem 
1.6.1999: (und seit dem 1.1.2003 in Klammern)
OpenBSD: 85 (24)
RedHat: 220 (bei 40 hab ich aufgehört zu zählen ...)
Linux: 78 (22)
Debian: 72 (10)
FreeBSD: 139 (28)

Und wenn ich dann das wegstreiche, was mich nicht interessiert, weil ich es 
nicht verwende schlägt sich OpenBSD ganz wacker.
Die geringen Debian-Werte sind verwunderlich. Mal sehen, was Debian.org dazu 
sagt: http://www.debian.org/security/2003/ Sage und schreibe 163 Stück!
Also wer Debian verwendet wird mit bugtraq nicht glücklich...
Bei RedHat schau ich mal lieber nicht nach ... sonst krieg ich noch Panik, 
immerhin habe ich 2 noch nicht OpenBSD-Rechner am Netz ..., kein RedHat, kein 
Debian, aber wer weiß...
Hierbei ist auch zu beachten, daß Debian einen ganz anderen Umfang hat als 
OpenBSD. Nur diesen Umfang brauch ich halt nicht, müßte als admin aber doch 
jedesmal überprüfen: triffts mich oder triffts mich nicht?

> Seit dem OpenSSH-Debakel und der (IMNSHO) unnötigen Pusherei von
> Privilege-Separation durch den Mountainbiker *bevor* vernünftig bekannt
> gegeben wurde, dass es sehr simple Workarounds für das Problem gibt, ist
> mir so ziemlich alles, was von Theo kommt, ziemlich suspekt.
Ich bin sehr glücklich, daß es openssh gibt. Wenn es eine bessere Alternative 
gäbe, wäre ich natürlich noch glücklicher, nur sehe ich nicht die 
Notwendigkeit. Da OpenSSH quasi das Monopol hat kommt es natürlich zu solchen 
Effekten. Ungefähr genauso schlimm ist es, wenn im apache etwas kritisches 
auftaucht, dann sind ziemlich viele dran ...
Auch muß man privilege separation ja gar nicht verwenden. Ich verwende es 
nicht. Wozu auch?

> Nein, erstmal mußte alles auf die gepushte Version umsteigen (was dann
> unter Linux bei 2.2er Kerneln einiges kaputt gemacht hat), was bei
> etlichen Distributoren ob der schlechten Politik für ziemliche Aufregung
> gesorgt hat.
Der Mountainbiker kümmert sich nicht um sowas. Wär mir auch egal was die 
vendors machen. Sie müssen ja OpenSSH nicht integrieren.
Und wenn Berlin Mointains hätte, wär ich auch noch Mountainbiker... :)

> Und das mit dem "einen" remote Hole, mit dem man root-Rechte bekommt:
> Local Holes gab es zu genüge - dann mußte halt nur noch ein Dienst ein
> Loch aufweisen, welcher es einem erlaubte "normaler" User auf der
> Maschine zu werden. Aber das zählt ja nicht als "remote root
> compromise".
Die Einschränkung geht ja noch weiter "remote hole in the default 
installation". Da in der default installation außer sendmail und ssh quasi 
nix läuft ist das ja korrekt. Was der admin da aus der ferne ausbeutbares 
hinzupackt liegt beim admin. Local holes haben alle noch und nöcher, auch 
linux, das ist kein Geheimnis.

Gruß
Jan