PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Debian Sarge oder Woody, ich weis nicht weiter



binary trust
01.02.05, 13:05
Hi,

ich stehe nun kurz vor der entscheidung welches os ich auf unseren rootserver packe. problem ist das das woody total veraltete packete hat, dafür allerdings was sicherheitsupdates angeht super gepflegt wird. sarge hat relativ aktuelle packete in dem stable zweig und wird allerdings was security fixes angeht vernachlässigt (richtig?). in der debian doku stand das man für produktivssyteme eigentlich nur woody verwenden sollte. nun weis ich nichtmehr weiter, da ich vor den zwei alternativen ein fast unbrauchbares system mit alter software oder eines mit sicherheitslücken stehe.

dienste die auf denn server laufen müssen sind:
apache2
ssl
php
mysql
postfix
cyrus

gut, bei punkt 1 geht es dann auchschon los das woody aussteigt. so wie ich das gesehen habe gibt es keinen apache2. hab auch von der backportlösung gehört, aber wie sieht es denn dann mit security fixes aus? ich brauch ein sicheres und stabliles system, möchte aber auch nicht auf total veraltete packete zugreifen müssen. welche lösungen hab ich denn in diesen fall für debian? weis eigentlich jemand wann endlich sarge als officielles release freigegeben wird?

danke

gruß
bianry

Tomek
01.02.05, 13:12
ich stehe nun kurz vor der entscheidung welches os ich auf unseren rootserver packe. problem ist das das woody total veraltete packete hat, dafür allerdings was sicherheitsupdates angeht super gepflegt wird. sarge hat relativ aktuelle packete in dem stable zweig und wird allerdings was security fixes angeht vernachlässigt (richtig?).
Ja, Security-Updates für Sarge gibt es momentan sporadisch. Manchmal dauerts nur ein paar Tage, manchmal länger. Jedoch sind die typischen Pakete für ein LAMP-System in Sarge momentan nicht gefährdet.


gut, bei punkt 1 geht es dann auchschon los das woody aussteigt. so wie ich das gesehen habe gibt es keinen apache2. hab auch von der backportlösung gehört, aber wie sieht es denn dann mit security fixes aus? ich brauch ein sicheres und stabliles system, möchte aber auch nicht auf total veraltete packete zugreifen müssen. welche lösungen hab ich denn in diesen fall für debian?
Man kann auch ein Debian Woody mit aktuelleren Paketen betreiben. backports.org (http://www.backports.org/) bietet zahlreiche aktualisierte Pakete an, z.B. auch Apache2. Dort werden ebenfalls Sicherheitsupdates für die Pakete bereitgestellt. D.h. du gehst hier kein Risiko ein.


weis eigentlich jemand wann endlich sarge als officielles release freigegeben wird?
Nein, das ist momentan noch völlig ungewiss.

Meiner Meinung nach kannst du aber jetzt bereits Systeme mit Sarge installieren und betreiben.

binary trust
01.02.05, 13:16
mein größstes problem ist das der server beim provider direkt im netz hängt und ich daher keine möglichkeit habe ihrgendeien art von schutz vor dem rechner zu betreiben.

bislang habe ich einen suse 9.0 im einsatz, denn ich aber gerne durch die kommende debianlösung ersetzen würde. wenn man nun debian sarge im security update mit suse vergleicht ist das dann wirklich viel schlimmer?

die wichtigsten punkte sind wie bereits geschieben
webserver und mailserver. alles andere wird von iptables gedropped.

Tomek
01.02.05, 13:29
bislang habe ich einen suse 9.0 im einsatz, denn ich aber gerne durch die kommende debianlösung ersetzen würde. wenn man nun debian sarge im security update mit suse vergleicht ist das dann wirklich viel schlimmer?
So ein Vergleich macht keinen Sinn und funktioniert auch nicht. :confused:

Das System ist erstmal nur so sicher, wie du es installierst und konfigurierst. Und das ist bei den meisten "Administratoren" die größe Sicherheitslücke/Schwachstelle.


die wichtigsten punkte sind wie bereits geschieben
webserver und mailserver. alles andere wird von iptables gedropped.
Und? Übrigens: Man sollte bei iptables unerwünschte Verbindungen nicht "droppen", sondern "rejecten".

binary trust
01.02.05, 13:35
Und? Übrigens: Man sollte bei iptables unerwünschte Verbindungen nicht "droppen", sondern "rejecten".

Warum denn das?

Tomek
01.02.05, 13:40
http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject