PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : php5.2.5 unter etch .. selbst kompilieren ?



jan_dortmund
07.12.07, 09:55
hallo zusammen,

mittels
apt-get install php5
wird unter etch ja nur die version 5.2.0-8 von php installiert.

was ist wenn man die aktuelle 5.2.5 haben will ?

muss man diese unter jeden umständen bei debian selbst kompilieren ? configure..make..make install etc.. ?


viele grüße
jan

PierreS
07.12.07, 09:57
Für Debian gibt es doch das tolle dotdeb Repo.

marce
07.12.07, 09:57
Evtl. findest Du ein *.deb oder eine Paketquelle, wo die gewünschte Version enthalten ist.

Selbst bauen geht natürlich auch - Patches musst Du dann halt immer manuell nachziehen.

Die Frage ist aber eher: brauchst Du diese Version wirklich?

jan_dortmund
07.12.07, 10:04
von der debian 5.2.0.8 zur 5.2.5 wurden einige wichtige lücken geschlossen..

wie und wo suche ich nach diesen 'fertigen' .deb ?

marce
07.12.07, 10:10
Die Sicherheitspatches werden von Debian in die "alten" Versionen eingepflegt - deswegen musst Du also nicht die neue Version installieren. Die brauchst Du nur, wenn darin neue, von Dir benötigte Features enthalten sind. Da dürfte es aber in der 5er-Reihe AFAIK nichts geben.

jan_dortmund
07.12.07, 10:13
das heisst mit einem
apt-get upgrade kann ich immer davon ausgehen , das debian - relativ zeitnah - alle patches einpflegt obwohl in der phpinfo ausgabe die alte versionsnummer steht ??

marce
07.12.07, 10:15
Genau. Mehr Infos dazu findest Du auf der debian-Seite...

jan_dortmund
07.12.07, 10:22
wenn ich das richtig sehe, wurde seitens debian zuletzt am 17. august php upgedatet..
womit somit die aktualisierungen von 5.2.4 (august 2007) und 5.2.5 (8.nov2007) fehlen würden ?!

marce
07.12.07, 10:26
(1) möglich
(2) evtl. ist die Version von Debian nicht betroffen
(3) evtl. keine Sscherheitsrelevanten Patches

... auch dazu findest Du sicherlich mehr auf der Debian-Seite - es sollte da sowohl eine Bugmailingliste, eine Bugreportsystem und ähnliches geben.

-> jaja, als ServerAdmin hat man viel zu lesen und zu forschen.

jan_dortmund
07.12.07, 10:31
ja habe ich nachgeschaut.. sieht so aus wie ich gesagt habe :-/


Selbst bauen geht natürlich auch - Patches musst Du dann halt immer manuell nachziehen.

darf ich dich dahingehend verstehen, dass du damit meinst, dass ich mein php dann in zukunft immer über den weg der 'eigen-kompilierung' updaten muss, wenn neue versionen released werden oder muss ich etwas beachten (z.b. spezielle debian patches) wenn ich jetzt kompiliere ?

gruß

marce
07.12.07, 10:46
Klar - 1x selbst gebaut heisst immer selbst gebaut. Ausser, Du wechselst wieder zurück auf die Paket-Version von Debian.

jan_dortmund
07.12.07, 10:49
muss ich denn irgendwelche debian spezifieschen sachen / patches beachten beim kompilieren ?

marce
07.12.07, 10:49
nein.

*10Zeichen*

jan_dortmund
07.12.07, 10:55
oki danke dir..


10zeichen ??

cane
07.12.07, 11:20
10zeichen ??

Beiträge < 10 Zeichen sind nicht möglich :)

mfg
cane

PierreS
07.12.07, 11:38
Wie bereits oben geschrieben: Warum nicht die Pakete von dotdeb nehmen? Bei PHP würde ich immer das neueste nehmen; nicht nur wegen Sicherheits-updates, sondern auch wegen Bugfixes.

jan_dortmund
07.12.07, 14:04
Wie bereits oben geschrieben: Warum nicht die Pakete von dotdeb nehmen? Bei PHP würde ich immer das neueste nehmen; nicht nur wegen Sicherheits-updates, sondern auch wegen Bugfixes.

@pierre.. danke für den tipp ! hat super funktioniert.. jedoch nur mit php5.2.5

der apache 2.2.6 ist darüber wohl nicht erhältlich - oder hast du da auch noch nen link ?

marce
07.12.07, 14:06
Nur als Hinweis: Wenn Du der Versionitis erlegen bist bist Du mit Debian Stable falsch beraten.

jan_dortmund
07.12.07, 14:09
@marce und warum bist du dieser meinung ?
und was wäre deiner meinung nach ein geeignetes OS für versionitis ?

marce
07.12.07, 14:15
Was willst Du haben? Ein stabiles, getestetes System, wo sich Schnittstellen und Featuresets nicht ändern oder immer die aktuellste Version und evtl. bei jedem Update die Ungewissheit, ob Deine Applikationen noch laufen?

Server ticken eben anders - da sind andere Anforderungen da.

Und Distributionen für Versionitis-Geschädigte findet man problemlos über Distrowatch oder Google...

jan_dortmund
07.12.07, 14:27
wenn auf eine maschine nur als reiner webserver läuft, MACHT GERADE das regelmäßige php und apache updaten, ein sicheres system aus. nix anderes. und da wird mir wohl niemand entgegensprechen

cane
07.12.07, 15:31
wenn auf eine maschine nur als reiner webserver läuft, MACHT GERADE das regelmäßige php und apache updaten, ein sicheres system aus. nix anderes. und da wird mir wohl niemand entgegensprechen

Wenn Du der Meinung bist kompilier alles selbst - natürlich auf einem Zweitsystem denn einen Compiler möchtest Du aus Sicherheitsgründen ja wohl kaum auf dem webserver selbst installieren

Generell ist es Unsinn - neuere Versionen sind nicht sicherer.

mfg
cane

PierreS
07.12.07, 17:55
Warum sollte ein Compiler ein Sicherheitsrisiko sein? Aber gut, das wird wohl off-topic.

Mit den dotdeb-Paketen solltest Du eigentlich gut beraten sein. Das sind ja auch keine Beta-Pakete, sondern immer die stabilen Versionen. Natürlich muß man bei PHP immer vorher testen, ob die eigene Anwendung noch läuft. (auch bei Minor-Updates; von 5.2.4 auf 5.2.5 gab es auch eine inkompatible aber nicht dokumentierte Änderung)

solarix
07.12.07, 18:52
Warum sollte ein Compiler ein Sicherheitsrisiko sein? Aber gut, das wird wohl off-topic.




Das liegt ja wohl auf der Hand, oder?
Ein Compiler ist für jeden potentiellen Eindringling in das System ein nützliches Werkzeug.
Oder ist das nicht verständlich?

solarix
07.12.07, 18:56
wenn auf eine maschine nur als reiner webserver läuft, MACHT GERADE das regelmäßige php und apache updaten, ein sicheres system aus. nix anderes. und da wird mir wohl niemand entgegensprechen

Updaten ja, Bugfixes einspielen, Security Holes stopfen.
Aber nicht updaten um des updatens willen. Die supergummigutgepatchte Maschine nützt nichts wenn kein vernünftiges Sicherheitskonzept dahinter steckt.

Wenn die Kiste schheisse konfiguriert ist, nutzt auch das neueste Update nichts.
IMHO ist es Quatsch einen Server öfter als nötig upzudaten, das Ding soll laufen und das zuverlässig.

jan_dortmund
07.12.07, 20:16
Ein Compiler ist für jeden potentiellen Eindringling in das System ein nützliches Werkzeug.
Oder ist das nicht verständlich?

wenn ein eindringling zugriff auf einen compiler hätte... dann hätte er auch die möglichkeit einen ins system zu schleusen wenn noch keiner da ist oder liege ich da falsch?

MiGo
09.12.07, 10:52
dann hätte er auch die möglichkeit einen ins system zu schleusen wenn noch keiner da ist oder liege ich da falsch?
Ja, aber es ist eine zusätzliche Hürde - die meisten automatisierten Angriffstools/Exploits verlassen sich halt auf das Vorhandensein eines Compilers.
Allein das kein compiler vorhanden ist, erhöht die Sicherheit noch nicht signifikant, aber es ist zumindest ein erster Schritt.

PierreS
09.12.07, 11:14
Für mich fällt das in die gleiche Kategorie wie ssh-port umlegen. :-)

marce
09.12.07, 15:40
wenn auf eine maschine nur als reiner webserver läuft, MACHT GERADE das regelmäßige php und apache updaten, ein sicheres system aus. nix anderes. und da wird mir wohl niemand entgegensprechen
Dann hast Du das Debian(*)-Konzept immer noch nicht verstanden.

Updates auf neue Version != Security-Patches einspielen.


(*) und das von fast jeder anderen Distribution

solarix
09.12.07, 15:58
wenn ein eindringling zugriff auf einen compiler hätte... dann hätte er auch die möglichkeit einen ins system zu schleusen wenn noch keiner da ist oder liege ich da falsch?

Klar hat er das...

aber man muss ja nicht unbedingt nützliche Spielsachen für "potentielle" Eindringlinge liegen lassen. Ausserdem dauert sowas alles wenn der Kollege einen Compiler und Buildtools nach ziehen will. Man muss solchen Leuten doch keinen Gefallen tun. Hat auch nichts mit Security through Obscurity zu tun, aber man muss sein System ja auch nicht mit Zeug zumüllen das auf einem Server niemand braucht. Wenn ich ein Debian/Free BSD/schlagmichtot Paket selbst baue kann ich das genau so gut auf einer Vmware hinbiegen und dann hochladen und mit dpkg einspielen.