Discussion:
Anregung: praktische Sicherheitserhöhung durch Patcherleichterung von Paketen
(zu alt für eine Antwort)
Hauke Laging
2005-01-16 00:15:22 UTC
Permalink
F'up2 dcoud

Hallo,

irgendwie bin ich mal wieder in der Stimmung, mich hier verprügeln zu
lassen, also los... <LOL>

Die praktische Sicherheit eines Computersystems hängt wesentlich
davon ab, ob und wie häufig sicherheitsrelevante Patches eingespielt
werden. Zumindest bei Anwendern ohne Administratortendenzen ist für
diese Häufigkeit von großer Bedeutung, wie stark sich diese
Möglichkeit dem Anwender aufdrängt sowie wie komfortabel und
automatisierbar sie ist.

Ich vermute, dass jede Linuxdistribution diese Herausforderung für
den von ihr abgedeckten Softwareumfang mehr oder weniger gut gelöst
hat.

Ich sehe nun das Problem, Software in die automatischen Patchzyklen
einzubeziehen, die mit der Distribution nichts zu tun hat. Das
dürfte vor allem kommerzielle Software betreffen. Natürlich macht
diese bei vielen Leuten nur einen sehr kleinen Teil der verwendeten
Software aus, dennoch erscheint es mir unsachgemäß, sich darüber
keine Gedanken zu machen.

Falls ich richtig informiert bin, gibt es heute keine cleverere
Lösung als die, dass derjenige, der die Software installiert hat,
sich irgendwie darum kümmert, diese Software aktuell zu halten.
Sicher lässt sich das irgendwie automatisieren, aber wohl nur
vergleichsweise individuell pro betroffener Software und damit auch
nicht für Joe User. An dieser Stelle will ich kurz anmerken, dass
ich nicht darüber diskutieren will, ob Joe User berechtigt sein
sollte, einen Computer an einem öffentlichen Netz zu betreiben usw.,
das ist eine andere Baustelle. Alle haben was davon, wenn auch Joe
User weniger Probleme hat (und damit auch verursacht).

Ich schlage vor, dieses Problem wie folgt zu lösen oder zumindest
anzugehen:

Die Paketverwaltungen sollten um einen standardisierten Eintrag
erweitert werden, der eine oder mehrere URLs enthält, unter denen
entweder Patches für diese Software oder aber Listen mit
Downloadadressen (also Mirrors) abgerufen werden können, natürlich
in einem ebenso einheitlichen Format.

Das Ergebnis wäre, dass das Patchwerkzeug der Distribution
automatisch Software mitpflegen könnte, die es "nicht kennt". Der
Anwender müsste dann nur für jeden Anbieter den digitalen Schlüssel
annehmen, aber das könnte man ja gleich bei der Installation
miterledigen.

Ohne echte Programmiererfahrung schätze ich, dass der Aufwand für
alle Beteiligten minimal wäre. Wenn die großen Distributionen das
unterstützten, zögen nach und nach die Softwareanbieter nach. Ganz
zu schweigen davon, dass bei Ausdehnung auf "normale" Updates (über
Sicherheitspatches hinaus) durchaus auch Supportkosten eingespart
werden könnten.

So, und nun immer feste druff.

F'up2 dcoud


CU

Hauke
--
Helfen Sie Open Source! Petition gegen Softwarepatente
http://petition.eurolinux.org/index_html
----------------
Wie können 59.054.087 Leute nur so dumm sein?
Ralf Döblitz
2005-01-16 14:34:00 UTC
Permalink
In de.comp.os.unix.discussion Hauke Laging <usenet-***@hauke-laging.de> wrote:
[...]
Post by Hauke Laging
Die Paketverwaltungen sollten um einen standardisierten Eintrag
erweitert werden, der eine oder mehrere URLs enthält, unter denen
entweder Patches für diese Software oder aber Listen mit
Downloadadressen (also Mirrors) abgerufen werden können, natürlich
in einem ebenso einheitlichen Format.
Du willst APT benutzen.
Post by Hauke Laging
Das Ergebnis wäre, dass das Patchwerkzeug der Distribution
automatisch Software mitpflegen könnte, die es "nicht kennt". Der
Anwender müsste dann nur für jeden Anbieter den digitalen Schlüssel
annehmen, aber das könnte man ja gleich bei der Installation
miterledigen.
Du willst ganz offensichtlich APT benutzen.
Post by Hauke Laging
Ohne echte Programmiererfahrung schätze ich, dass der Aufwand für
alle Beteiligten minimal wäre. Wenn die großen Distributionen das
unterstützten, zögen nach und nach die Softwareanbieter nach. Ganz
zu schweigen davon, dass bei Ausdehnung auf "normale" Updates (über
Sicherheitspatches hinaus) durchaus auch Supportkosten eingespart
werden könnten.
Du willst tatsächlich APT benutzen. Und die Softwarehersteller dazu
bewegen, ihre Produkte als Debian Package anzubieten.

Alles, was du dir da vorstellst, funktioniert schon seit längerer Zeit
problemlos. Nimm einfach die URL des Hersteller-Servers, mach damit
einen weiteren Eintrag in deiner sources.list und schon kümmert sich APT
auch um _diese_ Software. Auf diese Weise pflege ich bei uns die lokale
Software und auch Software von kommerziellen Anbietern läßt sich mehr
oder weniger gut (bei manchen muß man eben einen lokalen Mirror fahren
und dann selbst eine Package-Liste erzeugen) in das Verwaltungssystem
integrieren.

Und für die nicht-Debian-Anhänger besteht ja die Möglichkeit, das
Management auch für RPM o.ä. zu benutzen, APT ist da recht flexibel
(auch wenn sich mir nicht erschließt wieso man eine andere Distribution
verwenden wollen kann ;-) ).

Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:***@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden.
Hauke Laging
2005-01-16 16:26:06 UTC
Permalink
Post by Ralf Döblitz
Du willst tatsächlich APT benutzen. Und die Softwarehersteller dazu
bewegen, ihre Produkte als Debian Package anzubieten.
Alles, was du dir da vorstellst, funktioniert schon seit längerer
Zeit problemlos. Nimm einfach die URL des Hersteller-Servers, mach
damit einen weiteren Eintrag in deiner sources.list und schon
kümmert sich APT auch um _diese_ Software.
Ich merke, die Debian-Abstinenz rächt sich...

Mein Vorschlag wäre in diesem Fall, diese URL gleich ins deb-Paket zu
packen. Spricht irgendwas dagegen? Denn eine Serverliste kennen
Tools wie YaST auch. Der Fortschritt wäre ja gerade, dass man sich
darum nicht mehr kümmern müsste.


CU

Hauke
--
Helfen Sie Open Source! Petition gegen Softwarepatente
http://petition.eurolinux.org/index_html
----------------
Wie können 59.054.087 Leute nur so dumm sein?
Norbert Tretkowski
2005-01-16 16:34:22 UTC
Permalink
Post by Hauke Laging
Post by Ralf Döblitz
Du willst tatsächlich APT benutzen. Und die Softwarehersteller dazu
bewegen, ihre Produkte als Debian Package anzubieten.
Alles, was du dir da vorstellst, funktioniert schon seit längerer
Zeit problemlos. Nimm einfach die URL des Hersteller-Servers, mach
damit einen weiteren Eintrag in deiner sources.list und schon
kümmert sich APT auch um _diese_ Software.
Ich merke, die Debian-Abstinenz rächt sich...
Mein Vorschlag wäre in diesem Fall, diese URL gleich ins deb-Paket
zu packen. Spricht irgendwas dagegen?
Debian Pakete haben nicht in den Konfigurationsdateien anderer Debian
Pakete rumzuwerkeln[0].

Man koennte natuerlich die sources.list aus mehreren kleineren Dateien
zusammen bauen, so wie das z.B. bei der modules.conf der Fall ist, von
Haus aus passiert das aber nicht.

[0]: http://release.debian.org/sarge_rc_policy.txt

Norbert
Ralf Döblitz
2005-01-16 18:02:03 UTC
Permalink
Hauke Laging <usenet-***@hauke-laging.de> wrote:
[...]
Post by Hauke Laging
Mein Vorschlag wäre in diesem Fall, diese URL gleich ins deb-Paket zu
packen. Spricht irgendwas dagegen?
Debian-Policy. Und die Entscheidungsfreiheit des Admins. Für manche
Sachen will man automatische Updates, bei anderen will man das lieber
nicht. Zum Beispiel darf ich hier die Samba-Server nicht einfach updaten
sondern muß das jeweils *vorher* auf Interoperabilität mit dem
Viren-Scanner (Kaspersky) prüfen. Deshalb ist es sinnvoll, so etwas
lokal konfigurieren zu können (ich würde da z.B. unseren lokalen Server
nehmen und die Pakete nach dem Test drauflegen).
Post by Hauke Laging
Denn eine Serverliste kennen
Tools wie YaST auch. Der Fortschritt wäre ja gerade, dass man sich
darum nicht mehr kümmern müsste.
Man *will* sich aber darum kümmern, wenigstens genau einmal. Und das gut
bei Debian ist gerade, daß einem da keine Automatik in die Konfiguration
reinfummelt.

Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:***@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden.
Markus Raab
2005-01-16 19:14:13 UTC
Permalink
Post by Hauke Laging
Mein Vorschlag wäre in diesem Fall, diese URL gleich ins deb-Paket zu
packen. Spricht irgendwas dagegen? Denn eine Serverliste kennen
Tools wie YaST auch. Der Fortschritt wäre ja gerade, dass man sich
darum nicht mehr kümmern müsste.
Nein, von der Sicherheit wäre das nicht empfehlenswert, dass die
Programme in deinen Quellen herumpfuschen. Du schreibst sowieso den
Eintrag zuerst einmal in deine sources.list rein, und installierst erst
dann das Programm. Also das Feature, dass es sich selbst reinschreibt
würde gar nichts bringen.

Das Ganze funktioniert bei Debian insofern recht gut, weil die
Releasezyklen von Debian eben nicht so superschnell sind und das System
(in der Paketkonfiguration) sehr stabil ist. Also bei Debian sind
externe Anbieter (z.b. Backports, siehe www.apt-get.org) überhaupt
nichts ungewöhnliches.

mfg Markus
--
http://www.markus-raab.org | Nur wer gegen den Strom schwimmt, kann zu
-o) | Quelle gelangen. -- Chinesisches
Kernel 2.6.7 /\ | Sprichwort
on a i686 _\_v |
Markus Raab
2005-01-16 19:09:17 UTC
Permalink
Post by Hauke Laging
Die Paketverwaltungen sollten um einen standardisierten Eintrag
erweitert werden, der eine oder mehrere URLs enthält, unter denen
entweder Patches für diese Software oder aber Listen mit
Downloadadressen (also Mirrors) abgerufen werden können, natürlich
in einem ebenso einheitlichen Format.
Redest du von Debian?

mfg Markus
--
http://www.markus-raab.org | Schreibe kurz - und sie werden es lesen.
-o) | Schreibe klar - und sie werden es
Kernel 2.6.7 /\ | verstehen. Schreibe bildhaft - und sie
on a i686 _\_v | werden es im Gedächtnis behalten. --
Loading...