Quotedebian-Pakete für Webapplikationen kann ich beim besten Willen nur fürs Intranet und stable eventuell empfehlen.
Hallo,
diesbzgl.folgende Fragen, wenn man übers Intranet hinausgehen möchte:
Auf welche Pakete bezieht sich die Warnung? Offenbar zumindest php und owncloud. Welche weiteren? Oder ist das eine allg. Daumenregel?
Ist das mehr oder weniger ein Spezifikum von debian?
Mal von veraltet abgesehen, woran liegt das genau. Eigentlich soll mir das Paketsystem doch abnehmen, dass ich selbst auf Abhängigkeiten achten muss, etc. Können die nix bei debian oder wie?
Danke für ein paar Erläuterungen. C
Die Frage habe ich ir auch gestellt, als ich agaidas Warnungen las.
Da ich mich noch nicht damit beschäftigt habe, wäre es mal interessant zu erfahren , worauf sich das bezieht.
Ich denke, mit der Aktualität wäre schon mal ein erster Ansatzpunkt.
das bezieht sich (wie es da auch steht) unreflektiert auf alle debian-Pakete für Webapplikationen, die nicht aus stable kommen. Also solche aus testing, unstable und experimental.
Sicherheitslücken kann vor allem einer gut stopfen und das ist Upstream. Von Upstream nach non-stable ist es im Freeze aber ein besonders weiter Weg.
Naja selbst für debian stable ist es teilweise sehr schwierig, die Sicherheitslöcher in Webapplikationen stopfen. Weswegen z.B. ownCloud gerade wieder aus wheezy rausgekegelt wurde. Weder Mantainer noch Upstream vorstellen konnte, die Version 4.0 weiter zu pflegen. Meist sind halt die Entwicklungsmodelle für Webapplikationen halt zu schnell, und Upstream achtet halt nicht auf ältere Versionen...
Die Folgen von Löchern in Webapplikationen sind halt sehr viel schwerwiegender als bei einer Desktopapplikation. Auf einen Webserver folgen schon Stunden nach bekanntwerden eines Bugs die ersten Angriffswellen gegen einen Server. Beim Desktop ist meist noch eine irgendwie geartete Firewall zwischen Rechner und Internet.
Ich würde agaidas Warnung auch sehr so interpretieren: Wenn mensch wirklich einen Dienst öffentlich anbieten will, sollte er Ahnung der Materie haben und auch in der Lage sein eine Webapplikation von Hand zu installieren. Eine Installation abseits der Paketverwaltung ist ja auch nicht der Weisheit letzter Schluss :) Schließlich muss ich mich da selber drum kümmern das zeitnah zu updaten, was leider dann auch meist mehr als ein Handgriff ist. Mich auf entsprechenden Mailinglisten einschreiben, die Webapplikation verfolgen etc.
Vorsicht sollte immer geboten sein bei in irgendeiner Programmiersprache geschriben Webapplikationen, die während der Benutzung ausgeführt werden PHP, Python, Ruby, cgi, fcgi,.. dann halt bei neuen Projekten, wie z.B. ownCloud, die einfach noch nicht die Grausamkeit des Internet verinnerlicht haben oder halt Projekte die extrem häufig installiert sind z.B. wordpress, da hier der Einbruchsdruck sehr hoch ist.
Andererseits Munin z.B., der einfach statisch Webseiten erzeugt, ist dagegen ziemlich harmlos. Da kann halt einfach niemensch einbrechen... Jedoch muss trotzdem apache/nginx o.ä. noch konfigurirt werden, dass nicht alle Menschen die Munin Seiten sehen können o.ä.
@hefee: schicke Zusammenfassung.
Ich sehe auch teilweise eine Hysterie bei einigen Leuten, die so nicht gerechtfertigt ist. Bestes Beispiel ist suhosin. Es kann nicht sein, dass ein einzelner Mensch - nennen wir mal den Namen Stefan Esser - über das Wohl und Wehe von PHP-Installtionen weltweit regiert. Dieser Zahn wurde dem Suhosin-Projekt von debian in dankenswerter Weise gezogen.
Das hinterlässt dann natürlich auch eine Lücke, die durch das Kernprojekt geschlossen werden muss. Machen die Jungs ja auch ganz gut - aber es muss halt erledigt werden.
Um nicht nur auf einem Projekt rumzuhacken, diese durchaus oberpeinlich zu nennende Aktion um github und die ruby-Mannen, die auf gemeldete Lücken einfach nicht adäquat reagieren, bis der Author des Exploits keinen anderen Ausweg mehr sieht, sein Finden dann auch mal in der Realität anzuwenden ....
Im allgemeinen ist es so, dass FOSS im Bereich Indernetzt seine "Unschuld" verloren hat. Es ist halt nicht mehr so aus Spass, da werden wirtschaftliche Interessen berührt, es geht um viel Geld und auch Existenzen. Und so langsam kommen die betroffenen Projekte in der Realität an - und finden das teilweise nicht wirklich toll :)
Die Liste lässt sich fortsetzen um eigentlich jeden öffentlich angebotenen Dienst - sei es sshd, ftpd, httpd. Wer irgendwas in der Auflistung fehlt: In der /etc/services stehen noch ein paar weitere Stichpunkte :D