staging.inyokaproject.org

comm_a_nder schrieb:

Bei Debian bekomme ich Security Support für alle Pakete, bei Ubuntu-LTS nur für main und restricted garantiert. Das ist zum Beispiel einer der Punkte, die für Debian auf dem Server auschlaggebend sind.

Stimmt, das ist ein guter Grund.

Gruss

Dirk

Ich wünschte es wäre anders, aber Ubuntu/Debian ist nach meiner Einschätzung nach nicht auf Augenhöhe mit RedHat beim Thema Serverintegrität. (z.B. was QA bei beiden angeht und das Security "Team" von Debian im Besonderen)

Konsequenterweise würde ich dir derzeit RHEL5/CentOS empfehlen.

Andy1 schrieb:

Konkret brauchte dieses Sicherheits-Advisitory: http://www.debian.org/security/2007/dsa-1399

Konkret war Debian 2005 die meiste Zeit ohne richtiges Security Team und auch heute würde ich die Situation nicht als komfortabel bezeichnen. Weiterhin ist Ubuntu bei allen mir bekannten 'security rankings', die sich meistens um Reaktionsgeschwindigkeit drehen, vor Debian. (z.B. searchsecurity) Die Tests sind in der Regel wenig sinnvoll, du wagst dich aber auf ziemlich dünnes Eis mit deiner Aussage.

Konkret kann ich mit einem Server und etwas "älterer" Software gut leben, wenn Sicherheitslücken schnell gestopft werden und das Teil stabil läuft.

Du kannst es, nicht jeder kann es. Ausgewählte Pakete brauch ich z.B. immer in der absolut neuesten Version, die werden selbst kompiliert, das ist solange kein Problem wie die 'tool chain' nicht so alt ist, dass ich alles selbst kompilieren muss.

Beispiel php, in Ubuntu ist php5 in den Repos, php4 nicht mehr, wenn ich aber meinen Kunden beides zur Verfügung stellen möchte komme ich nicht umhin php4 selbst einzuspielen, bei debian dabei.

Wieviele kritische Sicherheitslücken hat php4 inwzischen, die nicht mehr gefixt werden? 20 oder sind es schon 30? Natürlich kann man php4 isolieren, der php4 Anwendung hilft das aber nicht. Sogar PHP Entwickler versuchen alles, die Leute zu php5 zu bekommen, wie gesagt, mit Recht. Gerade das sehe ich als Stärke von Ubuntu. Pakete die Probleme machen und bei den keine Besserung in Sicht ist wurden in der Vergangenheit konsequent gedropt. Das ist genau die richtige Einstellung. Man kann sich nicht immer über unfähiges upstream aufregen und den Mist dann ausliefern.

Lasst uns mal über das Gleiche reden:

Debian GNU/Linux 4.0 Ubuntu Linux 6.06

Die interessanten Daten kommen weiter unten auf der Seite.

Dirk

Es soll das möchte ich so verstanden wissen, kein "gegen" Ubuntu sein, aber aus von mir angesprochenen Gründen sind wir im Jahr 2002-2003 sogar von Redhat weg. Weil das damals einen einzige Katastrophe war. Sollten die sich heute so gebessert haben? Mag sein. Die von mir konkret angesprochene Lücke, war erst nach 22 Tagen bei Ubuntu behoben, auf ihrer Liste stand er aber zeitgleich wie bei allen anderen.

Gut es ist alles Software gemacht von Menschen mit Fehlern, aber dennoch ist derzeit Ubuntu auf dem Server noch nicht da wo er gern gesehen werden will.

Soll jeder nutzen was er möchte sich bitte aber hinterher nicht beschweren.(Der besser möge gewinnen. 🤣 ) 😛

Dirk, allein die Jahreszahlen sind nicht sehr aufschlußreich (2003-2008). Oder was meintest Du konkret?

Andy1 schrieb:

Die von mir konkret angesprochene Lücke, war erst nach 22 Tagen bei Ubuntu behoben, auf ihrer Liste stand er aber zeitgleich wie bei allen anderen.

Dem hat auch niemand widersprochen. Wenn ich jetzt eine Lücke finde, bei der Debian irgendwann mal länger als 22 Tage gebraucht hat, beweist das dann irgendwas?

Entschuldige, aber das ist ein Verständniss der Sache dem ich jetzt nicht mehr folgen kann. So ähnlich, wie wenn Du nicht, dann will ich auch nicht.

Konkret ist es so, wenn man den Anspruch erhebt eine Distribution für einen Server bereit zustellen, dann sind ein paar Regeln zu beachten, und man sollte dem eigenen Anspruch dann auch gerecht werden.

Vll. hat es ein "Newcomer" in diesem Bereich auch besonders schwer, und sollte sich aus diesem Grunde heraus auch dieser Aufgabe mit der nötigen Sorgfalt widmen. Das konkrete Beispiel von mir zeigt auch das man diese hier eben hat nicht walten lassen. Das wirft in einem solchen Falle noch ein wenig mehr zurück.

Andy1 schrieb:

Es soll das möchte ich so verstanden wissen, kein "gegen" Ubuntu sein, aber aus von mir angesprochenen Gründen sind wir im Jahr 2002-2003 sogar von Redhat weg. Weil das damals einen einzige Katastrophe war. Sollten die sich heute so gebessert haben? Mag sein. Die von mir konkret angesprochene Lücke, war erst nach 22 Tagen bei Ubuntu behoben, auf ihrer Liste stand er aber zeitgleich wie bei allen anderen.

Das Problem ist, bei Betrachtung von Einzelfällen, dass übersehen wird, dass bei der überwiegenden Anzahl der Sicherheitslücken Ubuntu diese schneller behebt als Debian.

Gut es ist alles Software gemacht von Menschen mit Fehlern, aber dennoch ist derzeit Ubuntu auf dem Server noch nicht da wo er gern gesehen werden will.

Da stimme ich Dir zu.

Dirk, allein die Jahreszahlen sind nicht sehr aufschlußreich (2003-2008). Oder was meintest Du konkret?

Interessant ist, dass bei Debian einige Behebungen mit "partial fix" markiert sind. Interessant ist auch, dass die Grössenordnung und die Verteilung der Lücken sehr ähnlich ist.

Die Jahreszahlen sind nicht wichtig, da alles von Veröffentlichung der Systeme bis heute enthalten ist. Es sind bei beiden Systemen alle "Advisories" (Empfehlungen) in der gleichen Grössenordnung und die Verteilung ist nahezu identisch.

Konkret ist es so, wenn man den Anspruch erhebt eine Distribution für einen Server bereit zustellen, dann sind ein paar Regeln zu beachten, und man sollte dem eigenen Anspruch dann auch gerecht werden.

Absolut. Meinst Du Debian oder Ubuntu? (Für beide Systeme sind wenige bis gar keine kommerziellen Softwaresysteme zertifiziert, bei Ubuntu noch mehr als bei Debian).

Vll. hat es ein "Newcomer" in diesem Bereich auch besonders schwer, und sollte sich aus diesem Grunde heraus auch dieser Aufgabe mit der nötigen Sorgfalt widmen. Das konkrete Beispiel von mir zeigt auch das man diese hier eben hat nicht walten lassen. Das wirft in einem solchen Falle noch ein wenig mehr zurück.

Einzelfälle sind immer problematisch und wenn das die einzigen Kriterien wären, hätten wir kein Windows, kein Mac OS X, kein ... und auch kein Debian.

Gruss

Dirk