Re: Rootserver Kernelupdate?
Am Montag 13 Februar 2006 15:45 schrieb nullman: ^^^ Könntest Du da bitte Deinen Namen eintragen... > So dramatisch ist das mit der Kernelversion jetzt nicht als dass Du > Dir da relevante Sicherheitslöcher einfängst (zumindest noch nicht) Das hört sich ja fast an wie M$ Patches gibts nur einmal in Monat vorher gibts ja eh keine Sicherheitslücken ??? [FU entsorgt] könntest Du TOFU bitte unterlassen? -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: Rootserver Kernelupdate?
nullman schrieb: Also ich denke nach wie vor das man den Kernel ohne Bedenken einsetzen kann. Wuerde ich so nicht unterschreiben. Dan male doch mal den worst-case .. was kann Ihm den schlimmstensfalls passieren ? NIX .. ausser das die Kiste evtl. mal die Grätsche macht (nach massivem dauerbeschuss anscheinend) .. ein Einbruchsloch ist das ja nicht (sondern eben DenialOfService) Wer garantiert dass es nicht doch ein "Einbruchsloch" werden könnte nur weil es noch nicht öffentlich gemacht wurde? Ich würde es für "naiv" halten zu denken nur weil noch kein "Exploit" dafür existiert es wäre nicht möglich, (bzw. DoS ist alles was geht). Es soll ja schliesslich auch schon Leute gegeben haben die in "dunklen Kanälen des Net" Exploits verkauft haben, bevor sie "offiziell" bekannt wurden ... Ein bekanntes Sicherheitsloch "mutwillig" offen zu lassen, ist ja schon fast "fahrlässig", zumindest im geschäftlichen Bereich, und im Privaten ist es ja auch nicht minder "lustig" wenn der eigene Rootserver gehijacked wird und andere Maschinen damit angegriffen werden. imho "dünnes Eis eben" ... Und selbst das mit der Grätsche hat noch keiner wirklich vorgeführt soweit ich weiss ... s. o. Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Rootserver Kernelupdate?
* nullman wrote: > > > Also ich denke nach wie vor das man den Kernel ohne Bedenken > > > einsetzen kann. > > > > Wuerde ich so nicht unterschreiben. > > Dan male doch mal den worst-case .. DoS. Hatte ich bereits erwaehnt. Wie relevant das fuer den einzelnen ist, muss jeder fuer sich selbst entscheiden. Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Rootserver Kernelupdate?
> Also ich denke nach wie vor das man den Kernel ohne Bedenken> einsetzen kann. Wuerde ich so nicht unterschreiben. Dan male doch mal den worst-case .. was kann Ihm den schlimmstensfalls passieren ? NIX .. ausser das die Kiste evtl. mal die Grätsche macht (nach massivem dauerbeschuss anscheinend) .. ein Einbruchsloch ist das ja nicht (sondern eben DenialOfService) Und selbst das mit der Grätsche hat noch keiner wirklich vorgeführt soweit ich weiss ...
Re: Rootserver Kernelupdate?
* nullman wrote: > Am 13.02.06 schrieb Norbert Tretkowski <[EMAIL PROTECTED]>: > > * nullman wrote: > > > So dramatisch ist das mit der Kernelversion jetzt nicht als dass > > > Du Dir da relevante Sicherheitslöcher einfängst (zumindest noch > > > nicht) > > > > Haengt davon ab, was genau man unter 'drastisch' versteht... > > remote DoS ist zumindest nahe dran. > > was aber in Version 2.6.14-2-k7-smp (Debian) nicht möglich ist Ich habs nicht ausprobiert, generell ist 2.6.14 betroffen, der Bug ist in 2.6.14-7 nicht gefixed. > zumal das auch nur eine theorethische "Verwundbarkeit" ist wozu noch > kein funktionierender Exploit zu sehen war. Bevor die Maschine Hops geht, wuerde der Hoster vermutlich den Stecker ziehen. Auf der Kernel-Mailingliste war die Rede davon, dass das Problem erst nach drei Tagen Dauerbeschuss uebers Netzwerk auftrat. > Also ich denke nach wie vor das man den Kernel ohne Bedenken > einsetzen kann. Wuerde ich so nicht unterschreiben. Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Rootserver Kernelupdate?
Norbert Tretkowski schrieb: * Thomas Sojka wrote: Ist es nicht unsicher einen alten Kernel laufen zu lassen? [...] Kann ich den Kernel einfach übers ssh ausführen? Du kannst ihn ueber SSH updaten, wenn du das meinst. Das kann aber, wie jedes andere Update auch, ins Auge gehen. Wenn die Maschine dann nicht mehr bootet, hast du erstmal ein Problem. Genau. Und wenn er nicht mehr bootet, bringt dir auch das Web-Reset meist nix mehr dann muss jemand händisch ran und das kostet (bei den meisten Anbietern). Oder es gibt eine Möglichkeit ein image zurückzuspielen, wozu aber oft auch ein "Hardwarereset" nötig ist wenn der Kernel beim Booten hängt ... Die Option von Grub zum einmaligen booten eines neuen Kernels wäre vielleicht auch interessant ... Norbert Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Rootserver Kernelupdate?
Am 13.02.06 schrieb Norbert Tretkowski <[EMAIL PROTECTED]>: * nullman wrote:> So dramatisch ist das mit der Kernelversion jetzt nicht als dass Du> Dir da relevante Sicherheitslöcher einfängst (zumindest noch nicht)Haengt davon ab, was genau man unter 'drastisch' versteht... remote DoS ist zumindest nahe dran. was aber in Version 2.6.14-2-k7-smp (Debian) nicht möglich ist zumal das auch nur eine theorethische "Verwundbarkeit" ist wozu noch kein funktionierender Exploit zu sehen war. Also ich denke nach wie vor das man den Kernel ohne Bedenken einsetzen kann.
Re: Rootserver Kernelupdate?
* nullman wrote: > So dramatisch ist das mit der Kernelversion jetzt nicht als dass Du > Dir da relevante Sicherheitslöcher einfängst (zumindest noch nicht) Haengt davon ab, was genau man unter 'drastisch' versteht... remote DoS ist zumindest nahe dran. Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Rootserver Kernelupdate?
nichts für ungut, aber wenn Du schon von "kernel ausführen per ssh" sprichst solltest Du lieber die Finger von lassen glaube ich. So dramatisch ist das mit der Kernelversion jetzt nicht als dass Du Dir da relevante Sicherheitslöcher einfängst (zumindest noch nicht) Wenn dann musst Du den Kernel richtig kompilieren und mit den angegeben boot-parametern ausstatten (Grub) Danach reboot und hoffen dass die Maschiene wieder hochkommt. Wenn nicht heisst es Rettungssystem booten (wenn vorhanden) und versuchen was zu reparieren (bzw. wieder zu alten Konfig (alter Kernel) zurück. Aber wie gesagt .. ich würde an Deiner Stelle mal alles so lassen wie es ist ..zumal der kernel ja noch recht aktuell ist. Probier doch erstmal zu Hause (vmware oder so) aus wie kernel bauen und installieren funktioniert .. und wenn das reibungslos klappt würde ich mich an den root-server wagen .. sonst könnte das schnell zu Frust führen ;-) Grüsse NullManAm 13.02.06 schrieb Thomas Sojka <[EMAIL PROTECTED]>: Hallo zusammen. Ich habe Fragen zu meinem neu erworbenen Rootserver. Schon nachdem ich die logindaten von diesem bekommen hatte, kam mir beim ssh login folgende Meldung entgegen: … Sehr geehrter Kunde, Hinweis fuer Kernel-Updates: Für eine optimale Hardwareunterstützung wurde von uns ein entsprechend optimierter Kernel installiert. Wenn Sie diesen austauschen möchten, achten Sie bitte darauf, keinesfalls Kernel-Versionen < 2.6.14 zu verwenden, da diese auf einigen Hardwarekombinationen nicht lauffähig sind. Um die Funktionsfaehigkeit der fuer automatische reboots zuständigen sogenannten Webresetter zu gewährleisten, muss außerdem bei Intel-Systemen der Kernel-Parameter "acpi=ht" gesetzt werden (grub menu.lst), Fuer Opteron-Systeme wird der Kernel-Parameter "noapic" benoetigt. … Zur Zeit ist die Kernelversion 2.6.14-2-k7-smp installiert. Ist es nicht unsicher einen alten Kernel laufen zu lassen? Kann ich den Kernel einfach übers ssh ausführen? Mit freundlichen Grüßen Thomas Sojka
Re: Rootserver Kernelupdate?
* Thomas Sojka wrote: > Ist es nicht unsicher einen alten Kernel laufen zu lassen? Nur wenn in neueren Versionen sicherheitsrelevante Bugs beseitigt wurden, wie das z.B. bei 2.6.15.3 der Fall war. Eben diese Luecke ist in dem von dir verwendeten Kernel noch offen, die Versionsnummer des Kernels laesst darauf schliessen, dass es sich um ein Kernel-Image von Debian handelt. > Kann ich den Kernel einfach übers ssh ausführen? Du kannst ihn ueber SSH updaten, wenn du das meinst. Das kann aber, wie jedes andere Update auch, ins Auge gehen. Wenn die Maschine dann nicht mehr bootet, hast du erstmal ein Problem. Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Rootserver Kernelupdate?
Hallo zusammen. Ich habe Fragen zu meinem neu erworbenen Rootserver. Schon nachdem ich die logindaten von diesem bekommen hatte, kam mir beim ssh login folgende Meldung entgegen: … Sehr geehrter Kunde, Hinweis fuer Kernel-Updates: Für eine optimale Hardwareunterstützung wurde von uns ein entsprechend optimierter Kernel installiert. Wenn Sie diesen austauschen möchten, achten Sie bitte darauf, keinesfalls Kernel-Versionen < 2.6.14 zu verwenden, da diese auf einigen Hardwarekombinationen nicht lauffähig sind. Um die Funktionsfaehigkeit der fuer automatische reboots zuständigen sogenannten Webresetter zu gewährleisten, muss außerdem bei Intel-Systemen der Kernel-Parameter "acpi=ht" gesetzt werden (grub menu.lst), Fuer Opteron-Systeme wird der Kernel-Parameter "noapic" benoetigt. … Zur Zeit ist die Kernelversion 2.6.14-2-k7-smp installiert. Ist es nicht unsicher einen alten Kernel laufen zu lassen? Kann ich den Kernel einfach übers ssh ausführen? Mit freundlichen Grüßen Thomas Sojka
