Am So, den 09.05.2004 schrieb Stefan Seyfried um 20:11:
On Sun, May 09, 2004 at 07:36:30PM +0200, Eric Schaefer wrote:
Am So, den 09.05.2004 schrieb Hilmar Preusse um 17:25:
- Produktionsserver bekommen nur Security-Updates und die
kompiliert man sich sowieso selbst, wenn man sicher gehen will.
Wieso? Du hast Angst, daß Dir jemand gefakte Binaries unterschiebt?
Nein. Wenn jetzt (in drei Minuten) jemand eine sshd-Lücke mit patch und exploit veröffentlicht, kann ich den Patch gleich reviewen (so ich das wissen dazu habe), patchen, kompilieren, fertig. Bis ein Paket dafür da
^^^^^^^^^^^^^^^^^^^ hast du das Wissen?
Nein. ;-) In erster Linie ging es mir darum, daß es je nach Distribution recht lange dauern kann, bis ein gefixes Paket da ist. Wenn ich mir statt dessen gefixte sshd-Quellen hole und die selbst kompiliere, habe ich mein System schneller dicht.
ist, vergehen meist ein paar Stunden und das kann bei verschiedenen Servern schon zu spät sein.
Eben, deswegen würden bei mir die Firewalls umkonfiguriert und das Logging aufgeblasen, ausserdem wären die Maschinen unter Beobachtung. Ein Patch, der keine QA gesehen hat, macht dir unter umständen mehr kaputt als ganz. Und ja, gerade die "trivialen" Einzeiler haben es oft dick hinter den Ohren.
Wer macht die QA?
[Distributionsspezifische Kernel]
Weil ich damit bisher nur Probleme hatte und noch nie einen mit dem ultimativen Killerfeature hatte, welches nicht auch in vanilla V++ enthalten gewesen wäre.
Für manche Kunden ist "Software X ist zertifiziert für Kernel Y von Distributor Z" durchaus ein Killerfeature. Und das kann man scheisse finden wie man will, aber wenn der Support für Software X halt davon abhängt, bleibt dir keine andere Wahl.
Es gibt Software, bei der der Hersteller z.B. auf einem Suse- oder Gentoo-Kernel besteht? Bisher ist mir höchstens welche untergekommen, die auf Suse Version X mit Kernel Version Y bestanden hat, aber nie Kernel Version Y_susepatch_Z.
Eric