BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Betriebssysteme (http://www.black-board.net/board.php?boardid=11)
--- Debian Debian? (http://www.black-board.net/thread.php?threadid=18602)

Geschrieben von PygoscelisPapua am 15.09.2004 um 22:58:

  Debian?

Hallo liebe BlackBoarder,

habe eben beim Surfen auf einem anderen Board einen Thread gefunden um den es um das Thema Debian und sicherheit geht. Der Thread stammt Zeitlich vom 09.12.2003, aber bei Debian ist das ja immernoch aktuell.

Vorweg: Da ich im IRC gesehen hab, wie "Gefährlich" dieses Thema sein kann: Ich möchte hier keinen Glaubenskrieg, oder ähnliche Debatten mit auslösen [auch wenn ich das im IRC mal scherzhaft Angekündigt habe] - von mir aus kann dieser Thread hiernach auch sofort geschlossen werden.
Es geht mir lediglich darum einen Denkanstoß zu geben, da sehr viele [ich anfangs ja auch] von Debian überzeugt sind, und wir hier auf dem Board ja auch sehr viele Debianuser haben. Also ich möchte hiermit die Debianuser einfach mal ansprechen. NICHTS WEITER!

Anlass für diesen Thread war diese heise-Meldung, über die es dann längere Diskusionen gab, welche dann leider wegen "Flamewars" geschlossen wurde [nicht überall ist man so Diszipliniert, wie bei uns Augenzwinkern ].

Daraufhin gab es dann den zweiten Thread, indem der User strcat über Debian folgendes schreibt:


Zitat:
Original von strcat
Debian hat als Distribution die Aufgabe, Newbies Pakete nicht anzubieten, von denen bekannt ist, daß die Sourcen widerlich, das Design schlecht und die Security-Historie zum Abwinken ist.

Niemand kann eine Stable anbieten, denn weder der Kernel noch die libc noch binutils noch gcc stable sind. Von ssh will ich hier mal gar nicht zu reden anfangen. Das ganze Stable-Gefasel von Debian ist daher objektiv betrachtet grobe Kundenverarschung.

Digitale Signaturen finden nicht statt, obwohl apt-get / dpkg unterstuetzen wuerde.

Debian startet die Gettys erst starten wenn alles andere abgelaufen ist.

Man braucht die Kernelsource um selbst das kleinste Treibermodul zu uebersetzen.

Abhaengigkeiten werden falsch aufgeloest. XEmacs z. B. depended bei Debian auf LDAP, Postgres und was weisz ich was alles (XEmacs jetzt nur mal als Beispiel).

In der 'Stable' sind die meisten Packages alles andere als 'Stable'. Die Zsh wird in der Developerversion installiert.

alsa-conf unter Debian ist alles andere als lustig. Schonmal versucht eine 16Bit - ISA - Soundkarte einzubinden?

ISDN ist per Default nicht implementiert; pppoe schon. Wieso? Entweder beides oder gar keins!

/Wichtige/ Scripte parsen die Bash (#!/bin/bash) anstelle der 'sh' und sind
somit bei Verwendung eines Minimalsystems nicht brauchbar.

Zuviel Pakete auf zuvielen Mirrors die nicht gewartet werden.

Nichts gegen die Arbeit der Maintainer (zumal ich einige kenne und deren Arbeit schaetze), aber jeder Trottel kann ein *.deb erstellen und einbinden. Wirf mal 'm Blick in die Soucen von einigen Programmen und dann reden wir weiter (fork(), sprintf(), strncat() und Konsorten lassen grueszen).

Bugs in Systemprogrammmen werden nicht sofort gefixed. Ich hab vor einigen Jahren mal 'n Patch an Debian geschickt, der einen Bufferoverflow von 'ptrace' behoben ha(et)t. Er wurde zwar eingespielt, aber erst mit der naechsten Version ausgeliefert, ohne das man auf der Homepage einen sichtbaren Hinweis auf diese Sicherheitsluecke angebracht haette.

Overcommit Memory wurde deaktiviert und diese Einstellung zum Standard
erklaert ohne das man auch nur den geringsten Hinweis darauf gegeben hat.

_setfpcw bei glibc-2(.1) .. *sigh* Die wurde zwar relativ schnell implementiert, aber es hat irgendwie niemand daran gedacht bei der Aenderung des Symbolsets in glibc-2.1 die Versionsnummer der shared library hochzusetzen (das Ergebnis und die Fehlermeldungen kann sich jeder selbst ausmalen).

Multiplexing unter Debian ist ein Witz - zwar ein sehr schlechter, aber immerhin.

Asynchrone Metadaten, Kernel memory allocation, Unshrinkable Directorys, Beeinflussung des Bootprozesses durch SIGINT oder SIGQUIT, ...

Was genau waren nochmal Deine Gruende fuer Debian? Ich kann das "DEBIAN ROCKT!!!11" - Geblubber von einigen Leuten hier langsam aber sicher nicht mehr hoeren (damit meine ich nicht Dich).




Wie gesagt, dass hier mal nur so für alle Debian-User [der ich AUCH einer bin!]. Ich will jetzt keine Argumente für Debian hören, oder Bestätigungen, oder Lobeshymnen der Gentoo-, BSD-, SuSE-, Mandrake-, etc. Gläubiger hören! [davon gibt es auf dem Board genug].

Ach ja, die Quelle www.buha.info. Dort kann man die gesammte Diskusion verfolgen [die gerad wieder auf Flamehochtour ist unglücklich ].


Geschrieben von Styx am 16.09.2004 um 00:12:

 

Hmmm...du hast jetzt sehr eindrucksvoll aufgezählt, was du alles nicht hören willst, zB Lobeshymnen auf bestimmte Linux-Distris oder einen Flamewar. Du hast aber nicht geschrieben, was du eigentlich mit diesem Thread und deinem Post bezweckst. Was willst du wissen? Ob das so ist, was der typ da beschreibt? Oder ob das Unfug ist? Soll es eine reine Info sein? Worum genau geht es hier? das ist mir nicht wirklich klar.


Geschrieben von PygoscelisPapua am 16.09.2004 um 00:37:

 

Zitat:
Original von ByteBreaker
Es geht mir lediglich darum einen Denkanstoß zu geben, da sehr viele [ich anfangs ja auch] von Debian überzeugt sind, und wir hier auf dem Board ja auch sehr viele Debianuser haben. Also ich möchte hiermit die Debianuser einfach mal ansprechen.



Naja, in erster Linie Info. Und zwar mal was anderes, als Debian ist veraltet [und dann kommt das Gegenargument, dass die Testing/Unstable es nicht sind].

Natürlich dürft ihr darauf Antworten, sagen, was ihr davon haltet, Gegenargumente bringen. Alles kein Problem. Nur ich weiß halt, wie schnell das Ausarten kann, daher solls in erster Linie wirklich nur Info sein und zwar mal eine etwas tiefer Begründetere Meinung gegen Debian [die ich durchaus sehr berechtigt finde]

Interessant finde ich vor allem den Punkt, dass apt keine Prüfung der Pakete durchführt. Sprich, wenn ich es schaffen sollte [was wohl nie der Fall sein sollte Augenzwinkern ] und mich in einen der Debian Server einhacke und dort deren .debs durch meine kleinen backdoor.debs austausche, dann werden die nun fleißig heruntergeladen, und es findet keine Prüfung statt [was ja laut strcat technisch sogar schon möglich ist, da dieses feature in apt/dpkg enthalten ist].

Es ist Debian einfach mal aus einer anderen Sicht, die, meiner Meinung nach, sehr objektiv gehalten ist und einfach ein wenig tiefer in die Materie geht - und das wollt ich hier mal hinstellen und uns Debianuser zu denken geben. Mehr nicht Augenzwinkern


Geschrieben von Rudolf am 18.09.2004 um 18:32:

 

Jede Distri hat ihre Macken. Wieso Debian also nicht? Ich habe Debian auch mal angetestet und nach einer relativ kurzen Zeit bemerken müssen, dass die depedencies falsch aufgelöst werden. modul_php wurde bei Installation mit gebrochnen depedencies installiert. X ebenfalls. Konnte deshalb einige wichtige Tasten für den Umgang mit der Konsole nicht benutzen. Usw....

Ich kann verstehen, dass Debian ja kostenlos ist und keiner wirklich Nutzen davon zieht, dass Debian funtkioniert, bzw. besser ausgedrückt, keiner dazu verpflichtet ist Debian zu warten. Daher können solche Sachen schnell passieren.

Ich kann verstehen, dass die Leute gerne den freien Gedanken von OpenSource lieben, aber ich kann mit meiner Erfahrung behaupten, dass die kommerziellen Distributoren wie SuSe,Redhat,Mandrake effektiver arbeiten als vollkommen OpenSource Anbieter. Die kommerziellen Anbieter haben eigenen Nutzen davon, bzw. verdienen somit ihren Lebensunterhalt, indem die Distri aktuell und sicher gehalten wird. Versteht ihr den Gedanken?

Btw, ByteBreaker, poste bidde nochma den genauen Link zu der Diskussion.


Geschrieben von Menetekel23 am 18.09.2004 um 19:14:

 

http://www.buha.info/board/showthread.php?t=41924&page=1&pp=15&highlight=Debian

Ich denke man braucht die Diskussion nicht zweimal zu führen.
TheK bringt sehr gute Gegenargumente an.

Zitat:
aber ich kann mit meiner Erfahrung behaupten, dass die kommerziellen Distributoren wie SuSe,Redhat,Mandrake effektiver arbeiten als vollkommen OpenSource Anbieter. Die kommerziellen Anbieter haben eigenen Nutzen davon, bzw. verdienen somit ihren Lebensunterhalt, indem die Distri aktuell und sicher gehalten wird.


*BSD ist der beste Beweis, dass frei Distris die Nase in Sachen Sicherheit vorne haben.
Aber die Diskussion, ob Leute, die Geld für ihre Arbeit bekommen, oder Leute, die es nur aus der Leidenschaft am Handwerk machen, besser arbeiten gab es hier schon oft.


Geschrieben von Rudolf am 18.09.2004 um 20:22:

 

Naja gut, das ist dann ein Spezialfall. Außerdem ist BSD imo keine Distri wie es bei Linux der Fall ist.

btw, wo ist in dem einem Link der Name "TheK" aufgeführt?


Geschrieben von LX am 18.09.2004 um 21:05:

 

Zitat:
Original von exs
btw, wo ist in dem einem Link der Name "TheK" aufgeführt?
Auf der zweiten Seite ganz oben z.B. *g


Geschrieben von Rudolf am 19.09.2004 um 17:30:

 

Offtopic:

Danke LX, habe den Link zur 2ten Seite irgendwie übersehen smile


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH