Sonntag, 1. April 2012
Neue Wiki-Beiträge (2)
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Ich hoffe mal, dass es sich hier (zumindest teilweise) um einen Aprilscherz handelt. Einfach von irgendwo Quellcode runterladen und dann compilieren und ausführen? Und das auf einer ungesicherten Leitung und ohne Integritätstest? Ersteres ist im Rechenzentrum vielleicht noch in Ordnung, zweiteres ist spätestens nach dem Einbruch bei kernel.org letztes Jahr nur als grob fahrlässig zu bezeichnen. Wer einen Kernel compilieren will, sollte auch in der Lage sein eine GPG-Signatur zu überprüfen. Rootserver sind schließlich kein Spielzeug!
Wir haben einen kleinen Hinweis hinzugefügt, wenn gleich es schwer sein dürfte, das (a) den meisten beizubringen, (b) die Signatur-Datei auf www.kernel.org auch schon komprimiert ist.
Ich glaube fast, dass diejenigen, die die Anleitung brauchen, den Sicherheitshinweis eben nicht brauchen.
Ich glaube fast, dass diejenigen, die die Anleitung brauchen, den Sicherheitshinweis eben nicht brauchen.
Wenn man git verwendet, geht das mittels "git tag --verify" relativ einfach und schmerzlos. Evtl. den öffentlichen Schlüssel von Linus noch auf einen internen FTP-Server oder ins bereits ins initiale Image rein und schon bekommen das auch Laien hin. Ich finde halt, dass das eigentlich zum absoluten Minimum an Sicherheitsvorkehrungen gehört und nicht nur nice-to-have ist.
Wobei die Signatur dann auch aus einer anderen Quelle kommen sollte, denn wenn ein Angreifer das Archiv verändern konnte, sollte die Signatur auf dem selben System auch kein Problem sein.
Wenn mit Signatur der öffentlichen Schlüssel gemeint ist, ist das nur teilweise richtig: Auch ein öffentlicher Schlüssel aus einer unsicheren Quelle kann verwendetet werden, solange seine Echtheit (z.B. mittels Prüfsumme oder digitaler Unterschriften anderer Personen) bestätigt werden kann.
Wenn mit Signatur hingegen die *.sign-Datei (heißt teilweise auch anders; bei git z.B. in der Commit-Message enthalten) gemeint ist, ist die Aussage falsch: Diese kann problemlos aus einer unsicheren Quelle kommen, Manipulationen fallen hier sofort auf.
OT: @manitu: Auf http://www.manitu.de/webhosting/domains/ finden sich Zeilen wie
49,00 € (brutto)
41,18 € (brutto)
Das sollte beim zweiten Mal wohl netto heißen, oder?
Wenn mit Signatur hingegen die *.sign-Datei (heißt teilweise auch anders; bei git z.B. in der Commit-Message enthalten) gemeint ist, ist die Aussage falsch: Diese kann problemlos aus einer unsicheren Quelle kommen, Manipulationen fallen hier sofort auf.
OT: @manitu: Auf http://www.manitu.de/webhosting/domains/ finden sich Zeilen wie
49,00 € (brutto)
41,18 € (brutto)
Das sollte beim zweiten Mal wohl netto heißen, oder?
In diesem Fall, korrekt, ich hatte nicht mehr im Kopf, dass dort PGP-Signaturen benutzt werden. Ich bezog mich auf die typischen md5sums etc.
Ist die Anleitung überhaupt einigermaßen aktuell?
initrd wird überhaupt nicht behandelt, und man sollte doch zumindest darauf hinweisen, daß man dann die unbedingt notwendigen Treiber für Massenspeicher und Filesystem besser nicht als Module bauen sollte, die für z.B. Netzwerk (wenn man nicht gerade vom Netz booten will) aber schon, damit der Kernel nicht so groß wird.
initrd wird überhaupt nicht behandelt, und man sollte doch zumindest darauf hinweisen, daß man dann die unbedingt notwendigen Treiber für Massenspeicher und Filesystem besser nicht als Module bauen sollte, die für z.B. Netzwerk (wenn man nicht gerade vom Netz booten will) aber schon, damit der Kernel nicht so groß wird.
Ganz ehrlich: Wer diese Anleitung braucht, der sollte sich besser keinen Linux-Rootserver zulegen. Mehr als in jedem 08/15-Tutorial aus dem Netz steht da auch nicht drinne. (Mal davon abgesehen dass ich eigentlich von einem guten Hoster erwarten würde, dass die jeweils aktuellen Kernel über ein Repository o.ä. direkt in Binärform verfügbar gemacht werden).
@MOW: Auf einem Server kompiliert man idR alles was wirklich benötigt wird fest ein. Die Hardware ist ja bekannt, insofern braucht man dort weder eine initrd noch Module.
@MOW: Auf einem Server kompiliert man idR alles was wirklich benötigt wird fest ein. Die Hardware ist ja bekannt, insofern braucht man dort weder eine initrd noch Module.
Unsere Kernel sind im Binärformat verfügbar und es gibt auch jedesmal einen Blogpost zu neuen Versionen.
IPv6 oder IPv4?
You are here via
Suche
Kommentare
Do, 20.06.2013 13:11
Ich finde Neuland-Lieferant bz
w. Neuland-Versorger klingt no
ch ein bisschen besser.
Do, 20.06.2013 09:50
Aha und seit wie viel Jahren s
eid ihr schon Neuland Provider
¿ 
Mi, 19.06.2013 20:48
Ja. Ich habe das Problem hinte
r mir 
Verlief ähnlich w
ie hier:
http://www.hostblo
gger.de/blog/archives/55 [...]
Verlief ähnlich w
ie hier:
http://www.hostblo
gger.de/blog/archives/55 [...]Mi, 19.06.2013 18:13
Nein Yahoo hat ihn eingestellt
. Die leiten jetzt auf den Übe
rsetzer von BING weiter.
Mi, 19.06.2013 14:09
Gibts ne einfache Möglichkeit
das Debian 6 Image auf 7 zu up
graden? Hatte das vor ein paar
Wochen auf meinem Root [...]
Do, 13.06.2013 20:22
Ich würde sie auf meinem Apfel
nutzen!
Funktionen:
push
bei Erreichbarkeitsausfall (mü
sste allerdings von auße [...]
Mi, 12.06.2013 20:15
Ja, und auch an deren Rückkehr
.
http://www.heise.de/newst
icker/meldung/Angriff-der-Gesc
hlechtsnocken-56137.html [...]
Mi, 12.06.2013 17:28
was allerdings (prinzipiell) r
ichtig ist: die deutsche Bezei
chnung für Stack ist (bzw. war
mal) "Stapel" bzw. auch [...]
Mi, 12.06.2013 09:59
IBM redet von Kelleradressregi
ster und Kellerspeicher.
