Opdateringer til Apache

Er der andre sikkerhedsissues, mht Apahce som det er vigtigt at være særlig´t obs på, og som ofte går galt ?

hvilke version køre du med?

Det ved jeg heller ikke, hvordan kan jeg se det ?

Men det er Debian Linux.

Du kan få versionen at vide med denne kommando:

dpkg -l apache

Hvis du sætter din /etc/apt/sources.list til noget fornuftigt, så er det bare at køre

apt-get update
apt-get -u upgrade

regelmæssigt. Der er ikke bestemte tidspunkter, hvor der kommer fejlrettelser til Apache. De kommer, når de er lavet, og de bliver lavet, når der er brug for dem.

Men hvor ofte sker det, en gang om måneden? en gang om året, sjældere ?

Apache på min workstation, som kører testing+unstable, er blevet opdateret en gang i november, en gang i december og en gang i marts.

Apache på min server, som kører stable (og dermed ikke får nye features men kun bugfixes), er vist ikke blevet opdateret i den tid, jeg har haft serveren kørende.

Så det sker forholdsvist sjældent. Der er jo også tale om stabil og gennemprøvet software, så det sker jo ikke så tit, at de finder nye fejl. (I det hele taget er det ikke ret tit, der er opdateringer til Debian/stable.)

Der er dog mange andre ting end Apache, der kan kræve opdateringer, så det er en god ide at køre de to kommandoer tit. (Og da der for det meste ikke er opdateringer, tager det kun et øjeblik.)

Et par andre ting, man skal være opmærksom på med en server, men som ikke er specifikt apache-relateret:

Hvis du også skal have en mailserver, er det meget vigtigt, at du ikke får lavet den til et "åbent relæ".

Søg for ikke at køre ting, du ikke har brug for. Unødvendige ting skal helst slet ikke være installeret.

Brug ikke telnet men ssh til fjernadministration. Tilsvarende bør du bruge en form for kryptering, hvis folk udefra skal kunne hente post på maskinen. Hvis muligt bør du også undgå ftp, men istedet bruge sftp. Alt dette handler om ikke at sende brugernavne og koder som ren tekst over nettet, hvor uvedkommende kan opsnappe dem.

Og ja, det er en god ting at være paranoid og som udgangspunkt gå ud fra, at alle andre er ude på at få din maskine overtaget eller lagt ned.

Med "åbent relæ" mener du så at man ikke blot skal kunne logge på og sende vha af serveren ? (det står helt klart for mig) . Eller mener du noget andet ?

Hvor kan man se om apache er sat op til at køre testing+unstable, eller til at køre stable ???

Og her er mit indhold af souces.list. Er det ok ?

deb http://ftp.dk.debian.org/debian/ stable main non-free contrib
deb-src http://ftp.dk.debian.org/debian/ stable main non-free contrib
deb http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free
deb http://ftp.dk.debian.org/debian/ unstable main non-free contrib
deb-src http://ftp.dk.debian.org/debian/ unstable main non-free contrib
deb http://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free

deb http://security.debian.org/ stable/updates main contrib non-free

Abnormt tak for jeres svar indtil videre. Det er det rene guld.

Jeg kan se, at du har blandet stable og unstable i din sources.list. Det kan jeg ikke anbefale. Når det er til server-brug, vil jeg foreslå at køre rent stable. Godt nok er det forholdsvis gamle udgaver af programmerne, der ligger i stable, men til gengæld er den som navnet antyder stabil, og der kommer sikkerhedsupdates.

Der er i princippet 3 forskellige Debian-udgaver:

stable: Den officielle release.
unstable: Ganske nye pakker - NB! ikke gennemtestet. Kan være ustabile.
testing: Lidt ældre end unstable, og lidt mere afprøvede.

Derudover er der også en kategori, der hedder experimental, hvor pakkerne er endnu nyere og endnu mere risikofyldte at bruge end unstable. Kan absolut kun anbefales til testmaskiner eller hvis man bare SKAL bruge en helt ny feature.

Sikkerhedsupdates kommer KUN til stable. Desuden kan man risikere at der i testing og unstable kommer en ny udgave af en pakke, som får din eksisterende opsætning til at bryde sammen. Generelt kan stable ikke bare blandes med de andre, da alt i testing og unstable er meget nyere versioner.

Hvis du vil vide, hvilken udgave af apache, du bruger, kan du bruge

apt-cache policy apache

Og ja, det var det, jeg mente med åbent relæ.

Jeg kan ikke få nogen af de to kommandoer : Til at virke ? Den skriver bare at de ikke findes, skal jeg stå i en særlig mappe imens ?

dpkg -l apache

apt-cache policy apache

Siger den at kommandoen ikke findes, eller at den ikke fandt en pakke, der hed apache?

Men det virkede fint det med opdateringen.

Først hentede fjernede jeg alle de der unstable entry i sources filen. Så kører jeg den første kommando , og den skrev hit en masse gange, og tilsidst fetched 188kb in 0s. Så skrev jeg -u upgrade. Og så skrev den 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Så der  var vel ikke noget denne gang ?

Tak for hjælpen, Og hvordan genstarter jeg appache ?
(tilsidst er der nok til en hel lille bog om appache her i mine spørsmpl)

Det med Version, Jeg må have starvet forkert.

Nu skriver den

Installeded 1.3.29.0.2-4
Candidate:  1.3.29.0.2-4
Version Table:
1.3.29.0.2-4 0
100 /var/lib/dpkg/status
1.3.26-0woody3 0
500 http://ftp.dk.debian.org stable/main Packages
500 http://security.debian.org stable/updates/main Packages

Mvh
500 http/// bla bla

Jeg plejer at skrive

/etc/init.d/apache restart

Hov, ja det er altså ikke mit navn ? Ellers et rimeligt computer nørded alias må jeg nok sige.

Din apache er fra testing. (eller en lidt gammel unstable)

Vil det sige at den er dårlig, jeg forstår ikke hvad du mener ? Skriv noget mere, det er muligt at der er noget galt med den. Kan man ikke bare opdatere den.

Hvis jeg skriver apache -v Skriver den:
Apache/1.3.29 (Debian GNU/Linux)
Server Built: MAr 10 2004 19:07:32

Problemet er, at det sandsynligvis er hele dit system, der er baseret på testing, og den har nyere pakker af ALT, så hvis du vil skifte til stable vil det nok kræve at du nedgraderer alt. Det er nok nemmere at lave en frisk installation af fra en stable installationsdisk.

Det er dog ikke strengt nødvendigt at skifte til stable - især ikke hvis der er tale om en server som er "bare for sjov"

Serveren er ikke bare for sjov. Det er en hosting server hos en firma, men er du sikker på at et ikke bare er ok som det er.

Hvis man ellers kører det der update, henter den så ikke bare updateringerne således at det alt i alt bliver det sammme. Hvis man søger på nettet er apache 1.3.29 en særdeles udbredt version, er det ikke ok at køre med version 1.3.29 eller er det noget andet der er galt ? Altså jeg mener er 1.3.29 ok, men min er en testing-1.3.29 ??

http://www.google.dk/search?q=apache.1.3.29&ie=UTF-8&hl=da&meta=

Der er ikke som sådan nogen forskel på en "normal" 1.3.29 og en "testing" 1.3.29.

Du kan også sagtens køre testing på en server, men så skal du selv være mere vågen. Der kommer nemlig ikke egentlige sikkerhedsrettelser til testing, og nye versioner kommer kun i testing hvis de har ligget i unstable et stykke tid (1 måned mener jeg det er).

Og hvis du kører testing, bør du rette din sources.list til at passe til det. Den vil nemlig aldrig hente pakker fra stable, for de har jo lavere versionsnummer.

OK, men hvordan kan du se at min server er en "testing" 1.3.29 og ikke en "normal" 1.3.29 . Fordi den skal ved gud være en "stable/normal" 1.3.29 ??

Det er super super vigtigt.

Der findes ikke en Debian/stable 1.3.29. Alt i Debian/stable er ca. 2 år gamle versioner, dog med sikkerhedsrettelser.

testing betyder bare, at det er en forholdsvis ny udgave af en pakke, og at den har ligget i unstable uden at blive rettet længe nok til at sive ned til testing. Sagt på en anden måde: at det er en testing eller unstable version betyder ikke nødvendigvis at pakken er usikker, ustabil eller på anden måde dårlig.

En testing 1.3.29 er med stor sandsynlighed ikke forskellig fra den 1.3.29, man kunne downloade fra apache selv. (idag er det 1.3.31, man kan downloade, og det er også den, der ligger i unstable)

Hmm, jeg forstår ikke 100% hvad du skrive men jeg følger op på det. Men jeg kan se på google, at 1.3.29 er en ganske udbredt version, så hvis ellers jeg kan lave en sources.list fil, så at den opdateres automatisk, er det vel OK.

Der er meget at læse på http://www.debianguiden.dk

Følgende kan du bruge:

deb http://ftp.dk.debian.org/debian/ testing main non-free contrib
deb-src http://ftp.dk.debian.org/debian/ testing main non-free contrib
deb http://non-us.debian.org/debian-non-US testing/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US testing/non-US main contrib non-free
deb http://ftp.dk.debian.org/debian/ unstable main non-free contrib
deb-src http://ftp.dk.debian.org/debian/ unstable main non-free contrib
deb http://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free

og så kan du have en /etc/apt/apt.conf med denne linie:
APT::Default-Release "testing";

Så har du mulighed for at installere pakker fra unstable, hvis det skulle blive relevant, men den vil kun vælge testing automatisk.

Hej Sandbox, super tak for dine mange svar, denne sag irreterer mig kraftigt. Det er selvfølgelig meget vigtigt for mig at serveren er optimalt installeret og opdateret (bla fordi vi har betalt for at få den installeret af en proffesionel).

Jeg har oprettet et nyt spm i debian forum
http://debianforum.dk/viewtopic.php?p=6233#6233

Men nu må du altså endelig ikke begynde at svare der også sandbox, fordi det er jo vigtigt at høre om sagen fra nogen andre, det kan jo være at den er ok alligevel. Det er ikke fordi jeg tvivler på dig, vil bare gerne dobeltteste tingene lidt, så lov mig nu ikke at begynd at svare de samme svar der, og lad os vente lidt og se hvad andre skriver om sagen.

Med venlig hilsen, og tak.

Nå men nu nå jeg nærlæser dine svar synes jeg det hele ser ret lyst ud alligevel, det går nok. Spændende at se hvad folk skriver der på debianforum.

For at berolige dig lidt kan jeg lige sige, at på min desktop kører jeg selv en blanding af testing og unstable, og den kører såmænd klippestabilt.

Den store fordel ved at køre testing i stedet for stable er, at det så er meget lettere at installere en ny version af et eller andet, som har en feature, man har brug for.