Ein paar Fragen zu Debian Lenny

Ja sicher, solange jemand bei sich was speichern kann, dann halt auch ein Programm.

Aber im User-Kontext.

Wir sprechen aber über ein System-Paket und darüber, wie man das manuell behandeln kann. Daß ein Mensch in einem für ihn beschreibbaren Ordner vielleicht was speichert und dann startet, könnte natürlich sein.
 
Hä? Moment ...

Es ging darum, wie man den Original TB/FF aktuell hält. Offensichtlich geht das nur über die integrierte Updatefunktion, für die man zwangsläufig TB/FF starten muss.

Wenn der unter /usr/irgenwas installiert wird, kann dies nur von root ausgeführt werden, was in meinen Augen ein zusätzliches Sicherheitsrisiko darstellt/darstellen kann. Darum ging es ...

Alternative wäre 1. eine andere Art der Aktualisierung ("Neuinstallation") oder 2. Installation im "User-Kontext", denn der kann am System nix kaputt machen.
 
(...)
Wenn der unter /usr/irgenwas installiert wird, kann dies nur von root ausgeführt werden, was in meinen Augen ein zusätzliches Sicherheitsrisiko darstellt/darstellen kann. Darum ging es
(...)

Rutscht zwar ziemlich ins OT ab, glaub, aber:
Hm? ist nicht nur /usr/sbin (also was Programme angeht zuindest) "root-only"? Und normalerweise kommen die ausführbaren Sachen doch nach /usr/bin und sind damit darin für jeden (oder fast jeden) ausführbar?
 
Ich bezog mich auf das Update, nicht das Programm selbst ;)
 
das ist tatsächlich aber interessant... also ich habe liebe eine Updatefunktion, die ich kontrolliert als root starte (bei meinem Synaptic muß ich übrigens auch root werden, um irgend was zu updaten..) als ein Binary zu haben, das sowieso jeder und immer befummeln kann...

Ich hab immer "apt-get" auch immer als root zu starten, updates laufen ständig so!

Ich kann auch, wenn ich als User das Programm zwar starten, aber nicht überschreiben kann, auf einer Webseite kaum einen Exploit auslösen, der das für mich tut. Darum will ich immer gerade sowas wie einen Browser nicht im Userspace überschreibbar haben.

Der Moment des Updates ist evtl. verwundbar, weil er als root läuft, aber wie gesagt: Gerade die Debian-Updates doch auch....
 
Nein, denn darauf passt ja secure apt (seit 4.0) auf ...

Und sagen wir so ... wenn Du Angst hast, dass die Pakete auf den Security-Server "manipuliert" werden, solltest Du aber die gleiche Angst bei den Mozi-Updates haben.

Btw. ... eine alte Paketversion kann ich jederzeit wieder einspielen, aber ein "Downgrade" des TB/FF ... hab ich noch nicht erlebt.

Bzw. ... security Updates startest Du auch "kontrolliert" als root ... also zumindest mach ich das so ...
 
Und sagen wir so ... wenn Du Angst hast, dass die Pakete auf den Security-Server "manipuliert" werden, solltest Du aber die gleiche Angst bei den Mozi-Updates haben.
Moment, da reden wir an einander vorbei. Das hab ich ja gar nicht gesagt! Ich hab gesagt, daß die Prog-Binaries im Userspace nicht manipulierbar sein sollen, damit komische Seiten das auch nicht tun können. Das ist ganz genau derselbe Grund, aus dem ich auch unter Windows a) nicht als Admin arbeite und b) deshalb für bestimmte Installationen erst Admin werden muß.

Btw. ... eine alte Paketversion kann ich jederzeit wieder einspielen, aber ein "Downgrade" des TB/FF ... hab ich noch nicht erlebt.
Bei Debian wird doch aber anders als z.B. bei SuSE nicht ein spezieller Update-Tree gepfletgt, oder sehe ich das falsch? Da ändert sich doch tatsächlich im Haupt-Repository die Paketversion.

Wenn ich also eine alte Version haben möchte, dann nur, indem ich die woanders finde oder vorher gespeichert habe. Genau das geht aber, wenn ich will, mit Moz auch. Vor Einführung der Upgrade-Funktion in FF und TB war das doch immer so.

Bzw. ... security Updates startest Du auch "kontrolliert" als root ... also zumindest mach ich das so ...
Ja, genau das hab ich ja gesagt! Und genau das tu ich mit FF / TB auch. Warum soll das bei regulären Debain-Updates richtig, aber bei Moz falsch sein?
 
Moment, da reden wir an einander vorbei. Das hab ich ja gar nicht gesagt! Ich hab gesagt, daß die Prog-Binaries im Userspace nicht manipulierbar sein sollen, damit komische Seiten das auch nicht tun können. Das ist ganz genau derselbe Grund, aus dem ich auch unter Windows a) nicht als Admin arbeite und b) deshalb für bestimmte Installationen erst Admin werden muß.
"Komische Seiten" fummeln nix an den Binaries rum, sondern machen irgendwas "durch" kaputte Binaries. Und da ist es Wurst, ob ein Buffer Overflow von einem Binary unter ~/tb oder /usr/irgendas/tb ausgenutzt wird. Es ist nur interessant, mit welchen Rechten das Teil läuft bzw. unter welchem User.
Und das ist zum Zeitpunkt Deines Updates nun mal root.
D.h. selbst manipulierte Binaries machen in der Regel nicht viel kaputt, wenn man Sie nur mit User-Rechten laufen lässt ... aber lass Dir mal (aus welchen Gründen auch immer) ein "rm / -rf"-Script als thunderbird-bin verkaufen ... spätestens beim nächsten Update haste ein Problem ...
...
Wenn ich also eine alte Version haben möchte, dann nur, indem ich die woanders finde oder vorher gespeichert habe. Genau das geht aber, wenn ich will, mit Moz auch. Vor Einführung der Upgrade-Funktion in FF und TB war das doch immer so.
Eben (und darum ging es ja) aktuell bin ich mir nicht sicher, ob das so ohne weiteres geht. Als die Versionen noch als eigenes Archive "ausgeliefert" wurden, hatte man das gleiche "Verhalten" wie mit Debian-Paketen.
Ja, genau das hab ich ja gesagt! Und genau das tu ich mit FF / TB auch. Warum soll das bei regulären Debain-Updates richtig, aber bei Moz falsch sein?
Weil ich bei Debian-Updates nicht als root die Programme starten muss, die ich updaten will. (von apt und dpkg mal abgesehen)
 
Zuletzt bearbeitet:
Es ist nur interessant, mit welchen Rechten das Teil läuft bzw. unter welchem User.
Und das ist zum Zeitpunkt Deines Updates nun mal root.
Genau, aber eben *dann* uns sonst nicht.

Davon rede ich doch die ganze Zeit.

Und du schreibst doch, daß du (bzw. Debian) deine regulären Updates als Root machst. Ich verstehe nicht, warum das bei einem einzelnen manuell gepflegten Dings falsch sein soll, wenn es sonst immer richtig ist.

Was anderes als das hab ich doch nicht gesagt, ich möchte als root updaten, aber sonst den Kram aus der Schußlinie haben. So macht Debian seine Updates doch auch.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Weil ich bei Debian-Updates nicht als root die Programme starten muss, die ich updaten will. (von apt und dpkg mal abgesehen)
ja ok, das stimmt.

Aber ... wenn dir rm -Rf / als Thunderbird verkauft werden kann, weil man da drüber schreiben kann, warum nicht apt?
 
Zuletzt bearbeitet:
Natürlich kann Dir das auch mit apt und dpkg passieren ... streit ich ja gar nicht ab.

In dem Fall ging es nur darum, dass halt jedes Tool, was als root ausgeführt werden muss, eine "potentielle Schwachstelle" ist und daher IMHO die Anzahl möglichst klein gehalten werden sollte.
Und ein Browser oder E-Mail-Client gehören meiner Meinung nach nicht gerade in die Kategorie von Programmen, die zwingend als root ausgeführt werden sollten ...
 

Ähnliche Themen

Debian & Windows crypten

Zurück
Oben