Beiträge von wn48z

Viele Distributionen pflegen Backports von Fixes in frühere Version ein um nicht gleich auf die nächsthöhere Version wechseln zu müssen.

Das macht auch durchaus Sinn. Vielleicht benötigt openssh 7.1 eine höhere openssl Version als diejenige die gerade bei Tumbleweed verwendet wird und dann muss man auch diese nachziehen usw. Ausserdem verhalten sich neuere Versionen zu Abhängigkeiten im OS vielleicht anders. Also man macht ein Update von einem RPM und dann funktioniert plötzlich ein anderes Programm nicht mehr wie erwartet. Eigentlich sollten die RPMs das zwar gegenprüfen - aber eine Garantie hierfür gibt es nicht.

Wenn man nun das Update vom Packman Repo einspielt verlässt man ausserdem mit diesem RPM den Updatepfad von SuSE - d.h. künftige Securityfixes müssen dann auch vom Packman Repo kommen. Kann sein, dass das Packman Repo ebenso zeitnah solche liefert wie SuSE selbst - muss aber nicht so sein.

Ich halte es daher immer so, dass ich nur Upgrade wenn ich eine neue Funktion der höheren Version dringend benötige - in jedem anderen Fall sollte man auf der Originalversion und im Patchpfad von SuSE bleiben.

Zitat von Trekkie00

Klick mich
Ich schreibe das nicht ohne Grund.
Da ist die von dir gesuchte Version vorhandern (openssh-7.1p2-120.1.x86_64.rpm).

Nur wenn er gleichzeitig auf Version 7.1 upgraden will. SuSE patcht die aktuellen Versionen im Upstream nicht ohne Grund und das ist oft die bessere Lösung weil ein Upgrade auch Nebeneffekte haben kann.

Man kann auch mit dem Zypper Befehl nach den CVE Patches suchen:

# zypper list-patches --cve
# zypper list-patches --cve=2016-0777

Beispiel:

# zypper list-patches --cve=2015-8704
Loading repository data...
Reading installed packages...


Issue | No.       	| Patch        	| Category | Severity  | Interactive | Status
------+---------------+------------------+----------+-----------+-------------+-------
cve   | CVE-2015-8704 | openSUSE-2016-70 | security | important | ---     	| needed

Hier wird dann auch die Patchnummer von openSuSE angezeigt (openSUSE-2016-70), welche man im Link des Beitrages zuvor sieht. Wie sieht das bei Tumbleweed aus, wie werden dort die Patches benannt?

Kennst Du diese Seiten:

https://www.suse.com/security/cve/
https://www.suse.com/security/cve/CVE-2016-0777.html
https://www.suse.com/security/cve/CVE-2016-0778.html

Da kannst Du sehen ab welcher Version die entsprechenden CVE Lücken in SLES und openSuSE gefixt sind.

Fazit: Versionen >= 6.6p1-8.1 sind bei LEAP gefixt - ich denke das gilt dann auch für Tumbleweed 6.6p1-10.1

Normalerweise wird Logrotate via cron.daily ausgeführt und das entspricht der Zeit täglich 15min nach der letzten Systembootzeit. Um das klar zu definieren kann man aber in der Datei:

/etc/sysconfig/cron

die Variable DAILY_TIME setzen:

DAILY_TIME="00:00"

Dann läuft logrotate immer Nachts um 24:00. Vorausgesetzt, der Rechner läuft um diese Zeit

Diese Variable wirkt sich übrigens auf alle Dienste aus, die via cron.daily gestartet werden.

Als Serversystem (ohne X11) macht sich Leap 42.1 bisher sehr gut. Ich habe zwei solcher System seit Release im 7x24h Einsatz und bisher nicht das geringste zu bemängeln.

Ist dieses Cablecom Netzwerk ein 8er Subnetz - also 46.140.121.240/29?

Dann würde man eine saubere Reverse Zone so definieren:

In der named.conf

zone "240/29.121.140.46.in-addr.arpa" in {
    	type        	master;
    	file        	"rev.46.140.121";
};

Dann das Zone-File rev.46.140.121:

$TTL 640m
@   		 IN SOA   	 ns1.gehrmann.link.    webmasta.gehrmann.link. (
   		 2015120902    ; serial
   		 3h   	 ; refresh
   		 1h   	 ; retry
   		 1w   	 ; expiry
   		 0 )   	 ; minimum


   		 IN NS    ns1.gehrmann.link.
   		 IN NS    ns2.gehrmann.link.
   		 IN NS    ns1.privatier.ch.
   		 IN NS    ns2.privatier.ch.

242   		 IN PTR    mail1.gehrmann.link.
243   		 IN PTR    mail2.gehrmann.link.
244   		 IN PTR    mail1.privatier.ch.
245   		 IN PTR    mail2.privatier.ch.

Vergleiche dazu auch die RFC2317:
https://tools.ietf.org/html/rfc2317

Ansonsten lassen sich gewisse ominöse ipv6 Fehlermeldungen im Bind Log damit verhindern, dass man in der Konfiguration die ipv6 Sachen auskommentiert und danach den named Daemon mit dem Argument "-4" startet.

Dies kann man via sysconfig einstellen:

NAMED_ARGS="-4"

So läuft Bind dann nur mit ipv4 Unterstützung.

Wenn Du willst, dass Deine Domäne eine IP zurückgibt, dann musst Du Ihr auch eine IP zuteilen:

Also in der gehrmann.zone.txt

gehrmann.link.   IN A   46.140.121.242

Kannst Du mir mal zeigen was Du gemacht hast um festzustellen, dass der DNS den lokalen Dateinamen nicht aufgelöst hat? Also mit welchen Befehlen hast Du welche Aussage vom DNS bekommen?

Die ipv6 Fehlermeldungen im Log sind leicht wegzubekommen - aber zeige mir doch erst wie Du getestet hast.