Urlaub und Updates - wie geht ihr damit um?

UNd was wenn ein Update kommt, während ich schlafe!?

Ach-Gott-ach-Gott..

Also Urlaub ist Urlaub. Punkt.
Wenn ich irgendwann als ausgebranntes Wrack in der psychologischen Tagesklinik hänge, kann ich auch keine Updates machen..

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de

Cron + eigene Skripte.

mfg Cyberschorsch

_________
Mei is des schee

@Alexander: Du magst jetzt lachen, aber ich hatte schon zweimal den Fall, dass (damals war es phpBB) während ich eine Woche weg war eine Sicherheitslücke auftrat.
Folge war, dass mein Webspace gekapert wurde und eine Woche lang SPAM versendet wurde. In Spitzenzeiten wurden bis zu 10000 Mails pro Minute versendet was meinen Provider veranlasste meinen Webspace zu sperren.
Dann hatte ich es ein 2. mal (auch phpBB) dass es über ein Wochenende gehackt wurde und für DOS Attacken innerhalb des Servercenters mißbraucht wurde. Damals waren dadurch 3 Server des Providers nicht mehr erreichbar.

Gott sei Dank habe ich einen gutmütigen Provider der mir jedesmal nur einen kleinen Betrag in Rechnung stellte. Das hätte auch anders ausgehen können. So etwas möchte ich halt nicht wieder erleben.
Ein Sicherheitsloch kann halt in jeder Software mal auftreten.

Eine Möglichkeit wäre sicher den Quelltext so zu bereinigen, dass der Angreifer gar nicht erst erfährt, welche Software da gerade läuft. Aber Drupal und die Module haben da so viel Code, dass ich nicht sicher bin das komplett zu schaffen.

Cron + Scripte ist sicher eine Möglichkeit wenn man einen eigenen Server hat, was aber bei "nur Webspace"?

das hat doch überhaupt keinen Sinn, dem Angreifer zu verstecken dass es Drupal ist, denn wenn du das machst ich Drupal nicht mehr Drupal.

Du müsstest z.B. dafür sorgen dass ?q=user/login nicht erreichbar ist...

--------------
Blog www.freeblogger.org: Deutscher IRC-Channel: irc.freenode.net #drupal.de ... Jabber-me: dwehner@im.calug.de
SirFiChi ist auch dein Halbgott.

Drupal != phpBB. Nichtmal ansatzweise. Es macht überhaupt nichts, wenn Du mal ein oder zwei Wochen nicht nach Deiner Seite schaust.
Und wenn Du trotzdem Angst hast, ein Update zu verpassen und Dir damit gleich wieder die Seite zu zerschiessen: miete Dir für die Zeit einen Admin, der die Module bzw. den Kern aktuell hält.
Über Skripte würde ich persönlich das unter keinen Umständen lösen. Was, wenn das Sicherheitsupdate eine Funktion verändert, die dann zu massiven Fehlermeldungen bei einigen Modulen führt (wie bei 6.13 geschehen)? Dann hast Du im ungünstigsten Fall zwei Wochen lang eine Seite voller Fehlermeldungen.

 Stefan

--
sei nett zu Deinem Themer

naja der Gedanke ist, dass folgendes Szenario dadurch erschwert wird:
- Es tritt eine Sicherheitslücke auf. Der Angreifer braucht nun nur über eine Suchmaschine nach für Drupaltypischen Dingen scannen und hat gleich ein paar Angriffsziele die er aufs Korn nehmen kann.
Werden nun aber drupaltypische Dinge entfernt, kann er die Seite nicht so schnell finden und keinen Angriff starten.

Da gebe ich Dir völlig Recht, aber beide sind PHP-basierend und SQL-basierend und wir sollten schon so ehrlich sein und akzeptieren, dass bei beiden durch Programmierfehler erhebliche Sicherheitslücken auftreten können... egal wie hoch die Qualität des Codes ist.
Und bei den ganzen Modulen die es gibt bin ich mir auch nicht so sicher ob da nicht einige dabei sind deren Code-Qualität nicht grad so berauschend ist (was ich persönlich in Ermangelung der nötigen Kenntnisse nicht näher beurteilen kann).

Bei Drupal gibt es ein Team von Entwicklern, die sich speziell um Sicherheitsfragen kümmern. Jeder Code (auch die Module) wird einer Prüfung unterzogen, mit der Schwachstellen aufgedeckt werden.
Wenn man sich mal die Meldungen über Einbrüche durch Lücken in phpBB und dann die gleichen Meldungen in Bezug auf Drupal anschaut, kann man eigentlich ziemlich gut sehen, wie sicher Drupal ist.
Die Fälle, die mir bekannt sind, sind alle durch Eigenentwicklungen von Modulen (die nicht auf drupal.org gehostet wurden) und wirklich haarsträubende Techniken entstanden.

Klar, die gibt es immer. Aber Dank des SecurityTeams (und auch anderer Entwickler) bleiben wirklich schlimme Fehler nicht unentdeckt.

 Stefan

--
sei nett zu Deinem Themer

Da hier im Büro nahezu immer einer ist und sich die CMS gar nicht mal mehr so stark von einander unterscheiden (man könnte vor Urlaubsantritt auch ein Wiki schreiben), ist jemand bei uns da, der das System wartet und aktualisieren kann.

Bei einer privaten Site würde ich einen Freund fragen, ob derjenige da mal alle ein/zwei Tage in den cron reinschauen kann und ggf Updates zieht.

Ein jeder vom Fach wird dir sagen, dass sog. "security by oscurity" sinnfrei ist.

PhpBB ist in der Tat eine ganz andere Baustelle - oder war es zumindest, denn mit der 3er Version haben sich die Jungs dann doch mal aufgerafft was flinker zu sein.

Außerdem: Nein, ich lache nicht. Sicherheit ist ein ernstes Thema und gehackte Seiten sind alles andere als lustig. Wie dereine aber schon sagte, funzt das bei Drupal alles eine Runde anders. Da tauchen nicht irgendwo Exploits auf und wenn man mal Lust hat bringt man Monate später nen Fix (Microsoft) oder Jahre später, nach viel Drängeln (Oracle).

Die Sicherheit einer Webanwendung ist aber auch von mehr abhängig als nur der Programmierung der Anwendung. Siehe auch Suhosin Patch, phpids, modsecurity, usw. usf.

Und schlussendlich muss man als One-Man-Show auch schlichtweg mal den Ball flach halten. Man kann nicht immer auf alles innerhalb einer Sekunde reagieren (Wie, du bist in der Mittagspause!? Was wenn der Hacker gerade jetzt zuschlägt!?). Sicherheit ist immer relativ und wenn mal was passiert (muss kein Hack sein, kann auch ein Server-GAU sein) muss man auf seine Datensicherungen zurück greifen (Du hast doch hoffentlich eine gute und laut eigener Tests funktionierende Backupstrategie?).

Bei aller Liebe bringt es mir und meinen Kunden auch nichts, wenn ich mich von Sorgen zerfressen lasse und kaputt mache. Darum bleibe ich dabei: Urlaub ist Urlaub.

P.S.:
Und auch wenn kein Urlaub ist, schiebe ich keine Panik, wenn von einem Drupal Modul, vom Drupal Core, von einem Paket auf dem dedizierten Server, .. ein Update rauskommt.

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de

Ungefähr so, wie Kommunikation wahrscheinlich ist, wenn ich nach dem Angesprochenwerden auf der Strasse in Wien auf arabisch antworte. Natürlich kann ich mir dabei noch ein blaues Auge holen, aber gesagt worden sein wird nicht viel. Wenn ich SSH auf einen anderen Port lege, dann muss ein Script-Kiddie erstmal schaffen, mich mit SSH anzusprechen :) Die Wahrscheinlichkeit ließe sich berechnen. Aber sie wird natürlich ungleich geringer sein, als würde ich auf "22" antworten. Das ist "security by obscurity" für mich: ich bin nicht unter allen Umständen vorhersehbar ansprechbar. Wenn dann aber schließlich doch, dann greifen all die üblichen Vorkehrungen, natürlich, die lasse ich deswegen nicht weg. Ich glaube, Du meintest eher "security by obscurity only", was berechenbar scheitern muss. Aber davon, glaube ich, war oben nicht die Rede.

Was mein Sicherheitskonzept während des Urlaubs betrifft, so habe ich zwei: ich mache keinen Urlaub und wenn doch, dann würde ich den Server abschalten :)

Also ich verlege meine SSH Ports nie. Skriptkiddies, die nichtmal nen Portscanner laufen haben sehe ich für mich nicht als Gefahr und "echte" Hacker ist es peng auf welchem Port was läuft, die nehmen sowas eher noch als "Herausforderung".

Fail2ban laufen lassen, SSH-Zugang nur über einen nicht-Root-Usernamen erlauben und dann schaut das doofe Skriptkid eh dumm drein. Oder aber gleich mit knockd arbeiten...

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de

P.S.:
Ich bin Experte im Nicht-Urlaub-machen, aber das meine Leben lang so zu handhaben ist nicht mein Ziel. Stichwort Work-Life-Balance. Darum sind für nächstes Jahr auch 17 Tage Kanada fest eingeplant. Updates werden auch dann noch da sein, wenn ich wiederkomme.

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de

Also ich für meinen Teil hab mir ein php-script gebastelt das über cron aufgerufen wird und mir über einen SMS-Gateway zu jeder tages und nachzeit eine SMS zustellt damit ich sofort (auch in der früh um 4 uhr) das update (zb. Panel die 30igste) sofort installieren .... quatsch - scherz beiseite... Urlaub ist Urlaub - da gibts einfach keine Updates :)

Mein hund muss schließlich auch selbst zu seinem Fressen kommen, wenn ich im Urlaub bin :-)

Wobei hier natürlich zu differenzieren ist:

ist es eine Page mit 10.000 Usern wovon Arbeitsplätze abhängig sind oder ist es die private Homepage vom Dorfzahnarzt in Hinterbrühl das noch immer nicht in der aktuellen Landkarte eingezeichnet ist ...

Abgesehen davon müsste ich viele Installationen beinahe täglich updaten, weil immer irgendein Modul gerade ein Update erfährt. Aber nicht jede Site kann man mal wie man lustig ist eben ausknipsen, updaten, hoffen, dass alles läuft, wieder anschalten und den Besuchern in der Zwischenzeit eine lange Nase zeigen.

Sprich, Updates laufen auf und irgendwann muss man sich mit dem Kunden auf einen Termin verständigen zu dem dann die anstehenden Updates im Rahmen einer geplanten Wartung durchgeführt werden.

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de