|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
OpenBSD prahlt immer so mit seiner Sicherheit. Trotzdem wird Software eingesetzt, die den Ruf hat, inhaerent unsicher zu sein. Es gibt alternativen zu Bind, sei das nun maradns, pdns, powerdns, djbdns etc. pp.
Ebenso liefert OpenBSD sendmail aus. Eine Software mit soviel Features kann einfach nicht mehr sicher sein. (Und neue Sicherheitsloecher treten auch staendig auf. Auch hier gibt es Alternativen, z.B. postfix und qmail. (Exim wuerde ich wegen seines miserablen Designs nicht dazuzaehlen).
Ich werd, trotz mieser Lizenz, und den Problemen, die sich daraus ergeben, das der Author arrogant ist, djbware benutzen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BIND hat nicht allgemein den Ruf, unsicher zu sein. Der ist für BIND8 reserviert. BIND4 gilt als sehr sicher, hat kaum Security-Updates, bietet aber im Vergleich zu BIND8 und BIND9 relativ wenig Funktionen. BIND9 wiederum ist ein kompetter Rewrite von BIND8 mit zusätzlichen Features. Es gilt als sicher, hat ebenfalls kaum Security-Updates, hat sich aber noch nicht so lange "in real life" behaupten müssen wie BIND4 oder BIND8.
Bei den Mailclients stellst du dir mit der Behauptung "etwas so Featurerreiches ist immer unsicher" selbst ein Bein, denn Qmail ist nicht kleiner als Sendmail. QMail gilt als sicherer, wird aber von vielen Administratoren der umständlichen Konfiguration wegen abgelehnt. Postfix und Exim wiederum bieten nicht dieselbe Menge an Features, und sind daher für manche MXen nicht ausreichend.
BIND und Sendmail sind im UNIX-Bereich immer noch Referenz. Keine ernstzunehmende Serverdistribution kommt ohne diese beiden Programme aus. Was aber gerade bei Sendmail immer häufiger vorkommt, ist, dass es nur noch als Option dabei sind, statt als Standard.
|
|
|
|
|
|
|
|
|
|
|
|
|
BIND hat ueber alle Versionen hinweggesehen eine absolut miese Sicherheitshistorie. Deswegen setze ich diese Software nicht ein. Wenn BIND9 in einem Jahr noch gut dasteht, kann man vielleicht darueber nachdenken, aber die BIND Developer muessen sich erstmal rehabilitieren.
qmail ist nicht kleiner als sendmail?
Aehm. Wollen wir mal schauen:
% basename `pwd` ; wc -l *.h *.c | tail -1
qmail-1.03
16617 total
% basename `pwd` ; wc -l `find . -name '*.c' -o -name '*.h'` | tail -1
sendmail-8.12.7
124016 total
Fast 7x soviel LOC. Natuerlich, blank lines und Kommentare existieren, aber einen Ueberblick gibt das schon.
Dazu kommen, das qmail vieles nicht kann, das sendmail kann. z.B. Automatisches 2nd-mx wenn als MX eingetragen, TLS, SMTP AUTH, SASL, etc. pp.
qmail _hat_ features, aber sendmail hat einige mehr. Und ich wuerde nicht behaupten, das postfix weniger Features hat als qmail. z.B. kann postfix IPv6 und TLS, was qmail leider nicht beherrscht. Exim ist ebenfalls sehr maechtig, was seine Features angeht, aufgrund des monilithischen Konzepts jedoch indiskutabel.
Was an qmail umstaendlich sein soll, lass ich mir gerne erklaeren.
BIND und Sendmail sind einfach Altlasten, die leider immer noch eingesetzt werden. Das macht sie nicht besser.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 21. January, 18:27 MEW (#5)
|
|
|
|
|
Ich denke das Problem ist halt auch, das einige Leute immernoch Sendmail haben _wollen_, eben weil sie sich damit auskennen und es genug Doku gibt. Macht halt schon einen Unterschied ob ich Sendmail in 30 Minuten konfiguriere, weil ich die Syntax kenne oder mich mit qmail einen Tag lang rumschlage, weil ich eben alles neu lernen muss. Das gleiche gilt imho auch fuer Bind & Co.
Auch mag gerade bei Qmail nicht jeder die Lizens, eben weil es keine GPL ist :)
Gruesse Eric
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Sorry. Mit QMail war ich ungenau. Gemeint war nicht die Standarddistribution, wie sie auf cr.yp.to heruntergeladen werden kann, sondern dass, was (meinen Erfahrungen gemäss) bei den meisten Betreibern im Einsatz ist. Will heissen: gepatched bis zum geht nicht mehr. Diese angepassten QMail-Server sind in der Regel rein Codemässig immer noch kleiner als Sendmail, stehen ihm aber vom Funktionsumfang her kaum noch nach, weil hier massiv nachgerüstet wurde. Ausserdem sollte man nicht vergessen, das QMail einige Funktionen bietet, die Sendmail wiederum nicht hat.
Was die angeblich umständliche Bedienung angeht, kann ich nur sagen, was ich von den Mailadmins weiss (bin ja selbst keiner). Der Tenor ist allgemein, das sowohl Sendmail wie auch QMail umständlich zu konfigurieren seien, dass aber Sendmail seine Konfiguration zumindest auf eine Handvoll Dateien beschränkt. Sogar von den QMail-Benutzern wird das häufig als Nachteil genannt. Als Vorteil von QMail gilt hingegen die hohe Sicherheit, was wiederum auch von Sendmail-Benutzern eingestanden wird.
Was die Sicherheit von BIND betrifft, kann ich mich nur wiederholen: Mit Ausnahme von BIND8 ist BIND deutlich besser als sein Ruf. Ausserdem ist das ISC sehr schnell mit Sicherhheitsupdates, so dass Probleme schnell behoben werden können. Djbdns hat sicher seinen Platz. Ich setze es zum Teil auch ein. Aber es ist kein vollwertiger Ersatz für BIND. Verschiedene Services können nur mühsam zur Verfügung gestellt werden, und manche speziellere Sachen funktionieren schlicht nicht. Für wirklich brauchbar halt ich ihn persönlich nur für kleinere Zonen von vielleicht ein paar hundert fixen Einträgen und möglichst keinen dynamischen Einträgen.
|
|
|
|
|
|
|
|
|
|
|
|
|
OpenBSD, kann nicht einfach so alle Software ins Basissystem aufnehmen, denn dazu muss die Software unter der BSD Lizens stehen.
Dies ist wichtig, da es ein Ziel von OpenBSD ist ein freies Betriebssystem zu sein, dass Du einsetzen kanst für was immer Du willst. Auch wenn Du den Code nicht mehr mitlieferst.
Auch liefert OpenBSD die Software nicht im original Zustatnd aus sonder nimmt ein recht umfangreiches Codeautiting vor.
Ein Grossteil der Programme die Du erwähnst, findes Du unter den Ports!
|
|
|
|
|
|
|
|
|
|
|
|
|
Hmm, Postfix als Default-MTA faend ich jetzt noch begruessenswert. IIRC steht dieser unter der IBM irgendwas blahblubber Lizenz. qmail wuerd ich niemandem als Default MTA zumuten wollen ;)
Und ja, das mit qmail lizenzprobleme entstehen sind mir auch klar. Ich mags ja auch nicht ;)
|
|
|
|
|
|
|
|
|
|
|
|
|
NetBSD liefert Sendmail und Postfix mit.
|
|
|
|
|
|
|
|
|
|
|
|
|
Nö, mit OpenBSD sendmail hatte ich noch nie Probleme.
Ansonsten nehme ich aber doch djbdns und hab selbst
für einen IPv6-awaren Port gesorgt.
http://mitglied.lycos.de/tygs/pub/my-ports.tgz
--
mirabile, irc.ipv6.openprojects.net:6667 {#deutsch,#IceWM,#OpenBSD,#OpenBSD.de,#IPv6,#freenode.de,...}
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 22. January, 13:58 MEW (#10)
|
|
|
|
|
Was am Design von Exim ist denn miserabel?
|
|
|
|
|
|
|
FUD (Score:1, Tiefsinnig)
|
|
|
|
Von Anonymer Feigling am Wednesday 22. January, 09:36 MEW (#8)
|
|
|
|
|
Ich weiss nicht wo dein Problem ist. Solange gefundene Sicherheitslücken umgehend gefixt werden ist doch alles OK. Deiner Argumentation nach dürfen man nämlich auch kein OpenSSH benutzt oder gibt es bis heute eine ohne Lücken?
|
|
|
|
|
|
