Hi,
ich hoffe, ich bin hier im richtigen Forum. Falls nicht: bitte verschieben.
Die Aussage im Titel erhielt ich, als es um das Thema IT-Sicherheit hier in Wiesbaden ging. Konkret ging es um diesen Server: https://piwi.wiesbaden.de/
Und meine Aussage lautete: dieser Server ist unsicher. Als Begründung gab ich an, daß der Server TLS in der Version 1.0 verwendet, und die Details hatte ich schon mal in meinem Blog dargestellt: http://linux-fuer-wi.blogspot.com/2017/01/tls.html/
Insgesamt gibt es dort 3 Artikel zu diesem Thema.
Nun bin ich kein Administrator, aber ich denke, meine Aussage ist richtig: der Server ist unsicher. Und da ich kein Administrator bin, bitte ich Euch um Unterstützung.
Frage #1: ist meine Aussage richtig? Oder ist die Aussage, wie zitiert in der Überschrift, richtig?
Nun hatte ich das mal geprüft und festgestellt, daß dieser Server unter Ubuntu-Server läuft, zusammen mit Apache. Damit komme ich zur nächsten Frage:
Frage #2: wie groß ist der zeitliche Aufwand, die Software auf TLS in der Version 1.2 zu bringen?
Nach meinem Verständnis bedeutet dies den Austausch des entsprechenden Moduls in Apache sowie den Austausch der library zu Open-SSL. Ich hatte mal gesagt, daß man dies in 2 Stunden machen könnte.
Leider kann ich die genaue Version des Server-OS als auch Apache hier nicht angeben. Diese Informationen hatte ich mir einmal geholt, aber ich habe den Eindruck, daß man dies mittlerweile dicht gemacht hat.
Frage #3: kann dies sein?
Falls dies richtig ist, so hätte man nicht das Problem behoben sondern nur die Abfragen unterbunden.
Da dieser Server mit TLS 1.0 läuft gehe ich davon aus, daß dieser Server generell nicht gepflegt ist. Und somit vermute ich, daß auch die übrigen Patches für das Betriebssystem und Apache nicht eingespielt wurden. Ich kenne den Aktualisierungsprozess für die Desktop-Variante von Ubuntu, aber nicht für die Server-Variante.
Frage #4: wie läuft das Einspielen der Aktualisierungen unter der Server-Variante von Ubuntu?
Bei meinem Ubuntu läuft das über ein kleines Icon, auf das ich klicke und dann den Vorgang starte. Ein Server läuft ohne grafische Oberfläche (so kenne ich Server), da kenne ich dies nicht. Und deshalb meine Frage.
Weitere Fragen werde ich vermutlich noch stellen, dies ist mal ein Anfang.
Schöne Grüße AugustQ
PS: die Angaben zu Betriebssystem und Version sind Schätzungen, da ich diese hier eingeben musste.
Moderiert von jug:
Thema in einen passenderen Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) in jedem Forenbereich. Danke.