Re: debian-edu empfiehlt+enthält cipux _NICHT_

[Kurt Gramlich <kurt@skolelinux.de>]

* Holger Levsen <holger@layer-acht.org> [070628 20:25]:

> Hi,
> 
> auf die Gefahr hin, hiermit einen Flamewar loszutreten... das ist mir nämlich 
> um einiges lieber, als später Schadensbegrenzung wg gehackter Debian-Edu 
> Installationen zu haben...

Die Sicherheitsprobleme an den Schulen sind ganz anderer Natur.
So ganz verstehe ich deine Aufregung nicht. CipUX installiert
doch z.Z. nur der, der weisz was er will? 

> 
> On Friday 08 June 2007 19:20, Jan-Benedict Glaw wrote:
> > Laut der URL von oben ist der Anspruch:
> > ---------------------------------------------------------------
> >     Weiterhin ist zu prüfen, ob vorhandene proprietäre
> >     Software unter Skolelinux weiterhin nutzbar bleibt. Das
> >     Adminstrationswerkzeug CiPUX soll so konfiguriert und
> >     erweitert werden, dass es für fachfremde Kollegen nutzbar
> >     ist.
> 
> Debian-Edu etch wird Cipux nicht enthalten und wohl auch nicht empfehlen, es 
> einzusetzen, weil es unfertige Software ist (die einen höchst sensiblen 
> Sicherheitskritischen Verwendungszweck hat). 

> Cipux wird dazu benutzt, daß LDAP mit root-Rechten zu konfigurieren, d.h. wer 
> Cipux hackt, hackt alle angeschlossenen Rechner. Dabei verfügt der Code (nach 
> der Aussage von drei unabhängigen Prüfern) über keine Input-Validierung 
> (*ALARMGLOCKEN schrill*). 

Bitte hier die Namen der drei Pruefer offenlegen!

> Ergo: testet und benutzt lwat (das Default-LDAP-Admintool von Debian-edu 
> etch), meldet Probleme/Missing Features, damit lwat noch besser zu benutzen 
> ist.

Du magst der Auffassung sein, das lwat verbessert werden soll.
Hier sind eine ganze Reihe von Leuten der Auffassung, dass CipUX
verbessert werden soll.

Ich bitte alle, die an CipUX arbeiten, sich nicht
demotivieren zu lassen und die Entwicklung in gleichem Tempo
fortzusetzen, wie in den letzten Wochen!

CipUX ist hier in mehreren Schulen im erfolgreich im Einsatz. Es
entspricht dem, was Schulen fuer die leichte und dauerhafte
Pflege des Systems benoetigen.


> Gruß,
> 	Holger, dem es wirklich leid tut, Leuten hier auf die Füße zu treten und 
> 		ihre Arbeit "schlechtzumachen". Allerdings gefährdet IMO diese Arbeit
> 		das Projekt... und auf meine privaten (und öffentlichen) Mails vor 
> 		einem Monat wurde nicht reagiert. Ergo diese Mail :/

Deiner Meinung nach gefaehrdet die Arbeit an CipUX das Projekt?

Sie bereichert das Projekt um dringend notwendige Features.
Deshalb wird CipUX auch hier von Administratoren aus den Schulen
iimmer wieder nachgefragt.

> Please read http://www.unix.org.ua/orelly/linux/cgi/ch08_04.htm
> 
> Quote: "It was created for situations when security is important, such as 
> writing Perl programs that run as root or CGI scripts. You should always use 
> taint mode in your CGI scripts."

Passen diese Aussagen zu CGI ueberhaupt auf den rpc Server?
Oder wurde hier vielleicht etwas verwechselst?

Wir brauchen auch keinen Flameware, das ist nur Zeit und
Energieverschwendung. 
Wir sollten unsere (damit meine ich alle von Skolelinux/DebianEdu/CipUX) 
sehr gute Arbeit fortsetzen.

Wir haben hier unterschiedliche Auffassungen und das halten
wir aus.

Also: Ich freue mich auf das baldige Release von
Etch - DebianEdu !

CipUX wird hier weiterentwickelt, der Buildserver im Testzentrum
leistet gute Arbeit, die Pakete werden nach jedem commit neu
gebaut, das franzoesische Team hat die Arbeit am moodle plugin
endlich wieder aufgenommen, die Dokumentation ist organisiert,
die Zahl der Mitarbeitenden an CipUX waechst weiter, die inoffiziellen 
Debian Pakete sind von http://debian.cipworx.org/ jeweils zu erhalten und 
ich finde, das ist eine gute Entwicklung.

Alle, die Interesse haben, sollten sich an den Tests beteiligen
und dafuer sorgen, dass DebianEdu/Skolelinux die beste Plattform
fuer Freie Software in den Schulen wird.

Vielleicht wird CipUX zu einem der sichersten
Werkzeuge von Skolelinux?

Deshalb auch danke fuer deine Sorgen, 
aber ich teile diese nicht.

Viele Gruesse/Regards
Kurt
-- 
kurt@skolelinux.de GnuPG Key ID E263 FCD4