Am 2004-05-31 22:47:40, schrieb Christian Schulte: >Michelle Konzack wrote: >> >>Bin jedenfals mit SARGE/SID nicht zufrieden... >> >> >>Greetings >>Michelle >> > >Hallo, > >ich kann das hier alles irgendwie nicht mehr richtig nachvollziehen. Wieso ? - Die Diskusion betrifft ja ein 100% SARGE/SID. s.u. >Hier mal ein Beispiel: >Ich verwende auf einem Server Woody. Dummerweise sind im Woody jetzt Ich auch... >aber einige Pakete dermassen alt, dass ich neuere Versionen davon >benötige. Ich benötige unter anderem ein Sendmail, dass gegen libsasl2 >gelinkt ist, und habe da dann noch spamassassin, f-prot, clamav und 'spamassassin' 2.63 und 'f-prot' habe ich auch... Ersterer ist bereits masiv getestet und läuft perfect. Zweiterer is closed Source und Du hast keine andere Wahl... >cyrus-imapd selber, da ich das virtual-domain-feature benötige und es Ich habe 'samba' und 'postgresql' als Backports laufen... Pach und mache sie selber als Debian-Paket. >Quellpakete einzuspielen und dpkg-buildpackage durchzuführen. Selbst da das ist Richtig... mache schon eine ganze Weile einige AUSGESUCHTE Backports... >vorhanden sein müssen. Will ich also bei Woody bleiben, dann gibt es >erstmal keine andere Möglichkeit, als alle diese Software direkt selber >von den Upstream-Autoren zu besorgen und zu kompilieren. Naja. Wenn ich Stimmt nicht, nur teilweise, denn die Sourcen aus SID sind meistens mit denen der UPSTREAM identisch... >Ich habe z.B. das Glück, dass bis auf den cyrus-imapd sämtliche andere >Software in entweder testing oder unstable zur Verfügung steht. Also Wie bei mir zu 80% >konfiguriere ich apt so, dass es als default-release auf stable bleibt, >und packe in die sources.list noch testing und unstable mit rein. Ich habe deb file:/home/ftp/debian compiled main deb ftp://ftp.de.debian.org/debian woody main deb ftp://ftp.de.debian.org/debian sid main deb-src ftp://ftp.de.debian.org/debian sid main Default Release ist WOODY >Hiernach mache ich ein apt-get update/upgrade/dist-upgrade um zu >überprüfen ob alles klappt. Das sollte dann erstmal keine neuen Pakete >einspielen. Jetzt kommt aber das Problem. Wenn ich jetzt mit z.B. Das ist richtig... >aptitude die fehlenden Pakete aus testing oder unstable installiere, >dann haben die natürlich alle Abhängigkeiten in andere Pakete von >testing oder unstable. Will heissen, ich habe nach dem Installieren der >in Woody fehlenden Software zwar alles so, wie ich es brauche, ein >apt-show-versions zeigt aber danach auch zu ca. 60% Pakete aus testing >oder unstable. Von meinem Woody bleibt also nicht mehr viel übrig dabei. >Nichtmal die libc6. 1) Wenn ich was installieren will was in SID ist, schau ich mir das mit apt-get erst mal an... 2) Mach mit dem gleichen Packet ein 'apt-get build-dep' 3) Sollten Pakete auftauchen, die es in woody nicht gibt, werden sie ebenfals gebastelt. 4) Nun ein 'apt-get source' auf das gewünschte Packet 5) control und Changelog geändert... 6) dpkg-buildpackage Und schon habe ich win WOODYsiertes Packet. >Niemand stellt ein Paket in Debian bereit, dass er nicht auch pflegt und >bei entsprechenden Problemen updatet. Jetzt lese ich hier zwar das Das ist Richtig... Bastele pro Woche auch ein paar Packete... >genaue Gegenteil, muss dazu aber sagen, dass mir das bei den Paketen, >die ich aus testing oder unstable benutze, noch nie passiert ist. Da >kommen Updates immer so, wie ich sie auch selber durchgeführt hätte, >wenn ich alles selber bauen würde. Teilweise sogar schneller! Ist mir auch schon passiert... Norbert zum Beispiel war manchmal einen Tag langsamer... Allerdings gehen wie hier von Servern aus ! Bei den Desktop-Paketen ist das nicht der Fall... ...und daran wird es dann wieder happern ! >Das einzige, was bei meinem Vorgehen ein echter Nachteil zu sein scheint > war, dass ich nach einem harten Plattencrash mit md5sums (oder so >ähnlich) nachschauen wollte, welche Pakete re-installiert werden müssen. >Dabei bemerkte ich, dass einige Pakete keine MD5-Prüfsumme >bereitstellen. Ich weiss jetzt zwar nicht mehr, ob das zufällig auf die Nicht alle Maintainer verwenden 'dh_md5sums' in der rules >Pakete aus testing oder unstable zutraf, es war aber schon irgendwie >ärgerlich, weil ich genau diese Pakete ohne Prüfsumme dann einfach alle >neu installieren musste, um sicher sein zu können, nicht irgendwo noch >irgendwelche Leichen im System zu haben. Ich mache eigentlich einen md5sums Test direkt nach der Installation... >Nachdem was ich jetzt hier so gelesen habe stellen sich mir da aber dann >doch einige Fragen: > >1. Was ist an meinem Vorgehen unsicherer, wenn ich mich auf die >Maintainer verlassen kann ? Naja, ich habe die Erfahrung gemacht, das gewisse Upstreams und Maintainer sehr schnell reagieren, besonderst was den Serberbereich betrifft... >2. Wie kann ich es hinbekommen komplett bei Woody zu bleiben, ohne die >fehlende Software selber zu bauen, und ohne irgendwelche fremden Pakete >zu benutzen, die nicht von irgendeinem Debian-Spiegel stammen ? Also die gesammte Serversoftware (wenn notwendig) beziehe ich aus SID. Nur Ausnahmen hole ich mir vom Upstream. >3. Wer macht das ähnlich und würde davon mitlerweile abraten ? also s.o. >4. Welchen Sinn macht Debian noch, wenn ich genau das, was ich damit >mache, scheinbar besser lassen sollte ? Siehe oben. Dann kann ich auch >auf ein BSD umsteigen und mich wirklich um jeden Dreck wieder selber >kümmern. Bei kleiner Anzahl Maschinen mit Sicherheit auch kein grosses Nur teilweise... Wirklich sicher SERVER Systeme sollten eine ausgereifte Basis aus WOODY bekommen. Und dann ausgewählte Backports bekommen. >Thema. Bei grosser Anzahl von Maschinen werde ich aber irgendwann ein >eigenes Paket-Archiv erstellen müssen, und eine zustäzliche Zeile in Ist doch nicht schwer... proftpd auf der entwicklermashine installiert und schon haste einen $USER ftp. Da machste dann Deine Debian-Verzeichnisstruktur rein (ich verwende den Old-Style mirror) erstellst die Packages.gz mit 'dpkg-scanpackages' und kannst danach wie gewohnt mir 'apt-get' installieren >jede sources.list eintragen, damit meine eigenen Pakete >"administrierbar" werden. Diese eigene sources.list Zeile entspräche in >meinem Fall jetzt aber eigendlich genau testing bzw. zu einem kleinen >Teil unstable! Warum dann also die nicht auch benutzen ? Weil Du bei WOOODY eine stabiles Basissystem hast, das keine Schwierigkeiten mehr macht, im gegensatz zu meiner Erfahrung mir SARGE/SID. >5. Wie sollte Debian sich weiterentwickeln können, wenn alle nur die >Stable-Release benutzen und niemand die Pakete aus testing oder unstable >auch nur anrührt ? Sie werden ja ausgewählt von jede menge $USER verwendet... Allerdings nicht auf aktiven/produktiven Server-Systemen. Ich habe auch erst mal 3 Monate die neue postgresql auf nem kleinen Raid-5 mit 3x 60 GByte (mein testrechner) getestet. bevor ich sie auf ne mittlerweile 92 GByte große Datenbank loßgelassen habe (wird pro Monat 1 GByte mehr) Dazu kommt der zweite Partner-Server (apache-ssl) der über 280 GByte binären Daten (wave, mpg, doc, xls,...) trägt Da pase ich dreimal auf, was ich installieren... Habe nämlich kein DLT auf dem ich Sichern kann... (Muß mit 12/24 GByte DAT's herumhantieren) >6. Was ist daran unsicherer den Apache aus Woody (ich glaube 1.3.26) im >Vergleich zu dem aus unstable (1.3.31) zu verwenden ? Ich kann doch >eigendlich davon ausgehen, dass ein Sicherheitsloch im Woody-Apache auch >sofort in unstable (wenn nicht sogar da zuerst) gefixt wird, oder ? Ich Ich selber verwende den aus SID. Nachdem ich weis, das jede menge ISP's ihn erfolgreich verwenden und auch bei mir die Cracker bis jetzt (!!!) nichts anrichten konnten... Wie schon erwähnt, sind die die Maintainer der Server-Software wesentlich schneller mit Bug-Fixes... warscheinlich, weil einfach mehr dahintersteckt... Wer interessiert sich schon für nen Desktop ? Es sind ja die ISP's die apache, proftpd, courier, exim und postfix einsetzen... >habe schon verstanden, dass es für testing und unstable kein >_Debian_-Security-Team gibt. Das ändert aber doch nichts daran, dass >zumindest derjenige, der z.B. den 1.3.31 Apache in unstable >bereitstellt, sich auch um die Sicherheit seines Paketes, dass er >höchstwahrscheinlich selber auf seinen Maschinen verwendet, kümmert. >Warum sollte es denn sonst den 1.3.31 unstable Apache überhaupt geben ? >Es ist doch richtig, dass ich davon ausgehen kann, dass die >entsprechenden Maintainer ihre eigenen Pakete zumindest selber benutzen, >oder ? Nein, nicht alle aber ein paar. Es gibt viele die Debian-Maintainer die NUR Packen... >7. Habe ich Debian wirklich so komplett falsch verstanden ? Ich bin >bisher eigendlich recht begeistert davon! Also ich bin sehr begeistert von Debian, seit 03/1999 >Christian Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature