Am 2004-05-31 22:47:40, schrieb Christian Schulte:
>Michelle Konzack wrote:
>>
>>Bin jedenfals mit SARGE/SID nicht zufrieden...
>>
>>
>>Greetings
>>Michelle
>>
>
>Hallo,
>
>ich kann das hier alles irgendwie nicht mehr richtig nachvollziehen.
Wieso ? - Die Diskusion betrifft ja ein 100% SARGE/SID. s.u.
>Hier mal ein Beispiel:
>Ich verwende auf einem Server Woody. Dummerweise sind im Woody jetzt
Ich auch...
>aber einige Pakete dermassen alt, dass ich neuere Versionen davon
>benötige. Ich benötige unter anderem ein Sendmail, dass gegen libsasl2
>gelinkt ist, und habe da dann noch spamassassin, f-prot, clamav und
'spamassassin' 2.63 und 'f-prot' habe ich auch...
Ersterer ist bereits masiv getestet und läuft perfect.
Zweiterer is closed Source und Du hast keine andere Wahl...
>cyrus-imapd selber, da ich das virtual-domain-feature benötige und es
Ich habe 'samba' und 'postgresql' als Backports laufen...
Pach und mache sie selber als Debian-Paket.
>Quellpakete einzuspielen und dpkg-buildpackage durchzuführen. Selbst da
das ist Richtig... mache schon eine ganze
Weile einige AUSGESUCHTE Backports...
>vorhanden sein müssen. Will ich also bei Woody bleiben, dann gibt es
>erstmal keine andere Möglichkeit, als alle diese Software direkt selber
>von den Upstream-Autoren zu besorgen und zu kompilieren. Naja. Wenn ich
Stimmt nicht, nur teilweise, denn die Sourcen aus SID sind
meistens mit denen der UPSTREAM identisch...
>Ich habe z.B. das Glück, dass bis auf den cyrus-imapd sämtliche andere
>Software in entweder testing oder unstable zur Verfügung steht. Also
Wie bei mir zu 80%
>konfiguriere ich apt so, dass es als default-release auf stable bleibt,
>und packe in die sources.list noch testing und unstable mit rein.
Ich habe
deb file:/home/ftp/debian compiled main
deb ftp://ftp.de.debian.org/debian woody main
deb ftp://ftp.de.debian.org/debian sid main
deb-src ftp://ftp.de.debian.org/debian sid main
Default Release ist WOODY
>Hiernach mache ich ein apt-get update/upgrade/dist-upgrade um zu
>überprüfen ob alles klappt. Das sollte dann erstmal keine neuen Pakete
>einspielen. Jetzt kommt aber das Problem. Wenn ich jetzt mit z.B.
Das ist richtig...
>aptitude die fehlenden Pakete aus testing oder unstable installiere,
>dann haben die natürlich alle Abhängigkeiten in andere Pakete von
>testing oder unstable. Will heissen, ich habe nach dem Installieren der
>in Woody fehlenden Software zwar alles so, wie ich es brauche, ein
>apt-show-versions zeigt aber danach auch zu ca. 60% Pakete aus testing
>oder unstable. Von meinem Woody bleibt also nicht mehr viel übrig dabei.
>Nichtmal die libc6.
1) Wenn ich was installieren will was in SID ist,
schau ich mir das mit apt-get erst mal an...
2) Mach mit dem gleichen Packet ein 'apt-get build-dep'
3) Sollten Pakete auftauchen, die es in woody nicht gibt,
werden sie ebenfals gebastelt.
4) Nun ein 'apt-get source' auf das gewünschte Packet
5) control und Changelog geändert...
6) dpkg-buildpackage
Und schon habe ich win WOODYsiertes Packet.
>Niemand stellt ein Paket in Debian bereit, dass er nicht auch pflegt und
>bei entsprechenden Problemen updatet. Jetzt lese ich hier zwar das
Das ist Richtig...
Bastele pro Woche auch ein paar Packete...
>genaue Gegenteil, muss dazu aber sagen, dass mir das bei den Paketen,
>die ich aus testing oder unstable benutze, noch nie passiert ist. Da
>kommen Updates immer so, wie ich sie auch selber durchgeführt hätte,
>wenn ich alles selber bauen würde. Teilweise sogar schneller!
Ist mir auch schon passiert...
Norbert zum Beispiel war manchmal einen Tag langsamer...
Allerdings gehen wie hier von Servern aus !
Bei den Desktop-Paketen ist das nicht der Fall...
...und daran wird es dann wieder happern !
>Das einzige, was bei meinem Vorgehen ein echter Nachteil zu sein scheint
> war, dass ich nach einem harten Plattencrash mit md5sums (oder so
>ähnlich) nachschauen wollte, welche Pakete re-installiert werden müssen.
>Dabei bemerkte ich, dass einige Pakete keine MD5-Prüfsumme
>bereitstellen. Ich weiss jetzt zwar nicht mehr, ob das zufällig auf die
Nicht alle Maintainer verwenden 'dh_md5sums' in der rules
>Pakete aus testing oder unstable zutraf, es war aber schon irgendwie
>ärgerlich, weil ich genau diese Pakete ohne Prüfsumme dann einfach alle
>neu installieren musste, um sicher sein zu können, nicht irgendwo noch
>irgendwelche Leichen im System zu haben.
Ich mache eigentlich einen md5sums Test direkt nach der Installation...
>Nachdem was ich jetzt hier so gelesen habe stellen sich mir da aber dann
>doch einige Fragen:
>
>1. Was ist an meinem Vorgehen unsicherer, wenn ich mich auf die
>Maintainer verlassen kann ?
Naja, ich habe die Erfahrung gemacht, das gewisse Upstreams und
Maintainer sehr schnell reagieren, besonderst was den Serberbereich
betrifft...
>2. Wie kann ich es hinbekommen komplett bei Woody zu bleiben, ohne die
>fehlende Software selber zu bauen, und ohne irgendwelche fremden Pakete
>zu benutzen, die nicht von irgendeinem Debian-Spiegel stammen ?
Also die gesammte Serversoftware (wenn notwendig) beziehe ich aus SID.
Nur Ausnahmen hole ich mir vom Upstream.
>3. Wer macht das ähnlich und würde davon mitlerweile abraten ?
also s.o.
>4. Welchen Sinn macht Debian noch, wenn ich genau das, was ich damit
>mache, scheinbar besser lassen sollte ? Siehe oben. Dann kann ich auch
>auf ein BSD umsteigen und mich wirklich um jeden Dreck wieder selber
>kümmern. Bei kleiner Anzahl Maschinen mit Sicherheit auch kein grosses
Nur teilweise...
Wirklich sicher SERVER Systeme sollten eine ausgereifte Basis
aus WOODY bekommen. Und dann ausgewählte Backports bekommen.
>Thema. Bei grosser Anzahl von Maschinen werde ich aber irgendwann ein
>eigenes Paket-Archiv erstellen müssen, und eine zustäzliche Zeile in
Ist doch nicht schwer...
proftpd auf der entwicklermashine installiert und schon haste
einen $USER ftp.
Da machste dann Deine Debian-Verzeichnisstruktur rein (ich
verwende den Old-Style mirror) erstellst die Packages.gz mit
'dpkg-scanpackages' und kannst danach wie gewohnt mir
'apt-get' installieren
>jede sources.list eintragen, damit meine eigenen Pakete
>"administrierbar" werden. Diese eigene sources.list Zeile entspräche in
>meinem Fall jetzt aber eigendlich genau testing bzw. zu einem kleinen
>Teil unstable! Warum dann also die nicht auch benutzen ?
Weil Du bei WOOODY eine stabiles Basissystem hast, das keine
Schwierigkeiten mehr macht, im gegensatz zu meiner Erfahrung
mir SARGE/SID.
>5. Wie sollte Debian sich weiterentwickeln können, wenn alle nur die
>Stable-Release benutzen und niemand die Pakete aus testing oder unstable
>auch nur anrührt ?
Sie werden ja ausgewählt von jede menge $USER verwendet...
Allerdings nicht auf aktiven/produktiven Server-Systemen.
Ich habe auch erst mal 3 Monate die neue postgresql auf nem
kleinen Raid-5 mit 3x 60 GByte (mein testrechner) getestet.
bevor ich sie auf ne mittlerweile 92 GByte große Datenbank
loßgelassen habe (wird pro Monat 1 GByte mehr)
Dazu kommt der zweite Partner-Server (apache-ssl) der über
280 GByte binären Daten (wave, mpg, doc, xls,...) trägt
Da pase ich dreimal auf, was ich installieren...
Habe nämlich kein DLT auf dem ich Sichern kann...
(Muß mit 12/24 GByte DAT's herumhantieren)
>6. Was ist daran unsicherer den Apache aus Woody (ich glaube 1.3.26) im
>Vergleich zu dem aus unstable (1.3.31) zu verwenden ? Ich kann doch
>eigendlich davon ausgehen, dass ein Sicherheitsloch im Woody-Apache auch
>sofort in unstable (wenn nicht sogar da zuerst) gefixt wird, oder ? Ich
Ich selber verwende den aus SID. Nachdem ich weis, das jede
menge ISP's ihn erfolgreich verwenden und auch bei mir die
Cracker bis jetzt (!!!) nichts anrichten konnten...
Wie schon erwähnt, sind die die Maintainer der Server-Software
wesentlich schneller mit Bug-Fixes... warscheinlich, weil
einfach mehr dahintersteckt...
Wer interessiert sich schon für nen Desktop ?
Es sind ja die ISP's die apache, proftpd, courier, exim und
postfix einsetzen...
>habe schon verstanden, dass es für testing und unstable kein
>_Debian_-Security-Team gibt. Das ändert aber doch nichts daran, dass
>zumindest derjenige, der z.B. den 1.3.31 Apache in unstable
>bereitstellt, sich auch um die Sicherheit seines Paketes, dass er
>höchstwahrscheinlich selber auf seinen Maschinen verwendet, kümmert.
>Warum sollte es denn sonst den 1.3.31 unstable Apache überhaupt geben ?
>Es ist doch richtig, dass ich davon ausgehen kann, dass die
>entsprechenden Maintainer ihre eigenen Pakete zumindest selber benutzen,
>oder ?
Nein, nicht alle aber ein paar.
Es gibt viele die Debian-Maintainer die NUR Packen...
>7. Habe ich Debian wirklich so komplett falsch verstanden ? Ich bin
>bisher eigendlich recht begeistert davon!
Also ich bin sehr begeistert von Debian, seit 03/1999
>Christian
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature