[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [lunghissimo] Perchè usare distribuzioni con pacchetti aggiornati, su desktop



Scusate il post lungo, e non prendetelo come una flame, assolutamente. Cerco
solo di spiegare il mio parere di affezionato alla debian che però ritiene
che troppo lavoro venga sprecato per mantenere pacchetti che non ne
avrebbero alcun bisogno - e in definitiva per tentare di avere una
distribuzione all-purpose, e quindi anche desktop che tale non è.

Luca Bruno wrote:

>> Attualmente ubuntu e sarge sono molto simili come pacchetti, non c'è
>> una vera differenza (cioè, quelli di ubuntu sono un po' più aggiornati
>> a meno che kde 3.4 non sia entrato in sarge in mia "assenza") :)
> 
> kde 3.4 non entrerà MAI in sarge, per una ben precisa ragione:
> meglio passare un mese a correggere tutti i buchi e sistemare ogni
> piccola cosa, che non a correre dietro agli upstream e rappezzare i loro
> errori.
> Se proprio non puoi vivere senza PACCHETTOFIGO rilasciato 5 secondi fa,
> viaggia su sid e experimental.
> 

Cosa significa "non entrerà MAI in sarge"? Esattamente quello che c'è
scritto. Che adesso kde3.4 è nuovo e magari uno non si fida (ma poi di
cosa?) Però se sarge durerà più di un anno, non si tratterà di non aver
incluso un software all'ultima moda, ma piuttosto di essere diventato
obsoleto. Fra un anno kde 3.3 sarà probabilmente legacy oppure unsupported,
dal punto di vista dell'upstream. E debian continuerà ad averlo, a
backportare le patch, in buona sostanza a sprecare lavoro.

Ne vuoi una dimostrazione lampante? Prova a riportare un bug di gnome 1.2 a
woody. Glie ne frega qualcosa secondo te? E' da più di un anno che non
serve più a nulla usare gnome 1.2 Ti rendi conto che i due desktop di woody
sono kde 2, che bene o male funziona, e _gnome 1_, che è non solo obsoleto,
ma anche "sbagliato" a detta degli stessi autori? Cosa ci vedi di più
"sicuro" in gnome 1 rispetto a gnome 2?

>> Dopo sei mesi da quando sarge sarà dichiarata stabile, la differenza
>> sarà che ubuntu avrà i pacchetti aggiornati upstream, mentre debian
>> avrà i pacchetti con backport.
> 
> E non guarda profondamente alla sicurezza, come le release stabili di
> debian (d'altronde altrimenti perchè chiamarle stable, che implica anche
> sicure).
> 

Beh non mi aspetto francamente che mozilla 1.0 sia più sicuro di firefox 1.0
- è di due anni fa, il codice non è più mantenuto. Tra l'altro, non so se
l'hai notato, ma i programmi desktop in linux del problema "sicurezza" non
ne soffrono neanche lontanamente. Non ci sono virus o worm che infettino i
desktop degli utenti tramite l'email o altre fesserie del genere. Quindi
stare li a tenersi un desktop obsoleto pensando che sia più sicuro è una
vera e propria pippa mentale.

Se il discorso per i server è molto diverso,è pur vero che si stava parlando
di nuovi utenti che approcciano GNU/linux per uso domestico. E secondo me
consigliargli woody non ha il benchè minimo senso. Si troveranno di fronte
a programmi obsoleti che nessuno sa come rendere un po' più vivibili.

> E in questi tre anni quante volte la stable della debian ha dato noie
> sulla stabilità e sicurezza?

Sulla stabilità, tutte le volte che konqueror 2.2 o mozilla 1.0 sono
crashati su un sito a casaccio, o non gli è partito il flash. Quella di un
desktop woody non è stabilità, stabilità è un desktop con un mese di
uptime, dove fai il logout solo se ti serve, dove il browser lo apri per
navigare e lo chiudi quando hai finito, e nel frattempo i siti, quelli che
rispettano gli standard, li vedi come dice lo standard - cosa che si
ottiene applicando man mano _tutti_ i bugfix, non solo quelli collegati a
problemi di sicurezza.

Konqueror da woody ad oggi (diciamo a sei mesi fa, se no mi dite che ormai
sarge è in freeze, quando il discorso invece resta assolutamente identico
da un anno a questa parte) ha fatto passi da gigante, ma "debian stabile"
non ne ha giovato.

Sulla sicurezza, woody ha dato "noie" tutte le volte che c'è stato un
backport dall'upstream. Ma poi quali sarebbero le "noie" sulla sicurezza di
una macchina GNU/linux usata come desktop? Zero - casomai sei vulnerabile
ad attacchi di cracker lameroni o roba così. E li un firewall
preconfigurato ci sta benissimo.

> Certo due anni non sono un tempo ottimale di rilascio, ma ormai da un
> po' di tempo si sconsiglia una woody su desktop...
> 

Eh. Appunto. Quindi cosa si consiglia? Una sana testing? Che differenza c'è
in termini di sicurezza tra una ubuntu e una debian testing? Secondo me, o
meglio secondo la mia esperienza di utente simultaneo di sarge e ubuntu,
ubuntu ha aggiornamenti di sicurezza molto più puntuali di sarge. E anche
fedora - effettivamente uso quotidianamente tre computer con tre
distribuzioni diverse, non me ne ero reso conto, sono ormai fuso :)

E il perchè è scritto proprio sul sito debian. La sarge è "testing".

> Quando rilasci per 11 architetture diverse, vieni usato come base per
> molte altre distro, e vieni installato su workstation, server,
> stand-alon e computer vari, e difficile trovare un firewall che vada
> bene per tutti.

Ok, va bene. Ma le architetture desktop sono due. A che pro consigliare
debian per i desktop, anzichè una distribuzione derivata, specializzata per
i desktop, e quindi più completa _per un uso desktop_

> *La sicurezza non si misura certo in firewall grezzi
> nell'installazione*.

Beh, non scadiamo nei luoghi comuni. Un firewall attivato è sicuramente
meglio che non mettere nulla. Poi un conto è se questo tuo criterio lo
applichi ad un sistema aziendale da 100 pc dove vuoi proteggerti da tante
cose diverse.

Un altro conto è se lo applichi ad un sistema gnu/linux usato come desktop,
nel qual caso, IMHO, il livello sufficiente di sicurezza è proprio un
firewall ben chiuso, soprattutto considerando che non ci sono virus in giro
per questo sistema, ma al più qualche worm che si propaga sfruttando
appunto servizi non protetti.

E gli howto sulla sicurezza li puoi anche leggere mentre il firewall è stato
attivato :)

> E se proprio ti interessa selinux, ti consiglio di seguire almeno
> debian-devel per vedere tutti i casini di ABI che può dare. Infine,
> selinux dopo i DOVUTI test entrerà in etch, così come kde 3.4 e Gnome
> 2.10.
> 

Fatto sta che altre distribuzioni si decidono a risolverli, questi casini.
Ora, non rigiriamo la frittata. Mi dici (non solo tu, è una cosa che dicono
moltissime persone) che debian è sicura perchè è stratestata, ti faccio
notare che altre distribuzioni (che comunque il testing lo fanno
ugualmente) prendono anche provvedimenti attivi per la sicurezza, e mi dici
che questi provvedimenti sono poco importanti? Guarda che a me debian piace
molto, se faccio questi discorsi è perchè cerco di aiutare chi si avvicina
a debian per la prima volta, e viene secondo me fuorviato da una marea di
consigli come

"se vuoi la stabilità installi woody" --> "l'utente installa woody e non
riesce a navigare sul sito della media world, però è convinto di avere una
distribuzione sicura per definizione e poi si stupisce quando prova nmap
per la prima volta"

"se vuoi pacchetti aggiornati installi sid" --> "l'utente non ha nessuno dei
vantaggi di debian eccetto apt e la quantità di pacchetti, cose che
potrebbe avere anche su ubuntu o fedora, però magari pensa anche di usare
una distribuzione più sicura di una fedora con un firewall preconfigurato,
solo perchè c'è scritto debian all'avvio".

>> L'attuale "debian stabile" per l'uso desktop non solo non è indicata,
>> ma è sconsigliabile. Si può consigliare una sarge, ma allora perchè
>> non ubuntu, che oltre ad essere testata meglio ha anche un bel destkop
>> di base, e soprattutto sarà automaticamente aggiornata ogni sei mesi
>> ad una altra versione testata?
> 
> Perchè non puoi sapere se tra sei mesi ci sarà un casino incredibile tra
> nuovi rilasci, conflitti e dipendenze incrociate varie. A quel punto che
> fai: rilasci il casino o vieni meno alla tua parola?
> Io preferisco un po' più di testing...
> 

Beh. Non è che ubuntu sia obbligata a rilasciare l'ultima versione di tutti
e duemila i pacchetti che include. I mantainer scelgono quelli più
appropriati, però ogni sei mesi hanno l'occasione di fare gli aggiornamenti
del caso. 

> Ma gli upstream non hanno il problema di avere un sistema coerente e
> testato nell'insieme. L'importante non è solo avere un programma
> stabile; l'importante è avere un sistema che stia in piedi !!!

Si, per quello ci sono le distribuzioni. Oh, fermiamoci un attimo: fedora e
ubuntu, bontà loro, sono entrambe coerenti e testate nell'insieme.

Fedora include kde 3.4, ma gnome 2.8.  Quindi non è vero che si fidano
ciecamente dell'upstream. Però francamente fra il desktop di fedora e
quello di "debian stabile", è meglio quello di fedora da tutti i punti di
vista.
 
Ubuntu include gnome 2.10, ma hanno fatto delle modifiche loro. Infatti
gnome 2.10 su ubuntu è il più stabile gnome2 che ho provato! E questo prova
che anche mettendo i pacchetti all'ultima versione si possono fare
modifiche e correzioni senza dover buttare giù i pacchetti a casaccio.

> Se è un bug grave e di sicurezza DEVI ASSOLUTAMENTE segnalarlo. Certo
> che se è un'inezia è molto probabile che sia già stata corretta.
> D'altronde la stessa cosa ti direbbe l'upstream, ossia aggiorna
> all'ultimo CVS e guarda se va!
>

E tutti i bug diversi da quelli di sicurezza, compresi quelli di stabilità?
Ti rendi conto che su un desktop contano moltissimo?
 
Vincenzo

-- 
Please note that I do not read the e-mail address used in the from field but
I read vincenzo_ml at yahoo dot it
Attenzione: non leggo l'indirizzo di posta usato nel campo from, ma leggo
vincenzo_ml at yahoo dot it




Reply to: