Re: Geen security.debian.org gebruiken

To: debian-user-dutch@lists.debian.org
Subject: Re: Geen security.debian.org gebruiken
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Wed, 16 Sep 2009 13:39:39 +0200
Message-id: <[🔎] 4AB0CE7B.4030103@vandervlis.nl>
In-reply-to: <[🔎] 200909161219.24627.elendil@planet.nl>
References: <[🔎] 4AAF9EDD.2020304@vandervlis.nl> <[🔎] 4AAFA881.4010200@xs4all.nl> <[🔎] 4AAFA881.4010200@xs4all.nl> <[🔎] 4AB09EB2.6080601@vandervlis.nl> <[🔎] 200909161219.24627.elendil@planet.nl>

Frans Pop schreef:
> Paul van der Vlis wrote:
>> Na hoeveel dagen komen security-updates toch in stable terecht als je
>> geen regel met "security.debian.org" in je sources.list hebt staan?
> 
> Simpel: hoe lang zit er tussen point releases?
> Neem aan dat security updates gelijkelijk verdeeld zijn over die periode en 
> de gemiddelde tijd is dan dus de helft. Maar het probleem is niet de 
> gemiddelde tijd, maar de maximum tijd! Wil je echt het risico lopen dat je 
> systemen een maand of maanden achter lopen?

Nee natuurlijk niet, ik heb Heiko verkeerd begrepen.

> De interval tussen point releases varieert. Zie:
> http://www.debian.org/releases/etch/errata#pointrelease
> http://www.debian.org/releases/lenny/errata#pointrelease [1]
> 
> security.d.o is 100% bedoeld om normaalgesproken *altijd* opgenomen te 
> zijn. Als je daarvan wilt afwijken zal je of de consequenties moeten 
> aanvaarden, of een zeer goed alternatief moeten verzorgen. 
> proposed-updates is in elk geval *niet* dat alternatief.
> 
>> Ik ben eigenlijk al lang op zoek naar een methode om sommige systemen
>> sneller te kunnen voorzien van security-updates dan andere systemen,
>> waarbij die eerste systemen dan een soort praktijktest vormen voor de
>> andere.
> 
> De enige methode daarvoor die werkt is om je eigen mirror in te richten. 

Dat had ik inderdaad altijd gedacht, maar dat leek me nog niet zo
eenvoudig.

Het mooiste lijkt me een systeem waarbij je op de machine kunt instellen
 hoeveel dagen hij moet achterlopen. Het lijkt me mogelijk een systeem
te maken wat dit automatisch doet, b.v. een rep2.vandervlis.nl voor een
repository wat 2 dagen achterloopt en een rep3.vandervlis.nl die 3 dagen
achterloopt. Iets met hardlinks, zoiets gebruik ik ook voor backups.

Nog mooier zou het zijn als apt iets dergelijks kon worden bijgebracht,
maar ik ben bang dat apt gegevens mist om dit te kunnen doen, zoals de
release-datum van een pakket.

> De 
> machines die je als testbed wilt gebruiken wijzen naar security.d.o en 
> krijgen de updates direct. Als je happy bent neem je de nieuwe versie ook 
> in je eigen mirror op. De machines die je wilt "beveiligen" (misschien 
> niet echt het juiste woord in deze context) wijzen naar je eigen mirror.

Inderdaad.

Maar het lijkt me allemaal veel werk, dus ik ben bang dat ik voorlopig
mijn gewone rommelige methodes maar moet handhaven. Deze komen er op
neer dat ik eerst een paar machines update, en dan meestal een dag of
twee dagen later de andere.

Maar ik dacht even een "slimme manier" gevonden te hebben.

> Zorg er wel voor dat je ook security updates die je _niet_ expliciet test 
> in je eigen mirror opneemt!

Uiteraard.

Met vriendelijke groet,
Paul van der Vlis.

-- 
http://www.vandervlis.nl/

Reply to:

References:
- Proposed updates
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: Proposed updates
  - From: Heiko Noordhof <heiko.noordhof@xs4all.nl>
- Geen security.debian.org gebruiken (was: Proposed updates)
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: Geen security.debian.org gebruiken (was: Proposed updates)
  - From: Frans Pop <elendil@planet.nl>

Prev by Date: Re: Geen security.debian.org gebruiken
Next by Date: Re: Fatclient via netboot setup
Previous by thread: Re: Geen security.debian.org gebruiken (was: Proposed updates)
Next by thread: Re: Proposed updates
Index(es):
- Date
- Thread