Peter Kuechler wrote:
Am Dienstag, 27. Januar 2004 13:29 schrieb Markus Gürtler:Hallo, Wie kann man dieses Problem sinnvoll lösen, bzw. würde mich interessieren wie es andere gelöst haben. Kann man einen Update auf Testing oder Unstable gefahrlos durchführen? Laufen diese Trees stabil genug um sie auf Produktionsmaschinen loszulassen? Was ist in diesem Fall besser: Testing oder Unstable?Ich habe mir dann eine Minimalinstallation mit Woody gamacht, diese gleich upgedatet und dann SID weiter installiert. Das ganze einmal für Server und einmal für Workstation und dann gesichert. Jetzt mache ich nur noch Kopien und passe den Kernel ein bißchen an, das wars.
Und in 1 Jahr hast du genauso alte Software wie in stable und musst doch ein update machen. Das dir zu so einem Zeitpunkt aber vermutlich ein Haufen Probleme bringt.
Natürlich stimmt es, das man täglich Updates machen muß, wenn man Topaktuell bleiben will. Ich mache das auf meinem Arbeitsplatzrechner jeden Tag. Die Frage ist aber, ob man das auch machen _muß_!
Ja, denn nur so bekommst du security updates in Sid, wie war das bu machst sowas auf Servern! Mit denen Geld verdient werden soll? Ist das nicht ein wenig leichtsinnig? Lass doch mal ein neues Problem aufkommen in Apache, $Mailserver, $FtpServer, $SSHServer, $ApplicationServer, ... dann stehst du dumm da weil du ja kein Update machst, jeder der will und kann wird diese Luecken bei deinen Servern ausnutzen und im besten Fall nur alle interessanten Daten mitnehmen...
Ich halte es auf einem Server nicht für nötig. Es genügt meiner Meinung nach, eine solche Maschine auf den Stand zu bringen, der meine Anforderungen erfüllt. Danach besteht eigentlich kein Grund mehr für Updates.
Das ist IMHO verantwortungslos, selbst auf meinem PrivatPC sorge ich dafuer das Sicherheitsupdates eingespielt werden!
Ausserdem: Irgendwann kommt mal ne neue Version von $Server und ein Mitarbeiter moechte den auch gerne Nutzen, weil der ja so viele tolle neue Funktionen hat, was dann?
Was Sicherheitsupdates betrifft, so fließen die in die normale Produktion mit ein soweit ich weis. Wenn also z.B. ein Loch in ssh auftaucht, dann mache ich ein Update auf die neuste ssh-Version, das wars.
Also doch Updates? Und das geht so einfach? Wie lange laufen die Server schon? Denn wenn ssh mal eine neue Version von libc6 braucht ist's vorbei, dann darfst du so ziemlich alle Binaerkomponenten updaten, also das komplette System. Und ssh ist ja nun bei weitem nicht das einzige was auf nem Server so laeuft. Woher weisst du eigentlich das Securityupdates gibt? Liest du debian-security mit?
Andreas