Re: Consulta sobre no actualizar el sistema

[JAP <javier.debian.bb.ar@gmail.com>]

El 06/10/16 a las 08:44, Darío escribió:
> > > Si no te afecta, plántate en "squeeze.
> > > El riesgo es cuando te conectes a internet con un navegador
> > > "viejo", que puede estar vulnerable.
>
> Respecto a esto, es una de mis dudas cuando se actualiza, puesto que
> (desde mi ignorancia, es lo que supongo) las actualizaciones del sistema
> son justamente las del sistema, pero las de ciertos programas como ser
> por ejemplo Firefox u Octave corren a cuenta de estos, por lo que al
> darle aptitude update && aptitude upgrade ¿debería tomar algunas
> actualizaciones de estos programas ajenos a las actualizaciones del
> sistema? Esta es básicamente mi duda, no me queda claro si las
> actualizaciones se corresponden a las del sistema (independientemente de
> los programas instalados que se actualizarán siempre que haya alguna) o
> al conjunto (sistema+programas instalados).
>
> Espero haber sido claro en esta maraña de actualizaciones.
>
> Gracias!

El problema arranca por acá: las dependencias.
Por ejemplo, las de chromium

# apt-cache depends chromium
chromium
  Depende: libasound2
  Depende: libatk1.0-0
 |Depende: libavcodec57
  Depende: libavcodec-extra57
  Depende: libavformat57
  Depende: libavutil55
  Depende: libc6
  Depende: libcairo2
  Depende: libcups2
  Depende: libdbus-1-3
  Depende: libexpat1
  Depende: libfontconfig1
  Depende: libfreetype6
  Depende: libgcc1
  Depende: libgdk-pixbuf2.0-0
  Depende: libglib2.0-0
  Depende: libgnome-keyring0
  Depende: libgtk-3-0
  Depende: libharfbuzz0b
  Depende: libjpeg62-turbo
  Depende: libnspr4
  Depende: libnss3
  Depende: libpango-1.0-0
  Depende: libpangocairo-1.0-0
  Depende: libpci3
  Depende: libpulse0
  Depende: libspeechd2
  Depende: libstdc++6
  Depende: libx11-6
  Depende: libxcomposite1
  Depende: libxcursor1
  Depende: libxdamage1
  Depende: libxext6
  Depende: libxfixes3
  Depende: libxi6
  Depende: libxml2
  Depende: libxrandr2
  Depende: libxrender1
  Depende: libxslt1.1
  Depende: libxss1
  Depende: libxtst6
  Depende: x11-utils
    x11-utils:i386
  Depende: xdg-utils
  Depende: libnettle6
  Sugiere: chromium-l10n
  Recomienda: fonts-liberation
  Entra en conflicto: libgl1-mesa-swx11
  Entra en conflicto: libgl1-mesa-swx11:i386
  Entra en conflicto: chromium:i386

Imaginemos por un momento una situación especulativa.
Se ha detectado un fallo de seguridad en una librería de cups en la 
compartición de impresoras por red, y ésta afecta al sistema.
Quieres actualizar chromium, y éste pretende actualizar libcups2 a una 
nueva versión.

Pero sucede que libcups a su vez tiene sus propias dependencias:
# apt-cache depends libcups2
libcups2
  Depende: libavahi-client3
  Depende: libavahi-common3
  Depende: libc6
  Depende: libgnutls-deb0-28
  Depende: libgssapi-krb5-2
  Depende: zlib1g
  PreDepende: multiarch-support
    multiarch-support:i386
  Sugiere: cups-common
  Rompe: cups
  Rompe: cups:i386
  Reemplaza: libcups2:i386
  Rompe: libcups2:i386

Por ejemplo, zlib1g. Que tiene sus dependencias
# apt-cache depends zlib1g
zlib1g
  Depende: libc6
  PreDepende: multiarch-support
    multiarch-support:i386
  Entra en conflicto: <zlib1>
  Entra en conflicto: <zlib1:i386>
  Rompe: libxml2
  Rompe: libxml2:i386
  Rompe: texlive-binaries
  Rompe: texlive-binaries:i386
  Reemplaza: zlib1g:i386
  Rompe: zlib1g:i386

Y así sucesivamente, y puede, (remarco el "puede") llegar un momento en 
que debas actualizar hasta el kernel mismo.
Muy poco probable, pero no imposible.

Es lo se conoce como "cascada de dependencias".
En su momento, para los que usamos Linux hace mucho y lo compilábamos en 
casa, fue un dolor de cabeza tremendo, pues a veces, las dependencias 
eran circulares.
El sistema de paquete rpm fue uno de los primeros que solucionó esto, y 
luego deb, que hizo la vida mucho más fácil.

Por eso, si haces un "aptitude safe-upgrade", actualizas TODO el sistema 
con un nivel de seguridad más que razonable.

Pero si quieres meterle sólo algún programa puntual al sistema, como por 
ejemplo, chromium, PUEDE ser que no tengas problemas, salvo que te pida 
actualizar dependencias.

Eso se puede manejar con una técnica que se llama "apt-pinning", en la 
cual, si armas un buen archivo /etc/apt/preferences puedes llegar a 
configurar el sistema de tal manera que un programa puntual y sus 
dependencias se instalen y actualicen desde una rama más nueva, como 
"jessie", manteniendo el resto del sistema sobre la vieja "wheezy".

Por mi experiencia, eso suele funcionar mientras las ramas no sean 
excesivamente divergentes, como una "stable" con "testing", o una 
"testing" con "sid". Son las únicas a las que me he animado.

Creería que instalar crhomium de "jessie" sobre "wheezy" no debería dar 
muchos problemas, y se modificarían muy pocas dependencias, dado que 
ambas ramas están muy juntas.

Repito: analiza qué es lo que demandas de tu equipo y sistema, mira qué 
riesgos corres, y decide qué es bueno para ti.

"Lo perfecto es enemigo de lo bueno."

Espero te sirva.

JAP