Bin jedenfals mit SARGE/SID nicht zufrieden...
Greetings Michelle
Hallo,
ich kann das hier alles irgendwie nicht mehr richtig nachvollziehen.
Hier mal ein Beispiel:
Ich verwende auf einem Server Woody. Dummerweise sind im Woody jetzt aber einige Pakete dermassen alt, dass ich neuere Versionen davon benötige. Ich benötige unter anderem ein Sendmail, dass gegen libsasl2 gelinkt ist, und habe da dann noch spamassassin, f-prot, clamav und mailscanner drauf laufen. Zusätzlich baue ich noch den aktuellen cyrus-imapd selber, da ich das virtual-domain-feature benötige und es kein Debian-Paket mit dieser Version gibt. Wenn ich dieses Setup nun mit normalen Woody Boardmitteln bewerkstelligen will, müsste ich alles das selber kompilieren. Zusätzlich müsste ich die autotools und libtool selber bauen und mich so urplötzlich wieder um jedes Binary selber kümmern müssen. Es reicht nämlich auch nicht aus, einfach die Quellpakete einzuspielen und dpkg-buildpackage durchzuführen. Selbst da fehlen bei manchen Dingen bereits Pakete die für das build schon vorhanden sein müssen. Will ich also bei Woody bleiben, dann gibt es erstmal keine andere Möglichkeit, als alle diese Software direkt selber von den Upstream-Autoren zu besorgen und zu kompilieren. Naja. Wenn ich das sowieso machen wollte, dann könnte ich sehr wohl auch auf irgendein BSD umsteigen oder sonstwas verwenden. Ich habe vorher übrigens Solaris-x86 verwendet und bin genau aus diesem Grund auf Debian umgestiegen! Ich benutzte schliesslich Debian, da ich gerade eben davon profitieren will, dass bereits genug andere ein ähnliches/dasselbe Setup benutzen, und es demnach Pakete für alles das gibt. Getestet von vielen anderen und nicht nur von mir!
Ich habe z.B. das Glück, dass bis auf den cyrus-imapd sämtliche andere Software in entweder testing oder unstable zur Verfügung steht. Also konfiguriere ich apt so, dass es als default-release auf stable bleibt, und packe in die sources.list noch testing und unstable mit rein. Hiernach mache ich ein apt-get update/upgrade/dist-upgrade um zu überprüfen ob alles klappt. Das sollte dann erstmal keine neuen Pakete einspielen. Jetzt kommt aber das Problem. Wenn ich jetzt mit z.B. aptitude die fehlenden Pakete aus testing oder unstable installiere, dann haben die natürlich alle Abhängigkeiten in andere Pakete von testing oder unstable. Will heissen, ich habe nach dem Installieren der in Woody fehlenden Software zwar alles so, wie ich es brauche, ein apt-show-versions zeigt aber danach auch zu ca. 60% Pakete aus testing oder unstable. Von meinem Woody bleibt also nicht mehr viel übrig dabei. Nichtmal die libc6.
Niemand stellt ein Paket in Debian bereit, dass er nicht auch pflegt und bei entsprechenden Problemen updatet. Jetzt lese ich hier zwar das genaue Gegenteil, muss dazu aber sagen, dass mir das bei den Paketen, die ich aus testing oder unstable benutze, noch nie passiert ist. Da kommen Updates immer so, wie ich sie auch selber durchgeführt hätte, wenn ich alles selber bauen würde. Teilweise sogar schneller!
Das einzige, was bei meinem Vorgehen ein echter Nachteil zu sein scheint war, dass ich nach einem harten Plattencrash mit md5sums (oder so ähnlich) nachschauen wollte, welche Pakete re-installiert werden müssen. Dabei bemerkte ich, dass einige Pakete keine MD5-Prüfsumme bereitstellen. Ich weiss jetzt zwar nicht mehr, ob das zufällig auf die Pakete aus testing oder unstable zutraf, es war aber schon irgendwie ärgerlich, weil ich genau diese Pakete ohne Prüfsumme dann einfach alle neu installieren musste, um sicher sein zu können, nicht irgendwo noch irgendwelche Leichen im System zu haben.
Nachdem was ich jetzt hier so gelesen habe stellen sich mir da aber dann doch einige Fragen:
1. Was ist an meinem Vorgehen unsicherer, wenn ich mich auf die Maintainer verlassen kann ?
2. Wie kann ich es hinbekommen komplett bei Woody zu bleiben, ohne die fehlende Software selber zu bauen, und ohne irgendwelche fremden Pakete zu benutzen, die nicht von irgendeinem Debian-Spiegel stammen ?
3. Wer macht das ähnlich und würde davon mitlerweile abraten ?
4. Welchen Sinn macht Debian noch, wenn ich genau das, was ich damit mache, scheinbar besser lassen sollte ? Siehe oben. Dann kann ich auch auf ein BSD umsteigen und mich wirklich um jeden Dreck wieder selber kümmern. Bei kleiner Anzahl Maschinen mit Sicherheit auch kein grosses Thema. Bei grosser Anzahl von Maschinen werde ich aber irgendwann ein eigenes Paket-Archiv erstellen müssen, und eine zustäzliche Zeile in jede sources.list eintragen, damit meine eigenen Pakete "administrierbar" werden. Diese eigene sources.list Zeile entspräche in meinem Fall jetzt aber eigendlich genau testing bzw. zu einem kleinen Teil unstable! Warum dann also die nicht auch benutzen ?
5. Wie sollte Debian sich weiterentwickeln können, wenn alle nur die Stable-Release benutzen und niemand die Pakete aus testing oder unstable auch nur anrührt ?
6. Was ist daran unsicherer den Apache aus Woody (ich glaube 1.3.26) im Vergleich zu dem aus unstable (1.3.31) zu verwenden ? Ich kann doch eigendlich davon ausgehen, dass ein Sicherheitsloch im Woody-Apache auch sofort in unstable (wenn nicht sogar da zuerst) gefixt wird, oder ? Ich habe schon verstanden, dass es für testing und unstable kein _Debian_-Security-Team gibt. Das ändert aber doch nichts daran, dass zumindest derjenige, der z.B. den 1.3.31 Apache in unstable bereitstellt, sich auch um die Sicherheit seines Paketes, dass er höchstwahrscheinlich selber auf seinen Maschinen verwendet, kümmert. Warum sollte es denn sonst den 1.3.31 unstable Apache überhaupt geben ?
Es ist doch richtig, dass ich davon ausgehen kann, dass die entsprechenden Maintainer ihre eigenen Pakete zumindest selber benutzen, oder ?
7. Habe ich Debian wirklich so komplett falsch verstanden ? Ich bin bisher eigendlich recht begeistert davon!
-- Christian