23.07.2014, 17:16 UhrDeutsch | English
Hallo Gast [ Registrierung | Anmelden ]

Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
Autor Nachricht
minze
Titel: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 16:46 Uhr



Anmeldung: 09. Okt 2006
Beiträge: 6

Hallo,

gibt es aktuelle Security-Updates für Kanotix(32 und 64 Bit Version), die man halbautomaitsch, also per Befehl aber ohne, dass man die betreffenden Pakete vorher kennen muss, herunterladen kann?
Über diesen Befehl sollen aber nur die Pakete, die tatsächlich eine Sicherheitslücke schließen und nicht die Pakete, die nur eine Aktualisierung im Sinne von neuen Features erfahren haben heruntergeladen werden sollen. Ein apt-get upgrade kommt nämlich bei der täglichen Arbeit nicht in Frage, eine tägliche Aktualisierung der Sicherheitslücken ist aber im sicherheitsbewusstem Umfeld angebracht. Andererseits ist es für die durchschnittlichen Heimanwender von Kanotix nicht zumutbar, täglich die security-mailinglists lesen zu müssen und selbst die Pakete einzeln zu aktualisieren.

debian-updates als Sammlung von Perlskripten funktioniert laut Homepage (http://www.steve.org.uk/Software/debian-updates/) nur mit stable und nicht mit testing. Im Kanotix-Wiki, siehe [1], habe ich nichts zu dem meiner Meinung nach sehr wichtigem Thema gefunden. Warum eigentlich nicht?

Kanotix stellt immer wieder neue Kernel zum Herunterladen zur Verfügung allerdings nur in bestimmten Zeitabständen (da sie wohl verständlicherweise erst getestet werden müssen). Was ist aber mit dirngenden, weil sicherheitsrelevanten Kernelpatches?

Woher bezieht denn Kanotix seine aktuellsten(!) Sicherheits-Updates für die restliche Software und damit den überwiedenden Teil der Pakete, die ursprünglich mit der LiveCD ausgeliefert werden? Laut [2] gibt es keine gesonderten Security-Updates für Testing (=Basis für Kanotix), sondern, so wie ich es verstanden habe, nur die Möglichkeit des apt-get upgrade und damit für den täglichen Securitycheck äußerst unpraktikabel.
Laut [3] unter "How does testing get security updates?" gibt es wohl doch irgendein security-repository für Testing, allerdings ist dort kein URL für das repository dafür aufgeführt. Der aufgeführte Link http://secure-testing-master.debian.net/ geht übrigens seit Monaten nicht mehr. Weiß jemand, warum das so ist?

Danke und tschüss

[1] http://kanotix.com/index.php?module=pnW ... edSecurity
[2] http://www.debian.org/doc/manuals/secur ... faq#12.3.7
[3] http://www.debian.org/security/faq#testing-security
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
hubi
Titel: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 17:01 Uhr



Anmeldung: 22. Jan 2006
Beiträge: 1296
Wohnort: Budapest
minze,
zwar kann ich nicht fürs Team sprechen, aber ein bisserl kenne ich mich aus.

1. Sicherheitsupdates kommen upstream vom Entwickler nach Debian Sid und werde nicht auf alte Pakete angewendet (kein backporting)
2. Die von Kanotix im Repository angebotenen Pakete werden vom Kanotix-Team betreut
3. Schneller als hier habe ich noch nie die neuesten Kernel von kernel.org mit Funktions-Patches angeboten gesehen

Du hast somit folgende Sicherheitsstand:

1. Debian Sid in Echtzeit
2. Kanotix-Pakete vom Team betreut
3. Neueste Kernel fast in Echtzeit (ein, zwei Tage, oft sogar noch in derselben Nacht)

1+2: apt-get update && apt-get dist-upgrade
3: sehr bequem mit dem Kanotix-Update-Gui oder auch "per Hand" (siehe FAQ oder Wiki - weiß jetzt nicht)

Ein sehr gutes Update-Script gibt es von h2, vor allem wenn man länger keine dist-upgrades gemacht hat exzellent. Auch baut es die aktuellen Fixes des Kanotix-Team ein.

Hier ein Refernzthread im englischsprachigen Forum:
http://kanotix.com/PNphpBB2-viewtopic-t-19055.html

Schau dich um, teste und viel Spaß,
hubi

_________________
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
michaa
Titel: Re: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 17:13 Uhr



Anmeldung: 01. Jun 2004
Beiträge: 1398

@ minze

minze hat folgendes geschrieben::
...
Laut [2] gibt es keine gesonderten Security-Updates für Testing (=Basis für Kanotix), ...

Falsch. Kanotix basiert auf SID / unstable, nicht auf ETCH / testing. Zitat kanotix / Startseite:
Zitat:
Willkommen bei Kanotix!
Kanotix ist ein solides auf Debian-Sid basierendes Linux. ...

Daher sind deine testing betreffenden aussagen irrelevant, auch die folgende.
Zitat:

Laut [3] unter "How does testing get security updates?" gibt es wohl doch irgendein security-repository für Testing, ...

Die beste sicherheit unter SID ist die koninuierliche weiterentwicklung. Bis ein ausnutzbarer bug entdeckt wäre ist das entsprechende paket vermutlich schon 2 generationen weiter und kaum jemand hat es noch auf dem rechner. Zum hacken also recht uninteressant ...

_________________
Gruß

michaa
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
minze
Titel: Re: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 21:08 Uhr



Anmeldung: 09. Okt 2006
Beiträge: 6

hubi hat folgendes geschrieben::
minze,
...
1. Sicherheitsupdates kommen upstream vom Entwickler nach Debian Sid...

Was bedeutet denn "upstream"? leo.org gibt diesbezüglich nichts aussagekräftiges, siehe [1]
Zitat:
... und werde nicht auf alte Pakete angewendet (kein backporting)

Was ist damit gemeint? Etwa Debian Stable? Oder nur die Backports der aktuellen Software für Debian Stable? Zumindest Stable hat gerade aktuelle Sicherheitsupdates. Wie es mit Backports diesbezüglich aussieht würde mich sehr interessieren. Aus der sehr spärlichen Backports-FAQ, siehe [2] geht das nicht im vollen Umfang hervor.

Zitat:
2. Die von Kanotix im Repository angebotenen Pakete werden vom Kanotix-Team betreut

Um welche Pakete handelt es sich? Sind es alle, die auf der LiveCD drauf sind? Im Wiki und der FAQ habe ich nicht dazu gefunden.

Zitat:
3. Schneller als hier habe ich noch nie die neuesten Kernel von kernel.org mit Funktions-Patches angeboten gesehen


Das ist beruhigend. Tolle Arbeit.

Zitat:
Du hast somit folgende Sicherheitsstand:

1. Debian Sid in Echtzeit

Mich interessieren erstmal nur die Sicherheitsupdates

Zitat:
[...]
1+2: apt-get update && apt-get dist-upgrade

Ich zitiere aus dem Wiki:
"apt-get dist-upgrade all installed packages will be updated unless the dependencies dont allow that", siehe [3]. Wenn jedesmal fast alle Pakete aktualisiert werden, nur weil ich für eineige wenige die Sicherheitsupdates haben möchte, dann ist das für mich definitiv keine Lösung. Das schrieb ich ja auch im ersten Beitrag.
Zitat:

3: sehr bequem mit dem Kanotix-Update-Gui oder auch "per Hand" (siehe FAQ oder Wiki - weiß jetzt nicht)

Weder im wiki noch in der FAQ habe ich zu Kanotix-Update-Gui oder auch "per Hand" hinsichtlich Sicherheitsupdates etwas gefunden.
Zitat:

Ein sehr gutes Update-Script gibt es von h2,...

Auf seiner Homepage, siehe [4] habe ich nichts zu "security" gefunden.
Zitat:

vor allem wenn man länger keine dist-upgrades gemacht hat exzellent.

Ich will kein dist-upgrade!

Zitat:
Auch baut es die aktuellen Fixes des Kanotix-Team ein.

Welche Art von "Fixes" (Sicherheitsupdates?) von welchen Paketen (alle, die auf der LiveCD enthalten sind?) erstellt das Kanotix-Team?

Zitat:
Hier ein Refernzthread im englischsprachigen Forum:
http://kanotix.com/PNphpBB2-viewtopic-t-19055.html


Das einzige, was ich zu "security" in diesem thread fand, war die Aussage von h2 selbst: "And it's missing some security features in terms of stopping unsafe upgrades automatically", siehe [5].

Zitat:
Schau dich um, teste und viel Spaß ...

Habe momentan (kommt erst demnächst) keine permanente Internetverbindung (weswegen ich nicht beliebig Vieles herunterladen kann, sondern nur das Notwendigste), brauche aber eine Linuxdistribution, die mir später auch die aktuellen Sicherheitsupdates liefern kann.

Tschüss

[1] http://dict.leo.org/ende?lp=ende&la ... ;relink=on
[2] http://www.backports.org/dokuwiki/doku.php?id=faq
[3] http://www.kanotix.com/index.php?module ... agemanager
[4] http://techpatterns.com/forums/about736.html
[5] http://kanotix.com/PNphpBB2-viewtopic-t ... tml#122585
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
minze
Titel: Re: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 21:28 Uhr



Anmeldung: 09. Okt 2006
Beiträge: 6

michaa hat folgendes geschrieben::

[...]
Falsch. Kanotix basiert auf SID / unstable, nicht auf ETCH / testing. [...]

Auwei, bei debian unstable wird nur "to some extent", also nur zum Teil security gefixt, laut der debian-security-faq [1].

Und was die Verwechslung von mir zu 'Kanotix basiert auf testing' angeht, sorry, hatte noch das Folgende allzu sehr im Kopf: "ONLY FOR TESTING! PLEASE INSTALL ONLY ON TEST SYSTEMS!" Aus der Kanotix Download-README.txt, siehe [2].

Zitat:

Die beste sicherheit unter SID ist die koninuierliche weiterentwicklung.

Ich will aber nicht alle neuentwickelte Programme jeden Tag herunterladen müssen, nur um den reinen Sicherheitsaspekt zu wahren. Das ist in meinen Augen Overkill, insbesondere, wenn einem keine Flatrate zur Verfügung steht.

Zitat:
Bis ein ausnutzbarer bug entdeckt wäre ist das entsprechende paket vermutlich schon 2 generationen weiter und kaum jemand hat es noch auf dem rechner. Zum hacken also recht uninteressant ...

Das verstehe ich nicht. Wenn man sich die security Meldungen zu zB debian stable anschaut, siehe [3], dann werden ganz aktuelle Sicherheitslücken sichtbar. Die security Meldungen zu testing oder gar unstable, falls es das überhaupt gibt, würde ich mir gerne durchlesen. Aber wie schon geschrieben, geht der Link nach http://secure-testing-master.debian.net/ seit Monaten nicht.

Tschüss

[1] http://www.debian.org/security/faq#testing
[2] http://debian.tu-bs.de/project/kanotix/ ... README.TXT
[3] http://www.debian.org/security/#DSAS
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
hubi
Titel: Re: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 21:30 Uhr



Anmeldung: 22. Jan 2006
Beiträge: 1296
Wohnort: Budapest
minze,

Debian Sid ist keine Distribution im "herkömmlichen" Sinne, in der Funktionen, APIs, struktureller Aufbau gleich bleibt. Debian Sid ist in ständiger Bewegung und übernimmt die neuesten Versionen der Entwickler, welche für Debian strukturell adaptiert wurden (.deb-Pakete), aber alle funktionelle Neuerungen wie auch Sicherheitsverbesserungen werden direkt vom Entwickler übernommen, das nennt man "upstream" (kann auch sein, dass "downstream" dafür der Fachbegriff ist, ich verdrehe das immer).

Stabile Distributionen wie Debian Sarge, SuSE, Ubuntu, Fedora, Mandriva etc. halten die Versionsnummern und damit die Funktionalität der Programmpakete stabil, es sollte also keine "Überraschungen" beim Upgraden geben. Sicherheitsverbesserungen müssen jedoch in diese Programme reingeschrieben werden (das nennt man "patchen"), manchmal werden aber Programme mit neuen Funktionen in die alte Struktur eingebaut, das nennt man "backporting". Beides gibt es bei Debian Sid nicht, da dies das Entwicklerrepository ist und dort sowieso immer die neuesten Programmversionen drinnen sind.

Informationen über Sicherheitsupdates in allen Debianversionen findest du hier:
http://www.debian.org
http://www.debian.org/News/weekly/
Die Seiten sollte es auch auf Deutsch geben.

Die von Kanotix bereitgestellten Programmpakete findest du hier:
http://kanotix.com/debian/

Wenn du dann wieder eine Internetverbindung hast, kannst du Kanotix entweder mit einer neueren CD-Version mittels upgrade-install modernisieren, oder du machst einen dist-upgrade, aber da schaust du dann am besten hier im Forum vorbei, sagst, was du tun willst, und normalerweise hast du ziemlich schnell eine Antwort, ob es Probleme zu lösen gibt und wenn ja, wie.

Grüße
hubi

_________________
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
hubi
Titel:   BeitragVerfasst am: 09.10.2006, 21:42 Uhr



Anmeldung: 22. Jan 2006
Beiträge: 1296
Wohnort: Budapest
minze,

eine typische Sicherheitsmeldung für unstable aka sid ist hier für gzip zu finden (ganz was Aktuelles):
http://www.debian.org/security/2006/dsa-1181

Meistens liest sich das dann so:

Zitat:
For the unstable distribution (sid) these problems have been fixed in version 1.3.5-15.
Du kannst dann die Versionsnummer mit deinem System abgleichen und entscheiden, ob du eine neuere Version benötigst.

Mit den Sicherheitsmeldungen in den wöchentlichen News von Debian lässt sich auch ein ansonsten stabil gehaltener Sid-Snapshot, wie du ihn anstrebst, sicher halten, ohne sehr viel runterladen zu müssen.

So würde ich es machen, wenn ich keine Flat-Anbindung hätte, und müsste somit nicht auf Kanotix verzichten, welches ein sehr gutes System ist. Und es gibt auch einige im Forum, die es genau so machen, weil sie die Zeit für dist-upgrades nicht investieren wollen oder können.

Grüße
hubi

_________________
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
captagon
Titel: Re: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 21:51 Uhr



Anmeldung: 06. Feb 2005
Beiträge: 1194
Wohnort: Mecklenburg
minze hat folgendes geschrieben::
hubi hat folgendes geschrieben::

1. Sicherheitsupdates kommen upstream vom Entwickler nach Debian Sid...

Was bedeutet denn "upstream"?


Wenn der Entwickler in seinem aktuellen Paket Sicherheitslöcher gestopft hat, kommt sein Paket über den Paketbetreuer direkt nach Sid, genauso wie neue Programmversionen recht schnell nach Sid gelangen (u.U. aus experimental)

Zitat:
... und werde nicht auf alte Pakete angewendet (kein backporting)
Was ist damit gemeint?


Es gibt bei Kanotix im Prinzip keine veralternden Paketeversionen, die längere Zeit mit flicken von Sicherheitslöchern gepflegt werden. Wenn, dann bekommst Du die geflickten Löcher mit der neuen Paketversion aus Sid geliefert.

Zitat:
Zitat:
2. Die von Kanotix im Repository angebotenen Pakete werden vom Kanotix-Team betreut

Um welche Pakete handelt es sich? Sind es alle, die auf der LiveCD drauf sind?

Nein- nur die Pakete, die nicht in Sid drin sind, sondern unter http://kanotix.com (z.B. die Kanotix-Scripte).
Zitat:

Wenn jedesmal fast alle Pakete aktualisiert werden, nur weil ich für einige wenige die Sicherheitsupdates haben möchte,


Für die Pakete, für die Du die 'Sicherheitsupdates' haben möchtest, kannst Du mit

-> apt-get update && apt-get install paket1 paket2 paket3 ...

genau die Pakete (paket1, paket2,...) aktualisieren, für die Du ein Sicherheitsupdate haben möchtest.
Automatisch kannst Du das entweder für vorher definierte Pakete (dann sollte man seine Softwareauswahl entsprechend einstellen) oder man macht ein umfassendes Dist-Upgrade.
Zitat:

Weder im wiki noch in der FAQ habe ich zu Kanotix-Update-Gui oder auch "per Hand" hinsichtlich Sicherheitsupdates etwas gefunden.

Weil diejenigen, denen die Sicherheit wichtig ist, meistens dist-upgrades fahren. Das ist die umfassenste Methode.
Zitat:
Zitat:
Auch baut es die aktuellen Fixes des Kanotix-Team ein.

Welche Art von "Fixes" (Sicherheitsupdates?) von welchen Paketen (alle, die auf der LiveCD enthalten sind?) erstellt das Kanotix-Team?


Insbesondere der Kernel ist hochaktuell (damit sicherer) und ist mit kanotix-update-gui leicht zu installieren.
Warum kanotix-update-gui kein 'echter' Bestandteil von Kanotix ist, weiß ich nicht, da müsstest Du mal die Kanotix-Entwickler oder insbesondere acritox (www.andreas-loibl.de) fragen.
Zitat:
Zitat:
Schau dich um, teste und viel Spaß ...

Habe momentan (kommt erst demnächst) keine permanente Internetverbindung (weswegen ich nicht beliebig Vieles herunterladen kann, sondern nur das Notwendigste), brauche aber eine Linuxdistribution, die mir später auch die aktuellen Sicherheitsupdates liefern kann.


Die bekommst Du automatisch, wenn Du
1. entweder ein dist-upgrade fährst
oder
2. wenn Du mittels Update-Install dein altes Kanotix von einer sehr aktuellen Kanotix-CD-Version aus aktualisierst.
3. definierte Pakete mittels 'apt-get install paketnamen' und den Kernel mittels 'kanotix-update-gui' aktualisieren

Sicherheitsupdates im klassischen Sinn bekommst Du bei Kanotix (Debian-Sid) nicht, was aber nicht bedeutet, dass Kanotix deshalb unsicherer ist.

MfG T.

_________________
Notebook: Kanotix2006-1-rc1, Kernel 2.6.17.13-kanotix-2, ECS A531,Transmeta-Crusoe 1GHz,256MB, IceWM,
PC: Kanotix2006-1-rc1, Kernel 2.6.17.13-kanotix-2, VIA-Ezra 933MHz, 256MB, XFCE4
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
michaa
Titel: Re: Security-Updates bei Kanotix vorhanden?  BeitragVerfasst am: 09.10.2006, 22:30 Uhr



Anmeldung: 01. Jun 2004
Beiträge: 1398

minze,
vielleicht wäre folgendes für dich eine praktikable lösung:

Du installierst kanotix ( = debian / sid mit hochaktuellem kernel; so schnell wie mit kanotix wirst du sonst nur einen gepatchten kernel bekommen wenn du ihn selber backst! ) Anschließend bearbeitest du die datei "/etc/apt/sources.list" . Alles, was dort "sid" oder "unstable" heißt ersetzt du durch "etch" , NICHT durch "testing".
Das hat nun folgenden effekt: Dein debian-sid wird stück für stück zu debian-testing, weil sid pakete nach 14 tagen ohne bug nach testing wandern. Im Dezember oder Januar wird aus etch = testing etch = stable werden. Dann bist du am ziel deiner träume: Debian sieht für stable nur sicherheitsupdates vor. Diese sind sehr selten nötig, der update aufwand gering.

Nun der haken an diesem vorschlag: Kein mensch weiß oder kann vorhersagen, wieviele und welche pakete unverändert vom derzeitigen sid (also vom möglichen stand deiner kanotix installation) über etch-testing nach etch=stable wandern. Wenn es viele/die meisten sind, mußt du nur wenig updaten, es wir für nicht flatrate-nutzer immer noch ziehmlich viel sein; bleiben viele pakete hängen, mußt du noch sehr viel mehr updaten (in der phase in der etch noch testing ist). Danach hättest du ein superstabiles, sicheres debian mit geringstem updateaufwand, aber eben erst danach.

Allerdings wäre das vielleicht einfacher über einen direkten install von debian/etch zu erreichen. Wenn deine updatemöglichkeiten einerseits und deine sicherheitsanforderungen andererseits derart inkompatibel sind wäre das wohl die sinnvollste strategie.

Dennoch eine letzte anmerkung zu sid und (fehlenden) sicherheitshinweisen:
SID ist "work in progress", da fließen eben bug reports einfach in die weiterentwicklung ein. Der anwender weiß das und muß damit leben, dass bei work in progress reibungsverluste entstehen, je nach anforderungen ein erhöhter update-aufwand besteht und auch mal etwas klemmt. Punkt.
Anders bei stable. Das ist eben darauf ausgelegt sicher und stabil zu sein. Daher hier der höhere warnaufwand: Der user wird explizit darauf hingewiesen, dass ein bestimmtes paket einen sicherheitsrelevanten bug hat und eines der seltenen updates notwendig ist.

_________________
Gruß

michaa
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
rolo48
Titel:   BeitragVerfasst am: 10.10.2006, 07:18 Uhr



Anmeldung: 31. Aug 2004
Beiträge: 1038
Wohnort: Schleswig-Holstein
Hallo

Die Sache mit Etch aus Kanotix (und die Sicherheits-Patches im Hinterkopf) hatten wir hier schon öfter diskutiert. Einige User und auch ich haben das ausprobiert:

http://kanotix.com/index.php?name=PNphp ... highlight=

Slam hat sich in dieser Duskussion sehr eindeutig geäußert, was das team davon hält:

Zitat:
Zu allererst kommen alle Sicherheitsrelevanten Updates immer sofort und direkt sowie vollständig in "Sid" (in seltenen Ausnahmefällen über den Umweg "Experimental"). Dort sorgen die verantwortlichen Maintainer der betroffenen Pakete selbst und unmittelbar für die Integration der Bugfixes und Sicherheitspatches. Das hat mit "Testing" nichts zu tun, ausser dass einige Wochen (oder auch Monate) später die selben Pakete dann nach "Testing" weitertröpfeln.

Danach beginnt das Sicherheitsteam eine Auswahl davon als Patches für "Stable" zu paketieren (Von "Testing" ist also noch immer keine Rede). Da das fast immer nur in Form von Backports geht und oft zusätzliche Schwierigkeiten mit anderen Paketen verursacht, kann das auch mal einige Wochen dauern. Manches wird auch gar nicht in die Patches integriert, weil es das Sicherheitsteam nicht für wichtig genug hält, zu wenig Zeit hat - oder weils einfach mit dem alten "Stable" inkompatibel geworden ist. Sogar vergessen wurden so schon Sicherheitspatches, und es gab auch Zeiten in denen das Sicherheitsteam mangels ausreichender personeller Ausstattung vorübergehend die Arbeit eingestellt hatte ...

Erst danach werden endlich Sicherheitspakete für "Testing" erstellt, aber leider nur soweit die Zeit und Arbeitskraft noch reicht. Besonderes Augenmerk auf Qualität oder gar Vollständigkeit wird dabei nicht gelegt, da von allen Debian Maintainern "Testing" nur als Übergangsstation zum Testen für die nächste Release verstanden wird, und auch keiner dafür verantwortlich ist dass das Zusammenspiel der Pakete dort funktioniert. In der Praxis findet die Arbeit dort fast ausschliesslich immer nur alle 6 Monate knapp vor einer Ubuntu-Release statt, weil diese Distribution (als eine der wenigen) den Großteil Ihrer Pakete aus "Testing" bezieht, und dann einige Ubuntu Maintainer (von denen auch etliche Debian Maintainer sind) schnell für die Patches sorgen. Sobald die Ubuntu Release draussen ist, machen die aber die Patches und Backports wieder nur mehr direkt für Ubuntu, was für Debian "Testing" keinerlei Nutzen hat.

Damit wird klar dass Testingdie unsicherste Form ist Debian zu betreiben. Wer glaubt es besser zu wissen, soll tun was er will - Support gibt es dafür aus obigen Gründen von uns nicht. Viele Kanotix-Skripte und alle eigenen Kanotix-Pakete sollten auf "Testing" laufen, aber auch das können wir nicht garantieren oder gar supporten. Vor allem soll klargestellt werden, dass das Kanotix Team aus den o.a. Gründen strikt vom Betrieb von "Testing" abrät.

Greetings,
Chris


Damit eigentlich schon alles erklärt, oder?

rolo
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
minze
Titel:   BeitragVerfasst am: 10.10.2006, 08:31 Uhr



Anmeldung: 09. Okt 2006
Beiträge: 6

Hallo,

es ist also nicht anderes, als das, was ich im ersten Beitrag impliziert habe:
Entweder man macht täglich ein dist-upgrade, was schlicht overkill heißt, denn eine Flatrate ist vorausgesetzt und das System ist während eines dist-upgrades entsprechend in Beschlag. Oder man muss selber täglich die Sicherheitsmeldungen der Mailinglisten lesen und täglich die entsprechenden Programme erstmal selektieren, die man aus reinen Sicherheitsgründen upgraden muss. Es ist beides sowohl für den Normaluser als auch im Produktivsystem (wo Kanotix nach Forums-Berichten auch eingesetzt wird entgegen der, wenn auch spärlichen, Warnungen der Kanotix-Entwickler) unbrauchbar. Die dritte Möglichkeit ist noch ein CD-Upgrade aber trotz der fleißigen Arbeit der Kanotixentwickler möchte keiner seine Sicherheitsupdates im Kanotix-CD-Release-Zyklus aktualisieren.

Das Problem an den Sicherheitsupdates bei Debian unstable ist IMO, dass anscheinend nicht genug Ressourcen (manpower) zur Verfügung stehen, die Security-Updates für eine (halb-)automatische Aktualisierung der betroffenen Programme aufzubereiten. Ich erinnere mich, wie geschickt das vor Jahren bei Suse gelöst wurde (ob das immer noch so ist, weiß ich nicht): Man hatte auf den Knopf zur Aktualisierung gedrückt, es wurden dann ganze Programme und alternativ dazu auch rpm(!)-Patches für Leute mit schmalem Internetzugang zum Herunterladen angeboten. Wobei die Programme mit einer dringenden Sicherheitslückenaktualisierung gesondert gekennzeichnet waren, um eben nicht alles herunterladen zu müssen, was nichts mit Sicherheitsupdates zu tun hatte.

Ich weiß, dass Debian im Gegensatz zu (damals) Suse (heute Opensuse und damit vielleicht doch etwas mehr Comunity Einfluss) grösstenteils auf die freie Mitarbeit von Freiwilligen angewiesen ist. Leider besitze ich nicht
die entsprechenden Kenntnisse, um Mithelfen zu können.

Was mich aber dennoch interessiert: Ist es tatsächlich so viel Aufwand, Pakete im unstable repository als (ausschließlich security-)gefixt zu kennzeichen, und diesen Paketen eine zusätzliche Kommentar-Zeile anzufügen in der der Grund für das Sicherheitsupdate kurz beschrieben steht, wie das ohnehin zB unter http://www.debian.org/security/2006/dsa-1181 steht. Man könnte dann einfach sowas in der Art, wie (jetzt erfunden) ´apt-get security-upgrade' durchführen.
Gibt es eigentlich auch sowas, wie rpm-Patches für suse, entsprechend mit deb-Patches, so dass man grosse Pragramme, wie openoffice nicht in voller Größe herunterladen muss?

Tschüss

P.S. Wenn debian SID = unstable ist, warum wird denn unter http://kanotix.com/debian/dists/ zwischen den zwei Zweigen sid und unstable unterschieden?
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
horo
Titel:   BeitragVerfasst am: 10.10.2006, 08:42 Uhr



Anmeldung: 17. Dez 2003
Beiträge: 700
Wohnort: Berlin
Zitat:
P.S. Wenn debian SID = unstable ist, warum wird denn unter http://kanotix.com/debian/dists/ zwischen den zwei Zweigen sid und unstable unterschieden?

schau in die Verzeichnisse, sieht Du 'nen Unterschied?

Ciao Martin

_________________
omnia vincit pecunia
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
slam
Titel:   BeitragVerfasst am: 10.10.2006, 08:56 Uhr



Anmeldung: 05. Okt 2004
Beiträge: 2069
Wohnort: w3
Zitat:
Es ist beides sowohl für den Normaluser als auch im Produktivsystem (wo Kanotix nach Forums-Berichten auch eingesetzt wird entgegen der, wenn auch spärlichen, Warnungen der Kanotix-Entwickler) unbrauchbar. Die dritte Möglichkeit ist noch ein CD-Upgrade aber trotz der fleißigen Arbeit der Kanotixentwickler möchte keiner seine Sicherheitsupdates im Kanotix-CD-Release-Zyklus aktualisieren.


Unsinn - alle 3 Möglichkeiten (wöchentliches dist-upgrade, manuelles selektives upgraden einzelner Pakete, Update-Install mit jeder Release) werden vom "Normaluser" produktiv eingesetzt und funktionieren wunderbar. Wenn Du persönlich allerdings nur dünne Internetanbindung hast, kommt für Dich ganz einfach nur die Variante 3 in Frage. Die ist übrigens für einen normalen Desktop/Workstation-Einsatz völlig ausreichend, sehr stabil, und immer noch sicherer als nahezu alle "automatischen Sicherheitsupdates" der statischen Distributionen mit geschlossenem Repository. Sie ist auch meine bevorzugte Variante bei Firmendesktops - so setze ich Kanotix bei Kunden ein.

Im übrigen weise ich nochmals darauf hin, dass Sicherheit und Stabilität nichts miteinander zu tun haben.

Greetings,
Chris

_________________
"An operating system must operate."
 
 Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen AIM-Name Yahoo Messenger MSN Messenger ICQ-Nummer 
Antworten mit Zitat Nach oben
captagon
Titel:   BeitragVerfasst am: 10.10.2006, 10:15 Uhr



Anmeldung: 06. Feb 2005
Beiträge: 1194
Wohnort: Mecklenburg
minze hat folgendes geschrieben::

es ist also nicht anderes, als das, was ich im ersten Beitrag impliziert habe:
Entweder man macht täglich ein dist-upgrade, was schlicht overkill heißt,

Es ist kein overkill, sofern man DSL hat.
Das hängt außerdem von der Anzahl der bei dir installierten Pakete ab (und die reduzierst Du ohnehin, wenn Du erhöhten Sicherheitsbedarf hast) und andererseits musst Du dist-upgrades nicht jeden Tag fahren (obwohl das offensichtlich einige machen)
Zitat:

denn eine Flatrate ist vorausgesetzt

Für diese Variante ja.
Zitat:

und das System ist während eines dist-upgrades entsprechend in Beschlag.

Das hängt auch von deiner zur Verfügung stehenden Bandbreite ab.

Zitat:

Oder man muss selber täglich die Sicherheitsmeldungen der Mailinglisten lesen und täglich die entsprechenden Programme erstmal selektieren,

Du kannst auch Pakete, bei denen die Wahrscheinlichkeit von Gefahren erhöht ist (z.B. weil sie häufiger von der Allgemeinheit oder speziellen Nutzergruppen verwendet werden oder weil sie sehr umfangreich sind) gezielt auswählen: z.B. firefox, thunderbird, Openoffice, gimp (und falls Du Server wie samba, nfs, nis, apache, squid, cups, bind,...betreibst, diese auch), und den Kernel regelmäßiger updaten. Andere Pakete gelegentlich (da reicht wahrscheinlich sogar von Kanotix-CD-Version zu CD-Version) , da hier die Wahrscheinlichkeit des Ausnutzens von Sicherheitslöchern eher gering ist..
Zitat:

Es ist beides sowohl für den Normaluser als auch im Produktivsystem (wo Kanotix nach Forums-Berichten auch eingesetzt wird entgegen der, wenn auch spärlichen, Warnungen der Kanotix-Entwickler) unbrauchbar.

keineswegs. Es ist sogar sehr effizient.
Zitat:

Die dritte Möglichkeit ist noch ein CD-Upgrade aber trotz der fleißigen Arbeit der Kanotixentwickler möchte keiner seine Sicherheitsupdates im Kanotix-CD-Release-Zyklus aktualisieren.

Wenn man normale Sicherheitsanforderungen hat ist das ziemlich sicher.
Bei leicht erhöhten Sicherheitsanforderungen sollte zwischendurch noch einige Kernelupdates reichen.
Zitat:

Das Problem an den Sicherheitsupdates bei Debian unstable ist IMO, dass anscheinend nicht genug Ressourcen (manpower) zur Verfügung stehen, die Security-Updates für eine (halb-)automatische Aktualisierung der betroffenen Programme aufzubereiten.

Diesen Aufwand halte ich nicht für sehr effektiv- der Weg über Debian-Sid-Aktualisierung erreicht im Prinzip gleiche Sicherheit (wenn nicht sogar höhere Sicherheit) mit deutlich weniger Aufwand für Entwickler.
Zitat:

Ich erinnere mich, wie geschickt das vor Jahren bei Suse gelöst wurde (ob das immer noch so ist, weiß ich nicht): Man hatte auf den Knopf zur Aktualisierung gedrückt, es wurden dann ganze Programme und alternativ dazu auch rpm(!)-Patches für Leute mit schmalem Internetzugang zum Herunterladen angeboten. Wobei die Programme mit einer dringenden Sicherheitslückenaktualisierung gesondert gekennzeichnet waren, um eben nicht alles herunterladen zu müssen, was nichts mit Sicherheitsupdates zu tun hatte.

Um wieviel sicherer wurde dadurch Suse?
Zitat:

Gibt es eigentlich auch sowas, wie rpm-Patches für suse, entsprechend mit deb-Patches, so dass man grosse Pragramme, wie openoffice nicht in voller Größe herunterladen muss?

Bei Openoffice ist ja nicht jeden Tag eine neue Version drin- aktualisiert wird ja nur, wenn wirklich eine aktualisierte Version von Openoffice in Sid ist und das passiert keieswegs täglich.

MfG T.

_________________
Notebook: Kanotix2006-1-rc1, Kernel 2.6.17.13-kanotix-2, ECS A531,Transmeta-Crusoe 1GHz,256MB, IceWM,
PC: Kanotix2006-1-rc1, Kernel 2.6.17.13-kanotix-2, VIA-Ezra 933MHz, 256MB, XFCE4
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
John
Titel:   BeitragVerfasst am: 10.10.2006, 15:16 Uhr



Anmeldung: 10. Dez 2004
Beiträge: 489
Wohnort: Stuttgart / Kulmbach
wer debian aktuell will und zumindest für einen kleinen hauptbereich (main) sicherheitsaktualisierungen will kann ja ubuntu nehmen. dafür wird viel überhaupt nicht, bzw. nur auf freiwilliger basis aktualisiert (universe/multiverse). allerdings war nach dem release von dapper doch noch einiges mit apt zu aktualisieren, das ging wohl auch an mehrere hundert mb ran (hörensagen, gelesen). und dann auch mit zerschossenem x-server etc. also obwohl als stable bezeichnet auch nicht stabil... (sollte jetzt kein bashing sein).

wenn du deinen mailclient + browser regelmässig aktualisierst sollte das reichen
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
John
Titel:   BeitragVerfasst am: 10.10.2006, 15:19 Uhr



Anmeldung: 10. Dez 2004
Beiträge: 489
Wohnort: Stuttgart / Kulmbach
und das sei auch noch gesagt: wie ubuntu bieten auch andere distris nur für ihren kernbereich sicherheitsaktualsierungen an, da der kernbereich i.d.R. kleiner als bei debian ist greift man zwangsläufig auf fremd/nicht unterstütze quellen zu und die sicherheit ist dann noch eher gefährdet.
vielleicht wär ja ein testing (bzw. etch) was für dich, bzw. kanotix abspecken und dann als testing fahren
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
Beiträge vom vorherigen Thema anzeigen:     
Gehe zu:  
Alle Zeiten sind GMT + 1 Stunde
Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
PNphpBB2 © 2003-2007 
 
Deutsch | English
Logos and trademarks are the property of their respective owners, comments are property of their posters, the rest is © 2004 - 2006 by Jörg Schirottke (Kano).
Consult Impressum and Legal Terms for details. Kanotix is Free Software released under the GNU/GPL license.
This CMS is powered by PostNuke, all themes used at this site are released under the GNU/GPL license. designed and hosted by w3you. Our web server is running on Kanotix64-2006.