[linux-l] apt-get usw.

Mike Dornberger Mike.Dornberger at gmx.de
Do Jun 7 14:34:01 CEST 2007 

Hi,

On Thu, Jun 07, 2007 at 09:24:26AM +0200, Volker Grabsch wrote:
> On Thu, Jun 07, 2007 at 06:27:30AM +0200, Norm at nSteinbach wrote:
> > Ist es möglich, das apt-System so zu manipulieren dass es bei gewissen 
> > repos immer denkt, es hätte die aktuellste Version und erst garnicht 
> > nach security-updates sucht?
> 
> Jein. Eine direkte Manipulation ist gar nicht nötig.
> 
> Ein APT-Repository braucht nur eine viel, viel neuere Version von einem
> Paket anbieten. Zum Beispiel absichtlich die Versionsnummer auf 100.0
> hochzählen. So "neue" Security-Updates gibt's noch nicht.

na, mal langsam mit den jungen Pferden! So einfach ist's ja nun auch nicht.
jedenfalls nicht, solange man nicht "irgendwelche" Repositorien in die
sources.list einträgt -- und dann meckert apt{,titude} eh, daß es den
Schlüssel zum Überprüfen der Signaturen nicht hat oder daß das Repositorium
nicht signiert ist und, wenn ich mich recht erinnere, verweigert
standardmäßig die Installation dieser Pakete. (Vgl. auch man apt-key. Das
GPG-basierte Signieren ist seit Etch offiziell in Debian eingeführt worden
-- nachdem es "ewig" vorher in Sid getestet wurde.)

(BTW gibt es auch Pakete, deren Versionsnummern bei weitem größer als 100.0
ist, aber das ist ein anderes Thema.)

Ubuntu wird sicherlich die gleiche Sicherheitsinfrastruktur benutzen, nehme
ich an.

Die nach den anfänglich gefragten Ign-Zeilen kommen wohl daher, daß das apt
in Etch die Paketbeschreibungsdateien anders aus den Repositorien
herunterlädt. Es werden Differenz-Dateien erstellt, die meist nur einige
(hundert) kB groß sind und bei jedem Update (solange das letzte nicht zu
lange her ist und sich sehr viel an den Dateien geändert hat (v. a.
Versionsnummern werden das sein)) nicht die mehrere MB große, komplette
Datei geladen werden muß. Wenn ich mich recht entsinne, werden die
Differenzen im Security-Repositorium aber nicht erzeugt, apt{,titude} lädt
also als fallback die kompletten Paketlisten und schreibt Ign für die
Differenzen hin.

Ich glaube, dieses Verhalten hatte mich auch schonmal gestört, die Meldung
ist irreführend und dann wird wohl mal ein (wishlist) bug fällig. :-) (Muß
ich dann aber nochmal genau nachprüfen, hab das jetzt aus dem Kopf
geschrieben.)

Gruß,
 Mike

Mehr Informationen über die Mailingliste linux-l