[linux-l] Bug Tracker der sich gescheit updaten lässt

[Olaf Radicke]

Hallo Peter,

> Peter Ross <Peter.Ross at bogen.in-berlin.de> hat am 14. August 2015 um 03:52
> geschrieben:
> 
> 
> Quoting Olaf Radicke <briefkasten at olaf-radicke.de>:
> 
> >> Von: Peter Ross <Peter.Ross at bogen.in-berlin.de>
> >>
> >> Ich habe genau das unter FreeBSD 4 Jahre via Skript automatisiert.
> >
> > Wenn ich Docker auf meinen Server zur Verfügung hätte, würde ich
> > mich auf redmine einlassen und Skript-gesteuert im Container
> > laufen lassen. Aber Bareback sicher nicht. Wir haben das Jahr
> > 2015. Das muss sich anders depoloyen lassen, oder ich verzichte.
> 
> Was willst Du damit sagen?

Was ist den die Ursache für die Kopierorgien? Die fehlende
Mandantenfähigkeit der Applikationen. Wenn mehrere Instanzen
auf einer Maschine laufen sollen, müssen mehrere Kopien
der Software erstellt werden. Das ist der Grund warum die
Software ihre Pfade nicht kennen kann.

Gegenbeispiel:
1.) Jenkins: Man bindet eine yum-repo ein und dann warst das mit "yum
update/install" schon.
2.) Wordpress: Nicht ganz so schön aber immerhin, ein Update aus der Applikation
heraus.


> Sowie Du etwas konfiguriert hast, musst Du diese Konfiguration anwenden.

Ja und? Wenn sich das Konfigurationsformat in einer Version verändert,
erwarte ich, das die Applikation die alte Konfiguration konvertiert und
ggf. sinnvolle Standardwerte für neue Parameter setzt.

> Wenn ein Programm eine Datenbank verwendet, kann sich die Struktur  
> aendern, deshalb das Migrationsskript.

Die Anwendung sollte erkennen können, auf welchen Versionsstand sich 
die DB befindet. Schon alleine um sicherzustellen, das eine DB nicht
korrupt geht. Das Konvertieren der DB sollte die Applikation übernehmen,
denn die Entwickler sollten ihre DB besser kennen als die Admins.

> Das alles laesst sich in einem Skript durchfuehren. Nichts, was  
> irgendwie Deiner Aufmerkdsamkeit beduerfte, wenn das Skript da ist.

Bash ist nicht gerade für seine Fehlertoleranz bekannt. Bash
benutzt man wenn es nur drei Zeilen braucht um etwas zu erledigen.
Wenn man sicherheitsbewusst ist und alle möglichen Dinge abfangen
will, brauch man in Bash sehr viel Code, der schnell unübersichtlich
wird.

Datei- und Verzeichnis-Operationen scheinen sich in Bash immer
schnell erledigen zu lassen. Aber das ist ein Trugschluss. Die
ganzen Variablen die man für Pfadgenerierungsoperationen verwendet,
müssen alle überprüft werden, da Bash keine undefinierten Variablen
kennt, und das Skript nicht stoppt, wenn eine Variable nicht gesetzt
wurde. Zudem sind Bash-Skripte langsam.


> Und ja, ich habe 'Docker' verwendet, Jahre bevor es Docker gab.

Na ist doch gut. Sind wir uns ja einig, das es nützlich ist,
wenn man es zur Verfügung hat. Ich habe es nicht zur Verfügung.

> Ich habe langsam das Gefuehl, es gibt im Linux-Lager Bestrebungen, das  
> System undurchschaubar zu machen, und das Sicherheit keine Rolle mehr  
> spielt.

Es gibt ja (mittlerweile) unter Linux verschiedene Container-
Technologieehen mit unterschiedlichen Ansätzen und Schwerpunkten.
Unter Linux ist die Sache ja erst im Kommen. Da ist klar, das
man dann erst mal Lehrgeld zahlt.

> Irgendwie muss man ja auch Open Source-Installationen fuer die NSA  
> zugaenglich machen..
> 
> Die Design-Aenderungen der letzten Jahre gehen doch alle in die Richtung.

Man kann sich ja noch nicht mal mehr auf seine Hardware verlassen:
http://www.heise.de/security/meldung/Lenovos-Service-Engine-BIOS-Rootkit-direkt-vom-Hersteller-2778547.html


Gruß

Olaf