[linux-l] Re: Debian testing

Volker Grabsch vog at notjusthosting.com
Sa Jan 6 23:04:21 CET 2007 

On Sat, Jan 06, 2007 at 02:17:58PM +0100, Ivan F. Villanueva B. wrote:
> Am Fr, Jan 05, 2007 09:07:24 +0100, Volker Grabsch schrieb:
> > So sollte es sein. Aber leider tauchen immer wieder mal Inkonsistenzen
> > auf. Ich behalte nur deshalb noch Etch (aktuelle Testing), weil's bald
> > Stable werden soll.
> > 
> > Ansonsten habe ich aber mit Debian/Stable und Backports gute Erfahrungen
> > gemacht.
> 
> Danke, das war sehr hilfreich. Noch eine Frage: oft lese ich, dass
> Sicherheitsupdates in Debian sehr schnell zu Verfügung stehen, aber nur für
> "stable". Ist es so?

Grundsätzlich werden Sicherheitslücken in den aktuellsten Versionen als
erstes behoben, von den Autoren selbst. Da Unstable mit diesen Versionen
Schritt hält, profitiert dies i.d.R. als erstes davon.
(Wie immer gibt's natürlich auch Ausnahmen)

Extra Patches für Stable und Testing werden dann von den
Paket-Maintainern bzw. einem Security-Team zusammengestellt. Dort will
man ja die alte bewährte Version berbehalten, und kann daher nicht direkt
auf die neuste Version hochgehen. Stattdessen picken sich die Maintainer
die Security-Patches heraus und pflegen sie in die älteren Versionen
ein.

Der Sinn hinter diesem aufwändigen Verfahren ist, dass die Programme in
Stable nur noch Bug/Security-Fixes erhalten, und keine neuen
(ungetesteten) Features oder ähnliches. Das erhöht die Qualität, denn
die aktuellste Programmversion erhält zwar auch alle Fehlerkorrekturen,
aber eben auch haufenweise neue potentielle Probleme.

Es gibt nicht nur für Stable, sondern auch für Testing ein Security-Team.
Jedoch hat Stable vorrang, vorallem dann, wenn die Version in Testing
sowieso demnächst durch eine neue aus Unstable ersetzt wird.

Das heißt also: Security-Fixes landen als erstes in Unstable, und
gleichzeitig bis kurz danach kommt ein Fix für Stable. Eventuell auch
einer für Testing.

So gesehen ist Unstable am "aktuellsten", aus den oben genannten Gründen
ist dennoch Stable als sicherer anzusehen.

> Was ist wenn ich z.B. ein Server betreiben will, und aber
> PHP5 brauche? Gibt es ein Backport für stable? Wer macht es? Gibt es
> Sicherheitsupdates?

Es müsste Backports geben, wahrscheinlich sogar direkt auf
Backports.org, einem von vielen Freiwilligen getragenes Projekt.

Jedoch haben diese nicht die Resourcen von Debian, d.h. die Backports
werden nicht so häufig aktualisiert. Sicherheits-Patches haben dort
natürlich auch absoluten vorrang, und sie gehen sogar recht intelligent
damit um: Sie nehmen grundsätzlich die Version aus Testing. Aber wenn
z.B. PHP5 eine Sicherheitslücke hat, die in Unstable sofort gefixt
wird, während Testing auf sich warten lässt, dann nehmen sie einfach die
Version aus Unstable.

So sparen sie sich Arbeit, denn Backports.org kann im Gegensatz zu
Debian kein eigenes Security-Team stellen.

Das heißt, Stable+Backports.org *können* eine sehr stabile und sichere
Wahl sein. Jedoch gibt es auch immer wieder Verzögerungen, denn
Backports.org kann aufgrund der geringeren Mannkraft nicht immer mit
Debian mithalten.

Es gibt also, sicherheitstechnisch gesehen, gute Gründe sowohl für
    Unstable
als auch für
    Stable + Backports.org

Das musst du für dich selbst herausfinden. Probier erstmal die
Backports, und erst, wenn du damit Stress bekommst, versuche Unstable.
Denn Unstable ist auf jeden Fall stressiger, die Frage ist also
lediglich, was das geringere Übel ist. ;-)

Abraten würde ich jedoch von einem
    Testing
Trotz dem wiedereingeführten eigenen Security-Team hinkt es meiner
Erfahrung nach hinter Unstable und Stable hinterher. Es ist schon
eine Ironie, dass die auf Testing basierten Backports.org-Pakete
besser damit zurecht kommt als Testing selbst.

Egal, was du machst: Abonniere die "debian-security-announce"
Mailingliste. Dort kannst du dir selbst ein Bild machen, wie schnell
für welche Pakete in Stable/Testing/Unstable ein Update bereit steht.
Meiner Erfahrung nach standen fast immer für Stable und Unstable die
Patches sofort bereit, während ich Testing dort schmerzlich vermisste.
Kann sich natürlich mit der Zeit auch ändern, dann sind meine hier
gegebenen Hinweise ungültig geworden. Also, mach dir am besten ein
eigenes Bild und halte dich auf den neusten Stand:

    http://lists.debian.org/debian-security-announce/

Außerdem weißt du dann immer rechtzeitig, wann du ein Upgrade machen
musst. D.h. du brauchst es nicht blind alle paar Tage machen, sondern
kann gezielte updates machen. Und zwar immer gleich, wenn du per E-Mail
von einem Security-Bug eines von dir eingesetzten Pakets list.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l