Re: Frage zu UPDATING portupgrade (20070301)

From: Uwe Laverenz <uwe(at)laverenz.de>
Date: Sat, 10 Mar 2007 18:55:16 +0100

On Sat, Mar 10, 2007 at 02:36:54PM +0100, Heino Tiedemann wrote:

> Ist wegen Portupgrade als Tool, oder ist das eine frage der situation,
> das man selber kompilieren muss?

Portupgrade ist als Tool schon ok, und kompilieren "sollte" man auf
einer Produktionsmaschine sowieso nicht: man "sollte" einen Testserver
haben, auf dem man vorher den Updateprozess ausgiebig testet und alle
packages baut, die dann auf der Zielmaschine installiert werden.

Das Problem, dass der Admin hat, ist zu entscheiden, ob er überhaupt
updated ("never touch a running system") und wann er das in welchem
Umfang tut.

Das Schönste wäre natürlich, wenn man nur aufgrund von Sicherheitslücken
gezielt einzelne Ports updated. Das ist aufgrund der vielen Abhängigkeiten
aber nicht immer einfach, sondern zieht meist noch eine Reihe anderer Ports
nach. Ausserdem altert so eine Kiste relativ schnell, irgendwann wird eine
Neuinstallation oder Migration aller Dienste auf eine aktuellere Maschine
einfacher sein als das Updaten. Dass diese Variante bei Debian/RHEL/CentOS
so gut funktioniert, ist das Pfund, mit dem sie Wuchern können.

Die zweite Möglichkeit ist, die Kiste immer vollständig aktuell zu
halten. Das ist zum Einen sehr aufwändig (wer hat heute noch so viel
Zeit?), und zum Anderen ist es riskant, weil neue Software eben auch
neue Fehler mitbringt (siehe oben "Testserver"). Das ist eher etwas für
Desktopmaschinen, würde ich sagen.

Als Letztes bliebe noch die Variante, dass man die Kiste inklusive der
gewünschten Dienste aufsetzt und dann nie wieder anfasst (bis sie dann
irgendwann gehackt wird oder die Hardware stirbt). Das ist in der Praxis
vermutlich die häufigste Variante... B-)

> > einen definierten, eingefrorenen Versionsstand im Portssystem haben,
> > der dann für x Jahre mit Security-Fixes versorgt wird.
>
> Bitte nicht...

Naja, für Admins ist das eine sehr nützliche Sache. :)

Gruss,
Uwe

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 10 Mar 2007 - 18:56:27 CET

search this site