Unsortierte Debianfragen

[asdfman]

Hallo,

Ich komme von Gentoo zu Debian und habe ein paar Detailfragen für meinen Umstieg.
Unter Gentoo gibt es ein tool namens glsa-check, mit dem man sehr unproblematisch
übrprüfen kann, ob für die aktuell installierten Pakete ein Security Advisory vorliegt, damit
man gezielt Updates einspielen kann. Gibt es eine Entsprechung unter Debian, oder
bin ich gezwungen, die Mailingliste zu abonnieren und meine installierten Pakete jeweils
manuell durchzugucken? Oder gibt es da unter Debian einen ganz anderen Mechanismus?

Eine andere Sache, die ich ganz gern hätte, wäre zu wissen, wann ich zuletzt ein apt-get
upgrade ausgeführt habe, weil ich das nicht per cron machen will um mir nichts kaputt
zu machen, aber leider auch nicht immer daran denke. Also würde ich mir da ein Skript
schreiben, das nachguckt, wann das letzte Upgrade war und mir bescheid sagt, wenn es
feststellt, dass das zu lange her ist. Dafür muss ich nur wissen, auf welche Zeit ich da Bezug
nehmen muss. Habe mir mal die dpkg-logs angesehen, aber da finde ich nur einzelne Pakete.

Könnte sein, dass ich hier in dem Thread beizeiten noch andere Fragen nachschiebe, danke
aber schon einmal im Voraus für Antworten auf meine Fragen.

Alles Gute.

 

[Tux1000]

Welches Debian willst du denn überhaupt nutzen?
Wenn stable, binde einfach den Security Zweig in deine sources.list ein und du wirst normal über APT mit den Fixes versorgt.

Bei der zweiten Frage kann ich dir nicht wirklich helfen...ich nutzen stable auf Server und Desktop und spiele bei erscheinen die Updates ein (einiges auch aus den Backports) und hatte noch nie irgendwelche Probleme.

Gruß

 

[Skully]

Also mit den Sicherheitsupdates kannst du doch den normalen Update-Mechanismus nutzen. Zumindest bei den aktuellen Stable-Release werden die Fixes auch zurückportiert und können "normal" installiert werden.

Die zweite Frage kann ich nicht beantworten. Unter Gnome nutzt Debian aber eine Update Manager, der täglich ein aptitude update macht und dann verfügbare Updates auch anzeigt.

Inzwischen ist wohl auch aptitude apt-get vorzuziehen.

 

[Tux1000]

Inzwischen ist wohl auch aptitude apt-get vorzuziehen.

Nicht unbedingt. Debian empfiehlt (wieder) apt-get.

Wenn es sich bei dem System um einen Server handelt, schau dir doch mal das Paket apticron an

 

[asdfman]

Welches Debian willst du denn überhaupt nutzen?

Habe Squeeze.

Wenn stable, binde einfach den Security Zweig in deine sources.list ein und du wirst normal über APT mit den Fixes versorgt.

Kann ich da zwischen Sicherheitspatches und einfachen neuen Versionen unterscheiden?
Was ist, wenn Advisories vorhanden sind und noch kein Patch verfügbar. Mit glsa-check wurde ich in dem Fall
trotzdem informiert und konnte den entsprechenden Dienst vorläufig offline nehmen oder andere Workarounds
anwenden.

apticron klingt interessant, das könnte ich möglicherweise anstatt des Skripts benutzen, aber so wie ich die
Seite kurz überflogen habe, bräuchte ich dafür einen MTA, den ich dann erstmal einrichten müsste. Das ließe
sich aber natürlich machen.

 

[Backslash]

Würde eventuell die debian-security@lists.debian.org und debian-security-announce@lists.debian.org abonnieren.

 

[enteon]

verschiedene repositories kann man mittels apt-pinning (man apt_preferences) priorisieren, das lässt aber nur bedingt eine unterscheidung zu. aptitude listet alle gleichwertig, in synaptics lassen sich pakete nach repository filtern.

ist das ein desktop? dann wäre es doch arg paranoid sowieso nur schwer erreichbar dienste für ein oder zwei tage zu deaktivieren.

 

[mensch183]

Unter Gentoo gibt es ein tool namens glsa-check, mit dem man sehr unproblematisch
übrprüfen kann, ob für die aktuell installierten Pakete ein Security Advisory vorliegt, damit
man gezielt Updates einspielen kann. Gibt es eine Entsprechung unter Debian, oder
bin ich gezwungen, die Mailingliste zu abonnieren und meine installierten Pakete jeweils
manuell durchzugucken? Oder gibt es da unter Debian einen ganz anderen Mechanismus?

Bei Debian gibts ein extra Repository, in dem alle Pakete landen, in denen gegenüber der Release-Version sicherheitsrelevante Bugs behoben wurden. Auf einem frisch installierten Debian findet sich dafür in der /etc/apt/sopurces.list:

deb http://security.debian.org/ squeeze/updates main non-free
deb-src http://security.debian.org/ squeeze/updates main non-free

Über den normalen update-Mechanismus (apt-get update; apt-get upgrade) werden dieses Sicherheitsupdates abgefragt bzw. eingespielt. Die 2. Zeile fürs src-deb brauchst du nur, wenn du selbst lokal aus den Quellen das Binärpaket neu bauen lassen willst, statt direkt das Binärpaket zu saugen und zu installieren.

Eine andere Sache, die ich ganz gern hätte, wäre zu wissen, wann ich zuletzt ein apt-get
upgrade ausgeführt habe, weil ich das nicht per cron machen will um mir nichts kaputt
zu machen, aber leider auch nicht immer daran denke. Also würde ich mir da ein Skript
schreiben, das nachguckt, wann das letzte Upgrade war und mir bescheid sagt, wenn es
feststellt, dass das zu lange her ist. Dafür muss ich nur wissen, auf welche Zeit ich da Bezug
nehmen muss.

"apt-get update+upgrade" schreiben mMn nirgends hin, wann sie zuletzt gelaufen sind. Du siehst nur an den Timestamps in /var/lib/apt/lists/*, welchen Stand der vom Server angebotenen Paketlisten dein Rechner hat. Dein Skript müßte also selbst einen Zeitstempel verwalten, wann es zuletzt lief. Brauchst da aber nichts neu erfinden. Installiere dir apticron oder cron-apt. Beide können regelmäßig auf Updates checken und dir eine Mail scjicken, wenn was neues da ist. So bist du informiert und kannst manuell die Updates einspielen.

Das "normale", komplett vollautomagische Update erfolgt per /etc/cron.daily/apt und das Paket "unattended-upgrades". Doku dazu ist das Skript selbst und gff. /usr/share/doc/unattended-upgrades/README. Mann kann das IMHO auch so einstellen, daß es nur Mails generiert statt selbst das Upgrade zu machen.

Kann ich da zwischen Sicherheitspatches und einfachen neuen Versionen unterscheiden?

Die Frage stellt sich nicht wirklich. In Stable-Versionen ala Squeeze gibts keine Pakete "einfach neuerer Version". Für Nicht-Stable-Versionen gibts wiederum keine Sec-Updates per security.debian.org sondern nur neuere Paketversion aus dem normalen Repository ohne besondere Kennzeichnung, daß was sicherheitsrelevantes repariert wurde.

Was ist, wenn Advisories vorhanden sind und noch kein Patch verfügbar. Mit glsa-check wurde ich in dem Fall trotzdem informiert und konnte den entsprechenden Dienst vorläufig offline nehmen oder andere Workarounds anwenden.

Ich meine es gibt bei Debian keine Advisories der Art "Loch in Paket xyz. Kein Fix vorhanden." Schau mal ins Archiv der Liste. Zu Exim gabs letztes Jahr ein "erstmal nur 1 von 2 Bugs fixed"-Advisory, war aber die absolute Ausnahme.