Warum Debian Oldstable?

[Gaugler]

Servus,

hatte heute eine "Diskussion" - eigentlich haben wir uns lediglich unsere Meinungen an den Kopf geworfen, auch nicht schön - mit einem Kollegen.

Er meinte, dass Oldstable die sichere Variante sei und sich die Versionen vor allem auch in den Paketen unterscheiden würden. So könnte es vorkommen, dass etwas, das in Buster funktioniert - in Bullseye nicht funktionieren muss und um umgekehrt.

Ich denke, dass ein Debian bereits zu release schon so durchgetestet und abgehangen ist, das man kaum Gründe hat, auf Oldstable zu verbleiben.

Wer hat recht?

 

[foo_1337]

Außer legacy Software, die z.B. nur mit einer älteren libc oder andere Bibliotheken funktioniert, gibts eigentlich keine Gründe. Und dafür sollte man dann auch eher Docker oder Alternativen nutzen.

 

[Marco01_809]

Wenn man Software aus externen Quellen nutzt, insbesondere großen Enterprise-Kram, dann kann es schonmal sein, dass die die neue Debian-Version noch nicht unterstützen und man warten muss. Die großen Versionen von Debian sind nicht uneingeschränkt miteinander kompatibel; es ändern sich die vorinstallierten Pakete, Standardeinstellungen, Linux-Kernel und mehr.

Nutzt man hingegen nur Software aus den offiziellen Paketquellen ist ein zeitnahes Update kein Problem. Wie du sagst ist Debian stable schon sehr ausgiebig erprobt dank testing und freeze phase.

 

[leipziger1979]

Wird wohl wie bei Windows sein, es gibt so viele unterschiedliche spezielle Programme und die können halt auch auf einem neuen Windows nicht laufen.

 

[PHuV]

Das betrifft übrigens andere Linuxvarianten (Centos, Fedora, Ubuntu...) ebenso. Ja, passiert, es kommt eben immer darauf an, was man macht und was für Applikationen darauf laufen.

Problematisch wird es immer dann, wenn die Sicherheitsrichlinien klare Vorgaben haben, zu aktualisieren.

 

[foo_1337]

Wenn man Software aus externen Quellen nutzt, insbesondere großen Enterprise-Kram, dann kann es schonmal sein, dass die die neue Debian-Version noch nicht unterstützen und man warten muss.

Wobei gerade Enterprise Kram sehr gerne nur ubuntu oder rhel/centos unterstützt.

Das betrifft übrigens andere Linuxvarianten (Centos, Fedora, Ubuntu...) ebenso. Ja, passiert, es kommt eben immer darauf an, was man macht und was für Applikationen darauf laufen.

Das Problem insbesondere bei Debian ist halt, dass Oldstable meist nach dem release vom neuen Stable nur noch ca 1 Jahr supported wird. Bei Ubuntu sind das 3 Jahre.

 

[andy_m4]

Ich denke, dass ein Debian bereits zu release schon so durchgetestet und abgehangen ist, das man kaum Gründe hat, auf Oldstable zu verbleiben.

Durchgetestet und abgehangen klingt zwar erst mal solide, ist es aber oftmals gar nicht. Debian fixt zwar hin und wieder auch mal Bugs aber das weitaus meiste ist das fixen von Sicherheitslücken. Sonstige Bugs bleiben gerne mal offen.

Außerdem droht bei uralt Versionen auch gern mal, das da irgendwelche modernen Security-Features nicht genutzt werden (können).

Das durchgetestet und abgehangen bezieht sich eher darauf, das es im Zweifel Deine Applikation nicht kaputt macht. Das kann ein valider Grund sein um dabei zu bleiben. Das heißt aber nicht automatisch, das es besser ist.

 

[Linuxfreakgraz]

Außer legacy Software, die z.B. nur mit einer älteren libc oder andere Bibliotheken funktioniert, gibts eigentlich keine Gründe.

Ein System das durch Bugfixes möglichst keine Bugs hat, damit es 24/7 stabil rennt, wie ein Server?

 

[kachiri]

Das es verschiedene Channel gibt, hat seinen Grund. Welcher Channel für einen am Besten ist, muss man anhand des Einsatzgebietes selbst festlegen. In einer großen Firma kann ein Wechsel auf die neuere Stable-Version schon etwas mehr in Zeit Anspruch nehmen, da bestimmte Software vielleicht erst angepasst werden muss.

Buster hat halt bis 2024 offiziell Support. Warum soll ich da ohne Not auf die neuere Version gehen, wenn ich auf keins der neuen Software-Pakete angewiesen bin?
Im Zweifel überspringe ich die nächste Version, weil 2023 eh die nächste Deb-Version kommt. Damit spare ich mir im Zweifel einen Zyklus und Anpassungen an meiner Umgebung

 

[foo_1337]

Ein System das durch Bugfixes möglichst keine Bugs hat, damit es 24/7 stabil rennt, wie ein Server?

Wieso sollte ich heute ein Debian Oldstable in Betrieb nehmen, wenn ich weiß, dass es nächstes Jahr EOL ist?
Und was Stabilität betrifft: Durch mittlerweile >20 Jahre Erfahrung in dem Bereich (scheisse, ich bin ein alter Sack), kann ich sicher sagen, dass selbst Bleeding Edge stabil ist. Wir haben heute noch eine FreeBSD 5.3-BETA kiste mit über 2000 Tagen Uptime am Laufen. Leider.. Und an dem Reboot war sich nicht Schuld, das war ein P2V damals.

 

[Linuxfreakgraz]

Die Frage ist doch eher wo man so etwas einsetzt, ein System, das nicht am Internet hängt, kann so Alt sein wie es will.

 

[foo_1337]

Die Frage ist doch eher wo man so etwas einsetzt, ein System, das nicht am Internet hängt, kann so Alt sein wie es will.

Ja klar. Dann kann natürlich nichts passieren. Wie war das noch mit Stuxnet und vielen anderen Dingen?

 

[andy_m4]

Im Zweifel überspringe ich die nächste Version, weil 2023 eh die nächste Deb-Version kommt. Damit spare ich mir im Zweifel einen Zyklus und Anpassungen an meiner Umgebung

Das ist eine Strategie die mitunter mit Vorsicht zu genießen ist. Erfahrungsgemäß nehmen die Upgradeprobleme zu umso größer der Versionssprung ist.

 

[Linuxfreakgraz]

Wie war das noch mit Stuxnet und vielen anderen Dingen?

Das hat die Stadtverwaltung einer mittelgroßen Stadt in Deutschland nicht davon abgehalten einen Commodore C64 für Steuerung Ihrer Ampeln einzusetzen. Den Link dazu finde ich nicht mehr, vielleicht gibts ja einen SuperGoogle unter den Forenuser.

 

[foo_1337]

Das hat die Stadtverwaltung einer mittelgroßen Stadt in Deutschland nicht davon abgehalten einen Commodore C64 für Steuerung Ihrer Ampeln einzusetzen.

Nur weil jemand etwas macht, heißt das nicht, dass es sinvoll ist. Abgesehen davon ist ein C64 auch nochmal eine andere Hausnummer (falls die Urban Legend stimmen sollte). Ich habe auch nicht behauptet, dass irgendjemand ein FreeBSD 5.3-BETA betreiben soll, nur weil es bei mir keine Probleme macht.
Deine Aussage war, dass es egal sei, dass es keine Sicherheitspatches mehr gibt, wenn die Kiste nicht "am Internet hängt." Und das ist halt nunmal blödsinn und sollte von keinem so gemacht werden!

Ergänzung (16. September 2021)

Das ist eine Strategie die mitunter mit Vorsicht zu genießen ist. Erfahrungsgemäß nehmen die Upgradeprobleme zu umso größer der Versionssprung ist.

Wir fahren mittlerweile die Strategie, gar kein dist-upgrade zu machen. Die Kisten werden komplett via terraform und ansible deployed (image via packer). So bleibt alles reproduzierbar und ein "streicheln" der Boxen ist nicht mehr nötig. Upgrade bedeutet dann: Mit neuem Base OS neu deployen.

 

[Helge01]

Man darf nicht außer Acht lassen das Angriffe und das ausnutzen von Sicherheitslücken nicht nur über das Internet erfolgt, sondern häufig auch vom internen Netz. Server die keine Sicherheitspatches mehr erhalten, sollten nicht mehr eingesetzt werden.

 

[foo_1337]

Man darf nicht außer Acht lassen das Angriffe und das ausnutzen von Sicherheitslücken nicht nur über das Internet erfolgt, sondern häufig auch vom internen Netz. Server die keine Sicherheitspatches mehr erhalten, sollten nicht mehr eingesetzt werden.

So ist es. Sehr beliebt auch: "Wieso, es ist doch eine Firewall davor?". Um dann irgendwann festzustellen, dass jemand zu Testzwecken eine Any Any Policy deployed hat und vergessen, diese wieder zu entfernen

 

[Marco01_809]

Das ist eine Strategie die mitunter mit Vorsicht zu genießen ist. Erfahrungsgemäß nehmen die Upgradeprobleme zu umso größer der Versionssprung ist.

Wobei man natürlich in zwei Schritten upgraden kann, erst oldoldstable -> oldstable, dann würde ich einmal rebooten und mir angucken ob es irgendwelche Probleme gibt, dann oldstable -> stable.
Ob man dann wirklich noch Aufwand gespart hat, der es rechtfertigt jahrelang oldstable zu fahren? Denke mal nicht.

 

[Linuxfreakgraz]

falls die Urban Legend stimmen sollte

Das habe ich von einem Forenmoderator eines nicht mehr existenten Forums, den ich vertraue. Aber gut möglich, dass das eine Urban Legend ist. Zumindest sind die Dinger netzwerkfähig mit einem entsprechenden Adapter.

 

[andy_m4]

eine Any Any Policy deployed hat und vergessen, diese wieder zu entfernen

Wieso entfernen?
Das ist die einzige Regel, die bei mir drin steht. :-)