Wie sicher ist up2date?

Diese Frage wurde gestern auf der Mailing List "focus linux" von
securityfocus.com gestellt.

Zusammenfassend kann man up2date als recht sicher einstufen, da es ohne
lokalem Daemon arbeitet und daher auf den Clients nicht die typischen
Gefahren eines zusätzlichen Dienstes öffnet.

Interessant ist auch eine Antwort, welche auf das Projekt Current
(http://current.tigris.org/) hinweist. Dies ist eine freie
Implementierung des up2date-Servers. Wer es ausprobieren möchte, kann
die einfachen Anweisungen im folgenden Artikel verfolgen:
Unavailable
Sobald man mehr als einen GNU/Linux Rechner hat. Kann ein so ein
privater Server mit den Updates sehr praktisch sein. Bis jetzt hatte ich
immer ein Netzlaufwerk mit einem Mirror der Red Hat Updates auf den
Clients gemounted und mittels 'rpm -F' diese Patches eingespielt.

Current ermöglicht es ein äußerst praktisches System zur Aktualisierung
der Clients aufzubauen. Es bleibt dennoch ein Problem, für das ich noch
keine Lösung gefunden habe. Das ganze Ding scheint auf Red Hat
zugeschnitten zu sein. Es ist wahrscheinlich möglich, das System auch
auf andere RPM basierende Systeme zu migrieren, aber was macht man z.B.
bei einer Debian, Gentoo oder Slackware? Eine Implementierung von
alternative Systeme wir einem dabei nicht erspart bleiben, bei der
Debian wären es die Sources-Lists.

Da sich die Frage mit der Sicherheit von up2date beschäftigte, enthielt
eine der Antworten ein Verweis auf ein recht interessantes Dokument,
welches sich mit dem idealen Zeitpunkt für das Einspielen von Patches
beschäftigt.
http://www.nxnw.org/~steve/papers/lisa2002-time-to-patch.pdf

Das ist vorwiegend alles. Kennt jemand alternativen zu up2date?

Das Thema interessiert mich sehr, da diese Systeme für Dienstleiter im
IT-Bereich ein sehr nützliches Werkzeug sind. Daher können solche
Systeme für sie ein Argument sein, auf GNU/Linux zu setzen.

Happy hacking!
Patrick

Das ist vorwiegend alles. Kennt jemand alternativen zu up2date?

Die beste alternative ist apt :slight_smile: Ich finde daß apt wesentlich flexibler
und ausgereifter ist als up2date, dazu kommt noch die
distributions-unabhängigkeit (siehe apt für rpm) und weitere features
die up2date nicht bieten kann (z.B. Verwaltung verschiedener
repositories). Deswegen setzen viele Distributionen auf apt wie z.B.
Conectiva.
Die wesentlichen Vorteile von up2date liegen nicht im Client, sondern in
der Server seitigen Software von RHN. Somit sehe ich keine Vorteile in
"current" (außer daß es frei ist), da es den up2date client verwendet
und deswegen nur auf RedHat Systemen funktioniert.
Es wäre sinvoller eine auf apt basierende Lösung zu entwickeln, damit
wäre die Palette der unterstützten Distributionen wesentlich größer.

bye
raf

p.s. ein paar interessante Links:
http://freshrpms.net/apt/
http://apt4rpm.sourceforge.net/

Hallo Raphael,

jetzt endlich die Antwort auf deine Mail. Da bereits einige Tage
vergangen sind, habe ich ausnahmsweise ein großzügiges Quoting verwendet.

raphael(a)endian.it wrote:

Das ist vorwiegend alles. Kennt jemand alternativen zu up2date?

Die beste alternative ist apt :slight_smile: Ich finde daß apt wesentlich flexibler
und ausgereifter ist als up2date, dazu kommt noch die
distributions-unabhängigkeit (siehe apt für rpm) und weitere features
die up2date nicht bieten kann (z.B. Verwaltung verschiedener
repositories). Deswegen setzen viele Distributionen auf apt wie z.B.
Conectiva.

Zur Verwaltung verschiedener Repositories: Das ist für Benutzer, die
selbst ihren Rechner verwalten und Software von vielen verschiedenen und
auch inoffiziellen (experimentellen) Stellen beziehen wollen, sicher ein
großer Vorteil. In einem Schenario, in dem eine IT-Abteilung viele
Clients verwaltet, ist es aber nicht notwendig. Es ist der IT-Abteilung
wahrscheinlich ausreichend (recht), wenn die Software nur von ihrem
offiziellen Server bezogen wird.

Die wesentlichen Vorteile von up2date liegen nicht im Client, sondern in
der Server seitigen Software von RHN. Somit sehe ich keine Vorteile in

Welche Vorteile hat die server-seitige Software RHN gegenüber "current"?

"current" (außer daß es frei ist), da es den up2date client verwendet
und deswegen nur auf RedHat Systemen funktioniert.

Gibt es up2date nicht auch für andere Distributionen? Wahrscheinlich
funktioniert es auf alle RPM-basierende Distributionen. Wenn man aber
die Problematik der verschiedenen Distributionen hat, dann ist es
wahrscheinlich besser sofort apt einzusetzen.

Es wäre sinvoller eine auf apt basierende Lösung zu entwickeln, damit
wäre die Palette der unterstützten Distributionen wesentlich größer.

Da gebe ich dir Recht!

Wie gut funktioniert apt auf Red Hat, hast du es schon getestet?

Wie aktuell sind die über sources list angebotenen Pakete für die Red Hat?

Das wohl faszinierenste, das mir über apt berichtet wurde ist, dass man
Distributionsupdates mittels Eingabe eines einzelnen Kommandos
durchführen kann. Funktioniert das auch bei der Red Hat?

Happy hacking!
Patrick

Hallo :slight_smile:

jetzt endlich die Antwort auf deine Mail. Da bereits einige Tage
vergangen sind, habe ich ausnahmsweise ein großzügiges Quoting verwendet.

:slight_smile:

Zur Verwaltung verschiedener Repositories: Das ist für Benutzer, die
selbst ihren Rechner verwalten und Software von vielen verschiedenen und
auch inoffiziellen (experimentellen) Stellen beziehen wollen, sicher ein
großer Vorteil. In einem Schenario, in dem eine IT-Abteilung viele
Clients verwaltet, ist es aber nicht notwendig. Es ist der IT-Abteilung
wahrscheinlich ausreichend (recht), wenn die Software nur von ihrem
offiziellen Server bezogen wird.

Finde ich nicht, man könnte "offizielle" Repositories mit
"inoffiziellen" mischen, wie z.B. die von Debian und zusätzlich
firmeninternen Repositories, somit spart man sich die Arbeit der
synchronisation mit den "offiziellen" Repositories (z.B. für security
Updates).

<persönliche_meinung>
Ich finde daß eine IT-Abteilung keine Probleme hat die paar Kröten für
das RHN aufzubringen und für eine Privatperson ist apt weitgehend
ausreichend.
</persönliche_meinung>

> Die wesentlichen Vorteile von up2date liegen nicht im Client, sondern in
> der Server seitigen Software von RHN. Somit sehe ich keine Vorteile in

Welche Vorteile hat die server-seitige Software RHN gegenüber "current"?

Im moment würde ich mal behaupten daß die Features von "current" recht
mäßig sind (z.B. hat "current" *noch* keine Web-Oberfläche). RHN glänzt
mit einer sauberen und funktionellen Oberfläche und mit einer Serie von
Features die dem "geschtressten SysAdmin" das Leben erleichtern :wink:

Siehe:
https://rhn.redhat.com/preview/index.pxt

> "current" (außer daß es frei ist), da es den up2date client verwendet
> und deswegen nur auf RedHat Systemen funktioniert.

Gibt es up2date nicht auch für andere Distributionen? Wahrscheinlich
funktioniert es auf alle RPM-basierende Distributionen. Wenn man aber
die Problematik der verschiedenen Distributionen hat, dann ist es
wahrscheinlich besser sofort apt einzusetzen.

Ich glaube nicht, zumindest nicht out-of-the-box.

<snip>
Production quality for 2.7 and 2.8 clients with a Red Hat 7.x/8.0
server.
</snip>

> Es wäre sinvoller eine auf apt basierende Lösung zu entwickeln, damit
> wäre die Palette der unterstützten Distributionen wesentlich größer.

Da gebe ich dir Recht!

Wie gut funktioniert apt auf Red Hat, hast du es schon getestet?

Ja, es funktioniert tadellos. Es sind mir aber ein paar Unterschiede
gegenüber "Debian APT" aufgefallen, z.B. daß die Paketlisten binär
gespeichert werden (bleah, ich hoffe es gibt 'nen *guten* Grund dafür),
daß ein paar Tools bzw. Funkionen der Tools fehlen (weiß nicht mehr
welche) und daß apt4rpm wesentlich langsamer ist (ist aber kein großes
Thema).

Just try it! :slight_smile:

<joke>apt-get install apt</joke>

Wie aktuell sind die über sources list angebotenen Pakete für die Red Hat?

Abgesehen davon daß man sich eigene source-listen fertigen kann (cd bzw.
ftp inhald in ein Verzeichis kopieren, indizieren und samba
[www.samba.org läßt grüßen] ;), gibt es sourcen die recht aktuell sind:

Siehe:
http://apt4rpm.sourceforge.net/repos.html
http://apt-rpm.tuxfamily.org/scripts/apt-rpm.html

Das wohl faszinierenste, das mir über apt berichtet wurde ist, dass man
Distributionsupdates mittels Eingabe eines einzelnen Kommandos
durchführen kann. Funktioniert das auch bei der Red Hat?

Da bin ich überfragt, ich kenne apt4rpm nicht so gut. Das tool "apt-get"
wurde anscheinend 1:1 portiert, somit sollte "apt-get dist-upgrade" auch
funktionieren, ist aber nur 'ne Vermutung :wink:

bye
raf