bongobong
Anmeldungsdatum: 12. Dezember 2008
Beiträge: 1820
Wohnort: Hamburg
|
Hi, klingt blöd die Frage, ist wohl auch blöd formuliert, aber ich erklär es nochmal so: Ich habe eine Paketquelle aktiv die nur 1 Paket enthält. Kann nun der Verwalter der Paketquellen nicht einfach ein Paket z.B. mit einem neuen modifizieren Kernel hochladen der mein System zerstört oder das System ausspähen kann? Natürlich, einer der gut aufpasst wird es merken, nicht aber jemand der einfach nur schnell sein System auf den neusten Stand bringen will. Ist allso ein Apt-Pinning mit Prioritäten für die Fremdquellen immer sinnvoll? Danke
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Das ist genau der Grund warum immer wenn irgendwo das Wort Fremdquelle vorkommt so ein fettes Warnschild steht. Pinning bringt nicht besonders viel, weil irgendwas wird man wohl aus der Fremdquelle installiert haben und das kann natürlich ersetzt werden, solange die Fremdquelle noch aktiv ist. Wenn man das nicht einschätzen kann, sollte man lieber Fremdquellen wieder entfernen sobald man hat was man will.
|
bongobong
(Themenstarter)
Anmeldungsdatum: 12. Dezember 2008
Beiträge: 1820
Wohnort: Hamburg
|
Gut zu wissen, ich kenne natürlich die Warnungen aber habe trotz wusste nicht, dass es so weit gehen kann. Das mit dem entfernen der Paketquellen nach der Installation ist halt auch so ein Ding, schließlich soll das Programm ja auf dem neusten Stsnd bleiben und eventuelle Sicherheitlücken geschlossen werden 🙄 Dann bleibe ich zumindest bei meinem Pinning, damit die vorhandenen offiziellen Pakete nicht ersetzt werden. Natürlich muss man darauf achten ob dies nicht sogar bei der Quelle gewollt bzw. nötig ist. Danke, diese Frage ging eigentlich schon seit Monaten da oben rum^^
|
Antiqua
Anmeldungsdatum: 30. Dezember 2008
Beiträge: 4532
|
darf ich fragen, was genau du pinnst? Wenn du eine Fremdquelle drinn hast, die z.B. anfangs nur Programm xyz-2.0.1 enthällt, müsstest du ja komplett alle anderen Programme deines Systems pinnen, um nicht Gefahr zu laufen, von dieser Fremdquelle etwas "modifiziertes" untergeschoben zu bekommen. Der Betreiber der Fremdquelle könnte nämlich irgendein Paket reinnehmen (z.B. ein modifiziertes bash_4.1-2ubuntu7_i386.deb oder gdm_2.30.0-0ubuntu9_i386.deb) und wenn die Versionsnummer eben passend höher ist, als die Versionsnummer in den offiziellen Repos, wird dieses Paket aus den Fremdquellen installiert...
|
agaida
Anmeldungsdatum: 24. Februar 2010
Beiträge: 3348
Wohnort: Bielefeld
|
Einen Hang zu Neurosen hat wohl jeder Informatiker, ich kann mich da nicht ausnehmen - aber: Ich würde mir über bewusst eingesetzte Fremdquellen nicht wirklich Sorgen machen. Der Grund: Das zerstören funktionierender Systeme durch offizille Quellen siehst Du hier im Forum ziemlich pünktlich in besonderer Häufung alle 6 Monate 😉. Ein probates Mittel, sich vor so was zu schützen, gibt es - es wird von Benutzern von Rolling Releases immer wieder gepredigt. Wenn man wirklich Bedenken hat, spielt man Updates in ein identisches Testsystem ein und schaut, was die machen. Erst danach und einen ausfühlichen Test später ist das Testsytem dran. Was in diesem Zusammenhang auch immer wieder beruhigt, ist das Erstellen von Vollsicherungen vor Updates. Ansonsten ist den Ausführungen von Antiqua und adun nichts hinzuzufügen, ausser vielleicht eine uralte Weisheit: Never touch a running system. Genau das ist der Grund, warum eine nicht unwesentliche Anzahl von Leuten RHEL oder debian stable einsetzen und die ganz konservative Schiene fahren.
|
uname
Anmeldungsdatum: 28. März 2007
Beiträge: 6030
Wohnort: 127.0.0.1
|
Der Grund: Das zerstören funktionierender Systeme durch offizille Quellen siehst Du hier im Forum ziemlich pünktlich in besonderer Häufung alle 6 Monate
Der war echt gut. Schön, dass mein Debian immer sehr veraltet ist und die Debian-Community vielleicht alle paar Jahre mit einem neuen Release um die Ecke kommt. Bei Ubuntu nutze ich generell nur LTS-Versionen, vollkommen egal wie alt die Software über die Jahre wird und egal welche Features erfunden werden.
Ein probates Mittel, sich vor so was zu schützen, gibt es - es wird von Benutzern von Rolling Releases immer wieder gepredigt.
Naja. Nur wenn jetzt noch eine Fremdquelle genutzt wird hat man nichts gewonnen. Und bei Rolling-Releases kann auch mal schnell alles zerschossen werden. Vom extremen Upgrade-Marathon über die Jahre mal ganz abgesehen. Ich habe keine Angst vor einem Totalverlust des Systems. Mein Backup ist tagesaktuell. Gefahren sehe ich wenn ich ausspioniert werde bzw. mein Rechner zu einem Botnetz gehört. Und das kann ich mir einmal mit einer Fremdquelle einfangen und werde ich dann wohl nie wieder los. Dann verzichte ich lieber auf eine für mich scheinbar wichtige Software.
|
bongobong
(Themenstarter)
Anmeldungsdatum: 12. Dezember 2008
Beiträge: 1820
Wohnort: Hamburg
|
Ich selbst habe erst mit der Version 8.10 angefangen Linux zu verwanden und bin daher den Luxus einer LTS-Version sowieso vor 10.10 noch nicht begegnet. Bin jedoch bisher recht zufrieden gewesen mit der Stabilität. Auf ein paar Fremdquellen bin ich jedoch angewiesen wie die von Dropbox und RemasterSys und auch öfters GetDeb und PlayDeb welche aber nur zum installieren und aktualisieren geöffnet werden. @Antiqua Wenn ich eine Paketquelle mit Pinning hinzufüge gehe ich folgendermaßen vor:
## RemasterSys-Quelle ##
sudo sh -c "echo '
## RemasterSys' >> /etc/apt/sources.list"
sudo sh -c "echo '#deb http://www.geekconnection.org/remastersys/repository karmic/' >> /etc/apt/sources.list"
sudo sh -c "echo 'Package: *
Pin: origin geekconnection.org
Pin-Priority: 50' >> /etc/apt/preferences"
sudo sh -c "echo '' >> /etc/apt/preferences"
So habe ich zumindest die Anleitung zu Pinning im Wiki verstanden, es werden keine bereits vorhandenen Pakete ersetzt!?
Apt-Pinning (Abschnitt „Werte-fuer-Pin-Priority“)
|
agaida
Anmeldungsdatum: 24. Februar 2010
Beiträge: 3348
Wohnort: Bielefeld
|
Apt-Pinning: Du verhinderst per Pinning das Updaten von bestimmten Paketen. Das ist ja auch alles niedlich und kuschelig - geht aber voll am Thema vorbei. Beispiel: Ich packe Dir in Dein ppa ein 2. Paket - eins, von dem Du nichts weisst. Das mache ich zu einem Zeitpunkt, wo es eh nicht so auffällt. Bei KDE wäre das ein KDE minor update oder qt minor. Mein zusätzliches Paket geht einfach unter, wenn ich es entsprechend benenne. Dein System ist danach Schrott. Fragen? Einfacheres Beispiel: Ich aktualisiere als Maintainer dieses einzelne Paket und mache einen Tippfehler. Du wartest sehnsüchtig auf diese Änderung. Bei mir läufts, aufgrund besonderer Umstände richtet meine Änderung bei Dir Schaden an. Und schon ist das Kind wieder in den Brunnen gefallen.
|
bongobong
(Themenstarter)
Anmeldungsdatum: 12. Dezember 2008
Beiträge: 1820
Wohnort: Hamburg
|
Ok, aber ich verhindere zumindest das ein Paket aus der Fremdquelle ein offizielles ersetzt, das hilft mir schonmal für meine gefühlte Sicherheit *gg* Aber Danke für den Hinweis
|
agaida
Anmeldungsdatum: 24. Februar 2010
Beiträge: 3348
Wohnort: Bielefeld
|
😈 Das mit den Tippfehlern gilt natürlich auch für offizielle Pakete - 100% Sicherheit gibt es nicht - es muss nicht mal böse gemeint sein. In Fachkreisen nennt man das Murphys Law. 😈
|
zephir
Anmeldungsdatum: 20. März 2006
Beiträge: 2758
|
Ich denke ein sinnvolles pinning kann schon zur sichereren Verwendung von Fremdquellen beitragen. Es nutzt nichts wenn der Betreiber dir gezielt schadcode unterschieben will, aber wenn in einer Quelle (z.B. backports oder proposal) eine ganze menge experimentelles Zeug liegt, und du davon nur eine bestimmte Software nutzen willst, kannst Du über pinning gezielt nur diese eine aktuell halten, ohne das der ganze Rest installiert wird, nur weil da aktuellere Versionen als die auf deinem System bei sind. Und du erhälst trotzdem updates für die Software, die du daraus installiert hast, also anders als wenn du die Quelle sofort wieder rausnimmst.
|