Wie seht Ihr das?
Sollte ich - trotz aller positiven Erfahrungen mit diversen Ubuntu-Versionen seit 2007 - nach einer Distribution mit rolling release Ausschau halten? Vielleicht manjaro, oder gar arch?
Anmeldungsdatum: Beiträge: 610 |
Wie seht Ihr das? Sollte ich - trotz aller positiven Erfahrungen mit diversen Ubuntu-Versionen seit 2007 - nach einer Distribution mit rolling release Ausschau halten? Vielleicht manjaro, oder gar arch? |
||
Anmeldungsdatum: Beiträge: 4015 |
In dem Artikel wird vor allem auf die Gefahren für Server eingegangen:
Ich verwende auch auf dem Server nicht nur Software aus main, allerdings immer die aktuelle Ubuntuversion, die halt aktuell zufällig gerade LTS Status hat. Viele Sicherheitslücken in Bibliotheken und Anwendungen lassen sich vermutlich auch gar nicht (einfach) remote ausnutzen, solange die nur lokal in irgendwelchen Skripts oder in einer geschützten Umgebung (unter anderem Benutzer) verwendet werden. Bin da selbst optimistisch, dass lange nichts passiert und halte mich für das größere Sicherheitsproblem. 😀 |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 610 |
|||
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Das ist Captain Obvious verpackt als Clickbait. Die angeblichen „Sicherheitsprobleme“ bestehen seit Jahren – also konzeptionell, dass nur Software aus den Paketquellen ~jug |
||
Anmeldungsdatum: Beiträge: 357 Wohnort: Schweiz |
Die Frage ist ob es wirklich ein Problem ist. Bei mir sprechen wir da "nur" von 43 Paketen bzw. von 2% aller installierten Paketen auf dem System die keine Unterstützung haben. Prüfen kannst du das im Terminal mit dem Befehl: "ubuntu-support-status --show-unsupported" der dann eine ähnliche Ausgabe bringt:
Wenn du siehst das es nicht viele Pakete sind ist die Gefahr kleiner. Bzw man könnte einige davon auch ersetzen. Bei mir z.B. FileZilla andere FTP Clients gibt es wie Sand am Meer. Bei anderen Paketen wie z.B. google chrome oder torbrowser spielt es keine Rolle - da Chrome über eine externe Paketquelle von Google direkt aktualisiert wird und der Tor Browser sich selbst - unabhängig von der Paketverwaltung - aktualisiert. Pakete wie hunspell-en-* könnte ich auch entfernen da ich keine englische Rechtschreibeprüfung brauche. |
||
Anmeldungsdatum: Beiträge: 1379 |
Ich beziehe mich hier auf den Heise-Artikel "LTS: Lauter Sicherheitslücken trotz Langzeitpflege". Scheinbar sind die Ubuntu LTS Varianten doch nicht so gepflegt (im Sinne von stabil und sicher), wie ich annahm. Das war für mich (auf einem Desktop-System) aber wichtig. dafür habe ich auch ältere Software mit reduziertem Funktionsumfang (in Releation zur eigentlich aktuellen Programmversion) in Kauf genommen. Ubuntu erschien mir da als ein guter Kompromiss zwischen Sicherheit und Aktualität der verfügbaren Software. Bei Debian war mir (nach nur kurzen Tests) die Software zu alt. Auch hatte ich angenommen, dass die "Pflege" bei Ubuntu relativ umfangreich ist, da sich dahinter ja ein Unternehmen mit entsprechenden Ressourcen befindet. Jetzt sehe ich das unter neuem Licht und überlege, welche Alternative könnte ich zu Ubuntu nehmen? Der Debian stable-Zweig ist grundsätzlich zu alt. Habe aber in den Foren (gefühlt) sehr häufig Leute getroffen, die auch den testing-Zweig verwenden, um relativ aktuelle Software zu erhalten. Wie gesagt, betreibe ich hier keinen Server, sondern "nur" ein Desktop-System. Ist den testing sooo Beta, oder eignet sich das tatsächlich für den "normalen" Desktop-Einsatz von Mutti & Co? "testing" klingt wenig vertrauenserweckend, aber die nüchternen Beschreibungen klingen doch so, als wäre es für klassische Desktop-User nicht ungeeignet. Was wäre mit Bodhi-Linux? Basiert ja auf LTS-Ubuntu. Ist also genauso "ungepflegt"? Ich liebäugle ja sehr mit dem Moksha-Desktop (ehemals E17). In Debian ist er noch nicht drin. Primär geht es mir um das zeitnahe Stopfen von Sicherheitslücken, insbesondere auch in älteren Programmversionen. Stabilität ist zweitranging und auf aktuellste Programmversionen mit entsprechend vielfältigen Funktionsumfang, kann ich (nach einigen Jahren Training nun) gut verziechten. 😀 Moderiert von jug: Thema hier angehängt. |
||
Supporter
Anmeldungsdatum: Beiträge: 53583 Wohnort: Berlin |
Naja, Herr Leemhuis ist (ehemaliger) Fedora-Entwickler, da kennt man sich vielleicht nicht so gut mit anderen Systemen aus... Was aufgeführt wird ist Software aus Multiverse und Universe. Diese hat noch nie LTS-Status und wird auch nicht von den Ubuntu-Entwicklern betreut, sondern von den MOTUs. Wurde auch nie anders kommuniziert als das ausschließlich
Und abgesehen davon ist die nicht nur alt sondern noch "ungepflegter".
Siehe oben. Um die Repos, um die es geht, kümmern sich nicht die Ubuntu-Entwickler. Wurde auch nie anders kommunuziert.
Im Prinzip bleiben dir da nur Rolling-Release-Distributionen, wenn es dir um die Wartung der Software geht.
Was in testing ist ist relativ stabil, daraus werden ja auch die Pakete für die Ubuntu-Entwicklung gesynct.
Was in testing landet hat vorher
Alles, was die nicht selber machen (also so ca. 99,999999999%) hat den selben Status wie bei Ubuntu.
E17 ist da schon drin. 😉 |
||
Anmeldungsdatum: Beiträge: 6274 |
Ich habe in dem Artikel nichts wesentlich Neues erfahren. Insbesondere nichts, was meine Einstellung zu Ubuntu oder zur Sicherheit verändern könnte. |
||
Anmeldungsdatum: Beiträge: 1605 |
Was so ein Artikel bei Heise alles anrichten kann? Was tomtomtom ausführte war schon immer so und ist gefühlt die letzten Tage schon viele Male beantwortet worden. Das ich ein RR nutze kann man ja unten lesen. Hat alles Vor- und Nachteile. Auch hier nutze ich einmal stable und auch testing. Das muss jeder für sich entscheiden, ob es immer das Neuste sein muss oder einfach nur ein stabiles System. |
||
Anmeldungsdatum: Beiträge: 1044 |
Jedenfalls bei den Presse-Gläubigen, in der Tat. Der Satz vom guten alte Goethe über das auf schwarz und weiß Geschriebene stimmt leider schon lange nicht mehr. |
||
Anmeldungsdatum: Beiträge: 145 |
Hallo Zusammen, ich will hier die Frage in den Raum stellen was uns LTS bringt, wenn nur das Kernsystem für drei bzw. fünf Jahre unterstützt wird. Sprich wenn die allermeisten Anwendungen nach relativ kurzer Zeit nicht mehr gepflegt werden und somit dort bestehende Sicherheitslücken nicht behoben werden. Interessant dazu ist auch dieser Artikel den ich bei heise online gefunden habe. Gleichzeitig will ich aber auch eine Diskussion anstoßen was ein Alternativer Ansatz wäre. In meinen Augen gäbe es z. B. die Möglichkeit eines Rolling Releases aus welchen dann aller fünf Jahre die LTS Versionen hervorgehen. Während der Kern (System + Desktop) die Lange pflege erhielten, würden die anderen Anwendungen zwar nicht gepflegt, aber es würden neue Programmversionen eingepflegt. Das Rolling Release würde dann zwar weitgehend nur für die Entwicklung und recht experimentell sein, doch hätte man zumindest in den LTS Versionen eine stabile und recht sichere Linie für den Normalanwender. Natürlich könnte man anstatt des Rolling Release auch weiterhin mit halbjährlichen Releases arbeiten, nur frage ich mich was dann wohl mehr Aufwand macht. Wie ist Eure Meinung? Ich bin gespannt. Viele Grüße vom Rabenvogel Moderiert von jug: Thema hier angehängt. |
||
Anmeldungsdatum: Beiträge: 357 Wohnort: Schweiz |
Rolling Release wird es nicht geben. Der wohlwollende Diktator ist da aus gutem Grund dagegen. Ubuntu bzw Canoncial verdient nicht mit Desktop Usern Geld - sondern mit Server Versionen. Die werden im professionellen Umfeld gebraucht, und dort braucht man Planungssicherheit und Stabilität - da wäre ein RR Modell das dümmste das man einfḧren kann. Canoncial wird wohl auch darauf auchten das die, aller wichtigen Server Komponenten in "main" liegen. Sicherheitsupdates / Bugfixes für "universe" - Quellen sind ja nicht ausgeschlossen - sondern müssen von der Community gestemmt werden. Das beste was also die Community machen könnte wäre sich da reinzuhängen. |
||
Anmeldungsdatum: Beiträge: 145 |
Das Problem ist aber soweit ich es sehe das die Community eben bei Universe nicht einmal neue Versionen einbauen kann (darf?), sondern Bugfixes zurückportiert werden müssen. Das erfordert viel Erfahrung und Aufwand. Und es ist natürlich auch eine Quelle für neue Fehler. Was das Thema RR betrifft, so wären ja die LTS Versionen kein RRs. Das RR wäre also die Entwicklerebene, die LTS Releases die Ebene für den praktischen Einsatz. Die Idee zu RR und den daraus hervorgehenden LTS Releases kam, da das wohl bei der Entwicklung weniger Aufwand bedeuten würde. |
||
Anmeldungsdatum: Beiträge: 357 Wohnort: Schweiz |
Ändert aber das Problem nicht. Die RR wäre ja dan auch wieder ein freeze und man müsste dann auch wieder alles zurückportieren. Genau das mit dem patchen ist das was ich mit stabil meine. Der Vorteil vom patchen ist das die Programmversionen identisch bleiben - damit auch Stabilität herrscht. Eventuell kommt aber bald eine Lösung abseits vom RR-Modell. Mit den sogenannten Snaps wo Programme ihre eigenen libs mitbringen müssten aktuelle Programme viel einfacher umzusetzen sein. Ich will stabile und getestete Software und nicht alle 2 Wochen eine neue Version von Produkt xY - finde das bei Firefox schon extremst mühsam. Und selbst mit Firefox ESR hat man nur ein Jahr Support. |
||
Anmeldungsdatum: Beiträge: 145 |
Die Frage ist was der gangbarere Weg ist. Sprich alte Versionen Patchen oder Neue Versionen einpflegen. Evtl. wäre es ein Weg wirklich das Grundsystem von den Anwendungen zu trennen. Wobei es ja so ist das es an sich kein Problem ist mehrere Versionen einer Bibliothek etc. nebeneinander zu installieren. Und neuere Versionen sind meist auch Abwärtskompatibel, nur müssen die Programme dann angepasst werden, könnte man aber auch über Links lösen. Ich habe mit den meisten neueren Versionen keine Probleme. Problematisch wird es erst wenn sich die Handhabung oder die Funktionalität von Programmen grundlegend ändert. Wie gesagt war das mit den RR nur eine Überlegung. Wenn Du meinst das aller halbes Jahr ein Release der gangbarere Weg ist kann ich da nichts dagegen halten. |