backport dei .deb: bene o male?

gurutech · 02-12-2003, 22:41

a volte mi capita di voler/dover aggiornare necessariamente un pacchetto su debian woody, che magari è disponibile solo nell unstable.
allora faccio un
apt-get source {pacchetto}
e con dpkg-source, dpkg-buildpackage me lo ricostruisco, facendo anche modo di rispettare le dipendenze richieste (quindi apt-get source per ogni roba che non ho alla versione corretta).

Visto che lo faccio anche su server di produzione, questo è un bene o un male?

l'ultimo esempio di oggi era dover mettere proftpd-1.2.9 per ragioni di sicurezza (vedi www.proftpd.org) mentre sulla woody c'era ancora la 1.2.5.

#!/bin/sh · 03-12-2003, 11:16

beh se il pacchetto corrisponde ad una release stabile non ci dovrebbero essere problemi, a meno che non dia origine a conflitti. Mi spiego: tu installi un pacchetto che ha bisogno di una libreria versione 2.x che ti fa saltare le dipendenze di altri 20 pacchetti che invece funzionano solo con la versione 1.x di quella libreria. allora questo potrebbe essere un problema.

Mason · 03-12-2003, 12:29

dopo una breve ricerca su security debian (chiedendomi che cosa patchassero i security update di debian) ho trovato queste righe :

Quote:

Q: What is the policy for a fixed package to appear in security.debian.org?

A: Security breakage in the stable distribution warrants a package on security.debian.org. Anything else does not. The size of a breakage is not the real problem here. Usually the security team will prepare packages together with the package maintainer. Provided someone (trusted) tracks the problem and gets all the needed packages compiled and submit them to the security team, even very trivial security problem fixes will make it to security.debian.org. Please see below.

Security updates serve one purpose: to supply a fix for a security vulnerability. They are not a method for sneaking additional changes into the stable release without going through normal point release procedure.

Q: The version number for a package indicates that I am still running a vulnerable version!

A: Instead of upgrading to a new release we backport security fixes to the version that was shipped in the stable release. The reason we do this is to make sure that a release changes as little as possible so things will not change or break unexpectedly as a result of a security fix. You can check if you are running a secure version of a package by looking at the package changelog, or comparing its exact version number with the version indicated in the Debian Security Advisory

cmq l'ho trovato qui http://www.debian.org/security/faq

quindi quello che fai tu non e' correttissimo secondo la politica di debian,almeno se ho capito bene e non ho scritto mandronate, anche perche non uso woody quindi non so bene il funzionamento del suo apt-get

secondo me i backport servono solo per avere qualcosa di recente mantenendo il core del sistema ad un livello di stabilita' piu elevato che con sid o sarge.

ci metto una faccina senno sembro troppo ostile ai miei stessi occhi

gurutech · 03-12-2003, 13:01

mmhhh.. capito...
quindi tanto lavoro per nulla? comunque i pacchetti che metto non richiedono troppi aggiornamenti delle dipendenze, altrimenti metterei direttamente sid (ma in produzione ovviamente non lo faccio).

e per quanto riguarda il kernel? io mi sto preparando dei .deb appositi.

poi c'è da considerare che a volte i pacchetti nuovi hanno nuove feature (vedi squid)

Mason · 03-12-2003, 13:42

le nuove features e proprio quello che volgiono evitare nella stable se ho ben capito,le motivazioni che ti potrei dare sono solo mie +o- ovvie supposizioni,nulla piu.

Per il kernel non ti so dire, mi compilo sempre i kernel al di fuori dei metodi della distibuzione,non li prendo gia precompilati, se devo salvare qualcosa salvo il .config e poi li ricompilo ogni volta (di un disastro).

postmetto che "macchina di produzione" posso solo intuire cosa significhi ,non ho una definizione specifica (magari cerco su qualche dizionario,ma non e che mi interessi tanto) e di sicuro non considero la mia macchina di produzione, magari qualcuno che deve rendere i fallimenti su tali macchine il minimo possibile ti puo essere piu' di aiuto.

02-12-2003, 22:41	#1
gurutech Senior Member Iscritto dal: Jun 2000 Città: S.Giuliano (MI) Messaggi: 1047	backport dei .deb: bene o male? a volte mi capita di voler/dover aggiornare necessariamente un pacchetto su debian woody, che magari è disponibile solo nell unstable. allora faccio un apt-get source {pacchetto} e con dpkg-source, dpkg-buildpackage me lo ricostruisco, facendo anche modo di rispettare le dipendenze richieste (quindi apt-get source per ogni roba che non ho alla versione corretta). Visto che lo faccio anche su server di produzione, questo è un bene o un male? l'ultimo esempio di oggi era dover mettere proftpd-1.2.9 per ragioni di sicurezza (vedi www.proftpd.org) mentre sulla woody c'era ancora la 1.2.5. __________________ “No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella”

03-12-2003, 11:16	#2
#!/bin/sh Senior Member Iscritto dal: Aug 2002 Messaggi: 1909	beh se il pacchetto corrisponde ad una release stabile non ci dovrebbero essere problemi, a meno che non dia origine a conflitti. Mi spiego: tu installi un pacchetto che ha bisogno di una libreria versione 2.x che ti fa saltare le dipendenze di altri 20 pacchetti che invece funzionano solo con la versione 1.x di quella libreria. allora questo potrebbe essere un problema. __________________ AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter

03-12-2003, 13:01	#4
gurutech Senior Member Iscritto dal: Jun 2000 Città: S.Giuliano (MI) Messaggi: 1047	mmhhh.. capito... quindi tanto lavoro per nulla? comunque i pacchetti che metto non richiedono troppi aggiornamenti delle dipendenze, altrimenti metterei direttamente sid (ma in produzione ovviamente non lo faccio). e per quanto riguarda il kernel? io mi sto preparando dei .deb appositi. poi c'è da considerare che a volte i pacchetti nuovi hanno nuove feature (vedi squid) __________________ “No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella”

03-12-2003, 13:42	#5
Mason Senior Member Iscritto dal: Nov 2002 Città: Morbegno (SO) Messaggi: 1410	le nuove features e proprio quello che volgiono evitare nella stable se ho ben capito,le motivazioni che ti potrei dare sono solo mie +o- ovvie supposizioni,nulla piu. Per il kernel non ti so dire, mi compilo sempre i kernel al di fuori dei metodi della distibuzione,non li prendo gia precompilati, se devo salvare qualcosa salvo il .config e poi li ricompilo ogni volta (di un disastro). postmetto che "macchina di produzione" posso solo intuire cosa significhi ,non ho una definizione specifica (magari cerco su qualche dizionario,ma non e che mi interessi tanto) e di sicuro non considero la mia macchina di produzione, magari qualcuno che deve rendere i fallimenti su tali macchine il minimo possibile ti puo essere piu' di aiuto. __________________ e' difficile cio' che non si conosce Tic Tac Andrew Morton, 15/02/2008 LKML:"`tmp' is an awful identifier, and renaming it to `temp' hardly improves it."

Strumenti
Mostra una versione stampabile Invia questa pagina per email