Mailinglist Archive: opensuse-de (6022 mails)

< Previous Next >
Re: update von 6.3 auf 7.3
Hi,

On 20 Feb 2002 at 7:33, Konrad Neitzel wrote:
Mir geht es nicht um das Neueste vom Neuen sondern schlicht um
Security Patches! Und entweder mache ich es von Hand (Viel Spass!)
oder ich nehme, was man mir vorsetzt! Und für die 6.3 und 6.4 werden
von SuSE keine Updates bereitgestelt. 6.3 findet sich nicht mal mehr
im Updatezweig!

richtig, das Problem dabei ist leider, daß dann auch neue
Kernels, neue Compiler und neue Programmversionen dazukommen,
die nicht mehr "ganz" so zusammenpassen. Toll wäre, wenn SuSE
soetwas wie ein kommerzielles Unix rausbrächten, das soll dann
ruhig 3.000,-- EUR kosten, aber so modular sein, daß
Kernelpatches z.B. compilerunabhängig für alle drei
unterstützten Kernels verfügbar wären (2.0, 2.2 und 2.4). Dies
auch für alle (oder zumindest viele Serverrelevanten)
Programme (also sowohl Samba 2.0 mit allen Patches als auch
Samba 2.2) verfügbar zu machen.

Wenn Du Dir einen kurzen Ausfall nicht leisten kannst, dann bist Du
schlicht weg blöd, wenn Du Linux einsetzt. Bei Linux hast Du ja noch
nicht einmal feste Zertifikate, so dass Du einen Spezialisten nicht
von einem Idioten unterscheiden kannst! (Ja - das kommt langsam!)

Und wo hast Du die? Wenn das nciht OT wäre, könnte ich Dir
hunderte Seiten mit Bonmots diverser "zertifizierter"
Techniker liefern, dies von diversen Umgebungen, mehrere
Unixe, Win, SAP, etc.

Ein Produktivsystem kann auch ein Webserver mit meiner Firmenpräsenz
sein! Wenn dieser zwischen 5 und 6 Uhr morgens mal nicht verfügbar
ist, dann ist das sehr wohl zu verschmerzen. Und 100%
Ausfallsicherheit gibt es ehh nicht! (Was ist spätestens, wenn ein
Bagger irgendwelche Leitungen zerhaut?)

Doch, die gibt es, und es ist nichteinmal so teuer! Richtig
ist, daß es zwei große Ausnahmen gibt, einerseits Userfehler
(z.B. HTML Code, der nicht funktioniert) und ein globaler
Nuklearschlag, wo weder Sat noch terrestrische
Übertragungssystem funktionieren. Ansonsten kannst Du mit dem
entsprechenden Aufwand selbstverständlich redundante Server
auf unterschiedlichen Kontinenten aufbauen, dies entweder
durch entsprechende BRP Manipulationsgewalt, oder DNS
Konfiguration.

Ja klar. Wenn Du auf diesem Niveau anfängst, dann
a) lässt Du es
[...]
Das Problem des Aufwandes will ich hier gar nicht erst
erwähnen!

Du hast schon recht, aber er meinte wohl eher, daß neuere
Distributionen auch neuere Softwareversionen und
Konfigurationstechniken mitbringen. Die neuen SuSE Versionen
bringen z.B. kein altes Samba mehr mit, oder Bind etc. Und da
die Änderungen alle schnell zu finden ist nicht leicht, wenn
Du z.B. Scripts verwendest um die Samba Logfiles auszuwerten,
wirst Du bei einem Versionswechsel hart gebissen. Und Bind 9
will auf einmal in allen Zonefiles eine TTL, Bind 8 lief ohne,
... Wie oben erwähnt wäre für solche Rechner eine richtige
"Pro" Version von SuSE gedacht. Die darf wohl etwas kosten,
muß aber sicherstellen, daß jedes Softwareupdate mit den alten
Konfigurationsdateien arbeitet.

Aber nochmal ganz klar: Mir geht es nicht um die neueste Distribution,
sondern um den Support, d.h. die Verfügbarkeit von patches. Natürlich
kann ich - das habe ich oft genug in die Liste geschrieben - diese von
Hand einspielen, aber das macht auf Dauer mehr Arbeit, als das
Einspielen der Patches.

Wichtiger scheint mir dabei, daß nicht sichergestellt ist, daß
Du für ältere Versionen noch z.B. Securityannouncements
bekommst.

Was das Vertrauen in SuSE angeht: Ja genau! Die haben keine so hohen
Anforderungen an ihr SuSE Linux! Da können ruhig Bugs drin sein!
Selbst wenn ein Bug gefunden wird, wird das Produkt normal weiter
vertrieben! Warum nutzt Du sowas auch auf einem Produktionssystem?

Das ist eine technische Notwendigkeit. Wenn Du einen neuen
Cisco kaufst, kannst Du auch nicht immer davon ausgehen, daß
die Securitypatches des letzten Monats installiert sind.

Debian? Was nutzt Du denn für Pakete, wo Du nicht weisst, was für
Leute die gebaut haben? Das ist ja noch schlimmer als SuSE zu
vertrauen. (Source Code wird kontrolliert, aber Binaries - wer
kontrolliert die? Ich glaube kaum, dass da jemand reverse Engeenering
betreibt!)

Wie bei SuSE ist bei Debian relativ sicher, daß die Binaries
mit den Sourcen übereinstimmen.

Also bin ich wieder bei einem Punkt, den ich auch schon oft genug
geschrieben habe: Wenn ich ein Produktivsystem habe, mitrecht hohen
Anforderungen, dann nutze ich Lösungen von Firmen, die von dieser
Sache Ahnung haben! Also lande ich bei Firmen wie IBM. Nur eben

IBMs Linux, OS/400, AIX oder was? Ich kenne alle drei, und
wenn Du so ein neues System orderst ist ebenfalls
Patcheinspielen angesagt! Der Unterschied ist, daß wenn Du EUR
100.000,-- oder mehr für ein System ausgibst, dann sind Dir
einige tausend EUR für den Techniker auch egal! Ich bin aber
sicher, daß Dir auch SuSE ein entsprechendes Vor-Ort-Service
anbietet, zumindest zum selben Preis! Eingeschränkt bist Du
nur durch die eventuell fehlenden MCMs bei Deiner Hardware.

bezweifel ich, dass die Linux "Produktionsserver" so grosse
Anforderungen haben. Ansonsten wäre dies ein Fall für die Entlassung
des einen oder anderen Mitarbeiters.

Wie gesagt, mit dem nötigen Kleingeld ist das auch unter Linux
möglich.


Um etwas OT zus ein: Ich persönlich mag die 7.3 nicht, ich
bevorzuge eine 7.2 mit entsprechenden Updates. Allerdings ist
anzumerken, daß ich etliche Dinge verwende, die nicht
standardmäßig bei SuSE dabei sind, und daher ohnehin "Hand
anlegen" muß.

Tom


< Previous Next >
References