On Mon, 03 Aug 2015 23:00:44 +0200
Christian Boltz
Hallo Stephan, hallo Leute,
Am Montag, 3. August 2015 schrieb Stephan von Krawczynski:
On Mon, 3 Aug 2015 13:37:48 +0200 Peter Mc Donough
wrote: Am 03.08.2015 um 01:35 schrieb Stephan von Krawczynski: [...] Es geht eher weniger um Kontrolle. Es geht vielmehr um _langfristige_ Stabilitaet. Sowas hier:
# uptime 14:48pm up 616 days 23:14, 4 users, load average: 5.72, 5.62, 5.46
Zwei Jahre ohne Sicherheitsupdates. Lecker... ;-)
Das kann bei Systemen, die _nur_ intern erreichbar sind, noch vertretbar sein - sobald das Ganze irgendwie am Internet hängt oder gar von außen erreichbar ist, ist mir ein Reboot zu einem Kernel mit entsprechenden Security-Fixes aber deutlich lieber als die Uptime.
Bei weitem nicht jedes System haengt am Internet, da wuerde ich mir mehr Gedanken ueber verwegene Linux-Ableger wie VMWare machen. "Sicherheitsupdates" ala 13.2 openssh ohne libwrap wuerden mir da deutlich mehr Sorgen machen.
Was bringt dich außerdem auf die Idee, dass die Leute von Kernel.org zuverlässiger sein sollen, als diejenigen, die bei der Distrozusammenstellung werken, abgesehen davon, dass einige zum Brötchen verdienen sicher in beide Sektionen tätig sind.
Es ist schwer das zu formulieren ohne dass sich jemand schwach angeredet fuehlt. Die einfache Wahrheit ist dass der Kernel eben von Leuten gemacht wird die ihn dann auf kernel.org auf die Menschheit loslassen. Die Kernel-Leute bei Distributionen sind eher "Patcher". Man hat sich mal auf die (falsche) Idee eingelassen dass die Kernel-Version gleich bleiben muss und muss deshalb staendig Sachen nachpatchen die in dem jeweils neueren kernel.org Tree eben drin sind. Diese Herangehensweise ist einfach broken-by-design.
Sagen wir einfach, dass beide Methoden Vor- und Nachteile haben ;-)
Du siehst das Patchen wahrscheinlich als "unnötige" Arbeit, aber es hat den Vorteil, dass es ein geringeres Risiko von Regressions bei Sicherheitsupdates gibt (im Vergleich zu einer komplett neuen Kernel- Version). Daher bin ich ganz froh, dass die Kernel-Version üblicherweise über ein Release stabil bleibt und "nur" Patches eingepflegt werden.
Gruß
Christian Boltz
_Das_ halte ich fuer einen grossen Irrtum. Ob ein Patch der meist "backported" sein muss wirklich sonst keine Auswirkungen hat laesst sich nicht ohne Weiteres immer sagen. Im Gegensatz zu kernel.org hat eine Distribution keine einfache Moeglichkeit eine neue Version auf breiter Front zu testen. Wie man hier auch sehen kann werden die meisten Updates ja auf Leute losgelassen mit begrenzten Test-Moeglichkeiten und -Faehigkeiten. Die Feedback-Basis ist also dramatisch verkleinert. Es waere jedenfalls ganz erheblich besser wenn man wenigstens longterm Kernel Releases nehmen wuerde und nicht EOL-Versionen. Das ganze ist im derzeitigen Status mehr eine ABM-Massnahme als sinnvolle Arbeit. -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org