Toon posts:

Main repo recenter dan Debian Security?

Pagina: 1
Acties:

zaterdag 31 maart 2018 13:21

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
Ik heb een (denk ik) steekhoudende policy - is volgens mij ook redelijk standaard. Security updates krijgen voorrang over pakketten in main. Alleen blijkt nu dat sommige pakketten in 'main' recenter zijn dan in 'debian-security'...

Is Debian hier aan het klooien of houdt mijn policy geen steek? Ik vind dit een vreemde bedoening:

code:
1
2
3
4
5
6
7
8
9
10
11
12

$ apt policy libreoffice
libreoffice:
  Geïnstalleerd: 1:5.2.7-1+deb9u2
  Kandidaat:     1:5.2.7-1+deb9u2
  Versietabel:
     1:6.0.2-1~bpo9+1 750
        750 http://cdn-fastly.deb.debian.org/debian stretch-backports/main amd64 Packages
     1:5.2.7-1+deb9u3 900
        900 http://cdn-fastly.deb.debian.org/debian stretch/main amd64 Packages
 *** 1:5.2.7-1+deb9u2 1000
       1000 http://security.debian.org/debian-security stretch/updates/main amd64 Packages
        100 /var/lib/dpkg/status

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zaterdag 31 maart 2018 14:14

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

En wat zie je bij de changelog staan voor LibreOffice? Niet elke update is een security update, waardoor je dus kan krijgen dat zaken in Main een hogere versie/buildnummer krijgen dan in security. En wat ik aangeef klopt ook, want deze changes zijn geen security zaken:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

libreoffice (1:5.2.7-1+deb9u3) stretch; urgency=medium

  * debian/patches/WEBSERVICE-DDE.diff:
    - improve to not throw more errors than neccessary (use the right error
      code) on WEBSERVICE() failures, thanks Jan-Marek Glogowski; do another
      s/FormulaError::NoValue/formula::errNoValue/ for clarity
    - backport 4a412bdf0387cc2cb59d656d0738a63a286ec497 from 5.4 branch
      to let FunctionAccess execute WEBSERVICE

  * debian/rules:
    - do not run the tests except on i386 (notfatal) and amd64
    - move dk.mk from -dev-common to -dev as it's not arch-indep, thanks
      Rico Tzschichholz

 -- Rene Engelhard <rene@debian.org>  Thu, 22 Feb 2018 11:14:18 +0100

Commandline FTW | Tweakt met mate

zaterdag 31 maart 2018 15:47

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
Gaat niet om de changelog. Ik kan waarschijnlijk beter de prioriteit op hetzelfde niveau zetten voor main en security? Maar hoe weet apt dan wat de 'beste' keuze is? Of is security gewoon een stoplap tot het in main belandt :?

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zaterdag 31 maart 2018 16:28

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

Met al die vragen kan je beter de Debian Wiki lezen en zo leren wat hun beleid is mbt security en main. Ik weet het ook niet precies namelijk. ;)

Maar wat is de reden dat je apt-priority dan aanpast ipv het standaard te laten? Als je namelijk security updates automatisch wilt laten doorvoeren, heb je daar andere methoden voor. En zoals je merkt, is het niet handig om de prioriteit van security boven main te zetten. Je hebt ook backports aan staan en die wordt al automatisch een lagere prioriteit gegeven omdat het beleid daarop gewoon anders is.

Commandline FTW | Tweakt met mate

zondag 1 april 2018 11:43

Acties:
  • Frenziefrenz
  • Registratie: Juli 2014
  • Laatst online: 09-11 17:02

Frenziefrenz

Security krijgt automatisch "voorrang" omdat het direct van de bron komt, zonder eventuele mirror delay. Als je alles behalve security negeert heb je als ik het juist heb een systeem dat veilig is met het absolute minimum aan veranderingen. Dat wil niet zeggen dat diezelfde security fixes niet naar main komen, maar dat er in main méér verandert. Heel weinig, maar toch. ;)

(Overigens heeft debian-security ook contrib en non-free.)

zondag 1 april 2018 12:47

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

Huh? Wat bedoel je @Frenziefrenz met "omdat het direct van de bron komt"? Denk je dat Apache security fixes voor httpd direct aanlevert aan de package maintainers of zelf de patches gaat doorvoeren op de versie die in Debian zit en in de repo upload? Dat is niet zo namelijk. De package maintainer gaat zelf kijken in de broncode van het pakket wat de veranderingen is om de betreffende security issue op te lossen, omdat het zo mooi gelogd wordt in de commits bij open source projecten. Die veranderingen patcht hij/zij zelf in de Debian versie en test deze. Pas als alles in orde is, wordt het package vrijgegeven om in security te komen.

"Normale" bugfixes komen in Main en worden altijd gebaseerd op de laatste versie. Die kan dus in Security staan, waardoor effectief Security achterloopt op Main.

Commandline FTW | Tweakt met mate

zondag 1 april 2018 12:57

Acties:
  • Frenziefrenz
  • Registratie: Juli 2014
  • Laatst online: 09-11 17:02

Frenziefrenz

@Hero of Time
Binnen de context bedoel ik uiteraard Debian. :)
[Debian] Security krijgt automatisch "voorrang" omdat het direct van de bron [=Debian] komt, zonder eventuele mirror delay [waarbij het enkele uren tot een dag kan duren voordat het van Debian gemirrored is, mits we het best case scenario aannemen dat de mirror geen problemen heeft].
Dus een security fix komt logischerwijs altijd of eerst van security[1] of min of meer gelijktijdig binnen.

[1] Op die manier dus "voorrang."

zondag 1 april 2018 13:25

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

Ok, dus dan denk je dus dat er maar 1 server is die de hele wereld bedient voor de security updates? Daar heb je het ook mis. Er zijn honderden of zelfs duizenden mirrors over de hele wereld om net als Main, Contrib en non-free Security te serveren. Die 'voorrang' waar je het over hebt is er echt niet. Als er een security update uitgebracht wordt, zit je nog steeds te wachten totdat je lokale mirror deze heeft. En je krijgt 'm pas, als deze op de mirror staat. Installeer maar eens Debian Stable en kies verschillende landen als locatie voor de mirror. De URL voor de security repo zal dan ook veranderen.

Commandline FTW | Tweakt met mate

zondag 1 april 2018 13:47

Acties:
  • Frenziefrenz
  • Registratie: Juli 2014
  • Laatst online: 09-11 17:02

Frenziefrenz

Nee, dat denk ik niet. Het is ook een mirror, maar eentje die via DNS gaat. Wat ik wel denk is dat er grosso modo minder delay op zit.
Installeer maar eens Debian Stable en kies verschillende landen als locatie voor de mirror. De URL voor de security repo zal dan ook veranderen.
Inderdaad, voor iemand die zo op me springt moet je dat zeker doen. :P De server is altijd en immer security.debian.org. Die verandert niet. Dat gaat via DNS-alias achter de schermen.

https://www.debian.org/security/faq#mirror
Q: Why are there no official mirrors for security.debian.org?

A: Actually, there are. There are several official mirrors, implemented through DNS aliases. The purpose of security.debian.org is to make security updates available as quickly and easily as possible.

Encouraging the use of unofficial mirrors would add extra complexity that is usually not needed and that can cause frustration if these mirrors are not kept up to date.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq