DistributionUpdate von Slowroll zum schliessen von Sicherheitslücken

Ich möchte mein Slowroll nicht ständig aktualisieren, aber sicher damit arbeiten. Deshalb möchte ich das Dist.-update von slowroll mit ‘zypper dup’ erst dann ausführen, wenn dadurch auch neu entdeckte Sicherheitslücken geschlossen werden. Wie kann ich also zuvor erfahren, ob mit slowroll auch Sicherheitslücken geschlossen werden oder zumindest einen Überblick über wichtige Aktualisierungen zu bekommen, ohne mir gleich alle Pakete mit der Option ‘-d’ runterzuladen.

Benutze zypper patch.

meinen Sie, dass ich mit zypper patch nachsehen kann, ob ein zypper dup nun wieder sinnvoll bzw. erforderlich ist?

Zypper patch ist unter Slowroll und Tumbleweed nutzlos, da dies dort nicht verwendet wird. Unter Leap schon…

@pele Eine Auflistung aller CVEs und anderer geschlossener Sicherheitslücken in einer leicht lesbaren Form gibt es in dieser Art nicht. Da must du selbst allen möglichen Kanälen wie Bugzilla, OBS, Mailinglisten und Sicherheitsbulletins folgen.

Du kannst aber davon ausgehen, das mit jedem upgrade Sicherheitslücken geschlossen werden. Also einfach zypper dup ausführen und gut ist.

Hier läuft ein Tumbleweed, heute mal 3 Befehle in der grafischen Konsole ausgeführt:

zypper patch
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...
Paketabhängigkeiten werden aufgelöst...
Keine auszuführenden Aktionen.

zypper up
.
.
.
719 Pakete werden aktualisiert, 9 neue, 2 zu entfernen.
Gesamtgröße des Downloads: 986,9 MiB. Bereits im Cache gespeichert: 0 B. Nach der Operation werden zusätzlich 328,5 MiB belegt.
zypper dup
.
.
.
719 Pakete werden aktualisiert, 3 werden zurückgestuft, 9 neue, 8 zu entfernen.
Gesamtgröße des Downloads: 989,0 MiB. Bereits im Cache gespeichert: 0 B. Nach der Operation werden zusätzlich 323,4 MiB belegt.

Somit sieht man schon Unterschiede…

Ich sehe zwar Unterschiede bei den Zahlen, kann aber nicht den Sinn des Vergleiches erkennen. Ausserdem frage ich mich, warum zypper dup nach zypper up etwas zurückstuft, wo es doch aktueller, als Leap sein soll?
Ich versuche es mit Tumbleweed auch nur, weil ein zypper dup nach Ablauf von Leap
früher nie erfolgreich war, so dass ich immer die Systempartition neu aufgesetzt habe. Aber auch damit hatte ich mit PaketNeuinstallationen und Konfiguration viel Arbeit, wobei auch einiges verloren ging. Und dann musste man auch noch die Repos händisch austauschen.
Ich brauche also nicht den neuesten Kernel etc. , würde aber gerne so wenig wie möglich ein Dist.-Upgrade fahren, um weniger neue AbhängigkeitsProbleme z.B. mit hplip und Python zu bekommen. Ausserdem habe ich keine Geheimnisse auf meinem PC und auch keine Angst davor, das jemand meine Festplatte verschlüsselt. Also - wie sieht es aus, wenn ich das beispielsweise nur ein mal im Jahr fahre?

Warscheinlh falsch verstanden. Die Beispiele sind nicht zu Ende geführt, aber nur die Bemerkungen sind gezeigt. Danach ist wohl abgebrochen. (Leider scheint es noch immer schwierig zu sein um hier gezeigte Befehle komplett zu zeigen: Prompt.Kommando Zeile, alles was heraus kommt, neue Prompt Zeile).

Wenn die beide ersten komplett gelaufen häten, hätte das letzte nicht noch mahl 719 Pakete gezeigt.

Das hab ich vergessen zu erwähnen:
Jedes mal abgebrochen und ich wollte auch nur die Unterschiede von patch, up und dup unter Tumbleweed aufzeigen, welche man in den Zusammenfassungen sieht.

zypper patch macht in Tumbleweed nichts, zypper up stuft nicht Pakete zurück, was aber zypper dup macht…

Daher immer in Tumbleweed:
zypper dup
benutzen.

Warum dann Tumbleweed?

Wie @Sauerland .
Sogar mit Leap mach ich einmahl in der Woche Update. Und das sind im Grunde nur Sicherheitsupdates.

Achtung! Das ist auch nur ein Teil des Problems.

Wenn Dritte unbemerkt Software auf Deinem PC installieren und diesen dann als Basis für ihre Nicht-Legalen Tätigkeiten (z.B. SPAM versenden aber auch schlimmeres ist möglich) verwenden, dann kann das für Dich ziemlich unangenehm werden.

Es kann durchaus einmal vorkommen, dass eine neue Paketversion einen Fehler beinhaltet, dessen Beseitigung als besonderns dringend erachtet wird. Da ist dann ein Lösungsweg, die neue aber fehlerhafte Paketversion im nächsten Snapshot erst einmal durch die fehlerfreie aber ältere Paketversion zu ersetzen und dann in einem der nächsten Snapshots wieder die korrigierte neuere Version bereitzustellen.

Das kann bei openSUSE Tumbleweed problematisch werden.

Wie bereits gesagt wurde, stellt jeder Tumbleweed-Snapshot einen neuen Release dar. Zur Zeit gibt es ca. 300 Snapshots pro Jahr. Wenn Du Dein openSUSE Tumbleweed System nur einmal im Jahr aktualisierst, dann wäre das in etwa so, wie wenn Du 299 Leap-Releases überspringen würdest.

Zugegeben, der Vergleich ist nicht ganz korrekt, da die Änderungen von einem Tumbleweed-Snapshot zum nächsten nicht immer so umfangreich sind, wie die von einem Leap-Release zum nächsten. Andererseits werden jedoch viele grundlegende Änderungen zuerst in Tumbleweed eingeführt (z.B. usr-merge). Und solche Änderungen können zur Folge haben, dass man sie zeitnah in sein System übernehmen muss oder - wenn man das nicht tut - sein System neu installieren muss (in den vier Jahren meiner Tumbleweed-Nutzung habe ich zwei solcher Änderungen gesehen).

Wenn Du openSUSE Tumbleweed einsetzen willst, dann ist es sehr empfehlenswert die openSUSE Factory mailinglist zu lesen. Zum Einen wird dort jeder neue Snapshot angekündigt und zum Anderen wird da die aktuelle Entwicklung diskutiert. Anhand dieser Informationen kannst Du dann entscheiden, wann Du Dein System spätestens aktualisieren musst.

Mein Hauptsystem wird nahezu täglich aktualisiert aber bei manchen der von mir betreuten Systeme können auch mal zwei Monate zwischen zwei Aktualisierungen liegen.

Wie gsagt, ich benutze Tumbleweed-Slowroll, was nach der eben gefundenen Quelle

einen monatlichen rollenden Update-Zyklus anstrebt. Dort wird jeweils der 9. Tag des lfd. Monats angegeben. Das ist für mich schon eher akzeptabel und gibt mir etwas mehr Sicherheit mit meinem Linux bei akzeptablem Zeitaufwand zur Systempflege.

This topic was automatically closed 7 days after the last reply. New replies are no longer allowed.