Sicherheitsupdate über pkg (poudriere)

[m4rkus]

Hallo,

ich habe einen Server mit Jails und eigenem Repository, wo ich gezielt Pakete für meine Jails baue.
Heute zeigte mein täglicher Cronjob (pkg -j <JID> audit -F) ein verwundbares Paket (libxml2)

Ich habe jetzt dann über

• poudriere ports -u => Update des Porttrees vom Buildsystem
• poudriere bulk -f /usr/local/etc/poudriere-list -j 100_x64 => Alle betroffenen Pakete neu
• Im Jail: pkg update && pkg upgrade

Damit habe ich nun alle Pakete aktualisiert. Nun die Frage:
Wie behalte ich alle Pakete auf der Version wie sie sind und aktualisiere NUR die verwundbaren?

Danke und Gruß
Markus

 

[foxit]

Das sollte mit "pkg lock" gehen. Leider habe ich das aber noch nie verwendet.

 

[m4rkus]

Ich möchte eine funktionierende Umgebung nur mit Sicherheitsupdates - nicht jedoch mit neueren Versionen (die vielleicht nur Features bringen) versorgen.

Aber danke schon mal. Vielleicht machen ja andere hier was ähnliches.

Gruß
Markus

 

[Yamagi]

Dafür nimmst du die Quarterly-Packages, die nur alle 3 Monate aktualisiert und zwischendurch lediglich gepatcht werden: http://blogs.freebsdish.org/portmgr/2014/04/02/ports-2014q2-branched/

 

[m4rkus]

Kann ich das nicht selbst in poudriere abbilden?

Ich habe eine pkg-list für meine Jails. Aktuell nur für Webserver und Ghost-Blog sowie etwas drumrum

shells/bash
editors/vim-lite
www/nginx
ports-mgmt/pkg
lang/php55
lang/php55-extensions
www/node
www/npm
databases/sqlite3
lang/python

Jetzt gab es ein Sicherheitsproblem in libxml2, wodurch einige Pakete natürlich neu gebaut werden mussten (bspw. php55).
Allerdings möchte ich alle Pakete, die nichts damit zu tun haben so behalten, wie sie sind.

Ist das möglich?
Gruß
Markus

 

[foxit]

Sollte gehen, wenn du dir den Porttree per SVN ziehst und diesen verwendest:

svn://svn.FreeBSD.org/ports/branches/2014Q2

 

[m4rkus]

Ich schau mir das mal an und gebe hier Feedback.

Aktueller Plan:
Anstelle von

poudriere ports -u

wird der portstree den aus dem aktuellen Quartal gespiegelt (in das von poudriere verwendete Verzeichnis)
Dort landen ausschließlich Sicherheitsupdates, so dass ich einen festen Update-Zyklus hätte, richtig?

Gruß
Markus

 

[Yamagi]

Genau.

 

[m4rkus]

Mal eine blöde Frage.
Ich habe ja jetzt schon Jails mit "neueren" Pakete, da ich diese heute aktualisiert habe.
Was passiert mit denen?
Am besten Konfiguration sichern und mit den "alten" Paketen neu aufsetzen?

Gruß
Markus

 

[Yamagi]

Nein. Das FreeBSD-Repo abschalten und eine Konfiguration für dein eigenes Repo anlegen. Anschließend:

# Repo syncen
pkg update

# Alle Pakete auf Stand des Repo bringen
pkg upgrade

Wird wahrscheinlich nahezu alles reinstallieren.[/code]

 

[m4rkus]

Alles klar. Ich teste und berichte.

Danke und Gruß
Markus