FreeBSD Update oder Aktualisierung

MJS

Active Member
Hallo Leute,

ich habe mal eine Verständnisfrage an Euch.
Ich möchte gerne FreeBSD in unserer Firma in der DMZ mit Mal und anderen Internetdiensten später am laufen haben. Hierzu ist es notwendig immer das System up-to-date zu haben. Wie sollte ich das am besten angehen ?

Gehe ich richtig in der Annahme, dass wenn ich ein cvsup jede Woche von den ports (ports-all) mache, dass ich dann immer auf dem aktuellesten Satnd bin, was Sicherheitslöcher betrifft ?

Oder ist es auch nötig, jede Woche oder jeden Monat die Sourcen (cvsup mit der Option src-all) zu aktualisieren und einen neuen Kernel zu kompilieren ?

Ich habeverstehe nicht ganz, wie ich es machen soll dass mein FreeBSD 5.2.1 immer aktuell gehalten wird. Ich will keinen experimentelle Umgebung haben, sonder eine sichere.
Mein supfile sieht so aus:
*default tag=.
*default host=cvsup3.de.FreeBSD.org
*default prefix=/usr
*default base=/usr
*default release=cvs delete use-rel-suffix compress

src-all

Wird mit diesem Supfile nun nur die Version 5.2.1 aktualisiert (das hätte ich gerne, imme Falle von Sicherheitslücken) oder laufe ich hier Gefahr, einen experimentellen Server zu riskieren ?

Ich verstehe in den ganzen Dokus nicht den Unterschied zwischen einem Systemupdate und einer Systemaktualisierung (das hääte ich gerne).
 
Hallo,

der *default tag=. wird nur bei den ports benutzt (oder bei Current-System), fuer Dein derzeitges 5.2.1 gilt: *default release=cvs tag=RELENG_5_2
D.h. lege dir bitte, wenn Du kein Current verwenden willst 2 supfiles an. Eines fuer die Ports, eines fuer die src.

Allerdings wird afaik nichts mehr an der 5.2.1 geaendert. Sicherheitsupdates gibt es dann nur fuer stable, also 4.10 und 5.3. Bei einem Systemupdate ist es ratsam, gleich den Kernel mit zu kompilieren (dauert ja nicht soo lang), das es sonst zu Problemen kommen kann.

Hier das Supfile fuer die Ports:
Code:
*default host=cvsup.de.FreeBSD.org 
*default base=/usr 
*default prefix=/usr 
*default release=cvs tag=. 
*default delete use-rel-suffix ports-all

Hier das Supfile fuer Dein derzeitiges 5.2.1-System:
Code:
*default host=cvsup.de.freebsd.org  
*default base=/usr *default prefix=/usr 
*default release=cvs tag=RELENG_5_2 
*default delete use-rel-suffix src-all

Der Releng-Tag fuer die stable 5.3 ist dann RELENG_5, was dich zur derzeitigen Beta7 bringen wird.
 
tag=. macht -CURRENT aus Deiner Installation (also z.Z. FreeBSD 6).

Wahrscheinlich willst Du tag=RELENG_5_2 wenn Du bei 5.2.x bleiben möchtest.

Mehr Infos und Beispiele findest Du unter:
/usr/share/examples/cvsup
 
Wenn ich das richtig verstanden habe, dann bringt mir bei meiner Version 5.2.1 eine aktualiesiern der Sourcen via cvsup eigentlich gar nichts ?
Oder gibt es nur noch bei Sicherheitlecks im Kernel Updates für meine Version, bei der ich dann einen neuen Kernel kompilieren muss ?

Bei den Porst sieht es dann wohl anders aus.
Hier lohnt es sich immer up-to-date zu sein, oder ?

Wie macht ihr es mit den aktualisiereungen ?
Was würdet ihr mir empfehlen, was ich machen soll, wenn ich FreeBSD in der DMZ für sicherheitskritische Dienste einsetzten möchte ?

Was würde hier für eine Aktualisierungs/Update-Strategie zum tragen kommen ?
 
Naja, ab heute besser RELENG_5_3, damit bleibst Du erst mal bei der in Kürze stable werdenden Version 5.3.
5.2.1 ist noch sehr mackig,, ich würde Dir also raten, unbedingt auf 5.3 zu gehen.

Für ein komplettes Upgrade auf 5.3 mache folgendes:

Die src via cvsup ziehen,
dann

rm -Rf /usr/obj
cd /usr/src
make buildworld
make buildkernel KERNCONF=NAME_DEINES_KERNELS
make installkernel KERNCONF=NAME_DEINES_KERNELS
reboot

am Bootprompt: boot -s
/sbin/fsck -p
/sbin/mount -a /
/sbin/mount -a -t ufs
/sbin/swapon -a

cd /usr/src
mergemaster -p
make installworld
mergemaster -cv
reboot


Wenn Du im Single-User-Modus bist, ist natürlich keine deutsche Tastatur verfügbar, also nicht wundern. mergemaster stellt eine Menge Fragen, die zu beantworten erst mal etwas Einlesezeit erfordert. Man kann sich dabei durchaus ein paar wichtige Einstellungen versauen, also vorsichtig.
Ich kann über 5.3 nicht klagen, auch wenn sich gerade ein paar Sachen aus den Ports nicht bauen lassen. (Gibt aber eine nette Fehlermeldung, die Dir das sagt.) Aber, da es stable wird, mehr zu empfehlen als 5.2.1.
 
Ich werde dann mein Supfile so ausführen:
*default host=cvsup.de.freebsd.org
*default base=/usr *default prefix=/usr
*default release=cvs tag=RELENG_5_3
*default delete use-rel-suffix src-all

und deinen Angaben folgen.

Was würdest Du für eine Verion in der DMZ für sicherheitskritische Dienste einsetzen ?
5.2 oder 5.3 oder 4.8 ?

Wie oft sollte man ein Port-Update und ein Source-Update durchführen ?
 
Wenn 5.3 dann endlich stable ist, wäre das, IMHO, die beste Wahl. Habe 4.10 auf einem anderen Rechener, das tuts bislang auch gut, wenngleich sich bereits ein paar Programme besser mit 5.3 bauen lassen. Sicherheit verlangt stable, ich rate also zu 5.3.

Ansonsten: never touch a running system! Wenn der Kram sauber läuft, mußt Du nach einer Phase der Einrichtung und Wartung kaum noch etwas verändern, außer, es werden sicherheitskritische Fehler im System gefunden. Dann also world und kernel neu bauen. Für kleinere Probleme gibt es patches, die immer angezeigt werden (u.a. auch hier im Forum, Dank an die Admins und User) ;) Die Art und Weise das Einspielens wird dann genau erläutert.
Die ports würde ich dagegen immer so aktuell wie möglich halten, Du kannst via portupgrade auch nur einzelne ports aktualisieren, mit der Option -R werden auch gleich die Abhängigkeiten mitgebaut. Wenn Du immer portupgrade -aR machst, kann eigentlich auch nicht so viel passieren, da vor der Installation der höheren Version der Programme immer ein Backup angelegt wird, das zurückgeschrieben wird, wenn sich das Programm aus irgendwelchen Gründen nicht upgraden läßt.

Lies immer /usr/src/UPDATING und /usr/ports/UPDATING zu dem Thema, da dort die Maintainer Veränderungen und Schwierigkeiten beschreiben, auf die man achten sollte.
Die beiden Textdateien werden jedesmal beim cvsup auf den aktuellen Stand gebracht.

EDIT: Korrektur: Schau mal hier: http://www.freebsd.org/releases/5.3R/schedule.html, ab 8. Oktober hieß es RELENG_5_3, ab heute RELENG_5_3_0_RELEASE.
Zumindest, wenn ich das richtig verstanden habe. Würde aber trotzdem bei RELENG_5_3 als tag bleiben, sonst legst Du Dich auf das Release fest, was ja nichts anderes ist als ein Snapshot der derzeitigen Situation.
 
Last edited:
Vielen DANK für deine Hilfe und die Info.

Das mit dem Update habe ich soweit verstanden (werden den TAG=RELENG_5_3 setzen), aber nun die Frage, wie ich es den anderen Servern zu verfügung stelle. Wenn ich beispielsweise eine DMZ habe, ist es aus Sicherheitsgründen nicht sinvoll eine dauerhfaten NFS Mount für die sourcen und Ports einzusichten.
Wenn ich die Ports und Sourcen auf einem Sever heruntergeladen und via make buildworld kompiliert habe, kann ich dann auch das ganze /usr Verzeichnis auf die anderen Server kopieren ?
Ist das so zulässig ?

Kennst Du eine Deutsche Anleitung für den CVSUP-Mirror ?
 
Wenn ich es richtig verstanden und nachgelesen habe, verwendet man freebsd-update dazu, um sicherheitslücken im Kernel zu beheben.
Dies erstzt die das hierehn der Sourcen und da neukompalieren. RICHTIG ?
Sollte man jedoch einen Versionswechseln machen, muss man wieder die Sourcen ziehen und aien make buildworld usw. machen. RICHTIG ?

Kannst du mir dagen wie ich das freebsd-update über einen HTTP-Proxy verweden kann ?
 
Dies erstzt die das hierehn der Sourcen und da neukompalieren. RICHTIG ?
Sollte man jedoch einen Versionswechseln machen, muss man wieder die Sourcen ziehen und aien make buildworld usw. machen. RICHTIG ?
=> korrekt!
 
Kannst du mir dagegen sagen, wie ich das freebsd-update über einen HTTP-Proxy verweden kann ?
 
Wenn Du noch wissen willst, was denn noch so "unsicher" ist, installier Dir
/usr/ports/security/portaudit und lass dann einmal am Tag portaudit -Fa rennen
 
Mit dem Tool security/portaudit kann ich also eine Sicherheitsanalyse der installierten Ports durchführen ?
Es lohnt sich also nur die Ports zu aktualiseren, die hier mit dfem Tool ausgegeben werden ?
Wie zuverlässig ist das Tool ?

Kannst du mir dagegen sagen, wie ich das freebsd-update über einen HTTP-Proxy verweden kann ?
 
aus /usr/share/examples/etc/defaults/make.conf
# If you're behind a firewall and need FTP or HTTP proxy services for
# ports collection fetching to work, the following examples give the
# necessary syntax. See the fetch(3) man page for details.

so in
/etc/make.conf
FETCH_ENV= HTTP_PROXY=http://host.domain.tld:deinproxyport

Allerdings weiss ich nicht, ob freebsd-update fetch benutzt, da ich selber freebsd-update nicht im Einsatz habe.

Was portaudit angeht, also es verweigert Dir durchaus die Installation eines Ports, neben den üblichen Affected package Hinweisen.
http://www.freebsd.org/ports/portaudit/
 
Mr. Daemon said:
aus /usr/share/examples/etc/defaults/make.conf
# If you're behind a firewall and need FTP or HTTP proxy services for
# ports collection fetching to work, the following examples give the
# necessary syntax. See the fetch(3) man page for details.

so in
/etc/make.conf
FETCH_ENV= HTTP_PROXY=http://host.domain.tld:deinproxyport


Habs versucht geht leider nicht. Hast Du sonst noch ne Idee, wie ich über den Proxy gehen kann ?
 
Back
Top