System Patchen, Ports oder Packages aktuell halten ?

[MJS]

Hallo Leute,

ich habe noch einighe Verständnisfragen, da ich auch ein Neuling mit FreeBSD bin, baer dieses System gerne einstzten möchte.
Ziel ist es, die Systeme in der DMZ laufen zu lassen.

Folgende Verständnisprobleme habe ich:
1. System aktuell halten
Ist es richtig, dass wenn ich mein System aktuell halten möchte (FreeBSD 5.2.1) einfach nur noch ein "freebsd-update fetch" und ein "freebsd-update" durchführe und dann davon ausgehen kann, dass mein Syetem über keine Sicherheitslücken mehr verfügt ?
Oder ist es besser mit CVSup und dem "tag=RELENG_5_2" upzugraden und erst hier nochmal ein "freebsd-update" durchzuführen um die Patches einzuspielen ?

2. Ports oder Packages
Was ist Sinnvoller, mit Packages oder mit Ports zu arbeiten ?
Wenn ich es richtig verstanden habe, dann werden durch das Compilieren der Ports diese besser an das System angepasst und dadurch ein Performancegewinn erzielt, RICHTIG ?
Die Ports die ich z.B. unter "ftp.plusline.de/FreeBSD/ports/packages/" herunterlade, sind diese genau so aktuell, wie die Ports im CVS ?
Wenn ich davon ausgehe, dass die Ports auf den FTP-Server genaus so aktuell sind wie die im CVS, so würde mit doch dies sehr entgegen kommen, wenn ich versuche mein System und die Programme aktuell zu halten. Stimmt ihr mir da zu ?
Ich müsste so nicht mehr die Ports via CVSup auf dem aktuellen Stand halten, sondern nur die einzelnen Pakete herunterladen und installieren bzw. updaten, RICHTIG ?


Ich hoffe Ihr könnt mir heir weiterhelfen.

MJS

 

[marzl]

Das Thema wurde schon zig mal hier besprochen, bitte die Suche benutzen: http://www.bsdforen.de/search.php?

Ansonste hier ein kleiner Einstig:

http://www.bsdforen.de/showthread.php?t=7&highlight=ports+aktuell+halten

hier weiterlesen:
http://www.de.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/index.html

besonders hier:
http://www.de.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/ports-using.html

 

[MJS]

Ich finde da aber keine passenden Antworten zu meinen Fragen.

Die Seiten kenne ich...

Trotzdem Danke !

 

[marzl]

Na, mindestens zu deinem 2. Punkt gibt es bei den angegebnen Quellen die nötigen Antworten.
Die bereitgestellten Packages sind niemals so aktuell wie die Ports, da diese nicht tagesaktuelle zur Verfügung gestellt werden. Ports schon: www.freshports.org

Wenn Dein System so aktuell wie möglich sein soll, musst Du die Ports nutzen.

 

[asg]

Folgende Verständnisprobleme habe ich:
1. System aktuell halten
Ist es richtig, dass wenn ich mein System aktuell halten möchte (FreeBSD 5.2.1) einfach nur noch ein "freebsd-update fetch" und ein "freebsd-update" durchführe und dann davon ausgehen kann, dass mein Syetem über keine Sicherheitslücken mehr verfügt ?
Oder ist es besser mit CVSup und dem "tag=RELENG_5_2" upzugraden und erst hier nochmal ein "freebsd-update" durchzuführen um die Patches einzuspielen ?

Ich nutze den port freebsd-update nicht, keine Ahnung was der genau macht.
Ich für meinen Teil mache einen cvsup des Systems und baue neu. Das aber meist nicht wegen Security Dingen, sondern um STABLE zu verfolgen (oder Current).
Die meisten Probleme sollte bei den installieren Ports auftauchen. Ein regelmässigen cvsup und neu bauen der Ports hilft dabei das es keine security Probleme gibt (ebenso wie portaudit -- /usr/ports/security/portaudit).

Patches werden bei freebsd unter www.freebsd.org unten rechts bereitgestellt. Anklicken, und das machen was dort steht. Fertig.

2. Ports oder Packages
Was ist Sinnvoller, mit Packages oder mit Ports zu arbeiten ?
Wenn ich es richtig verstanden habe, dann werden durch das Compilieren der Ports diese besser an das System angepasst und dadurch ein Performancegewinn erzielt, RICHTIG ?

Der Performancegewinn ist meist relativ klein. Es ist eine Frage des persönlichen Geschmacjks. Ich möchte bei einem OO.org keine X Stunden warten bis er durch ist. Kleine Dinge baue ich aus den Ports.

Die Ports die ich z.B. unter "ftp.plusline.de/FreeBSD/ports/packages/" herunterlade, sind diese genau so aktuell, wie die Ports im CVS ?

Keine Ahnung. Mach doch einfach einen cvsup des Portstree von einem cvsup mirror, dann biste immer aktuell (updaten musst du dann installierte ports immer noch). Es empfiehlt sich das Programm "portupgrade" (in den Ports, howto im Forum oder unter onlamp.com).

 

[MJS]

Was habe ich für Möglichkeiten diese Updates, Aktualisierungen allen Servern zur Verfügung zu stellen ?

Wenn ich meine die neusten Sourcen via cvsup geholt habe und nun den Kernel neu bilde, wie kann ich diese Aktualisierungen den anderen Systemen z.B in der DMZ zur Verfügung stellen?
Kann ich einfach das /usr Laufwerk via NFS exportieren und über das bestehende lokale /usr kopieren ?
Kann ich auf diese Weise den Kenel, die Sourcen und den aktuellen Portstree den anderen Server zur Vefügung stellen ?

Ist das möglich, muss ich was hierbei beachten oder gibt es eine andere Möglichkeit ?

 

[marmorkuchen]

Was habe ich für Möglichkeiten diese Updates, Aktualisierungen allen Servern zur Verfügung zu stellen ?

Wenn ich meine die neusten Sourcen via cvsup geholt habe und nun den Kernel neu bilde, wie kann ich diese Aktualisierungen den anderen Systemen z.B in der DMZ zur Verfügung stellen?
Kann ich einfach das /usr Laufwerk via NFS exportieren und über das bestehende lokale /usr kopieren ?
Kann ich auf diese Weise den Kenel, die Sourcen und den aktuellen Portstree den anderen Server zur Vefügung stellen ?

Ist das möglich, muss ich was hierbei beachten oder gibt es eine andere Möglichkeit ?

Hallo,
Du kannst das /usr/src Verzeichnis per NFS freigeben und dann auf allen Rechnern make installworld ausführen.
Das hatten wir aber schon mal in einem anderen Thread, nur wolltest Du dort NFS wegen der Sicherheit nicht anwenden.

Sven

 

[MJS]

Hallo,
Du kannst das /usr/src Verzeichnis per NFS freigeben und dann auf allen Rechnern make installworld ausführen.
Das hatten wir aber schon mal in einem anderen Thread, nur wolltest Du dort NFS wegen der Sicherheit nicht anwenden.

Sven

OK, das wollte ich wissen, ich kann also das /usr/src Verzeichnis via NFS freigeben und die dortigen Sourcen auf den anderen Server kopieren, RICHTIG ?

Kann man auch die Sourcen und den Kenel auf einem System neu kompilieren und den anderen Systemen zur Verfügung stellen, da das Kompilieren schon einige Stunden in Anspruch nehmen kann ?

Kann ich auch das Verzeichnis /usr/ports via NFS freigeben und auf den anderen Server kopien ?

Du hast recht, ich habe gesagt, dass ich zur Sicherheit, kein NFS möchte. Jedoch würde ich eine temporäre NFS Verbindung zulassen, wenn das die inzigste Möglichkeit ist.

 

[saintjoe]

OK, das wollte ich wissen, ich kann also das /usr/src Verzeichnis via NFS freigeben und die dortigen Sourcen auf den anderen Server kopieren, RICHTIG ?

Kann man auch die Sourcen und den Kenel auf einem System neu kompilieren und den anderen Systemen zur Verfügung stellen, da das Kompilieren schon einige Stunden in Anspruch nehmen kann ?

Kann ich auch das Verzeichnis /usr/ports via NFS freigeben und auf den anderen Server kopien ?

Du hast recht, ich habe gesagt, dass ich zur Sicherheit, kein NFS möchte. Jedoch würde ich eine temporäre NFS Verbindung zulassen, wenn das die inzigste Möglichkeit ist.

Auch dieses Thema wird in dem FreeBSD Handbuch behandelt - bitte nutze also auch diese Informationsquelle.

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/small-lan.html

Gruß

 

[marmorkuchen]

OK, das wollte ich wissen, ich kann also das /usr/src Verzeichnis via NFS freigeben und die dortigen Sourcen auf den anderen Server kopieren, RICHTIG ?

Kann man auch die Sourcen und den Kenel auf einem System neu kompilieren und den anderen Systemen zur Verfügung stellen, da das Kompilieren schon einige Stunden in Anspruch nehmen kann ?

Kann ich auch das Verzeichnis /usr/ports via NFS freigeben und auf den anderen Server kopien ?

Du hast recht, ich habe gesagt, dass ich zur Sicherheit, kein NFS möchte. Jedoch würde ich eine temporäre NFS Verbindung zulassen, wenn das die inzigste Möglichkeit ist.

Hallo,
wenn die Server aus der gleichen Hardware bestehen sollte es, speziell beim Kernel, keine Probleme geben.
Du kannst auch /usr/ports freigeben, allerdings solltest Du beachten, daß ein make install in den Ports normalerweise die Programme nach /usr/local installiert.

Sven

 

[MJS]

Hallo,
wenn die Server aus der gleichen Hardware bestehen sollte es, speziell beim Kernel, keine Probleme geben.
Du kannst auch /usr/ports freigeben, allerdings solltest Du beachten, daß ein make install in den Ports normalerweise die Programme nach /usr/local installiert.

Sven

Super, genau das wollte ich wissen. DANKE !!!

Bei gleicher Hardware kann ich also den Kenle auch für die anderen Maschinen kopieren.
Bei verschiedener Hardware bietet es sich an, nur die aktuellen Sourcen /usr/src zu exportieren und auf den anderen Server zu kopienen. Danach kann muss man dann auf dieser Maschine den Kernel übersetzen und installieren. KORREKT ?

Bei den Ports ist es ganau das geleiche, ich exportiere das Verzeichnis /usr/ports und kopiere das auf den entspechenden Server. Hier muss ich dann nur noch den INDEX erstellen und fertig. KORREKT ?

Macht es Sinn die schon isntallierten Ports unter /usr/local auch zu kopieren ?
Eigentlich nicht, oder ?

 

[saintjoe]

Super, genau das wollte ich wissen. DANKE !!!

Bei gleicher Hardware kann ich also den Kenle auch für die anderen Maschinen kopieren.
Bei verschiedener Hardware bietet es sich an, nur die aktuellen Sourcen /usr/src zu exportieren und auf den anderen Server zu kopienen. Danach kann muss man dann auf dieser Maschine den Kernel übersetzen und installieren. KORREKT ?

Jein - wenn du keinen CPUTYPE in der /etc/make.conf gesetzt hast, kannst du auch z.B. auf einem Athlon XP kompilierte Sourcen gefahrlos auf einem Pentium II einsetzen.

Bei den Ports ist es ganau das geleiche, ich exportiere das Verzeichnis /usr/ports und kopiere das auf den entspechenden Server. Hier muss ich dann nur noch den INDEX erstellen und fertig. KORREKT ?

Warum willst du dauernd kopieren? Ist doch nicht nötig. Die INDEX liegt ja auch schon in /usr/ports, wird also mitexportiert - brauchst keine neue erstellen.

Macht es Sinn die schon isntallierten Ports unter /usr/local auch zu kopieren ?
Eigentlich nicht, oder ?

Nein, macht es nicht.

Gruß

 

[MJS]

Jein - wenn du keinen CPUTYPE in der /etc/make.conf gesetzt hast, kannst du auch z.B. auf einem Athlon XP kompilierte Sourcen gefahrlos auf einem Pentium II einsetzen.

Warum willst du dauernd kopieren? Ist doch nicht nötig. Die INDEX liegt ja auch schon in /usr/ports, wird also mitexportiert - brauchst keine neue erstellen.

Nein, macht es nicht.

Gruß

DANKE für die Info.
Ich habe keinen CPUTYPE in der /etc/make.conf angegeben. Das bedeutet ich kann die # make buildworld und # make buildkernel ausführen. Danach kann ich die Verzeichnisse /usr/src und /usr/obj den anderen Maschinen kurzeitig zur Verfüg zu stellen, damit diese den Kenel und die Welt installieren können. Danach evt. noch die Security Patches installieren und fertig. Nun kann ich die NFS Verbindung trennen und die Maschinen in der DMZ zu machen. RICHTIG ?

Warum ich immer kopieren will ?
Nun ich möchte keine Dauerhafte Verbindung via NFS zwischen den Maschinen haben, das darf ich wegen der Sicherheitspolitik der Firma aus nicht. Meine Frage ist nur, wenn ich die Ports auf der Hauptmaschine aktualiisert und den INDEX erstellet habe, kann ich die Ports 1:1 vom Hauptserver auf die anderen Server kopieren. RICHTIG ?

Das sind die Fakten und meine Probleme, die ich hier mit Eurer Hilfe im Vorraus abklären muss, damit ich dem Chef was vorlegen kann.

 

[MJS]

Jein - wenn du keinen CPUTYPE in der /etc/make.conf gesetzt hast, kannst du auch z.B. auf einem Athlon XP kompilierte Sourcen gefahrlos auf einem Pentium II einsetzen.

Warum willst du dauernd kopieren? Ist doch nicht nötig. Die INDEX liegt ja auch schon in /usr/ports, wird also mitexportiert - brauchst keine neue erstellen.

Nein, macht es nicht.

Gruß

DANKE für die Info.
Ich habe keinen CPUTYPE in der /etc/make.conf angegeben. Das bedeutet ich kann die # make buildworld und # make buildkernel ausführen. Danach kann ich die Verzeichnisse /usr/src und /usr/obj den anderen Maschinen kurzeitig zur Verfüg zu stellen, damit diese den Kenel und die Welt installieren können. Danach evt. noch die Security Patches installieren und fertig. Nun kann ich die NFS Verbindung trennen und die Maschinen in der DMZ zu machen. RICHTIG ?

Warum ich immer kopieren will ?
Nun ich möchte keine Dauerhafte Verbindung via NFS zwischen den Maschinen haben, das darf ich wegen der Sicherheitspolitik der Firma aus nicht. Meine Frage ist nur, wenn ich die Ports auf der Hauptmaschine aktualiisert und den INDEX erstellet habe, kann ich die Ports 1:1 vom Hauptserver auf die anderen Server kopieren. RICHTIG ?

Das sind die Fakten und meine Probleme, die ich hier mit Eurer Hilfe im Vorraus abklären muss, damit ich dem Chef was vorlegen kann.

 

[MrFixit]

NFS ist stateless, es gibt also keine "Verbindung". Desweiteren waere es sehr hilfreich wenn du dein Gehirn einschalten wuerdest und dich erstmal selbstaendig informierst!

 

[moonlook]

hmm, ist dieser Beitrag aus dem Handbuch nicht genau, was MJS braucht:
http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/small-lan.html

Wenn ja, verstehe ich das Problem nicht.