[gelöst] Wie nicht mehr unterstützte Repositories sichern?

[strindberg]

Auf der Arbeit betreue ich einen openSUSE -11.0-Rechner. 11.0 wird seit Juli nicht mehr supportet. Der Aufwand, den Rechner auf eine aktuelle Version zu bringen, erscheint unverhältnismäßig. Ich möchte mir die Möglichkeit offenhalten, bei Bedarf etwas nachinstallieren zu können. Von hier http://ftp5.gwdg.de/pub/opensuse/discontinued/distribution/11.0/ kann ich mir die DVD noch herunterladen.

Es scheint aber der Stand zu sein, mit dem 11.0 herauskam, d.h. ohne die späteren Fehlerkorrekturen und Kernel-Updates. D.h., der Stand meines 11.0-Rechners ist wahrscheinlich neuer als hier http://ftp5.gwdg.de/pub/opensuse/discontinued/distribution/11.0/ verfügbar. D.h., die DVD hätte nur eingeschränkten Nutzen für mich.

Kann mir das jemand bestätigen? Gibt es den letzten Stand von 11.0 nicht mehr? Muss man sich am Ende eines Support-Zeitraums das Update-Repository herunterladen, um den neuesten Stand zu sichern? Man könnte das Update-Repository auf einen eigenen FTP-Server herunterladen. Kann man auch eine DVD daraus machen?

Danke!

Strindberg

 

[spoensche]

Auf der Arbeit betreue ich einen openSUSE -11.0-Rechner. 11.0 wird seit Juli nicht mehr supportet. Der Aufwand, den Rechner auf eine aktuelle Version zu bringen, erscheint unverhältnismäßig.[/code]

Wenn der SuSE Rechner als Server dient solltest du auf jeden Fall auf eine aktuelle Version wechseln, weil es keinerlei Updates mehr gibt und du Sicherheitslücken manuell schließen musst (entweder die betroffene Software selbst kompilieren oder selber ein rpm Paket bauen).

Der Aufwand, den Rechner auf eine aktuelle Version zu bringen, erscheint unverhältnismäßig.[/code]

Erscheinen heisst nicht, das der Aufwand auch tatsächlich unverhältnismäßig ist.
In Punkto Sicherheit ist eine Aktualisierung, regelmäßiges installieren von Sicherheitsupdates unumgänglich. Gerade im Unternehmen, wo die Daten für den Betrieb und die Wirtschaftlichkeit notwendig sind.

Warum meinst du das der Aufwand einer Aktualisierung unverhältnismäßig ist?

Ich möchte mir die Möglichkeit offenhalten, bei Bedarf etwas nachinstallieren zu können. Von hier http://ftp5.gwdg.de/pub/opensuse/discontinued/distribution/11.0/ kann ich mir die DVD noch herunterladen.

Es scheint aber der Stand zu sein, mit dem 11.0 herauskam, d.h. ohne die späteren Fehlerkorrekturen und Kernel-Updates. D.h., der Stand meines 11.0-Rechners ist wahrscheinlich neuer als hier http://ftp5.gwdg.de/pub/opensuse/discontinued/distribution/11.0/ verfügbar. D.h., die DVD hätte nur eingeschränkten Nutzen für mich.

Kann mir das jemand bestätigen? Gibt es den letzten Stand von 11.0 nicht mehr?

Genau die DVD ist das Insstallationsmedium, das nur die Standardrepos und Pakete enthält, aber keine zusätzlichen Repos.

 

[tomm.fa]

http://download.opensuse.org/update/11.0/

 

[strindberg]

Danke für die schnelle Antwort.

Warum meinst du das der Aufwand einer Aktualisierung unverhältnismäßig ist?

Es käme wohl nur eine Neuinstallation in Frage. Der Rechner (Workstation) spielt eine wichtige Rolle bei der Entwicklung der Produkte der Firma, wo ich beschäftigt bin. Einschließlich der Sicherungen, Rücksicherungen, Wiederinstallation der installierten Anwendungen, Wiederherstellung der Einstellungen, z.B. Serverlisten seines FTP-Clients, usw., rechne ich nicht damit, dass der Rechner in weniger als zwei Tagen wieder einsatzbereit ist. Mein eigener Zeitaufwand einschließlich Vor- und Nachbereitung dürfte um einiges größer sein. Außerdem bleibt ein Restrisiko, im Sinne von "Never touch a running system". Es entspricht zwar nicht der Wunschvorstellung, ist aber (zumindest in unserer Firma) Praxis, dass solche größeren Aufwände erst erbracht werden, wenn es sich kaum anders mehr machen lässt.

Sicherheitsaspekte halte ich hier nicht für so gravierend, da wir hinter der Firmenfirewall sind, der Anwender praktisch nicht ins Internet geht und die Windows-Rechner (das sind fast alle) einigermaßen gut geschützt sein sollten.

Strindberg

 

[strindberg]

http://download.opensuse.org/update/11.0/

Super.

D.h., wenn ich mir den Inhalt von http://download.opensuse.org/update/11.0/ herunterlade und in identischer Struktur auf eine DVD brenne, d.h. driverupdate, repodata\ und rpm\ im Wurzelverzeichnis, kommt yast zurecht, wenn ich als Pfad zum Repository cd:///?devices=/dev/sr0 o.ä. angebe?

Strindberg

 

[gropiuskalle]

Sicherheitsaspekte halte ich hier nicht für so gravierend, da wir hinter der Firmenfirewall sind, der Anwender praktisch nicht ins Internet geht und die Windows-Rechner (das sind fast alle) einigermaßen gut geschützt sein sollten.

Sicherheitsaspekte spielen allerdings nicht nur hinsichtlich unmittelbarer Attacken aus dem Netz (über offene ports) eine Rolle. Zudem ist ein System sehr unflexibel, wenn es nicht mehr supported wird. "Never touch a running system" halte ich persönlich für einen sehr fragwürdigen Ansatz - zeitnahe Aktualisierungen (zumindest hinsichtlich bugfixes) sind eines der Grundprinzipien von Linux.Fragt Euch doch mal, wann genau ein System zu alt ist, um noch von Euch verwendet zu werden. Ggf. ist ein Enterprise-System mit längerem support-Zyklus (z.B. SLED) für Euch interessant.

D.h., wenn ich mir den Inhalt von http://download.opensuse.org/update/11.0/ herunterlade und in identischer Struktur auf eine DVD brenne, d.h. driverupdate, repodata\ und rpm\ im Wurzelverzeichnis, kommt yast zurecht, wenn ich als Pfad zum Repository cd:///?devices=/dev/sr0 o.ä. angebe?

Abgesehen davon, dass Du backslashes statt slashes verwendest, müsste das wohl hinhauen. Praktikabler wäre aber vermutlich ein lokales Repository auf der Festplatte des jeweiligen Systems.

 

[strindberg]

Doch noch nicht ganz gelöst:

D.h., wenn ich mir den Inhalt von http://download.opensuse.org/update/11.0/ herunterlade [...]

Die Datenmenge ist (für mich) unerwartet gewaltig. Nach 14 GB Download war die Festplatte voll, in der Warteschlange sind noch 39 GB.

Ursache dürfte sein, dass alle Zwischenstände bereitgehalten sind, z.B. GraphicsMagick in rpm/i586/:

            50.944 GraphicsMagick-1.1.11-29.1_29.2.i586.delta.rpm
            51.108 GraphicsMagick-1.1.11-29.1_29.5.i586.delta.rpm
         1.057.567 GraphicsMagick-1.1.11-29.2.i586.rpm
            51.108 GraphicsMagick-1.1.11-29.2_29.5.i586.delta.rpm
         1.057.670 GraphicsMagick-1.1.11-29.5.i586.rpm

Für meinen Zweck (Archivierung des letzten Standes für evt. Nachinstallationen) bräuchte ich ja nur das aktuellste rpm, auf die Delta-rpm und Vorgänger-rpms könnte ich verzichten.

Weiß jemand, ob es dazu es ein Tool gibt, oder einen anderen Weg?

Danke!

Strindberg

 

[strindberg]

Bin folgendermaßen vorgegangen, um lediglich die aktuellsten Updates zu sichern:

- Download von ftp5.gwdg.de mit filezilla, dabei Verzeichnis repodata und Datei driverupdate normal heruntergeladen, vom Verzeichnis src nur die Dateien kernel*,vom Verzeichnis rpm per filezilla-Filter nur die Dateien *noarch.rpm und *x86_64.rpm. Damit sind die Verzeichnisse i586, i686, ppc und ppc64 und die Delta-rpms nicht heruntergeladen.

- Nun dazu, die aktuellsten rpm-Versionen herauszufiltern:
Liste der rpms umgekehrt sortiert, diese Liste per awk-Skript verarbeitet (s.u.), das aus dem ersten neu auftretenden rpm-Namen (gemeint ist nur der Teil vor der Versionsnummer) ein mv-Befehl für diese rpm-Datei in einen anderen Ordner erzeugt.

Z.B.: Ausschnitt aus umgekehrt sortierter rpm-Liste:

"x86_64/MozillaFirefox-branding-upstream-3.5.10-0.1.x86_64.rpm"
"x86_64/MozillaFirefox-branding-upstream-3.5.9-0.1.x86_64.rpm"
"x86_64/MozillaFirefox-3.5.10-0.1.x86_64.rpm"
"x86_64/MozillaFirefox-3.5.9-0.1.x86_64.rpm"
"x86_64/MozillaFirefox-3.0-0.2.x86_64.rpm"
"x86_64/MozillaFirefox-3.0-0.1.x86_64.rpm"
"x86_64/MozillaFirefox-3.0.18-0.1.x86_64.rpm"

Es wurden mv-Befehle für

MozillaFirefox-branding-upstream-3.5.10-0.1.x86_64.rpm  und
MozillaFirefox-3.5.10-0.1.x86_64.rpm

erzeugt.

Dabei habe ich die Sortierung des Windows Explorers benutzt, da der Cygwin-sort, der mir zur Verfügung stand, z.B. so sortiert:

./wireshark-1.0.0-17.9.x86_64.rpm
./wireshark-1.0.0-17.7.x86_64.rpm
./wireshark-1.0.0-17.21.x86_64.rpm
./wireshark-1.0.0-17.2.x86_64.rpm
./wireshark-1.0.0-17.19.x86_64.rpm
./wireshark-1.0.0-17.16.x86_64.rpm
./wireshark-1.0.0-17.14.x86_64.rpm
./wireshark-1.0.0-17.12.x86_64.rpm

Der Windows Explorer sortiert dagegen für diesen Zweck „richtig“:

"x86_64/wireshark-1.0.0-17.21.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.19.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.16.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.14.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.12.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.9.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.7.x86_64.rpm"
"x86_64/wireshark-1.0.0-17.2.x86_64.rpm"

Das awk-Skript (hier für noarch):

BEGIN { RPM_SI="" }
{  if( ! match($0,"-[0-9]+\\.") ) print "+++ Versionsnr. nicht erkannt in $0" 
  else { 
    RPM=substr($0,1,RSTART-1)
    if( RPM_SI != RPM ) {
      print "mv " $0 " ../rpm_n/noarch" 
      RPM_SI=RPM
    }
  }
}

Der reguläre Ausdruck in der match-Funktion sucht für die Versionsnummer nach der ersten Teilzeichenreihe, die mit "–" beginnt, gefolgt von mindestens einer Ziffer, gefolgt von einem Punkt.

Leider erschlägt das nicht den Fall der acroread-fonts, wo anscheinend von zwei- auf dreistellige Versionsnummer umgestellt wurde:

"noarch/acroread-fonts-ko-9.3-0.1.noarch.rpm"
"noarch/acroread-fonts-ko-9.3.3-2.1.noarch.rpm"
"noarch/acroread-fonts-ko-9.3.2-0.1.noarch.rpm"
"noarch/acroread-fonts-ko-9.3.1-0.1.noarch.rpm"
"noarch/acroread-fonts-ja-9.3-0.1.noarch.rpm"
"noarch/acroread-fonts-ja-9.3.3-2.1.noarch.rpm"
"noarch/acroread-fonts-ja-9.3.2-0.1.noarch.rpm"
"noarch/acroread-fonts-ja-9.3.1-0.1.noarch.rpm"
"noarch/acroread-cmaps-9.3-0.1.noarch.rpm"
"noarch/acroread-cmaps-9.3.3-2.1.noarch.rpm"
"noarch/acroread-cmaps-9.3.2-0.1.noarch.rpm"
"noarch/acroread-cmaps-9.3.1-0.1.noarch.rpm"

Das Ergebnis ist nur noch knapp 2,9 GB groß.

Strindberg

 

[framp]

Die SecurityFrage hängt davon ab ob das System aus dem Internet erreichbar ist. Ich habe das Gefühl dass es eher ein interner Rechner ist und somit es nicht so kritisch ist auch eine ältere SuSE Version zu benutzen.

Aber genau deswegen verstehe ich nicht was die Aktionen bewirken sollen :???: Das Sytem läuft und jeder ist zufrieden ... oder hängt die Kiste doch am Internet :schockiert:

 

[strindberg]

Die SecurityFrage hängt davon ab ob das System aus dem Internet erreichbar ist. Ich habe das Gefühl dass es eher ein interner Rechner ist und somit es nicht so kritisch ist auch eine ältere SuSE Version zu benutzen.

Genau.

Aber genau deswegen verstehe ich nicht was die Aktionen bewirken sollen :???: Das Sytem läuft und jeder ist zufrieden ... oder hängt die Kiste doch am Internet :schockiert:

Für den Fall, dass irgendetwas nachinstalliert werden müsste, oder es stellt sich heraus, dass etwas nicht richtig funktioniert, habe ich so noch das "beste" 11.0 zur Hand, um innerhalb des bestehenden Systems etwas ausrichten zu können. Andernfalls hänge ich in der Luft, müsste sagen, dass ich nichts anbieten kann, außer einige Tage Aufwand und Stillstand verursachen für eine komplette Neuinstallation.

Dass das System nicht auf dem neusten Stand ist, dafür aber auch keine Aufwände und Wartungszeiten entstanden sind mit Restrisiken, die Aktualisierungen immer mit sich bringen, ist bei uns akzeptiert und kein Einzelfall. Wenn ich aber sagen müsste, dass ich für den Fall eines Falles für das vorhandene System nur die allererste Installationsversion zur Hand habe, die ja praktisch sofort überholt ist und sogar hinter dem Versionsstand des vorhandenen Systems liegt, das würde kein so gutes Bild abgeben, abgesehen davon, dass es natürlich von der Sache her schlecht ist.

Strindberg

 

[framp]

An die Nachinstallationen habe ich nicht gedacht. Guter Punkt!