• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Debian User fragt sich: Debian stable vs new upstream packages?

ServerSide

New Member
Hallo.

Ich benutze für meine Serverspielereien Debian. Damit komm ich inzwischen sehr gut zurecht, bisher ist noch nichts schlimmes passiert und ich bin zufrieden damit.

Trotzdem frage ich mich: Gibt es eigentlich Studien/Statistiken zu dem Thema ob "alte" Pakete wie z.B. bei Debian wirklich Security-Vorteile bringen im Vergleich zu neuen Paketen? Die Upstream-Entwickler kennen sich ja mit Ihrer eigenen Software besser aus als "irgendein" Debian Entwickler. Und natürlich fixen auch diese Ihre Sicherheitslücken. Davon gehe ich zumindest aus. :)

Ganz offensichtlich scheinen sich "alte" Pakete ja bewährt zu haben. Centos, Debian, etc... fahren die Strategie ja sicherlich nicht zum Spaß.

Wie ist da Eure Erfahrung? Gibt es gar Studien/Statistiken zu dem Thema?
 
Da brauchst Du keine Studien oder Statistiken, sondern nur ein wenig gesunden Menschenverstand und dann setzt Du folgende Punkte in Relation und schlussfolgerst selbst:
1. Immer mehr Sotwareentwickler markieren gefixte Sicherheitslücken nicht mehr als Solche
2. Distributoren welche nicht dem Bleeding-Edge folgen, portieren im Allgemeinen nur als Securityfix gekennzeichnete Bugfixe in ihre Pakete zurück


BTW: Debian und Co rechtfertigen ihre veralteten Pakete mit angeblicher höherer Stabilität gegenüber Bleeding-Edge und nicht mit höherer Sicherheit.
Wenn Du also wert auf Sicherheit legst, dann lasse die Finger von Distros mit LTS und/oder veralteten Paketen.
 
Wenn der/die TO nach "Long Term Support vs Rolling Linux Release" sucht, findet er/sie viele Erörterungen dieses Themas.

IMHO, kurzfristig erscheinen LTS Distros wie Debian und Co. in der Tat sorgenfreier und "stabiler" - zumindest habe ich es praktisch nie erlebt, dass ein normales Update mir das System lahm legt auch wenn ich sträflicherweise mal über längere Zeit keine Updates vorgenommen habe. Aber spätestens mit dem nächsten Major Release beginnt das große Zittern. Was ich vorher an Aufwand "eingespart" habe, muss ich spätestens dann wieder drauflegen.

Rolling Release Distros wie z.B. Arch Linux erfordern im Tagesgeschäft mehr Aufwand allein auf Grund der signifikant häufigeren Updates und ich muss mich zwingend mehr mit dem Inhalt der Updates und damit dem System beschäftigen. Das kann der Sicherheit nur zuträglich sein. Nominell treten natürlich bei Rolling Release/Bleeding Edge öfters "Störungen" bei einem Update auf, was man jedoch durch entsprechende Testumgebungen (die ich sowieso brauche) minimieren kann und sollte. In der Stabilität (Laufzeitverhalten) des Servers habe ich dbzgl. keine Unterschiede zwischen LTS und Rolling Release feststellen können.

Ich sehe das im Fazit ähnlich wie Joe, die "Stabilität" von Debian und Co. zielt eigentlich eher auf Bequemlichkeit ab - sicherer sind diese Distro nicht.
 
Haha, genau deswegen frage ich! :)

Da Debian9 nun ja im Anmarsch ist, fange ich schön langsam an mich mit dem Thema upgrade zu beschäftigen.

Auf meinem Desktop läuft Arch und damit hatte ich (trotz viel mehr installierter Software) eigentlich noch nie richtig Probleme. Die einzigen Probleme waren GPU-Treiber bedingt, aber dies entfällt ja auf einem Server.

Von daher frage ich mich schon, ob es nicht mal ein Experiment wert ist einen (privaten Test-)Server mit Arch laufen zu lassen. (Ich habe wirklich nur Minimalanforderungen: nginx, Postgres, Python3, gunicorn, monit)
 
Last edited by a moderator:
Ich hatte Arch Linux knapp 2 Jahre im Einsatz für einen reinen Webserver mit Mariadb, php-fpm und nginx.
Das lief überraschend gut und problemlos, allerdings war das eine reine Privatnutzung.

Persönlich sehe ich backports übrigens auch relativ kritisch, eben aus genau den von Joe genannten Gründen.

Bei professioneller Nutzung würde ich vermutlich auch mal in Richtung FreeBSD oder Gentoo schielen.
 
Beide Varianten haben ihre Berechtigung.

Lustigerweise wird ja gerade im professionellen Umfeld auf LTS geachtet - RHEL und SLES sind da eigentlich nicht wegzudenken. Und was die Sicherheit angeht - im Endeffekt schenken sich beide Variante nicht viel. Im Serverumfeld passt das mit dem sauberen Backport von Patches eigentlich recht gut (gut möglich daß es bei Desktop-Software anders aussieht) und gerade die ernsthaften LTS-Distributionen sind da ja auch mit ihren Entwicklern an den entsprechenden Projekten direkt beteiligt.
 
Back
Top