Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Veilig houden van Ubuntu LTS: hoe om te gaan met uiteenlopende bijwerktermijnen?  (gelezen 2087 keer)

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Ubuntu LTS biedt gegarandeerd vijf jaar ondersteuning met veiligheidsupdates. Echter, dat geldt alleen voor de pakketbron Main; voor wat er in de pakketbronnen Universe en Multiverse zit, kan dat korter zijn. Soms zelfs aanzienlijk korter.

Gooi maar eens de volgende opdrachtregel in de terminal:
ubuntu-support-status --show-all | less(wacht vervolgens rustig af; het kan even duren voordat de uitvoer binnenkomt)

Bij mij is die uitvoer als volgt (Xubuntu 16.04 LTS):
Overzicht ondersteuningsstatus van ‘Aspire-E3-111’:

U heeft 41 pakketten (2.5%) die ondersteund worden tot januari 2017 (9m)
U heeft 214 pakketten (13.2%) die ondersteund worden tot april 2019 (3y)
U heeft 1358 pakketten (83.7%) die ondersteund worden tot april 2021 (5y)

U heeft 0 pakketten (0.0%) die niet/niet meer gedownload kunnen worden
U heeft 10 pakketten (0.6%) die niet ondersteund worden
Voor de volledige uitvoer: zie het aangehechte .txt-bestandje.

Voor sommige pakketten zoals Chrome geeft deze uitvoer een vertekend beeld, omdat Google de ondersteuning verzorgt. Maar voor de meeste andere pakketten is dit beeld correct.

De grootste zorg ligt, wat mij betreft, bij de negen-maanden-pakketten. Maar er zijn meer zorgen, zoals aangekaart in dit recente Duitstalige artikel op heise.de: http://www.heise.de/ct/artikel/Ubuntu-LTS-Langzeitpflege-gibt-es-nur-fuer-das-Wichtigste-3179960.html

De vraag is, hoe we hier het beste mee kunnen omgaan. In eerste instantie denk ik aan het breder inzetten van virtualisatie-per-toepassing met Firejail en aan selectieve inzet van extra PPA's of andere pakketbronnen van derden. Wie heeft er meer / andere ideeën?

Tot slot nog dit: mijn uitvoer betreft Xubuntu 16.04. Ik ben ook benieuwd naar de uitvoer voor Ubuntu 16.04, Lubuntu 16.04, Ubuntu Mate 16.04 en Kubuntu 16.04.

Als je je eigen uitvoer wil posten, gebruik dan ook een tekstbestandje, dat je als bijlage kunt toevoegen aan je bericht. Zo'n tekstbestandje maak je als volgt:
ubuntu-support-status --show-all | less > bijwerktermijnen.txt
« Laatst bewerkt op: 2016/04/24, 12:42:07 door Pjotr »

Frederik

  • Gast
Mooi inkijkje in het systeem :)
Maar deze snap ik niet en wat moet ik ermee ?

U heeft 63 pakketten (3.1%) die ondersteund worden tot februari 2015 (9m)

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Mooi inkijkje in het systeem :)
Maar deze snap ik niet en wat moet ik ermee ?

U heeft 63 pakketten (3.1%) die ondersteund worden tot februari 2015 (9m)
Daar gaat dit draadje dus over.... Ideeën gewenst.  :)

Ik heb al wat aangedragen; zie mijn eerdere bericht (ik heb de betreffende tekst gelijk maar even vetgedrukt gemaakt).
« Laatst bewerkt op: 2016/04/24, 12:41:31 door Pjotr »

Offline jan11000

  • Lid
Ik weet wel dat er vroeger in vlc een fout zat die wel geupdate werd, misschien was het probleem erg groot.
En vlc wordt niet bijgehouden door ubuntu zelf.

En wie zegt dat nieuwe pakketten wel veilig zijn, misschien zijn die wel onveiliger, en niet volledig uitgetest.

Denk dat alles een voor en nadeel heeft.
PPA toevoegen, wie zegt dat de beheerder veilig werkt of je ubuntu pc extra software stiekem installeert.

In het algemeen als je veiliger wilt, dan debian gebruiken, waar je tav software ver achter ligt, maar wel veiliger.
Of een distro pakken waar alle software snel geupdate wordt, met laatste versie software, rolling release.

Voor de rest zie ik geen problemen met linux op het internet, virussen, spyware, dus waarom nu dingen gaan wijzigen.

Citaat
en aan selectieve inzet van extra PPA's of andere pakketbronnen van derden.
@Pjotr, voor wat voor soort programma's zou je die willen inzetten?
mvg,  Peter
Desktop: xubuntu 18.04.6
"No windows in the house but somehow there's more light..."
The future ain’t what it used to be.

Offline Soul-Sing

  • Lid
de kort onderhouden bronnen op de meest recent uitgebrachte versie zetten?
Ubuntu ratatouille.....

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
de kort onderhouden bronnen op de meest recent uitgebrachte versie zetten?
Ubuntu ratatouille.....
Dat lijkt me te drastisch, met waarschijnlijk grote risico's voor de stabiliteit.... Niet elk kort onderhouden pakket vormt immers een even groot veiligheidsrisico.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Citaat
en aan selectieve inzet van extra PPA's of andere pakketbronnen van derden.
@Pjotr, voor wat voor soort programma's zou je die willen inzetten?
Dat lijkt me vooralsnog de belangrijkste vraag. Een gelaagde aanpak is waarschijnlijk het beste:

1. Het lijkt me verstandig om nimmer de volledige vijf jaar uit te zingen met een LTS, maar steeds over te stappen binnen drie jaar.

Idealiter bij het verschijnen van de eerste puntversie van de nieuwe LTS (bijvoorbeeld *buntu 16.04.1 of Linux Mint 18.1), want dan zijn de onvermijdelijke kinderziektes van de nieuwe LTS wel verholpen. Opwaarderen zou dan betrekkelijk probleemloos moeten kunnen verlopen.

Daarmee heb je de pakketten van de categorie "drie jaar ondersteuning" al afgedekt. Dat is verreweg de grootste van de probleemcategorieën, dus dat is veel vliegen in één klap.

2. Wat overblijft is de categorie "negen maanden ondersteuning". Om welke pakketten gaat het precies (kan verschillen per *buntu-editie) en welke van de "negen maanden"-pakketten vormen theoretisch het hoogste risico?

Er is ook nog een categorie "niet-ondersteund", maar daarbij lijkt een vertekend beeld een rol te spelen. Het gaat namelijk om dingen als Chrome (die wel degelijk wordt ondersteund, maar door Google zelf, met een eigen pakketbron) en Flash Player (die ten onrechte niet-ondersteund lijkt te zijn).
« Laatst bewerkt op: 2016/04/25, 11:12:44 door Pjotr »

Offline h2o

  • Lid
Kennen ze bij Ubuntu niet zoiets als backports? Bij Debian kun je met Backports de versies van Testing draaien en die worden ook langer bijgewerkt.
Werk laptops + werkstation: Debian Testing
Privé laptops: Debian Testing/Unstable
Test laptop: Diverse andere Linux distribities
Chromebooks: ChromeOS Flex

Offline vanadium

  • Lid
Lijkt mij niet iets om je hier vanuit praktisch oogpunt zeer veel zorgen over te maken. Wat is het reële risico hierdoor? Ik vermoed in de meeste gevallen zeer klein. Bovendien zou dat de keuze van software die je nog kan gebruiken, zeer sterk beperken: vanaf dag 1 op Ubuntu 16.04 blijk ik al een resem "unsupported" pakketten te hebben, en neen, er zijn nog geen PPA's toegevoegd.

Unsupported:
autokey-common autokey-gtk cabextract dconf-tools easytag
flashplugin-installer gcolor2 gcstar gnome-extra-icons
gnome-subtitles gstreamer0.10-gnomevfs gstreamer1.0-fluendo-mp3
gstreamer1.0-plugins-ugly gstreamer1.0-plugins-ugly-amr gthumb
gthumb-data hplip-gui hunspell-en-au hyphen-en-gb keepassx
libadplug-2.2.1-0v5 libavcodec-extra libb-hooks-op-check-perl
libbareword-filehandles-perl libcddb-file-perl
libclass-method-modifiers-perl libclass-xsaccessor-perl
libdevel-globaldestruction-perl libgconf2.0-cil libgtk2-spell-perl
libimport-into-perl libindirect-perl liblexical-sealrequirehints-perl
libmikmod3 libmoo-perl libmp3-info-perl libmp3-tag-perl libmpdclient2
libmultidimensional-perl libnet-freedb-perl libnfs8
libogg-vorbis-header-pureperl-perl libopusfile0 libroar2
librole-tiny-perl libsidplay1v5 libsqliteodbc libstrictures-perl
libsub-exporter-progressive-perl mkvtoolnix mkvtoolnix-gui mpd
nautilus-dropbox network-manager-vpnc network-manager-vpnc-gnome
numlockx oxideqt-codecs-extra python-cracklib python-mpd python-tagpy
python3-notify2 r-base-core r-base-dev r-cran-boot r-cran-class
r-cran-cluster r-cran-codetools r-cran-foreign r-cran-kernsmooth
r-cran-lattice r-cran-mass r-cran-matrix r-cran-mgcv r-cran-nlme
r-cran-nnet r-cran-rpart r-cran-spatial r-cran-survival r-doc-html
r-recommended revelation skype skype-bin:i386 sonata
ttf-mscorefonts-installer ubuntu-restricted-addons
ubuntu-restricted-extras ufraw-batch unrar vpnc zim

Offline markba

  • Lid
    • http://markbaaijens.nl/
Lijkt mij niet iets om je hier vanuit praktisch oogpunt zeer veel zorgen over te maken. Wat is het reële risico hierdoor? Ik vermoed in de meeste gevallen zeer klein. Bovendien zou dat de keuze van software die je nog kan gebruiken, zeer sterk beperken: vanaf dag 1 op Ubuntu 16.04 blijk ik al een resem "unsupported" pakketten te hebben, en neen, er zijn nog geen PPA's toegevoegd.

Unsupported:
autokey-common autokey-gtk cabextract dconf-tools easytag
flashplugin-installer gcolor2 gcstar gnome-extra-icons
gnome-subtitles gstreamer0.10-gnomevfs gstreamer1.0-fluendo-mp3
gstreamer1.0-plugins-ugly gstreamer1.0-plugins-ugly-amr gthumb
gthumb-data hplip-gui hunspell-en-au hyphen-en-gb keepassx
libadplug-2.2.1-0v5 libavcodec-extra libb-hooks-op-check-perl
libbareword-filehandles-perl libcddb-file-perl
libclass-method-modifiers-perl libclass-xsaccessor-perl
libdevel-globaldestruction-perl libgconf2.0-cil libgtk2-spell-perl
libimport-into-perl libindirect-perl liblexical-sealrequirehints-perl
libmikmod3 libmoo-perl libmp3-info-perl libmp3-tag-perl libmpdclient2
libmultidimensional-perl libnet-freedb-perl libnfs8
libogg-vorbis-header-pureperl-perl libopusfile0 libroar2
librole-tiny-perl libsidplay1v5 libsqliteodbc libstrictures-perl
libsub-exporter-progressive-perl mkvtoolnix mkvtoolnix-gui mpd
nautilus-dropbox network-manager-vpnc network-manager-vpnc-gnome
numlockx oxideqt-codecs-extra python-cracklib python-mpd python-tagpy
python3-notify2 r-base-core r-base-dev r-cran-boot r-cran-class
r-cran-cluster r-cran-codetools r-cran-foreign r-cran-kernsmooth
r-cran-lattice r-cran-mass r-cran-matrix r-cran-mgcv r-cran-nlme
r-cran-nnet r-cran-rpart r-cran-spatial r-cran-survival r-doc-html
r-recommended revelation skype skype-bin:i386 sonata
ttf-mscorefonts-installer ubuntu-restricted-addons
ubuntu-restricted-extras ufraw-batch unrar vpnc zim
Als ik zo naar het lijstje kijk, lijkt me dat al niet te kloppen. Want waarom staat (bv) ubuntu-restricted-extras erbij? Klopt de bepaling van 'unsupported' dan wel?

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
"niet-ondersteund" lijkt me vooral een vertekend beeld te betreffen.

Mijn grootste zorg zijn de categorieën "drie jaar ondersteund" (gelukkig makkelijk op te lossen door telkens over te stappen bij de eerste puntversie van de nieuwe LTS) en vooral "negen maanden ondersteund" (helaas geen eenvoudige oplossing).

Offline markba

  • Lid
    • http://markbaaijens.nl/
"niet-ondersteund" lijkt me vooral een vertekend beeld te betreffen.
Als dit al (aantoonbaar) niet klopt, lijkt me dat ook wat te zeggen over de andere categorieën, toch? Want of die dan kloppen, hebben we blijkbaar geen zekerheid over.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
"niet-ondersteund" lijkt me vooral een vertekend beeld te betreffen.
Als dit al (aantoonbaar) niet klopt, lijkt me dat ook wat te zeggen over de andere categorieën, toch? Want of die dan kloppen, hebben we blijkbaar geen zekerheid over.
Die lijken wel te kloppen.... Althans de drie-jaars-categorie. Bij mijn Xubuntu 16.04 zitten daar o.a. de Xfce-pakketten in, en dat is overeenkomstig de verwachting, aangezien Xubuntu LTS officieel "slechts" drie jaar volledige ondersteuning heeft.

Het artikel op Heise.de geeft verduidelijking over wat er aan de hand kan zijn met "niet-ondersteund":
Citaat
In etwa 41~~500 Paketen und damit dem Großteil des Software-Angebots im Universe-Repository findet sich gar keine Kennzeichnung des Pflegezeitraums. Das von den Ubuntu-Machern zur Klärung des Support-Status beigelegte Programm ubuntu-support-status --show-unsupported stuft solche Pakete daher schon am Tag der Freigabe eines LTS-Releases als "unsupported" ein.
Dus: bij ontbrekend onderhoudsduur-stempel, wordt een pakket aangemerkt als "niet-ondersteund". Ook als het pakket wel degelijk wordt ondersteund, maar de ontwikkelaar het onderhoudsduur-stempeltje niet heeft gezet (vergeten?).

Daarmee is de categorie "negen maanden ondersteuning" met stip de lastigste: er is een stempel gezet, en dat is slechts negen maanden.....

Op dit ogenblik zie ik al voldoende aanleiding om algemeen aan te raden om Ubuntu LTS en Linux Mint niet voor de volle vijf jaar te gebruiken, maar slechts voor maximaal drie jaar. Ik zal dat ook zo formuleren op m'n webstek.

Hopelijk vinden we ook praktische oplossingen voor de relatief gevaarlijkste pakketten in de categorie "negen maanden ondersteuning". Dat wordt geen makkelijke klus, vrees ik. Althans als je van LTS naar LTS wil gaan en de tussenversies wil overslaan.
« Laatst bewerkt op: 2016/04/25, 12:43:52 door Pjotr »

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Goed, inmiddels heb ik de volgende waarschuwingen gezet op m'n webstek:

Ubuntu:
https://sites.google.com/site/computertip/versiekeuze#TOC-Geen-vijf-jaar-maar-drie-jaar
(punt 1.2, linkerkolom)

Linux Mint:
https://sites.google.com/site/computertip/mint#TOC-Geen-vijf-jaar-maar-drie-jaar
(punt 6, rechterkolom)

Dat zou een makkelijke noodoplossing moeten zijn voor de categorie "drie jaar ondersteund".

Blijft de lastige kwestie van de "negen maanden"-pakketten:
- Wat zijn die pakketten in de standaardinstallaties van alle officiële werkomgevingen van *buntu?
- Welke daarvan zijn vermoedelijk het meest riskant?
- Hoe kunnen we de meest riskante pakketten het beste aanpakken?

« Laatst bewerkt op: 2016/04/25, 19:22:16 door Pjotr »

Offline Henkp

  • Lid
@Pjotr,

Geweldig goed deze opdracht: ubuntu-support-status --show-all | less > bijwerktermijnen.txt

Is er ook een gelijk waardige terminal opdracht voor Linux Mint?.
Dat zou wel heel mooi zijn.  =D

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
@Pjotr,

Geweldig goed deze opdracht: ubuntu-support-status --show-all | less > bijwerktermijnen.txt

Is er ook een gelijk waardige terminal opdracht voor Linux Mint?.
Dat zou wel heel mooi zijn.  =D
Helaas niet.... Maar omdat Linux Mint nagenoeg gelijk is aan Ubuntu LTS, zal het daarin niet anders zijn.

Linux Mint heeft, wat de negen-maanden-pakketten betreft, één voordeel boven de Ubuntu LTS waar Mint op is gebouwd: het is waarschijnlijk dat althans een deel van de negen-maanden-pakketten "automatisch" wordt bijgewerkt naar een nieuwere versie, wanneer je een opwaardering doet binnen de Mintserie. Dus bijvoorbeeld van 17.2 naar 17.3.

Maar verder zal er door Ubuntu / Canonical moeten worden gerepareerd. Je kunt niet met droge ogen een Ubuntuversie presenteren als LTS met vijf jaar ondersteuning, wanneer een deel van de pakketten van de ongewijzigde standaardinstallatie minder dan vijf jaar wordt ondersteund.

Overigens zie ik in de praktijk (nog) niet zoveel veiligheidsproblemen, wanneer je een LTS maximaal drie jaar gebruikt i.p.v. vijf jaar. Die verkorte gebruiksduur scheelt al een hoop. Maar dat neemt niet weg, dat Canonical hier beslist wat aan moet doen.

Kortom: onderneem geen overhaaste drastische daden, maar actie van Canonical binnen negen maanden is noodzakelijk.
« Laatst bewerkt op: 2016/04/26, 00:41:26 door Pjotr »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Het programma dat Pjotr noemt schijnt niet helemaal goed te werken (daar waren we hier ook al achter).
Bron: https://lists.ubuntu.com/archives/ubuntu-devel-discuss/2016-April/016477.html

Later in die draad is er wat verwarring over hoe lang iets ondersteund zou moeten zijn, dus hoe het exact zit is mij nog niet helemaal duidelijk.
Alle pakketten in de "main" repo hebben in ieder geval 5 jaar ondersteuning. Hoe het zit met universe of multiverse is dus nog niet helemaal duidelijk. Sommige pakketten die onderdeel zijn van een Ubuntu-variant (Xubuntu bijv.) hebben een langere ondersteuning dan pakketten die daar niet bij horen.

Ik zou die draad en de bijbehorende bugs even in de gaten houden als je zekerheid wil hebben, maar voorlopig zou ik me nog geen zorgen maken: 16.04 is pas net uit.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Het programma dat Pjotr noemt schijnt niet helemaal goed te werken (daar waren we hier ook al achter).
Bron: https://lists.ubuntu.com/archives/ubuntu-devel-discuss/2016-April/016477.html

Later in die draad is er wat verwarring over hoe lang iets ondersteund zou moeten zijn, dus hoe het exact zit is mij nog niet helemaal duidelijk.
Alle pakketten in de "main" repo hebben in ieder geval 5 jaar ondersteuning. Hoe het zit met universe of multiverse is dus nog niet helemaal duidelijk. Sommige pakketten die onderdeel zijn van een Ubuntu-variant (Xubuntu bijv.) hebben een langere ondersteuning dan pakketten die daar niet bij horen.

Ik zou die draad en de bijbehorende bugs even in de gaten houden als je zekerheid wil hebben, maar voorlopig zou ik me nog geen zorgen maken: 16.04 is pas net uit.
Nuttige informatie, waarvoor dank!  :)

In de webkoppeling die je gaf, wordt ook verwezen naar deze recente foutmelding op Launchpad:
https://bugs.launchpad.net/ubuntu/+source/update-manager/+bug/1574670

Het lijkt er dus gelukkig op, dat het probleem (veel?) kleiner is dan we aanvankelijk dachten..... Maar meer duidelijkheid is gewenst. Het kan bijvoorbeeld niet zo zijn, dat dit gereedschapje simpelweg wordt geschrapt zonder dat er alsnog accurate informatie over de ondersteuningsduur komt.
« Laatst bewerkt op: 2016/04/26, 10:29:16 door Pjotr »

Offline markba

  • Lid
    • http://markbaaijens.nl/
Het lijkt er dus gelukkig op, dat het probleem (veel?) kleiner is dan we aanvankelijk dachten.....
"we"? tot aan nu twijfelde ik zelf niet zozeer aan die ondersteuning....
Citaat
Maar meer duidelijkheid is gewenst. Het kan bijvoorbeeld niet zo zijn, dat dit gereedschapje simpelweg wordt geschrapt zonder dat er alsnog accurate informatie over de ondersteuningsduur komt.
Schrappen lijkt me zinvoller, nu worden mensen nodeloos banggemaakt obv verouderde info:

Citaat
It uses the Supported field in the Packages file which hasn't been used or updated since Ubuntu 10.04 LTS and earlier releases when we had a 3 year/5 year support split between desktop and server. (See https://wiki.ubuntu.com/SecurityTeam/FAQ#Official%20Support)

It also uses the term "unsupported" instead of "community-supported" which doesn't accurately portray the status of universe packages.

This tool should be rewritten to return more accurate results, or simply removed completely.
Ben het met je eens @pjotr dat een tooltje handig is, maar dan moet het wel goed werken en niet een eindeloze hoop valse positieven genereren.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Inderdaad. Meer duidelijkheid is zeker nodig, want Marc Deslauriers zegt wel iets over drie jaar versus vijf jaar en over "niet ondersteund", maar bijvoorbeeld niets over de categorie "negen maanden".

Die laatste categorie is bijvoorbeeld niet terug te voeren op een gegevensbank van Ubuntu 10.04, want toen hadden we nog geen "negen maanden"-versies.... De tussenversies werden toen nog 18 maanden ondersteund. Pas in 2013 is de levensduur van tussenversies bekort.

Kortom: de juiste informatie moet boven tafel komen. Ik zou het betreurenswaardig vinden als de enige actie van Canonical zou zijn, dat ubuntu-support-status simpelweg wordt geschrapt.
« Laatst bewerkt op: 2016/04/26, 11:10:58 door Pjotr »

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Wie wil meehelpen, kan mijn commentaar op de foutmelding op Launchpad ondersteunen (commentaar #1):
https://bugs.launchpad.net/ubuntu/+source/update-manager/+bug/1574670

Voor de volledigheid: denk eraan dat je altijd beleefd en vriendelijk blijft op Launchpad: de Universe-ontwikkelaars hebben immers geen enkele verplichting jegens ons....  :)

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Mede dankzij de inbreng van Soul-Sing (commentaar #2), is er nu een veelbelovend nieuw commentaar geplaatst door Canonical-ontwikkelaar Marc Deslauriers:
https://bugs.launchpad.net/ubuntu/+source/update-manager/+bug/1574670/comments/3

Kerncitaat:
Citaat
We are looking into updating the Supported field for Ubuntu 16.04, and releasing an updated ubuntu-support-status tool for earlier releases that will return accurate information.

Het ziet ernaar uit, dat we precies datgene gaan krijgen waar we op hoopten.  :)