staging.inyokaproject.org

hi,

mir ist beim Bearbeiten ein ganz blöder Zusammenhang aufgefallen. Und zwar geht es z.B.um die Get-deb/Play-deb Paketquelle. Hierin sind ja auch etliche Pakete enthalten, die in neueren Versionen als in der Standardinstallation vorliegen. Ein ähnlicher Zustand ist auch des öfteren bei ppa-Quellen anzutreffen.

Wäre es da nicht auch wichtig im gleichen Zshg. darauf hinzuweisen, die Paketquelle nach erfolgter Installation wieder zu deaktivieren? Ich bin mir nämlich nicht so ganz sicher, wie sich das auswirkt , wenn der Benutzer automatische Aktualisierung gewählt hat. Evtl. sollte man das sogar noch in den Artikel "Fremde Paketquellen" einbauen.

Ich hab für den Artikel eine Hinweisbox vorgesehen und werd' das vorm verschieben nochmal zur Diskussion stellen.

Netter Gruss

Moin Moin

Alice wtfiA schrieb:

mir ist beim Bearbeiten ein ganz blöder Zusammenhang aufgefallen. Und zwar geht es z.B.um die Get-deb/Play-deb Paketquelle. Hierin sind ja auch etliche Pakete enthalten, die in neueren Versionen als in der Standardinstallation vorliegen. Ein ähnlicher Zustand ist auch des öfteren bei ppa-Quellen anzutreffen.

Das ist ein wichtiger Punkt, der im Artikel Fremdquellen zu kurz kommt.

Wäre es da nicht auch wichtig im gleichen Zshg. darauf hinzuweisen, die Paketquelle nach erfolgter Installation wieder zu deaktivieren?

In der Regel benutzt man ja Paketquellen, damit man auch Aktualisierungen erhält, sonst könnte man die Pakete ja auch manuell herunterladen. Apt-Pinning ist unter anderem eine gute Methode, um gezielt ausschließlich festgelegte Pakete aus einer bestimmten Quelle zu installieren.

Gruß, cornix

Falls sich noch jemand hier her verirrt oder testen möchte:

apt-cache showpkg $(dpkg -l | cut -d " " -f3 | egrep -v "Konfiguration/|notwendig|+++-"| xargs) | egrep -A1 "Package:|Versions:" | grep -v  ".ubuntu.com_ubuntu_dists_lucid" | grep -B2 "/var/lib/apt/lists/" | less

Diesen Spaghetti-Code habe ich zusammengecodet, aber immerhin und es ist (Anspruch) nur ein Einzeiler. Damit sollen (in den meisten Fällen mal eben schnell) installierte Fremdquellen angezeigt werden, also nicht nur die sources.list etc..

Evtl. weiß oder kann jemand was besseres. Bis dahin kann man das vielleicht in den Artikel aufnehmen. Ansonsten steht es eben hier.

Edit: Dieser Befehl gilt für Ubuntu Lucid Lynx 10.04(.1 usw.). Für 9.10 Karmic bitte lucid im Befehl durch karmic ersetzen und für Maverick Meerkat 10.10 durch maverick.

Hi,

unter Links verweist "Reflections on trusting trust" auf ein kommerziell erhaeltliches Buch. Wie sieht hier die Plattformpolicy dazu aus?

Gruss Lasall

• "Reflections on Trusting Trust" 🇬🇧 von Ken Thompson

ist kein Buch, sondern nur ein (mehrseitiger?) Artikel von 1984. Der Verweis ist seit Artikelerstellung enthalten, 2009 habe ich den Link - ohne nachzudenken - korrigiert. Da der Artikel nicht oeffentlich zugaenglich ist, ist ein Link darauf IMHO ueberfluessig - entfernt.

Hallo,

hätte da einen Ersatz-Link anzubieten:

Es gibt eine etwas neuere Dissertation, die auf der Arbeit von Thompson basiert:

http://www.dwheeler.com/trusting-trust/ Das Abstrakt dort erklärt die Thematik

Die PhD-Dissertation von David Wheeler gibt es dort auch als .odt (2009,200S., 511 KB)

Hinweise dazu gab es bei LWN.net

Alice wtfiA schrieb:

hätte da einen Ersatz-Link anzubieten: http://www.dwheeler.com/trusting-trust/

rein damit ☺

Die PhD-Dissertation von David Wheeler gibt es dort auch als .odt (2009,200S., 511 KB)

viel wichtiger: auch als HTML online und unter CC-Lizenz.

Kannst Du das bitte machen? Hatte oben nochmal editiert, das Abstrakt zur Dissertation dort geht ja ganz übersichtlich auf die Thematik ein.

Alice wtfiA schrieb:

Kannst Du das bitte machen?

done.

Was haltet ihr eigentlich davon, auf Apt-Pinning hinzuweisen, sollte es doch mal unbedingt nötig sein sollte, ein Fremdpaket zu installieren?

Nur weil man z.B. ein Grafik-Programm benötigt, möchte man ja sicher nicht, dass beim nächsten Update Systemprogramme überschrieben werden.

UMLAUTaxl schrieb:

Nur weil man z.B. ein Grafik-Programm benötigt, möchte man ja sicher nicht, dass beim nächsten Update Systemprogramme überschrieben werden.

Genau deswegen werden Warnungen vor

• Fremdquellen

• Fremdpaketen

• und Fremdsoftware

im Wiki verwendet. Was soll der Verweis auf apt-pinning bringen? Aber ein Link am Ende des Artikels schadet nicht.

aasche schrieb:

Was soll der Verweis auf apt-pinning bringen?

Wenn ich z.B. aus dem PPA von maverick-bleed immer die neueste Version von vlc haben möchte, mir das dpkg von dort aber zu heiß ist. videolan.org weist auf das PPA hin, dpkg würde ich aber schon gerne original behalten.

(Ein Downgrade auf dpkg 1.15 erfordert übrigens das Löschen von /var/lib/dpkg/info/dpkg.prerm und /etc/dpkg/dpkg.cfg.d/multiarch. 😀)

Aber ein Link am Ende des Artikels schadet nicht.

Und in den Vorlagen? 😕

Hi UMLAUTaxl,

man kann nicht alle moeglichen Szenarien abdecken. Ich spreche mich auch gegen eine Veraenderung der Vorlagen in dieser Hinsicht aus.

Gruss Lasall

Gut, das mit den Vorlagen ist so kurz und übersichtlich auch gut.

Aber ich denke, dass es eines der gefährlichsten Szenarien ist, dass man aus einer Quelle die neueste Version eines Anwendungsprogramms haben kann, sich aber bei nächster Gelegenheit ein Dienstprogramm 'updatet'.

Moin moin,

mir fehlt hier ein ausführlicher Hinweis zu apt-pinning. Damit können viele Probleme mit Fremdquellen mindestens gemindert werden.

Gruß, cornix