maintenance openbsd

classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

maintenance openbsd

Frédéric Ferrère
Bonjour,

Une petite question sur la maintenance du système.

Voyons d'abord si j'ai bien compris le fonctionnement :

- OpenBSD sort une version tout les 6 mois, la branche "release".
- La branche "release" peut nécessiter un certains nombre de patchs mineurs,
   qu'il faut appliquer en utilisant la branche "stable".
- L'utilisation de la branche "stable" implique de recompiler le système
   en totalité au moins la première fois, puis en partie pour chaque patch.

Certains patchs de sécurité, comme openssh par exemple sont indispensables,
et j'imagine mal ne pas l'appliquer en attendant la prochaine "release".

Pour ceux qui ont une longue expérience OpenBSD,
sur un serveur de production critique, est-ce que certains d'entre vous
font quand même l'impasse sur "stable" et restent en "release" ?

La recompilation de tout le système sur un serveur (double coeur, 2Go de ram)
récent prends combien de temps ?

Merci.

Cordialement,
--
Frédéric

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Vivien MOREAU
Wednesday 30 Jun 2010 à 12:12:49 (+0200), Frédéric Ferrère a écrit :

> Bonjour,

Salut,

> Voyons d'abord si j'ai bien compris le fonctionnement :
>
> - OpenBSD sort une version tout les 6 mois, la branche "release".
> - La branche "release" peut nécessiter un certains nombre de patchs mineurs,
>   qu'il faut appliquer en utilisant la branche "stable".
> - L'utilisation de la branche "stable" implique de recompiler le système
>   en totalité au moins la première fois, puis en partie pour chaque patch.

En fait, c'est un poil plus compliqué : soit tu suis la
branche stable, soit tu appliques les patches. Suivre la
branche stable nécessite de recompiler tout son système mais
lorsque l'on utilise les patches, seules les parties de code
impactées sont à recompiler ( c'est indiqué dans le patch ).

La différence entre la branche stable et les patches, c'est
*je crois* que ces derniers ne corrigent que les bogues
graves alors que la branche stable met aussi à jour OpenSSH
par exemple.

> [...]

--
Vivien Moreau


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Frédéric Ferrère
Le 30/06/2010 14:16, Vivien MOREAU a écrit :

> Wednesday 30 Jun 2010 à 12:12:49 (+0200), Frédéric Ferrère a écrit :
>
>> Bonjour,
>
> Salut,
>
>> Voyons d'abord si j'ai bien compris le fonctionnement :
>>
>> - OpenBSD sort une version tout les 6 mois, la branche "release".
>> - La branche "release" peut nécessiter un certains nombre de patchs mineurs,
>>    qu'il faut appliquer en utilisant la branche "stable".
>> - L'utilisation de la branche "stable" implique de recompiler le système
>>    en totalité au moins la première fois, puis en partie pour chaque patch.
>
> En fait, c'est un poil plus compliqué : soit tu suis la
> branche stable, soit tu appliques les patches. Suivre la
> branche stable nécessite de recompiler tout son système mais
> lorsque l'on utilise les patches, seules les parties de code
> impactées sont à recompiler ( c'est indiqué dans le patch ).
>
> La différence entre la branche stable et les patches, c'est
> *je crois* que ces derniers ne corrigent que les bogues
> graves alors que la branche stable met aussi à jour OpenSSH
> par exemple.
>
>> [...]
>
Ok merci pour l'info.

Pour clarifier un peu plus la situation, une autre question.

D'après la page officielle, OpenBSD 4.7 est sorti le 19 mai 2010.
D'un autre côté la page errata : http://www.openbsd.org/errata47.html
liste des patchs du 31 mars au 14 mai 2010.

Naïvement, je dirais que la version "release" est donc à jour,
qu'elle intègre ces correctifs,
mais la simple présence de cette page errata me laisse un doute.

Merci pour tous ces éclaircissements.

Cordialement,

--
Frédéric



________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Laurent Cheylus
Bonjour,

On Wed, Jun 30, 2010 at 02:36:01PM +0200, Frédéric Ferrère wrote:
> D'après la page officielle, OpenBSD 4.7 est sorti le 19 mai 2010.
> D'un autre côté la page errata : http://www.openbsd.org/errata47.html
> liste des patchs du 31 mars au 14 mai 2010.
>
> Naïvement, je dirais que la version "release" est donc à jour, qu'elle
> intègre ces correctifs, mais la simple présence de cette page errata
> me laisse un doute.

Non, la version OpenBSD 4.7 "release" sortie le 19 mai ne contient pas
les patchs listés jusqu'au 14 mai :

- la version 4.7 sort (envoi via CD ou serveurs FTP public) le 19 mai
  (fréquence 6 mois à peu près)

- mais les sources dont elle provient (celles qui ont été utilisées pour
  la compiler) sont plus vieilles (autour de mi mars). En effet, il faut
  bien freezer l'arbre des sources ià un moment pour pouvoir générer la
  version, produire les CD et préparer la release...

- pendant cette période, des corrections sont produites suite à des
  tests et découvertes de vulnérabilités mais ne peuvnet pas être
  intégrées à la version "release".

Lorsqu'on installe une nouvelle version "release" OpenBSD, il faut
commencer par appliquer les patchs les plus critiques (en général,
kernel et openssl).

A++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Comète-2
In reply to this post by Frédéric Ferrère
Salut,

j'utilise OpenBSD sur plusieurs serveurs en production
(DNS/SMTP/Firewall/SSH/Reverse-proxy/etc...) et je suis la branche
stable systématiquement.
Pour simplifier la maintenance, je dédie une machine virtuelle à la
compilation de "stable" puis je génère une release à partir de laquelle
je mets à jours tous mes serveurs ou j'en installe de nouveaux.

Le 30/06/2010 12:12, Frédéric Ferrère a écrit :

> Bonjour,
>
> Une petite question sur la maintenance du système.
>
> Voyons d'abord si j'ai bien compris le fonctionnement :
>
> - OpenBSD sort une version tout les 6 mois, la branche "release".
> - La branche "release" peut nécessiter un certains nombre de patchs
> mineurs,
> qu'il faut appliquer en utilisant la branche "stable".
> - L'utilisation de la branche "stable" implique de recompiler le système
> en totalité au moins la première fois, puis en partie pour chaque patch.
>
> Certains patchs de sécurité, comme openssh par exemple sont indispensables,
> et j'imagine mal ne pas l'appliquer en attendant la prochaine "release".
>
> Pour ceux qui ont une longue expérience OpenBSD,
> sur un serveur de production critique, est-ce que certains d'entre vous
> font quand même l'impasse sur "stable" et restent en "release" ?
>
> La recompilation de tout le système sur un serveur (double coeur, 2Go de
> ram)
> récent prends combien de temps ?
>
> Merci.
>
> Cordialement,
> --
> Frédéric
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

thunderheart
In reply to this post by Frédéric Ferrère
Bonjour,

j'utilise OpenBSD en tant que firewall/routeur.
J'installe la version Release et ses sources tous les 6 mois et ensuite applique ses correctifs (Erratas et patchs pour la Release 4.7 --> http://openbsd.org/errata47.html#003_openssl)

Je ne passe pas par la branche stable.
Ce fil me met le doute, aurai-je loupé, mal compris quelque chose ?
--
Pat

----- Mail Original -----
De: "Frédéric Ferrère" <[hidden email]>
À: [hidden email]
Envoyé: Mercredi 30 Juin 2010 12h12:49 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne
Objet: [obsdfr-misc] maintenance openbsd

Bonjour,

Une petite question sur la maintenance du système.

Voyons d'abord si j'ai bien compris le fonctionnement :

- OpenBSD sort une version tout les 6 mois, la branche "release".
- La branche "release" peut nécessiter un certains nombre de patchs mineurs,
   qu'il faut appliquer en utilisant la branche "stable".
- L'utilisation de la branche "stable" implique de recompiler le système
   en totalité au moins la première fois, puis en partie pour chaque patch.

Certains patchs de sécurité, comme openssh par exemple sont indispensables,
et j'imagine mal ne pas l'appliquer en attendant la prochaine "release".

Pour ceux qui ont une longue expérience OpenBSD,
sur un serveur de production critique, est-ce que certains d'entre vous
font quand même l'impasse sur "stable" et restent en "release" ?

La recompilation de tout le système sur un serveur (double coeur, 2Go de ram)
récent prends combien de temps ?

Merci.

Cordialement,
--
Frédéric

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

E.T-3
Bonjour

Si j'ai le droit de m'exprimer. Moi, j'ai compris ceci :

Current, release, stable

Release ----> stable

Release ----> Current

Passer de current a stable n'est pas possible apparemment.

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Frédéric Ferrère
In reply to this post by thunderheart
Le 01/07/2010 11:12, [hidden email] a écrit :
> Bonjour,
>
> j'utilise OpenBSD en tant que firewall/routeur.
> J'installe la version Release et ses sources tous les 6 mois et ensuite applique ses correctifs (Erratas et patchs pour la Release 4.7 -->  http://openbsd.org/errata47.html#003_openssl)
>
> Je ne passe pas par la branche stable.
> Ce fil me met le doute, aurai-je loupé, mal compris quelque chose ?

A priori non, c'est la bonne méthode si j'ai bien compris.
c'est celle que je viens de prendre en tout cas.

Entre temps je suis tombé sur cette doc :
http://bsd.phoenix.az.us/faq/openbsd/updatesystem

qui confirme cette méthode.

Le doute ça ronge, et ça donne des nuits blanches :)

Et si je ne suis pas le seul à avoir eu ce doute,
peut être que, pour les novices, il manque
une petite phrase plus explicite dans la doc à ce sujet ?

Merci.

Cordialement,
--
Frédéric

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Landry Breuil-4
In reply to this post by Vivien MOREAU
2010/6/30 Vivien MOREAU <[hidden email]>:

> Wednesday 30 Jun 2010 à 12:12:49 (+0200), Frédéric Ferrère a écrit :
>
>> Bonjour,
>
> Salut,
>
>> Voyons d'abord si j'ai bien compris le fonctionnement :
>>
>> - OpenBSD sort une version tout les 6 mois, la branche "release".
>> - La branche "release" peut nécessiter un certains nombre de patchs mineurs,
>>   qu'il faut appliquer en utilisant la branche "stable".
>> - L'utilisation de la branche "stable" implique de recompiler le système
>>   en totalité au moins la première fois, puis en partie pour chaque patch.
>
> En fait, c'est un poil plus compliqué : soit tu suis la
> branche stable, soit tu appliques les patches. Suivre la
> branche stable nécessite de recompiler tout son système mais
> lorsque l'on utilise les patches, seules les parties de code
> impactées sont à recompiler ( c'est indiqué dans le patch ).
>
> La différence entre la branche stable et les patches, c'est
> *je crois* que ces derniers ne corrigent que les bogues
> graves alors que la branche stable met aussi à jour OpenSSH
> par exemple.

Non. Les patches SONT la branche stable. Ie un checkout cvs
-rOPENBSD_4_7 src (-stable) sera exactement la meme chose qu'appliquer
les patches a la main sur un src.tar.gz pris dans le rept 4.7/ (ie
-release). Et on ne recompile _que_ ce qui est nécessaire (une lib, le
kernel, un binaire de l'userland.. bref c'est expliqué dans le patch).

Il n'y a aucune mise a jour d'OpenSSH en -stable, ni d'aucun autre
logiciel d'ailleurs.

http://www.openbsd.org//faq/fr/faq5.html#Flavors n'est pas assez clair ?

Landry

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Vivien MOREAU
Thursday 01 Jul 2010 à 13:30:06 (+0200), Landry Breuil a écrit :

> Non. Les patches SONT la branche stable. Ie un checkout cvs
> -rOPENBSD_4_7 src (-stable) sera exactement la meme chose qu'appliquer
> les patches a la main sur un src.tar.gz pris dans le rept 4.7/ (ie
> -release). Et on ne recompile _que_ ce qui est nécessaire (une lib, le
> kernel, un binaire de l'userland.. bref c'est expliqué dans le patch).
>
> Il n'y a aucune mise a jour d'OpenSSH en -stable, ni d'aucun autre
> logiciel d'ailleurs.
>
> http://www.openbsd.org//faq/fr/faq5.html#Flavors n'est pas assez clair ?

Faut croire que non :-)

Dans <http://www.openbsd.org/fr/stable.html>, je peux entre
autre lire que « les nouvelles versions d'OpenSSH seront
appliquées à la branche stable ». Je suppose donc que cette
page est obsolète.
--
Vivien Moreau


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Pierre Riteau-3
In reply to this post by Landry Breuil-4
2010/7/1 Landry Breuil <[hidden email]>

> 2010/6/30 Vivien MOREAU <[hidden email]>:
> > Wednesday 30 Jun 2010 à 12:12:49 (+0200), Frédéric Ferrère a écrit :
> >
> >> Bonjour,
> >
> > Salut,
> >
> >> Voyons d'abord si j'ai bien compris le fonctionnement :
> >>
> >> - OpenBSD sort une version tout les 6 mois, la branche "release".
> >> - La branche "release" peut nécessiter un certains nombre de patchs
> mineurs,
> >>   qu'il faut appliquer en utilisant la branche "stable".
> >> - L'utilisation de la branche "stable" implique de recompiler le système
> >>   en totalité au moins la première fois, puis en partie pour chaque
> patch.
> >
> > En fait, c'est un poil plus compliqué : soit tu suis la
> > branche stable, soit tu appliques les patches. Suivre la
> > branche stable nécessite de recompiler tout son système mais
> > lorsque l'on utilise les patches, seules les parties de code
> > impactées sont à recompiler ( c'est indiqué dans le patch ).
> >
> > La différence entre la branche stable et les patches, c'est
> > *je crois* que ces derniers ne corrigent que les bogues
> > graves alors que la branche stable met aussi à jour OpenSSH
> > par exemple.
>
> Non. Les patches SONT la branche stable. Ie un checkout cvs
> -rOPENBSD_4_7 src (-stable) sera exactement la meme chose qu'appliquer
> les patches a la main sur un src.tar.gz pris dans le rept 4.7/ (ie
> -release). Et on ne recompile _que_ ce qui est nécessaire (une lib, le
> kernel, un binaire de l'userland.. bref c'est expliqué dans le patch).
>
> Il n'y a aucune mise a jour d'OpenSSH en -stable, ni d'aucun autre
> logiciel d'ailleurs.
>
> http://www.openbsd.org//faq/fr/faq5.html#Flavors n'est pas assez clair ?
>
> Landry


J'ai déjà vu par le passé des patches dans -stable qui n'ont jamais été
listés dans les errata, mais ça n'est peut-être plus vrai pour les dernières
releases.

Pierre
Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

Pierre Riteau-3
2010/7/3 Pierre Riteau <[hidden email]>

> 2010/7/1 Landry Breuil <[hidden email]>
>
> 2010/6/30 Vivien MOREAU <[hidden email]>:
>> > Wednesday 30 Jun 2010 à 12:12:49 (+0200), Frédéric Ferrère a écrit :
>> >
>> >> Bonjour,
>> >
>> > Salut,
>> >
>> >> Voyons d'abord si j'ai bien compris le fonctionnement :
>> >>
>> >> - OpenBSD sort une version tout les 6 mois, la branche "release".
>> >> - La branche "release" peut nécessiter un certains nombre de patchs
>> mineurs,
>> >>   qu'il faut appliquer en utilisant la branche "stable".
>> >> - L'utilisation de la branche "stable" implique de recompiler le
>> système
>> >>   en totalité au moins la première fois, puis en partie pour chaque
>> patch.
>> >
>> > En fait, c'est un poil plus compliqué : soit tu suis la
>> > branche stable, soit tu appliques les patches. Suivre la
>> > branche stable nécessite de recompiler tout son système mais
>> > lorsque l'on utilise les patches, seules les parties de code
>> > impactées sont à recompiler ( c'est indiqué dans le patch ).
>> >
>> > La différence entre la branche stable et les patches, c'est
>> > *je crois* que ces derniers ne corrigent que les bogues
>> > graves alors que la branche stable met aussi à jour OpenSSH
>> > par exemple.
>>
>> Non. Les patches SONT la branche stable. Ie un checkout cvs
>> -rOPENBSD_4_7 src (-stable) sera exactement la meme chose qu'appliquer
>> les patches a la main sur un src.tar.gz pris dans le rept 4.7/ (ie
>> -release). Et on ne recompile _que_ ce qui est nécessaire (une lib, le
>> kernel, un binaire de l'userland.. bref c'est expliqué dans le patch).
>>
>> Il n'y a aucune mise a jour d'OpenSSH en -stable, ni d'aucun autre
>> logiciel d'ailleurs.
>>
>> http://www.openbsd.org//faq/fr/faq5.html#Flavors n'est pas assez clair ?
>>
>> Landry
>
>
> J'ai déjà vu par le passé des patches dans -stable qui n'ont jamais été
> listés dans les errata, mais ça n'est peut-être plus vrai pour les dernières
> releases.
>
> Pierre
>

Exemple récent : http://freshbsd.org/2010/05/14/15/19/11

Pas d'errata correspondant.
Reply | Threaded
Open this post in threaded view
|

Re: maintenance openbsd

E.T-3
In reply to this post by Pierre Riteau-3
Bonsoir

Désolé, j'ai une question qui me trotte dans la tête depuis cette semaine.
Je vois plusieurs personnes avec des versions différentes d'Openbsd, donc
comment et gérer le lap de temps de vie d'une version ?. La durée des mises
a jour de sécurité continue, même si la version est dépassée.



________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php