[Postfixbuch-users] clamav stirbt
Christian Bricart
christian at bricart.de
Di Feb 3 23:01:20 CET 2009
Peer Heinlein schrieb:
> Am Dienstag, 3. Februar 2009 schrieb Christian Bricart:
>
>> anderer Paketversionen. Deshalb werden ausschliesslich Bug- und
>> Security-Fixes geliefert."
>
> Wenn ein Paket reproduzierbar einfriert und die Arbeit verweigert bei 100%
> CPU-Auslastung.
>
> Ist das dann kein Bug?
Hmm - hast du zu anderen (Debian-stable) Paketen ähnliche Erfahrungen?
Ich denke, dass es in diesem speziellen Fall eher auf die Ignoranz von
"Upstream" zu schieben ist.. Immerhin bekommst du eine
Fehler-/Warnungs-Meldung von freshclam, die durchgängig in
GROSSBUCHTABEN geschrieben ist, dass du eine alte Version einsetzt,
obwohl du damit Signaturupdates aus "trunk" ziehst - ich würde dann eher
sagen, dass es der Fehler von clamav.net ist, keine abwärtskompatiblen
(oder backgeportete) Signaturen für (ver)alte(te) Versionen
bereitzustellen..
>
>> Volatile wiederum beinhaltet Paktete, die eben "volatil" - d.h. in
>> Bewegung sind. Um zu funktionieren _müssen_ hier und da Schnittstellen
>> geändert werden, oder neue (<- lies: den neuen Gegebenheiten
>> angepasste) Features implizieren eine Anhebung der Versionsnummer des
>> Pakets und _können nicht_ als Patch in die Versionsnummer des Pakets
>> aus "stable" zurückportiert werden - diese Eigenschaft steht in
>> direktem Widerspruch zur stable-Policy.
>> Als Beispiel eben: clamav, timezones, ..
>
> Das sehe ich ein WENN das bisherige clamav in stable weiterhin
> funktioniert. Tut es aber nicht!
solang du es in Ruhe lässt und keine neuen Signaturen einspielst.. ;-)
SCNR ;-)
Dann sollte evtl. freshclam die Signaturen nicht einspielen.. also
Fehler/Unzulänglichkeit in freshclam, oder?
Oder anders: Die Signaturen, die du einspielst, kommen von einer
"Nicht-Debian-Quelle" und können damit dein hübsches Paketmanagement
eben aus den Angeln heben... Ist nur eine andere Art als auf deinem
System mit "./configure --prefix=/usr && make && sudo make install"
alles aus der Bahn zu kippen...
Ein Vorschlag wäre vielleicht von Debian ein (auf die installierte
Version versioniertes) "clamav-data"-Paket anzubieten, welches dann halt
nicht alle Funktionalität liefert, weil es nun mal die zu Grunde
liegende veraltete Engine nicht kann..
Aber damit wäre einem ja auch nicht geholfen - nebst, dass dieses Paket
sich wohl nach Policy auch in volatile wiederfinden wird...
Bleibt nur noch mein anderer Vorschlag clamav komplett aus "stable" zu
verbannen und ausschliesslich aus volatile nachzuinstallieren...
>
> Sobald das stable-Paket tot ist, muß man das doch als Bug fixen! Tausende
> Server haben vor drei Jahren mal alles sauber installiert (als es noch
> ohne volatile lief) und über Nacht nach einem billigen Siganturen-Update
> gehen die alle in die Knie und funktionieren nicht mehr. Die
> Debian-Maintainer machen hier einen Denial-of-Service gegen Tausende (!)
> von Server. Wie kann man da um Himmels Willen kein Bugfix herausgeben?!
Sieh's mal andersrum: Du rufst nie mal "freshclam" auf und hat zumindest
einen "Grundschutz" in der Basisinstallation. Wenn dir das nicht reicht,
kannst du eben immer noch Volatile nehmen... (Ironie-Tags bitte
dazudenken...)
Um bei einem anderen Paket aus Volatile zu bleiben: timezone
Dich als Server in Deutschland kratzt es doch wenig, wenn irgendeine
Bananenepublik meint jetzt zwei Tage später auf Sommerzeit umzustellen..
Wenn dein Server in dieser Bananerepublik steht, dann schon..
Aber dieses Update hat ja nichts mit Security zu tun - und landet daher
auch nicht in den Security-Updates.. -> volatile
>
> Was rechtfertigt denn dann einen Bug-Fix wenn nicht der absolute
> Server-Stillstand?
>
>> Eben genau das versucht die Debian-Release-Policy zu garantieren: Ohne
>> Nachzudenken "neue" (<- lies: gepatchte) Pakete einzuspielen, ohne die
>> Stabilität des Gesamtsystems zu beeinflussen.
>
> Da das System absolut steht sehe ich die Stabilität des Systems mehr als
> nachhaltig beeinflußt. Es ist tot!
>
> Ja, okay. Ein nicht-funktionierendes System ist auch ein "stabiler"
> Zustand. Sorum betrachtet ist natürlich alles super.
>
>> Hoffe ein wenig Licht in dein Dunkel gegeben zu haben
>
> Naja, Verständnis kann ich dafür nach wie vor nicht aufbringen. Das
> Grundprinzip ist mir ja schon klar. Aber ein toter Server ist ein toter
> Server!
Soviel ich mitbekommen habe, ist die gesamte Problematik auch bei Debian
bekannt und nachdem ja volatile ein offizielles Repository ist (seit
Umzug von volatile.debian,net -> volatile.debian.org) wird es bei
Installation von/ab Lenny direkt bei der Installation schon nebst
"security" zum Anklicken angeboten. Und nochmal gesagt: Dieses
Repository ist und gehört zu *stable* und nicht
unstable/backports/testing/whatever.
Anderer Vorschlag zu einem System-Setup:
- Server aufsetzen mit Debian "stable" und Kernel-flavour "vserver" (was
ich immer gerne als "chroot-on-steroids" bezeichne)
- kleine chroot (evtl. debootstrap wenn's auch Debian sein soll, kann ja
dann unstable sein - sollte ja keine grossen Abhängikeiten geben, wenn's
nur ein spezielles Programm ist) als vserver-Gast reininstallieren und
exkusiv clamav dort rein.
- das Virenscannen die chroot erledigen lassen, den Rest "aussen" machen
- oder direkt auf nen externen Scanner-Rechner(-Cluster) schicken, der
unter einer Distribution nach Wahl (evtl sogar auch LFS) läuft (kommt
halt hier noch TCP-Overhead dazu..)
Aber wie gesagt - ich argumentiere hier für eine Distribution und Ihre
Policy, die ich eigentlich in dieser Richtung gar nicht verteidigen
will.. ;-)
'nuff said ;-)
Christian
Mehr Informationen über die Mailingliste Postfixbuch-users