Это сложный вопрос, и, надеюсь, я правильно его описал. Мы используем Ubuntu в качестве ОС для проприетарного сетевого устройства в различных сетях. Сейчас их существует несколько сотен. На Hardy LTS или Lucid LTS они примерно 50/50. Все работают на Samba, и с этого действительно начинается наша история ...
За последние несколько лет в Samba было выпущено множество критических ошибок, и сейчас они находятся в версии 3.6.0. База данных пакетов Lucid обновляется только до 3.4.7, в которой есть несколько серьезных уязвимостей, исправленных в версиях 3.5.x.
Как лучше всего поддерживать версию Samba на этих устройствах в полевых условиях? Я хочу избежать их замены, которая может быть дорогостоящей; Я хочу попытаться избежать запуска обновлений командной строки для дистрибутива (т.е. с Hardy до Lucid), поскольку у нас нет физического доступа ко всем модулям, и все обновления будут выполняться удаленно.
У нас есть сервер для запуска собственного репозитория пакетов Ubuntu, но я опасаюсь, что он сломает Hardy. Есть мысли о том, как лучше всего это сделать? Шаг 1: придумайте долгосрочный план по поддержанию дистрибутива в последних выпусках LTS, но после этого, как мы можем получить последнюю версию в выпусках LTS, если в LTS ее нет ...
Обычная политика различных серверно-ориентированных дистрибутивов - фиксировать номер версии и переносить важные обновления в эту версию. Важные обновления определяются как исправления безопасности / стабильности. Весь смысл «долгосрочной поддержки» состоит в том, чтобы предоставить пользователям две вещи:
Поэтому, я думаю, ваша проблема сводится к обновлению ваших ящиков до последней версии дистрибутива, при условии, что оба они все еще поддерживаются. Вы также можете проверить в примечаниях к выпуску пакетов, исправлены ли ошибки безопасности в обновленных версиях. Должны быть, но хорошо иметь письменные доказательства.
Если какой-либо из используемых вами дистрибутивов уже не поддерживается, вы вернетесь к квадрату 1. В этом случае самым безопасным и, на мой взгляд, лучшим вариантом в целом было бы обновление боксов до поддерживаемого дистрибутива. Я знаю, что это болезненно и дорого, но клиенты платят за безопасность и стабильность. Даже внутренние клиенты. Если вы не получите ресурсы для необходимого обновления, я получу это в письменной форме (например, по электронной почте) от вашего менеджера и сделаю резервную копию, и заархивирую несколько его копий на время, когда одна из машин выйдет из строя / будет взломана из-за к отсутствию апгрейда. Разумная политика самосохранения.
Конечно, вы можете создавать собственные пакеты (возможно, с зависимостями) и отправлять их в поле для обновлений, но вам придется:
Это возможно, но требует много времени и усилий, что практически не подходит для использования LTS-дистрибутива. Другое дело: Samba - не единственная потенциальная проблема. А как насчет kernel / glibc / других важных пакетов?
Как бы вы его не разрезали, вам понадобится некоторая инфраструктура для обновления боксов. Самым простым (но не всегда выполнимым, я знаю) было бы использовать тот, который был установлен разработчиками дистрибутива.