# emerge-webrsync / Snapshot nicht aktuell?

## McPringle

Hallo,

aufgrund einer Firewall und eines Proxies komme ich nur per HTTP und FTP ins Internet. RSYNC wird von unserem Proxy nicht unterstützt. Daher synchronisiere ich mittels emerge-webrsync. Was mich stutzig macht ist die Ausgabe am Ende von emerge-webrsync:

```
 *** Completed websync, please now perform a normal rsync if possible.

     Update is current as of the of YYMMDD: 20040317
```

Also stammt der Snapshot vom 17. März? Wird der nicht täglich erstellt? Sonst hätte man ein Problem, wenn wichtige Patches draußen sind (wie OpenSSL) und nicht an den neuen ebuild kommt. Oder wie darf ich diese Datumsangabe verstehen?

Danke

McPringle

----------

## wulfkuhn

der 17. war doch auch erst vorgestern, geht doch noch.

----------

## McPringle

 *wulfkuhn wrote:*   

> der 17. war doch auch erst vorgestern, geht doch noch.

 

Ist nur blöd, wenn es ein Sicherheitsloch gibt (wie gerade in OpenSSL) und man seine Software nicht aktualisieren kann. Die Snapshots müssten täglich gemacht werden. Sonst ist das Risiko einfach zu groß.

McPringle

----------

## wulfkuhn

Dann gibts drei Möglichkeiten,

entweder die Firewall umkonfigurieren

oder ein emerge sync auf einem anderen Rechner ohne Firewall machen und den Kram von Hand kopieren

oder ssl abschalten bis der Kram gefixt ist.

Aber glaubst du wirklich, dass Menschen die so dämlich sind, dass sie nichts besseres zu tun haben, als auf die nächste Sicherheitslücke zu warten innerhalb von 24 Stunden die auch verstehen können?

Soweit ich mich entsinne hatte es drei Tage gedauert die Lücke zu nutzen, als Microsoft sich das letzte Mal beschwert hat, die Hacker seien zu schnell geworden.

Nein, im Ernst

was mich mal interessieren würde wär wie man vor dem webrsync festellen kann ob der inzwischen neu ist.

Schließlich dauert der recht lange.Last edited by wulfkuhn on Fri Mar 19, 2004 10:02 am; edited 1 time in total

----------

## beejay

http://gentoo.oregonstate.edu/snapshots/

Der letzte ist vom 18.03

----------

## wulfkuhn

umpf, damit hat sich meine dumme Frage auch geklärt.

----------

## McPringle

 *wulfkuhn wrote:*   

> Dann gibts drei Möglichkeiten,
> 
> entweder die Firewall umkonfigurieren

 

Kommt nicht in Frage - ist eine große Firma und soll so bleiben, wie es ist.

 *wulfkuhn wrote:*   

> oder ein emerge sync auf einem anderen Rechner ohne Firewall machen und den Kram von Hand kopieren

 

Kommt leider auch nicht in Frage. Alle internen Systeme sitzen hinter der Firewall.

 *wulfkuhn wrote:*   

> oder ssl abschalten bis der Kram gefixt ist.

 

Kommt auch nicht in Frage - SSL wird von viel zu vielen Diensten genutzt.

 *wulfkuhn wrote:*   

> Aber glaubst du wirklich, dass Menschen die so dämlich sind, dass sie nichts besseres zu tun haben, als auf die nächste Sicherheitslücke zu warten innerhalb von 24 Stunden die auch verstehen können?

 

Ja. Mitunter werden entsprechende Exploits bei Bekanntgabe der Lücke gleich mitgeliefert. Aber davon abgesehen ist eine Lücke eine Lücke und wenn sie bekannt ist, eine gefährliche Lücke. Schon per Definition. Wenn ich sicherheitsrelevante Daten auf meinem PC oder Server habe, muss ich dafür sorgen, dass diese geschützt sind. Wenn die Möglichkeit besteht, dass diese Lücke ausgenutzt werden kann, muss sie sofort geschlossen werden. Wenn nicht ist das grob fahrlässig.

cu

McPringle

----------

## wulfkuhn

Was steht denn in euren Sicherheitsrichtklinien wie in einem solchen Fall vorzugehen ist?

Das gehört da nämlich rein.

----------

## ian!

Aha. Ein Leidensgenosse!  :Wink: 

Da ja scheinbar auch anderweitig Bedarf besteht, stelle ich meine daily-snapshots halt wieder öffentlich:

http://213.146.113.231/pub/gentoo/snapshots/

Diese Snapshots werden morgens um 6 Uhr - aus einem aktuellen sync - frisch gebaut. (Ok, der neuste ist von gerade eben, da ich den Job mal wieder angeworfen habe, als ich den Thread hier gelesen hatte.) Man könnte das natürlich auch weitertreiben und diese 4 mal täglich laufen lassen etc. 

Vielleicht sollten wir das mal auf gentoo.de stellen..

--ian!

----------

## Sas

Gute Idee, ian!, auch wenn ich davon glücklicherweise nicht betroffen bin.

Trotzdem würde mich mal interessieren, was das für eine - naja, sagen wir bürokratische Firma ist, in der einerseits ein Dienst aufgrund eines Sicherheitsproblems nicht mal ein oder zwei Tage stillstehen darf, man aber andererseits firewall- bzw. proxytechnisch verhindert, die Systeme auf den aktuellen Stand zu bringen. (Und Rechner nur über diesen Flaschenhals Zugang zum Netz gewährt - was ja eigentlich auch richtig ist. Dennoch bestünde bei uns in der Firma z.B. noch die Möglichkeit irgend einen Rechner vom internen Netz zu hängen und direkt über eine ISDN-Verbindung ins Internet zu kommen.)

Gruß, Sas

----------

## McPringle

 *Sas wrote:*   

> Trotzdem würde mich mal interessieren, was das für eine - naja, sagen wir bürokratische Firma ist, in der einerseits ein Dienst aufgrund eines Sicherheitsproblems nicht mal ein oder zwei Tage stillstehen darf, man aber andererseits firewall- bzw. proxytechnisch verhindert, die Systeme auf den aktuellen Stand zu bringen.

 

Das war - noch - eine relativ theoretische Frage. Unsere Linux-Server laufen mit Suse und deren Update-Server wird intern per FTP gespiegelt. Dass ich auf meinem Arbeitsplatzrechner Gentoo laufen habe, ist bekannt und auch okay. Ich habe nur das Problem mit der Synchronisierung, was an sich ja eigentlich keines ist - denn es gibt ja emerge-webrsync.

Als ich nun wegen dem OpenSSL-Bug neu synchronisiert hatte und OpenSSL updaten wollte, ging das erst nicht, da der Snapshot nicht aktuell genug war (2 Tage alt). Da stellte ich mir einige Fragen zu und dachte ich frage mal nach, warum es keine täglichen Snapshots zu geben scheint, denn ich bin bestimmt nicht der einzige, der dieses Problem hat.

Man könnte es ja so lösen, dass der Snapshot täglich erstellt wird. Bei Bedarf, also wenn eine Sicherheitsmeldung über gentoo-announce geht, könnte man den Snapshot sofort neu erstellen lassen.

cu

McPringle

----------

## Sas

Ja, das wäre natürlich durchaus sinnvoll. Und ehrlich gesagt wundert es mich sogar etwas, dass so nicht bereits verfahren wird. Aber was noch nicht ist, kann ja noch kommen  :Wink: 

Grüße,

Sas

----------

## ian!

 *McPringle wrote:*   

> Man könnte es ja so lösen, dass der Snapshot täglich erstellt wird. Bei Bedarf, also wenn eine Sicherheitsmeldung über gentoo-announce geht, könnte man den Snapshot sofort neu erstellen lassen.

 

In solchen Fällen ssh ich auf die Kiste, wo die snapshots momentan liegen und trigger das Script dann manuell an. --- Schwupps habe ich meinen Snapshot..

--ian!

----------

## McPringle

 *ian! wrote:*   

> In solchen Fällen ssh ich auf die Kiste, wo die snapshots momentan liegen und trigger das Script dann manuell an. --- Schwupps habe ich meinen Snapshot..

 

Ich glaube kaum dass gentoo.org öffentlichen SSH-Zugriff (oder wie auch immer) zuläßt...   :Wink: 

----------

## ian!

 *McPringle wrote:*   

> Ich glaube kaum dass gentoo.org öffentlichen SSH-Zugriff (oder wie auch immer) zuläßt...  

 

Wir werden das mal ausprobieren:

Ich werde gleich mal auf gentoo.de die Erzeugung von daily-snapshots einrichten. Diese werden dann 4 mal am Tag aktualisiert. Ich denke das sollte für's erste reichen.

Ich melde mich dann.

--ian!

----------

## ian!

Um 6,10,14,18 und 22 Uhr werden nun unter http://www.gentoo.de/pub/gentoo/snapshots/ frische Portage-Snapshots bereitgestellt. (Die Jobs starten um diese Zeiten. Die Snapshots sind dann jeweils einige Minuten später in dem genannten Verzeichnis zu finden.)

Die Datennamen geben Aufschluss über das Datum und Uhrzeit, wann der Snapshot gebaut wurde:

"portage-20040319-18.tar.bz2" entspricht "19.03.2004 um 18 Uhr"

Ich hoffe es ist dem einen oder anderen damit geholfen.

--ian!

----------

## McPringle

 *ian! wrote:*   

> Ich hoffe es ist dem einen oder anderen damit geholfen.

 

Danke, ian!, super!

----------

## ian!

Und weil das so noch viel mehr Spass macht, hier ein angepasstes emerge-webrsync, welches auch mit diesen stündlichen Snapshots klarkommt:

http://www.gentoo.de/pub/gentoo/snapshots/emerge-webrsync-de

Das stellt man sich am besten unter /usr/sbin/emerge-webrync-de hin.

Mit einem "emerge-webrsync-de" holt man sich dann den aktuellen Snapshot.

Have fun,

--ian!

----------

## ian!

 *ian! wrote:*   

> Um 6,10,14,18 und 22 Uhr werden nun unter http://www.gentoo.de/pub/gentoo/snapshots/ frische Portage-Snapshots bereitgestellt. (Die Jobs starten um diese Zeiten. Die Snapshots sind dann jeweils einige Minuten später in dem genannten Verzeichnis zu finden.)

 

Und nun wird auch um 2 Uhr morgens (deutscher Zeit) ein neuer Snapshot bereitgestellt. Somit wäre das dann auch international verwendbar. Die Nachfrage scheint jedenfalls vorhanden.

----------

## Wishmaster

Kann ich gut gebrauchen und klappt super! Danke!

Bye,

Wishmaster

----------

## henrynick

geht nur nicht  :Wink: 

Nee - habe auf www.gentoo.de den 'Tagestip' gesehen und mir gedacht, das klingt gut.

Also Datei unter /usr/sbin abgelegt, Rechte eingerichtet und gestartet. Ergebnis folgt:

.....

Trying portage-200503-24-00.tar.bz2

--13:48:36-- http://www.gentoo.de/pub/gentoo/snapshots/portage-20050324-00.tar.bz2

   =>'portage-20050324-00.tar.bz2'

Verbindungsaufbau zu 192.168.13.5:8080... verbunden.

Proxy Anforderung gesendet, warte auf Antwort... 302 Moved Temporarily

Platz: http://www2.gentoo.de/pub/gentoo/snapshots/portage-200502324-00.tar.bz2[folge]

   =>'portage-20050324-00.tar.bz2'

Verbindungsaufbau zu 192.168.13.5:8080.... verbunden.

Proxy Anforderung gesendet, warte auf Antwort... 404 NotFound.

--13:48:36-- FEHLER 404: Not Found

.....

Die Meldung läuft immer weiter und muß mit CTRL+C abgebrochen werden.

Ist das nun ein Fehler meines Proxys oder ist nur der Server Down?

----------

