Die für mich etwas überraschende Meinung der Hersteller ist im Forum zu finden.

Könntest Du das bitte etwas präzisieren?
Hersteller = ElabNet?
Forum = hier? wenn ja wo?

Ei, ei ei, was für ein Drama..

Die Aussage ist, steht hier irgendwo, das es auf Sicht erstmal kein "dist-upgrade" geben wird. Weil das IMHO unnötig ist (oder funktioniert 1w->knx unter squeeze besser?)
Und weil das automatisch bei vielen hunderten nicht durchführbar ist..

Also, erstmal bleibt alles entspannt, mal ein paar Fakten:
- der HS z.B. läuft mit Kernel 2.4 einer Distribution die noch NIE irgendein security-update erhalten hat
- mein VDSL-Modem auch
- meine Dreambox ist mit 2.6.18-7.4 auch nicht ganz auf Stand
- die meisten Fritzboxen&Co dieser Erde auch
(das passt schon, der einzige Unterschied ist: da wird es keinem gesagt)

- es gibt hier leute die jeden Tag jede dazu relevante Security Mailing-Liste lesen
- auf den (aktuelleren) WG ist seit langem (lange vor dem release von Squeeze) der aktuelle 2.6.32 Longterm-Kernel drauf - nachdem es keinerlei handfesten Grund (ausser vielleicht die Lust nach neuen Treibern beim basteln) gibt diesen (war 2.6.26) im Feld mit viel Risiko upzudaten, wird das nur auf Wunsch manuell, gerne, gemacht.
- wenn es wirklich mal Security-Probleme gibt, das kommt so alle 2-4J mal vor, (gabs in der Lebenszeit des WG noch nicht - nur bei unsupportetem Apache/openssl) dann gibts dafür Updates.

beim Rest hat man druchaus ein Auge drauf aber das WG ist eine HA/GA Appliance die nicht ins Inet durchgeschaltet gehört, dafür gibt einen Plug&Play, hochsicheren VPN-Server mit X.509-Zertifikaten die beim Kunden mit einem HW-RNG erstellt werden.. Und sollte es da eine Lücke geben gibt es ein Update..

Ehrlich, manchmal frage ich mich, warum man sich solchen Fragen überhaupt stellen muss, nur weil man transparent&ehrlich ist

Macht man sich bei den anderen 20 Gadgets - wo man nicht erfährt welche Updates die von wem erfahren - auch so nen Kopf?
Schonmal den Handy-Hersteller, Gira, Loxone gefragt, welche Distro mit Security-Updates die verwenden und wie dort die QA diesbzgl. nach ISO9001 aussieht ?

Zurück zur initialen Frage: die Repositories werden mit dem nächsten Update auf eigene Spiegel geändert, das ist natürlich aufgefallen und schon gemacht, hatte nur nicht damit gerechnet das die Debian-Jungs so konsequent-schnellabschalten..

Makki

Darf ich dann jetzt das WG dafür auch proprietäre Grütze nennen oder muß ich dafür wirklich auf jeden einzelnen der Punkte antworten?

[Ironie]xyz macht es auch nicht besser gefällt mir dabei am besten[/Ironie]

Nö, das müssen wir nicht aufdröseln, sag mir einfach einen einzigen Bug, wegen dem das eine Rolle spielt (?!)

Wir betreiben nun ein paar Server, die meisten davon öffentlich und die laufen - guten Gewissens! - teils mit noch mit sarge (3.1) und etch (4.0)
Prinzip: never touch a running system. Das habe ich ganz besonders im Eigenheim gerne, wo ich beruflich jeden Monat auf hundert Kisten tausende Updates mit unbekanntem Ausgang installieren "darf" - oder hätte da jemand Spass dran? Bevor man die Mülltonnen rausbringt dann nochmal schnell checken, ob eines der letzten 14 Updates von gestern etwas gelötet hat?
Jungs, das mag ein Modelleisenbahn-Ersatz sein, ich lege aber Wert drauf, das es ein Stück stabiler funzt als eine Modelleisenbahn

Entscheindend ist doch das es funktioniert oder habe ich da was verpasst?

Makki

Bisher hatte ich keine Probleme, meine Debiansysteme hochzuziehen. Genau dafür ist Debian gemacht und genau das funktioniert auch. So lange man natürlich versucht mit dem klarzukommen, was Debian bietet.
Wenn man also sagt "Auf dem WG ist zwar ein Debian, aber wir supporten das nur in Standardconfig" dann ist das ok. Wenn also ein User anfängt, zig Software hinterherzuziehen, hat er genau zwei Probleme:
a) ist die Software, die er im Repo fürs WG so findet uralt
und
b) hat er nun keine Updates mehr.

Also für den WG 1Wire only Fall stimme ich zu. Ansonsten wärs schön, wenn man vl. ein aktuelles Image bekommen könnte, um das eigene WG mal hochzuziehen.

Ja, das tut es, kein Problem, wenn man die 50 Fragen beim dist-upgrade auf der Konsole richtig zu beantworten weiss
Aber nun gibt es nicht nur ctr oder grenntux, sondern auch noch 98% Anwender, die das alles nicht interessiert, die wollen -so wie ich ein funktionierendes, stabiles System ohne Ärger..

Hmm, also eibd&owfs, um mal zwei zentrale zu nennen - sind Stand heute nicht in Debian-stable - und da mangelte es nun wirklich nicht an Engagement diesseits
Also wenn wir strikt Debian machen geht das super, nur gibts dann halt weder 1-Wire noch EIB/KNX, auch blöd, oder?

Fakt, Debian als stabile und bekannte Basis, im Kern stricke ich aber seit anbeginn den Klebstoff selber zusammen..

Es wurde da noch keiner alleine gelassen, von 50 Backports (die wir dann jeweils tracken müssen!)

Und? was ist da alt? Was funktioniert nicht? welchen Grund gibt es auf was-auch-immer Upzudaten?
Wenn ich jeden Server updaten würde, nur weil es eine neue Version gibt dann ist man den ganzen Tag nur noch damit beschäftigt, Updates zu installieren; will man das?
Also zumindest ich habe auch andere Hobbys

Der Punkt ist, es wäre doppelter Aufwand, zwei Distros zu pflegen, wer zahlt das? - und für was ist es gut? Die Milliardengewinne vom WG jedenfalls nicht..
Den Wunsch kann ich verstehen, Vielleicht kommt das mal irgendwann.

Bis dahin gibts aber ca. 100 wichtigere & dringendere Probleme, als ohne jegliche Not einen dist-upgarde zu machen.. owfs ist jetzt in unstable, man kann sich ja mal den Spass machen und da 4 BM mit 20 Sensoren anstecken )

Makki

Hallo
Kann man schon erfahren wann das geschieht.
Hatte vor ein paar Tagen auch schon mal ein apt-get update gemacht. weil ich was gesucht habe, habe mich auch gewundert über das schnelle abschalten.

Ich verschmerze beim Debian Lenny hauptsächlich ein paar Sachen die nicht mehr so aktuell sind. z.B. PHP5.3 und SQLite3 für PHP.
Aber da muss ich mich wohl mit abfinden das ich vor 5 Monaten ein altes System gekauft habe.

Gruß NetFritz

Bei der Ur-WG-Applicance sollten keine 50 Fragen auftregen beim Upgrade. Wenn nur die SW drauf ist, die man für das WG benötigt...

Ich stimme ja zu, das eibd und owfs erhöhten Pflegeaufwand bedürfen. Aber niemand hat gesagt, das OSS immer preisgünstig sein muss. In diesem Fall ist es vermutlich nicht so, weil leider die Qualität von owfs nicht so dolle ist. Daher müsste das WG realisitisch vermutlich etwsa teurer sein...

Wir haben in der Firma auch zwei Entwickler, die unseren Code an Kernel, Xorg und Strongswan upstream bringen. Die kosten Geld, wir sparen aber den Streß beim nächsten Kernel/Xorg/strongswan Update. Alles immer eine Betrachtungsweise.

Aber gut, es gibt nach Einzug ja auch einen Sack anderer Sachen zu tun

Klar, ist noch nicht mit allen Feldvarianten durchgetestet aber sieht so aus:

(sollte ungefährlich sein, wenn man weiss was man tut, was anderes wird das PL30 auch nicht machen)

Das Thema hatten wir doch schon, für was man das noch gleich zum überleben braucht.. Ich mein ich finds auch blöd, das das Stromsparen fürs letzte Nvidia-Gimmick nicht im Ubuntu-Kernel drin ist;
Da gibts nun zwei Möglichkeiten:
- ich mache mir meine eigene Distro
- ich lebe damit, weil ich andere Hobbys habe

Es wird immer ein Grund zu finden sein, warum x.y "zu alt" ist; die Prio liegt hier aber auf Stabilität, nicht auf "latest-beta". Es gibt in 3J keinen einzigen Fall - unter hunderten - wo man erwiesenermassen den HW-Watchdog gebraucht hätte. Das ist mir halt wichtiger, als PHP5.3 mit SQLite3, nur so am Rande..

Ich liebe solche Spitzen, könnte von mir sein, daher muss ich wohl damit leben das man bei einem Problem damit eben einen der anderen 400 Anbieter von Appliances für GA/HA mit root-Zugang auf Basis Squeeze nimmt

Und wenns nur 2 sind, wer beantwortet diese im Feld?
Rechnen wir mal kurz durch, wieviele Techniker man 365 Tage im Jahr mit dem Erlös von 1000 WG beschäftigen kann? Lieber nicht..

Also fassen wir das nochmal zusammen:
- wir haben Debian ganz bewusst als Basis* gewählt, damals eben das stable, damit es der Endanwender einfach hat, auch tausende andere Sachen (z.B. PHP war so nicht auf dem Plan) zu nutzen.
*unverfälscht, keine Sonderlocken mit Overlay/tmpfs, read-only Partitionen, .. (deswegen habe ich mich gegen voyage entschieden!), .. auch ganz bewusst

Und das soll ich mir jetzt vorwerfen lassen? das auf einem für 1-Wire->KNX gemachten GW für 300€ nicht binnen 4 Wochen die latest&greatest SW Plug&Play läuft? echt nicht..

Nun, ich glaube nicht mir da was vorwerfen zu können, irgendwas nicht upstream geliefert zu haben
Es ist halt nur so, das das oft (zu lange) dauert, der Markt will Lösungen, meine Aufgabe ist hier eben eher zu vermitteln und moderieren; Mal ganz ehrlich, wieviele hätten heute den (tollen!) eibd auf 10 Plattformen am laufen?!

Makki

Hat sich generell etwas an der Planung geändert?

Ich kann mir vorstellen, die Community hier wäre durchaus bereit, sich an der nötigen Arbeit zu beteiligen. Ich persönlich würde vorschlagen von Debian auf Ubuntu Server LTS umzuschwenken (z.B. 14.04). Bei einem Support-Zeitraum von fünf Jahren (im Gegensatz zu den ca. drei Jahren bei Debian) verringern sich die Probleme durch EoL/EoS.

Falls es noch an Gründen fehlt, warum ein Update früher oder später notwendig wird, können wir hier sicher auch mal etwas zusammenstellen (neben den bereits geäußerten Punkten wie security updates und Notwendigkeit für neuere Pakete wie z.B. PHP 5.3)...

Ich kann ja eure (ElabNet, Makki und StefanW) bisherige Argumentation zum Kosten/Nutzen einer solchen Übung durchaus verstehen, allerdings ist doch wohl auch klar, dass der "typische" WG Benutzer etwas mehr vom WG erwartet oder sich genau deswegen für das WG entschieden hat, *weil* es mehr kann als ein OneWire/KNX-Gateway. Das man mit so einem alten System wie Lenny an Grenzen stösst ist aber normal und die Probleme mit alten bzw. nicht verfügbaren Paketen werden ja in Zukunft zunehmen und nicht abnehmen.

Ich hatte jetzt zum Beispiel Probleme einige Tools aus den Quellen (!) zu kompilieren, weil die Makefile-Generierung ein neueres autoconf braucht als für Lenny verfügbar ist.

Als nächstes sage ich hervor, dass es Probleme mit der CV geben wird, am Horizont sind bereits sichtbar:
- rsslog (sqlite2 vs. sqlite3 performance, erfordert PHP 5.3)
- svn (das alte subversion auf dem WG https://knx-user-forum.de/323055-post14.html )

Ich kann die bisherige Argumentation bzgl. Kosten/Nutzen bzw. Stabilität auch nur bedingt nachvollziehen. Die Wiregate Community wäre sicherlich bereit hier tatkräftig zu unterstützen.

Interessant fänd ich daher, wenn man zwischen wiregate-stable und wiregate-testing (oder -devel) unterscheiden würde. In einem -testing repository würde man neue Pakete verwenden, die erfahrene Nutzer testen können. Erst nach Verifizierung der Stabilität bekommt das -stable repository die neuen Pakete. In einem solchen Modell könnte man auch das Upgrade auf ein neueres debian ermöglichen.

Aber wenn man sieht wie lange es braucht, bis vorgeschlagene Verbesserungen der Community (mit vollständigen Patches) Einzug in ein Update halten, muss man sich glaube ich keine große Hoffnung machen, dass das Wiregate nochmals eine modernere Basis bekommt.

Ich verstehe die versierten Linuxer unter euch, die gerne eine neue Distro hätten, damit man noch mehr Möglichkeiten zum basteln hat. Aber man muss auch ElabNet verstehen... Auf 100 WG Nutzer die wie ich reine Anwender sind, und denen der OS Stand egal ist, solange das WG das tut, was es soll, kommen 1-2 power User und Profis die mehr wollen.

Bei 1000 WG wäre also die Anzahl der User die das wirklich brauchen bei ca. 20... Da müsste ich mir als Hersteller auch schwer überlegen ob sich der Aufwand lohnt. Zumal ja niemand für die Kosten aufkommen möchte. Oder stellt sich einer der 20 die eine neue Distro wollen zur Verfügung die Kosten zu tragen?

Das System ist offen. Wenn es wirklich so eine Kleinigkeit wäre... Wiso macht ihr Profis das dann nicht eifach selber auf eurem WG? Wahrscheinlich, weil der Aufwand durch gewisse Abhängigkeiten doch grösser ist, als hier genannt wird...

Ich fänd es abgesehen davon auch toll, wenn es ein neues Distro gäbe. Da ich es aber eigentlich nicht wirklich brauche (es läuft ja alles wie es soll), kann ich auch sehr gut ohne den Luxus leben.

Klar kommen dann immer wieder die Argumente der fehlenden Sicherheits-Patch... Das ist eines der ganz wehnigen Argumente die nicht nur die Power-User und Profis betrifft. Aber auch da...

Wer sein WG oder client direkt ungeschützt in die DMZ stellt, ist selber schuld, wenn es gehackt wird. Netzwerk- und Systemsicherheit hängt nicht nur von der Aktualität des BS ab. Und solange keine gravierende Sicherheitsrisiken bestehen, gäbe es ganz andere Punkte bei denen man die Sicherheit erhöhen könnte... (Kein IPv6, möglichst kein Portforwarding in der HW Firewall (IPv4), selber keine Sicherheitslöcher als Root im BS einbauen (z.B. Schreibrechte Webserver auf Systemverzeichnisse), Aktuelle Sicherheitssoftware auf allen Rechner im LAN, root PW des WG nicht auf einem Rechner speichern, sichere WLAN Verschlüsselung mit sicherem PW usw...

Getreu dem Motto... "Selbst der beste Sichereitspatch bringt nichts wenn das Root PW auf einem gehackten Client eingegeben wird". Und selbst wenn es jemandschaffen würde mein "total veraltetes WG" zu hacken... Was bringt das dem Angreifer? Er kann das Licht ein-/ausschalten und dieTemperaturwerte ablesen... Sehr tragisch... Und sollte ich feststellen dass jemand mit meinem WG mein KNX manipuliert habe ich den Stecker schnell gezogen. Dann würde ichmiraber auch ernsthaft gedanken darüber machen, was ich bei der Sicherheit meines Netzwerk falsch gemacht habe.

Solange man auf einem BS nichts installiert, nicht surft und das System auch nicht aus dem Internet direkt angreiffbar ist, braucht es auch nicht zwingend immer die neusten Sicherheitspatch.

Da die "1-2 Poweruser pro 100 User" aber auch die Plugins und die Weiterentwicklung der CV vorantreiben und dies ohne ein halbwegs aktuelles System irgendwann nicht mehr möglich ist, sollten die User sich überlegen ob sie vielleicht auch ein Interesse daran haben. Wenn nicht, kann es nämlich passieren, dass die Poweruser sich anderen Plattformen zuwenden und sich dann gar nichts mehr bewegt...

Zum Sicherheitsaspekt: Hier spielen durchaus auch die Komponenten eine Rolle die per explizit geplanter Funktion des Wiregates in Richtung Internet publiziert werden sollen (z.B. OpenVPN). Wenn es nun die nächste Schwachstelle in OpenVPN oder ggf. einer der dort verwendeten Libraries wie OpenSSL, libcrypto usw gibt, dann ist man u.U. gar nicht in der Lage schnell (oder gar überhaupt) eine nicht verwundbare Version bereitzustellen, weil der Support für die auf dem WG laufenden Versionen längst ausgelaufen ist.

Das Thema "was bringt es einem Angreifer" diskutiere ich nicht ernsthaft, vielleicht mal nur drei Stichworte:
- KNX bietet *keinerlei* Sicherheitsfunktionen. Wer auf dem Bus ist, hat die Kontrolle. Das Schreiben von Daten in nicht dafür vorgesehene Bereiche kann ein KNX-Gerät zum "Briefbeschwerer" machen. (Die Wahrscheinlichkeit, dass ein "potentieller Angreifer" dies auch auszunutzen weiß ist zugegeben gering.)
- Das Wiregate steht üblicherweise im Heimnetz, wer erstmal auf dem Gerät ist hat also potentiell noch Zugriffe auf andere Geräte im Heimnetz, die überhaupt gar nicht aus dem Internet erreichbar wären
- im einfachsten Fall wird man "nur" zur Spamschleuder oder DDoS-Bot