Aktualisierung des Loxberrys

Es wurde schon mehrfach berichtet, dass ein Loxberry nicht ins öffentliche Netz gehört. Welche Sicherheitslücken meinst Du also? Ein automatisches Update wird nicht durchgeführt. Bei einer Plugininstallation wird glaube ich vorher apt-get update && apt-get upgrade ausgeführt.

Hallo svethi,

naja selbst Linux ist nicht fehlerfrei und wenn ich meinen Desktop-Ubuntu starte hat er meist ein, zwei neue Aktualisierungen für mich parat.
Mal ist der Samba-Server, mal der Kernel oder MySQL Server betroffen, Und wir wissen ja wo Ubuntu herkommt.

Soweit ich gesehen habe, gibt es aber auch ein VPN-Plugin für den Loxberry. Da muss der Loxberry zwangsläufig raus ins Internet.

Das mit dem apt-get update und upgrade wäre ja mal ein erster Schritt. Aber wie oft installiert man Plugins? Vermutlich nur bei der Ersteinrichtung und das Gerät liegt irgendwo rum.

Vielleicht ein Thema für die Doku, aber was wäre wenn man es erstmal einfach angeht und es selbst manuell von Zeit zu Zeit durchführt? Komplett automatische Updates im Hintergrund ohne dass ein Nutzer zeitnah reagieren kann gehen irgendwann mal schief. Ist denke ich besser wenn man wie bei einem Plugin Update/Installation direkt merkt, dass etwas nicht mehr geht. Ich selbst mach es manuell und reicht mir auch erstmal.
Das ist vergleichbar z.B. zu FHEM, die kümmern sich auch nicht um das Betriebsystem, was aber nicht sagt, man sollte es nicht selbst auch tun.
Allgemein sind kleine regelmäßige Updates auch viel risikoärmer, weil wenn dann irgendetwas mal nicht mehr so funktioniert wie gedacht und es an veralteten Libs o.ä. liegt, sind die großen Updates meistens viel fehleranfälliger.

Ich persönlich halte von automatischen Updates auch nichts. Wie wird denn für irgendein Programm eine neue Version ausgerollt und diese funktioniert dann nicht mehr mit der aktuellen Config etc. Eigentlich isses schon so eine Sache mit dem Update beim Plugin-Install.
Wenn man unbedingt ein Autoupdate machen möchte, kann man sich das Update ja ins Cron reinschreiben.

Die berrechtigte Sorge, dass nach einem Update bestimmte Dinge nicht mehr funktionieren könnten ist verständlich. Man muss jedoch wissen dass Debian auch auf den Serverfarmen dieser Welt eingesetzt wird und die Entwickler behutsam an den Stellschrauben der Software schrauben. Was wäre das für ein Aufschrei, wenn plötzlich bestimmte Webseiten nicht mehr funktionieren würden?

Bei Distributionen wie z.B. Arch-Linux wäre ich aber auch schon etwas vorsichtiger was die automatischen Updates angeht.

Wer die c't regelmäßig liest wird feststellen, dass die Hersteller Geräte auf den Markt bringen für die sie einmal eine Firmware entwickelt haben und sich nicht mehr um Aktualisierungen kümmern wollen. Dies geschieht meist erst durch den medialen Druck.
Ganz paradox wird es dann wenn die Hersteller Produkte entwickeln die eine Netzwerkkonnektivität ermöglichen und dann aber sagen, dass es sicherer sei den Netzwerkstecker zu ziehen.

Meinen Verständnis nach, soll die Zielgruppe für den Loxberry, der technikinteressierte Mensch sein der aber wenig vom Unterbau einer Technik wissen will.
Das "Produkt" soll einfach einzurichten sein (das ist es leibhaftig :-) ), es soll gewisse Funktionalitäten bringen die es bei Loxone von Haus aus nicht gibt und es soll seine Arbeit verrichten ohne dass man eingreifen muss.

Dieser Mensch wird sich wohl kaum jede Woche hinsetzen und schauen ob neue Updates vorhanden sind, wenn er es gerade mal mit "Mühe und Not" geschafft hat den Loxberry zu installieren. Er würde mit neuen Begriffen wie ssh oder Putty konfrontiert werden und müsste den üblichen Klickibunti Weg verlassen.
Erschwerend kommt noch hinzu, dass bei der Installation der root-User ein anderes Passwort hat (was positiv zu bewerten ist), welches leicht vergessen wird. Als normaler Loxberry-User kann ich auf der Konsole keine sudo Aufgaben erteilen und somit auch kein apt-get.

Mal aufgenommen. Soviel ich weiß, kann man bei Debian zwischen normalen und Sicherheitsupdates unterscheiden.
Ich halte es auch für notwendig.

Ich glaub bevor man System-Updates in irgendeiner Weise vereinfacht, sollte es erstmal Auto-Updates für Plugins und die Loxberry Umgebung (ohne OS) geben. Typischerweise sind diese sicherheitstechnisch sowieso viel anfälliger und müssen regelmäßiger aktualisiert werden.
Ob es das Ziel war, die deutlich größere Gruppe der nicht Linux/SSH-Kenner einen leichten Einstieg und Umgang zu ermöglichen kann ich nicht sagen. Man kann ja schon sehen, welche Hilferufe es hier im Forum zum Loxberry gibt und das kann dann für einen einzelnen End-Anwender schonmal über mehrere Tage und Wochen und duzende Tipps zur Fehlereingrenzung/behebung bedeuten.
Eher glaube ich, dass man eine Platform schaffen wollte, mit der man auch einfach die ganzen Sonderlösungen der verschiedenen Entwickler auf eine Umgebung bekommt. Ich glaube aber schon, dass man wenn man so etwas einsetzt wenigstens einen Linux-Erfahrenen in seinem Bekanntenkreis oder schonmal selbst mit einem Raspberry Pi gearbeitet haben sollte.

Der Loxberry läuft bis auf den Apache und Perl fast autark zum System selbst, so dass man es bedenkenlos aktualisieren kann. Ich hab bei mir unattended-upgrades installiert, das aktualisiert einmal pro Tag die Pakete und schickt eine Mail wenn was schief läuft.
Geht natürlich auch einfacher mit "aptitude update && aptitude upgrade" als cronjob - funktioniert genauso. Jessie als zugrunde liegende Distribution ist allerdings schon oldstable und ab kommendem Jahr wird sie in LTS überführt, so dass man dann die sourcen anpassen muss (https://wiki.debian.org/LTS).

Ich hatte das damals absichtlich nicht implementiert, da ich wollte, dass alle LoxBerries immer den gleichen (Versions-)Stand haben. Das maximiert die Kompatibilität. Beispiel: mpg123 wird aktualisiert und die neue Version ist was die Parameter angeht nicht abwärtskompatibel. An so etwas hatte ich gedacht.

Im Nachhinein ist das aber keine so gute Idee gewesen. Eventuell sogar übertrieben: Die Versionsverwaltung von Debian ist eine der Besten, die es gibt. Zudem ist das Debian-Team - was Neuerungen betrifft - sehr konservativ. Die Gefahr, dass man sich da etwas zerschiesst dürfte fast 0 sein.

Ich werde die automatische Aktualisierung als Feature-Wunsch für die nächste Version mit aufnehmen.

also ich habe schon ein Debian abgeschossen mit einem Update. Okay, nicht das System, doch ich hatte zum Test ein Icinga drauf und dieses lies sich einfach nicht mehr starten. Auch nicht durch Neuinstallation. War dann aber auch zu faul zum Suchen. Bzw. war mir die Zeit zu schade. Der Loxberry selbst mag nur auf PerlScripten im Apache basieren, doch einige der Plugins installieren weitere Pakete und da wöllte ich bei einem Autoupdate keine Gewähr geben, dass das dann alles noch problemlos läuft. Pilight ist ein fertiges Paket, bei einem normalen Update gab es über die Repository eine neue Version, die die alte Config total geschrottet hat und es nichts mehr ging. Kein Backup der alten Config nichts. Sowas kannst Du keinem Nicht-linuxer zumuten.

Also Vorsicht bei Updates ist sehr wohl geboten.
Wenn wir, wie Prof schon sagte, viel mehr Zeit hätten, wäre auch schon eine 0.4 rausgekommen und mit dieser dann auch wieder ein apt-get update && apt-get upgrade, doch rein von den vielen Wünschen hier im Forum wird es halt auch nicht fertig.