Distro repo vs gyártói - Ki mit preferál?

Linux-haladó

Sziasztok!

 

Megint egy közvéleménykutatás jellegű kérdés. :)

 

Ki mit preferál ha fol kell raknia egy appot:

- Ami csomag az aktualisan használt Distro repojaban van.

- A Szoftver saját (Az adott repohoz tartozo, distro verziora megegyezo) csomagjat?

 

Egyebek most nem opciok (forrasbol epites, AUR, stb...), illetve nyilvan csak azokra a csomagokra vontkozik a keres, amik megvannak a distro repoban is.

 

Titkos C opcio meg, a Distro sajat specifikus repoja, pl OpenSUSE eseteben a "repositories" tarolok: https://download.opensuse.org/repositories/ (nem is tudom mas Distronak van-e ilyenje)

 

En, mivel OpenSUSE-zok, a C-t preferalom.

  • 585 megtekintés

( Mik v | 2024. 09. 25., sze – 15:43 )

Általában a distro repot szoktam, de mióta a Firefox snap-ként akar települni azóta a Firefox esetében a Firefox deb repo az alapértelmezett.

Illetve lehetnek kivételek, ha pl a deb csomag kicsit régebbi és valamirért kell a frisebb és a gyártónál elérhető.

rpm-re is ez a logika

( zrubi v | 2024. 09. 25., sze – 15:47 )

hát ez attól függ:

- by default a distro saját repóját (hogy minimalizáljam a 'bizalmi kört')

- ha a saját repóban lévő cuccok nagyon le vannak maradva - és ez problémát okoz - akkor a gyártó/developer saját repóját.

zrubi.hu

hát, igen ez a téma elég messzire vezethet :)

De lássuk:

a distro repóban ugye kérdés nélkül megbízol, ezt talán nem kell magyarázni. :)

viszont ez nem azt jelenti, hogy a benne találhaó programokban is vakon bízol... és nem is kell.

miért?

Mert a disztó (csomag karbantartó) 'csak' a 'csomagolást' adja. És ez a leg kritikusabb, ugyanis egy update során a csomagkezelő, és az általa meghívott scriptek futnak - root jogokkal! De a program maga - amit az eredeti fejlesztő készített - az (várhatóan) nem!

Szóval, ha egy csomag (és/vagy annak scriptjei) kompromittált - vagy csak szarul megírt, az beláthatatlan károkat (teljes kompromittáció) tud okozni a rendszereden.

Egy alkalmazás  - jó esetben - csak normál userként fog majd elindulni, tehát kevesebb kárt is tud okozni. Ráadásul az sem elég, ha csak feltelepíted, el is kell indítani! Ami - ismét csak jó esetben - manuális beavatkozást igényel részedről.

(ezért is aggályos pl a debian működése: hogy bármit amit telepítesz azt azonnal el is indít)

persze, vannak olyan progamok amit eleve root-ként (és /vagy service-ként) futnak, de ezek esetében elvárható lenne hogy különös figyelmet/ellenőrzést kapjanak a disztó karbantartóitól...

 

Ezt a logikát követve belátható, hogy egy (bármilyen 3rd party) repó hozzáádása a rendszerhez teljes bizalmat igényel a karbantartója felé - attól függetlenül, hogy milyen alkalmazásokat terjeszt benne.

Sőt, egy extra repó-ból könnyedén felül lehet írni a distró által biztosított - és általad megbízhatónak ítélt - programokat (akár fő rendszer komponenseket is!) is. Mert a repó tartalma bármi lehet, neked afelett (sajnos) nincs kontrolod.

 

szerintem.

zrubi.hu

koszi, igy ertheto.

mondjuk az egy kicsit meglepett h azt irod h disztro repoban kerdes nelkul megbizol. ket fele disztro van: amelyikinek mar legalabb egyszer kompromitalodott a repoja es amelyiknek kompromitalodni fog. ;)

nekem a masik ketelyem a 'csak a csomagolast' adja resz.

a nem rolling release, lts disztrok tovabb supportalnak egy-egy alkalmazas  adott verziojat, mint az eredeti alkalmazas verzio eletciklusa, ilyenkor bugfix backport kell feature backport nelkul. ahol sokkal konnyebben bekerulhetnek hibak mint egy automatikus ujracsomagolasnal.

es ezek mar disztro specifikussak amik csak a disztro qa-n mennek keresztul.

egy kicsit meglepett h azt irod h disztro repoban kerdes nelkul megbizol

Miért, van más választásod? :)

kb ez kellene hogy legyen (hogy megbízol-e a 'gyártóban') az egyik legfontosabb szempont, amikor az ember disztribúciót/oprendszert választ... Nem pedig a default háttérkép  ;)

 

Az életciklus, és a backportolás (megléte és minősége) a másik fontos szempont - és mint majd minden - ez is szubjektív.

 

szerintem.

zrubi.hu

Ha pl. letöltöd a Firefox tar.gz programját, akkor saját kezűleg csomagolod ki root jogokkal, viszont amikor elindítod, az már nem root joggal fog futni, tehát ebből a szempontból nincs különbség (maximum annyi, hogy neked pontosabban kell tudnod, hogy mit csinálsz, mint a csomagkezelő script esetében). Gond akkor van, ha a mostanság divatos webről letöltendő scriptet küldöd be a shellbe (curl valami | sh), és az végzi a telepítést, illetve ha egybecsomagolt script+install anyagot telepítesz.

Úgyhogy én a válaszodat kétfelé bontanám, egy tar.gz-ben lévő csomag (adott esetben akár userként is ki lehet bontani és 'telepíteni') teljesen más megbízhatósági szint, mint amikor a gyártó ad egy telepítő scriptet, amit mindenképpen rootként kell futtatni.

Egyébként Debian esetében sem fut minden automatikusan azonnal, még daemonok sem, más meg eleve nem, bár ez kicsit mellékszál.

A 3rd party repo más kérdés, az ebből a szempontból az egyik legrosszabb, Ubuntu userek mindenféle webes fórumok alapján hajlamosak voltak ezerféle ppa-t feltenni, aztán bogozd ki, hogy mi miatt szar :) (bár Debian és származékai esetén tudod korlátozni, hogy mi települjön a 3rd party repoból, és mi nem, de ez már advanced usage)

( uzsolt v | 2024. 09. 25., sze – 16:07 )

Szinte mindig a saját repo, csak a TeXLive-hoz használom a tlmgr-t, mert a texmf-fa kb. évente frissül csak.

( kroozo v | 2024. 09. 25., sze – 18:30 )

Szerkesztve: 2024. 09. 25., sze – 18:31

Kicsit depends on, de nagy általánosságban ha nincs vele valami fájdalom, akkor saját repó.

A fájdalom kb, hogy muszáj a frissebb vmi komponensből (bár ez nem szeretem, akkor az alap nem az igazi), kifejezetten szeretnék up-to-datet használni, és lényegesen gyorsabban fejlődik, mint a distró életciklusa (néha desktop izéknél előfordul), inkább az upstream után mennék (úgyis az a szolgáttatás van csak kb),  vagy kurvára fos és vagy elhanyagolt a csomagolt (ez is néha előfordul). Egyébként az, hogy ilyenkor a szoftver saját repoja, vagy flatpack/appimage, az függ attól is, hogy az adott szoftról elhiszem, hogy nem kő tufa a csomagoláshoz. Ha igen, akkor inkább az utóbbi kettő.

Illetve van még az, amikor libeket inkább trackeljük magunk az upstreamből.

( Balzamon | 2024. 09. 27., p – 08:43 )

Ezt én úgy fogalmaznám meg, hogy igyekszem a legjobb megoldást használni.

Ha nem számít a verzió: distro repo

Ha számít a verzió akkor elsőkörben snap(pl: LibreOffice), ha az valamiért nem jó flatpak(VLC, Poedit)/gyártó megoldása(Calibre,VScode). Ez mindig az adott programtól függ.

Összesen van kb. 10 program, aminél külön figyelnem kell.