Переход с lenny на testing без ущерба для безопасности
Имеется система, в которой закриптована часть физ. разделов + имеются несколько заторенных юзеров.
На что обратить внимание при миграции в плане сохранения существующих настроек, включая недопущение деанонимизации, потери данных на криптованных разделах и т.п.?
И, в частности, следует ли сохранить какие-то пакеты из lenny, например, iceweasel, особенно в контексте обсуждений об угрозе анонимности со стороны последних версий лисы.
В олдстейбл (как непривычно так называть ленни!!!) у меня версия 3.0.6, в стейбл уже 3.5.16.
комментариев: 9796 документов: 488 редакций: 5664
Так ведь и Squeeze уже не testing.
В первую очередь настройки polipo/privoxy/tor, tor подключать из репозиториев (как правильно это слово?) только с оффсайта, а не из дистра.
Затем настройки iptables (что там могли добавить/порушить). Выверить работу всех прог сниффером (wireshark). Если используется SeLinux (какой-же он в Debian кривой!) пересобрать юзерские модули и посмотреть, что появилось в готовых.
Категорически нет. Лишаетесь security-апдейтов, плюс получаете потенциальную несоместимость новых версий torbutton. Разработка Tor в основном итак ведётся под Debian, так что про основные проблемы Iceweasel там должны быть в курсе. Если что-то не исправлено, то присоединяйтесь к их команде. Пытаться остаться на старом будет заведомо хуже — если даже они не успевают затыкать все багоносные фичи iceweasel/firefox. Или посидите на всей олдстабле-системе полгодика, пока что-нибудь не утрясётся.
Главное: сделать полный бэкап. Чисто гипотетически, что-то криво соберётся в рамдиске и конструкция из криптованых томов не распознается как нужно. Вроде бы это был критикал-баг ещё на стадии релиза. Вдруг не пофиксили на некоторых конфигурациях? Правда всё можно разрулить, когда скрипт вываливается в шелл и не может найти диски. Запишите live-cd ещё, чтобы из старой системы что-то доставать.
Кстати, некоторое время назад у меня была проблема с очередным обновлением tor – сначала новая версия установилась из реп тора, а потом, на след. день – та же установилась из дистра (у нее типа лишняя цифирка в номере была!).
Как правильно записать в preferences, чтобы ставилось из репов тора, сколько не читал man'ы, я так и не понял, и никто мне не подсказал ни на дебиановских ресурсах, ни в рассылке Tor.
Вот с этим критикал-баг, по-видимому, я столкнулся на нетбуке, установив туда testing полгода назад, где-то я тут писал об этом...
комментариев: 9796 документов: 488 редакций: 5664
Удалить Tor из дистра (или вообще удалить всё с настройками aptitude --purge tor), в source-list прописать адрес из torproject.org, поставить заново с нуля оттуда, настроить. По идее больше не должно лезть в репы дистра.
А почему ему pin-priority выставился -1?! И как правильно прописать в preferences, чтобы он был правильный? Из манов, не понимаю, если честно.
Сейчас у меня выглядит так:
(Это я поменял после того, как squeeze стал stable, до этого там было немного по другому. Но я не понимаю как в данном случае задать приоритет для установки конкретного пакета из конкретной репы и неустановки его из реп дистра)
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
В /etc/apt/sources.list добавить:
Вам соответственно стоит явно вписать squeeze.
После чего: или тоже с aptitude.
Вроде всё. Что такое /etc/apt/preferences ничего не могу сказать, поскольку пока-что никогда такого файла не видел и без него всё работало (в Lenny).
комментариев: 9796 документов: 488 редакций: 5664
... из torproject.org в любом случае, но оставить торпроджектовскую версию для lenny. Когда будете переходить на squeeze, то соответственно поменять на торпроджектовскую версию для squeeze.
комментариев: 9796 документов: 488 редакций: 5664
Вот это ещё полезно почитать или вообще всё и в частности про браузеры.
Или, даже скорее – система по названию версий решила, что пакет в репах дебиана новее, чем в репах торпроджекта (потому что раньше такого не было).
Сейчас так записал:
– не помогает. Выставлял Pin-Priority и больше 1001 – чтобы мог "откатиться" на более раннюю версию, если по названию он считает версию в репах торпроекта "ранней", бесползено.
P.S. Спасибо за рекомендации.
Но ведь при последующих обновлениях по aptitude update / aptitude safe-upgrade опять будет пытаться обновить до дистровской!!!
Надо что-то делать, а как правильно прописать в preferences – не знаю.
Не понял, с таким пин-приорити не хотел автоматически "даунгрейдиться" до версии tor из репов торпроджекта, но после автоматической установки оттуда при автоматическом обновлении написал, что tor оставлен необновленным.
Т.е. работает! Остается, видимо, запостить багу в aptitude, почему она "видит" тот же пакет из разных репов как разные версии, одну более новой (из реп дебиана), другую более старой?