Переход с lenny на testing без ущерба для безопасности

Только рекомендации общего плана. Почитайте ещё доки по миграции системы на офсайте.
Так ведь и Squeeze уже не testing.
В первую очередь настройки polipo/privoxy/tor, tor подключать из репозиториев (как правильно это слово?) только с оффсайта, а не из дистра.

Затем настройки iptables (что там могли добавить/порушить). Выверить работу всех прог сниффером (wireshark). Если используется SeLinux (какой-же он в Debian кривой!) пересобрать юзерские модули и посмотреть, что появилось в готовых.

Категорически нет. Лишаетесь security-апдейтов, плюс получаете потенциальную несоместимость новых версий torbutton. Разработка Tor в основном итак ведётся под Debian, так что про основные проблемы Iceweasel там должны быть в курсе. Если что-то не исправлено, то присоединяйтесь к их команде. Пытаться остаться на старом будет заведомо хуже — если даже они не успевают затыкать все багоносные фичи iceweasel/firefox. Или посидите на всей олдстабле-системе полгодика, пока что-нибудь не утрясётся.

Главное: сделать полный бэкап. Чисто гипотетически, что-то криво соберётся в рамдиске и конструкция из криптованых томов не распознается как нужно. Вроде бы это был критикал-баг ещё на стадии релиза. Вдруг не пофиксили на некоторых конфигурациях? Правда всё можно разрулить, когда скрипт вываливается в шелл и не может найти диски. Запишите live-cd ещё, чтобы из старой системы что-то доставать.

В первую очередь настройки polipo/privoxy/tor, tor подключать из репозиториев (как правильно это слово?) только с оффсайта, а не из дистра.

Кстати, некоторое время назад у меня была проблема с очередным обновлением tor – сначала новая версия установилась из реп тора, а потом, на след. день – та же установилась из дистра (у нее типа лишняя цифирка в номере была!).
Как правильно записать в preferences, чтобы ставилось из репов тора, сколько не читал man'ы, я так и не понял, и никто мне не подсказал ни на дебиановских ресурсах, ни в рассылке Tor.

Вроде бы это был критикал-баг ещё на стадии релиза. Вдруг не пофиксили на некоторых конфигурациях?

Вот с этим критикал-баг, по-видимому, я столкнулся на нетбуке, установив туда testing полгода назад, где-то я тут писал об этом...

Удалить Tor из дистра (или вообще удалить всё с настройками aptitude --purge tor), в source-list прописать адрес из torproject.org, поставить заново с нуля оттуда, настроить. По идее больше не должно лезть в репы дистра.

Что-то вообще не могу понять:
apt-cache policy tor tor: Установлен: 0.2.1.29-1~lenny+1 Кандидат: 0.2.1.29-1~lenny+1 Таблица версий: 0.2.1.29-1 0 -1 http://ftp.debian.org squeeze/main Packages *** 0.2.1.29-1~lenny+1 0 500 http://ftp.debian.org lenny/main Packages 990 http://security.debian.org lenny/updates/main Packages 100 /var/lib/dpkg/status 0.2.1.29-1~~lenny+1 0 -1 http://deb.torproject.org lenny/main Packages 0.2.1.26-6~bpo50+1 0 200 http://backports.debian.org lenny-backports/main Packages 0.2.1.26-1~lennyvolatile2 0 -1 http://volatile.debian.org lenny/volatile/main Packages

А почему ему pin-priority выставился -1?! И как правильно прописать в preferences, чтобы он был правильный? Из манов, не понимаю, если честно.

Сейчас у меня выглядит так:
cat /etc/apt/preferences Package: * Pin: release a=testing Pin-Priority: -1 Package: * Pin: release a=stable Pin-Priority: -1 Package: somepackage Pin: release a=stable Pin-Priority: 800 Package: * Pin: release a=lenny-backports Pin-Priority: 200

(Это я поменял после того, как squeeze стал stable, до этого там было немного по другому. Но я не понимаю как в данном случае задать приоритет для установки конкретного пакета из конкретной репы и неустановки его из реп дистра)

А не выдавало ошибки, что не может соединиться с торпрожектом? И тогда по таймауту переходит на репы дистра (только предположение, может такое и невозможно).

Здесь смотрите. И указывайте в конфигах явное название "squeeze", "lenny" вместо "oldstable/stable/testing"

в lenny так:
gpg --keyserver keys.gnupg.net --recv 0x886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

В /etc/apt/sources.list добавить:
deb http://deb.torproject.org/torproject.org lenny main deb-src http://deb.torproject.org/torproject.org lenny main
Вам соответственно стоит явно вписать squeeze.

После чего: apt-get update ; apt-get install tor tor-geoipdb или тоже с aptitude.

Вроде всё. Что такое /etc/apt/preferences ничего не могу сказать, поскольку пока-что никогда такого файла не видел и без него всё работало (в Lenny).

unknown, т.е. если какое-то время еще повисеть на lenny, tor стоит ставить из sqeeze?

если какое-то время еще повисеть на lenny, tor стоит ставить

... из torproject.org в любом случае, но оставить торпроджектовскую версию для lenny. Когда будете переходить на squeeze, то соответственно поменять на торпроджектовскую версию для squeeze.

Вот это ещё полезно почитать или вообще всё и в частности про браузеры.

Unknown, все-таки, без /etc/apt/preferences не получается сделать приоритет. У меня "смешанная система", точнее один пакет из сквиза стоит, видимо, какие-то записи в этом файле приводят к такому результату, какие – не пойму.
Или, даже скорее – система по названию версий решила, что пакет в репах дебиана новее, чем в репах торпроджекта (потому что раньше такого не было).
Сейчас так записал:
Package: tor Pin: release o=deb.torproject.org lenny main Pin-Priority: 999
– не помогает. Выставлял Pin-Priority и больше 1001 – чтобы мог "откатиться" на более раннюю версию, если по названию он считает версию в репах торпроекта "ранней", бесползено.
P.S. Спасибо за рекомендации.

Блин, вот сейчас установил из торпроекта версию через псевдографический интерфейс aptitude, так он прямо спросил – "заменить ли на более старую версию?". Хотя она не более старая версия, а та же версия, но из рептов торпроджекта (в названии у нее две ~, а не одна, как в дистре дебиана).
Но ведь при последующих обновлениях по aptitude update / aptitude safe-upgrade опять будет пытаться обновить до дистровской!!!
Надо что-то делать, а как правильно прописать в preferences – не знаю.

Package: tor Pin: release o=deb.torproject.org lenny main Pin-Priority: 1001

Не понял, с таким пин-приорити не хотел автоматически "даунгрейдиться" до версии tor из репов торпроджекта, но после автоматической установки оттуда при автоматическом обновлении написал, что tor оставлен необновленным.
Т.е. работает! Остается, видимо, запостить багу в aptitude, почему она "видит" тот же пакет из разных репов как разные версии, одну более новой (из реп дебиана), другую более старой?