Vlákno názorů k článku
Linux Mint zjistil, že spousta uživatelů neaktualizuje od Jiří Eischmann - Asi mě tu lidi sežerou, ale myslím si,...

Asi mě tu lidi sežerou, ale myslím si, že o toto by se uživatel na běžném počítači starat neměl. Systém pro běžné uživatele, který to od nich vyžaduje, se takovým výsledkům nemůže divit.

Běžní uživatelé se o to sami od sebe starat nechtějí. Vidím to u těch, kterým jsem instaloval Fedoru. I když jsou aktualizace na několik kliknutí a jsou k nim vybízení upozorněními, většina z nich prostě neaktualizuje. Nevidí tu potřebu. Oni ten počítač chtějí používat a on funguje, tak proč řešit nějaké aktualizace? A bezpečnost? Ještě mě nikdo nikdy nehacknul a stejně co by si na mě vzal? Většinou se ozvou, až jim něco přestane fungovat. Moje máti třeba, když se nemohla přihlásit do internetového bankovnictví, protože měla několik verzí starý Firefox.

Proto takovýmto lidem už instaluju Silverblue a aplikace ve Flatpaku. Aplikace se aktualizují automaticky na pozadí, novou verzi mají s jejím dalším otevřením. Aktualizované obrazy systému se stahují taky automaticky na pozadí a dostanou se do nich s dalším zapnutím počítače. Tím, že jsou to atomické operace, je to celkem nerozbitné (spouštět jim automaticky na pozadí RPM transaci si fakt nelajznu) a takto automatizované to je jediné, co pro ně opravdu funguje.

Lidi jsou naštvaní na Microsoft za vynucování aktualizací ve Windows, ale důvod je stejný: lidi to sami od sebe nedělají. Akorát to tedy nedělají moc elegantně a AFAIK tam není alternativní řešení pro ty, kteří chtějí mít věci pod kontrolou.

Už jsem taky potkal Ubuntu s přidaným aktualizačním skriptem při vypínání počítače.

U toho se akorát bojím toho, že pokud tam nebude nějaká obrazovka, tak si lidi řeknou "to se nějak dlouho vypíná", pomůžu tomu tlačítkem a neštěstí je na světě.
V klasické Fedora Workstation lze taky instalovat aktualizace při vypnutí systému, jen to musí člověk zatrhnout ve vypínacím dialogu. A stejně to lidi nedělají. Kdyby tam ale ta volba nebyla a instalovalo se to stůj co stůj, tak máme to, co lidi nenávidí na Windows.
U Silverblue je výhoda v tom, že ty aktualizace systému neznamenají žádné zpoždění, prostě se jen nabootuje do nového obrazu. To samé u upgradů systému. Žádné rozbalování balíčků, žádné kopírování souborů atd.

Na Windows ľudia nemajú principiálne problém s automatickým update ako takým, ale:

1. automatickým update, ktorý nejde vypnúť (ten rozdiel je v"nejde vypnúť"),
2. to, že updater je pomalý a zaťažuje počítač po dlhý čas,
3. to, že nútenie do rebootu je obťažujúce a zvyčajne v nevhodný čas,
4. je tam nenulová šanca, že update niečo rozbije - podobne, ako vy si netrúfnete spustiť rpm transakciu, Microsoft ten updater spustil...
5. súčasťou problému je, že aj bezpečnostné aktualizácie vo svete Windows nie sú len bezpečnostné aktualizácie - svojho času, keď som tretíkrát zakázal stiahnuť a inštalovať GWX medzi bezpečnostnými aktualizáciami som si povedal, že na toto som už starý a kúpil si Mac.

Z mojich skúseností update na Linuxe, či už dnf alebo apt, trpí len problémom č. 4. Okrem toho updaty cez Gnome Software trpia tým, že to vôbec nefunguje ;).

bez přezdívky, 23:08: To jste si ale popletl. Tyhle problémy nemají lidé na Windows, ale na nějakém jiném systému (pravděpodobně na nějakém vymyšleném).

Nenulová šance, že update něco rozbije, je všude. Ovšem porovnáváte to se situací, kdy se update nenainstaluje – a tam je 100% šance, že je něco rozbité (pro to se ten update vydává).

Rozlišovat aktualizace striktně na bezpečnostní a obyčejné zvládnou akorát lidé, kteří bezpečnosti softwaru nerozumí. Ve skutečnosti je to škála, na které můžete odhadovat, o jak velké bezpečnostní riziko se jedná.

V Linuxu je těžké něco nařizovat. Minimálně by ve výchozím stavu měly být zapnuté bezpečnostní aktualizace. Taky nadávám na zlý microsoft, že updaty vynucuje, ale ono to s uživateli možná jinak nejde. Dál by se chtělo říct, že to je zodpovědnost každého uživatele, ale ono to i poškozuje pověst softwaru. Novinky a opravy se prostě nedostanou ven.

Ja jsem automaticke instalace vyresil tak ze jsem si napsal jednoduchy skript, ktery udela tri kroky :
- Zkontroluje si zda je systemovy oddil pripojeny pro zapis
- Zkontroluje si zda je pristupny internet
- Pokud jsou obe vyse zminene podminky true spusti aptitude safe-update a jeho vystup se zapise do systemoveho logu.
Tento skript potom pri startu spusti systemd. Jednoduche, bezproblemove* a funkcni a nepotrebuji nicim nahrazovat distribucni baliky. Uzivatel si ani nevsimne, ze behem startu systemu probehla aktualizace systemu a kdyby se neco pokazilo, mam k dispozici logy nejaky tri tydny dozadu.

*Priznavam, ale, ze je tu zatim jedna neprijemnost, jejiz reseni je pro me zatim docela orisek: a to nutnost po kazde aktualizaci kernelu preinstalovat rucne instalovane ovladace gr. karet Nvidia. Zatim se to ze vsech komplu co mam na starosti tyka nastesti jen toho meho. A casem urcite na neco prijdu.

> a to nutnost po kazde aktualizaci kernelu preinstalovat rucne instalovane ovladace gr. karet Nvidia.

Je nejaký dôvod, prečo ich máte inštalované ručne a nie cez balíček? V tom druhom prípade dotiahne DKMS a nvidia modul vám pre nové jadro prelinkuje automaticky. Vtedy zostáva už len problém s podpisovaním nového modulu, teda ak by ste používali Secure Boot, čo predpokladám asi nebude váš problém.

bez přezdívky 23.2. 23:12
Vtedy zostáva už len problém s podpisovaním nového modulu, teda ak by ste používali Secure Boot
pokud mas vychozi klice, tak se to snad podepisuje automaticky ne? pouze pokud mas vlsatni klice, tak je potreba do EFI dodat take vlastni MOK, kterym se pak ty moduly podepisujou...

Default kľúče nemáš, pretože tie sú ephemeral keď vytvára a podpisuje binárku distribúcia. Tá ti ich samozrejme nielen že nedá (SB by stratil zmysel, keby si každý, vrátane malware, mohol podpísať čo chce), ale oni ich aj zahadzujú, Ostane iba podpísaná binárka s platnou reťazou certifikátov.

Takže jediný použiteľný spôsob je MOK. No a keď už mám MOK, tak tiež kľúč nemám pohodený kde-tade, aby ho ktokoľvek, vrátane malware, mohol použiť na podpisovanie, ale treba nejaký manuálny zásah (zadať heslo pre kľúč, vložiť yubikey, pod). Takže v tomto prípade medzi skompilovaním modulu a rebootom treba modul podpísať, t.j. vykonať ten daný manuálny zásah, aby sa sprístupnil podpisový kľúč.

[bez prezdivky]
Odpoived se da ze dvou hledisek:

Za me: Ano, mam k tomu duvod - Jednak protoze vyzdaji co pokud mozno nejaktualnejsi verzi a pouzivany distribucni kanal mi toto nezajisti, a jednak proto ze nemam s balickovanymi ovladaci Nvidia vubec dobre skusenosti.

Obecne: je uplne jedno jaky duvod k tomu uzivatel ma, dulezity je pozadavak, na plne funkcni stav po aktualizaci, bez nutnosti preinstalovavat dalsi drivery.

V pripade nejasnosti, obecne hledisko ma v tomto pripade prednost.

24. 2. 2021, 11:21 editováno autorem komentáře

Beriem, že ľudia môžu mať svoje dôvody, prečo používajú nebalíčkované binárky. Akurát si musia uvedomiť, že keď tak robia, tak nielen že niečo získavajú, ale aj niečo strácajú - a to konkrétne napríklad ten funkčný stav po aktualizácii.

Jednoducho keď si začnete robiť integráciu sami, tak zodpovednosť za ňu bude na vás. Pokiaľ ju nechcete, nechajte ju na distribúciu a nemotajte sa im do roboty. Nemôžete rozvŕtať systém a potom sa sťažovať, že je rozvŕtaný.

Hm.. ne a ne a ne... Lidé s pomalejším internetem by měli ve velké většině problémy s připojením, pomalé weby a jiné neduhy. A co se týče WIn tak může mít vyjímku ve stahování u ROUTERU, kdy výrobce sám odemkne rychlost i přes omezení uživatelem. Takže zapneš win, a ono stahuje a nedostaneš se nikam, nejlépe i lidé v tvém okolí co jsou připojeni.

A co se týče srovnávání WIN/Linuxu.. tak u Win nevíš kdy a kde a co se rozbije. To je fakt sádadní problém ve srovnávání.

A co se týče srovnávání WIN/Linuxu.. tak u Win nevíš kdy a kde a co se rozbije. To je fakt sádadní problém ve srovnávání.

Já teda nevím, ale co mám počítače v práci i u zákazníků, tak že se něco rozbije prakticky neznám. Instalace Windows běží roky, nezřídka od koupení PC až do vyřazení. Když to srovnám, tak třeba u Debianu řeším na serverech víc rozbitostí v důsledku aktualizací, než na Windows.

Na lidi s pomalým připojením dnes necílí ani Windows, ani Linux. Obojí vyžaduje aktualizace a správu. Pokud se bavíme o desktopu, tak Windows šly jednoznačně cestou, že nespoléhají na liknavost uživatelů s aktualizacemi (jak píše p. Eischmann), ani na lenost správců. Správcům je dost často jednodušší nic neřešit a počkat, až se to rozbije. Pak si zanadávat (třeba na Microsoft) a teprve pak pracovat. Linux je proto pro mnohé lákavější, protože tam mohou svoji lenost nechat procházet a ještě se tím dělat zajímavými.

Znovu, znovu, a znovu: systém, ať už Windows, tak Linux, se dnes musí aktualizovat pravidelně. I týdenní skluz je někdy moc dlouhá doba, natož třeba měsíc. Není v silách adminů v malém držet neměnné verze a jen aplikovat bezpečnostní patche, admin se musí spoléhat především na služby distribuce. Automatické aktualizace jsou, až na naprosté výjimky, správná cesta. Je jednodušší umět počítat s automatickými aktualizacemi, než ručně aktualizovat blbě.

Časté a pravidelné aktualizace způsobují zvýšenout závislost na výrobci, tedy v principu nejsou pozitivní. Navíc ty od Microsoftu nejsou zrovna uživatelsky přívětivé - pokud se spustí před vypnutím počítače, rozjede se proces v řádu minut / hodin (zcela nepředvídatelný čas), doplněný o informaci zákazu vypnutí počítače. Po zapnutí obvykle následuje druhé kolo, opět s nepředvídatelným zdržením. Takže nic vhodného pro člověka, který zrovna pospíchá na vlak.

Časté a pravidelné aktualizace způsobují zvýšenout závislost na výrobci, tedy v principu nejsou pozitivní.
To je ale nesmysl…

> Já teda nevím, ale co mám počítače v práci i u zákazníků, tak že se něco rozbije prakticky neznám.

No tak naposledy mi 2019-12 rozbil dva servery s Windows 2012R2. Jednoducho po nainštalovaní nenabootovali. Našťastie fungoval rollback, jeden z nich bol AD DC :(.

Na týchto dvoch sa nikdy nepodarilo 2019-12 nainštalovať tak, aby bol funkčný. Nakoniec bol tento update preskočený a 2020-01 už išiel korektne.

Jako že u Linuxu víš, kdy a kde se co rozbije?

Klasicka Fedora mi pri vypnuti nabizi instalasci aktualizaci. Kdyz necham box zatrhly, tak se restartuje, nainstaluje aktualizace (pekne s progressbarem) a po dokonceni se vypne.

Nikdo po uživatelích nechce, aby si něco ručně aktualizovali, od toho jsou automatické aktualizace. Ty si ale uživatel musí nastavit, když tomu tak není. To je jeho zodpovědnost, zda bude mít systém aktualizovaný.

Není problémem, že widle aktualizují automaticky, problémem je, jak to dělají a jak to dopadá.

Ty si ale uživatel musí nastavit, když tomu tak není.

Je celkem naivní toto od běžných uživatelů očekávat, když důvod, proč by aktualizace sami neinstalují je ten, že nechápou jejich důležitost a vůbec je to celkově nezajímá.

Jinak distribucí, které mají opravdu pořádně vyřešené automatické aktualizace, je naprosté minimum. Spustit za běhu systému na pozadí aktualizaci balíčků a přepisovat soubory běžícím aplikacím a službám navíc bez vědomí uživatele není moc dobrý nápad. Navíc to neřeší to, že aby byla bezpečnostní oprava aplikovaná, musí se daná aplikace nebo služba restartovat. To taky nechcete dělat jen tak automaticky za běhu systému.

V podstatě si opět odpovídáte sám - když chci s něčím zacházet, musím tomu dostatečně rozumět, když to mu nerozumím, tak na to nesahám.
Snižování nesmyslné složitosti věcí plně podporuju, ale dělat z lidí nezodpovědné blbečky, za které je třeba přemýšlet, mi vadí, a je jedno, zda se jedná o Linux, widle, komunisty nebo eurosocialisty.

dělat z lidí nezodpovědné blbečky, za které je třeba přemýšlet, mi vadí, a je jedno, zda se jedná o Linux, widle, komunisty nebo eurosocialisty.
Jenže tohle je jen slaměný panák. Když jdete do restaurace a přinesou vám tam hotové jídlo, znamená to, že vás mají za nezodpovědného blbečka, kterého není možné pustit do kuchyně, protože by si ublížil? Ne, znamená to, že jdete do restaurace právě proto, abyste dostal na stůl hotové jídlo – a když si chcete uvařit sám, nepůjdete do restaurace, ale uvaříte si doma. Když jedete autobusem, ptá se vás řidič, zda má na zastávce zastavit? Neptá – ale není to proto, že by vás považoval za nezodpovědného blbečka, který to neví. Neptá se vás proto, že je to jeho práce to vědět a sledovat, kde je a jaký spoj veze.

Stejné je to se softwarem. Pro většinu lidí je to jen nástroj, od kterého očekávají, že bude dobře fungovat. A ne že ho budou pořád opečovávat, hlídat, jestli nemá nějaké aktualizace a rozhodovat se, zda aktualizaci chtějí nebo nechtějí, když k tomu nemají žádné informace. Pokud si někdo se softwarem chce hrát a řešit aktualizace, měl by mít dost znalostí na to, aby si aktualizace uměl nakonfigurovat, jak chce.