Jessie or not Jessie ?

2015-03-16
Thomas Martin


Il y a quelques jours, un collègue me demande mon avis sur le fait d'utiliser Debian Jessie au lieu de Wheezy pour héberger un nouveau service web. La raison invoquée étant que la sortie de cette nouvelle version stable est prévue pour bientôt.

Pour rappel, d'après Wikipedia :

Debian est toujours disponible en trois versions (trois branches) qui sont :

Stable (aujourd'hui Wheezy) : version figée où les seules mises à jour sont des correctifs de sécurité ;

Testing (aujourd'hui Jessie) : future version stable où seuls les paquets suffisamment matures peuvent rentrer ;

Unstable : surnommée Sid, il s'agit d'une version en constante évolution, alimentée sans fin par de nouveaux paquets ou de mises à jour de paquets déjà existants (on parle de Rolling release).

Je lui ai conseillé de se poser au moins trois questions :

Pourquoi ? Y a t-il un besoin spécifique auquel Wheezy ne peut répondre ?

La raison généralement invoquée est que les versions des logiciels fournis sont trop anciennes. Toutefois, il est possible d'utiliser les backports, voir même de faire ses propres backports en récupérant les paquets sources des versions testing ou sid et en les recompilant sous stable. En dernier recours, on peut même imaginer recourir au bon vieux ./configure && make && make install. Evidémment, tous ces logiciels non fournis par la distribution stable devront faire l'objet d'une vigilance particulière car ils ne seront pas pris en charge par l'équipe sécurité Debian.

Est-ce que vous avez le temps de scruter minutieusement la sortie d'APT avant chaque upgrade ?

Avec Stable, on 99,99% de chance de ne rien casser en faisant un upgrade, avec Testing c'est moins (d'après mon expérience personnelle des 10 dernières années et les packages que j'utilise).

Y a t-il des services critiques exposés sur internet ?

Avec Stable les correctifs de sécurité arrivent très rapidement, avec Testing plus lentement (même plus lentement qu'avec unstable/sid).

Conclusion

Dans quel cas l'utilisation de Jessie serait donc acceptable ?

Par exemple, si le projet est encore en cours et que l'infrastructure ne sera pas accessible depuis internet avant un certain temps. On peut alors parier sur le fait que Jessie sera passée stable, et on s'économise le travail d'utiliser des backports et/ou de reconstruire des packages. Attention toutefois, une version stable de Debian sort quand elle est prête. Les anciens se rappeleront que Sarge fût retardé de plus d'un an par rapport aux estimations !

Pour un service accessible sur internet, je déconseille fortement. Toutefois, si l'intégralité des services accessibles depuis internet sont en fait des backports tournant sur une stable, ça ne change au final pas grand chose du point de vue sécurité.