Bookstack - Dependencies: Composer

petergyger
Goto Top
Guten Morgen

Ausgangslage:
Server version: Apache/2.4.38 (Debian)
Server built: 2021-12-21T16:50:43

Eine handvoll Profis begleiten in der Freizeit "Starters", welche in die Linux / Apache Welt einsteigen.
Unter anderem beim erstellen einer eigenen Website ohne Wordpress.

U.a. wurde dabei die APP "Bookstack" angefragt.

Analyse:
Diverse Dependencies konnten nachinstalliert werden und werden über die Debian Updates gepflegt.
Nicht Composer.

Problem:
Potential causes:
- A typo in the package name
- The package is not available in a stable-enough version according
to your minimum-stability setting
see <https://getcomposer.org/doc/04-schema.md#minimum-stability>"
for more details.
- It's a private package and you forgot to add a custom repository
to find it

D.h. eine Installaton von Composer macht die Installation von einer nicht offiziellen Quelle abhängig.
Was für die Sicherheit nicht OK ist.

Hat jemand damit bereits Erfahrungen gesammelt?

Beste Grüsse

Content-Key: 3242907287

Url: https://administrator.de/contentid/3242907287

Ausgedruckt am: 15.08.2022 um 18:08 Uhr

Mitglied: StefanKittel
StefanKittel 03.07.2022 aktualisiert um 10:39:42 Uhr
Goto Top
Hallo,

laut "Manual Installation" werden nur git und composer verwendet.
Das Shellscript würde ich auch nicht installieren. wollen.

https://www.bookstackapp.com/docs/admin/installation/#manual-installatio ...

Stefan
Mitglied: cykes
Lösung cykes 03.07.2022 um 10:51:56 Uhr
Goto Top
Moin,

die potential causes sind ja eben nur mögliche Ursachen. Hier hat ein Kollege mal recht kompakt die Installation zusammengefasst: https://blog.rolandreis.de/books/bookstack/page/installation-unter-debia ...

Hier sind auch seine Hinweise und Warnungen bezüglich Sicherheit zu beachten. Nicht gleich alles in Grundkonfiguration auf die große weiter Welt loslassen wäre sein Fazit.
Das Composer-Setup lädt er nur temporär nach, lässt es durchlaufen und löscht es danach wieder (Siehe Abschnitt "Installation").

Aber ist alles ziemlich gut dokumentiert, dass sollten auch die Starter recherchieren können.

Gruß

cykes
Mitglied: PeterGyger
PeterGyger 03.07.2022 um 11:02:45 Uhr
Goto Top
Guten Morgen

Danke für Euren Input.

Kurzfassung:
  • Comoser installieren
  • Bookstack installieren
  • Composer deinstallieren

Danach hat man Bookstack ohne Dependencies die ausserhalb von Debian gepflegt werden müssen.
Verstanden.

Besten Dank

Beste Grüsse
Mitglied: StefanKittel
StefanKittel 03.07.2022 um 11:07:37 Uhr
Goto Top
Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.
Mitglied: PeterGyger
PeterGyger 03.07.2022 um 11:17:34 Uhr
Goto Top
Zitat von @StefanKittel:

Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.

Guten Morgen StefanKittel

IMHO: Composer ist ein Paketmanager.
D.h. ich muss wissen, welche "nicht Debian" Pakete er installiert.

Dann muss man diese Pakete monitoren (Updates, Security, nicht mehr weiterentwickelt, etc.)
D.h. viel Aufwand die kein Admin für alle erledigen kann (IMO), sondern jeder der Starter wenn er diese App verwenden will, selber leisten muss. Das Risiko bleibt beim Admin. So ist mein aktuelles Verständnis.

Beste Grüsse
Mitglied: cykes
cykes 03.07.2022 um 11:20:27 Uhr
Goto Top
Ich (bzw. der Kollege) hatte auch nichts davon geschrieben, dass der Composer selbst wieder deinstalliert werden soll, sondern nur das Setup gelöscht...

Das Setup wird eben von der eigenen Projektseite geladen, Bookstack von Github. Folglich wird das auch nur dort gepflegt.

Wenn das aus irgendwelchen Gründen nicht gewünscht ist, muss man eben eine andere App verwenden.
Mitglied: cykes
cykes 03.07.2022 um 11:27:30 Uhr
Goto Top
Zitat von @PeterGyger:
IMHO: Composer ist ein Paketmanager.
D.h. ich muss wissen, welche "nicht Debian" Pakete er installiert.

Siehe: https://getcomposer.org/doc/00-intro.md
Composer is not a package manager in the same sense as Yum or Apt are. Yes, it deals with "packages" or libraries, but it manages them on a per-project basis, installing them in a directory (e.g. vendor) inside your project. By default, it does not install anything globally. Thus, it is a dependency manager. It does however support a "global" project for convenience via the global command.

Mitglied: PeterGyger
PeterGyger 03.07.2022 um 11:30:10 Uhr
Goto Top
Hallo cykes



Ich (bzw. der Kollege) hatte auch nichts davon geschrieben, dass der Composer selbst wieder deinstalliert werden soll, sondern nur das Setup gelöscht...
Danke für Deine Korrektur meiner Annahme.

Das Setup wird eben von der eigenen Projektseite geladen, Bookstack von Github. Folglich wird das auch nur dort gepflegt.
Warum sollte man einen Setup löschen?

Auf der Ubuntu Site steht:
Composer ist seit Ubuntu 16.04 in den Paketquellen enthalten und wird über folgendes Paket installiert:

D.h. wenn wir die Ubuntu Disti anstatt die Debian Disti verwenden würden, gäbe es diese Diskussion gar nicht? Apache ist ja bei beiden enthalten.

Wenn das aus irgendwelchen Gründen nicht gewünscht ist, muss man eben eine andere App verwenden.
Aus den obigen Erkenntnissen habe ich dazu zwei Fragen:
  • Kannst Du andere Apps empfehlen?
  • Wenn es richtig ist, dass Composer bei Ubuntu dabei ist und bei Debian nicht, welche Distis kommen in Frage wenn man den composer verwenden will?

Besten Dank für Deine Geduld und Zeit!

Beste Grüsse
Mitglied: PeterGyger
PeterGyger 03.07.2022 um 11:43:29 Uhr
Goto Top
Zitat von @StefanKittel:

Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.

Hallo

Ist das Update "Problem" des Composer bzw. aller nicht Distie Depen... nicht gelöst, wenn man sie über einen Chronos Job "composer self-update" wöchentlich ausführt?

Dann ist zumindest Composer aktuell, solange der Autor (OpenSource Problemklassiker) sein Tool weiter pflegt. Danach muss man auf dem GitHub Repository von Bookapp prüfen, ob dieser Autor bzw., die Community noch an den Updates arbeitet. Oder ob das Projekt einschläft.

Beste Grüsse
Mitglied: cykes
cykes 03.07.2022 aktualisiert um 12:13:33 Uhr
Goto Top
Warum sollte man einen Setup löschen?
Wenn der irgendwie von außen erreichbar ist, bspw. aufgrund eines Bugs o.ä., dann ... (kannst Du Dir ja sicher selbst ausmalen) face-wink

Es wäre hilfreich gewesen, wenn Du erwähnt hättest, von welcher Debian-Version wir hier überhaupt sprechen.

Also für "Bullseye" (v11) und neuer findet sich der composer in der Paketverwaltung: https://packages.debian.org/search?keywords=composer

dort steht es übrigens nochmal auf Deutsch: Composer -> "Abhängigkeitsverwaltung für PHP" face-wink

In den Debian Repositories findet sich die Composer-Version 2.3.7 erst ab v12 (aka. "Bookworm").

Debian hatte schon immer eine eher konservative Versionsverwaltung, aktuell wäre Composer v2.3.8.
If you need the latest - the greatest use Github face-wink

Gruß

cykes

[EDIT] Du kannst natürlich immer die unstable Paketquellen ("sid") einlesen und dort ebenfalls die Version 2.3.7 herunterladen/installieren.
Mitglied: PeterGyger
PeterGyger 03.07.2022 um 12:29:38 Uhr
Goto Top
Hallo cykes

Warum sollte man einen Setup löschen?
Wenn der irgendwie von außen erreichbar ist, bspw. aufgrund eines Bugs o.ä., dann ... (kannst Du Dir ja sicher selbst ausmalen) face-wink


Von aussen erreichbar ist dieser Server nur für einen nationalen Geheimdienst oder vergleichbares.
Die Jungs / Mädels die das Teil aufgesetzt haben und administrieren, sind Vollprofis die Enterprise Firmen mit hohen Sicherheitsstandards administrieren.

Das ist Ihr Beitrag mehr Menschen mit Linux und OpenSource vertraut zu machen (Starthilfe).

Es wäre hilfreich gewesen, wenn Du erwähnt hättest, von welcher Debian-Version wir hier überhaupt sprechen.

"Shame on me" face-wink

Also für "Bullseye" (v11) und neuer findet sich der composer in der Paketverwaltung: https://packages.debian.org/search?keywords=composer

dort steht es übrigens nochmal auf Deutsch: Composer -> "Abhängigkeitsverwaltung für PHP" face-wink

In den Debian Repositories findet sich die Composer-Version 2.3.7 erst ab v12 (aka. "Bookworm").
Ok. D.h. es ist nicht verhältnismässig an Bookstack zu denken, bevor V11 installiert ist. Das ist kein Problem, da es bis 2023 geschehen wird.

Mit Debian 10 und Apatche kann man immer noch ein Retro Static Websites (mit viel blinkender Grafik, Audio und vielen, vielen Farben...) anlegen... 😁 🤣

Debian hatte schon immer eine eher konservative Versionsverwaltung, aktuell wäre Composer v2.3.8.
If you need the latest - the greatest use Github face-wink

OT:
Eine ärgerliche Pendenz von mir: GitHub. Ich habe zwar in Git und GitHub eingelesen, mit VSC in Repositories Files angepasst und erstellt. Aber ich sollte wirklich mal in einem kleinen GitHub regelmässig kleine Aufgaben übernehmen. Einfach das ich darin etwas Routine erarbeite...

Nochmals danke für die vielen verständlich aufgearbeiteten Informationen!

Beste Grüsse