11
Bookstack - Dependencies: Composer
Guten Morgen
Ausgangslage:
Server version: Apache/2.4.38 (Debian)
Server built: 2021-12-21T16:50:43
Eine handvoll Profis begleiten in der Freizeit "Starters", welche in die Linux / Apache Welt einsteigen.
Unter anderem beim erstellen einer eigenen Website ohne Wordpress.
U.a. wurde dabei die APP "Bookstack" angefragt.
Analyse:
Diverse Dependencies konnten nachinstalliert werden und werden über die Debian Updates gepflegt.
Nicht Composer.
Problem:
Potential causes:
- A typo in the package name
- The package is not available in a stable-enough version according
to your minimum-stability setting
see <https://getcomposer.org/doc/04-schema.md#minimum-stability>
for more details.
- It's a private package and you forgot to add a custom repository
to find it
D.h. eine Installaton von Composer macht die Installation von einer nicht offiziellen Quelle abhängig.
Was für die Sicherheit nicht OK ist.
Hat jemand damit bereits Erfahrungen gesammelt?
Beste Grüsse
Ausgangslage:
Server version: Apache/2.4.38 (Debian)
Server built: 2021-12-21T16:50:43
Eine handvoll Profis begleiten in der Freizeit "Starters", welche in die Linux / Apache Welt einsteigen.
Unter anderem beim erstellen einer eigenen Website ohne Wordpress.
U.a. wurde dabei die APP "Bookstack" angefragt.
Analyse:
Diverse Dependencies konnten nachinstalliert werden und werden über die Debian Updates gepflegt.
Nicht Composer.
Problem:
Potential causes:
- A typo in the package name
- The package is not available in a stable-enough version according
to your minimum-stability setting
see <https://getcomposer.org/doc/04-schema.md#minimum-stability>
for more details.
- It's a private package and you forgot to add a custom repository
to find it
D.h. eine Installaton von Composer macht die Installation von einer nicht offiziellen Quelle abhängig.
Was für die Sicherheit nicht OK ist.
Hat jemand damit bereits Erfahrungen gesammelt?
Beste Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3242907287
Url: https://administrator.de/contentid/3242907287
Printed on: April 26, 2024 at 07:04 o'clock
11 Comments
Latest comment
Hallo,
laut "Manual Installation" werden nur git und composer verwendet.
Das Shellscript würde ich auch nicht installieren. wollen.
https://www.bookstackapp.com/docs/admin/installation/#manual-installatio ...
Stefan
laut "Manual Installation" werden nur git und composer verwendet.
Das Shellscript würde ich auch nicht installieren. wollen.
https://www.bookstackapp.com/docs/admin/installation/#manual-installatio ...
Stefan
1
Moin,
die potential causes sind ja eben nur mögliche Ursachen. Hier hat ein Kollege mal recht kompakt die Installation zusammengefasst: https://blog.rolandreis.de/books/bookstack/page/installation-unter-debia ...
Hier sind auch seine Hinweise und Warnungen bezüglich Sicherheit zu beachten. Nicht gleich alles in Grundkonfiguration auf die große weiter Welt loslassen wäre sein Fazit.
Das Composer-Setup lädt er nur temporär nach, lässt es durchlaufen und löscht es danach wieder (Siehe Abschnitt "Installation").
Aber ist alles ziemlich gut dokumentiert, dass sollten auch die Starter recherchieren können.
Gruß
cykes
die potential causes sind ja eben nur mögliche Ursachen. Hier hat ein Kollege mal recht kompakt die Installation zusammengefasst: https://blog.rolandreis.de/books/bookstack/page/installation-unter-debia ...
Hier sind auch seine Hinweise und Warnungen bezüglich Sicherheit zu beachten. Nicht gleich alles in Grundkonfiguration auf die große weiter Welt loslassen wäre sein Fazit.
Das Composer-Setup lädt er nur temporär nach, lässt es durchlaufen und löscht es danach wieder (Siehe Abschnitt "Installation").
Aber ist alles ziemlich gut dokumentiert, dass sollten auch die Starter recherchieren können.
Gruß
cykes
1
Guten Morgen
Danke für Euren Input.
Kurzfassung:
Danach hat man Bookstack ohne Dependencies die ausserhalb von Debian gepflegt werden müssen.
Verstanden.
Besten Dank
Beste Grüsse
Danke für Euren Input.
Kurzfassung:
- Comoser installieren
- Bookstack installieren
- Composer deinstallieren
Danach hat man Bookstack ohne Dependencies die ausserhalb von Debian gepflegt werden müssen.
Verstanden.
Besten Dank
Beste Grüsse
Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.
Zitat von @StefanKittel:
Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.
Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.
Guten Morgen StefanKittel
IMHO: Composer ist ein Paketmanager.
D.h. ich muss wissen, welche "nicht Debian" Pakete er installiert.
Dann muss man diese Pakete monitoren (Updates, Security, nicht mehr weiterentwickelt, etc.)
D.h. viel Aufwand die kein Admin für alle erledigen kann (IMO), sondern jeder der Starter wenn er diese App verwenden will, selber leisten muss. Das Risiko bleibt beim Admin. So ist mein aktuelles Verständnis.
Beste Grüsse
Ich (bzw. der Kollege) hatte auch nichts davon geschrieben, dass der Composer selbst wieder deinstalliert werden soll, sondern nur das Setup gelöscht...
Das Setup wird eben von der eigenen Projektseite geladen, Bookstack von Github. Folglich wird das auch nur dort gepflegt.
Wenn das aus irgendwelchen Gründen nicht gewünscht ist, muss man eben eine andere App verwenden.
Das Setup wird eben von der eigenen Projektseite geladen, Bookstack von Github. Folglich wird das auch nur dort gepflegt.
Wenn das aus irgendwelchen Gründen nicht gewünscht ist, muss man eben eine andere App verwenden.
Zitat von @PeterGyger:
IMHO: Composer ist ein Paketmanager.
D.h. ich muss wissen, welche "nicht Debian" Pakete er installiert.
IMHO: Composer ist ein Paketmanager.
D.h. ich muss wissen, welche "nicht Debian" Pakete er installiert.
Siehe: https://getcomposer.org/doc/00-intro.md
Composer is not a package manager in the same sense as Yum or Apt are. Yes, it deals with "packages" or libraries, but it manages them on a per-project basis, installing them in a directory (e.g. vendor) inside your project. By default, it does not install anything globally. Thus, it is a dependency manager. It does however support a "global" project for convenience via the global command.
1
Hallo cykes
Ich (bzw. der Kollege) hatte auch nichts davon geschrieben, dass der Composer selbst wieder deinstalliert werden soll, sondern nur das Setup gelöscht...
Danke für Deine Korrektur meiner Annahme.
Auf der Ubuntu Site steht:
Composer ist seit Ubuntu 16.04 in den Paketquellen enthalten und wird über folgendes Paket installiert:
D.h. wenn wir die Ubuntu Disti anstatt die Debian Disti verwenden würden, gäbe es diese Diskussion gar nicht? Apache ist ja bei beiden enthalten.
Besten Dank für Deine Geduld und Zeit!
Beste Grüsse
Ich (bzw. der Kollege) hatte auch nichts davon geschrieben, dass der Composer selbst wieder deinstalliert werden soll, sondern nur das Setup gelöscht...
Das Setup wird eben von der eigenen Projektseite geladen, Bookstack von Github. Folglich wird das auch nur dort gepflegt.
Warum sollte man einen Setup löschen?Auf der Ubuntu Site steht:
Composer ist seit Ubuntu 16.04 in den Paketquellen enthalten und wird über folgendes Paket installiert:
D.h. wenn wir die Ubuntu Disti anstatt die Debian Disti verwenden würden, gäbe es diese Diskussion gar nicht? Apache ist ja bei beiden enthalten.
Wenn das aus irgendwelchen Gründen nicht gewünscht ist, muss man eben eine andere App verwenden.
Aus den obigen Erkenntnissen habe ich dazu zwei Fragen:- Kannst Du andere Apps empfehlen?
- Wenn es richtig ist, dass Composer bei Ubuntu dabei ist und bei Debian nicht, welche Distis kommen in Frage wenn man den composer verwenden will?
Besten Dank für Deine Geduld und Zeit!
Beste Grüsse
Zitat von @StefanKittel:
Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.
Aber ohne Composer gibt es doch keine Updates. Und eine Software im Web ohne Updates hat entweder gar keine Fehler oder sollte Updates beziehen können.
Hallo
Ist das Update "Problem" des Composer bzw. aller nicht Distie Depen... nicht gelöst, wenn man sie über einen Chronos Job "composer self-update" wöchentlich ausführt?
Dann ist zumindest Composer aktuell, solange der Autor (OpenSource Problemklassiker) sein Tool weiter pflegt. Danach muss man auf dem GitHub Repository von Bookapp prüfen, ob dieser Autor bzw., die Community noch an den Updates arbeitet. Oder ob das Projekt einschläft.
Beste Grüsse
Warum sollte man einen Setup löschen?
Wenn der irgendwie von außen erreichbar ist, bspw. aufgrund eines Bugs o.ä., dann ... (kannst Du Dir ja sicher selbst ausmalen) 
Es wäre hilfreich gewesen, wenn Du erwähnt hättest, von welcher Debian-Version wir hier überhaupt sprechen.
Also für "Bullseye" (v11) und neuer findet sich der composer in der Paketverwaltung: https://packages.debian.org/search?keywords=composer
dort steht es übrigens nochmal auf Deutsch: Composer -> "Abhängigkeitsverwaltung für PHP"
In den Debian Repositories findet sich die Composer-Version 2.3.7 erst ab v12 (aka. "Bookworm").
Debian hatte schon immer eine eher konservative Versionsverwaltung, aktuell wäre Composer v2.3.8.
If you need the latest - the greatest use Github
Gruß
cykes
[EDIT] Du kannst natürlich immer die unstable Paketquellen ("sid") einlesen und dort ebenfalls die Version 2.3.7 herunterladen/installieren.
1
Hallo cykes
Von aussen erreichbar ist dieser Server nur für einen nationalen Geheimdienst oder vergleichbares.
Die Jungs / Mädels die das Teil aufgesetzt haben und administrieren, sind Vollprofis die Enterprise Firmen mit hohen Sicherheitsstandards administrieren.
Das ist Ihr Beitrag mehr Menschen mit Linux und OpenSource vertraut zu machen (Starthilfe).
Mit Debian 10 und Apatche kann man immer noch ein Retro Static Websites (mit viel blinkender Grafik, Audio und vielen, vielen Farben...) anlegen... 😁 🤣
Debian hatte schon immer eine eher konservative Versionsverwaltung, aktuell wäre Composer v2.3.8.
If you need the latest - the greatest use Github
OT:
Eine ärgerliche Pendenz von mir: GitHub. Ich habe zwar in Git und GitHub eingelesen, mit VSC in Repositories Files angepasst und erstellt. Aber ich sollte wirklich mal in einem kleinen GitHub regelmässig kleine Aufgaben übernehmen. Einfach das ich darin etwas Routine erarbeite...
Nochmals danke für die vielen verständlich aufgearbeiteten Informationen!
Beste Grüsse
Warum sollte man einen Setup löschen?
Wenn der irgendwie von außen erreichbar ist, bspw. aufgrund eines Bugs o.ä., dann ... (kannst Du Dir ja sicher selbst ausmalen) Von aussen erreichbar ist dieser Server nur für einen nationalen Geheimdienst oder vergleichbares.
Die Jungs / Mädels die das Teil aufgesetzt haben und administrieren, sind Vollprofis die Enterprise Firmen mit hohen Sicherheitsstandards administrieren.
Das ist Ihr Beitrag mehr Menschen mit Linux und OpenSource vertraut zu machen (Starthilfe).
Es wäre hilfreich gewesen, wenn Du erwähnt hättest, von welcher Debian-Version wir hier überhaupt sprechen.
"Shame on me" Also für "Bullseye" (v11) und neuer findet sich der composer in der Paketverwaltung: https://packages.debian.org/search?keywords=composer
dort steht es übrigens nochmal auf Deutsch: Composer -> "Abhängigkeitsverwaltung für PHP"
In den Debian Repositories findet sich die Composer-Version 2.3.7 erst ab v12 (aka. "Bookworm").
Ok. D.h. es ist nicht verhältnismässig an Bookstack zu denken, bevor V11 installiert ist. Das ist kein Problem, da es bis 2023 geschehen wird.dort steht es übrigens nochmal auf Deutsch: Composer -> "Abhängigkeitsverwaltung für PHP"
In den Debian Repositories findet sich die Composer-Version 2.3.7 erst ab v12 (aka. "Bookworm").
Mit Debian 10 und Apatche kann man immer noch ein Retro Static Websites (mit viel blinkender Grafik, Audio und vielen, vielen Farben...) anlegen... 😁 🤣
Debian hatte schon immer eine eher konservative Versionsverwaltung, aktuell wäre Composer v2.3.8.
If you need the latest - the greatest use Github
Eine ärgerliche Pendenz von mir: GitHub. Ich habe zwar in Git und GitHub eingelesen, mit VSC in Repositories Files angepasst und erstellt. Aber ich sollte wirklich mal in einem kleinen GitHub regelmässig kleine Aufgaben übernehmen. Einfach das ich darin etwas Routine erarbeite...
Nochmals danke für die vielen verständlich aufgearbeiteten Informationen!
Beste Grüsse