Debian&co und die lieben Updates

===Der Artikel ist schon etwas älter, aber bevor ich ihn lösche… ===

Warum Updates und wie kann an sich informieren?

Betreibt man seinen Server im Internet kommt man um regelmäßige Updates nicht drumherum. Bei Debian stable Systemen bestehen die Updates in der Regel aus Sicherheitsupdates und bringen nur sehr selten größere Versionssprünge mit sich. Informationen zu verfügbaren Updates findet man für Debian unter http://www.debian.org/security/. Dort ist auch eine so genannte debian-security-announce mailing list verlinkt. Trägt man sich dort ein, erhält man eine Benachrichtigung per mail, falls neue Update bereitstehen. Für Ubuntu findet man diese Informationen unter http://www.ubuntu.com/usn. Jede Distribution hat in der Regel einen solchen Informationskanal. Auch das DFN bietet einen solchen Service unter https://portal.cert.dfn.de/ an, Voraussetzung dabei ist ein gültiges DFN-PKI Zertifikat, etwas umständlich, aber eh nur als Hinweis zu sehen. Es sollte vermieden werden, sich bei zu vielen Listen einzutragen, das dient weder der Übersichtlichkeit, noch erhält man zusätzliche Informationen. Sicherheitsupdates sollten, nach Möglichkeit, immer Zeit nah einspielt werden. auf etwaige Wartungsfenster sollte man dabei keine Rücksicht nehmen. Dabei ist es egal, ob es sich um so genannte „local“ oder „remote“ Schwachstellen handelt. Tauchen Exploits erst mal bei Seiten wie http://packetstormsecurity.org/files/ oder 1337day usw. auf, steigt das Risiko eines potentiellen Angriffs auf die ungepatchte Software enorm.
Kurz und knapp gesagt: Existieren Sicherheitsupdates, sind diese zu installieren.

Updates installieren

Unter Debian läuf das Updaten relativ einfach ab.

apt-get update; apt-get dist-upgrade

Durch apt-get update ist dem System bekannt welche Updates eingespielt werden müssen und mit apt-get dist-upgrade werden diese eingespielt. Tools wie apticron, cron-apt oder unattended-upgrades sollten auch einen Blick wert sein. Diese Tools helfen zusätzlich um Updateinformationen zu erhalten und Updates automatisch einzuspielen. Besonders unattended-upgrades ist ein einfacher Weg Updates, besonders Sicherheitsupdates, automatisiert einzuspielen. Dabei kann auch bei jedem durchgeführten Update, eine mail verschickt werden. Will man verfügbare Updates auch via Nagios überwachen, bietet sich check_apt als Plugin an.
Ein Log der eingespielten Updates findet man im Nachhinein unter /var/log/apt/history.log bzw. in /var/log/unattended-upgrades/.

Updates überprüfen

Da es in der Regel keine größeren Versionsprünge bei „normalen“ Updates gibt, sollte es keine Veränderung beim Verhalten des Programms geben. Anders sieht es natürlich bei major Upgrades aus. Eine Sprung von z.B: PHP 5.2 auf 5.3 zieht etliche Veränderungen an diversen Webapplikationen mit sich. So ein Update passiert natürlich nicht beim normalen Systemupdate. Es schadet aber nicht, sich die Updates etwas genauer anzuschauen auch um eventuell neu auftretende Probleme mit den Updates in Verbindung zu bringen. Die betroffenen Dienste sollten auf jeden Fall, nach dem Update, auf ihre Funktion überprüft werden.

Wen informieren?

Bei Sicherheitsupdates kann eigentlich drauf verzichtet werden die Benutzer zu informieren. Es sei denn mit dem Update ist ein Ausfall eines Dienstes verbunden, ist es so, sollte man dem Benutzer über den Grund und die etwaige Dauer des Ausfalls informieren. Ob es den 0815 Benutzer interessiert, dass ein neuer Kernel installiert wurde und welche Lücken durch Update XY gestopft wurden? Information ist dabei das A und O, jeder Benutzer nimmt es positiv wahr, wenn er über den Grund eines Ausfalls informiert wird. Je nach Dauer und Wichtigkeit des Dienstes sollte man die Benutzer rechtzeitig informieren. Die Regel ist einfach: Lieber zu viel, als zu wenig Informationen.
Natürlich hat man immer Querulanten dabei, die sich über Ausfälle beschweren und kein Verständnis zeigen. Diese sollte man über die Folgen nicht durchgeführter Updates aufklären und aus der Freundesliste streichen ;-).

Sonderfall Reboot

Benötigt das Update einen Reboot, wie z.B. ein neuer Kernel wurde installiert, ist es wichtig vorher zu klären ob z.B. ein Dateisystem Check ansteht. Je nach eingesetztem Dateisystem und Größe des Devices kann so ein Check viel Zeit in Anspruch nehmen. Ob ein solcher Check ansteht, kann man mit Hilfe von tune2fs überprüfen, z.B:

$ tune2fs -l /dev/sdc1
...
Mount count:              4
Maximum mount count:      25
Last checked:             Fri Nov 25 09:48:18 2011
Check interval:           15552000 (6 months)
Next check after:         Wed May 23 10:48:18 2012
...

Wie sinnvoll ein Check ist oder nicht, ist eine andere Frage. Viele neigen dazu diese Checks beim anlegen des Devices abzuschalten, ich tue dies nicht.

Letzte Worte

Man sollte sich generell bei Updates immer darüber im klaren sein, wie viel Zeit ein Update einspielen kostet und wie viel Zeit man benötigt um einen Eindringling wieder vom System zu entfernen bzw. den angerichteten Schaden zu beheben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.