Nur Sicherheitsupdates ausreichend?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Nur Sicherheitsupdates ausreichend?

Beitrag von user18 » 16.08.2018 14:25:21

Hallo,

ich habe das Paket Debianunattended-upgrades auf einem Debian Linux Server installiert und darüber werden täglich die aktuellen Sicherheitsupdates installiert, z.B.:

Code: Alles auswählen

# /var/log/unattended-upgrades/unattended-upgrades-dpkg.log:
INFO erlaubte Ursprünge sind: ['origin=Debian,codename=stretch,label=Debian-Security']
INFO Pakete, von denen ein Upgrade durchgeführt wird: libmspack0 libxml-security-c17v5
INFO alle Upgrades installiert
Es sind noch weitere Updates verfügbar, die nicht im Bereich Debian-Security sind:

Code: Alles auswählen

# apt-get -s upgrade | grep -v "^Conf"
Paketlisten werden gelesen...
Abhängigkeitsbaum wird aufgebaut....
Statusinformationen werden eingelesen....
Paketaktualisierung (Upgrade) wird berechnet...
Die folgenden Pakete sind zurückgehalten worden:
  linux-image-amd64
Die folgenden Pakete werden aktualisiert (Upgrade):
  base-files ca-certificates discover dpkg file libdiscover2 libldap-2.4-2
  libldap-common libmagic-mgc libmagic1 libpam-systemd libsystemd0 libudev1
  libxapian30 libxerces-c3.1 shared-mime-info systemd systemd-sysv udev
19 aktualisiert, 0 neu installiert, 0 zu entfernen und 1 nicht aktualisiert.
Inst base-files [9.9+deb9u4] (9.9+deb9u5 Debian:9.5/stable [amd64])
Inst dpkg [1.18.24] (1.18.25 Debian:9.5/stable [amd64])
Inst systemd-sysv [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64])
Inst libpam-systemd [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64]) []
Inst libsystemd0 [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64]) [systemd:amd64 ]
Inst systemd [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64])
Inst udev [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64]) []
Inst libudev1 [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64])
Inst libxapian30 [1.4.3-2] (1.4.3-2+deb9u1 Debian:9.5/stable [amd64])
Inst file [1:5.30-1+deb9u1] (1:5.30-1+deb9u2 Debian:9.5/stable [amd64]) []
Inst libmagic1 [1:5.30-1+deb9u1] (1:5.30-1+deb9u2 Debian:9.5/stable [amd64]) []
Inst libmagic-mgc [1:5.30-1+deb9u1] (1:5.30-1+deb9u2 Debian:9.5/stable [amd64])
Inst libldap-common [2.4.44+dfsg-5+deb9u1] (2.4.44+dfsg-5+deb9u2 Debian:9.5/stable [all])
Inst libldap-2.4-2 [2.4.44+dfsg-5+deb9u1] (2.4.44+dfsg-5+deb9u2 Debian:9.5/stable [amd64])
Inst ca-certificates [20161130+nmu1] (20161130+nmu1+deb9u1 Debian:9.5/stable [all])
Inst discover [2.1.2-7.1] (2.1.2-7.1+deb9u1 Debian:9.5/stable [amd64]) []
Inst libdiscover2 [2.1.2-7.1] (2.1.2-7.1+deb9u1 Debian:9.5/stable [amd64])
Inst libxerces-c3.1 [3.1.4+debian-2] (3.1.4+debian-2+deb9u1 Debian:9.5/stable [amd64])
Inst shared-mime-info [1.8-1] (1.8-1+deb9u1 Debian:9.5/stable [amd64])
Optimalerweise möchte ich mich mit dem System bis zum Release Ende von Debian 9 im Jahr 2020 nicht mehr beschäftigen müssen und nicht manuell Updates einspielen.

Reicht hier die die Nutzung von dem einspielen von nur Sicherheitsupdates über unattended-upgrades aus
oder sollte auch per apt-get upgrade die anderen Updates eingespielt werden?

Benutzeravatar
hikaru
Moderator
Beiträge: 13557
Registriert: 09.04.2008 12:48:59

Re: Nur Sicherheitsupdates ausreichend?

Beitrag von hikaru » 16.08.2018 15:49:10

user18 hat geschrieben: ↑ zum Beitrag ↑
16.08.2018 14:25:21
Reicht hier die die Nutzung von dem einspielen von nur Sicherheitsupdates über unattended-upgrades aus
Rein aus Debian-Paketsicht sollte das ausreichen, denn alle sicherheitsrelevanten Paketupdates sollten über das security-Repo kommen.
user18 hat geschrieben: ↑ zum Beitrag ↑
16.08.2018 14:25:21
oder sollte auch per apt-get upgrade die anderen Updates eingespielt werden?
Das ist eine Abwägungsfrage. Wenn ich mir z.B. deine Liste der Pakete anschaue, dann könnte ich mir durchaus vorstellen, dass ein veraltetes Debianca-certificates irgendwann mal Probleme machen könnte, je nach Aufgabe des Servers.
Das ist aber zumindest aus Debians Sicht kein Sicherheitsproblem, weshalb das nicht über security geregelt wird.

Falls du generell Updates haben willst, dann kannst du das in der Konfiguration von Debianunattended-upgrades einstellen und das sollte auch problemlos sein, sofern du keine Fremdquellen verwendest (wozu auch selbtgebaute Pakete gehören, insbesondere wenn sie ofizielle Debianpakete ersetzen).

Antworten