Frage zu automatischen Sicherheitsupdates

[romeylo]

Debian 11
Guten Abend zusammen,
ich beschäftige mich schon länger mit Debian (bin dennoch kein Experte) und hab neben einem PC auch einige als Virtuelle Maschinen. Ich möchte mir mal einen Server selber aufbauen, bin aber sonst auch an einer grundsätzlichen Sicherheit interessiert d.h. ich möchte gerne aktuelle Sicherheitsupdates automatisch installiert haben. Das Internet gibt dazu unzählige Eintrag und Anleitungen zu "unattended-upgrades". Bei einer VM funktioniert es, bei der anderen suche ich noch den Fehler. Dabei habe ich aber in "Software&updates" gesehen das dort die Möglichkeit per Klickbox eigentlich vorhanden ist. Somit möchte ich eigentlich nur wissen ob diese Funktion das macht was ich gerne möchte und wie ich manuell prüfen kann ob alle "Sicherheitsupdates" dadurch installiert worden sind.
Gruß Roland

[Blackbox]

Wie soll man bei einer solchen Fragestellung adäquat antworten?
Einerseits gibst du vor, du wärst erfahren genug, einen Server zu betreiben, andererseits kommt dir nicht in den Sinn, wie du dein System befragst, um den Fehler einzugrenzen.
Weiterhin hast du von unattended-upgrades gelesen, berufst dich aber nur auf irgendwelche Howtos, deren Funktionalität du nicht prüfen kannst.

Obendrein hoffe ich, dass du nicht planst, auf deinem Server eine grafische UI (Schlagwort: Software&updates) zu installieren, das widerspricht dem Konzept eines Linux Servers!

[MSfree]

Obendrein hoffe ich, dass du nicht planst, auf deinem Server eine grafische UI (Schlagwort: Software&updates) zu installieren, das widerspricht dem Konzept eines Linux Servers!

Ist doch schon längst passiert:

Dabei habe ich aber in "Software&updates" gesehen das dort die Möglichkeit per Klickbox eigentlich vorhanden ist.

Nunja, und unattended-upgrades ist halt genau das, wonach es benannt ist, nämlich unbeaufsichtige Softwareaktualisierung.

Ich halte von solchen automatischen Updates allerdings gar nichts. Man muß sich trotzdem regelmässig einloggen, um nachzusehen, ob ein reboot nötig ist, weil z.B. ein neuer Kernel oder ein neuer systemd installiert wurden. Es wird auch keine vollständige Aktualisierung durchgeführt. Wenn ich mich also ohnehin reglmässig einloggen muß, kann ich auch gleich mal den Befehl

Code: Alles auswählen

apt-get update; apt-get dist-upgrade -s

in die Kommandozeile hacken und bei Bedarf

Code: Alles auswählen

apt-get dist-upgrade

und ggfls. reboot folgen lassen.

[oln]

Moin,

Nunja, und unattended-upgrades ist halt genau das, wonach es benannt ist, nämlich unbeaufsichtige Softwareaktualisierung.
Ich halte von solchen automatischen Updates allerdings gar nichts.

da stimme ich dir vollund ganz zu.
Ich kann mal eine kleine Anekdote zum Besten geben. Ein Kollege hatte auch einen Server wo die Updates automatisch eingespielt wurden. Vor etliche Jahrren gabe es mal einen udev-Bug der dich ausgeperrt hat. Das ist Ihm dann auf den Fuß gefallen. Zum Glück wurde glaub ein Patch veröffentlicht, der dich dann wieder ins System gelassen hat. Der wurde dann auch wieder automatisch eingespielt. Da hatte er dann Glück mit den automatischen Updates.

[hikaru]

unattendes-upgrades kann bei entsprechender Konfiguration auch automatisch einen Reboot einleiten, wenn nötig.

[MSfree]

Vor etliche Jahrren gabe es mal einen udev-Bug der dich ausgeperrt hat.

Aussperren sollte aber bei einem SSH-Login nicht passieren, zumindest nicht udev-bedingt.

Das ist aber trotzdem sehr anekdotisch, denn auch ein manuelles dist-upgrade hätte ihn ausgesperrt, zumindest nach dem Logout wäre ein erneutes Login genauso unmöglich gewesen. Hier besteht also kein Unterschied zwischen manuellen und automatischen Updates.

Ich führe allerdings meine dist-upgrades zunächst mit -s, also simuliert, aus, um zu sehen, was da alles reinkommt. Ich habe hier also noch die Chance, die Changelogs zu lesen bevor es zu spät ist. Aber auch das ist trockene Theorie, denn wer liest schon alle Changelogs wirklich gründlich durch und hat dann auch noch so viel Wissen, beurteilen zu können, ob da etwas potentiell gefährliches eingespielt würde?

Der große Vorteil, erstmal das dist-upgrade zu simulieren, ist, daß man mitbekommt, wenn grundlegende Pakete wie grub, kernel und systemd zum Update anstehen, was bei einem ferngewartetem Server immer mit Vorsicht zu geniessen ist. Da kommt man halt nicht so einfach mit Grml-Stick, Tastatur und Monitor zur Reperatur dran. Sowas lasse ich dann ganz gerne erstmal im Abklingbecken und beobachte z.B. dieses Forum, ob Probleme auftreten.

Bei einer nicht bootenden Kiste zuhause ist es in der Regel kein großer Klimmzug, das Problem zu beheben, Grml und chroot sei dank.

[MSfree]

unattendes-upgrades kann bei entsprechender Konfiguration auch automatisch einen Reboot einleiten, wenn nötig.

Je nach Zweck des Rechners will man das aber nicht unbedingt.

Einen GIT-Server, von dem sich hunderte Entwickler bedienen, sollte man halt nicht mitten im Betrieb booten. Ein 2 Wochen laufender Rechenprozeß sollte auch erstmal durchkommen und nicht nach 13 Tagen zwangsgebootet werden.

OK, bei einem höchstbrisanten Sicherheitloch bleibt einem nichts anderes übrig, in den meisten Fällen ist es jedoch vertretbar, den Reboot auf einen passenden Zeitpunkt zu verschieben.

[cosinus]

Ich halte von solchen automatischen Updates allerdings gar nichts.

Ich auch nicht. Ich lasse mich lieber per Mail von apticron benachrichtigen, ob und wenn ja welche Updates für welchen Server verfügbar sind.

[Blackbox]

Man muß sich trotzdem regelmässig einloggen, um nachzusehen, ob ein reboot nötig ist, weil z.B. ein neuer Kernel oder ein neuer systemd installiert wurden.

Bei einem Server könnte man sich auch informieren lassen, wenn ein Rebbot erforderlich ist.
Eigentlich fordert leider udev (un)regelmäßig zu einem Reboot auf.
Vielleicht möchte man sich überdies auch informiert werden, welche Pakete aktualisiert wurden und eventuell etwas über deren Changelogs zu erfahren, beides ist möglich mit unattended-upgrades und deren direkter Abhängigkeiten.
Das Versenden dieser Informationen könnte beispielsweise ein MTA übernehmen.
Auch automatisierte Reboot sind möglich.

//Edit: (hikaru war fixer).

Es wird auch keine vollständige Aktualisierung durchgeführt.

Im Installationsstandard nicht, das stimmt, aber ein paar Konfigurationsdateien angepasst und schon wäre auch ein full-upgrade möglich, es stellt sich lediglich die Frage, ob man das wirklich will?

Wenn ich mich also ohnehin reglmässig einloggen muß, kann ich auch gleich mal den Befehl

Code: Alles auswählen

apt-get update; apt-get dist-upgrade -s

in die Kommandozeile hacken und bei Bedarf

Code: Alles auswählen

apt-get dist-upgrade

und ggfls. reboot folgen lassen.

Das kommt wohl maßgeblich auf den verwendeten Releasezweig an, aber da es in diesem Thread um einen Server gehen soll, wird primär Debian stable thematisiert.

[MSfree]

Vielleicht möchte man sich überdies auch informiert werden, welche Pakete aktualisiert wurden

Ich bevorzuge es, darüber informiert zu werden, weilche Pakete zum Update anstehen, also bevor sie installiert sind.

Im Installationsstandard nicht, das stimmt, aber ein paar Konfigurationsdateien angepasst und schon wäre auch ein full-upgrade möglich, es stellt sich lediglich die Frage, ob man das wirklich will?

Allerdings will man das, und zwar unabhängig davon, ob man stable, testing oder SID fährt.

Diese halben upgradess, die mit apt-get upgrade eingespielt werden, haben mir schonmal ein stable fast bis zur Unbenutzbarkeit verhunzt, mit apt-get dist-upgrade wäre das nicht passiert. Denn auch stable bekommt alle paar Monate ein Pointrelease und auf die wird man per upgrade nicht hochgehievt.

Und damit andere nicht so versierte Leser hier nicht durcheinander kommen:
apt-get dist-upgrade führt zum sleben Ergebnis wie apt full-upgrade. Ob man lieber apt-get oder apt nutzt, überlasse ich jedem selbst. apt ist halt TUI, apt-get ist CLI und damit skriptbar.

[oln]

Aussperren sollte aber bei einem SSH-Login nicht passieren, zumindest nicht udev-bedingt.

Das ist aber trotzdem sehr anekdotisch, denn auch ein manuelles dist-upgrade hätte ihn ausgesperrt, zumindest nach dem Logout wäre ein erneutes Login genauso unmöglich gewesen. Hier besteht also kein Unterschied zwischen manuellen und automatischen Updates.

Das weiß ich nicht mehr so genau. Ich führe dann Updates immer einen Tag später aus. Vorher schau ich mir den Bugtracker an, ob da etwas im Busch ist. Dann sollte es mir bei manuellen Updates nicht passieren.

[romeylo]

Tach zusammen,
entschuldigt die "dumme" Frage meinerseits.
Zum einen versuche ich es zu lernen, zum anderen ist für MICH so eine Aussage "das widerspricht dem Konzept eines Linux Servers!" nicht einleuchten. Letztendlich ist es mir egal bzw. ICH nutze es wie es mir gefällt oder ich es am besten nutzen kann.
Über Sinn und Unsinn in der Welt redet niemand.
Und bestimmt hab ich ich mich nicht korrekt ausgedrückt und das was mir im Kopf wuselt aufzuschreiben. Server, ja, für den Heimgebrauch, in MEINEM privaten Netzwerk, ohne wichtige Dinge drauf. Quasi ein Eigenbau NAS (OMV läuft bei mir). Was neues zu lernen ist kein Fehler.
Bisher läuft ein Debian PC klaglos, wo ich alle x-Tage mal manuell nach Updates suche.
Vielen Dank für die Beiträge. Meine Vorgehensweise wird, mit meinem leihenhaften Wissen, somit weiterhin lerneng by Doing sein, lesen im Netz, try an error...kann nix kaputt gehen. Und wenn, NEU.
Mit den Experten hier kann ich nicht mithalten, teile manche Meinung nicht. Danke trotzdem allen.
Der Beitrag kann geschlossen werden

[tobo]

Denn auch stable bekommt alle paar Monate ein Pointrelease und auf die wird man per upgrade nicht hochgehievt.

Du bist noch immer dieser irrigen Annahme mit dem Pointrelease?
viewtopic.php?p=1291976#p1291976

apt ist halt TUI, apt-get ist CLI und damit skriptbar.

apt ist auch CLI. aptitude hat hingegen einen TUI-Mode.

[heisenberg]

Zum einen versuche ich es zu lernen, zum anderen ist für MICH so eine Aussage "das widerspricht dem Konzept eines Linux Servers!" nicht einleuchtend. Letztendlich ist es mir egal bzw. ICH nutze es wie es mir gefällt oder ich es am besten nutzen kann.

Das ist die Aussage einer Person hier aus dem Forum. Auch wenn ich selbst niemals auf die Idee käme, ohne Not eine GUI auf einen Linux-Server zu installieren - von WebGUIs für manche Fälle mal abgesehen - würde ich doch niemals meine Meinung zum Standard erheben. Insofern: Erfreulich, dass Du Dich davon nicht beeindrucken lässt!

Am Anfang zum lernen kann eine GUI hilfreich sein, aber es kann natürlich auch sein, dass man dann den Lerneffekt nicht hat, weil man nicht lernt, wie Dinge auf der Konsole funktionieren, bzw. weil manche GUI-Tools Administrationsaufgaben auf eher komplizierte Weise lösen. Da ist die Konsole nachhaltiger. D. h. möglicherweise wird der Schritt von der GUI wieder auf die CLI schwieriger, als dies gleich zu tun.

Ansonsten noch eine Bitte: Bitte achte bei Deinen Beiträgen auf eine gut lesbare Form (Absatzgestaltung, Satzbau) und beachte die Rechtschreibung, so dass es Helfern und späteren Lesern einfacher fällt aus Deinen Beiträgen Nutzen zu ziehen.

Viele Grüße,
h.

[romeylo]

Das ist die Aussage einer Person hier aus dem Forum. Auch wenn ich selbst niemals auf die Idee käme, ohne Not eine GUI auf einen Linux-Server zu installieren - von WebGUIs für manche Fälle mal abgesehen - würde ich doch niemals meine Meinung zum Standard erheben. Insofern: Erfreulich, dass Du Dich davon nicht beeindrucken lässt!

Hi,
vielen Dank für deine Meinung. Ich war schon einigermaßen erschüttert über diese Antwort. Aber gut, so wie du schreibst, die Meinung eines Einzelnen.

Am Anfang zum lernen kann eine GUI hilfreich sein, aber es kann natürlich auch sein, dass man dann den Lerneffekt nicht hat, weil man nicht lernt, wie Dinge auf der Konsole funktionieren, bzw. weil manche GUI-Tools Administrationsaufgaben auf eher komplizierte Weise lösen. Da ist die Konsole nachhaltiger. D. h. möglicherweise wird der Schritt von der GUI wieder auf die CLI schwieriger, als dies gleich zu tun.

Es mag mein vergehen sein die Situation nicht genau genug bzw. sehr schlecht beschrieben zu haben. Letztendlich geht es sich um

1. Zu lernen und zu verstehen

2. Meinen Debian PC, der für den normalen Gebrauch, surfen, Mails, sonstige Kleinigkeiten, möglichst zu automatisieren. Die Benutzung liegt zu 95% bei meiner Frau die mit Systemtechnik nichts am Hut hat. Somit auf jeden Fall mit GUI, so einfach wie möglich, so sicher wie möglich. Und wenn es dort ein "Button" gibt der die Funktion her gibt nehme ich ihn gerne an.

3. Meine Versuche mit Debian als Homeserver. Wie schon geschrieben läuft bei mir ein OpenMediaVault. Ganz gut, dennoch finde ich das OMV nicht optimal. Der Rechner wird als MediaServer von mir und meinem Sohn benutzt. Größere Dateien über das Netzwerk darauf schieben ist sehr langsam. Anders herum geht es nur mit dem manuellem Einbinden der Datenträger und Austausch der Daten per MC. Geht, klar. Aber ist schon umständlich und setzt gewisse, wenn auch geringe Kenntnisse voraus.
Dazu habe ich schon einige Male versucht einen Debian Server ohne GUI aufzusetzen. Dieser sollte gewisse Funktionen bereitstellen wie z.B. einen DLNA-Server, bestenfalls sowas wie einen Datei-Explorer zum Datenaustausch. On top habe ich mich dort auch schon mit VM´s beschäftigt. Insgesamt hat es aber alles noch nicht so geklappt das es dazu gereicht hätte um OMV abzusetzten.

4. Und auf die Sicherheit zurück zu kommen, fand ich bei meiner Netzsuche die ganzen How-To´s zum unattended-upgrades UND die der GUI, wo ich nunmal nicht weiß ob dies in die gleiche Richtung geht oder vom Grundsatz völlig anders ist. Die "unbeaufsichtigten Sicherheitsupdates" wären, egal ob sie automatisch installiert oder es nur eine Mailmitteilung dazu geben würde, schon ein Gewinn. Auf jeden Fall schon mal für den PC meiner Frau.

Ansonsten noch eine Bitte: Bitte achte bei Deinen Beiträgen auf eine gut lesbare Form (Absatzgestaltung, Satzbau) und beachte die Rechtschreibung, so dass es Helfern und späteren Lesern einfacher fällt aus Deinen Beiträgen Nutzen zu ziehen.

Normalerweise achte ich auf diese Dinge... sollte es wirklich so schlecht gewesen sein (setzen=sechs) bitte ich um Entschuldigung.
Gruß
Roland
PS. tut mir leid wenn ich jemanden im Post vorher auf die Füße getreten bin

[heisenberg]

2. Meinen Debian PC, der für den normalen Gebrauch, surfen, Mails, sonstige Kleinigkeiten, möglichst zu automatisieren. Die Benutzung liegt zu 95% bei meiner Frau die mit Systemtechnik nichts am Hut hat. Somit auf jeden Fall mit GUI, so einfach wie möglich, so sicher wie möglich. Und wenn es dort ein "Button" gibt der die Funktion her gibt nehme ich ihn gerne an.

Das ist dann ja primär kein "Server" sondern Arbeitsplatz-PC. Insofern ist die grafische Oberfläche ja normal. Wenn den PC jemand benutzt, der keine Ahnung davon hat, dann wäre eine Erwägung, dass der PC durch automatische Updates nicht außer Gefecht gesetzt wird. Auch wenn die Wahrscheinlichkeit da bei Debian-Stable gering ist, würde ich dass dann doch eher machen, wie MSfree das vorgeschlagen hat: Gelegentlich ein manuelles apt full-upgrade. So dramatisch sollte das im Heimgebrauch ja nicht sein, wenn man das vielleicht nur monatlich oder so macht. Ist vielleicht besser, als wenn dann ein spontaner Admin-Einsatz notwendig wird, den man in dem Moment gerade gar nicht gebrauchen kann.

...bestenfalls sowas wie einen Datei-Explorer zum Datenaustausch.

Da würde ich nextcloud für empfehlen. Das hat ein einfaches Webinterface, mit dem sich jeder zurecht finden dürfte.

PS. tut mir leid wenn ich jemanden im Post vorher auf die Füße getreten bin

Mir bist Du nicht auf die Füße getreten. Die hohe Kunst ist es, jemanden, der inkompatible Vorstellungen zum eigenen Anliegen hat, trotzdem freundlich zu antworten und unbeirrt sein Ding zu machen. Ist jetzt nicht meine Fähigkeit, aber mein Ideal.

[MSfree]

3. Meine Versuche mit Debian als Homeserver. Wie schon geschrieben läuft bei mir ein OpenMediaVault. Ganz gut, dennoch finde ich das OMV nicht optimal. ... Größere Dateien über das Netzwerk darauf schieben ist sehr langsam.

An der Datenrate trifft OMV aber keine Schuld. OMV ist nur eine Software, die ein Webinterface zur Verfügung stellt, um RAIDs und Freigaben einzurichten und für die Benutzerverwaltung. im Grunde kann man alles auch von der Kommandozeile machen.

Unten drunter laufen standard Linuxprogramme wie Samba für die Windowsfreigabe und der KernelNFS-Server um Linuxrechner zu vernetzen. Beides ist völlig problemlos dazu in der Lage, ein Gbit-LAN zu sättigen, Übertragungsraten von 110MByte/s sind in meinem Netz völlig normal und nervös werde ich, wenn es mal unter 100MByte/s fällt.

MC ist zwar ein ziemlich guter Filemanager, schnelle Übertragung gehört aber nicht zu senen Stärken. Ähnliches gilt auch für Netzwerkübertragung mit einem graphischen Dateimanager, vor allem, wenn der die Freigaben im Userspace mountet. File-System in UserSpace (fuse) ist bekanntermassen ein Spaßbremse. Mountet man Dateisysteme unter LInux via NFS über die Kommandozeile, sind plötzlich auch die Dateimanager deutlich schneller.

[Blackbox]

PS. tut mir leid wenn ich jemanden im Post vorher auf die Füße getreten bin

Auf die Füße getreten? - Nein.
Mir gehen nur Personen auf den Geist, die einen Server betreiben möchten, aber nicht einmal erkennen, dass die Voraussetzungen hierfür nicht gegeben sind.