Diese Webseite nutzt nur technisch notwendige Cookies.

Linux Desktop und Server updaten und patchen – Best Practices (2024)

Linux updaten - Steffen Lippke Hacking and Security Tutorials

Wie halte ich Linux Server und Desktops aktuell?

Dieser Guide zeigt Dir wie es schlau geht!

Starten wir!

Wahl der Distribution

Linux Server – Im Unternehmen keine halbe Sache

Open Source bedeutet nicht, dass der Betrieb der Software kostenlos ist. Wer ernsthaft Linux nutzt, verpflichtet ein anderes Unternehmen oder internen Spezialexperte für eine Enterprise Version von Linux.

Linux betreiben kostet Geld
Linux betreiben kostet Geld

Diese stehen dann für Fragen zur Verfügung und bringen die notwendige Expertise, um ernsthaft Linux zu verwenden. Auf dem Markt gibt es ein paar Anbieter, die Du je nach Deine benötigten Leistungen auswählen solltest.

Du solltest nicht einfach Dein Lieblingsdistro auf einen Server installieren und dann diese produktiv nennen.

Auha!

Linux Desktop – Bekannte ist Top

Der Linux Desktop lebt von der Community.

Software ohne Ende - aber aktuell?
Software ohne Ende – aber aktuell?

Je größer die Community ist, desto eher gibt es Patches und Antworten auf jegliche Frage. Die bekanntesten Vertreter sind Debian und Arch. Statt eine perfekt angepasste Distribution auszuwählen, passe die Debian und Arch mit wenigen Schritten an.

Stable Version statt Edge

Jeder liebt Features – außer der Sicherheits-Nerd.

Neue Features sind neuer Code mit neuen Lücken. Bevor Du ein neues Feature in die Produktion schickst, solltest Du dieses gut testen.

Kein Endnutzer braucht ein Produkt, welches nur halb funktioniert; Sicherheitslücken braucht keiner.

Sei langweilig. Nicht hip. Bleibe einfach auf den Stable-Branch. Teste die neuen Bleeding-Edge Sachen in einer virtuellen Maschine, wenn diese Dich interessieren.

Computer und Software sind nicht Selbstzweck, sondern sollen robust und zuverlässig ihre Aufgabe für die reale Welt erledigen. Das gilt für alle Betriebssysteme!

Steffen Lippke

Bei einem Desktop Linux ist nur 1 Person betroffen, trotzdem möchtest Du nicht Datenverlust erleiden oder sonstige schlimme Sachen erleben.

Software – Aber woher?

Woher Software bekommen? Du siehst den Wald vor lauter Paket-Formaten nicht mehr?

Software-Quellen und Möglichkeiten

Debian kommt mit einer Vielzahl an Software, welche Du mit apt installieren kannst.

Halte die Softwareinstallation so einfach wie möglich. Nutze möglichst nur 1 Paket-Manager und mische nicht die Software aus AppImage, Flatpak, nix und apt.

Flatpak ist was für Faule
Flatpak ist was für Faule

Ich weiß, dass es nicht ganz ohne geht. Wähle Deinen Paket-Manger mit bedacht. Du musst Deinen Paketmanager kennen, um die ein effektives Patching durchzuführen.

Auto Security Patching von Hersteller

Kaum einer würde gerne in der Nacht aufstehen, nur weil ein Autist in Amerika eine 10.0 CVE in PHP findet :-). Deshalb aktivere das Auto-Patching, welches Dein Betriebssystem mitbringt. Das System eliminiert die Sicherheitsbugs im laufendem Betrieb und zu unmenschlichen Zeiten.

Bei Debian sieht es so aus.

sudo apt update
sudo apt install unattended-upgrades

Mehr zu der Einrichtung: https://linuxiac.com/how-to-set-up-automatic-updates-on-debian/

Auto Updates - Auto sicher?
Auto Updates – Auto sicher?

Der (Alb) Traum von Patching

Viel effizienter und schnell patchen

Patching ist eine sehr zeitintensive Aufgabe, die sich pro Server multipliziert. Die Arbeitsschritte können einen schnell in den Wahnsinn treiben, wenn zu wenig Personal für zu viele Server zuständig ist:

  • Muss ich überhaupt patchen? Ist der Server überhaupt betroffen? Ist eine andere Version betroffen?
  • Darf ich überhaupt patchen? Gibt es Service Level Agreements für Kunden? Was sind die Wartungsfenster? Wie dringend ist der Patch überhaupt?
  • Kann ich den Teil der Software ausschalten, der betroffen ist, um diese nicht sofort zu patchen?
  • Wie hoch ist die Verfügbarkeit des Systems? Was passiert, wenn das Update schiefgeht? Welche Konsequenzen hat das?

Red Hat, Ubuntu oder OpenSuse kennen das Problem und bietet eine Steuerungszentrale für das Patching an. Viele Server haben ähnliche Konfigurationen und erledigen ähnliche Aufgaben – hier kannst Du Zeit sparen. Die Programme sind oft für Unternehmen exklusiv oder ab X (virtuellen) Geräten zahlungspflichtig.

Die Angst vorm Patching – Rollback Strategien

Keiner mag Patching, gerade wenn es die Produktion durcheinander bringt. Ein Downgrade ist nicht vorgesehen oder macht noch mehr kaputt. Baremetal-Backups oder Snapshots sind Gold wert, wenn Du diese einspielst.

Bei virtuellen Maschinen kann man einfach einen Snapshot machen und diesen in seinem Datalake speichern. Nur wenn der Backup-Job komplett und fehlerfrei durchgelaufen ist, startet das Autopatching.

Linux Desktop – Maximale Bequemlichkeit

Cron-Jobs sind Befehle, welche zu einer bestimmten Uhrzeit oder in einem bestimmten Zeitintervall ausgeführt werden. Das folgende Update Script updatet eine Debian / Ubuntu System mit Flatpaks einfach und automatisch.

Das ist viel zu früh ...
Das ist viel zu früh …

Gleichzeitig befreit der Befehl das System von Cache und Ballast, den keiner mehr braucht.

Vorsicht! Im Gegensatz zu Auto-Updates der Hersteller updatet die Software auch Features (bzw. alles).


#!/bin/bash

# Aktualisiere die Debian Paket, führe Distro-Upgrade aus und lösche alles unnötige

sudo apt-get update
sudo apt-get upgrade -y
sudo apt-get dist-upgrade -y
sudo apt autoremove -y

# Aktualisiere Flatpaks, lösche die Überbleibsel
sudo flatpak update -y
sudo flatpak uninstall --unused -y

# Aktualisiere aus die non-root Flatpaks (ersetze user mit Deinen Nutzer)

sudo -u user flatpak update -y
sudo -u user flatpak uninstall --unused -y

echo "#### Update finished"

Das Script kannst Du immer zu gleichen Zeit am Tag oder nach einem Reboot ausführen. Im Gegensatz zu Windows hast Du mit der einmaligen Einrichtung des Scripts kaum noch mit Updates zu tun, weil diese sich „magisch“ im Hintergrund updaten.

su
crontab -e

Füge in der letzten Zeile ein:

@reboot sleep 30m && /usr/local/bin/update

Solche Scripts sind im Desktop Bereich ok, weil der Schaden oft begrenzt ist. Skaliert über mehrere Server ist das Script nicht zu empfehlen. Außerdem sind Flatpaks für den Linux Desktop wichtiger.

AppImages aktuell halten

AppImages funktionieren sehr ähnlich wie .exe-Dateien; sie beinhalten alles, was diese zum Ausführen brauchen. Die meisten apt-Programme brauchen andere apt-Programme, welche die Installationsskripts je nach Bedarf nachinstallieren. AppImages beinhalten alles und sind nicht CLI-baisert wie Flatpaks.

Die Software AppImage Pool hilft Dir Deine AppImages zu verwalten und zu updaten. AppImages bringen das gleiche Problem wie .exe Dateien aus dem Internet mit sich. Die Programme updaten sich nicht von selbst. Einmal im Internet heruntergeladen, bleibt die Version immer gleich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Jetzt
Abbonnieren

Erhalte Free
Security Kurs

Jeden Monat teile ich mit Mitgliedern
4 neue praxisnahe Tutorials (je 1000+ Wörter).

Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!