6 Tipps

Linux-Server im Netzwerk absichern

3. Automatisierte und regelmäßige Updates

Ein Linux-System kann sehr sicher sein, solange es regelmäßig Updates erhält. Denn auch ein vorbildlich konfiguriertes Linux-System kann durch neu entdeckte Bugs angreifbar werden. Obwohl die Paketmanager ein Systemupdate sehr komfortabel machen, werden Aktualisierungen im Alltag aber doch gerne mal aufgeschoben. Für Server bietet sich eine unbeaufsichtigte Aktualisierung im Hintergrund an, die neue, als Sicherheitsupdates markierte Pakete regelmäßig einspielt.

Debian, Raspbian und Ubuntu: Die Scripts für unbeaufsichtigte Updates installiert dieser Terminalbefehl:

sudo apt-get install unattended-upgrades

Danach verlangt das System nur noch kleinere Anpassungen. Rufen Sie das Konfigurationsscript mit

sudo dpkg-reconfigure --priority=low unattended-upgrades

auf, und beantworten Sie die Rückfrage nach dem automatischen Herunterladen und Installieren mit „Ja“. Die benötigten Einträge für einen täglichen Cronjob, der um 6:25 Uhr ausgeführt wird, erstellt das Konfigurationsscript nun selbständig. Testen können Sie dies mit diesem Befehl:

sudo unattended-upgrades --dry-run -d

Debian-und Ubuntu-Systeme bieten dieses unkomplizierte Konfigurationsscript für regelmäßige, unbeaufsichtigte Aktualisierungen per Cronjob.
Debian-und Ubuntu-Systeme bieten dieses unkomplizierte Konfigurationsscript für regelmäßige, unbeaufsichtigte Aktualisierungen per Cronjob.

Die Logdatei „/var/log/unattended-upgrades/unattended-upgrades.log“ protokolliert die Updates. Eine komplette Distributionsaktualisierung, die auch geänderte Abhängigkeiten unter Paketen beachtet, müssen Sie hin und wieder mit

sudo apt-get dist-upgrade

manuell ausführen.

Cent-OS: Im Klon von Red Hat Enterprise Linux gibt es das Paket „yumcron“, das unbeaufsichtigte Updates aktiviert. Sie installieren es mit

sudo yum install yum-cron

und finden die zugehörige kommentierte Konfiguration unter „/etc/yum/ yum-cron.conf“. Per Standard holt das Script alle Aktualisierungen – nicht nur Sicherheitsupdates. Mit

sudo systemctl enable yum-cron.service sudo systemctl enable yum-cron.service

schalten Sie den Dienst für Updates ein.

Open Suse: Egal ob Server oder Desktop – die Konfiguration eines Open-Suse-Systems erfolgt mit dem Tool Yast, das auch als textbasierte Version auf der Kommandozeile zur Verfügung steht. Um diese Version zu nutzen, installieren Sie zuerst mit dem Kommando

sudo zypper install yast2-onlineupdate- configuration

das Yast-Modul für automatische Updates und rufen dann Yast mit

sudo yast

in der Shell auf. Dann gehen Sie im Yast-Menü auf „Software -> Konfiguration der Online-Aktualisierung“ und schalten dort mit „Automatische Online- Aktualisierungen“ (Tastenkombination Alt-A) die Updates ein und wählen das Intervall. Voreingestellt sind wöchentliche Updates.

Für die Kommandozeile gibt es unter dieser Serverdistribution das unkomplizierte textbasierte Werkzeug system-config-firewall-tui.
Für die Kommandozeile gibt es unter dieser Serverdistribution das unkomplizierte textbasierte Werkzeug system-config-firewall-tui.