Kernel wird bei Sicherheitsupdate ersetzt

[spawndebian]

Hallo,
mich stört das in der Überschrift beschriebene Verhalten, da z.B. mal ein Kernelupdate den Suspend an meinem Samsung-Netbook zerstört hatte (Systemabsturz nach Suspend) und ich deswegen mühsam die ältere Kernelversion besorgen musste. Bin erst seit Wheezy dabei- in früheren Version war dies wohl anders? Wünschenswert wäre für mich, wenigstens die n jüngsten Versionen zu behalten. Weiß jemand, wie das in jessie geplant ist, bzw. wie man auf die Verantwortlichen einwirken kann? Wird es fortgesetzt, wie in Wheezy? Als Zwischenlösung habe ich folgendes preinstall-Skript gefunden, habe es aber bisher nicht getestet. Eine in die Paketverwaltung integrierte Lösung erscheint mir darüber hinaus robuster...

http://www.codeyellow.nl/debian-kernel- ... ackup.html

Code: Alles auswählen

#! /bin/sh
# Author: Marcel Moreaux; Copyright (c) 2014 Code Yellow B.V.
# MIT-licensed (feel free to use, share, and modify, but keep attribution).

set -e

# Number of kernel backups to keep (not counting the original)
BACKUPS="4" 

DIR="/boot"
VERSION="$1"
DATE="$(date '+%Y%m%d%H%M')"

echo "Making backup of kernel/initrd..." > /dev/stderr

for F in "$DIR"/*-"$VERSION"
do
    # Clean up oldest copies to make room
    while [ $(ls "$F"* | wc -l) -gt "$BACKUPS" ]
    do
        O="$(ls ${F}~~* | sort | head -1)"
        echo "Removing oldest backup: $O" > /dev/stderr
        rm "$O"
    done

    # Make backup
    B="${F}~~backup$DATE"
    echo "Backup $F -> $B" > /dev/stderr
    cp -f "$F" "$B"
done

Gruß
spawndebian

[rendegast]

Beim Auto-Upgrader unattended-upgrades gibt es die Möglichkeit, Pakete auszuschließen,
'apt-config dump | grep -i blacklist':

Code: Alles auswählen

Unattended-Upgrade::Package-Blacklist "";
Unattended-Upgrade::Package-Blacklist:: "linux-headers-";
Unattended-Upgrade::Package-Blacklist:: "linux-image-";
Unattended-Upgrade::Package-Blacklist:: "linux-kbuild-";
Unattended-Upgrade::Package-Blacklist:: "linux-libc-dev";
Unattended-Upgrade::Package-Blacklist:: "virtualbox";
Unattended-Upgrade::Package-Blacklist:: "xen-linux-system";

Probleme nach einem Suspend sollten eigentlich nur entladene / neu zu ladende Module betreffen,
da der im Speicher befindliche Kernel weiterläuft.
Nach einem Reboot sollten Probleme nur auftauchen, wenn das Kernel-Upgrade nicht vollständig durchgelaufen ist,
was eigentlich "nur" die Erstellung der initrd betreffen sollte
(wird das neue Kernel-Image nicht nach /boot/ geschrieben, so liegen dort ja weiterhin vmlinuz und initrd des vorherigen Kernels).
Sicherheitshalber halte ich den Standardkernel UND den backports-kernel vor,
ein Systemstart sollte dann immer möglich sein.

Vorheriges vmlinuz und initrd könnten auch in der Art vmlinuz.bak / initrd.bak behalten werden,
ein Bezug darauf ist beim Booten durch einfaches Editieren des grub-Eintrages möglich.
Automatisiert vielleicht durch ein Skript in /etc/kernel/preinst.d/ ?

[cronoik]

Du könntest die entsprechenden Pakete auch auf hold setzen. Beispiel

Code: Alles auswählen

apt-mark hold linux-image-amd64

[guennid]

Ich bin hier zwar nicht so firm wie viele andere hier im Forum, aber nach meinem Dafürhalten kannst du das sehr einfach verhindern, indem du den aktuellen Kern per apt-mark auf hold setzt. DANACH würde ich wie rendegast verfahren, d.h. bei Bedarf den zu ersetzenden Kern sichern und schauen, welche Unarten der neue hat.

Grüße, Günther

[DeletedUserReAsG]

Bei mir bleiben die alten Kernel auf dem System, wenn ein neuer kommt. Kann man auch irgendwo konfigurieren. Grundsätzlich ist’s nicht die beste Idee, den Kernel festzunageln und damit u.U. nach einiger Zeit mit einem System offen wie ein Scheunentor umherzubrowsen.

[cronoik]

Ist das den auch bei Sicherheitsaktualisierungen so? Ich dachte das trifft nur auf neuere Versionen (also gewöhnlich in testing und sid) zu. Bei einem Sicherheitsupdate wird der alte Kernel einfach entsorgt.

[DeletedUserReAsG]

Zumindest habe ich ’ne ziemlich lange Liste unter Wheezy im Grub-Menü (weil ich zu faul bin, aufzuräumen) und jeder davon ist startbar.

[cronoik]

Stimmt, habe gerade mal in den logs geschaut die Vorgängerversion bleibt. Klar muss ja auch so sein da der Paketname anders ist und sich die beiden Pakete nicht gegenseitig ausschließen.

[guennid]

Grundsätzlich ist’s nicht die beste Idee, den Kernel festzunageln und damit u.U. nach einiger Zeit mit einem System offen wie ein Scheunentor umherzubrowsen.

Jepp! Ich hätte noch erwähnen sollen, dass ich meistens selbstkomplilierte Kerne verwende und die baue ich schon aus neueren Quellen. Aber der Standardkern bleibt immer drauf und da habe ich keine Lust auf ständige Udates, weil ich den eh nur testweise verwende, wenn neue hardware mit dem Eigenbaukern erst mal zickt.

Grüße, Günther

[spawndebian]

Zumindest habe ich ’ne ziemlich lange Liste unter Wheezy im Grub-Menü (weil ich zu faul bin, aufzuräumen) und jeder davon ist startbar.

Das ist interessant. Ich habe, wie auch aus dem Eingagspost hervorgeht, in meinem Wheezy eine ziemlich kurze Liste: Den momentanen Kernel und dessen Recoverymode (und 'nen Memtest, glaub ich).
In /boot hab ich äquivalent dazu auch nur jeweils einen Eintrag für initrd.img-3.2.0-4-amd64 und den entsprechenden vmlinuz etc.
Womit updatest du denn dein System? Ich hab bei mir ganz bequem den update-notifier so konfiguriert, dass Sicherheitsupdates automatisch installiert werden. Ist dein System eine Neuinstallation oder ein Upgrade aus einer alten Debianversion heraus?


Das "apt-mark hold PAKTET" benutze ich ja momentan, aber es wäre schon praktisch, so lange Kernelupdates installieren zu können, bis was kaputt geht (oder eben nicht..) und dann auf die letzte Version ausweichen zu können

Vorheriges vmlinuz und initrd könnten auch in der Art vmlinuz.bak / initrd.bak behalten werden,
ein Bezug darauf ist beim Booten durch einfaches Editieren des grub-Eintrages möglich.
Automatisiert vielleicht durch ein Skript in /etc/kernel/preinst.d/ ?

Ja, ok, was hältst du denn von dem Skript im Eingangspost (bin noch Bash-Anfänger...)

[DeletedUserReAsG]

Womit updatest du denn dein System? Ich hab bei mir ganz bequem den update-notifier so konfiguriert, dass Sicherheitsupdates automatisch installiert werden. Ist dein System eine Neuinstallation oder ein Upgrade aus einer alten Debianversion heraus?

aptitude und das System war eine native Wheezy-Installation via debootstrap. Das Verhalten mit den Kerneln kann man konfigurieren, hab’s aber nicht mehr im Kopf, wie genau man das macht – eine Suchmaschine wird dir sicher gerne weiterhelfen.

[spawndebian]

Womit updatest du denn dein System? Ich hab bei mir ganz bequem den update-notifier so konfiguriert, dass Sicherheitsupdates automatisch installiert werden. Ist dein System eine Neuinstallation oder ein Upgrade aus einer alten Debianversion heraus?

aptitude und das System war eine native Wheezy-Installation via debootstrap. Das Verhalten mit den Kerneln kann man konfigurieren, hab’s aber nicht mehr im Kopf, wie genau man das macht – eine Suchmaschine wird dir sicher gerne weiterhelfen.

Die Suchmaschine hab ich vor dem Post bereits ausführlich bemüht... Werde beim nächsten Kernelupdate mal schauen, was er mit aptitude machen will.

[spawndebian]

Hab mir jetzt mal den Spaß erlaubt und nen älteren Kernel installiert. Ergebnis:
- aptitude möchte den Kernel genauso ersetzten
- das preinstall-Skript funzt...

[KP97]

Wenn ich mich recht erinnere, passiert das nur, wenn man ein Kernel-Metapaket installiert hat.
Das solltest Du entfernen und stattdessen das gewünschte Kernelpaket installieren.
Also so:

inux-image-686-pae - Linux für moderne PCs (Metapaket)

linux-image-3.16.0-4-686-pae - Linux 3.16 for modern PCs

Dann wird auch nichts entfernt und der alte Kernel bleibt bei einem Update immer erhalten.

[spawndebian]

Hab die beiden Pakete

linux-image-amd64
linux-headers-amd64

entfernt (purge)

Der neue Kernel soll leider immer noch den alten ersetzen...

[KP97]

Wenn es ein Sicherheitsupdate für die aktuell laufende Version ist, dann ja.
Wenn es eine andere, ältere oder neuere Version, z.B. aus den Backports ist, dann bleibt die aktuell laufende Version auf dem System erhalten.