Kernelupdate auf einem Rootserver.

fuchsmi · Beitrag von **fuchsmi** » 25.01.2004 23:57:17

Hallo!
Ich habe einen Rootserver (hetzner) mit einem Debianimage. Leider ist bei dem Image noch der PTrace-Bug offen.

cat /proc/version
Linux version 2.4.18-686 (herbert@gondolin) (gcc version 2.95.4 20011002 (Debian prerelease)) #1 Sun Apr 14 11:32:47 EST 2002

ein Update ist also notwendig.
Was mir etwas im Magen liegt. Der Server ist produktiv, und ich hab aussschließlich SSH Zugang und kein Notfallsystem... Es sollte also alles gut durchdacht sein. Reboot und es MUSS laufen.

grrr.

Meine Erfahrung mit Linux ist an und für sich ganz gut. Bei Gentoo fühl ich mich zuhause und spiel mich auch viel mit Kernelbauen. Auf Debian hab ich allerding nicht allzuviel Erfahrung.

Hier mal der "Status" des Systems:

Code: Alles auswählen

albert:/boot# ls -la
total 4736
drwxr-xr-x    2 root     root         4096 Feb 19  2003 .
drwxr-xr-x   23 root     root         4096 Mar  5  2003 ..
-rw-r--r--    1 root     root       224124 Dec  2  2002 System.map-2.2.20-idepci
-rw-r--r--    1 root     root       408718 Apr 14  2002 System.map-2.4.18-686
-rw-r--r--    1 root     root         7988 Apr 13  2002 boot-bmp.b
-rw-r--r--    1 root     root         6204 Apr 13  2002 boot-compat.b
-rw-r--r--    1 root     root         7964 Apr 13  2002 boot-menu.b
-rw-r--r--    1 root     root         6204 Apr 13  2002 boot-text.b
-rw-r--r--    1 root     root          512 Dec  2  2002 boot.0300
-rw-r--r--    1 root     root          512 Feb 19  2003 boot.1600
lrwxrwxrwx    1 root     root           11 Feb 19  2003 boot.b -> boot-menu.b
-rw-r--r--    1 root     root          728 Apr 13  2002 chain.b

-rw-r--r--    1 root     root         3888 Dec  2  2002 config-2.2.20-idepci
-rw-r--r--    1 root     root        37064 Apr 14  2002 config-2.4.18-686
-rw-r--r--    1 root     root      2740224 Dec  6  2002 initrd.img-2.4.18-686
-rw-------    1 root     root        46080 Feb 19  2003 map
-rw-r--r--    1 root     root          656 Apr 13  2002 os2_d.b
-rw-r--r--    1 root     root       665509 Dec  2  2002 vmlinuz-2.2.20-idepci
-rw-r--r--    1 root     root       632393 Apr 14  2002 vmlinuz-2.4.18-686
albert:/boot#

Code: Alles auswählen

albert:/# ls -la
total 124
...
drwxr-xr-x    2 root     root         4096 Dec  2  2002 initrd
lrwxrwxrwx    1 root     root           26 Feb 19  2003 initrd.img -> boot/initrd.img-2.4.18-686
...
lrwxrwxrwx    1 root     root           23 Feb 19  2003 vmlinuz -> boot/vmlinuz-2.4.18-686
lrwxrwxrwx    1 root     root           26 Feb 19  2003 vmlinuz.old -> boot/vmlinuz-2.2.20-idepci

Code: Alles auswählen

albert:/# cat /etc/lilo.conf
...
default=Linux

image=/vmlinuz
        initrd=/initrd.img
        label=Linux
        read-only
#       restricted
#       alias=1

image=/vmlinuz.old
        label=LinuxOLD
        read-only
        optional
#       restricted
#       alias=2
...
albert:/#

Code: Alles auswählen

albert:/# lilo -V
LILO version 22.2

Des weiteren kommt mir vor als wäre mein APT etwas inkonsisten. Wenn ich nach einem

Code: Alles auswählen

albert:/# apt-get update
Hit http://http.at.debian.org stable/main Packages
Hit http://http.at.debian.org stable/main Release
Hit http://http.at.debian.org stable/contrib Packages
Hit http://http.at.debian.org stable/contrib Release
Hit http://http.at.debian.org stable/non-free Packages
Hit http://http.at.debian.org stable/non-free Release
Reading Package Lists... Done
Building Dependency Tree... Done
albert:/# cat /etc/apt/sources.list

ein deselect ausführe, keine Packete wähle, sondern nur auf "Install gehe, bekomme ich

Code: Alles auswählen

Reading Package Lists... Done
Building Dependency Tree... Done
42 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.
Need to get 23.1MB of archives. After unpacking 670kB will be used.
Do you want to continue? [Y/n]

ich weiß nicht was er da installieren möchte. Es gab zeiten da warens auch mehr als 42. Keine Ahnung. Ich baue sonst immer von Source.
Vielleicht liegts daran:

Code: Alles auswählen

albert:/# cat /etc/apt/sources.list
deb http://http.at.debian.org/debian stable main contrib non-free

da sollte doch normalerweise mehr stehen.

wie auch immer. erhöt das das Risiko beim Kernelupdate?

So, nun zum Update:
- welche Kernelversion soll ich verwenden? Was ist derzeit "stable"?
- welche patches sind dann dem kernel einzuspielen dass er auf neuerstem sicherheitsstand ist?
- und wer ist so geübt dabei dass er mir sagen kann welche schritte zu machen sind? Wer hat die "Debian-way" des Kernel inn und auswendig und weiß welche Probleme auftauchen können, wie man die erkennt und rechtzeitig behebt (vor dem reboot)
- was kann ich alles überprüfen VOR dem reboot um möglichst sicher zu gehen dass der Rechner auch sicher wieder hochkommt?

wäre um tipps dankbar...

pineiro · Beitrag von **pineiro** » 26.01.2004 09:05:18

schau doch mal zu http://www.rootforum.de dort geht es nur um Rootserver, ich denke da kann dir sicherlich geholfen werden

Bert · Beitrag von **Bert** » 26.01.2004 12:07:40

Wenn Du nicht irgendwelchen speziellen Features brauchst und Dir beim Kernel-selberdrehen noch etwas unsicher bist, dann würde ich Dir den 2.4.28bf empfehlen. Der wird natürlich bei bekannten Sicherheitslöchern auch aktualisiert. (wie ja erst vor kurzem passiert).

Damit apt-get Dir die Packete, die es aktualisieren will auch auflistet, gibt es die -u Option:

Code: Alles auswählen

apt-get -u upgrade

Wenn man das nicht ständig tippen will, dann kann man das auch fest in der Konfiguration von apt verankern.

PS: Editiere mal bitte Deinen Post und kürze die lilo.conf ein. Insbesondere die Kommentarzeilen sind hier völlig überflüssig. Wenn Du nicht verstehst warum, dann ist Dir der Link in meiner Signatur sicherlich erhellend

sebas · Beitrag von **sebas** » 27.01.2004 03:23:44

Hmmm ...

A temporary workaround can be used to defend against this flaw. It is
possible to temporarily disable the kmod kernel module loading
subsystem in the kernel after all of the required kernel modules have
been loaded. Be sure that you do not need to load additional kernel
modules after implementing this workaround. To use it, as root execute:

echo /no/such/file >/proc/sys/kernel/modprobe

To automate this, you may wish to add it as the last line of the
/etc/rc.d/rc.local file. You can revert this change by replacing the
content "/sbin/modprobe" in the /proc/sys/kernel/modprobe file. The
root user can still manually load kernel modules with this workaround
in place.

http://www.linuxsecurity.com/advisories ... -3082.html

Du kannst es testen indem Du Dir den Rootexploit runterlädst und es vor und nach dem Workaround testest. (Disclaimer: Was man auf einem Produktivsystem nicht machen sollte!) Ich kann auch nicht mit Sicherheit sagen ob es wasserdicht ist, aber wie du die Risiken (und Kosten!) die ein Reboot mit sich bringt dagegen abwägst bleibt eh Dir überlassen.

Ich habe übrigens keine schlechten Erfahrungen mit Remote Kernel Upgrades gemacht in der letzten Zeit, man muss nur sehr vorsichtig und konzentriert sein, und halt nichts vergessen.

fuchsmi · Beitrag von **fuchsmi** » 30.01.2004 15:28:27

Bert hat geschrieben:Wenn Du nicht irgendwelchen speziellen Features brauchst und Dir beim Kernel-selberdrehen noch etwas unsicher bist, dann würde ich Dir den 2.4.28bf empfehlen. Der wird natürlich bei bekannten Sicherheitslöchern auch aktualisiert. (wie ja erst vor kurzem passiert).

geh ich richtig von der annahme dass du 2.4.18bf meinst (28 gibts ja nicht...).
ich hab in meinem Sourcen kernel-image-2.4.18-bf2.4 2.4.18-5woody6
ist der aktuell?