Automatiska säkerhetsuppdateringar?

[ubot]

I Ubuntu finns det som bekant en inställning för att låta Ubuntu sköta nedladdning och installation av säkerhetsuppdateringar automatiskt. Jag undrar om det finns någon nackdel med att detta sker automatiskt jämfört med att manuellt bestämma tidpunkt för installationen av säkerhetsuppdateringarna. Finns det t.ex. risk att en säkerhetsuppdatering inte blir ordentligt utförd om man samtidigt som den automatiska uppdateringen sker använder ett program eller något?

Finns det någon nackdel med att låta Ubuntu sköta säkerhetsuppdateringen automatiskt på en stationär dator med obegränsad datatrafik på uppkopplingen?

Jag tänker på den här inställningen för er som inte vet: http://www.liberiangeek.net/wp-content/ ... ates_3.png

[webaake]

Jag körde länge med det men tröttnade. När jag loggade in (ssh på ubuntuservern) kunde jag ibland bli uppmanad att en omstart behövdes. Att då gå in i loggarna och kolla exakt vad som installerats för att eventuellt kunna undvika en katastrof, kändes inte så bra. Det är bättre att manuellt köra uppdateringarna när man har tid att hantera eventuella problem, tycker jag. Dessutom har jag strömavbrott då och då, vilket inte är så lyckat mitt i en uppdatering.

[ubot]

Strömavbrott är ju en risk, men det kan ju lika väl inträffa nät du uppdaterar manuellt. Men visst, kör du många uppdateringar per gång så minskar ju risken att en omgång uppdateringar avbryts. Dock så innebär ju en manuell installation att säkerhetsuppdateringarna riskerar att dröja och ev. säkerhetsrisker finns kvar längre tid ...

[johanre]

Jag håller inte med webaake. Jag ser det inte alls som ett större problem, snarare som en fördel att systemet alltid är väluppdaterat. I utbyte tar jag gärna att jag lite då och då får starta om.

[JoWa]

Jag använder alternativet ”Visa omedelbart” (men brukar även kolla manuellt då och då (har några PPA)).

[ubot]

Nackdelen med "Visa omedelbart" är ju att uppdateringarna inte installeras så snabbt som möjligt om du inte sitter vid dator, t.ex. om datorn står på hemma.

[webaake]

Min server är en headless 24/7 och bootas inte om så ofta, annat än vid just strömavbrott och uppdateringar. Säkerhetsuppdateringar är ju oftast kernel och annat som kräver omstart för att aktiveras. Jag gillar att ha koll helt enkelt. Annat är det med en vanlig desktop.

[ubot]

Min server är en headless 24/7 och bootas inte om så ofta, annat än vid just strömavbrott och uppdateringar. Säkerhetsuppdateringar är ju oftast kernel och annat som kräver omstart för att aktiveras. Jag gillar att ha koll helt enkelt. Annat är det med en vanlig desktop.

Men servern startar knappast om automatiskt bara för att säkerhetsuppdateringar som kräver omstart installeras? Eller?
Omstarterna är därför inget problem utan problemet med automatiska säkerhetsuppdateringar är i ditt fall i.s.f. snarare att du inte har koll på vilka uppdateringar som installeras i systemet när det sker automatiskt. Detta ska ju då ställas mot att du riskerar säkerhetshål om du inte startar om datorn när en säkerhetsuppdatering kräver det.

Jag funderar på en sak till. Jag har ställt in mitt Desktop-system på att ladda ner och installera automatiska säkerhetsuppdateringar men efter en uppdatering som kräver omstart så får man ingen varning? Det här är ju negativt jämfört med att få upp ett meddelande om att uppdateringar finns tillgängliga eftersom det inte är säkert att jag startar om (och därmed aktiverar säkerhetsuppdateringarna) om dessa installeras i smyg i bakgrunden. Eller är det så att operativsystemet meddelar att man måste starta om datorn även om man installerar säkerhetsusppdateringarna automatiskt i Desktop-versionen? Jag har aldrig fått en sådan varning i Lubuntu 12.04. Kanske för att ingen säkerhetsuppdatering har krävt omstart eller för att varningsmeddelandena inte fungerar i Lubuntu? Jag har för mig att Ubuntu visade varningsmeddelanden när systemet krävde omstart även om man hade ställt in systemet på automatiska säkerhetsuppdateringar.

[johanre]

Min server är en headless 24/7 och bootas inte om så ofta, annat än vid just strömavbrott och uppdateringar. Säkerhetsuppdateringar är ju oftast kernel och annat som kräver omstart för att aktiveras. Jag gillar att ha koll helt enkelt. Annat är det med en vanlig desktop.

Men servern startar knappast om automatiskt bara för att säkerhetsuppdateringar som kräver omstart installeras? Eller?
Omstarterna är därför inget problem utan problemet med automatiska säkerhetsuppdateringar är i ditt fall i.s.f. snarare att du inte har koll på vilka uppdateringar som installeras i systemet när det sker automatiskt. Detta ska ju då ställas mot att du riskerar säkerhetshål om du inte startar om datorn när en säkerhetsuppdatering kräver det.

Precis så är det - en avvägning mellan olika prioriteringar. Jag föredrar att alltid ha senaste säkerhetspatchar installerade, men jag kan även förstå om man föredrar en annan prioritering.

Jag funderar på en sak till. Jag har ställt in mitt Desktop-system på att ladda ner och installera automatiska säkerhetsuppdateringar men efter en uppdatering som kräver omstart så får man ingen varning? Det här är ju negativt jämfört med att få upp ett meddelande om att uppdateringar finns tillgängliga eftersom det inte är säkert att jag startar om (och därmed aktiverar säkerhetsuppdateringarna) om dessa installeras i smyg i bakgrunden. Eller är det så att operativsystemet meddelar att man måste starta om datorn även om man installerar säkerhetsusppdateringarna automatiskt i Desktop-versionen? Jag har aldrig fått en sådan varning i Lubuntu 12.04. Kanske för att ingen säkerhetsuppdatering har krävt omstart eller för att varningsmeddelandena inte fungerar i Lubuntu? Jag har för mig att Ubuntu visade varningsmeddelanden när systemet krävde omstart även om man hade ställt in systemet på automatiska säkerhetsuppdateringar.

Varningsmeddelanden får jag alltid i Ubuntu 12.04. Så, ja, det låter nästan som om Lubuntu är orsaken. Om du har slagit på och kan ssh:a in till din maskin så bör du se ett varningsmeddelande vid inloggningen där. Ungefär som nedan:

Kod: Markera allt

Welcome to Ubuntu 12.04 LTS (GNU/Linux 3.2.0-27-generic-pae i686)

 * Documentation:  https://help.ubuntu.com/

  System information as of Sun Aug 12 08:22:45 CEST 2012

  System load:  0.58                Processes:           198
  Usage of /:   86.5% of 292.45GB   Users logged in:     1
  Memory usage: 23%                 IP address for eth0: XXX.YYY.XXX.YYY
  Swap usage:   0%

  => / is using 86.5% of 292.45GB

  Graph this data and manage this system at https://landscape.canonical.com/

0 packages can be updated.
0 updates are security updates.

*** System restart required ***
Last login: Sat Aug 11 20:51:23 2012 from 192.168.1.89

[webaake]

En annan fråga är hur man definierar "Säkerhet". Driftssäkerhet, intrångssäkerhet, säkerhet mot virus/trojaner/spyware ? Min tolkning är att t ex en kerneluppdatering mest handlar om driftssäkerhet i termer av drivrutiner och systemstabilitet och bara till en viss del annan säkerhet.

Givetvis finns det en mängd andra komponenter som ssh, apache, mysql m m som kräver uppdateringar mot säkerhetshål. Större säkerhetshål brukar ju alltid skrivas om i media och har man då gjort sina uppdateringar manuellt har man lite bättre koll. Man kan kanske t o m gå ett steg längre än vad Canonical erbjuder i sina repos.

[Christian Johansson]

Jag tycker att många säkerhetshål som upptäcks verkar gälla om man kör server eller fleranvändarsystem (t.ex. att användare felaktigt kan få root-behörighet) så om man som jag bara kör desktop (ej server) och bara är en användare på datorn och dessutom kör bakom en router med brandvägg så gissar jag att behovet av att installera säkerhetsuppdateringar omedelbart minskar.

[David Andersson]

Finns det t.ex. risk att en säkerhetsuppdatering inte blir ordentligt utförd om man samtidigt som den automatiska uppdateringen sker använder ett program eller något?

Som svar på delfrågan utan att lägga mej i de andra aspekterna:

Nej, en uppdatering störs inte av att ett program körs. Men det omvända kan hända, att ett program som körs störs av att det samtidigt uppgraderas. Det gäller främst "komplicerade" program som använder libbar och hjälpprogram, t.ex. firefox och openoffice. Men det verkar ändå vara ovanlig att det blir problem.

(Bakgrund: När ett program startar laddas det från disk till ram. Om programmet använder libbar, och det gör de flesta, så laddas libbar från disk till ram när de behövs. Om flera program använder samma lib laddas de bara en gång till ram och delas av alla program. (Så alla vanliga libbar är laddade från dag ett.) Om ett program startar före en uppgradering och den använder en lib först efter en uppgradering så finns en liten risk att programmet och libben inte är kompatibla, och programmet krashar. Bash-script har ofta en tendens att krasha om de uppgraderas medan de körs, men inte perl- och python-script. Teoretiskt kan det också hända att om man har ont om minne och delar av ett program swappas ut före en uppgradering och den delen ska köras igen efter en uppgradering, så är programkoden som swappas tillbaka inte från samma version. Då krashar programmet. (Program swappas inte till swaparean, utan läses bara om från programfilen på disken.) Uppdateringen kan undvika det senare problemet genom att skapa en ny programfil och radera den gamla, i stället för att skriva över den gamla. Om den gör det vet jag inte.)

(Reservation för fell. Informationen ovan kan vara föråldrad eller baserad på missförstånd.)

[ubot]

Tack för synpunkterna David A.