soll man von 3.1 auf 4.2 updaten?

Patches

New Member
Hallo liebe Forumsmitglieder

Vielleicht könntet ihr mir bei folgenden Problem weiterhelfen. Ich wurde gebeten die Netzwerkbetreuung bei uns am Lehrstuhl zu übernehmen und mich langsam (einen monat) in OpenBSD und Samba einzuarbeiten. Nach dieser Zeit würde der jetzige Administrator dann auch schließlich den Lehrstuhl verlassen können. Ich habe festgestellt, dass der Server noch auf dem Stand von 3.1 ist und inzwischen aber schon Version 4.2 erschienen ist. Updaten möchte der jetzige Admin nicht, weil er meint OpenBSD wäre anders als Windows und müsste nicht immer auf den neuesten Stand gebracht werden, sondern man sollte ein bestehendes System lieber so lange wie möglich laufen lassen.
Ist das eine richtige Einschätzung oder gibt es nicht vielleicht doch Sicherheitsprobleme, wenn ja welche wären denn die gravierensten (damit ich ihn vielleicht doch überzeugen kann)?
 
Hi,

http://cvs.openbsd.org/faq/de/upgrade42.html said:
Hinweis: Upgrades werden nur von einem Release zum direkt darauf folgenden Release unterstützt. Überspringe keine Releases.

Ich bilde mir auch ein gelesen zu haben, wie lange OpenBSD Security patches erhält, finde es aber auf die Schnelle nicht. Für 3.1 wirst du sicher keine mehr erhalten. Je nachdem was die Kiste macht, kann das schon ein Problem sein.

Ein Upgrade wird aber auch kein Kinderspiel sein.
HTH
 
also, der hat aber eine sehr interresante auffassung von Sicherheit ;) - es kommt aber auch auf die Nutzung an
Wenn das System nicht von aussen (Internet, u.u. WLAN) erreichbar ist, die benutzer entweder nicht die fähigkeiten haben, oder nicht das interresse haben einen angriff zu starten (und man sich dessen sehr sicher ist), keine sonderlich "spannenden" Dienste auf den Servern anbietet ... dann ist das villeicht "nicht ganz so schlimm" ;)
In allen anderen Fällen (und "Lehrstuhl" klingt nach Schülern, die ggf. auch motiviert sind mal ein bisschen "rumzucracken" um sich z.B. vorteile zu verschaffen) macht updaten sinn ;)
 
konkrete Gefahren

Hallo, schon mal vielen Dank für die Antworten. Ich hatte mir schon gedacht, dass mein Admin lediglich keine Ausfallzeit für den Sever riskieren möchte.
Ich wollte deshalb jetzt einen zweiten Server aufsetzen, der kurzzeitig die Aufgaben des ersten übernimmt und in dieser Zeit auf 4.2 updaten.

Habt ihr vielleicht eine Idee wie ich herausfinden kann welche konkreten Gefahren von einem veralteten System ausgehen. (Ich muss meinen Chef schließlich erklären können, warum wir einen zweiten Rechner brauchen).
Der Server ist mit ssh über das Internet erreichbar und verwaltbar, ansonsten laufen darauf keinerlei andere Anwendungen.
 
Hallo, schon mal vielen Dank für die Antworten. Ich hatte mir schon gedacht, dass mein Admin lediglich keine Ausfallzeit für den Sever riskieren möchte.
Ich wollte deshalb jetzt einen zweiten Server aufsetzen, der kurzzeitig die Aufgaben des ersten übernimmt und in dieser Zeit auf 4.2 updaten.

Den Stess, von 3.1 auf 4.2 upzudaten, wuerde ich mir sparen. Wenn da ausser Samba nichts drauf laeuft, duerfte eine Neuinstallation deutlich schneller und einfacher sein. Ein zweiter Server (oder wenigstens ein Testrechner, auf dem Du die Installation erstmal probeweise durchfuehrst) waere natuerlich trotzdem hilfreich.

Habt ihr vielleicht eine Idee wie ich herausfinden kann welche konkreten Gefahren von einem veralteten System ausgehen. (Ich muss meinen Chef schließlich erklären können, warum wir einen zweiten Rechner brauchen).
Der Server ist mit ssh über das Internet erreichbar und verwaltbar, ansonsten laufen darauf keinerlei andere Anwendungen.

Also laeuft doch nicht bloss Samba, sondern auch sshd. Was sonst noch?

Zu den vorhanden Risiken:

http://www.openbsd.org/errata31.html

und alle folgenden Errata. Mal abgesehen duerfte auch Samba einige (sicherheitsrelevante) Updates erfahren haben.

Und zum Zweitserver: wenn der Server wichtig ist, dann ist ein Backupsystem sowieso eine vernuenftige Investition. Schliesslich kann ein Server auch mal mit Hardwareschaden ausfallen.

Ciao,
Kili
 
OpenBSD pflegt einen Stable-Zweig (z. B. OPENBSD_4_2) immer ein Jahr lang nach erscheinen des Release weiter. Mit 4.3 wird also der Support für 4.1 auslaufen.

Der Server muss dringend aktualisiert werden, da allein OpenSSH seit damals einige wichtige Updates erfahren hat - und wenn er per SSH über's Internet erreichbar ist, dürfte es reiner Zufall sein, dass die Büchse noch nicht aufgemacht wurde. Gleiches gilt für Samba; allerdings steht das (hoffentlich) nur im internen Netz zur Verfügung?

Upgraden kannst Du vergessen; Du wirst weniger Downtime haben, wenn Du die Konfiguration wegsicherst, 4.2 frisch installierst, auf Stable hochziehst (das sollte unbedingt passieren, da seit dem Release von 4.2 schon einige Errata zusammengekommen sind) und anschließend die Dienste anhand der alten Konfiguration einrichtest. Alles in allem würde ich dafür maximal 5-6 Stunden veranschlagen, je nachdem, wie schnell die Kiste sich den Source Tree saugen und diesen übersetzen kann.
 
Evtl. als Idee wenn SSH direkt per "port" von aussen erreichbar ist: Evtl. macht es sinn das durch einen entsprechenden Paketfilter zu sichern, und durch ein VPN o.ä. erreichbar zu machen!
 
Ich denke auch, dass du auf alle Fälle aktualisieren solltest. An sich sollte dann schon der Hinweis darauf, dass sicherheitsrelevante Updates vorhanden sind, reichen, um deinen Chef zu überzeugen. Am schönsten geht sowas natürlich mit einer Demonstration eines Sicherheitsproblems, das wird da aber wahrscheinlich nicht so einfach gehen, nehme ich an...

Einen zweiten Rechner könnte man damit begründen, dass du die Ausfallzeit einfach so gering wie möglich halten willst. Es wird in Zukunft auch ja Updates geben und die wollen auch ausprobiert werden!
 
Einen zweiten Rechner könnte man damit begründen, dass du die Ausfallzeit einfach so gering wie möglich halten willst. Es wird in Zukunft auch ja Updates geben und die wollen auch ausprobiert werden!
Das Test/Entwicklungssystem muss ja keine physikalische Maschine sein, es reicht ja, wenn das eine VM ist.
 
Und die VM soll auf dem Produktivserver laufen? :)
Wenn man Sysadmin ist, hat man doch sicher einen ganzen Park an Rechnern, wo sich die VM dann irgendwo unterbringen lässt. Man entwickelt/testet ja auch bei anderen Maschinen nicht am Produktivsystem, so dass auch dafür schon Testumgebungen zur Verfügung stehen sollten.
 
updaten solltest du das system allerdings. nur sind in den einzelnen releases so viele änderungen gemacht worden, dass du mit einer neuinstallation schneller dran bist. also home-verzeichnisse, /etc, /var und die nutzdaten sichern, neu installieren, stable bauen (die FAQ ist dein Freund), pakete installieren, konfig einspielen bzw. in die neuen übernehmen, falls es syntaxänderungen gab und die nutzdaten zurückspielen. damit bist du wesentlich schneller bei einem stable angekommen, als wenn du den updateweg von 3.2 bis 4.2 gehst und die änderungen von hand übernimmst etc.
 
ja vielen Dank ich werde mich mal durch die Errata-Seiten durchschlagen und ein paar nette Sicherheitslücken für meinen Chef raussuchen. Dann wird ein Ersatzserver auch kein Problem sein.
nochmals vielen Dank an alle,
werde bestimmt bald mal wieder vorbei schauen
bis dann
 
also home-verzeichnisse, /etc, /var und die nutzdaten sichern

Besser: vor dem Update etc32.tgz und xetc32.tgz irgendwo temporaer auspacken und mit diff(1) (z.B. gegen /etc) festhalten, was denn ueberhaupt alles geaendert wurde.
 
Wenn die Errata-Seiten für deinen Chef nicht aussagekräftig genug sind, könntest du auch einfach einen Scan mit Nessus durchführen. Mit bunten Präsentationen können Nicht-ITler meist mehr anfangen und da ist Nessus ganz gut.
 
Back
Top