Linux обновление пакетов безопасности

5. Обновления безопасности и обновления стабильных релизов¶

5.1. Исправление ошибок безопасности в Ubuntu¶

5.1.1. Вступление¶

Исправление дыр в безопасности в Ubuntu фактически не отличается от исправления обычного бага, и предполагается, что Вы знакомы с исправлением обычных багов. Для демонстрации отличий мы будем добавлять в пакет dbus в Ubuntu 12.04 LTS (Precise Pangolin) обновления для системы безопасности.

5.1.2. Получение исходного кода¶

В данном примере мы уже знаем, что хотим исправить пакет dbus в Ubuntu 12.04 LTS (Precise Pangolin). Поэтому сначала нужно определить версию пакета, который хотите скачать. Мы можем использовать rmadison в качестве помощи в данной ситуации.

$ rmadison dbus | grep precise dbus | 1.4.18-1ubuntu1 | precise | source, amd64, armel, armhf, i386, powerpc dbus | 1.4.18-1ubuntu1.4 | precise-security | source, amd64, armel, armhf, i386, powerpc dbus | 1.4.18-1ubuntu1.4 | precise-updates | source, amd64, armel, armhf, i386, powerpc

Обычно выбирают самую последнюю версию для релиза, который Вы хотите пропатчить, который не в -proposed или -backports. Так как мы обновляем dbus Precise, Вы скачаете 1.4.18-1ubuntu1.4 с precise-updates:

$ bzr branch ubuntu:precise-updates/dbus

5.1.3. Создание патча¶

Now that we have the source package, we need to patch it to fix the vulnerability. You may use whatever patch method that is appropriate for the package, but this example will use edit-patch (from the ubuntu-dev-tools package). edit-patch is the easiest way to patch packages and it is basically a wrapper around every other patch system you can imagine.

Чтобы создать патч с помощью edit-patch :

$ cd dbus $ edit-patch 99-fix-a-vulnerability

Это применит все существующие патчи и поместит пакет во временный каталог. Теперь отредактируйте файлы для исправления уязвимостей. Обычно в апстриме лежит и патч, поэтому Вы сразу можете его применить:

После внесения необходимых изменений просто нажмите Ctrl-D или наберите exit, чтобы покинуть временную командную оболочку.

5.1.4. Форматирование файла changelog и патчей¶

После применения патчей вам потребуется внести изменения в лог. Команда dch используется для редактирования файла debian/changelog и edit-patch автоматически запустит dch после отката всех патчей. Если Вы не пользуетесь edit-patch , то можете запустить dch -i вручную. В отличии от обычных патчей, Вам следует использовать следующий формат (обратите внимание, что в имени дитрибутива используется precise-security, так как это обновление безопасности для Precise) для обновлений безопасности:

dbus (1.4.18-2ubuntu1.5) precise-security; urgency=low * SECURITY UPDATE: [DESCRIBE VULNERABILITY HERE] - debian/patches/99-fix-a-vulnerability.patch: [DESCRIBE CHANGES HERE] - [CVE IDENTIFIER] - [LINK TO UPSTREAM BUG OR SECURITY NOTICE] - LP: #[BUG NUMBER] .

Обновите свой патч для использования соответствующих тегов. Ваш патч должен содержать как минимум теги Origin, Description и Bug-Ubuntu. Например, отредактируйте debian/patches/99-fix-a-vulnerability.patch , чтобы он имел приблизительно следующие строки:

## Description: [DESCRIBE VULNERABILITY HERE] ## Origin/Author: [COMMIT ID, URL OR EMAIL ADDRESS OF AUTHOR] ## Bug: [UPSTREAM BUG URL] ## Bug-Ubuntu: https://launchpad.net/bugs/[BUG NUMBER] Index: dbus-1.4.18/dbus/dbus-marshal-validate.c .

Множественные уязвимости можно исправить одной загрузкой безопасности, просто убедитесь что используете разные патчи для разных уязвимостей.

5.1.5. Проверка и отправка вашей работы¶

На этом этапе процесс такой же, как при исправлении обычных ошибок в Ubuntu. А именно, вам нужно:

1. Выполнить сборку пакета и проверить, что он компилируется без ошибок и компилятор не выдаёт никаких дополнительных предупреждений
2. Выполнить обновление с предыдущей версии пакета до новой версии
3. Убедиться, что новый пакет закрывает уязвимость и не вносит никаких ухудшений
4. Отправляйте свою работу через предложение об объединении Launchpad и отправляйте баг в Launchpad, убедившись что пометили баг как ошибку безопасности, и для подписки ubuntu-security-sponsors

Если это уязвимость в безопасности, о которой ещё не объявлено публично, то не отправляйте предложение слияния и убедитесь, что вы пометили свою ошибку, как приватную (private).

Отправленный баг должен содержать Тестовый Пример, т.е. комментарий, который четко показывает как воссоздать баг, запустив старую версию, также показывая как убедиться, что баг больше не существует в новой версии.

Отчет по багу также должен подтверждать, что ошибка исправлена в новых версиях Ubuntu при помощи предложенного фикса (в вышеуказанном примере выше чем в Precise). Если проблема не исправлена в новых версиях Ubuntu, вы должны подготовить обновлениях и для новых версий.

5.2. Обновления стабильного релиза¶

Мы также разрешаем вносить обновления в выпуски, в которых пакет содержит серьёзную ошибку, такую как значительная регрессия по сравнению с предыдущим выпуском или ошибка, которая может привести к потере данных. Из-за того, что такие изменения сами потенциально могут привести к появлению дополнительных ошибок, мы позволяем делать это только там, где изменения легко можно понять и проверить.

Процесс обновлений стабильного выпуска (Stable Release Updates или SRU) такой же, как и для исправлений ошибок безопасности, за исключением того, что нужно подписать на отчёт об ошибке команду ubuntu-sru .

Обновление попадет в архив proposed``(к примеру ``precise-proposed ), где его проверяют на способность исправить проблему и подтверждают, что оно не является следствием новых проблем. После недели работы без заявленных проблем, обновление попадает в раздел updates .

Смотрите ‘Вики страницу Обновлений Стабильного Релиза `_ для получения дополнительной информации.

Источник

Как установить обновления безопасности в Ubuntu

Один из самых простых способов защитить ваши системы Ubuntu — поддерживать на них новейшее программное обеспечение. Поэтому частое применение обновлений является важной частью поддержания безопасности систем. В этой статье мы покажем, как устанавливать обновления безопасности в системах Ubuntu и Linux Mint.

Установка обновлений безопасности в Ubuntu

Если в вашей системе установлен пакет update-notifier-common, Ubuntu предупредит вас об ожидающих обновлениях с помощью сообщения дня (motd) при консольном или удаленном входе в систему.

После входа в систему Ubuntu вы можете проверить наличие новых обновлений с помощью следующей команды apt.

Обновление одного пакета в Ubuntu

Чтобы проверить и обновить один пакет, например пакет с именем php , после обновления кеша пакетов вашей системы, обновите требуемый пакет следующим образом. Если пакет php уже установлен, он попытается обновиться до последней доступной версии:

Обновление системы Ubuntu

Чтобы получить список всех новых доступных обновлений для вашей системы Ubuntu, запустите:

Чтобы установить все обновления, запустите:

Автоматическая установка последних обновлений безопасности в Ubuntu

Вы можете использовать пакет unattended-upgrades, чтобы автоматически поддерживать систему Ubuntu с последними обновлениями безопасности (и другими). Чтобы установить пакет unattended-upgrades, если он еще не установлен, выполните следующую команду:

$ sudo apt-get install unattended-upgrades

Чтобы включить автоматические обновления, запустите:

$ sudo dpkg-reconfigure unattended-upgrades

Затем настройте пакет для установки автоматических обновлений, выбрав yes в интерфейсе ниже.

Внимание. Обратите внимание, что обновления могут перезапускать службы на вашем сервере, поэтому автоматическое применение обновлений может не подходить для всех сред, особенно для серверов.

Вы также можете запускать автоматические обновления вручную:

Или добавьте флаг -d , чтобы включить режим отладки:

Это все на данный момент. Для любых вопросов или комментариев, которыми вы хотели бы поделиться с нами, используйте раздел комментариев ниже.

Источник

Автоматическая установка обновлений безопасности в Debian и Ubuntu

Одной из важнейших потребностей системы Linux является постоянное обновление последних исправлений безопасности, доступных для соответствующего дистрибутива.

В этой статье мы объясним, как настроить систему Debian и Ubuntu для автоматической установки и обновления необходимых пакетов безопасности или исправлений при необходимости.

Для выполнения задач, описанных в этой статье, вам понадобятся права суперпользователя.

Настройка автоматических обновлений безопасности в Debian и Ubuntu

Для начала установите следующие пакеты:

# aptitude update -y && aptitude install unattended-upgrades apt-listchanges -y

где apt-listchanges сообщит, что было изменено во время обновления.

Затем откройте /etc/apt/apt.conf.d/50unattended-upgrades в текстовом редакторе и добавьте эту строку в блок Unattended-Upgrade :: Origins-Pattern :

Unattended-Upgrade::Mail "root";

Наконец, используйте следующую команду для создания и заполнения необходимого файла конфигурации /etc/apt/apt.conf.d/20auto-upgrades для активации автоматических обновлений:

# dpkg-reconfigure -plow unattended-upgrades

Выберите Yes, когда будет предложено установить автоматические обновления (Automatically download and install stable updates? ) и затем убедитесь, что следующие две строки были добавлены в /etc/apt/apt.conf.d/20auto-upgrades:

APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";

И добавьте эту строку, чтобы сделать отчеты подробными:

Наконец, проверьте /etc/apt/listchanges.conf, чтобы убедиться, что уведомления будут отправлены в root.

Готово! В этой статье мы объяснили, как обеспечить регулярное обновление вашей системы последними обновлениями безопасности. Кроме того, вы узнали, как настроить уведомления, чтобы держать себя в курсе, когда применяются исправления.

Источник

Как установить обновления безопасности в Ubuntu

Один из самых простых способов защитить ваши системы Ubuntu — поддерживать на них новейшее программное обеспечение. Поэтому частое применение обновлений является важной частью поддержания безопасности систем. В этой статье мы покажем, как установить обновления безопасности в системах Ubuntu и Linux Mint.

Установка обновлений безопасности в Ubuntu

Если в вашей системе установлен пакет update-notifier-common, Ubuntu будет предупреждать вас об ожидающих обновлениях через сообщение дня (motd) при консольном или удалённом входе в систему.

После входа в систему Ubuntu вы можете проверить наличие новых обновлений, используя следующую команду apt.

Обновление одного пакета в Ubuntu

Чтобы, после обновления кеша пакетов вашей системы, проверить и обновить один пакет, например, пакет с именем php, сделайте это следующим образом. Если пакет php уже установлен, эта команда попытается обновить его до последней доступной версии:

Обновление системы Ubuntu

Чтобы вывести список всех свежих доступных обновлений для вашей системы Ubuntu, выполните:

Чтобы установить все обновления, запустите:

Автоматическая установка последних обновлений безопасности в Ubuntu

Вы можете использовать пакет unattended-updates, чтобы в системе Ubuntu автоматически устанавливались последние (и другие) обновления безопасности. Чтобы установить пакет unattended-updates, если он ещё не установлен, выполните следующую команду:

sudo apt install unattended-upgrades

Чтобы включить автоматические обновления, запустите:

sudo dpkg-reconfigure unattended-upgrades

Затем настройте пакет для установки автоматических обновлений, выбрав «Да» в приведённом ниже интерфейсе.

Примечание: обратите внимание, что обновления могут перезапускать службы на вашем сервере, поэтому автоматическое применение обновлений может подходить не для всех сред, особенно для серверов.

Вы также можете запускать автоматические обновления вручную:

Или добавьте флаг -d, чтобы включить режим отладки:

На этом пока все. По любым вопросам или комментариям, которыми вы хотели бы поделиться с нами, используйте форму комментариев ниже.

Если вы хотите в одну команду обновить систему целиком (установить обновления безопасности и все другие обновления), то запустите:

sudo apt update && sudo apt full-upgrade

Источник