Satellitenserver Systemupdates

Der Satellitenserver sollte wie jeder Server regelmäßig mit System- und Sicherheitsupdates versorgt werden. Dies kann entweder manuell oder (teil-)automatisiert erfolgen.

Manuelles Updaten über die Weboberfläche

Gehen Sie in der Weboberfläche des Satellitenservers auf 'System-Status' → 'System-Updates' (ab Sat v3.11). Klicken Sie auf 'Auf Updates prüfen', um die Paketlisten zu aktualisieren. Das Aktualisieren der Quellen bzw. die Prüfung auf Updates installiert diese noch nicht!

Wenn Updates zur Verfügung stehen, werden diese angezeigt und können mittels 'Update durchführen' installiert werden.

Automatische Updates (unattended-upgrades)

Bei der Erstinstallation des Satellitenservers wurden Sie gefragt, ob Sie automatische Updates aktivieren möchten. Falls Sie dies mit 'Nein' beantwortet haben, können Sie dies bei Bedarf auch nachträglich nachholen. Der Vorteil von automatischen Updates ist, dass Sie sich nicht selbst darum kümmern müssen. Umgekehrt besteht dadurch immer eine gewisse Gefahr, dass auch 'fehlerhafte' Updates eingespielt werden.

  1. Installieren Sie das Paket 'unattended-upgrades' auf dem Satellitenserver
    sudo apt update && sudo apt install -y unattended-upgrades
  2. Legen Sie die Datei /etc/apt/apt.conf.d/99update-config mit folgendem Inhalt an:
    // Updates aktivieren
    APT::Periodic::Update-Package-Lists "1";
    APT::Periodic::Unattended-Upgrade "always";
     
    // Wenn ein Paket nicht sauber installiert wird, Installation erneut
    // versuchen, und alte Paketkonfiguration beibehalten.
    Unattended-Upgrade::AutoFixInterruptedDpkg "true";
     
    // Macht den Updatevorgang langsamer, aber robuster
    Unattended-Upgrade::MinimalSteps "true";
     
    // Alte Kernelversionen automatisch deinstallieren
    Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";
     
    // Wenn nach einem Update Pakete nicht mehr benötigt werden, diese automatisch deinstallieren
    //Unattended-Upgrade::Remove-New-Unused-Dependencies "true";
    Unattended-Upgrade::Remove-Unused-Dependencies "true";
     
    // Automatisch rebooten, wenn ein Paket dies nach dem Update erfordert?
    Unattended-Upgrade::Automatic-Reboot "false";
     
    // ... Reboot auch durchführen, wenn jemand auf dem Server eingeloggt ist? (SSH, Terminal)
    Unattended-Upgrade::Automatic-Reboot-WithUsers "false";
     
    // Uhrzeit, zu der bei erforderlichem Reboot neugestartet werden soll.
    // Der Wert "now" führt den Reboot unverzüglich durch.
    Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Die Optionen können Sie bei Bedarf natürlich anpassen. Weitere Informationen finden Sie u.a. unter https://wiki.debian.org/UnattendedUpgrades.

Mirror (Update-Server) ändern

Normalerweise werden Aktualisierungen von den offiziellen Debian-Mirrors geladen. Sollten Sie, z.B. aufgrund von Firewallrichtlinien, die Nutzung eines expliziten Mirrors erzwingen wollen, können Sie dies über die Datei /etc/apt/sources.list erreichen. Diese sieht, je nach Debian-Version, z.B. so aus:

deb http://ftp.fau.de/debian/ bookworm main contrib non-free non-free-firmware
deb http://ftp.fau.de/debian/ bookworm-updates main contrib non-free non-free-firmware

deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

oder so

deb http://ftp.halifax.rwth-aachen.de/debian/ buster main

deb http://security.debian.org/ buster/updates main

# buster-updates, previously known as 'volatile'
deb http://ftp.halifax.rwth-aachen.de/debian/ buster-updates main

oder so

deb http://deb.debian.org/debian bullseye main
deb http://security.debian.org/debian-security bullseye-security main
deb http://deb.debian.org/debian bullseye-updates main
deb http://deb.debian.org/debian bullseye-backports main

In den ersten beiden Beispielen werden spezifische Paket-Mirrors benutzt (ftp.fau.de und ftp.halifax.rwth-aachen.de). Diese haben aktuell (Stand 13.07.2023) genau je eine fixe IPv4/IPv6-Adresse, welches ein Whitelisting in der Firewall einfach macht. deb.debian.org hingegen ist ein CDN1), sodass sich die zugehörige IP-Adresse regelmäßig ändert. Eine Liste aller Mirrors findet sich unter https://www.debian.org/mirror/list – die oberste Liste sind DNS-Round-Robin Einträge pro Land, wenn Sie weiter herunterscrollen, finden Sie die einzelnen Mirrors nach Ländern gruppiert.

Zum Ändern des verwendeten Mirrors editieren Sie ihre sources.list und ändern die URL der Zeilen, die deb.debian.org als Quelle enthalten. Der Eintrag für die Security-Updates (security.debian.org) kann nicht geändert werden, da dieser für die schnelle Verbreitung von wichtigen Updates verwendet wird und nicht gemirrort wird. Die Mirrors können teilweise über 24h verzögert sein, liefern aber am Ende auch alle Security-Updates aus.

Sollten Sie in der Datei Zeilen haben, die mit deb-src beginnen, können Sie diese entfernen - diese sind für den Betrieb nicht notwendig, da sie lediglich den Quellcode für Pakete zur Verfügung stellen.

Wenn Sie ein System wünschen, das nur Sicherheitsupdates einspielt, und keine allgemeinen Updates die Bugs oder Stabilitätsprobleme beheben, können Sie die Datei auf genau eine Zeile kürzen:

deb http://security.debian.org/debian-security bookworm-security main

Achten Sie Darauf, dass Sie den richtigen Codenamen für Ihre Debian-Version verwenden, im Beispiel hier bookworm (12).

Drucken/exportieren