automatische Security-Updates. Infos für die User? "Skip Interactive Patches"?
Hallo, ich habe folgendes Problem: Ich administriere eine ganze Reihe von Rechnern mit OpenSUSE Linux (aktuell 13.1) und will diese was die Sichereheit angeht einigermassen aktuell halten. Meine User wollen/können sich nicht jeden Tag ausloggen. Teilweise laufen auf dem Rechner auch Simulationen, die länger laufen sollen und von einem Reboot nicht unterbrochen werden dürfen. Auf der anderen Seite sollen natürlich auch sicherheitsrelevante Kernel-Updates installiert werden, die natürlich einen Reboot erfordern (oder?). Bei Yast2 gibt es nun natürlich die "Online Update Configuration". Dort würde ich gerne "Automatic Online Updates" auswählen mit einem Intervall "weekly". Die Options "Agree with Licenses" und "Include Recommened Packages" bzw. "Filter by Category" sind auch klar (ich wähle "Security", "Recommened", und "Packagemanager and Yast" aus). Doch was ist mit der Option "Skip Interactive Patches"? Soweit ich herausfinden könnte sollte man diese Option auswählen damit Patches die eine Interaktion des Users verlangen, i.d.R. also ein Reboot, nicht die Installation anderer Updates behindern. Soweit in Ordnung. Doch was ist dann mit den "Interactive Patches"?? Werden diese nicht installiert? Muss ich das von Hand überprüfen und von Hand installieren? Oder wie sollte man vorgehen? Ideal wäre folgendes. Jeden Sonntag werden nachts die Updates installiert. Sind Updates dabei, die einen Reboot benötigen sollte der User montags eine Nachricht auf dem Bildschirm haben, die ihm sagt, dass er rebooten soll. Hat jemand so etwas schonmal realisiert?? Viele Grüße Klaus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Klaus,
Doch was ist mit der Option "Skip Interactive Patches"?
Soweit ich herausfinden könnte sollte man diese Option auswählen damit Patches die eine Interaktion des Users verlangen, i.d.R. also ein Reboot, nicht die Installation anderer Updates behindern. Soweit in Ordnung.
Ich habe da nie weiter nachgelesen, sondern das Ganze bisher so verstanden: "Interactive Patches" waren für mich immer solche, die eine Entscheidung _vor_ der Installation verlangten, weil eventuell irgendwelche anderen Pakete nicht passen. Dann kommt ja die Nachfrage, ob nicht installiert werden soll, ob das andere Paket deinstalliert oder durch ein Downgrade ersetzt werden soll usw. Ein Kernel-Update dürfte davon nicht berührt werden. Diese "Interactive Patches" kommen bei mir vor allem dadurch vor, dass ich eben neben den SUSE-Repositories z.B. auch Packman eingebunden und entsprechend Pakete gewechselt habe. Gruß Robert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Robert schrieb:
Hallo Klaus,
Doch was ist mit der Option "Skip Interactive Patches"?
Soweit ich herausfinden könnte sollte man diese Option auswählen damit Patches die eine Interaktion des Users verlangen, i.d.R. also ein Reboot,
nicht die Installation anderer Updates behindern. Soweit in Ordnung.
Ich habe da nie weiter nachgelesen, sondern das Ganze bisher so verstanden: "Interactive Patches" waren für mich immer solche, die eine Entscheidung _vor_ der Installation verlangten, weil eventuell irgendwelche anderen Pakete nicht passen. Dann kommt ja die Nachfrage, ob nicht installiert werden soll, ob das andere Paket deinstalliert oder durch ein Downgrade ersetzt werden soll usw. Ein Kernel-Update dürfte davon nicht berührt werden.
Diese "Interactive Patches" kommen bei mir vor allem dadurch vor, dass ich eben neben den SUSE-Repositories z.B. auch Packman eingebunden und entsprechend Pakete gewechselt habe.
Hallo, ich patche meine Systeme 2x/Woche automatisch mit: "zypper -n up -y -t patch --skip-interactive &> /var/log/update.log" in einem cronjob. Systeme sind SLES 10 und SLES 11. Die /var/log/update.log schicke ich mir nach dem patchen immer per e-mail, so daß ich weiß, ob ich was manuell machen muss oder nicht. Ich mache das so für ca. 10 Maschinen, klappt prima. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Danke! Ich habe inzwischen herausgefunden, dass der apper inzwischen auch zulässt, das normale User die Updates installieren können. Früher hat man dazu Root-Rechte gebraucht. Ich werde es dann wohl so machen, dass wöchentlich die security-Updates ohne User-Beteiligung (Reboot, Logout, etc.) installiert werden und die User die übrigen Updates selber aufspielen können. Falls das nicht klappt gibt es montliche Zwangs-Updates wie von Dir beschrieben... Danke und viele Grüße Klaus Am 02.10.2014 um 18:31 schrieb Lentes, Bernd:
Robert schrieb:
Hallo Klaus,
Doch was ist mit der Option "Skip Interactive Patches"?
Soweit ich herausfinden könnte sollte man diese Option auswählen damit Patches die eine Interaktion des Users verlangen, i.d.R. also ein Reboot,
nicht die Installation anderer Updates behindern. Soweit in Ordnung.
Ich habe da nie weiter nachgelesen, sondern das Ganze bisher so verstanden: "Interactive Patches" waren für mich immer solche, die eine Entscheidung _vor_ der Installation verlangten, weil eventuell irgendwelche anderen Pakete nicht passen. Dann kommt ja die Nachfrage, ob nicht installiert werden soll, ob das andere Paket deinstalliert oder durch ein Downgrade ersetzt werden soll usw. Ein Kernel-Update dürfte davon nicht berührt werden.
Diese "Interactive Patches" kommen bei mir vor allem dadurch vor, dass ich eben neben den SUSE-Repositories z.B. auch Packman eingebunden und entsprechend Pakete gewechselt habe.
Hallo,
ich patche meine Systeme 2x/Woche automatisch mit: "zypper -n up -y -t patch --skip-interactive &> /var/log/update.log" in einem cronjob. Systeme sind SLES 10 und SLES 11. Die /var/log/update.log schicke ich mir nach dem patchen immer per e-mail, so daß ich weiß, ob ich was manuell machen muss oder nicht. Ich mache das so für ca. 10 Maschinen, klappt prima.
Bernd
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Klaus Becker
-
Lentes, Bernd
-
Robert Großkopf