Tento příspěvek popisuje základní kroky bezpečnostních aktualizací systému, případně instalací programů z repozitáře Debianu. Popis se netýká verzí FREDa a fredovských projektů.
Centrála CCPU-34 obsahuje (operační) systém v principu shodný s tím, který může běžet v normálním počítači. Součástí systému je mnoho programů a knihoven, v nichž je občas nalezena tzv. bezpečnostní chyba, kterou je za určitých podmínek možné zneužít k nežádoucí neoprávněné činnosti v centrále. Správci Debianu bezpečnostní chyby sledují, opravují a vydávají aktualizace, ve kterých jsou už známé bezpečnostní chyby opraveny.
Bylo by rozumné, aby uživatelé během provozu své centrály udržovali aktualizované.
K instalaci programů, jejich nových verzí i bezpečnostních aktualizací z repozitáře Debianu slouží program
aptitude. Aptitude pouštějte vždy jako uživatel "root" a protože program stahuje nové verze z internetu, centrála musí mít (aspoň po dobu práce s aptitude) přístup do internetu.
Bezpečnostní aktualizaceProgram aptitude se spustí příkazem "aptitude". Po chvíli práce zobrazí několik řádků s názvy základních skupin, do kterých jsou programy rozděleny. V tuto chvíli můžeme stisknout klávesu "
u" (samotnou klávesu "u", bez ENTERu) a aptitude si z internetu stáhne aktualizovaný seznam dostupných programových balíčků z repozitáře Debianu. Poté zobrazí znovu obrazovku se základními skupinami balíčků. Je-li k dispozici nějaká bezpečnostní aktualizace, na prvním řádku se objeví skupina
Security Updates a v závorce počet dostupných aktualizací, viz obrázek.
V tuto chvíli je možné buď kurzor (šipkami nahoru/dolů) nastavit na skupinu
Security Updates a klávesou "
+" vybrat k instalaci všechny dostupné bezpečnostní aktualizace, nebo lze na skupině stisknout
ENTER, tím se rozbalí podskupiny, na nich opět ENTER atd., až se dostaneme na seznam konkrétních balíčků ve vybrané podskupině. Ze seznamu si opět klávesou "
+" můžeme vybírat jednotlivé balíčky k aktualizaci.
V závislosti na balíčcích vybraných k aktualizaci se mění informace o plánovaném objemu aktualizačních dat
(kolik se stáhne, kolik se zabere/uvolní na disku); v obrázku je vybrán jen balíček "unzip", objemy aktualizačních dat jsou v červeném označení.
Je-li výběr balíčků k aktualizaci ukončen, klávesou "
g" (opět samotnou, bez ENTERu) se znovu pro kontrolu zobrazí seznam aktualizace, po opětovném stisknutí klávesy "
g" už proběhne samotné stažení aktualizací z internetu a jejich instalace do centrály; celý proces vytváří množství výpisů a na konci vyžaduje opětovné stisknutí ENTERu jako potvrzení, že si uživatel přečetl výsledek instalací.
Po návratu do základního okna
aptitude, když už jsou všechny požadované aktualizace nainstalovány, je možné stiskem klávesy "
q" aptitude ukončit.
Instalace a odinstalace programůPostupem v podstatě shodným s instalací bezpečnostních aktualizací je možné instalovat z repozitáře Debianu i nové programy. Jen se místo skupiny
Security Updates vybírá ze skupin
New Packages a
Not Installed Packages. Z těchto skupin vždy vybírejte jen konkrétní programy, nikdy nevolte celou skupinu, protože repozitář Debianu obsahuje desetitisíce balíčků se spoustou nejrůznějších programů a ty jednak rozhodně nemá smysl všechny instalovat a jednak by se do centrály ani nevešly.
Skupiny
Installed Packages a
Upgradable Packages obsahují balíčky, které jsou v centrále nainstalované; v
Upgradable Packages jsou balíčky, které mají k dispozici novější verzi, ale nejedná se o verzi s bezpečnostní opravou. Tyto balíčky lze z centrály odinstalovat.
Ale POZOR! Mnoho balíčků je nutných pro správnou funkci centrály, takže odinstalovávejte případně jen ty, které jste sami přidávali a už je nechcete. Balíček se vybere k odinstalaci tak, že se na něj najede kurzorem (šipky nahoru/dolů) a stiskne se klávesa "
-", případně "
_"; "mínus" jen odinstaluje program nebo knihovnu, ale ponechá jejich konfigurační soubory, "podtržítko" odinstaluje program/knihovnu i jejich nastavení. Odinstalace proběhne opět po stisknutí klávesy "
g" (vstoupí do kontrolního seznamu) a ještě jednou "
g" (odinstaluje).
Program aptitude s repozitáře DebianuAptitude umožňuje pohodlně instalovat a odinstalovávat balíčky (programy, knihovny, dokumentaci, ...) z nastavených repozitářů, vyhledávat balíčky podle názvů, prohlížet a kontrolovat závislosti mezi balíčky, zobrazuje i stručné popisy balíčků a další užitečné informace. Klávesou
F10 lze vstoupit do menu v horní části programu, které mj. obsahuje nápovědu.
Soubor
/etc/apt/sources.list obsahuje nastavení repozitářů, se kterými aptitude pracuje.
Repozitář je předepsaným způsobem uspořádané úložiště balíčků, které je využíváno jako zdrojové místo při instalacích programů, knihoven a dalších souvisejících souborů. V době psaní tohoto návodu jsou zadány repozitáře dva: jeden s aktuální stabilní debianovskou distribucí nazvanou "wheezy" (Debian 7), druhý s bezpečnostními aktualizacemi k této verzi. Toto nastavení bude funkční po celou dobu, dokud bude wheezy tzv. aktuální stabilní verzí Debianu, a dále po dobu jednoho roku od vydání nové stabilní verze Debian 8. Potom se změní jednak umístění repozitářů verze 7 (přesunou se do archívu) a jednak pro verzi 7 přestanou být vydávány bezpečnostní aktualizace. Pak bude nutné buď zůstat na verzi 7 ve stavu, v jakém bude v době ukončení podpory, nebo změnit repozitáře a přejít (třeba i postupně nebo jen částečně) na aktuálnější verzi systému.
V případě potřeby si může uživatel přidat repozitáře další.
(Aktualizační poznámka: Od dubna 2016 je verze Debian 7 wheezy považována za zastaralou, nové centrály mají nastaven repozitář Debian 8 jessie:
deb http://security.debian.org/ jessie/updates main
deb http://httpredir.debian.org/debian/ jessie main
.)
Debian a bezpečnostní aktualizaceBalíky v Debianu se řídí pravidlem, že ve stabilní větvi se obvykle neaktualizují na novější vydávané verze. Je to z toho důvodu, že nové verze představují možné riziko zanesení různých nových chyb. Ovšem správci Debianu samozřejmě sledují bezpečnostní události a případné bezpečnostní opravy vkládají do stabilních verzí balíků a vydávají je pak jako bezpečnostní aktualizace. Tyto aktualizace se snaží tým Debianu vydávat co nejrychleji.
Tedy např. pro balík openssl platí, že v době "zmražení" Debianu 7 (wheezy) byl (nejspíš) ve verzi 1.0.1e. Bezpečnostní aktualizace openssl se pak doplňují do této verze, balíky mají přídavek "+debVuX" (V je verze Debianu, X je číslo opravy). Např. medializovaná chyba CVE-2014-0160 byla opravena vývojáři openssl ve verzi 1.0.1g a všude se psalo "aktualizujte na tuto verzi". Ve stabilním debianním balíčku ale byla, podle webu Debianu, tato chyba opravena ve verzi openssl_1.0.1e-2+deb7u5.
Při zveřejnění chyby a její opravy není nutné hned někde shánět originální verzi programu/knihovny a nesystémově ji nahrávat do centrály, lepším řešením je použít odpovídající debianní bezpečnostní aktualizaci, i když má jakoby verzi starou.
Nainstalovanou verzi debianního balíku zjistíte v centrále (jako root) příkazem "
dpkg -s název_balíčku", např. "dpkg -s openssl", ve výpisu je to v řádku "Version: ...".
Instalace zastaralých verzí DebianuPro Debian je vždy aktuální tzv. stabilní verze (stable). Pro nejrozšířenější architektury je nějakou dobu ještě udržována i předchozí stabilní verze (oldstable). Je-li repozitář nastaven jménem, např. pro Debian Jessie
deb http://security.debian.org/ jessie/updates main
deb http://httpredir.debian.org/debian/ jessie main
(soubor /etc/apt/sources.list), bude starší verze (oldstable) pro případné instalace a aktualizace dostupná obvyklým způsobem.
Ovšem každá verze nakonec přestane být udržovaná a ztratí i označení oldstable. Nejlepší je včas nastavit a začít používat verzi aktuální stabilní (případně alespoň starší stabilní), ovšem když to nejde, jsou staré instalační balíčky i nadále dostupné v archívu. Pro centrály CCPU-34, CCPU-35 a CCPU-36 je poslední použitelnou verzí Debian Jessie (tzn. Debian 8 ), vyšší verze Debianu vyžadují novější linuxové jádro, které ale nemáme k dispozici. Pro případné instalace v těchto centrálách je tedy nutné využít archív. Místo původních repozitářů je nutné do souboru
/etc/apt/sources.list zapsat
deb http://archive.debian.org/debian/ jessie main
deb http://archive.debian.org/debian-security/ jessie/updates main
.
Po spuštění Aptitude je potom potřeba nejdřív načíst "nový" repozitář normálně klávesou "u". Aptitude by mělo seznam balíčků v archívu načíst, ale bude hlásit neplatné podpisy a varovat před "nebezpečným zdrojem balíčků"; to je normální, protože balíčky jsou digitálně podepsané, ale ověřovacím klíčům archívních balíčků už skončila lhůta platnosti. Balíčky by pak mělo být možné normálně instalovat, jen bude Aptitude vždy varovat před jejich instalací z důvodu právě popsaného neplatného podpisu.
Autor