Patches, Updates und Advisories -- so bleibt Linux sicher

Frischer Wind

von Achim Leitner

---

Um Ihre Linux-Installation sicher zu halten, müssen Sie regelmäßig Sicherheitsaktualisierungen einspielen. Dies ist so wichtig, dass jede Distribution ein eigenes Werkzeuge für diese Aufgabe mitbringt. Damit können Sie bequem die relevanten Korrekturen aus dem Netz laden und installieren.

---

Keine Programm ist fehlerfrei, das gilt für Linux ebenso wie für jedes Softwarepaket. Je nach Programm und Programmierfehler wirken sich die Schnitzer auch auf die Sicherheit des Systems aus: Normale Benutzer können unberechtigt Root-Rechte erlangen, in fremden Files schnüffeln, die Konfiguration manipulieren, illegale Inhalte auf dem Computer abladen -- der Phantasie der Schnüffler und Cracker ist keine Grenze mehr gesetzt. Als besonders gefährlich gelten Sicherheitslücken, durch die Angreifer aus der Ferne über das Netz Ihren Computer entern (siehe Kasten "Arten von Sicherheitslücken").

Arten von Sicherheitslücken

Nicht jeder Programmierfehler ist auch eine Sicherheitslücke. Um als solche zu gelten, muss der Fehler einem Benutzer mehr Rechte geben als ihm zustehen. Wenn der Angriff von außen über das Netz gelingt, dann gilt heißt das "remote vulnerability". Aber auch lokale Sicherheitslücken (local vulnerability) sind gefährlich. Hier erhält ein User die Rechte eines anderen Benutzers, im schlimmsten Fall die von Root. Sicherheitslücken in Server-Programmen gelten als besonders kritisch. Ein Server ist ein Stück Software (zum Beispiel der Apache-Webserver), das darauf wartet, dass sich ein anderes Programm (ein Client, etwa der Mozilla-Browser) mit ihm in Verbindung setzt, siehe Abbildung 1. Die Gefahr ist so groß, weil jedes schwarze Schaf sich über das Internet mit dem Server verbinden und Sicherheitslücken ausnutzen kann. Erschwerend kommt hinzu, dass Server-Programme oft mit Root-Rechten laufen -- nach einem Einbruch übernimmt der Saboteur die Rechte des Servers und kontrolliert damit Ihren Computer. Abb. 1: Über das Internet verbinden sich Client-Programme mit den passenden Servern. Hat ein Server eine Sicherheitslücke, dann ist er jedem Angriff von einem beliebigen Ort im Netz ausgesetzt. Neben Server-Programmen sind auch die Clients gefährdet. Sie müssen zwar zunächst von sich aus eine Verbindung öffnen, über diesen Weg kann sie dann aber der Server angreifen. Da Web-Browser mit die am häufigsten benutzten Clients sind und über sehr viele Funktionen verfügen, ist hier die Gefahr besonders groß. Internet-Explorer-Anwender kennen das Problem. Aber auch in Linux-Browsern finden sich Fehler. Ein erfolgreicher Angriff führt nicht immer zu Root-Rechten. Oft erreicht der Eindringling zunächst nur einen nicht privilegierten Account. Allerdings kann er dann nach weiteren Sicherheitslücken suchen und sich so schrittweise bis zum allmächtigen Root vorarbeiten. Daher sind lokal ausnutzbare Sicherheitslücken selbst dann eine Gefahr, wenn Sie Ihren Rechner alleine benutzen.

Die wichtigste Gegenmaßnahme heißt: Bekannte Lücken schließen, also vor allem fehlerhafte Programmversionen auf den aktuellen und sicheren Stand bringen. Bei großen Linux-Distributoren arbeitet eine ganze Abteilung daran, Lücken im Programmcode aufzuspüren und zu beheben. Auch wenn die Entwickler selbst eine Sicherheitslücke entdecken, korrigieren sie ihre Software und informieren in Mailinglisten oder auf Webseiten über die Schwachstellen der alten Version. Das veranlasst wiederum den Distributor, die Korrektur (Patch) an ihre Kunden weiterzugeben.

Die Patches in den eigenen Computer zu installieren ist dank spezieller Online-Update-Programme heute sehr einfach. Diese Programme stellen fest, welche Pakete auf Ihrem Computer installiert sind und suchen auf den Webseiten der Distributoren, ob für die installierte Fassung eine Korrektur ansteht. Damit nimmt Ihnen diese Software gleich mehrere Aufgaben ab: Sie stellt sicher, dass Sie kein Update übersehen, immer die korrekte Version für Ihre Linux-Variante erhalten und nur die nötigen Dateien herunterladen. Außerdem installieren die Updater auch gleich die korrigierte Programmversion.

Download oder Delete

Der Nachteil dieser Bequemlichkeit sind die teils recht großen Downloads. SuSE versucht, die Datenmenge durch spezielle Patch-Pakete zu reduzieren. Diese enthalten nicht einfach die kompletten Programme in der korrigierten Fassung, sondern nur die Änderungen gegenüber der installierten Version. Trotzdem sind für das Aktualisieren im Laufe der Monate und Jahre eventuell mehrere hundert MByte Download-Volumen fällig. DSL-Flatrate-Besitzer sollte das kaum schrecken. Mit Modem und teurem Volumentarif sind diese Mengen allerdings ein erhebliches Ärgernis.

Die Korrekturen einfach zu ignorieren ist dennoch nicht zu empfehlen (siehe Kasten "Selbstschutz und Verantwortung"). Selbst wenn Sie ein fehlerhaftes Programm nicht nutzen, stellt es eine latente Gefahr dar. Als sinnvolle Alternative zum Aktualisieren bleibt noch, überflüssige und fehlerhafte Software einfach zu deinstallieren. Sie sollten dann aber recht sicher sein, dass das Programm wirklich überflüssig ist und nicht doch in den Tiefen des Systems eine wichtige Aufgabe erfüllt.

Selbstschutz und Verantwortung

Sicherheitslücken im eigenen Rechner zu stopfen ist in erster Linie Selbstschutz, zeugt aber auch von verantwortungsbewusstem Umgang mit dem Medium Internet. Wie wichtig dieser Schutz ist, unterschätzen manche User. Viele glauben: Bei mir ist eh nichts zu holen, auf meinem Rechner sind keine geheimen Daten, wer sich einhacken will soll das gerne tun. Damit gefährden sie aber sich selbst und alle anderen, die das Internet nutzen. Selbst wenn auf dem Computer keine Daten gespeichert sind, die einen Eindringling interessieren könnten, ist der Rechner dennoch ein lohnendes Ziel für Cracker: Sie missbrauchen ihn zum Beispiel als Ablageort für geklaute Software oder Schmuddelbilder, die sie auf diesem Umweg untereinander tauschen. Oder sie verwenden ihn als Brückenstation bei einem Angriff, den sie gegen ein anderes Ziel richten. Damit verstecken sich Internet-Piraten vor den Ermittlern. Der Staatsanwalt wird erst einmal gegen den Besitzer des Rechners ermitteln, über dessen Maschine der Angriff lief. Beliebt sind in gewissen Kreisen auch so genannte DDoS-Attacken (Distributed Denial of Service). Deren Ziel ist es, einen Rechner lahm zu legen, in dem sie ihn mit Anfragen überfluten (Denial of Service). Um dafür nicht selbst die Onlinekosten zu tragen, dringen Cracker in möglichst viele fremde Computer ein und sorgen dafür, dass die sich am gemeinschaftlichen Angriff beteiligen (daher Distributed). Die Einbrüche müssen nicht gezielt erfolgen. Vielen Crackern ist es egal, welchen Computer sie erwischen und wem er gehört, sie sind nur an dessen Ressourcen (Festplatte, Internetanbindung usw.) interessiert. Sie nutzen daher automatische Werkzeuge, die ganze Netzbereiche nach Opfern absuchen. Von einem geknackten Rechner aus kann das Programm nach weiteren lohnenden Zielen Ausschau halten und sich selbständig weiter verbreiten. Diese Form der Software-Schädlinge nennt sich Wurm. Im Gegensatz zu Viren sind Würmer auch unter Linux eine echte Bedrohung.

SuSEWatcher
Symbol	Bedeutung
	Sie haben SuSEWatcher unter SuSE Linux 9.0 noch nie aufgerufen.
	Sie haben SuSEWatcher unter SuSE Linux 9.1 noch nie aufgerufen.
	Keine Aktualisierungen und keine Hinweise verfügbar.
	Neue Hinweise, aber keine Aktualisierungen verfügbar.
	Unkritische Aktualisierungen und neue Hinweise verfügbar.
	Sicherheitsrelevante Aktualisierungen sind verfügbar.

SuSE Linux 9.0 und 9.1

Die umfangreichste Update-Funktion ist bei SuSE zu finden. Der YaST Online Update (kurz YOU genannt) fahndet nach Sicherheitsaktualisierungen und anderen Updates für die eigene Distribution. Ein Symbol in der KDE-Kontrollleiste (der SuSEWatcher) informiert Sie, wenn Aktualisierungspakete anstehen, die Sie noch nicht installiert haben. Die Tabelle "SuSEWatcher" erklärt, was die wichtigsten Farben und Formen dieses Symbols bedeuten. Sollte der Dienst bei Ihnen nicht laufen, können Sie ihn jederzeit neu starten: K-Menü / System / Desktop Applet / SuSEWatcher. Er ist recht einfach zu bedienen:

1. Klicken Sie auf das SuSEWatcher-Symbol in der KDE-Kontrollleiste:

2. Wenn Sie das erste Mal auf das Watcher-Symbol klicken, fragt Sie das Programm, ob Sie den Dienst wirklich aktivieren wollen. Das geschieht aus Datenschutzgründen: Das Programm fragt erst dann bei SuSE nach Updates, wenn Sie dies ausdrücklich wünschen. Klicken Sie also im folgenden Dialogfenster auf Ja:

3. Als nächstes öffnet sich ein Fenster, das den Status des SuSEWatcher zeigt. Im gleichen Fenster können Sie den Dienst konfigurieren und das Online-Update starten -- ohne Umweg über die YaST-Zentrale. Da das Dialogfenster mehrere Aufgaben vereint, wirkt es unübersichtlich. Nach etwas Gewöhnung erweist es sich aber als recht praktisch. Es informiert, ob der SuSEWatcher neue Updates gefunden hat, ob eine Netzwerkverbindung zu den SuSE-Servern besteht und wann Sie zuletzt nach Updates Ausschau hielten.

Sie sollten Automatisch Verfügbarkeit von Updates überprüfen auswählen, damit prüft der SuSEWatcher selbständig nach Aktualisierungen und informiert über das Symbol in der KDE-Kontrollleiste, falls er etwas findet (siehe Tabelle "SuSEWatcher"). Wenn Sie jede Suche lieber selbst anstoßen wollen, lassen Sie das Feld leer und klicken stattdessen auf die Schaltfläche Verfügbarkeit von Updates überprüfen.

4. Wenn Sie Nachrichten anzeigen... wählen, öffnet sich ein Fenster mit Hinweisen zu bereits eingespielten Aktualisierungen. Welche Meldungen Sie sehen wollen bestimmen Sie im Auswahlfeld links oben -- im folgenden Bild zeigt das Fenster 1. openssh-changes. Ein Klick auf das rote Kreuz rechts oben entfernt diese Mitteilung. Leider sind die Nachrichten SuSE-untypisch in der Regel englisch. Mit OK beenden Sie das Nachrichtenfenster.

5. Klicken Sie im SuSEWatcher-Statusfenster (Schritt 3) auf Starte Online-Update..., um die verfügbaren Aktualisierungen einzuspielen. Da Sie dazu Root-Rechte benötigen, verlangt KDE, dass Sie das Passwort eintippen und mit OK bestätigen:

Die Watcher-Funktion ist eine sehr sinnvolle Ergänzung des Linux-Desktops. Das Programm sendet auch keine Inhalte Ihres Rechners an SuSE. Der komplette Quellcode steht offen, so dass derartige Schnüffelei schnell auffallen würde. Der Watcher holt lediglich eine Liste der anstehenden Patches und vergleicht diese selbst mit der installierten Software.

Update mit YOU

Vom SuSEWatcher aus erreichen Sie das YaST-Online-Update-Programm YOU. Wenn Sie nicht über den Watcher gehen wollen, können Sie YOU auch über das YaST-Control-Center starten. Es befindet sich unter Software / Online-Update. Typisch für SuSE ist der Aufbau der YaST-Module: Links zeigt das Fenster Hinweise und kurze Hilfetexte zu den Feldern rechts. Damit sind diese Texte immer im Blickfeld -- eine sehr sinnvolle Einrichtung. Das YOU-Modul startet zunächst mit einem Konfigurationsfenster (Abbildung 2).

Abb. 2: Die Konfigurationsseite des YaST Online Update zeigt neben Hilfetexten (links) und Informationen zum System (oben) einige Einstellungen. Wichtig ist das Kreuz vor dem Feld Manuelle Auswahl von Patches.

1. Im Startfenster des YOU-Diensten (YaST Online Update, siehe Abbildung 2) können Sie die Installationsquelle für Sicherheitsaktualisierungen ändern. Sollte ein Server nicht erreichbar sein, haben Sie so die Wahl zwischen mehreren Alternativen. Versuchen Sie es erst mit der Vorgabe, das spart unnötiges Probieren. Das Eingabefeld Pfad sowie die Schaltflächen Neuer Server... und Server bearbeiten... beziehen sich ebenfalls auf die Installationsquelle.

2. SuSE installiert auf Wunsch jedes wichtige Update automatisch. Sie verlieren damit aber die alleinige Kontrolle über Ihr System. Wenn sich das Verhalten eines Programms ändert, wissen Sie vielleicht gar nicht, dass das System diese Software zwischendurch aktualisiert hat. Andererseits stellt der Automatismus sicher, dass Sie kein wichtiges Update verpassen. Entscheiden Sie sich dafür, dann klicken Sie auf Vollautomatisches Update konfigurieren...

3. Es erscheint ein Popup-Fenster, in dem Sie den Automatismus aktivieren und bestimmen, um welche Uhrzeit Ihr System mit dem Download beginnen soll. Wollen Sie, dass YOU die Aktualisierungen nur automatisch herunterlädt aber nicht installiert, dann setzen Sie zusätzlich das Kreuzchen vor Nur Patches herunterladen. Korrekter und verständlicher wäre die Bezeichnung Patches nur herunterladen.

4. Klicken Sie im YOU-Startfenster (Schritt 1 und Abbildung 2) auf Weiter, dann lädt die Software zusätzliche Informationen zu den Aktualisierungen von den SuSE-Servern.

5. Nun öffnet sich das YOU-Hauptfenster, siehe Abbildung 3. Dieses Fenster vereint alle wichtigen Daten und Informationen zu den Updates, die SuSE zum jeweiligen Zeitpunkt anbietet.

Abb. 3: Das YOU-Hauptfenster wirkt ziemlich überladen und unübersichtlich. Es enthält aber alle wichtigen Informationen zu möglichen Aktualisierungen, deren Gründe und Folgen. So können Sie gezielt wählen, welche Updates Sie einspielen wollen und auf welche Sie verzichten.

YOU-Symbole
	Korrektur herunterladen und installieren
	Korrektur nicht einspielen
	Neues Paket herunterladen und installieren
	Das neue Paket nicht einspielen

Das YOU-Hauptfenster

Den Filter-Eintrag (links oben, Abbildung 3) sollten Sie auf den voreingestellten YOU-Patches belassen. Darunter listet das Programm alle Aktualisierungen (YaST-Online-Update-Patch). Rot markiert sind Sicherheits-Patches, blau die empfohlenen Patches. In beiden Gruppen wählt YOU per Default alle Patches aus (siehe Tabelle "YOU-Symbole". Danach folgen in schwarzer Schrift die optionalen Patches. Auch die können wichtig sein -- Sie sollten die Liste komplett durchsehen.

Unter der Liste ist die Beschreibung zum ausgewählten Patch zu sehen. Diese ist dankenswerterweise in deutsch und nennt die Gründe für die Aktualisierung. Ganz unten links unten im Fenster zeigt eine Tabelle, wie viel Platz auf der Platte belegt sein wird, wenn Sie alle ausgewählten Patches installiert haben. Wie viel Sie dabei aus dem Netz downloaden müssen steht über der Tabelle neben Gesamtgröße des Downloads.

Rechts oben, neben der Patchliste hat SuSE eine weitere Liste angeordnet. Sie zeigt, welche Pakete zu dem Patch gehören. Von einer Aktualisierung sind oft mehrere Pakete betroffen, daher fasst SuSE sie zusammen. So ist sichergestellt, dass Sie auch jedes von einer bestimmten Lücke betroffene Paket korrigieren. Wenn Sie diese Liste nach rechts scrollen, zeigt da Fenster die Größe der einzelnen Pakete, die Nummer der neu verfügbaren Version sowie die Version des vorhandenen (bereits installierten) Pakets.

Beide Informationen erscheinen auch als Tooltip (kleines gelbes Fenster mit Text), wenn Sie den Mauszeiger über einer Zeile ruhen lassen. Da SuSE bei den Patches nur die Änderungen überträgt und nicht die kompletten Pakete, ist die Patchgröße (linke Liste) meist bedeutend kleiner als die kompletten Pakete (rechte Liste).

Detailreich

Rechts unten schließlich sind Details zu dem rechts oben gewählten Paket zu finden. Die Beschreibung fällt leider zu knapp aus. Sie können auch technische Daten, Abhängigkeiten und Versionen von installiertem und neuem Paket anzeigen lassen.

Über das Menü YOU-Patch / Alle in dieser Liste können Sie alle automatisch ausgewählten Pakete abwählen und dann einzeln neu hinzufügen. Die Symbole (siehe Tabelle "YOU-Symbole") sind dabei allerdings verwirrend: Wenn Sie eine Aktualisierung (Zeile 1) nicht wollen, müssen sie Beibehalten wählen. Das Symbol dafür ist ein blauer Haken in einem Kästchen (Zeile 2). Zum verwechseln ähnlich sieht das Symbol für das Installieren eines Patches aus, nur ist dann der Haken schwarz (Zeile 3). Ein nicht zu installierender Patch wird als leeres Kästchen angezeigt (Zeile 4).

Abb. 4: SuSE hat den Patch für die PNG-Bibliothek libpng heruntergeladen und installiert. Die Sicherheitslücke konnte dazu führen, dass ein Angreifer über eine manipulierte Grafikdatei Zugriff auf Ihren Computer erhält.

Abb. 5: Nach jeder Aktualisierung des Systems erzeugt SuSE Linux jede Systemkonfigurationsdatei neu -- selbst wenn der Patch nichts an diesen Dateien ändert.

In der Regel ist es sinnvoll, die Vorauswahl zu übernehmen. Nachdem Sie auf Akzeptieren klicken, lädt Ihr Linux-System die Patches und installiert sie (Abbildung 4). Wenn Sie Plattenplatz sparen wollen, sollten Sie am unteren Rand des Fenster das Feld vor Quellpakete nach dem Update entfernen ankreuzen. Der Updater entfernt dann die heruntergeladenen Dateien; nach der Installation braucht Ihr System diese Pakete nicht mehr.

Klick Sie nun auf Beenden, dann startet SuSE-typisch die Aktualisierung der Konfigurationsdateien (Abbildung 5). Das Programm geht immer alle installierten Pakete durch, egal ob sie vom Patch betroffen sind oder nicht. Dadurch dauert der Vorgang unnötig lang.

MandrakeLinux 9.2

Mandrake installiert leider keinen dem SuSEWatcher vergleichbaren Dienst. Sie müssen also selbst regelmäßig nach Updates Ausschau halten. Das ist bei dieser Distribution aber recht flott erledigt.

1. Wählen Sie K-Menü / Einstellungen / Paketierung / Mandrake Aktualisierung.

2. Geben Sie das Root-Passwort in das folgende Dialogfenster ein und bestätigen Sie es mit OK.

3. Danach startet ein Agent, der Sie fragt ob Sie Ihr System wirklich aktualisieren wollen. Bestätigen Sie das Dialogfeld mit Ja.

4. Der Agent muss aus dem Internet eine Liste laden, die alle Server verzeichnet, auf denen die Updates zu finden sind. Bevor er diese Liste holt, fragt er sicherheitshalber nach. Auch hier klicken Sie wieder auf Ja.

5. Haben Sie das Mandrake-Update-Programm zum ersten Mal aufgerufen, dann fragt es Sie, welchen Mirror Sie verwenden wollen (Abbildung 6). Mirrors sind Server, die den gleichen Inhalt anbieten wie die Original-Mandrake-Server (ihn also spiegeln). Sie sollten wenn möglich einen Server in Ihrer Nähe wählen. Bestätigen Sie die Wahl mit OK.

6. Danach lädt das Programm die Informationen zu den vorhandenen Patches.

7. Nun startet Mandrake Update, siehe Abbildung 6.

Abb. 6: Das Mandrake-Update-Programm ist übersichtlich aufgebaut. Links listet es alle verfügbaren Aktualisierungen, zu denen es rechts sehr detaillierte Informationen zeigt -- leider nur in englischer Sprache.

Links oben im Mandrake-Update-Programm können Sie wählen, welche Updates das Programm anzeigen soll. Das ist vorbildlich gelöst: Sicherheitsupdates sind per Default gewählt. Wenn Sie auch Fehlerkorrekturen sehen wollen, aktivieren Sie zusätzlich dieses Feld. Hinter Normale Updates verstecken sich zum Redaktionsschluss dieser Ausgabe nur aktualisierte Dokumentationsdateien.

Informativ und übersichtlich

Zu jedem Update zeigt Mandrake umfangreiche Informationen. Wählen Sie in der Liste links ein zu aktualisierendes Paket (in Abbildung 6 libpng), dann erscheint rechts die ausführliche Beschreibung. Leider sind diese Texte nur auf englisch verfügbar. Ihr Inhalt ist dafür vorbildlich.

Wenn Sie über dem Textfeld Normale Informationen wählen, dann beschreibt das Fenster, warum das Paket zu aktualisieren ist (Aktualisierungsgründe) und worum es sich bei dem Paket handelt (Beschreibung). Wenn Sie Alle Informationen wählen, zeigt die Liste zusätzlich die enthaltenen Dateien und den Changelog (Liste der einzelnen Änderungen im Code).

Im Detail zeigen sich leider einige Schwächen. Sie müssen alle gewünschten Patches einzeln auswählen (Häkchen neben Paketnamen setzen), es gibt kein Kommando, das alle Pakete auf einmal auswählen würde. Selbst im Kontextmenü (rechte Maustaste) findet sich lediglich ein Eintrag, der die getroffene Auswahl wieder zurücknimmt.

Die Suchfunktion am oberen Rand des Fensters ist zwar sehr praktisch, nach der Suche zeigt die Paketliste nur noch die Trefferliste. Es gibt aber keine Funktion, um wieder zur vollständigen Liste zurückzukehren. Als Ausweg müssen Sie das Kreuzchen vor Sicherheitsupdates entfernen und wieder setzen, danach zeigt das Programm wieder die komplette Liste von Sicherheitspatches.

Haben Sie die gewünschten Updates ausgewählt, beginnt die Installation:

1. Klicken Sie in Mandrake Update (Abbildung 6) auf Installieren.

2. Das Programm bemerkt Abhängigkeiten zwischen den Updates. Wenn Sie eine Aktualisierung vornehmen wollen, die nur dann funktioniert, wenn Sie gleichzeitig ein anderes Update einspielen, dann informiert Mandrake Linux Sie darüber. Klicken Sie in diesem Fall in folgendem Fenster auf OK, dann holt das Programm auch die weiteren Updates.

Über einen Klick auf Mehr Infos können Sie auch sehen, welche Aufgaben die abhängigen Pakete erfüllen.

3. Beim ersten Aufruf verlangt Mandrake Update zusätzlich die Installations-CD. Von dort lädt es einige fehlende Module nach. Legen Sie die CD ein und bestätigen Sie das mit OK.

4. Danach installiert der Updater die aktualisierten Pakete. Dieser Schritt arbeitet erstaunlich flott.

Fedora Core 2

Die Red-Hat-Wurzeln sind Fedora Core nach gut anzumerken: Das Update-Programm nennt sich "Red Hat Network" (RHN). Es lädt die Dateien aber nicht mehr -- wie früher -- über die RHN-Mechanismen, sondern nutzt dafür YUM (Yellow dog Updater, Modified). Die alte Hülle scheint über den neuen Kern noch nicht so recht zu passen, das Programm bleibt bei Update-Versuchen häufiger hängen.

In diesen Fällen genügt es aber, die RHN-Fenster zu schließen und das Update neu zu starten. Es verwendet dann einen anderen Server, der hoffentlich schneller reagiert und zu weniger Problemen führt.

Wenn das Update funktioniert, dann ist der Ablauf recht einfach:

1. Fedora Core 2 enthält eine Symbol in der KDE-Kontrollleiste, das eine ähnliche Aufgabe übernimmt wie der SuSEWatcher. Blinkt es rot, dann hat das Programm Aktualisierungen gefunden:

Wenn das Symbol auf Ihrem Rechner fehlt, dann starten Sie es über das K-Startmenü in Systemtools / Red Hat Network Warn-Icon

2. Ein Klick auf das Symbol öffnet ein Fenster, das alle ausstehenden Patches listet. Leider enthält dieses Fenster keinerlei Informationen über den Anlass der Aktualisierung. Nicht einmal einen Hinweis, ob es Sicherheitsgründe sind, ist zu finden. Auch wozu das Paket dient zeigt dieses Fenster nicht.

3. Wenn Sie eines der Pakete nicht aktualisieren wollen, fügen Sie es in die Liste der ignorierten Pakete ein. Dazu dient im selben Fenster der Reiter Ignorierte Pakete.

4. Mit dem Button up2date starten... startet die Aktualisierung. Beim ersten Aufruf öffnet sich das Konfigurationsfenster (Abbildung 7a bis 7c) für das Red Hat Network. Hier müssen Sie in der Regel nichts ändern. Schließen sie die Konfiguration mit OK ab.

Abb. 7a: Der erste Reiter im RHN-Konfigurationsfenster. Hier könnten Sie bei Bedarf einen anderen Server eintragen.

Abb. 7b: Die zweite Konfigurationsseite. Wenn Sie aktualisierte Pakete über RHN nur laden, aber nicht automatisch installieren wollen, setzen Sie den obersten Haken.

Abb. 7c: Über die Paketausnahmen können Profis festlegen, auf welche Aktualisierungen sie bewusst verzichten.

5. Ebenfalls nur einmalig verlangt der Updater, dass Sie den GPG-Schlüssel installieren. Mit diesem Schlüssel prüft das Programm, ob die Pakete wirklich aus vertrauenswürdiger Quelle stammen. Wählen Sie also Ja.

6. Nun beginnt der Update-Vorgang mit einer Begrüßung. Klicken Sie auf Vor.

7. Das Update-Werkzeug zeigt die Auswahl der Kanäle (Channels). In diesen Channels sammelt das Red Hat Network verschiedene Arten von Patches. Da Fedora das RHN nicht benutzt und die Aktualisierungen per YUM lädt, können Sie diesen Schritt ignorieren. Immerhin zeigt der untere Bereich des Fensters, welchen Update-Server das Programm gewählt hat.

8. Nach einem Klick auf Vor holt die Software Patch-Informationen von den Servern und gleicht sie mit der Liste der installierten Pakete ab.

9. Es folgt eine Seite, die alle absichtlich ausgelassenen Aktualisierungen zeigt (Abbildung 8). Klicken Sie auch hier auf Vor.

Abb. 8: Im Fedora-Update-Programm können Sie einzelne Update-Pakete gezielt ignorieren. Per Default verzichtet Fedora darauf, den Kernel zu aktualisieren.

Abb. 9: In Fedora sehen Sie zwar bei jedem zu aktualisierenden Paket, welche Aufgabe es erfüllt. Das Programm verschweigt aber den Grund für das Update.

Abb. 10: Diese lapidare Fehlermeldung zeigt Fedora an Stelle von Hinweisen zu den Aktualisierungen.

Nun listet das Programm, zu welchen Paketen es Aktualisierungen gefunden hat (Abbildung 9). Der untere Bereich des Fensters erklärt, welche Aufgabe das oben ausgewählte Paket erfüllt. Informationen, warum das Paket aktualisiert wurde, sind allerdings nirgends zu finden. Eigentlich sollte das RHN-Programm Empfehlungen zu einem Paket zeigen, wenn Sie es auswählen und dann auf Empfehlung anschauen klicken. Leider liegt für kein Paket eine Empfehlung vor, Fedora präsentiert beharrlich die Fehlermeldung aus Abbildung 10.

Informationssuche

Wenn Sie etwas Mühe investiert, finden Sie immerhin auf der Fedora-Announcement-Mailingliste alle Daten: http://www.redhat.com/archives/fedora-announce-list/. Das Archiv ist monatsweise aufgeteilt. Sicherheitsaktualisierungen kennzeichnet der Absender immer mit "[SECURITY]" im Betreff. Zu jedem Patch finden sich hier recht ausführliche Informationen (Abbildung 11), leider nur in englisch.

Abb. 11: Warum das Fedora-Projekt ein Paket aktualisiert hat, teilt es über die Fedora-Announcement-Mailingliste mit. Sicherheits-Patches sind in der Betreffzeile mit [SECURITY] gekennzeichnet.

Wenn Sie sich trotz Fedoras Informationsmangel für eine Auswahl an Updates entschieden haben, setzen Sie in Abbildung 9 vor jedes gewünschte Aktualisierungspaket ein Häkchen. Einfacher und meist auch besser ist es, Alle Pakete auswählen zu aktivieren und damit jedes Update zu installieren. Nach einem Click auf Vor beginnt die Installation.

1. Das Fedora-Update-Programm lädt alle ausgewählten Paket von den Update-Servern.

2. Wenn das Programm alle Update-Pakete auf Ihren Rechner kopiert hat, klicken Sie wieder auf Vor. Das Programm installiert dann die Pakete.

3. Nach einem weiteren Klick auf Vor bestätigt das Red-Hat-Programm noch einmal, dass es die gewünschten Pakete geladen und installiert hat.

4. An Stelle des Vor-Knopfs ist nun Finish zu finden. Ein Klick darauf beendet das Update-Programm.

Auch wenn das Update-Prozedere bei Fedora manchmal hakt und einiges an Informationen vermissen lässt: Bei jedem Betriebssystem sind Sicherheitsaktualisierungen Pflicht, vor allem wenn der Computer gelegentlich Internet-Verbindung hat. Ohne diese Updates verfällt der Linux-Sicherheitsvorsprung bei jeder Distribution. (fjl)

Vergleich der Updater

An Mandrake Update gefällt besonders, dass das Programm sehr schnell arbeitet. Nur die vielen Nachfragen, bevor es startet, stören etwas. Der übersichtliche Updater zeigt vorbildlich alle wichtigen Informationen. Dem Programm fehlt aber eine Funktion, mit der man alle Patches auswählen kann. Die Suchfunktion ist etwas unglücklich implementiert, fehlt aber allen Konkurrenten. Als Ergänzung wäre ein Watcher-Programm noch sinnvoll, das regelmäßig nach Updates sucht und den Benutzer darauf hinweist. Bei SuSE ist der Funktionsumfang hervorzuheben. Keiner der Konkurrenten hat mehr zu bieten. Leider ist das Update-Fenster sehr überladen: Jede Information ist wichtig und sinnvoll, nur müsste nicht alles gleichzeitig den Bildschirm füllen. SuSE könnte sich hier von Mandrake einiges abgucken. Am schlechtesten schneidet Fedora Core 2 in diesem Vergleich ab. Der Updater arbeitet nicht stabil und enthält keinerlei Informationen über die Gründe für die Aktualisierung. Immerhin installiert Fedora einen Watcher, der in der KDE-Kontrollleiste auf Aktualisierungen hinweist. Auch die Ausschlussliste, die bestimmte Pakete dauerhaft von der Aktualisierung ausschließt, gehört zu den Pluspunkten. In keinem der drei Update-Programm findet sich eine Funktion, mit der man das Originalpaket deinstallieren könnte statt es zu aktualisieren. Besonders für Modem-Benutzer mit schmalem Geldbeutel wäre diese Möglichkeit aber wichtig.

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.