Helsingin yliopisto Tietojenkäsittelytieteen laitos
 

Tietojenkäsittelytieteen laitos

Tietoa laitoksesta:

 

Linux-päivitykset #64-#66

Linux-päivitykset #64-#66 on toteutettu 2.1., 3.1., ja 5.1.2000 alkaen. Päivityksessä #64 korjattiin pari pientä Y2K-ongelmaa ja päivitys #65 korjasi edellisessä olleen pienen kirjoitusvirheen.

Kuten monet varmaan ovat huomanneetkin, niin Y2K-korjattu uudempi ML toimii monilta muilta osin huomattavasti entistä huonommin. Tämän vuoksi toteutetaan vielä päivitys #66, jossa asennetaan uusi, mutta paremmin testattu ja toimivaksi havaittu versio postinlukuohjelmasta ML.

Kokonaisuudessaan käyttäjille näkyy ainakin seuraaavat uutuudet:

  1. Siis uusi ML. Pienten ulkonäöllisten uudistusten lisäksi

    • ML käyttää nyt aina ssh:ta eikä koskaan rsh:ta ennalta autentikoitujen yhteyksien muodostamiseen
    • ML pyrkii ensisijaisesti muodostamaan lähtevän postin SMTP-yhteyden ssh-putken avulla
    • ML:ää käytettäessä saadaan näin kaikki asiakaskoneen ja postipalvelimen välinen verkkoliikenne salattua, muistettakoon kuitenkin että ulos talosta suuntautuva (tai esim. iki-osoitteiden kautta takaisin kiertavä) postiliikenne on oletusarvoisesti salaamatonta.

  2. Uusi komento 'preauth', joka helpottaa ssh:n käyttämistä RSA-autentikoinnilla. Jos haluat, että koneesta A pääsee koneeseen B, niin sano koneessa A 'preauth B'.

    Aivan erityisesti kannatta ennalta-autentikoida yhteys postikoneeseen omalta työasemaltaan komennolla 'preauth mail'.

    Komento 'preauth' uudelleennimeää kohdekoneella mahdollisesti sijaitsevat .rhosts- ja .shosts-tiedostot, koska niiden käyttöä autentikointiin ei suositella.

  3. Asennetaan vaihtoehtoinen (javalla kirjoittu) postiohjelma 'mailpuccino', käynnistyy myös komennolla 'mailp'.

    • mailpuccino on puhdas IMAP-asiakas, joten turvallisuusorientoituneiden kannattanee edelleen käyttää ML:ää.
    • mailpuccino on kuitenkin varsin mukavakäyttöinen ja se voidaan jopa asentaa myös Windows-puolelle niin, että Linux- ja Windows-versiot käyttävät yhteisiä postikansioita.
    • mailpuccinon levyllä olevat postikansiot eivät ole yhteensopivia kuin sen itsensä kanssa.

  4. Asennetaan tuki uusille kirjoittimille.

  5. Asennetaan tuki uusille Mitsubishin 18" TFT-näytöille.

  6. Tuodaan Windows-puolelle asennusvalmiiksi uudet versiot BayStack 660 -verkkokortin ajureista.

  7. Tehdään joitakin turvallisuutta parantavia asennuksia.

Päivitys #66 on suhteellisen nopea, eikä se sinänsä edellytä erityisiä toimia tavallisilta käyttäjiltä. ML on syytä käynnistää uudelleen.

Turvallisuussyistäkin kannattaa pitää huolta, että kaikki koneet ovat tuoreimmalla päivitystasolla. Myöhemmin käyttöönotettavassa turvaluokituksessa päivitystasoa tullaan käyttämään yhtenä koneen turvaluokitukseen vaikuttavana tekijänä eikä alempiin turvaluokkiin kuuluville koneille tulla tarjoamaan kaikkia palveluita (esim. NFS) eikä niihin tulla sallimaan yhteydenottoja laitoksen verkon ulkopuolelta.

Päivitysautomaatti¹ päivittää kaikki² koneet keskiviikkoiltapäivästä 5.1.2000 alkaen. Päivitys kestää vähintäänkin loppiaisen yli. Mahdollisista ongelmista voi raportoida esim. sivun <URL:http://www.cs.Helsinki.FI/cgi-bin/problem-report> kautta.

Yhteistyöstä kiittäen,

    Petri Kutvonen   University of Helsinki           kutvonen@cs.Helsinki.FI
                     Department of Computer Science   +358 9 191 44216

¹) Liite 1 - Miten Linux-koneiden päivitys tapahtuu?

Päivitys tapahtuu päivitysautomaatin avulla koneen ollessa jouten. Operaatio sujuu kunkin koneen osalta alle puolessa tunnissa. Tarvittaessa päivityksen ajaksi ilmestyy ruudulle varoitusteksti, mutta entinen tila palautuu automaattisesti päivityksen jälkeen. Mikäli päivitys vaatii koneen uudelleenkäynnistyksen, tapahtuu se 10 min päivityksen jälkeen.

Jotta automaatti voi tehdä päivityksen, on koneen luonnollisesti oltava käynnistettynä Linuxiin. Sen oltava joko ilman käyttäjiä tai muuten jouten vähintään 20 min ajan. Kunkin käyttäjän on järjestettävä tällainen tilanne omalle koneelleen mahdollisimman pian. Tuoreimman päivityksen numero näkyy myös suoraan muodossa "CSL #numero" sisäänkirjoittautumisen yhteydessä. Päivitysautomaatti yrittää päivitystä yhä uudelleen ja uudelleen kunnes se onnistuu. Automaatti suorittaa samalla myös kaikki 27.9.1996 jälkeen ilmestyneet TKTL:n Linux-päivitykset.


²) Liite 2 - Mitä Linux-koneita päivitys koskee?

Päivitys koskee kaikkia laitoksen hallinnassa olevia laitteita, sekä laitoksen että projektien varoilla hankittuja. Kaikki laitteet on ehdottomasti päivitettävä vaikka niillä ei edes Linuxia normaalisti käyttäisi, sillä päivityksen yhteydessä saatetaan tehdä korjauksia myös Windows 95/98 -ympäristöön.

Vanhentuneiden ohjelmien käyttäminen saattaa aiheuttaa ongelmia yhteensopivuudeessa. Mahdollisia turva-aukkoja sisältävän järjestelmän käyttö voi muodostaa aikapommin, joka on uhkana yhteiselle tietoturvallemme. Muista, että vaikka sinulla itselläsi ei olisi omasta mielestäsi mitään erityisen suojattavaa, jollakulla toisella saattaa olla. Turva-aukko yhdessä koneessa saattaa johtaa turvallisuuden heikentymiseen toisaalla.

Päivitysautomaatti ei nykyisellään koske koneisiin, joissa käytetään käyttöympäristöä, joka on muunlainen kuin laitoksen käytäntöjen mukainen. Näiden koneiden päivityksestä on syytä sopia erikseen.

Automaatti pyrkii päivittämään myös kannettavat Toshiba-koneet. Jos päivitystä ei tunnu ilmaantuvan tai verkon käytössä on ongelmia, niin ottakaa yhteyttä Mikael Jokelaan tai Pekka Niklanderiin.


Petri Kutvonen.