Linux-päivitys #80
[Tämä tiedote on nähtävissä myös HTML-muodossa osoitteessa
<URL:http://www.cs.Helsinki.FI/compfac/updates/linux80.html>.
Tiedote kaikkine linkkeineen ja kuvineen onkin parempi lukea siinä muodossa.]
Maanantai-iltana 28.8.2000 käynnistyy TKTL:n Linux-päivitys #80. Päivityksen voi tehdä omalle koneelleen jo tätä aikaisemmin sivun CSL Linux -päivitys kautta. Tätä tapaa suositellaan erityisesti kannettavien koneiden haltijoille.
Päivitys on pääosaltaan turvallisuuspäivitys, mutta myös uutta ohjelmistoa asennetaan.
Koska kysee on siis myös turvallisuudesta, on välttämätöntä, että kaikki koneet päivitetään, myös sellaiset, joita ei normaalisti käytetä Linuxissa ja sellaiset kannettavat, jotka eivät normaalisti ole laitoksen verkossa.
Erityisesti laitoksen langattoman verkon tunnuksen vaihtuminen aiheuttaa sen, että langatonta yhteyttä käyttävät koneet olisi päivitettävä ennen perjantaita 1.9.2000, koska ne eivät sen jälkeen välttämättä saa yhteyttä laitoksen verkkoon.
Päivityksessä asennetaan mm.
Netscape Communicator 4.75, joka sisältää turvallisuuskorjauksen lisäksi muitakin korjauksia aiempaan käytössä olleeseen versioon 4.73 nähden, mm. shockwave-flash-laajennusta vaativien sivujen pitäisi nyt toimia paremmin, (esimerkiksi Helsingin Sanomain viime huhtikuun Klik! -sivulta löytyvä webortaasi "Singlen synty" on hyvä esimerkki toimivasta tavasta käyttää flash-laajennusta).
Adobe Acrobat 4.05, joka on hieman ongelmallinen siinä mielessä, että vaikka tässä versiossa monet uudet asiat toimivat kunnolla (sillä voi täyttää vaikka veroilmoituksen, tässä esimerkkinä viime vuoden lomake) niin toisaalta jotkin aiemmin virheettä näkyneet dokumentit aiheuttavat nyt ongelmia.
Jos koneella on kovin niukasti levytilaa eivätkä molemmat Netscape ja Acrobat mahdu asennukseen, niin silloin Acrobat jätetään asentamatta.
Langattoman tietoliikenteen nopean kasvun vuoksi on Teollisuuskatu 23:n kiinteistössäkin havaittu muitakin IEEE 802.11 -normin mukaisia langattomia lähetteitä. Tästä syystä on tullut tärkeäksi muuttaa TKTL:n tukiasemien käyttämä palvelun tunnus (extended SSID) oletuksesta poikkeavaksi.
Syyskuun 1. päivästä 2000 alkaen käytetään TKTL:n langattoman verkkopalvelun tunnuksena merkkijonoa "Univ Helsinki CS". Tämä Linux-päivitys muuttaa tukiaseman etsintälogiikan sellaiseksi, että ensijaisesti etsitään "Univ Helsinki CS"-tukiasemia, jos sellaista ei löydy, niin oletustunnuksellla varustettua tukiasemia ja jos sellaistakaan ei löydy, niin mitä tahansa. Tällä logiikalla Linux-käyttäjät voivat tehdä tämän päivityksen jo ennen tukiasematunnusten vaihtumista.
Windows-puolella muutos on tehtävä käsin:
a) Valitse Start -> Control Panel ja sieltä Network.
b) Valitse oikea verkkokomponentti, BayStack 660 Wireless LAN in 802.11 Mode, ja avaa Properties.
c) Valitse Advanced-välilehti ja muuta Property:n Initial SSID arvoksi "Univ Helsinki CS" merkkijonon "Default SSID" tilalle ja kuittaa muutokset OK:lla.
Huom: Joissain ajurin uudemmissa versioissa tämä vaihe on hieman eri näköinen, asiasisältö on kuitenkin sama.Tämä muutos tulee siis tehdä Windows-puolella 1.9.2000 tai sen jälkeen.
SSH-palvelimeksi kaikkiin koneisiin vaihdetaan OpenSSH:n sshd nykyisen SSH Communincations Security:n sshd:n tilalle. Päivitys johtuu osittain lisenssipolitiikasta ja osittain tarpeesta saada linux-koneisiimme ssh2-kykyinen asiakas. SSH-tilanne on kehittymässä ja tilanne tulee varmaan jatkossa vielä muuttumaan. Tavalliselle käyttäjälle päivitys ei merkitse muuta muutosta, kuin että nyt SSH-protokollan versiota 2 käyttävät asiakasohjelmat (esim. Windowsissa) toimivat.
Asennetaan tekstimoodissa toimiva web-selain w3m, joka osaa mm. näyttää taulukot ja kehykset järkevästi. Lisäksi se osaa käsitellä cookieita (evästeitä, kuitteja, keksejä, pipareita, vastamerkkejä, pikkuleipiä, miten tahansa) sekä pystyy SSL-yhteyksiin. Ohjelma on japanilainen ja sen englanninkiellinen dokumentaatio on puutteellista, man-sivu kyllä löytyy, samoin help-toiminto (iso H). Lisätietoja saattaa löytyä paikasta http://www.w3m.org.
Esimerkiksi Meritan Solo-järjestelmää pystyy käyttämään w3m:n avulla. [Varoitus: tätä on testattu vain demo-tunnuksella.] Javascriptiä w3m ei sentään osaa.
Asennetaan uusi apuohjelma dog, joka on oikeastaan täydennetty cat. Tärkempiä lisäyksiä ovat kyky toimia pienenä verkkopalvelimena ja -asiakkaana, kyky noutaa dataa URL:in perusteella ja kyky etsiä HTML-linkkejä syötteistä. Normaaliin tapaan man dog kertoo lisää.
Kaksilevyisillä työhuonekoneilla öisin tapahtuva automaattinen varmistuskopiointi muuttuu hieman: varmistuskopioita ei tehdä, jos koneen käytöaste (Unixin/Linuxin lyhimmän aikakävälin load average) ylittää 0.50, ilman mahdollisen näytönsäästäjän aiheuttamaa kuormaa, varmistokopioinnin alkuhetkellä (03:00). Käytännössä tämä tarkoittaa oikeastaan mitä tahansa tausta-ajoa.
Varmistuskopiointi tehdään kuitenkin aina vähintään kerran viikossa, torstain ja perjantain välisenä yönä.
Koneiden kelloja ryhdytään synkronoimaan huomattavasti nykyistä useammin. Heittojen oikeasta ajasta pitäisi pysyä muutamissa millisekunneissa. Jatkuva synkronointi ei koske kannettavia koneita, jotka syknronoidaan vain niiden tullessa verkkoon.
Prosessien resurssienkäyttöstä kertovan ohjelman top kanssa on ollut joitakin vaikeuksia. Ohjelmasta asennetaan sen toista (alkuperäistä) pääkehityshaaraa edustava toimivampi versio. Toiminnassa on hieman eroja entiseen, man top kertoo tarkemmin.
Myös last-komennon versio vaihtuu uudempaan.
Asennetaan muita vähäisempiä korjauksia.
Päivitys on kestää noin 5-15 min konetta kohden eikä se aiheuta tavallisesti koneen uudelleenkäynnistystä.
Turvallisuussyistäkin kannattaa pitää huolta, että kaikki koneet ovat tuoreimmalla päivitystasolla. Myöhemmin käyttöönotettavassa turvaluokituksessa päivitystasoa tullaan käyttämään yhtenä koneen turvaluokitukseen vaikuttavana tekijänä eikä alempiin turvaluokkiin kuuluville koneille tulla tarjoamaan kaikkia palveluita (esim. NFS) eikä niihin tulla sallimaan yhteydenottoja laitoksen verkon ulkopuolelta.
Päivitysautomaatti¹ päivittää kaikki² koneet maanantai-illasta 28.8.2000 alkaen. Päivitys kestää vähintäänkin loppuviikon ajan. Mahdollisista ongelmista voi raportoida esim. sivun <URL:http://www.cs.Helsinki.FI/cgi-bin/problem-report> kautta.
Yhteistyöstä kiittäen,
Petri Kutvonen University of Helsinki kutvonen@cs.Helsinki.FI Department of Computer Science +358 9 191 44216
¹) Liite 1 - Miten Linux-koneiden päivitys tapahtuu?
Päivitys tapahtuu päivitysautomaatin avulla koneen ollessa jouten tai koneen käyttäjän itsensä aktivoimana sivun CSL Linux -päivitys (tai CSL Linux update) kautta. [Nämä linkit toimivat luonnollisesti vain laitoksen sisällä.]
Operaatio sujuu kunkin koneen osalta taatusti alle puolessa tunnissa. Tarvittaessa päivityksen ajaksi ilmestyy ruudulle varoitusteksti, mutta entinen tila palautuu automaattisesti päivityksen jälkeen. Mikäli päivitys vaatii koneen uudelleenkäynnistyksen, tapahtuu se 10 min päivityksen jälkeen.
Kuva 1: uudelleenkäynnistystä edellyttävän päivityksen yhteydessä ruudulle tuleva varoitus
Jotta automaatti voi tehdä päivityksen, on koneen luonnollisesti oltava käynnistettynä Linuxiin. Sen oltava joko ilman käyttäjiä tai muuten jouten, tavallisesti vähintään 20 min ajan. Kunkin käyttäjän on järjestettävä tällainen tilanne omalle koneelleen mahdollisimman pian. Tuoreimman päivityksen numero näkyy myös suoraan muodossa "CSL #numero" sisäänkirjoittautumisen yhteydessä. Päivitysautomaatti yrittää päivitystä yhä uudelleen ja uudelleen kunnes se onnistuu. Automaatti suorittaa samalla myös kaikki 24.2.2000 jälkeen ilmestyneet TKTL:n Linux-päivitykset. Jos kone on vanhemmalla päivitystasolla, niin tarvitaan "käsityötä".
²) Liite 2 - Mitä Linux-koneita päivitys koskee?
Päivitys koskee kaikkia laitoksen hallinnassa olevia laitteita, sekä laitoksen että projektien varoilla hankittuja. Kaikki laitteet on ehdottomasti päivitettävä vaikka niillä ei edes Linuxia normaalisti käyttäisi, sillä päivityksen yhteydessä saatetaan tehdä korjauksia myös Windows 95/98 -ympäristöön.
Vanhentuneiden ohjelmien käyttäminen saattaa aiheuttaa ongelmia yhteensopivuudeessa. Mahdollisia turva-aukkoja sisältävän järjestelmän käyttö voi muodostaa aikapommin, joka on uhkana yhteiselle tietoturvallemme. Muista, että vaikka sinulla itselläsi ei olisi omasta mielestäsi mitään erityisen suojattavaa, jollakulla toisella saattaa olla. Turva-aukko yhdessä koneessa saattaa johtaa turvallisuuden heikentymiseen toisaalla.
Päivitysautomaatti ei nykyisellään koske koneisiin, joissa käytetään käyttöympäristöä, joka on muunlainen kuin laitoksen käytäntöjen mukainen. Näiden koneiden päivityksestä on syytä sopia erikseen.
Automaatti pyrkii päivittämään myös kannettavat Toshiba-koneet. Jos päivitystä ei tunnu ilmaantuvan tai verkon käytössä on ongelmia, niin ottakaa yhteyttä Mikael Jokelaan tai Pekka Niklanderiin.
Petri Kutvonen