CSL 2 Linux-päivitys #23
[Tämä tiedote on nähtävissä myös HTML-muodossa osoitteessa
<URL:
http://www.cs.Helsinki.FI/compfac/updates/csl2/linux023.html>.
Tiedote kaikkine linkkeineen ja kuvineen onkin parempi lukea siinä muodossa.]
Perjantai-iltana 17.11.2000 käynnistyy TKTL:n CSL 2 Linux-päivitys #23. CSL 2 päivityksiä ei vielä voi käynnistää oma-aloitteisesti.
Tässä päivityksessä korjataan joukko tietoturva-ongelmia, joten on erityisen tärkeää, että kaikki CSL 2 asennukset saadaan päivitettyä tasolle #23.
Päivityksessä asennetaan mm.
Edellisessä päivityksessä asennettu openssh-2.2.0p1 päivitetään versioon openssh-2.3.0p1. Tämän päivityksen toivotaan auttavan Windows ssh-asiakkaiden käytössä ilmenneisiin ongelmiin.
Asennetaan joukko MS:n truetype-fontteja. Tämä auttaa huomattavasti netscape:n käyttämien fonttien ulkonäköön. Samalla myös viritys jossa X-palvelimet käynnistettiin 100dpi tilassa poistetaan.
Asennetaan pine-sähköpostiohjelman versio 4.30.
Asennetaan sawmill-ikkunamanagerin versio 0.24.
Asennetaan enlightenment-conf RPM-paketti, jolla enlightenment ikkunamanageria voi myös konfiguroida.
Päivityksen jälkeen käyttäjille luodaan sisäänkirjoittautumisen yhteydessä hakemisto
/tmp/<käyttäjätunnus>
. YmpäristömuuttujatTMPDIR
jaTMP
asetetaan osoittamaan tähän hakemistoon. Tämä auttaa useaan/tmp
-hakemiston yhteiskäytön aiheuttamaan tietoturvaongelmaan. Mikäli tällainen hakemisto oli olemassa jonkin muun käyttäjän omistamana tai sen paikalla oli jo tiedosto se uudelleennimetään. Näin ollen/tmp/<käyttäjätunus>
on nyt virallisesti omistettu vain ja ainoastaan yhdelle käyttäjälle.Korjataan päivityksen 22 aiheuttama ongelma, joka aiheutti virheilmoituksen käyttäjän yrittäessä vaihtaa master-salasanaansa
/usr/local/bin/passwd
-ohjelmalla.Asennetaan joukko muita vähäisempiä korjauksia ja tavalliselle käyttäjälle näkymättömiä päivityksiä.
Päivityksessä asennetaan seuraavat RPM-paketit:
enlightenment-0.15.5-48.i386.rpm enlightenment-conf-0.15-9.i386.rpm librep-0.10-2.i386.rpm librep-devel-0.10-2.i386.rpm modutils-2.3.20-0.6.2.i386.rpm openldap-1.2.9-6.i386.rpm openssh-2.3.0p1-csl6.i386.rpm openssh-askpass-2.3.0p1-csl6.i386.rpm openssh-askpass-gnome-2.3.0p1-csl6.i386.rpm openssh-clients-2.3.0p1-csl6.i386.rpm openssh-server-2.3.0p1-csl6.i386.rpm pine-4.30-1.62.i386.rpm rep-gtk-0.8-1.i386.rpm rep-gtk-libglade-0.8-1.i386.rpm sawmill-0.24-3.i386.rpm sawmill-gnome-0.24-3.i386.rpm sawmill-themer-0.24-3.i386.rpm usermode-1.37-1.6.i386.rpm
Päivitys kestää noin 5-20 min konetta kohden eikä se aiheuta tavallisesti koneen uudelleenkäynnistystä.
Turvallisuussyistäkin kannattaa pitää huolta, että kaikki koneet ovat tuoreimmalla päivitystasolla. Myöhemmin käyttöönotettavassa turvaluokituksessa päivitystasoa tullaan käyttämään yhtenä koneen turvaluokitukseen vaikuttavana tekijänä eikä alempiin turvaluokkiin kuuluville koneille tulla tarjoamaan kaikkia palveluita (esim. NFS) eikä niihin tulla sallimaan yhteydenottoja laitoksen verkon ulkopuolelta.
Mahdollisista ongelmista voi raportoida esim. sivun <URL:http://www.cs.Helsinki.FI/cgi-bin/problem-report> kautta.
Yhteistyöstä kiittäen,
Petri Kutvonen University of Helsinki kutvonen@cs.Helsinki.FI Department of Computer Science +358 9 191 44216 Jani Jaakkola University of Helsinki jjaakkol@cs.Helsinki.FI Department of Computer Science +358 9 191 44188
¹) Liite 1 - Miten CSL 2 Linux -koneiden päivitys tapahtuu?
Päivitys tapahtuu päivitysautomaatin aktivoimana. CSL 2 päivitysautomaattia ei vielä voi aktivoida oma-aloitteisesti. Mikäli jokin CSL 2 kone on jäänyt päivittämättä (kuten esimerkiksi kannettavat, jotka eivät ole olleet verkossa päivityksen aikana), voi päivitystä pyytää erikseen ylläpidolta.
Operaatio sujuu kunkin koneen osalta taatusti alle puolessa tunnissa. Päivityksen ajaksi ilmestyy ruudulle varoitusteksti ja ikkuna josta voi seurata päivityksen edistymistä, mutta entinen tila palautuu automaattisesti päivityksen jälkeen. Mikäli päivitys vaatii koneen uudelleenkäynnistyksen, tapahtuu se 10 min päivityksen jälkeen.
Kuva 1: päivityksen yhteydessä ruudulle tuleva varoitus
Jotta automaatti voi tehdä päivityksen, on koneen luonnollisesti oltava käynnistettynä Linuxiin. Tuoreimman päivityksen numero näkyy myös suoraan muodossa "CSL #2.numero" sisäänkirjoittautumisen yhteydessä. Päivitysautomaatti yrittää päivitystä yhä uudelleen ja uudelleen kunnes se onnistuu. Automaatti suorittaa samalla myös kaikki aikaisemmin ilmestyneet TKTL:n CSL 2 Linux-päivitykset.
²) Liite 2 - Mitä Linux-koneita päivitys koskee?
Päivitys koskee kaikkia laitoksen hallinnassa olevia laitteita, joihin CSL 2 Linux on asennettu.
Vanhentuneiden ohjelmien käyttäminen saattaa aiheuttaa ongelmia yhteensopivuudeessa. Mahdollisia turva-aukkoja sisältävän järjestelmän käyttö voi muodostaa aikapommin, joka on uhkana yhteiselle tietoturvallemme. Muista, että vaikka sinulla itselläsi ei olisi omasta mielestäsi mitään erityisen suojattavaa, jollakulla toisella saattaa olla. Turva-aukko yhdessä koneessa saattaa johtaa turvallisuuden heikentymiseen toisaalla.
CSL 2 Päivitysautomaatti ei koske koneisiin, joissa käytetään jotain muuta kuin CSL 2 käyttöympäristöä.
Automaatti pyrkii päivittämään myös kannettavat CSL 2 asennusta käyttävät Toshiba-koneet. Jos päivitystä ei tunnu ilmaantuvan tai verkon käytössä on ongelmia, niin ottakaa yhteyttä Mikael Jokelaan tai Jani Jaakkolaan.
Jani Jaakkola