ComputerBase Menü
Aktuelles

Keine Linux-Aktualisierungen - Sicherheitssituation?

Holzohrwascherl

Holzohrwascherl

Ensign
Registriert
Juli 2020
Beiträge
232
Ich habe eine Verständnisfrage zur Sicherheitssituation meines Backuprechners, falls ich den nicht mehr aktualisieren würde.
Ich setze auf meinem Backuprechner Ubuntu 20.04 ein, und alles läuft wunderbar.

Dazu wird er benutzt:

1. Der Rechner wird im Schnitt 1x pro Woche hochgefahren, dann wird mit rsnapshot ein Backup der Daten meines NAS durchgeführt, und dann wird er wieder heruntergefahren und vom Stromnetz und vom Netzwerk getrennt (Blitzschlag).
Nach dem Hochfahren mountet er die Netzwerkfreigabe (cifs mount), auf der sich die zu sichernden Daten befinden. Der Rechner selbst bietet keine Freigaben an.

2. Zusätzlich werden 4x im Jahr alle Festplatten einem ausführlichen SMART-Test unterzogen.

3. Der Rechner hat eine Internetverbindung. Die dient nur zum Bezug der Aktualisierungen.

Frage: Wie hoch wäre das Risiko, wenn ich diesen Rechner über das Ende seiner Unterstützung weiter so betreibe, also weiter nichts tue?
Wie kann es zu einer Kompromittierung des Rechners kommen, wenn ich quasi die nächsten Jahre nichts tue?
 
Holzohrwascherl schrieb:
Wie kann es zu einer Kompromittierung des Rechners kommen, wenn ich quasi die nächsten Jahre nichts tue?
Zum Vergrößern anklicken....
Über seine Client Verbindungen. Auch da können Sicherheitslücken lauern, üblicherweise sogar deutlich häufiger, als in den Server-Applikationen. Natürlich müssen einige Voraussetzungen erfüllt sein, damit ein Rechner über einen Client kompromittiert wird, aber möglich ist es.
 
So ein Rechner baut ja direkt nach dem Booten haufenweise Verbindungen ins Internet auf: Nameserver, Updates abrufen, Login-Status bei Ubuntu-Pro und was sonst noch so alles an Diensten läuft. Mach dir den Spaß und schau es dir im Paket-Trace an: Es sind tausende. Jede Einzelne davon ist ein potentielles Sicherheitsrisiko, wenn das System nicht gepatcht ist.
 
  • Gefällt mir
Reaktionen: pseudopseudonym und BeBur
in den knapp 10 minuten seit dieser thread offen ist, hätte man auch schon einfach ein do-release-upgrade ausführen und sich die ganze diskussion sparen können...
 
  • Gefällt mir
Reaktionen: hax69, pseudopseudonym, BFF und 6 andere
Holzohrwascherl schrieb:
Frage: Wie hoch wäre das Risiko, wenn ich diesen Rechner über das Ende seiner Unterstützung weiter so betreibe, also weiter nichts tue?
Zum Vergrößern anklicken....
Das Infektionsrisiko ist sicherlich in dem Fall eher gering.
Ich würde aber dennoch über eine Aktualisierung nachdenken, denn mit Updates werden ja nicht nur Sicherheitslücken, sondern auch sonstige Bugs gefixt. Und umso länger man mit Updates wartet, umso größer ist die Wahrscheinlichkeit das dann Probleme auftreten, wenn man irgendwie mal nach Jahren ein Upgrade versucht.
Also würde ich wohl jetzt versuchen das Ding auf eine neue LTS-Version zu heben und dann wissen, das ich die nächsten Jahre weitestgehend Ruhe habe und weiter Fixes bekomme.
 
  • Gefällt mir
Reaktionen: BeBur
Mach es wie jeder vernünftige Mensch der lange Support von einem OS braucht: Installiere Ubuntu LTS 24.04, damit hast du garantierten Support bis 2029 und ein Systemupdate dauert vielleicht jeweils 5 Minuten und kann auch im Hintergrund laufen, man muss sich das Leben nicht künstlich schwerer machen.
 
  • Gefällt mir
Reaktionen: JumpingCat und BeBur
Ubuntu aktualisiert meines Wissens nach ja sowieso nur immer auf die nächste LTS und nicht auf die Neuerste, sprich von 20 auf 22 auf 24. Da kann man auch gut behutsam vorgehen
 
0x8100 schrieb:
in den knapp 10 minuten seit dieser thread offen ist, hätte man auch schon einfach ein do-release-upgrade ausführen und sich die ganze diskussion sparen können...
Zum Vergrößern anklicken....
Mein Rechner ist immer aktuell. Meine Frage war nicht, ob ich den Rechner in Zukunfrt auch aktuell halten soll, sondern was passiert, wenn ich das nicht tun würde.

Das ist der Grund, weshalb ich in das Anfangspost geschrieben habe, dass es sich um eine Verständnisfrage handelt.
Du weisst aber schon, was eine Verständnisfrage ist, oder?
Ergänzung ()

riversource schrieb:
So ein Rechner baut ja direkt nach dem Booten haufenweise Verbindungen ins Internet auf: Nameserver, Updates abrufen, Login-Status...
Zum Vergrößern anklicken....
Verstehe. Dank dir für die Info.
Ergänzung ()

andy_m4 schrieb:
Das Infektionsrisiko ist sicherlich in dem Fall eher gering.
Ich würde aber dennoch über eine Aktualisierung nachdenken, ...
Zum Vergrößern anklicken....
Ich hatte nicht vor, den Server vergammelkn zu lassen. Da ich ihn aber seit Jahren nur für genau die beschriebenen Zwecke einsetze, hat es mich einfach interessiert zu wissen, was wäre wenn ...

Mir tut es nicht weh, alle vier Jahre das Betriebssystem neu aufzusetzen. Ist ja eh alles gesichert ...
 
  • Gefällt mir
Reaktionen: Teckler
Holzohrwascherl schrieb:
Da ich ihn aber seit Jahren nur für genau die beschriebenen Zwecke einsetze, hat es mich einfach interessiert zu wissen, was wäre wenn ...
Zum Vergrößern anklicken....
Ja. Ist ja auch alles in Ordnung. Zur Sicherheitsproblematik wurde ja auch eigentlich alles gesagt. Ich hab dann noch die Komponente "Bugfix" hinzugefügt.
 
Holzohrwascherl schrieb:
Mein Rechner ist immer aktuell. Meine Frage war nicht, ob ich den Rechner in Zukunfrt auch aktuell halten soll, sondern was passiert, wenn ich das nicht tun würde.
Zum Vergrößern anklicken....
die frage ist, warum du überhaupt darüber nachdenkst, keine updates mehr zu machen? was versprichst du dir davon? auto-update einschalten und alle 2 jahre mal bereits erwähntes do-release-upgrade machen ist ja nun nicht wirklich aufwändig.
 
Ich kann den Gedanken schon verstehen. Es ist ein Backupsystem, das zuverlässig laufen soll und die Angst ist da, wenn ein Update installiert wird, dass etwas kaputtgeht.

Allerdings sind Updates ein wesentlicher Bestandteil des Backup-Konzepts. Keine Software ist perfekt und unterliegt Sicherheitsupdates und Bugfixing.

Daher würde ich ganz klar auch das Backupsystem aktuell halten.
 
Eletron schrieb:
Ich kann den Gedanken schon verstehen. Es ist ein Backupsystem, das zuverlässig laufen soll und die Angst ist da, wenn ein Update installiert wird, dass etwas kaputtgeht.
Zum Vergrößern anklicken....
Genau dafür sind ja LTS Releases da, war aber auch nicht die Frage des TEs.
Eletron schrieb:
und unterliegt Sicherheitsupdates und Bugfixing
Zum Vergrößern anklicken....
Genau nur diese werden bei LTS Releases installiert.

Zu den Fragen des TE: Niemand kann sagen wie sicher etwas in der Zukunft sein wird, die Wahrscheinlichkeit ist recht groß, dass nichts passieren würde, aber das ist einfach sehr spekulativ, weil niemand dein Netzwerk und dessen Nutzung kennt.
 
Malaclypse17 schrieb:
Genau dafür sind ja LTS Releases da, war aber auch nicht die Frage des TEs.
Zum Vergrößern anklicken....
Da LTS Distros auch Sicherheitslücken aufweisen können und deswegen Sicherheitsupdates erhalten, stellt sich die Frage meines Erachtens gar nicht.

Meine Aussage galt viel mehr der Bekräftigung des Tenors, dass Updates gefahren werden sollen.
 
Holzohrwascherl schrieb:
3. Der Rechner hat eine Internetverbindung. Die dient nur zum Bezug der Aktualisierungen.
Zum Vergrößern anklicken....

naja. wenn du den rechner über das supportende hinweg betreiben willst, machste halt (dann irgendwann) das internet für den dicht. dhcp auf der maschine aus, permanent gateway-route raus, resolv.conf clearen. wäre ja auch nicht so dass es ein tag nach supportende plötzlich aus dem nichts vulnerabilities regnet. aber mit einem rein aufs lokale netzwerk beschränkten zugriff gibts natürlich kein einfallstor - und vor allem ausfallstor...

bis dahin einfach sicherheitsupdates beziehen.

"philosophisch" könnte man die fragestellung betrachten, ob es seit jeher sicherer gewesen wäre, wenn du den rechner von anfang an nie ins öffentliche netz gebracht hättest. selbst mit altem patchstand.
wer sein auto nicht fährt, sondern nur einmal pro woche als zwischenlager für einkäufe verwendet, braucht auch keine airbagsystem-updates.
denn wenn es eine noch nicht entdeckte lücke bereits über jahre gibt, oder sie aus anderen gründen nicht gepatcht ist, dann ist die gefahr natürlich höher, wenn du im internet bist, als wenn nicht...
 
riversource schrieb:
Nameserver, Updates abrufen, Login-Status bei Ubuntu-Pro
Zum Vergrößern anklicken....
Stimmt grundsätzlich, aber Sicherheitslücken im DNS-Client sind, äh, "eher selten", und der eigene Update-Server ist wohl auch relativ vertrauenswürdig. ;)

Da würde ich mir eher Sorgen machen, dass Zertifikate lokal ablaufen und der Rechner dann irgendwann (nach Jahren) gar keine Updates mehr machen kann.
 
GrumpyCat schrieb:
Stimmt grundsätzlich, aber Sicherheitslücken im DNS-Client sind, äh, "eher selten"
Zum Vergrößern anklicken....
Bei Linux schon, ja. Bei Windows gibt es über 50 dokumentierte Lücken, die eine sofortige Übernahme des Zielsystems erlaubten. Man musste lediglich eine kompromittierte Nachricht ans System bringen, was zugegebenermaßen eine Herausforderung sein kann (aber möglich).
 
Holzohrwascherl schrieb:
Mir tut es nicht weh, alle vier Jahre das Betriebssystem neu aufzusetzen. Ist ja eh alles gesichert ...
Zum Vergrößern anklicken....
Du musst es nicht neu aufsetzen. Mit dem beschriebenen do-release-upgrade gehst du aufs nächste Major-Release und bekommst entsprechend länger Uodates.
Du kannst dir vorher auch Timeshift einrichten, dann kannst du easy wieder zurück, falls etwas schiefgeht.
 
oder man nutzt ubuntu pro (kostenlos für privat) und bekommt für sein ubuntu 20.04 updates bis 2030. gibt jedenfalls keinen grund, die updates einfach abzuschalten.
 
  • Gefällt mir
Reaktionen: Holzohrwascherl und Helge01
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Windows Konto zur Aktualisierung der Sicherheitsinformationen 30 Tage gesperrt - lokalen User anlegen?
Antworten
11
Aufrufe
1.068
Voldemordt
V
F
Warum fehlt das WineHQ-PPA in "Anwendungen & Aktualisierungen"?
Antworten
6
Aufrufe
1.042
FatManStanding
F
J
USB-Headset Mikrofon, keine Tonausgabe trotz Aktivierung und Aktualisierungen.
Antworten
9
Aufrufe
1.746
JustSport
J
A
Datensicherung und Aktualisierungen deaktivieren
Antworten
6
Aufrufe
1.234
AGB-Leser
A
T
Aktualisierungen von Apps
Antworten
6
Aufrufe
1.152
txangel
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz