ComputerBase Menü
Aktuelles

Leserartikel Ubuntu ESM (Extended Security Maintenance) in der Praxis

Liebe Tuxer,

wir hatten neulich in einer Linux News, das Thema ESM mit Ubuntu 16.04 und 18.04.


Frage war: Was wird mit Updates versorgt.​


https://wiki.ubuntu.com/SecurityTeam/ESM/16.04

Im FAQ Bereich steht folgendes dazu

What's covered with ESM?​


During the lifetime of an Ubuntu release, Canonical provides security maintenance. Basic Security Maintenance covers binary packages that reside in the 'main' and 'restricted' components of the Ubuntu archive, as well as Linux kernel Livepatching typically for a period of 5 years from LTS release. This FAQ entry contains more information.

For Ubuntu 16.04 LTS, where technically feasible, Canonical will provide extended security maintenance to all binary packages that reside in the Ubuntu Main Repository for 64-bit x86 AMD/Intel, arm64, and s390 architectures. See the service description for additional details. A set of packages is receiving updates only through the snap store as listed below.
Zum Vergrößern anklicken....


Wer sich die Pakete im Detail anschauen will, kann sich die Datei in einem Text Editor öffnen

https://esm.ubuntu.com/infra/ubuntu/dists/xenial-infra-security/main/binary-amd64/Packages


Maschine mit ESM versorgen​


Wirklich so einfach die jeweilige Ubuntu Maschine einfach ESM hinzufügen und weiter gehts?

Ich hab ein Ubuntu 16.04 LTS Desktop installiert und alle Patches installiert die es noch gab.
Firefox 88 ist die letzte Version.


1642426010918.png








Es gibt ESM kostenlos im kleinen Rahmen für den persönlichen Gebrauch. 3 Ubuntu Maschinen dürfen so verlängert werden.


https://ubuntu.com/security/esm

1642425090963.png



Nach der Registrierung mit root rechten folgendes Kommando abfeuern. Der Registrierungs Code gibt es zum raus kopieren im Account Bereich.


ua attach 1234567731
Zum Vergrößern anklicken....


Ist die Lizenz aktiviert sieht dies so aus.

1642425684230.png



ESM Services Übersicht​


Wer sich fragt was dies alles für Services sind.
Ich hab es euch hier mal verlinkt.


Common Criteria EAL2 Provisioning Packages

https://ubuntu.com/security/certifications/docs/cc

Security compliance and audit tools

https://ubuntu.com/security/certifications/docs/cis-audit

esm-infra yes enabled UA Infra: Extended Security Maintenance (ESM)

https://ubuntu.com/blog/ubuntu-16-04-lts-transitions-to-extended-security-maintenance-esm

NIST-certified core packages

https://ubuntu.com/security/certifications/docs/fips

Canonical Livepatch service

https://wiki.ubuntuusers.de/Livepatch/


Wichtig für uns sind nur esm-infra und livepatch


Welche Firefox Version ist installiert?​



Nachdem alle Updates installiert wurden, prüfen wir nach welche Version installiert ist.


Der Firefox ist immer noch auf Version 88.

Dafür gab es aber diverse Patches für den Kernel


4.15.0-142-generic
Zum Vergrößern anklicken....

Schauen wir uns diesen Link an.

https://wiki.ubuntu.com/SecurityTeam/ESM/16.04



1642426947464.png




Firefox/Thunderbird und Libre Office gibt es nur als Snap Version für ESM.


Firefox als Snap installieren​


Also mal fix installiert und den alten über die Paket Version installierten Firefox runter geworfen.

1642427036682.png




Hat geklappt ohne Probleme. Es ist nun der Firefox 96.01 installiert.


1642427086003.png






War dies schon das Ende?​

Wir prüfen den Support Status aller installierten Pakete.


ubuntu-support-status
Zum Vergrößern anklicken....


1642427302291.png




Wir lassen uns auch mal die Pakete anzeigen welche dies sind. Wie vermutet relativ viele XServer Pakete die raus fallen.


1642427369455.png



Für einen Server der mit Apache und SSH betrieben wird ist ESM definitiv eine Lösung. Im Desktop Bereich finde ich es weniger gut.
 
  • Gefällt mir
Reaktionen: 7vor10
Zum Vergrößern anklicken....
Mal abgesehen davon das man darüber streiten kann ob Extended Security Maintenance (mit Desktop-Szenario) Sinn macht, ist dann die Lösung Firefox als Snap auszuliefern schon ein bisschen gemogelt. :-)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: konkretor
@konkretor

Danke für Deine praxisnahe Veranschaulichung der ESM-Thematik!

Ja, für den Desktop-Betrieb scheint ESM wohl weniger von Nutzen zu sein.

Was sich ein Desktop-User wünschen würde, wäre, dass 5 weitere Jahre über das LTS-Enddatum hinaus ESM-Updates in der Aktualisierungsverwaltung angeboten würden. Und zwar ganz ohne Verrenkungen wie halt bei den normalen Updates auch. Also so ohne weiteres Zutun wie es angeblich einem Mint17-User passiert sein soll (mit ESM-Updates eineinhalb Jahre nach "Ladenschluß").
 
7vor10 schrieb:
Was sich ein Desktop-User wünschen würde, wäre, dass 5 weitere Jahre über das LTS-Enddatum hinaus ESM-Updates in der Aktualisierungsverwaltung angeboten würden.
Zum Vergrößern anklicken....
Die Frage ist ja: Wozu?
Also um mal bei dem Beispiel Browser zu bleiben: Wenn ich einen 10 Jahre alten Browser nehme, so würde ich mal behaupten es gäbe eine signifikante Anzahl an Webseiten die nicht ordentlich funktionieren würden.
Und mit aktueller Hardware anschließen wird bei einem >5 Jahre alten System auch eher nicht so gut funktionieren.
 
andy_m4 schrieb:
Wozu?
Zum Vergrößern anklicken....
Da sind verschiedene Szenarien denkbar. Zum Beispiel Unzufriedenheit mit einer neuen Desktop-Umgebung (Verschlimmbesserungen oder dass bewährte Programe unter der neuen OS-Version nicht mehr richtig laufen).

Es kann auch sein, dass ein Rechner mit einem LTS-OS selbst nach 5 Jahren noch immer nicht kaputt ist (Rekord bei mir: Offline-XP-PC, der 18 Jahre bis zum Exitus durchhielt; oder zwei Notebooks mit jeweils 10 Jahren).

Web-Browser müssen natürlich kontinuierlich aktualisiert werden. Es gibt aber reichlich Browser unter Linux, die sich portabel in das OS einbinden bzw. manuell updaten lassen.
 
7vor10 schrieb:
Es kann auch sein, dass ein Rechner mit einem LTS-OS selbst nach 5 Jahren noch immer nicht kaputt ist
Zum Vergrößern anklicken....
Es geht ja nicht zwangsläufig um kaputt gehen. Aber es kommt ja auch mal neue Hardware dazu. Sei es das man aufrüstet. Sei es das man sich nen Peripherie (Drucker etc.) kauft.

7vor10 schrieb:
Zum Beispiel Unzufriedenheit mit einer neuen Desktop-Umgebung
Zum Vergrößern anklicken....
Ja. Aber einfach auf der alten Version zu bleiben löst das Problem ja nicht, sondern verschiebt es nur.

7vor10 schrieb:
oder dass bewährte Programe unter der neuen OS-Version nicht mehr richtig laufen
Zum Vergrößern anklicken....
Naja. Aber das ganze System veraltet halten weil vielleicht ein Programm nicht richtig läuft? Außerdem hat man doch genau für solche Szenarien Container und Virtualisierung.

Also klar. Es gibt Gründe und es gibt sicher auch Szenarien die das rechtfertigen. Aber im Großen und Ganzen dürfte das eher die Ausnahme sein. In den meisten Fällen dürfte es beim Einsatz von Extended-Maintaince darum gehen die Lösung von Problemen in die Zukunft zu verschieben.
 
andy_m4 schrieb:
In den meisten Fällen dürfte es beim Einsatz von Extended-Maintaince darum gehen die Lösung von Problemen in die Zukunft zu verschieben.
Zum Vergrößern anklicken....
Richtig. Die meisten Szenarien lassen sich unter diesem Aspekt zusammenfassen. Aber Verschieben von Problemen kann auch Zeitgewinn bedeuten. Eventuell ist das Problem dann irgendwann obsolet geworden (oder man selber ist mittlerweile obsolet - memento mori :)).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz