Ein neuer Hut

Red Hat Linux updaten: Von 6.1 auf 7.0

01.05.2001
"Never change a running system." Das ist die Standard-Warnung des konservativen und Update-geschädigten Systemadministrators, der zu häufig erleben musste, wie nach einem Update nichts mehr wie vorher war… In Teil 2 unserer Mini-Serie werfen wir einen Blick auf den Update-Mechanismus von Red Hat Linux; wir testen das Update von Version 6.1 auf 7.0.

Auf unserem Testrechner haben wir zunächst Red Hat Linux 6.1 in der Standard-Konfiguration (GNOME Workstation) installiert. Danach haben wir die folgenden Änderungen an den Default-Einstellungen vorgenommen:

  • Die Sendmail-Konfiguration (sendmail.cf) wurde angepasst (ein Relay Host wurde eingetragen).
  • Die Dienste telnet und ftp wurden in der inetd.conf abgeschaltet.
  • Ein lokaler Benutzer wurde angelegt. Dies sind übrigens die gleichen Modifikationen, wie wir sie beim SuSE-6.2-7.1-Update verwendet haben.

Um das Update durchzuführen, booten Sie ganz normal von der ersten Red-Hat-7.0-CD. Nach dem Einstellen von Tastatur und Maus wählen Sie im Menü den Punkt Upgraden, das System sucht dann nach vorhandenen Red-Hat-Installationen – hier wird auf unserem Testrechner natürlich nur das installierte Red Hat 6.1 gefunden. Daraufhin können Sie sich dafür entscheiden, die zu aktualisierenden Pakete zu konfigurieren, was wir getan haben: Dadurch können Sie zusätzlich zur Aktualisierung noch weitere, neue Pakete installieren. Bei diesem Schritt haben wir zusätzlich KDE ausgewählt. Bei der folgenden LILO-Konfiguration wurden die alten Einstellungen angezeigt und übernommen. Eine Abhängigkeitsprüfung zeigte anschließend, dass für die KDE-Pakete zusätzlich Qt benötigt wird; durch Auswahl von Pakete installieren, um Abhängigkeiten zu erfüllen, konnte dies automatisch gelöst werden.

Nun folgt das eigentliche Update, bei dem alle alten Red-Hat-Pakete durch die der neuen Version ersetzt werden. Dieser Vorgang dauerte auf unserem Dual-P3-500 mit 12-fach-CD-ROM 15 Minuten. Danach startet das System neu.

Beim ersten Login unter GNOME meldet sich ein Upgrade-Tool, das den Desktop aktualisiert. Dabei können wahlweise die alten Panel-Settings übernommen oder neue, für GNOME 1.2 optimierte Einstellungen übernommen werden.

Alles beim alten?

Wir überprüften nun die vorgenommenen Änderungen.

  • Die alte Sendmail-Datei /etc/sendmail.cf wurde als sendmail.cf.rpmsave gesichert und die neue sendmail.conf aus dem Sendmail-Paket installiert. Zum Wiederherstellen der Einstellung des Relay-Hosts muss also die gesicherte Datei zurückkopiert werden.
  • Der neue angelegte User war noch vorhanden, da die Datei /etc/passwd nicht verändert wurde; die neu installierte Datei war dem System als /etc/passwd.rpmnew hinzugefügt worden.
  • Die Dienste FTP und Telnet waren auch nach dem Update noch in der /etc/inetd.conf, und hier wurde keine neue Datei installiert. Ein Versuch brachte dennoch einen Telnet-Prompt mit Möglichkeit zur Anmeldung – wie das?
Abbildung 1: Ein Blick in das Konfigurations-Tool linuxconf zeigt: Alle Benutzer sind noch da

Zwei inetds

Nach dem Update liefen gleichermaßen der alte Internet Super Server inetd und die neuere Variante xinetd. inetd war noch in der alten Version aus dem Paket netkit-base (erstellt im September 1999, also zu Red Hat 6.1 gehörend) installiert, und da dieser Daemon vorher automatisch gestartet wurde, blieb er beim Update erhalten. Ein Blick in die Runlevel-Konfiguration zeigt das Problem:

[esser@dual esser]$ ls -l /etc/rc.d/rc5.d/*inet*
 /etc/rc.d/rc5.d/S50inet -> ../init.d/inet
 /etc/rc.d/rc5.d/S50xinetd -> ../init.d/xinetd

Ein schnelles ps brachte die Bestätigung, dass hier tatsächlich zwei Internet-Daemons für die gleiche Aufgabe parallel arbeiten:

[esser@dual esser]$ ps ax | grep inet
 458 ?  S  0:00 inetd
 473 ?  S  0:00 xinetd -reuse -pidfile /var/run/xinetd.pid

So ergibt sich also die paradoxe Situation, dass man sich als Anwender nach Kontrolle der inetd.conf in der Sicherheit wähnt, dass die alten Sicherheitsmechanismen auch nach dem Update greifen, während ein neuer Super-Server mit freigeschaltetem Telnet-Zugang unerkannt potentiellen Angreifern seine Dienste bereitstellt. Außer Telnet finden sich im xinetd-Konfigurationsverzeichnis noch Einträge für die Dienste finger, linuxconf-web, ntalk, rexec, rlogin, rsh, talk und tftp.

Wer sein Red-Hat-System auf Version 7.1 aktualisiert hat oder das Update plant, sollte also einen Blick auf diese Situation werfen und einen der beiden Dienste dauerhaft deaktivieren (z. B. durch vollständiges Entfernen des xinetd-Pakets: Der Befehl für den Administrator root lautet einfach "rpm -e xinetd"). Eine interessante Frage in diesem Zusammenhang ist: Wenn beide Internet Super Server laufen und ein Request auf einem Port eintrifft, der von beiden überwacht wird, welcher Daemon kommt dann zum Zug? …

Abbildung 2: Der Runlevel-Editor zeigt nach dem Update das Problem: inetd und xinetd werden gestartet

Neben der GNOME-Session ließ sich auch wie gewünscht KDE (1.1.2) im GDM-Login-Manager auswählen. Da beide Red-Hat-Versionen KDE 1.x enthalten, konnten wir nicht überprüfen, wie Red Hat mit einem Update von KDE 1.x auf 2.x umgeht; bei der manuellen Installation von KDE-2-Paketen werden aber die alten Pakete gelöscht, da z. B. das Paket kdebase-2.0.1-1 als Update von kdebase-1.1.2-33 erkannt wird.

Insgesamt verlief das Update auf den ersten Blick unproblematischer als unter SuSE Linux (vgl. Artikel aus der letzten Ausgabe) – dabei schuf Red Hat durch den Paralleleinsatz der beiden Internet Super Daemons eine unerwartete Sicherheitslücke. Den Austausch der Sendmail-Konfiguration (bei Sicherung des Originals unter anderem Namen) kann man gut verschmerzen; schließlich empfiehlt sich immer ein Blick in diese Dateien). Wer ein 100% sauberes System wünscht, folgt also besser unserer Empfehlung aus Heft 04/2001: Private Daten sichern und die aktuelle Distribution neu installieren.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Distributions-Updates
    "Never change a running system." Das ist die Standard-Warnung des konservativen und Update-geschädigten Systemadministrators, der zu häufig erleben musste, wie nach einem Update nichts mehr wie vorher war… In einer Mini-Serie werfen wir einen Blick auf die Update-Mechanismen gängiger Linux-Distributionen – zum Auftakt: SuSE Linux.
  • Anwendungen: SuSE 8.2 Personal
    …wieder flattern durch die Lüfte. Diese Zeile von Eduard Mörike kommt einem in den Sinn, wenn man die langen Reihen blauer SuSE-Kartons in den Geschäften betrachtet. Wir schauen nach, ob der Inhalt wirklich Frühlingsgefühle weckt.
  • Linux-Systeme vor Angriffen schützen, Teil 1
  • Unnötige Systemdienste abschalten
    Der Feind lauert überall: Nicht nur das Einrichten einer Firewall oder der Einsatz eines Viren-Scanners, sondern auch das Abschalten von Diensten trägt dazu bei, den eigenen Rechner zu schützen. Wir zeigen, wie Sie Ihren Linux-PC ein bisschen besser abschotten.
  • HOWTO: NEWS SERVER unter Linux
Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.
Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 5 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...