Skip to content

Ubuntu - immer Up2date mit unbeaufsichtigten Updates

Die Woche war lang und das Wochenende hat schon einen Fuß in der Tür. 
Dennoch ein kleiner Tipp zum Freitag.

Damit ein System auf einem aktuellen Stand bleibt und keine Sicherheitslücken aufweist, müssen regelmäßig Updates installiert werden.
Dies kann händisch via apt-get upgrade oder mit Orchestrierungs- Lösungen alà Landscape (siehe Artikel), Ansible und Co gelöst werden.


Ubuntu selbst bringt allerdings ebenfalls Funktionen mit, ein System mit den neuesten Updates zu versorgen.
Bei kleinen Netzwerken mit drei bis vier Ubuntu Systemen, bietet sich diese Möglichkeit durchaus an, denn Landscape und Co wären hier zuviel des Guten.

Unattended Updates unter Ubuntu nutzen

Das Paket "unattended-upgrades" ermöglicht die automatische Installation von Updatepaketen.
Aber nicht nur die Installation, sondern auch Neustarts und Prioritäten von Updatepaketen können darüber definiert werden.

unattended-updates-einrichtungBevor das Paktet konfiguriert werden kann, sollte es installiert werden.

sudo apt-get install unattended-upgrades apt-listchanges

Nach der Installation wird eine Config Datei benötigt. Diese kann händisch angelegt werden oder automatisch mit

sudo dpkg-reconfigure -plow unattended-upgrades

Creating config file /etc/apt/apt.conf.d/20auto-upgrades with new version

angelegt werden. Hier erscheint eine zusätzliche Abfrage auf dem Bildschirm (siehe Screenshot).

Bei einem Blick auf die nun generierte Datei finden sich ein paar Einträge.

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

 
Hier muss eigentlich Nichts weiter angepasst werden.
Nutzer die bereits apticron in Verwendung haben, könnten die erste Zeile theoretisch entfernen, da über dieses Paket bereits die Listen regelmäßig aktualisiert werden

Konfiguration von unbeaufsichtigten Updates

Jedoch wird eine weitere Datei angelegt, in der diverse Einstellungen gemacht werden sollten.

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

  • In diesem Beispiel werden nur Sicherheitsupdates automatisch installiert.
  • Danach wird eine Mail an root versendet.
  • Im Fehlerfall wird ebenfalls eine Nachricht versendet (der Punkt // Unattended-Upgrade::MailOnlyOnError "true"; sollte auskommentiert bleiben).
  • Nicht mehr verwendete Abhängigkeiten werden mit diesen Einstellungen automatisch entfernt.
  • Um den automatischen Updatevorgang abzuschließen, wird das System um 3:30 Uhr neu gestartet.

Alle aktiven Punkte sind fett markiert.



// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {

"${distro_id}:${distro_codename}-security";

//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";

};


// This option allows you to control if on a unclean dpkg exit
// unattended-upgrades will automatically run
//   dpkg --force-confold --configure -a
// The default is true, to ensure updates keep getting installed
//Unattended-Upgrade::AutoFixInterruptedDpkg "false";

// Split the upgrade into the smallest possible chunks so that
// they can be interrupted with SIGUSR1. This makes the upgrade
// a bit slower but it has the benefit that shutdown while a upgrade
// is running is possible (with a small delay)
//Unattended-Upgrade::MinimalSteps "true";

// Install all unattended-upgrades when the machine is shuting down
// instead of doing it in the background while the machine is running
// This will (obviously) make shutdown slower
//Unattended-Upgrade::InstallOnShutdown "true";

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"

Unattended-Upgrade::Mail "root";

// Set this value to "true" to get emails only on errors. Default
// is to always send a mail if Unattended-Upgrade::Mail is set
// Unattended-Upgrade::MailOnlyOnError "true";

// Do automatic removal of new unused dependencies after the upgrade
// (equivalent to apt-get autoremove)

Unattended-Upgrade::Remove-Unused-Dependencies "true";

// Automatically reboot *WITHOUT CONFIRMATION*
//  if the file /var/run/reboot-required is found after the upgrade
//Unattended-Upgrade::Automatic-Reboot "false";

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"

Unattended-Upgrade::Automatic-Reboot-Time "03:30";

// Use apt bandwidth limit feature, this example limits the download
// speed to 70kb/sec
//Acquire::http::Dl-Limit "70";

Viel mehr muss nicht konfiguriert werden. Sollte ein Update gelaufen sein, wird automatisch eine E-Mail versendet, welche über die gelaufenen Updates oder entstandene Fehler informiert.

unattended-updates-linux


 

Ubuntu - IPv6 auf einem Tomcat Server ausschalten

Heute ein Mini Tipp zum kleinen Freitag.

Ipv6 auf einen Tomcat Server abschalten

Um einem Tomcat Server beizubringen, dass er nur auf einer IPv4 Adresse lauscht, muss unter Ubuntu (14.04) nur ein Startparameter gesetzt werden. Danach kann mit "netstat -tlpn" geprüft werden, wo der Tomcat lauscht. Ich gehe in diesem Beispiel davon aus, dass der Server über apt-get installiert wurde.

nano /etc/default/tomcat7

oder

nano /etc/default/tomcat6

Nun die vorhanden Zeile

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC"

um einen Zusatz ergänzen

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC  -Djava.net.preferIPv4Stack=true"

tomcat

Das könnte dich auch interessieren

ZTE Open C - Update auf Firefox OS 2.x in 10 Minuten

Firefox OS 2.0  kommt in großen Schritten, für Geekphone Besitzer ist es bereits verfügbar. Leider gilt dies (noch) nicht für das ZTE Open C. Auf dem Smartphone läuft noch ein stabiles Firefox OS 1.3.

Für die Ungeduldigen habe ich darum eine Schritt für Schritt Anleitung zusammen gestellt, wie sich schon jetzt FFOS 2.x verwenden lässt.

Achtung: Alle nicht gesicherten Daten auf dem Smartphone gehen bei diesem Vorgang verloren.

Kontakte können beispielsweise mit Contacts2Xml oder PC Sync gesichert werden, siehe Artikel


ZTE Open C auf Firefox OS 2.x aktualisieren

Vorbereitung

Zunächst müssen ein paar Dinge erledigt werden.

zte-open-root-connect


Rooting eines ZTE Open C in 10 Schritten

  1. Starten des ZTE Upgrade Tools.
  2. Entfernen der SIM Karte aus dem Smartphone.
  3. Anschließen des Telefons an den PC und warten bis es erkannt wird.
  4. Einbinden des zuvor entpackten Image Verzeichnisses unter "Software Directory".
  5. Auswählen von "erase CEFS".
  6. Warten bis der Status auf "Ready" ist.
  7. Starten des Upgrades.
  8. Während des Vorganges werdet ihr gefragt ob die SD Karte formatiert werden soll, dies kann abgebrochen werden.
  9. Nach Abschluss des Vorganges "Upgrade complete" startet das Telefon wahrscheinlich neu.
  10. Smartphone ausschalten.

zte-open-root-connected

zte-open-rooting

zte-open-root


Upgrade des ZTE Open C via SD Karte

Die einfachste Methode das Telefon auf ein aktuelles System zu bringen, ist bestimmt der Weg über die SD Karte.
Bei meinem Versuch konnte die SD Karte nicht auf Anhieb gefunden werden, darum habe ich das System über Windows aktualisiert. Dennoch hier der Vorgang.

  1. Die heruntergeladene "update.zip" auf die SD Karte kopieren (Siehe Vorbereitung).
  2. Die SD Karte in das Smartphone einschieben.
  3. Das Telefon im Wiederherstellungsmodus starten (Power und Lautstärke oben gleichzeitig drücken).
  4. "apply update from sdcard" auswählen (Navigation mit den Lautstärketasten, Auswahl mit der Powertaste).
  5. Die "update.zip" auf der SD Karte auswählen und das Update mit der Powertaste starten.
  6. Fertig.

Upgrade des ZTE Open via Windows.

  1. Installation des Android SDK Standalone.
  2. Starten des SDK Managers und Installation der "Google USB Driver".
  3. Auf dem Smartphone in den Entwicklereinstellungen das "remote debugging" aktivieren.
  4. Über "Start/ausführen" eine Kommandozeile öffnen "cmd.exe".
  5. Zur Installation des Android SDK und deren Plattform Tools wechseln "D:\android-sdk\plattform-tools".
  6. Mit dem Befehl "adb reboot recovery" das Smartphon im Wiederherstellungsmodus starten.
  7. Nun "apply update from adb" auswählen (Navigation mit den Lautstärketasten, Auswahl mit der Powertaste)
  8. Jetzt wieder in die Kommandozeile wevchseln und mit dem Befehl "adb sideload D:\pfad\update.zip" das gewünschte Image aufspielen.
  9. Nachdem das Update abgeschlossen ist, über "reboot" das Telefon neu starten
  10. Fertig

FFOS-2.1

Upgrade des ZTE Open via Ubuntu

Der gleiche Vorgang ist natürlich auch unter Ubuntu möglich, hier müssen ähnlich wie im Windows erst Pakete installiert werden.

  1. Folgende Pakete werden benötigt "sudo apt-get install android-tools-adb android-tools-fastboot"
  2. Nach der Installation müsse noch ein paar Regeln hinzugefügt werden
  3. sudo nano /etc/udev/rules.d/91-permissions.rules --> SUBSYSTEM=="usb", MODE="0666", GROUP="plugdev"
  4. Neustart der Dienstes mit sudo service udev restart
  5. Auf dem Smartphone in den Entwicklereinstellungen das "remote debugging" aktivieren.
  6. Nun kann ein Terminal geöffnet werden
  7. Mit dem Befehl "adb reboot recovery" das Telefon im Wiederherstellungsmodus starten.
  8. Nun "apply update from adb" auswählen (Navigation mit den Lautstärketasten, Auswahl mit der Powertaste)
  9. Jetzt wieder in die Kommandozeile wevchseln und mit dem Befehl "adb sideload /pfad/update.zip" das gewünschte Image aufspielen.
  10. Nachdem das Update abgeschlossen ist, über "reboot" das Telefon neu starten
  11. Fertig


Troubleshooting

Ich habe testweise ein Image 2.0 und ein Image 2.1 aufgespielt. Bei der ersten Verwendung konnte ich keine eklatanten Fehler feststellen.

Es kann vorkommen, dass ein SIM Karten Fehler angezeigt wird ("unknown SIM state"). Hier genügt es den Flugzeugmodus zu aktivieren/deaktivieren, damit die Karte richtig erkannt wird.

Screenshots mit Firefox OS 2.1 erstellen

Eine Hürde, welche sofort genommen werden musste, war die Screenshot Funktion. Diese versteckt sich ab Version 2.1 hinter der Tastenkombination "Power/Lautstärke leiser".

FFOS2.1

Fazit

Dank der Hilfe unserer französischen Mozilla Kollegen, welche neben den fertigen Images ebenfalls eine ausführliche Anleitung bereitstellen,  ist es für jeden normalen FFOS Anwender mit einem ZTE Open C kein Problem mehr auf neuere Versionen zu wechseln.

Der erste Eindruck des neuen Systems 2.x ist gut. Aufgeräumt und flüssig wirkt es auf den ersten Blick. Der neue Aufbau des Homescreens muss ich noch bewähren, wobei ich jetzt schon sagen kann, die "search the web" Kopfzeile ist Gold wert. Genauso ist mir die neue Tastatur aufgefallen, diese lässt sich nun schnell auf eine andere Sprache umstellen.

Neue Funktion, wie beispielsweise"find my device" gilt es noch zu testen. Bis jetzt kann ich sagen, das Update lohnt sich.

[Update 11/2015]

Inzwischen ist ein Nightly Build von Firefox OS 2.5 für das ZTE Open C verfügbar. Testen konnte ich es noch nicht, somit kann ich momentan noch keine Aussage über Funktionen und Mängel treffen.

Poodle - SSL 3.0 im Internet Explorer, Chrome oder Firefox deaktivieren

Zum Abschluss der "Erste Hilfe" Serie über die Poodle Lücke (Windows Server, Apache, Postfix und Nginx) möchte ich kurz zeigen, wie sich das unsichere SSL 3.0 Protokoll in den bekannten Browsern abschalten lässt. Unbedingt nötig ist das nicht, da zum Beispiel Chrome und Firefox in den kommenden Versionen SSLv3 von Haus aus abschalten werden. Dennoch eine kleine Anleitung, soll ja Nutzer geben, die weiterhin ältere Browser nutzen:

Poodle - SSL 3.0 im Internet Explorer deaktivieren

Microsoft bietet seit kurzem eine FixIt Tool (Download) an, welches das unsicherere SSL Protokoll abschaltet. Das Tool ist nicht unbedingt notwendig, da mit wenigen Hangriffen die notwendige Einstellung selbst vorgenommen werden kann:

  1. Internet Explorer öffnen
  2. Einstellungen anzeigen (alt+X)
  3. Internetoptionen
  4. Reiter "Erweitert" anklicken
  5. Den Haken bei "SSL 3.0 verwenden" entfernen

ie-ssl3

Poodle - SSL 3.0 im Firefox abschalten

Mozilla wird das Protokoll, wie schon erwähnt in der kommenden Version des Browsers deaktivieren. Wer dem zuvor kommen möchte, der muss folgendes einstellen:

  1. "about:config" in die Adresszeile eingeben
  2. Den Schlüssel "security.tls.version.min" suchen
  3. Der vorhanden Wert muss auch "1" geändert werden.

firefox-ssl3

Poodle - SSL3 in Chrome deaktivieren

Auch Chrome wir in der neuen Version kein SSL 3 mehr unterstützen. Für den Moment genügt es die Verknüpfung mit einem zusätzlichen Schlüssel zu versehen.

  1. Rechtsklick auf die Chrome Verknüpfung
  2. Eigenschaften auswählen
  3. Im Reiter Verknüpfung unter Ziel am Ende den Wert "--ssl-version-min=tls1" anhängenchrome-ssl3


Anleitung - Ubuntu 14.04 LTS Server - Tomcat 7 mit Apache Server in 15 Minuten installieren und konfigurieren

Damit mal wieder etwas Leben in die Bude kommt hier eine kurze Anleitung, wie man innerhalb von 10-15 Minuten einen Tomcat Server in Verbindung mit Apache auf einem Ubuntu Server System (14.04) installiert und konfiguriert.

Zunächst müssen die benötigten Pakete installiert werden. Neben Apache 2 und Tomcat 7 wird zusätzlich Java benötigt.

Für den richtigen Betrieb ist ebenfalls mod-jk von Nöten, diese Modul leitet Anfragen an den Apache mit Hilfe des Protokolls AJP an Tomcat weiter.

Installation

sudo apt-get update

sudo apt-get install apache2

sudo apt-get install tomcat7

sudo apt-get install openjdk-7-jre-headless

sudo apt-get install libapache2-mod-jk

Nachdem alle Pakete installiert sind, müssen einige Dateien konfiguriert werden:

Tomcat Konfiguration

Das Arbeitsverzeichnis und den Worker Prozess für Tomcat festlegen:

nano /etc/apache2/workers.properties

workers.tomcat_home=/var/lib/tomcat7
workers.java_home=/usr/lib/jvm/java-7-openjdk-amd64
ps=/
worker.list=worker1
worker.worker1.port=8009
worker.worker1.host=localhost
worker.worker1.type=ajp13
worker.worker1.lbfactor=1

Dem Mod-JK Modul mitteilen wo diese Datei zu finden ist und Wo Fehler und Co gelogt werden sollen:

nano /etc/apache2/mods-enabled/jk.conf

JkWorkersFile /etc/apache2/workers.properties

JkLogFile /var/log/apache2/mod_jk.log

Dem Tomcat Server mitteilen, dass der AJP Prozess verwendet werden soll, dazu muss folgender String aktiviert werden:

nano /etc/tomcat7/server.xml

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

Apache Server konfigurieren

Zunächst erfolgt die Konfiguration für die zukünftige Seite an sich. Natürlich mit SSL. Hierzu werden bereits Schlüsselpfade hinterlegt, welche im nächsten Schritt noch erstellt werden müssen. Wichtig ist das Einbinden von JKMount, damit Tomcat und Apache zusammen arbeiten. FYI: Es wird der Bereich innerhalb von "VirtualHost _default_:443" angepasst.

sudo nano /etc/apache2/sites-available/default-ssl.conf

ServerAdmin
webmaster@localhost
ServerName tomcatsrv:443
DocumentRoot /var/lib/tomcat7/webapps/ROOT/
SSLEngine on
SSLCertificateFile /etc/apache2/crypt/tomcatsrv.crt
SSLCertificateKeyFile /etc/apache2/crypt/tomcatsrv.key
JKMount /ROOT* worker1

Verschlüsselung aktivieren

Damit der Server gleich eine sichere Verbindung verwendet, wird http erst gar nicht konfiguriert, sondern gleich https aktiviert. 

sudo a2enmod ssl

sudo mkdir /etc/apache2/crypt

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/crypt/tomcatsrv.key -out /etc/apache2/crypt/tomcatsrv.crt

Den richtigen CN in unserem Fall "tomcatsrv" vergeben.

Am Ende sollten alle Dienste neu gestartet werden

Neustart der Dienste

sudo service apache2 restart

sudo service tomcat7 restart

Sollte es zu Fehlern bei der Konfiguration gekommen sein, werdet ihr das beim Neustarten der Dienste bemerken. Alternativ kann ein Blick ins Log nie schaden.

Sollte unverhofft alles glatt gehen, müsstet ihr unter https://tomcatserv:443 die Tomcat Startseite finden ("ROOT"). Viel Erfolg.