[GELÖST] openSUSE 11.0 Kernel separat vom System updaten?

hyit · 14 Juni 2013

Moin,

wie der Betreff schon sagt, möchte ich bei einem openSUSE 11.0 den Kernel (2.6.25.20-0.7) separat vom System aktualisieren... Die Fragen die ich mir hierbei stelle sind:
- Wie riskant ist es (kann mir vorstellen, dass es dabei Probleme mit Abhängigkeiten gibt, da ich ja mehrere Kernelversionen überspringen will)?
- Wie gehe ich am besten dabei vor (Kernel von kernel.org laden, komplilieren (+ ggf. compiler laden), installieren, fertig?)? Zur Not könnte ich bis auf Samba auch das restliche System aktualisieren...

Hintergrund ist, dass wir einen Server mit besagten SUSE am Laufen haben, bei dem es noch dem Bug mit ReiserFS und ACLs gibt (von den wir auch betroffen waren). Das heißt wenn man auf einem Ordner ACLs anwendet, kann es passieren, dass am Ende niemand mehr Zugriff auf den Ordner hat (weder root, noch das System selbst).

Edit: Folgende Links entdeckt:
http://www.linupedia.org/opensuse/Zwei_Kernel_parallel_installieren
http://www.linupedia.org/opensuse/Kernelbau_unter_SuSE_leicht_gemacht

abgdf · 14 Juni 2013

Die Software baut auf einem bestimmten Kernel auf und ist für den kompiliert.
Wenn Du der im Verhältnis zum Ausgangskernel einen allzu alten oder allzu neuen Kernel unterjubelst, wird nichts mehr laufen. Ich würde daher das ganze System aktualisieren. Dabei benutze ich nie "Systemupdate", sondern installiere Linux jedesmal ganz von vorn. Wenn in Deinem Fall ReiserFS Probleme macht, hat das zudem den Vorteil, daß Du auch die Partitionen neu anlegen und dabei ein anderes Dateisystem als ReiserFS, also z.B. ext3 (oder neuer) wählen kannst.

P6CNAT · 14 Juni 2013

hyit schrieb:
Zur Not könnte ich bis auf Samba auch das restliche System aktualisieren...

Das alte Samba hat eine bekannte Sicherheitslücke, von daher wäre ein Update schon mal zu empfehlen.
Ich habe auch neu installiert und außer dass ich beim Windows-Client das Samba-Laufwerk neu verbinden musste gab es keine Probleme.

Grüße
Georg

spoensche · 15 Juni 2013

@hyit:

Für OpenSuSE 11 ist EOL (End of Life) und es gibt keinerlei Updates mehr für dieses System. Du solltest umgehend das vollständige System aktualisieren, also 12.x.
Es ist unverantwortlich diesen Server so weiter zu betreiben.

Wenn du den Kernel selbst kompilierst und dabei die zum System gehörenden Sourcecode und Compiler verwendest sollte es keine Probleme geben.

P6CNAT schrieb:
hyit schrieb:

Zur Not könnte ich bis auf Samba auch das restliche System aktualisieren...

Zum Vergrößern anklicken....

Das alte Samba hat eine bekannte Sicherheitslücke, von daher wäre ein Update schon mal zu empfehlen.
Ich habe auch neu installiert und außer dass ich beim Windows-Client das Samba-Laufwerk neu verbinden musste gab es keine Probleme.

Ein Update ist nicht nur zu empfehlen, sondern zwingend erforderlich.

hyit · 21 Juni 2013

Das war auch nur als vorübergehende Lösung angedacht... Wir werden demnächst einen neuen Server aufsetzen und solange die Freigabe mit ACLs auf einem anderen Server einrichten.
Ich werde allerdings zum Test mal ein altes openSUSE mit einem neuen Kernel ausstatten (natürlich alles in einer VM).

Danke an alle die sich beteiligt haben!

spoensche · 21 Juni 2013

hyit schrieb:
Das war auch nur als vorübergehende Lösung angedacht... Wir werden demnächst einen neuen Server aufsetzen und solange die Freigabe mit ACLs auf einem anderen Server einrichten.

Also irgendwann mal, aber wohl eher nicht und an Unverantwortlichkeit nicht zu überbieten. Ich hoffe du weisst, was dies für rechtl. Konsequenzen haben kann. Mal ganz zu schweigen von dem Image Schaden, wenn wegen Fahrlässigkeit Kundendaten im Netz auftauchen.

hyit schrieb:
Ich werde allerdings zum Test mal ein altes openSUSE mit einem neuen Kernel ausstatten (natürlich alles in einer VM).

Wozu willst du das testen? Das ist Zeitverschwendung. In der Zeit kannst du den Server neu aufsetzen.

hyit · 24 Juni 2013

1) Wer sagt denn, dass der Server direkt am Netz hängt?
2) Das mach ich dann in meiner Freizeit und dient der Neugier/Interesse.

spoensche · 24 Juni 2013

hyit schrieb:
1) Wer sagt denn, dass der Server direkt am Netz hängt?

Wer sagt den, dass der Rechner trotzdem nicht von aussen ansprechbar ist? Schon mal was von Rootkit auf einem Arbeitsplatz-PC, das x-beliebigen Code nachladen kann und weil es im LAN ist auch Zugriff auf den Server hat?

hyit schrieb:
2) Das mach ich dann in meiner Freizeit und dient der Neugier/Interesse.

Find ich gut.

Als Tipp von mir: Verwende aktuelle Versionen. Es bringt dir nichts, wenn du mit nem asbachuralt Kernel rum experimentierst, als eingearbeiteter User beim Wechsel auf einen aktuellen Kernel, wegen der ganzen Änderungen quasi wieder bei fast Null beginnst.

hyit · 25 Juni 2013

In deinemSzenario würde auch nicht der aktuellste Kernel helfen, oder erkennt der Kernel nun schon, ob auf einem Client Malware läuft, die auf die Daten zugreifen will? Ansonsten wird wie gesagt ein neuer Server aufgesetzt und dann kannst auch du wieder beruhigt schlafen! ;-)

spoensche · 25 Juni 2013

hyit schrieb:
In deinemSzenario würde auch nicht der aktuellste Kernel helfen, oder erkennt der Kernel nun schon, ob auf einem Client Malware läuft, die auf die Daten zugreifen will?

Ein aktuelles System hat keine der Schwachstellen des alten Systems offen, die genutzt werden können. Nein der Kernel kann nicht erkennen ob auf einem Client Malware werkelt, was ich auch nicht gesagt habe.

Mit System meine ich nicht den Kernel alleine, sondern auch die Systemdienste die dort laufen, wie z.B. Samba etc.