Die meisten Ubuntu-Benutzer sind nach dem Einloggen mit der Systemaktualisierung beschäftigt. Das liegt daran, dass die Softwareverbesserungen für diese Linux-Distribution nicht bis zu einem Patchday zurückgehalten werden. Stattdessen haben die Besitzer eines Ubuntu-Rechners die Möglichkeit, jedes brandneue Datenpaket sofort nach der Fertigstellung von einem Spiegelserver herunterzuladen. Diese aggressive Update-Politik ist nötig, damit sich das beliebte Betriebssystem stets gegen Viren und Cyberangriffe wehren kann. Denn bekanntlich bringen die Entwickler von Canonical ständig neue Impfstoffe gegen Schadsoftware heraus, was den Einsatz eines zusätzlichen Echtzeit-Virenscanners überflüssig macht.
Mit Security-Updates schließen Entwickler oft kritische Sicherheitslücken in Soft- und Hardware. [...] Nur wer regelmäßig Updates einspielt, ist bestmöglich vor Angriffen jeglicher Art geschützt.
Eikenberg, Ronald: Schutz vor Schädlingen. In: c’t Security Nr. 1 (2018). S. 25.
Neben den hauseigenen Sicherheitsupdates taucht in der Aktualisierungsverwaltung häufig auch Firmware¹ auf, die direkt von den Hardwareherstellern kommt. Diese Mikrocodes beheben bekannte Fehler in den physischen Komponenten des Systems und sorgen zudem dafür, dass Ubuntu die Ressourcen des Computers in Zukunft noch besser nutzen kann.
Des Weiteren halten die täglichen Updates nicht nur die Bordmittel auf dem neusten Stand. Gleichzeitig werden bei einer Systemaktualisierung die Applikationen verbessert, die nachträglich über das Ubuntu Software-Center installiert wurden.
Damit Ubuntu dauerhaft fehlerfrei funktioniert ist es also wichtig, dass der Benutzer vor dem Computer regelmäßig die Aktualisierungsverwaltung ausführt. Alternativ kann sich die Linux-Distribution auch völlig selbstständig erneuern. Die automatische Update-Funktion ist vor allem für Menschen interessant, die mehrere Betriebssysteme administrieren müssen.
In Zeiten wie diesen, in denen Erpressungstrojaner und polymorphe Schadprogramme hinter jeder Ecke lauern, sollte aber generell jedes Ubuntu-System so konfiguriert sein, dass zumindest die Sicherheitsupdates automatisch installiert werden.
Ubuntu vor Malware schützen
Szenario: In meinem Wohnzimmer befindet sich ein linuxbasierter Multimedia-PC, der von meiner Frau und von meiner Tochter in unregelmäßigen Abständen genutzt wird. Natürlich kämen meine beiden Damen nie auf die Idee irgendwelche System-Updates einzuspielen, weshalb dieser Rechner die Sicherheit meines Heimnetzwerkes bedroht. Um diesen Umstand zu ändern, möchte ich einstellen, dass Ubuntu nach jedem Einloggen die neuen Datenpakete von der sogenannten Security-Repository herunterlädt und eventuell vorhandene Sicherheitslücken selbstständig schließt.
Dazu navigiere ich über die Ubuntu Aktivitäten-Suchleiste in das Systemmenü „Anwendungen & Aktualisierungen”. Dort angekommen wechsle ich in den Reiter „Aktualisierungen” und stelle gleich darauf die vier Dropdown-Listen folgendermaßen ein:
Zum Anzeigen der Konfiguration hier klicken!
- Täglich.
- Automatisch herunterladen und installieren.
- Wöchentlich anzeigen.
- Für Langzeitunterstützungsversionen.
Daraufhin speichere ich meine Eingaben, indem ich auf die Schaltfläche „Schließen” klicke. Ab sofort ist das Betriebssystem auf meinem Familien-PC sicherheitstechnisch stets auf dem neusten Stand.
Alle Updates automatisch installieren
Szenario: Auf meinem Ubuntu-Netbook sind keine zusätzlichen Programme installiert, da ich das Gerät nur dazu nutze, um auf Reisen im Internet zu surfen. Außerdem verwendet mein tragbarer Computer ausschließlich freie Treiber aus dem Kernelarchiv. Dementsprechend besteht kein Risiko, wenn die Linux-Distribution auf meinem Klapprechner nicht nur die Sicherheitsupdates, sondern auch alle anderen Systemaktualisierungen selbstständig einspielt.
Um die automatische Vollupdate-Funktion aktivieren zu können, muss ich zunächst einmal den folgenden Befehl in ein neues Terminal-Fenster eingeben:
sudo nano /etc/apt/apt.conf.d/10periodic
Daraufhin öffnet sich eine Systemdatei, die über vier Einträge verfügt. Damit mein Ubuntu in Zukunft die neusten Updates unaufgefordert herunterlädt, aktiviere ich die ersten beiden Zeilen, indem ich die Ziffer 1 zwischen die beiden Gänsefüßchen schreibe.
Gleich darauf schalte ich auch noch die letzte Funktion an. Durch diese Maßnahme installiert mein Betriebssystem automatisch die neuen Datenpakete, die es kurz zuvor in meinem APT-Cache abgelegt hat.
Hinweis: Mit der Ziffer 3 hinter dem Wert „AutocleanInterval” sage ich meiner Linux-Distribution, dass sie alle drei Tage die veralteten DEB-Dateien aus dem Aktualisierungszwischenspeicher löschen soll. Diese Einstellung ist für mich jedoch nicht so wichtig, da ich meine Systemfestplatte ohnehin regelmäßig aufräume.
- Ganz zum Schluss speichere ich meine Eingaben, indem ich die Tastenkombination Strg + O drücke.
- Im Anschluss daran bestätige ich mit der Eingabetaste, dass die vorhandene Systemdatei überschrieben werden darf.
- Zu guter Letzt verlasse ich den Editor Nano wieder, indem ich die Tasten Strg + X gleichzeitig nach unten stoße.
Als Nächstes möchte ich noch einstellen, dass die automatische Aktualisierung direkt nach dem Systemstart stattfindet. Um diese Konfiguration vornehmen zu können, muss ich die Datei „50unattended-upgrades” mithilfe des folgenden Terminal-Befehls öffnen:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Daraufhin scrolle ich etwas nach unten, sodass ich die beiden Schrägstriche vor dem Eintrag „Unattended-Upgrade::InstallOnShutdown” entfernen kann.
Außerdem schreibe ich das Wort false zwischen die beiden Gänsefüßchen, die sich am Ende dieser Update-Funktion befinden. Im Anschluss daran speichere ich meine Änderungen und verlasse die Datei. Von nun an ist das Ubuntu auf meinem Netbook immer auf dem neusten Stand, ohne dass ich dafür einen Finger krumm machen muss.
PPA-Software automatisch aktualisieren
Szenario: Wenn ich mit meinem Reisecomputer im Internet surfe, dann verwende ich dazu nicht die Bordmittelversion des Mozilla Firefox. Stattdessen habe ich irgendwann einmal die stabile ESR-Edition installiert, die nur über die Entwickler-PPA bezogen werden kann. Und so kommt es, dass ich meinen Standardbrowser weiterhin manuell aktualisieren muss, da mein Ubuntu trotz aktivierter Update-Funktion keine Pakete von inoffiziellen Quellen herunterlädt. Nun möchte ich aber ohne mein Zutun stets über einen zeitgemäßen Webbrowser verfügen, was jedoch nur möglich ist, wenn ich diesen nützlichen Sicherheitsmechanismus austrickse.
Dazu öffne ich zunächst einmal ein neues Terminal-Fenster und navigiere gleich darauf in den Ordner, in dem meine APT-Quellen gespeichert sind. Dort angekommen suche ich nach einer Textdatei, die Informationen über die PPA des Mozilla-Teams bereithält und zudem das Wort „InRelease” im Namen trägt.
Nachdem ich die benötigte Datei gefunden habe, lasse ich mir im nächsten Schritt den Inhalt des Dokuments anzeigen, indem ich den folgenden Befehl in meine Konsole eingebe:
Zum Anzeigen des Kommandos hier klicken!
less /var/lib/apt/lists/ppa.launchpad.net_mozillateam_ppa_ubuntu_dists_bionic_InRelease
Im Anschluss daran baue ich mir eine neue Softwarequelle zusammen. Dafür kombiniere ich einfach die beiden Werte, die hinter den Punkten „Origin” und „Suite” aufgeführt sind:
"LP-PPA-mozillateam:bionic";
Zu guter Letzt navigiere ich mithilfe eines neuen Terminal-Fensters in die Systemdatei „50unattended-upgrades”:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Dort angekommen füge ich meine selbst gemachte Softwarequelle in die Liste ein, die sich unter dem Menüpunkt „Unattended-Upgrade::Allowed-Origins” befindet.
Ganz zum Schluss muss ich meine Änderungen nur noch über die Tastenkombination Strg + O speichern, dann wird auch mein spezieller Mozilla Firefox in Zukunft automatisch aktualisiert.
Hinweis: Wenn Sie eine inoffizielle Repository in die Datei „50unattended-upgrades” eintragen, dann erhält der Besitzer dieses Privatarchivs einen direkten Zugang zu Ihrem System. Aktivieren Sie die automatische Update-Funktion deshalb nur für Softwarequellen, die von vertrauenswürdigen Organisationen betrieben werden.
Unsichere Software aus Ubuntu verbannen
Falls Sie gerade Ihr Betriebssystem so konfigurieren, dass es sich in Zukunft selbstständig aktualisiert, dann sollten Sie bei dieser Gelegenheit gleich die sogenannte Universe-Repository deaktivieren.
Denn die semiprofessionellen Applikationen, die in dieser Cloud liegen, enthalten häufig Sicherheitslücken, da die Hobbyentwickler bereits nach sehr kurzer Zeit keine Updates mehr für ihre Softwareprodukte bereitstellen.
[Die Ubuntu-Gemeinschaft] betreut aber nur einen Bruchteil der Pakete über fünf Jahre. [...] Bei den meisten ist viel früher Schluss: entweder nach neun Monaten oder schon zum Release, denn viele Pakete betreut niemand so recht.
Leemhuis, Thorsten: Fokussieren. Ubuntu 18.04 LTS: Linux-Distributionen mit bis zu fünf Jahren Support. In: c’t Nr. 11 (2018). S. 121.
Wenn Sie also die Universe-Softwarequelle deaktivieren, dann erhöhen Sie aktiv die Sicherheit Ihres Systems. Nach dieser Maßnahme können Sie nämlich über den APT-Dienst keine Programme mehr installieren, die von der Ubuntu-Gemeinschaft entwickelt wurden.
Verwandte Themen:
Wie wird eine Festplatte unter Ubuntu defragmentiert?
Unter Ubuntu den Sleeptimer aktivieren - so geht’s
¹Canonical Ltd.: USN-3690-1: AMD Microcode update. usn.ubuntu.com (07/2018).