ubuntuusers.de

Hallo,

in einer kürzlichen Diskussion über das verschiedene Update-Verhalten von Windows und Linux (Windows oft Neustarts fordernd oder sogar erzwingend, Linux dies i.d.R. nur bei Updates von Kernel oder Grafiktreiber vorschlagend) wurde Linux dafür kritisiert, dass die aktualisierten Programme und Systemkomponenten weiterhin im Speicher in der alten Version liefen und sich Updates somit wie bei Windows ebenfalls erst bei Neustart auswirkten. Dies würde aber entgegen Windows nicht so vehement forciert und der Anwender in falscher Sicherheit gewiegt. Linux-Server würden deswegen oft skriptgesteuert nach wichtigen Updates neu starten. Ein Server mit einem Jahr Uptime wäre auf dem Sicherheitslevel von vor einem Jahr.

Das hat mich neugierig gemacht: Ist das zutreffend? Oder übersieht der Betreffende etwas? Er ist zwar nach eigener Aussage beruflicher Admin und Programmierer, zeigte aber bei anderen Linux-Dingen Lücken oder veraltete Informationen. Auch vertrat er „typische“ Ansichten, wie z.B. dass Textkonsolen eine „Denkweise aus den 60ern“ seien.

Wenn er Recht hat, sollte dieses Verhalten Linux' geändert werden?

Vielen Dank für jede Erleuchtung in der Sache. ☺

Ciao

V.

Guten Morgen,

das Windows Systeme neu gestartet werden müssen hat doch auch damit zu tun, dass Win eine Registry nutzt. Änderungen daran werden oftmals auch erst beim Neustart gesetzt. Bei Win 7 wird jeweils angezeigt, wenn beim Systemstart da etwas neu gesetzt wird.

Ansonsten würde ja ein Neustart des jeweiligen Dienstes föllig ausreichen - wenn man davon ausgeht, dass ein Anwender in der Lage ist, diesen neu zu starten.

Kommt das nicht auf die Software an? Ich meine, wenn man den Firefox aktualisiert und den dann schließt und "neustartet", dann hat man die neue Version und muss dafür nicht extra den PC neustarten (ist ja in Windows [inzwischen] nicht anders). Und so oft gibt es bei Windows auch keine Neustarts mehr.

ChemicalBrother schrieb:

Und so oft gibt es bei Windows auch keine Neustarts mehr.

Ja weil Win 7 z.B. die Änderungen erst beim nächsten Systemstart macht. Da will man nur kurz was Rechner machen und wartet erstmal, bis alle Änderungen eingespielt sind.

V for Vortex schrieb:

Hallo,

in einer kürzlichen Diskussion über das verschiedene Update-Verhalten von Windows und Linux (Windows oft Neustarts fordernd oder sogar erzwingend, Linux dies i.d.R. nur bei Updates von Kernel oder Grafiktreiber vorschlagend) wurde Linux dafür kritisiert, dass die aktualisierten Programme und Systemkomponenten weiterhin im Speicher in der alten Version liefen

Hallo,

genau das ist mir aber im Desktop-Bereich mit KDE aufgefallen, Update auf 4.11.1 und es wurde aber immer noch 4.11.0 angezeigt. Ein Neustart löste das ganze dann auf und zeigte 4.11.1, habe mir ehrlich gesagt, nichts dabei gedacht da ich Linuxserver einmal in der Woche eh Neustarten lasse (cronjob). Daher habe ich da kein Problem mit.

Edit:Das muß an etwas anderem gelegen haben, da gerade 4.11.2 Update installiert wurde und ohne Neustart 4.11.2 angezeigt wird. Vielleicht betrifft es nur bestimmte Prg's

Wer in der Lage ist einen Server zu administrieren, sollte wissen welche Updates er einspielt und ob ein Neutstart nötig ist. Und bei Unsicherheiten starte ich meinen Server lieber einmal mehr neu.

Einen generellen Neustartzwang halte ich für unsinnig. Viele Systeme sollen ja gerade dauernd erreichbar sein. Oft tut es auch einfach ein Neustart das jeweiligen Dienstes. Das dauert meist nur wenige Sekunden.

V for Vortex schrieb:

Wenn er Recht hat, sollte dieses Verhalten Linux' geändert werden?

Der Knackpunkt ist hier Server oder Linux.

Die meisten Desktop-Linuxe werden 1x täglich oder häufiger neu gebootet. Viele Laptopuser nutzen vielleicht intensiv den Schlafmodus, und lassen den Rechner wochenlang immer nur schlummern, aber die meisten Programme werden doch mal neu gestartet, und es laufen keine erreichbaren Server darauf, die besonders verwundbar sind.

Wer aber einen Server betreibt sollte auch mehr Wissen über dessen Sicherheit haben, und beim Einspielen von Sicherheitsupdates wissen, dass der Server auch neu gestartet werden muss. Manchmal genügt es ja einzelne Module zu aktualisieren, so dass ein runterfahren des Servers nicht nötig ist. Wenn Hochverfügbarkeit nötig ist hat man oft mehrere Systeme, die man sukzessive aktualisieren kann.

Bei Windows hatte ich jahrelang den Verdacht, dass die Konvention den Rechner immer neu zu starten einfach die Methode war, die nie verkehrt sein konnte. Dass der User genervt ist macht nix, weil er kennt es halt nicht anders. Windows als Server benutzt eh keiner. ☺ Also zwingt man den User den Rechner neu zu starten - da alles closed source ist findet eh keiner raus, dass es nicht nötig ist. Die aufdringlich/eindrückliche Aufforderung zum Neustart begreifen die meisten noch als Sorge des Systems, als Aufmerksamkeit und Indiz für die Wichtigkeit dessen, was man da tut.

Wenn man viel opfern muss, muss es auch viel wert sein.

Ein falscher Rückschluss. Wie beim Schmiss der schlagenden Verbindung: Wenn man sich verunstalten lässt dafür, dann muss der Verein ja was ganz tolles sein.

Thomas Do schrieb:

Einen generellen Neustartzwang halte ich für unsinnig. Viele Systeme sollen ja gerade dauernd erreichbar sein. Oft tut es auch einfach ein Neustart das jeweiligen Dienstes. Das dauert meist nur wenige Sekunden.

Bei Debian-basierten System werden Dienste nach Aktualisierung sogar automatisch neu gestartet. Entsprechend gibt es in dieser Hinsicht kein Sicherheitsproblem.

pitt-admin schrieb:

genau das ist mir aber im Desktop-Bereich mit KDE aufgefallen, Update auf 4.11.1 und es wurde aber immer noch 4.11.0 angezeigt. Ein Neustart löste das ganze dann auf und zeigte 4.11.1, habe mir ehrlich gesagt, nichts dabei gedacht da ich Linuxserver einmal in der Woche eh Neustarten lasse (cronjob). Daher habe ich da kein Problem mit.

Ein erneuter Login reicht für den Desktop auch schon.

Generell dürfte lediglich bei einem Kernel-Update ein echter Neustart nötig sein, weil der als einziges nicht zur Laufzeit des Systems "ausgetauscht" werden kann.

MorGothmog schrieb:

Generell dürfte lediglich bei einem Kernel-Update ein echter Neustart nötig sein, weil der als einziges nicht zur Laufzeit des Systems "ausgetauscht" werden kann.

Module können aber entladen werden, und neu geladen.

@V for Vortex:

Lass mich raten, dein Freund ist MSCE und hat außer von Windows von nichts anderem einen Plan? Wenn Linux und Unix wegen ihres "mangelnden" Neustartverhaltens so unsicher sind, soll er mal erklären warum gerade im Sicherheitsrelevanten Umfeld mehrheitlich Unices zu finden sind.

MorGothmog schrieb:

Bei Debian-basierten System werden Dienste nach Aktualisierung sogar automatisch neu gestartet. Entsprechend gibt es in dieser Hinsicht kein Sicherheitsproblem.

Nicht nur bei diesen. Es kommt aber immer sehr stark darauf an, was aktualisiert wurde. Ein Neustart ist immer zu empfehlen, wenn systemnahe Bibliotheken (Keine Dienste!) ersetzt wurden. Gab es z.B. eine Lücke in der Glibc, muss man den Rechner neu starten, da ansonsten die alte, nicht gepatchte, Version weiterbenutzt wird.

pitt-admin schrieb: Generell dürfte lediglich bei einem Kernel-Update ein echter Neustart nötig sein, weil der als einziges nicht zur Laufzeit des Systems "ausgetauscht" werden kann.

Stimmt nicht. Es gibt Methoden um auch den Kernel im laufenden Betrieb auszutauschen:

http://www.ksplice.com/

Dazu kommt die Kernel-Funktion kexec, die gleiches direkt im Kernel leistet (Wenn auch nicht so bequem).

user unknown schrieb:

Module können aber entladen werden, und neu geladen.

In der Regel ja, die Ausnahme stellt der DRM-Stack dar. Ich habe es bisher noch nicht geschafft ein Kernelmodul des DRM-Stacks im laufenden Betrieb auszutauschen.

ChemicalBrother schrieb:

Kommt das nicht auf die Software an? Ich meine, wenn man den Firefox aktualisiert und den dann schließt und "neustartet", dann hat man die neue Version und muss dafür nicht extra den PC neustarten (ist ja in Windows [inzwischen] nicht anders). Und so oft gibt es bei Windows auch keine Neustarts mehr.

Wenn ich mich recht entsinne verlangt der Firefox sogar einen Neustart nach dem Update, zumindest erscheint da irgendwas im Panel.

@V for Vortex Ich glaube wenn das ein massives Problem wäre, wäre das offen kommuniziert worden.

glasenisback schrieb:

pitt-admin schrieb: Generell dürfte lediglich bei einem Kernel-Update ein echter Neustart nötig sein, weil der als einziges nicht zur Laufzeit des Systems "ausgetauscht" werden kann.

Stimmt nicht. Es gibt Methoden um auch den Kernel im laufenden Betrieb auszutauschen:

Bitte achte beim zitieren darauf wer es geschrieben hat, ich war es nicht! ☹ sondern MorGothmog schrieb: das!

Sorry, war keine Absicht.

Danke für die anregende Diskussion. ☺

glasenisback schrieb:

Lass mich raten, dein Freund ist MSCE und hat außer von Windows von nichts anderem einen Plan? Wenn Linux und Unix wegen ihres "mangelnden" Neustartverhaltens so unsicher sind, soll er mal erklären warum gerade im Sicherheitsrelevanten Umfeld mehrheitlich Unices zu finden sind.

Kein Freund von mir, nur eine Forenbekanntschaft. 🦆 Und auf höhere philosophische Ebenen möchte ich mich nicht mit ihm begeben, da er selbst bei kurzen Fragen Romane schreibt. 😉

MorGothmog schrieb:

Bei Debian-basierten System werden Dienste nach Aktualisierung sogar automatisch neu gestartet. Entsprechend gibt es in dieser Hinsicht kein Sicherheitsproblem.

Nicht nur bei diesen. Es kommt aber immer sehr stark darauf an, was aktualisiert wurde. Ein Neustart ist immer zu empfehlen, wenn systemnahe Bibliotheken (Keine Dienste!) ersetzt wurden. Gab es z.B. eine Lücke in der Glibc, muss man den Rechner neu starten, da ansonsten die alte, nicht gepatchte, Version weiterbenutzt wird.

Kennt Ihr irgendwo Quellen, wo man mehr darüber erfahren kann? Insbesondere, welche Teile des Systems im Betrieb neu gestartet werden und welche nicht?

http://www.ksplice.com/

Dazu kommt die Kernel-Funktion kexec, die gleiches direkt im Kernel leistet (Wenn auch nicht so bequem).

Interessant, danke!

LeTux schrieb:

Wenn ich mich recht entsinne verlangt der Firefox sogar einen Neustart nach dem Update, zumindest erscheint da irgendwas im Panel.

Ja, tut es. Bzw. spinnt Firefox gerne mal, wenn man trotzdem mit ihm weiterarbeitet. Ich kenne z.B. den Effekt, dass weitere Fenster (z.B. die Einstellungen) nur wenige Pixel groß aufgehen.

Ich glaube wenn das ein massives Problem wäre, wäre das offen kommuniziert worden.

Das ist ein Indiz aber leider kein zweifelsfreies Argument.

user unknown schrieb:

Die meisten Desktop-Linuxe werden 1x täglich oder häufiger neu gebootet. Viele Laptopuser nutzen vielleicht intensiv den Schlafmodus, und lassen den Rechner wochenlang immer nur schlummern, aber die meisten Programme werden doch mal neu gestartet, und es laufen keine erreichbaren Server darauf, die besonders verwundbar sind.

Dennoch kann man argumentieren, dass bis dahin Sicherheitslücken trotz erfolgtem Update weiter bestehen. Und auch durch einen Client kann sich in den Benutzeraccount gehackt werden, wenn i.d.R. auch nur mit dessen Rechten.

Wer aber einen Server betreibt sollte auch mehr Wissen über dessen Sicherheit haben, und beim Einspielen von Sicherheitsupdates wissen, dass der Server auch neu gestartet werden muss. Manchmal genügt es ja einzelne Module zu aktualisieren, so dass ein runterfahren des Servers nicht nötig ist. Wenn Hochverfügbarkeit nötig ist hat man oft mehrere Systeme, die man sukzessive aktualisieren kann.

Ja, den Unterschied zwischen Desktop und Server sehe ich auch. Allerdings wird auch Ersterer heute immer mehr zum permanenten Teil des Internets und ist damit häufiger ähnlichen Gefahren ausgesetzt als in den letzten Jahrzehnten.

Bei Windows hatte ich jahrelang den Verdacht, dass die Konvention den Rechner immer neu zu starten einfach die Methode war, die nie verkehrt sein konnte. Dass der User genervt ist macht nix, weil er kennt es halt nicht anders.

Ich denke auch, dass diese Überlegung hinter vielen „Gängelungen“ des Benutzers bei Windows steckt. Und sie ist nicht mal so abwegig.

V for Vortex schrieb:

user unknown schrieb:

Die meisten Desktop-Linuxe werden 1x täglich oder häufiger neu gebootet. Viele Laptopuser nutzen vielleicht intensiv den Schlafmodus, und lassen den Rechner wochenlang immer nur schlummern, aber die meisten Programme werden doch mal neu gestartet, und es laufen keine erreichbaren Server darauf, die besonders verwundbar sind.

Dennoch kann man argumentieren, dass bis dahin Sicherheitslücken trotz erfolgtem Update weiter bestehen. Und auch durch einen Client kann sich in den Benutzeraccount gehackt werden, wenn i.d.R. auch nur mit dessen Rechten.

Ja. Aber die Sicherheitslücke hat ja dann auch bestanden bevor jemand ihrer gewahr wurde, und dann noch die Zeit bis sie gefixt wurde und der Fix als Update gebundelt werden konnte.

Man kann also fragen welchen Anteil eine userseitige Verzögerung bis zum Neubooten dann hat. Es weitet sich mehr und mehr Richtung Kaffeesatzleserei. Rein abstrakt ist eine Sicherheitsproblematik nicht zu leugnen, aber wie oft sind praktisch Wurm- und Virenbefall Folge eines um Stunden verzögerten Handelns? Ich vermute es ist äußerst selten. Das monatelang nicht gepatchte System ist was anderes.

Wer besonders sensible Daten hat oder mit besonders windigen Seiten oft Kontakt hat, der soll eben aufmerksam sein und nach Updates auch eher neustarten, bzw. aufmerksamer lesen was denn da gepatcht wurde und wieso.