Leserartikel Ubuntu ESM (Extended Security Maintenance) in der Praxis

Liebe Tuxer,

wir hatten neulich in einer Linux News, das Thema ESM mit Ubuntu 16.04 und 18.04.

Frage war: Was wird mit Updates versorgt.​

https://wiki.ubuntu.com/SecurityTeam/ESM/16.04

Im FAQ Bereich steht folgendes dazu

What's covered with ESM?​

During the lifetime of an Ubuntu release, Canonical provides security maintenance. Basic Security Maintenance covers binary packages that reside in the 'main' and 'restricted' components of the Ubuntu archive, as well as Linux kernel Livepatching typically for a period of 5 years from LTS release. This FAQ entry contains more information.

For Ubuntu 16.04 LTS, where technically feasible, Canonical will provide extended security maintenance to all binary packages that reside in the Ubuntu Main Repository for 64-bit x86 AMD/Intel, arm64, and s390 architectures. See the service description for additional details. A set of packages is receiving updates only through the snap store as listed below.

Wer sich die Pakete im Detail anschauen will, kann sich die Datei in einem Text Editor öffnen

https://esm.ubuntu.com/infra/ubuntu/dists/xenial-infra-security/main/binary-amd64/Packages

Maschine mit ESM versorgen​

Wirklich so einfach die jeweilige Ubuntu Maschine einfach ESM hinzufügen und weiter gehts?

Ich hab ein Ubuntu 16.04 LTS Desktop installiert und alle Patches installiert die es noch gab.
Firefox 88 ist die letzte Version.

Es gibt ESM kostenlos im kleinen Rahmen für den persönlichen Gebrauch. 3 Ubuntu Maschinen dürfen so verlängert werden.


https://ubuntu.com/security/esm

Nach der Registrierung mit root rechten folgendes Kommando abfeuern. Der Registrierungs Code gibt es zum raus kopieren im Account Bereich.

ua attach 1234567731

Ist die Lizenz aktiviert sieht dies so aus.

ESM Services Übersicht​

Wer sich fragt was dies alles für Services sind.
Ich hab es euch hier mal verlinkt.


Common Criteria EAL2 Provisioning Packages

https://ubuntu.com/security/certifications/docs/cc

Security compliance and audit tools

https://ubuntu.com/security/certifications/docs/cis-audit

esm-infra yes enabled UA Infra: Extended Security Maintenance (ESM)

https://ubuntu.com/blog/ubuntu-16-04-lts-transitions-to-extended-security-maintenance-esm

NIST-certified core packages

https://ubuntu.com/security/certifications/docs/fips

Canonical Livepatch service

https://wiki.ubuntuusers.de/Livepatch/


Wichtig für uns sind nur esm-infra und livepatch

Welche Firefox Version ist installiert?​

Nachdem alle Updates installiert wurden, prüfen wir nach welche Version installiert ist.


Der Firefox ist immer noch auf Version 88.

Dafür gab es aber diverse Patches für den Kernel

4.15.0-142-generic

Schauen wir uns diesen Link an.

https://wiki.ubuntu.com/SecurityTeam/ESM/16.04

Firefox/Thunderbird und Libre Office gibt es nur als Snap Version für ESM.

Firefox als Snap installieren​

Also mal fix installiert und den alten über die Paket Version installierten Firefox runter geworfen.

Hat geklappt ohne Probleme. Es ist nun der Firefox 96.01 installiert.

War dies schon das Ende?​

Wir prüfen den Support Status aller installierten Pakete.

ubuntu-support-status

Wir lassen uns auch mal die Pakete anzeigen welche dies sind. Wie vermutet relativ viele XServer Pakete die raus fallen.

Für einen Server der mit Apache und SSH betrieben wird ist ESM definitiv eine Lösung. Im Desktop Bereich finde ich es weniger gut.

 

[AlphaKaninchen]

Firefox ESR wäre schön... wäre dann aber auch 91, also von 88 auch ein Upgrade der Major Version...

Oder Backportet Canonical Firefox Sicherheits Patches zu Version 88?

 

[konkretor]

@AlphaKaninchen ne das machen sie nicht, daher Firefox über Snap

 

[andy_m4]

Mal abgesehen davon das man darüber streiten kann ob Extended Security Maintenance (mit Desktop-Szenario) Sinn macht, ist dann die Lösung Firefox als Snap auszuliefern schon ein bisschen gemogelt. :-)

 

[7vor10]

@konkretor

Danke für Deine praxisnahe Veranschaulichung der ESM-Thematik!

Ja, für den Desktop-Betrieb scheint ESM wohl weniger von Nutzen zu sein.

Was sich ein Desktop-User wünschen würde, wäre, dass 5 weitere Jahre über das LTS-Enddatum hinaus ESM-Updates in der Aktualisierungsverwaltung angeboten würden. Und zwar ganz ohne Verrenkungen wie halt bei den normalen Updates auch. Also so ohne weiteres Zutun wie es angeblich einem Mint17-User passiert sein soll (mit ESM-Updates eineinhalb Jahre nach "Ladenschluß").

 

[andy_m4]

Was sich ein Desktop-User wünschen würde, wäre, dass 5 weitere Jahre über das LTS-Enddatum hinaus ESM-Updates in der Aktualisierungsverwaltung angeboten würden.

Die Frage ist ja: Wozu?
Also um mal bei dem Beispiel Browser zu bleiben: Wenn ich einen 10 Jahre alten Browser nehme, so würde ich mal behaupten es gäbe eine signifikante Anzahl an Webseiten die nicht ordentlich funktionieren würden.
Und mit aktueller Hardware anschließen wird bei einem >5 Jahre alten System auch eher nicht so gut funktionieren.

 

[7vor10]

Wozu?

Da sind verschiedene Szenarien denkbar. Zum Beispiel Unzufriedenheit mit einer neuen Desktop-Umgebung (Verschlimmbesserungen oder dass bewährte Programe unter der neuen OS-Version nicht mehr richtig laufen).

Es kann auch sein, dass ein Rechner mit einem LTS-OS selbst nach 5 Jahren noch immer nicht kaputt ist (Rekord bei mir: Offline-XP-PC, der 18 Jahre bis zum Exitus durchhielt; oder zwei Notebooks mit jeweils 10 Jahren).

Web-Browser müssen natürlich kontinuierlich aktualisiert werden. Es gibt aber reichlich Browser unter Linux, die sich portabel in das OS einbinden bzw. manuell updaten lassen.

 

[andy_m4]

Es kann auch sein, dass ein Rechner mit einem LTS-OS selbst nach 5 Jahren noch immer nicht kaputt ist

Es geht ja nicht zwangsläufig um kaputt gehen. Aber es kommt ja auch mal neue Hardware dazu. Sei es das man aufrüstet. Sei es das man sich nen Peripherie (Drucker etc.) kauft.

Zum Beispiel Unzufriedenheit mit einer neuen Desktop-Umgebung

Ja. Aber einfach auf der alten Version zu bleiben löst das Problem ja nicht, sondern verschiebt es nur.

oder dass bewährte Programe unter der neuen OS-Version nicht mehr richtig laufen

Naja. Aber das ganze System veraltet halten weil vielleicht ein Programm nicht richtig läuft? Außerdem hat man doch genau für solche Szenarien Container und Virtualisierung.

Also klar. Es gibt Gründe und es gibt sicher auch Szenarien die das rechtfertigen. Aber im Großen und Ganzen dürfte das eher die Ausnahme sein. In den meisten Fällen dürfte es beim Einsatz von Extended-Maintaince darum gehen die Lösung von Problemen in die Zukunft zu verschieben.

 

[7vor10]

In den meisten Fällen dürfte es beim Einsatz von Extended-Maintaince darum gehen die Lösung von Problemen in die Zukunft zu verschieben.

Richtig. Die meisten Szenarien lassen sich unter diesem Aspekt zusammenfassen. Aber Verschieben von Problemen kann auch Zeitgewinn bedeuten. Eventuell ist das Problem dann irgendwann obsolet geworden (oder man selber ist mittlerweile obsolet - memento mori ).