CSL 2 Linux-päivitykset #42-#45

[Tämä tiedote on nähtävissä myös HTML-muodossa osoitteessa <URL: http://www.cs.Helsinki.FI/compfac/updates/csl2/linux045.html>.
Tiedote kaikkine linkkeineen ja kuvineen onkin parempi lukea siinä muodossa.]

Torstaina 22.11.2001 käynnistyi TKTL:n CSL 2 Linux-päivitys #45.

Päivityksen voi tehdä omalle koneelleen jo tätä aikaisemmin painamalla CSL 2:n sisäänkirjoittautumiskäyttöliittymässä näppäinyhdistelmää ALT+U. Tätä tapaa suositellaan erityisesti kannettavien koneiden haltijoille ja se toimii myös kun kannettavaa käytetään laitoksen ulkopuolisissa verkoissa. Päivityksen hakeminen hitaan yhteyden yli tosin saattaa kestää hyvinkin kauan.

Päivityksessä #45 FTP-palvelu poistuu CSL2 Linux-koneiden palveluvalikoimasta kokonaan wu-ftpd:stä löytyneen uuden (vielä toistaiseksi julkaisemattoman) tietoturva-aukon vuoksi.

FTP-palvelun poistaminen FTP:n tietoturvaongelmien vuoksi on ollut ylläpidon suunnitelmissa jo pitkään. Valitettavasti uuden aukon takia se joudutaan poistamaan ilman varoitusaikaa. FTP-palvelu ei onneksi ole enää ohjelmien ja protokollien kehittymisen myötä välttämätön. Windows- ja Mac-käyttäjiä suositellaan siirtymään sftp:n käyttöön (nimestään huolimatta sftp:llä ei ole mitään tekemistä perinteisen FTP-protokollan kanssa). F-Securen sftp-asiakas Windowseille on saatavilla kaikille yliopiston työntekijöille ja opiskelijoille ATK-osaston ohjelmistojakelusta osoitteesta https://www.helsinki.fi/atk/ohjelmajakelu/ssh/ omaa ATK-osaston Unix-käyttäjätunnusta (tällainen on lähes jokaisella laitoksen Linux-käyttäjällä) ja salasanaa vastaan.

Myös Linuxille on saatavissa sftp-asiakkaita (myös graafisia), mutta ainakaan allekirjoittanut ei ole niitä koskaan viitsinyt käyttää. Linuxissa tavallisen ssh-yhteyden yli voi siirtää tiedostoja ainakin scp:llä, tar:illa, rsync:illä ja cvs:llä. Työkalun voi valita omien tarpeiden mukaan.

Jos jostain syystä aivan välttämättä haluaa käyttää FTP:tä edelleen, niin FTP-palvelu on toistaiseksi käytettävissä CSL1-palvelin melkinkarissa (joka myös on laitoksen anynonyymi FTP-palvelin alias ftp.cs.helsinki.fi). Melkinkarissa on käytössä proftpd FTP-palvelinohjelmisto, jota nyt löytynyt turva-aukko ei koske.

Muita päivityksissä #42-#45 tehtyjä toimenpiteitä:

1. Päivityksessä #43 KDE1 asennus siirrettiin pois tulevan isomman kirjastopäivityksen tieltä /usr/local/kde1-hakemistoon (jotta mm. uudet Gnome-softat saadaan toimimaan). Tämän vuoksi päivitystä #43 ei asenneta jos käyttäjällä on KDE1 istunto auki (istunnolle kävisi päivityksessä muuten huonosti). Laitoksella on edelleen muutama yli viikon vanha KDE1-istunto, joiden omistajien toivottaisiin omatoimisesti sulkevan istunnot, jotta päivitys saataisiin ajettua.
2. Päivityksessä #43 poistettiin guest-tunnus käytöstä (kuten aikaisemmin oli tiedotettu).
3. Päivityksessä #45 asennetaan dos2unix- ja unix2dos-työkalut
4. Päivityksissä #42, #44 ja #45 korjattiin muissa päivityksissä aikaisempiin päivityksiin eksyneitä bugeja.

Päivitys kestää noin 5-20 min konetta kohden eikä se aiheuta tavallisesti koneen uudelleenkäynnistystä.

Turvallisuussyistäkin kannattaa pitää huolta, että kaikki koneet ovat tuoreimmalla päivitystasolla. Myöhemmin käyttöönotettavassa turvaluokituksessa päivitystasoa tullaan käyttämään yhtenä koneen turvaluokitukseen vaikuttavana tekijänä eikä alempiin turvaluokkiin kuuluville koneille tulla tarjoamaan kaikkia palveluita (esim. NFS) eikä niihin tulla sallimaan yhteydenottoja laitoksen verkon ulkopuolelta.

Mahdollisista ongelmista voi raportoida esim. sivun <URL:http://www.cs.Helsinki.FI/cgi-bin/problem-report> kautta.

Yhteistyöstä kiittäen,

    Petri Kutvonen   University of Helsinki           kutvonen@cs.Helsinki.FI
                     Department of Computer Science   +358 9 191 44216

    Jani Jaakkola    University of Helsinki           jjaakkol@cs.Helsinki.FI
                     Department of Computer Science   +358 9 191 44188
      

---

¹) Liite 1 - Miten CSL 2 Linux -koneiden päivitys tapahtuu?

Päivitys tapahtuu päivitysautomaatin aktivoimana. CSL 2 päivitysautomaattin voi aktivoida oma-aloitteisesti näppäinyhdistelmällä ALT+U sisäänkirjoittautumiskäyttöliittymässä. Mikäli jokin CSL 2 kone on jäänyt päivittämättä (kuten esimerkiksi kannettavat, jotka eivät ole olleet verkossa päivityksen aikana), voi päivitystä pyytää erikseen ylläpidolta.

Operaatio sujuu kunkin koneen osalta taatusti alle puolessa tunnissa. Päivityksen ajaksi ilmestyy ruudulle varoitusteksti ja ikkuna josta voi seurata päivityksen edistymistä, mutta entinen tila palautuu automaattisesti päivityksen jälkeen. Mikäli päivitys vaatii koneen uudelleenkäynnistyksen, tapahtuu se 10 min päivityksen jälkeen.

päivityksen yhteydessä ruudulle tuleva varoitus

Jotta automaatti voi tehdä päivityksen, on koneen luonnollisesti oltava käynnistettynä Linuxiin. Tuoreimman päivityksen numero näkyy myös suoraan muodossa "CSL #2.numero" sisäänkirjoittautumisen yhteydessä. Päivitysautomaatti yrittää päivitystä yhä uudelleen ja uudelleen kunnes se onnistuu. Automaatti suorittaa samalla myös kaikki aikaisemmin ilmestyneet TKTL:n CSL 2 Linux-päivitykset.

---

²) Liite 2 - Mitä Linux-koneita päivitys koskee?

Päivitys koskee kaikkia laitoksen hallinnassa olevia laitteita, joihin CSL 2 Linux on asennettu.

Vanhentuneiden ohjelmien käyttäminen saattaa aiheuttaa ongelmia yhteensopivuudeessa. Mahdollisia turva-aukkoja sisältävän järjestelmän käyttö voi muodostaa aikapommin, joka on uhkana yhteiselle tietoturvallemme. Muista, että vaikka sinulla itselläsi ei olisi omasta mielestäsi mitään erityisen suojattavaa, jollakulla toisella saattaa olla. Turva-aukko yhdessä koneessa saattaa johtaa turvallisuuden heikentymiseen toisaalla.

CSL 2 Päivitysautomaatti ei koske koneisiin, joissa käytetään jotain muuta kuin CSL 2 käyttöympäristöä.

Automaatti pyrkii päivittämään myös kannettavat CSL 2 asennusta käyttävät Toshiba-koneet. Jos päivitystä ei tunnu ilmaantuvan tai verkon käytössä on ongelmia, niin ottakaa yhteyttä Jani Jaakkolaan.

---

Jani Jaakkola