Server absichern - Paketverwaltung und automatische Updates

class: center, middle

# 🛡Server absichern🛡
## Paketverwaltung und automatische Updates
### Hauke Goos-Habermann
#### https://goos-habermann.de
---

### Zu diesem Video

![img33l](../../gfx/cybaer-schrift-links.png)

Dieses Video ist Teil gemeinsamen Projektes, bei dem Jean, Micha und ich verschiedene Aspekte behandeln, wie Ihr Eure Server absichern könnt.

**Playlist mit allen Videos**: https://youtube.com/playlist?list=PLhvaM7uJr1PA89sEfrL74abQ4kZGC3Js9

Viel Spaß beim Vorbeischauen und Anschauen :-)
---

### Über mich

- Entwickler des <a href="https://m23.sourceforge.io">Softwareverteilungssystems m23</a>

- Organisator der <a href="https://kielux.de">Kieler Open Source und Linux Tage</a>

- <a href="https://goos-habermann.de/">Dienstleister zu m23, Linux und Freier Software</a>

- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...)
  - Administration
  - Schulungen
  - Support
  - Beratung
  - quasi **alles**, *was mit Linux zu tun hat*

- Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides

- Community-Video-Serie *"Nicht der Weisheit letzter Schluß"* auf <a href="https://tube.tchncs.de/c/ndwls">tube.tchncs.de</a> und <a href="https://www.youtube.com/channel/UCNDn2bb2AHVCliErAwA-45g">YouTube</a> mit **beruflichen** oder **privaten Projekten**

- Hat mehrere Debian-/Ubuntu-/Raspberry-Pi-OS-Server, die täglich automatisch aktualisiert werden
---

### Warum aktualisieren?

![img33l](../../gfx/cybaer-schrift-links.png)

Systeme sollten regelmäßig aktualisiert werden, um

* **Sicherheitslücken** zu schließen

* **Fehler** zu korrigieren

* ***neue Funktionen*** *zu erhalten*

#### Warum automatisieren?

* Weniger Arbeit

* Kann nicht vergessen werden

* Wird zeitnah durchgeführt

#### Wie automatisieren?

* **cron-apt**, unattended-upgrades, (Desktop-Hilfsprogramme,) ...
---

### Aktualisierung per Hand

Paketliste mit verfügbaren (neuen) Paketen herunterladen:

```bash
apt-get update
```

Nur installierte Pakete aktualisieren:

```bash
apt-get upgrade
```

Installierte Pakete aktualisieren und wenn nötig, zusätzliche Pakete installieren:

```bash
apt-get dist-upgrade
```
---

### Wir brauchen: Dodger-Tools

Das Paket *"dt-cron-apt"* aus den Dodger-Tools werde ich dieses Mal verwenden.

![img33l](../../gfx/Dodger-Tools-logo.png)

= über die Jahre stetig erweiterte **Sammlung** von **BASH-Werkzeugen** und **Debian-Paketen** für Linux/Debian-Nutzer und -Administratoren

Enthalten sind unter anderem:

- **Automatisiertes Aktualisieren von Servern**
- *"Intelligentes"* Editieren von Dateien
- Werkzeuge für das Erstellen von Backups über das Netzwerk
- Monitoring
- Erstellung von Debian-Paketen und -Paketquellen
- Setzen von IP-Adressen
- Generierung von Vorschaubildern
- etc.

.cls[Mehr Informationen: <a>http://dodger-tools.sf.net</a>]
---

### Wir brauchen: Mailserver

Ein Mailserver wird benötigt, um die Statusmails über (erfolgreiche oder fehlgeschlagene) Aktualisierungen zu senden.

* Mailserver auf dem Server installieren: <a href="/howto-10057-Video-TuxTage-20-Linux-WebMailDatenbank-Server-Installation-Konfiguration-Absicherung">Video: TuxTage 20: Linux Web/Mail/Datenbank-Server: Installation, Konfiguration, Absicherung</a>

* Vorhandenen externen SMTP-Server nutzen: <a href="/weisheit-10033-msmtp-Externen-SMTP-Server-fuer-Systemmails-nutzen">Video: msmtp - Externen SMTP-Server für Systemmails nutzen</a>
---

### Automatische Aktualisierung einrichten

root werden, Skriptbibliothek herunterladen und laden:

```bash
su -
wget https://goos-habermann.de/commonInstall.inc -O /tmp/commonInstall.inc
. /tmp/commonInstall.inc
```

Dodger-Tools installieren:
```bash
CI_inst_dodgerTools
```

Admin-eMail-Adresse und Zeitpunkt (hier 4 Uhr morgens) für automatische Updates festlegen:
```bash
CI_setAdminMailAndDtCronAptRuntime "admin@main-domain.de" 4
```

dt-cron-apt installieren + einrichten:
```bash
apt install -y dt-cron-apt
```
---

### cron-apt ohne Dodger-Tools

Wenn Ihr cron-apt ohne Dodger-Tools installieren wollt, geht das folgendermaßen:

cron-apt installieren:
```bash
apt-get install -y cron-apt
```
Anschließend die Werte in den einzelnen Konfigurationsdateien einstellen:
```bash
echo 'MAILTO="admin@main-domain.de"
MAILON="upgrade"' >> /etc/cron-apt/config

echo 'upgrade -y' > /etc/cron-apt/action.d/5-upgrade
echo '-q -q --no-act upgrade' > /etc/cron-apt/action.d/9-notify
```
---

class: center, middle
### Informationen zu mir und meinen Dienstleistungen, m23, ...
### https://goos-habermann.de