Automatische Aktualisierungen

Ben Cotton, Petr Bokoc, Jean-Baptiste Holcroft Version all Last review: 2025

Sie müssen entscheiden, ob Sie automatische DNF-Aktualisierungen auf Ihren Rechnern aktivieren möchten. Es gibt verschiedene Argumente für und gegen automatische Aktualisierungen. Eine pauschale Antwort gibt es jedoch nicht: Letztendlich entscheidet der Systemadministrator oder Besitzer jedes Rechners, ob automatische Aktualisierungen für diesen Rechner sinnvoll sind. Ein guter Systemadministrator zeichnet sich unter anderem dadurch aus, dass er Fakten und Vorschläge anderer abwägen und dann selbst entscheiden kann, was zu tun ist.

Eine allgemeine Regel, die in den meisten Fällen gilt, lautet wie folgt:

Wenn es sich bei dem Rechner um einen kritischen Server handelt, bei dem ungeplante Ausfallzeiten eines Dienstes nicht toleriert werden können, sollten Sie keine automatischen Aktualisierungen verwenden. Andernfalls können Sie sich dafür entscheiden.

Auch die oben genannte allgemeine Regel hat Ausnahmen oder lässt sich umgehen. Manche Probleme lassen sich durch eine spezielle Konfiguration Ihrerseits lösen. Beispielsweise könnten Sie eine eigene DNF-Paketquelle auf einem lokalen Server erstellen und dort nur getestete oder vertrauenswürdige Aktualisierungen einbinden. Anschließend würden Sie die automatischen Aktualisierungen ausschließlich aus Ihrer eigenen Paketquelle nutzen. Solche Konfigurationen sind zwar unter Umständen schwieriger einzurichten und zu warten, können aber einen Großteil des Risikos, das mit automatischen Aktualisierungen einhergeht, eliminieren.

Wie werden automatische Aktualisierungen ausgeführt?

Sie können einen Dienst nutzen, der automatisch alle neuen Aktualisierungen (z.B. Sicherheitsaktualisierungen) herunterlädt und installiert.

Das RPM-Paket dnf-automatic stellt als DNF-Komponente einen Dienst bereit, der automatisch gestartet wird.

Installation und Einstellungen von dnf-automatic

Bei einer Neuinstallation von Fedora mit Standardoptionen ist das dnf-automatic-RPM nicht installiert. Der erste Befehl unten installiert dieses RPM:

sudo dnf install dnf-automatic

Standardmäßig verwendet dnf-automatic die Konfigurationen in der Datei /etc/dnf/automatic.conf. Diese Konfigurationen laden lediglich Pakete herunter, installieren sie aber nicht. Um Konfigurationen zu ändern oder hinzuzufügen, öffnen Sie die .conf-Datei als Root-Benutzer (oder mit sudo) in einem Terminalfenster.

sudo nano /etc/dnf/automatic.conf

Eine Änderung an der Datei automatic.conf, die alle Aktualisierungen herunterlädt, anwendet und das System neu startet, könnte wie folgt aussehen:

[commands]
apply_updates=True
reboot=when-needed

Lassen Sie „reboot=when-needed“ weg, um einen manuellen Neustart durchzuführen. Eine vollständige und detaillierte Beschreibung der dnf-automatic-Einstellungen finden Sie in der Handbuchseite dnf-automatic(8).

dnf-automatic ausführen

Sobald Sie die Konfiguration abgeschlossen haben, führen Sie Folgendes aus:

systemctl enable --now dnf-automatic.timer

um den systemd-Timer zu aktivieren und auszuführen.

Den Status von dnf-automatic überprüfen:

systemctl status dnf-automatic.timer

Hinweis: Vorkonfigurierte Timer wie automatic-download.timer, automatic-install.timer und automatic-notifyonly.timer wurden mit dem Wechsel zu dnf5 in Versionen ab Fedora 40 in dnf-automatic.timer zusammengeführt. Die neuen Befehle finden Sie im Abschnitt „Optionen“ der dnf-Dokumentation.

Können wir DNF-Aktualisierungen vertrauen?

DNF in Fedora hat die GPG-Schlüsselüberprüfung standardmäßig aktiviert. Vorausgesetzt, Sie haben die korrekten GPG-Schlüssel importiert und gpgcheck=1 in Ihrer /etc/dnf/dnf.conf gesetzt, können wir zumindest davon ausgehen, dass automatisch installierte Aktualisierungen nicht beschädigt oder verändert wurden. Dank der GPG-Schlüsselüberprüfung kann ein Angreifer keine Pakete erstellen, die Ihr System als gültig akzeptiert (es sei denn, er besitzt eine Kopie des privaten Schlüssels eines von Ihnen installierten Pakets). Zudem wird jede Datenbeschädigung während des Downloads erkannt.

Die Frage betrifft jedoch auch die Qualität der Aktualisierungen. Wird die Installation des Pakets Probleme auf Ihrem System verursachen? Das können wir nicht beantworten. Jedes Paket durchläuft einen Qualitätssicherungsprozess und gilt als fehlerfrei. Dennoch können Probleme auftreten, und die Qualitätssicherung kann nicht alle möglichen Fälle testen. Es ist daher immer möglich, dass eine Aktualisierung während oder nach der Installation Probleme verursacht.

Warum automatische Aktualisierungen verwenden?

Der Hauptvorteil automatisierter Aktualisierungen liegt darin, dass Rechner schneller, häufiger und einheitlicher auf den neuesten Stand gebracht werden als bei manuellen Aktualisierungen. Wir sehen im Internet zu viele kompromittierte Rechner, die sicher gewesen wären, wenn die neuesten Aktualisierungen rechtzeitig installiert worden wären.

Daher ist zwar bei automatisierten Aktualisierungslösungen generell Vorsicht geboten, insbesondere bei Produktivsystemen, aber in manchen Situationen lohnt es sich definitiv, sie in Betracht zu ziehen.

Gründe FÜR die Verwendung automatischer Aktualisierungen

Auch wenn niemand für Sie feststellen kann, ob Ihr Gerät ein guter Kandidat für automatische Aktualisierungen ist, gibt es einige Faktoren, die ein Gerät tendenziell besser für automatische Aktualisierungen geeignet machen.

Folgende Faktoren könnten dazu beitragen, dass Ihr Computer für automatische Aktualisierungen geeignet ist:

  • Es ist unwahrscheinlich, dass Sie Aktualisierungen – aus welchen Gründen auch immer – manuell einspielen werden.

  • Die Maschine ist nicht geschäftskritisch, und gelegentliche ungeplante Ausfallzeiten sind akzeptabel.

  • Sie können auf den Fernzugriff auf die Maschine verzichten, bis Sie vor Ort Probleme beheben können.

  • Sie haben keine unersetzlichen Daten auf dem Rechner und verfügen auch nicht über ordnungsgemäße Sicherungskopien dieser Daten.

Wenn all die oben genannten Punkte auf Ihr(e) Gerät(e) zutreffen, sind automatische Aktualisierungen möglicherweise die beste Option, um Ihr System zu schützen. Trifft dies nicht auf alle Punkte zu, müssen Sie die Risiken abwägen und selbst entscheiden, ob automatische Aktualisierungen die beste Vorgehensweise sind.

Gründe GEGEN die Verwendung automatischer Aktualisierungen

Auch wenn niemand für Sie bestimmen kann, ob Ihr Gerät ein schlechter Kandidat für automatische Aktualisierungen ist, gibt es einige Dinge, die dazu führen, dass ein Gerät ein schlechterer Kandidat für automatische Aktualisierungen wird.

Folgende Faktoren könnten dazu führen, dass Ihr Rechner für automatische Aktualisierungen ungeeignet ist:

  • Er stellt einen wichtigen Service bereit, bei dem Sie ungeplante Ausfallzeiten vermeiden möchten.

  • Sie haben eine benutzerdefinierte Software installiert, eine Software aus dem Quellcode kompiliert oder verwenden Software von Drittanbietern, die strikte Paketabhängigkeiten hat.

  • Sie haben einen benutzerdefinierten Kernel, benutzerdefinierte Kernelmodule oder Kernelmodule von Drittanbietern installiert oder verwenden eine Drittanbieteranwendung, die von Kernelversionen abhängt (dies ist möglicherweise kein Problem, wenn Sie Kernelaktualisierungen ausschließen, was in den dnf.conf-Dateien von Fedora standardmäßig aktiviert ist). (Siehe auch Bug #870790 – möglicherweise müssen Sie den Basisabschnitt anpassen und exclude=kernel* hinzufügen.)

  • Ihre Umgebung erfordert sorgfältige Änderungskontrollverfahren.

  • Sie aktualisieren neben den Fedora-Paketquellen auch aus anderen DNF-Paketquellen von Drittanbietern, was zu Konflikten bei den Versionsschemata für dieselben Pakete führen kann.

Es gibt noch weitere Gründe, warum die automatische Installation von Aktualisierungen ohne vorheriges Testen keine gute Idee sein kann. Einige davon sind:

  • Vor einer Aktualisierung sollten Sie Ihre Konfigurationsdateien unbedingt sichern. Selbst die besten Paket-Spec-Dateien können Fehler enthalten. Wenn Sie eine Datei geändert haben, die nicht als Konfigurationsdatei gekennzeichnet ist, gehen Ihre Konfigurationsänderungen möglicherweise verloren. Oder eine Aktualisierung verwendet ein anderes Format für die Konfigurationsdatei, was eine manuelle Neukonfiguration erforderlich macht. Es empfiehlt sich daher, Ihre Konfigurationsdateien vor Aktualisierungen kritischer Pakete wie E-Mail-, Web- oder Datenbankserver-Pakete zu sichern.

  • Unerwünschte Nebenwirkungen. Manche Pakete können störende Nebenwirkungen verursachen, insbesondere solche mit Cronjobs. Aktualisierungen von Basispaketen wie OpenSSL, OpenLDAP, SQL-Servern usw. können Auswirkungen auf viele andere, scheinbar unabhängige Pakete haben.

  • Fehler. Viele Pakete enthalten fehlerhafte Software oder Installationsskripte. Die Aktualisierung kann während oder nach der Installation Probleme verursachen. Selbst kosmetische Fehler, wie sie bei früheren Mozilla-Aktualisierungen auftraten und zum Entfernen oder Beschädigen von Benutzersymbolen führten, können ärgerlich oder problematisch sein.

  • Automatic updates may not complete the entire process needed to make the system secure. For example, DNF can install a kernel update, but until the machine is rebooted (which DNF will not do automatically) the new changes won’t take effect. The same may apply to restarting daemons. This can leave the user feeling that they are secure when they are not.

Bewährte Vorgehensweisen bei der Verwendung automatischer Updates

Wenn Sie sich für automatische Aktualisierungen entscheiden, sollten Sie zumindest ein paar Dinge tun, um sicherzustellen, dass Sie auf dem neuesten Stand sind.

Prüfen Sie, ob Paketaktualisierungen automatisch durchgeführt wurden, und notieren Sie, ob weitere (manuelle) Eingriffe erforderlich sind. Sie können die von DNF vorgenommenen Aktualisierungen in dessen Protokolldatei (normalerweise /var/log/dnf.log) einsehen.

Sie können die Verfügbarkeit von Aktualisierungen automatisch per E-Mail überwachen lassen, nachdem Sie die dnf-automatic-Konfigurationsdatei (normalerweise /etc/dnf/automatic.conf) angepasst haben.

[emitters]
emit_via = email

[email]
# Die Adresse, von der E-Mails gesendet werden.
email_from = root@localhost.com

# Liste der Adressen, an die E-Mails gesendet werden sollen.
email_to = root

# Name des Hosts, mit dem eine Verbindung zum Senden von
# E-Mail-Nachrichten hergestellt werden soll.
email_host = localhost

Sie ersetzen root durch die tatsächliche E-Mail-Adresse, an die der Bericht gesendet werden soll, und localhost durch die Adresse eines SMTP-Servers. Nach der Ausführung von dnf-automatic erhalten Sie per E-Mail Informationen zu verfügbaren Aktualisierungen, ein Protokoll der heruntergeladenen Pakete oder installierte Aktualisierungen gemäß den Einstellungen in der Datei automatic.conf.

Alternative Methoden

Alternativ zu dnf-automatic kann auter verwendet werden. Es funktioniert ähnlich wie dnf-automatic, bietet aber mehr Flexibilität bei der Zeitplanung und zusätzliche Optionen, darunter das Ausführen benutzerdefinierter Skripte vor oder nach Aktualisierungen sowie automatische Neustarts. Dies geht jedoch mit einem höheren Konfigurationsaufwand einher.

sudo dnf install auter

Anschließend sollten Sie die Konfiguration anpassen. Beschreibungen der Optionen finden Sie in der Konfigurationsdatei /etc/auter/auter.conf.

Auter ist hat keine standardmäßige Zeitplanung. Fügen Sie einen Zeitplan für --prep (wenn Sie Aktualisierungen vorab herunterladen möchten) und --apply (zum Installieren von Aktualisierungen) hinzu. Der installierte Cronjob, den Sie unter /etc/cron.d/auter finden, enthält zahlreiche Beispiele.

Um auter sofort auszuführen, ohne auf die Ausführung des Cronjobs zu warten, beispielsweise zum Testen oder Debuggen, können Sie es einfach über die Befehlszeile starten:

auter --apply

Wenn Sie die Ausführung von auter deaktivieren möchten, auch über Cronjobs:

auter --disable

Alternativen zu automatischen Aktualisierungen

Benachrichtigungen

Anstelle automatischer Aktualisierungen kann dnf-automatic neue Aktualisierungen lediglich herunterladen und Sie per E-Mail über verfügbare Aktualisierungen informieren, die Sie dann manuell installieren können. Diese Einstellung kann durch Bearbeiten der Datei /etc/dnf/automatic.conf vorgenommen werden.

Planung von Aktualisierungen

Ein weiteres häufiges Problem sind automatische Aktualisierungen, die ungewollt ausgeführt werden (z.B. an Feiertagen, Wochenenden oder im Urlaub). Wenn zu bestimmten Zeiten niemand erreichbar ist, um eventuelle Probleme im Zusammenhang mit Aktualisierungen zu beheben, ist es ratsam, Aktualisierungen an diesen Tagen zu vermeiden.

Dieses Problem kann durch eine Modifikation des Timers von dnf-automatic gemäß der Beschreibung auf der Seite Systemd verstehen und administrieren behoben werden.

Andere Schutzmethoden

Wenn Sie keine automatischen Aktualisierungen nutzen, sollten Sie Ihr System zusätzlich schützen, um es vor möglichen Angriffen zu bewahren, bevor die Aktualisierungen installiert sind. Dazu gehören beispielsweise eine externe Firewall, eine hostbasierte Firewall (wie iptables, ipchains und/oder TCP-Wrapper), das Vermeiden riskanter Aktivitäten (wie Surfen im Internet, E-Mail-Lesen usw.) und die Überwachung des Systems auf Eindringversuche (mithilfe von Systemprotokoll-Checkern, Intrusion-Detection-Systemen, Authentifizierungs- oder Anmeldeüberwachung usw.).

Want to help? Learn how to contribute to Fedora Docs