Werbung
installed 4.1.2.2 # Ensure audit logs are not automatically deleted 4.1.2.3
# Ensure system is disabled when audit logs are full 1.1.10 # Disable
USB Storage 2.1.3.1 # Ensure systemd-timesyncd configured with authorized
timeserver 2.1.3.2 # Ensure systemd-timesyncd is enabled and running 2.1.4.1
# Ensure ntp access control is configured 2.1.4.2 # Ensure ntp is configured
with authorized timeserver 2.1.4.3 # Ensure ntp is running as user ntp 2.1.4.4
# Ensure ntp is enabled and running
2.2.16.6
Update und Patching
Es ist notwendig, das System auf dem neuesten Stand zu halten. Um die installierten Linux-Pakete und den
Kernel zu aktualisieren, werden zwei Möglichkeiten empfohlen:
•
Vollständiges Offline-Update über Medium (z. B. USB-Stick)
•
Mirror-Update
HINWEIS
i
i
Siemens empfiehlt lediglich, nur Kernel-Versionen zu verwenden, die in unserem Systemtest getestet
wurden. Daher wird gezeigt, wie man automatische Kernel-Updates zurückhält und wie man sie manuell
durchführt.
Komplettes Offline-Update
Mit dem Offline-Update ist es möglich, Updates per USB-Stick an die IPCs zu verteilen, auf denen die SICAM 8
Software Solution läuft. Für dieses Verfahren wird die „apt-offline"-Funktion von Linux verwendet.
„Apt-offline" ist ein Tool für Debian-basierte Systeme, mit dem Sie Softwarepakete auf einem Computer
ohne aktive Internetverbindung (SICAM 8 Software Solution-Host) aktualisieren und installieren können.
Dabei wird eine Liste der benötigten Paketaktualisierungen erstellt, die Sie dann auf einem separaten Online-
Rechner herunterladen können. Sie übertragen die heruntergeladenen Pakete auf die Offline-Debian-Installa-
tion (SICAM 8 Software Solution-Host) und verwenden apt-offline, um die Updates anzuwenden. Dies ist
besonders nützlich für Systeme, die nicht immer mit dem Internet verbunden sind, sodass Sie die Software
ohne direkten Online-Zugriff auf dem neuesten Stand halten können.
Weitere Informationen zu apt-offline finden Sie hier: https://wiki.ubuntuusers.de/apt/apt-offline/
Voraussetzungen für die Nutzung von „apt-offline":
•
Ein Debian-PC, der mit dem Internet verbunden ist.
•
USB-Stick zum Verteilen der Updates.
Funktionalität von „apt-offline"
Die Update-Infrastruktur besteht aus:
•
Der Update-Server mit Online-Verbindung → auf diesem Server läuft KEINE SICAM 8 Software Solution
•
Ein oder mehrere Hosts, auf denen die SICAM 8 Software Solution läuft → sie haben keine Verbindung
zum Internet.
Auf beiden Hosts ist das Feature „apt-offline" installiert.
Um die SICAM 8 Software Solution Hosts zu aktualisieren, müssen folgende Schritte durchgeführt
werden:
1. Erzeugen Sie eine signierte Datei für das Update auf dem SICAM 8 Software Solution Host und
speichern Sie diese auf dem USB-Stick.
2. Stecken Sie den USB-Stick auf den Update-Server mit Online-Verbindung.
3. Laden Sie die Updates vom Online-Debian-Repository auf den Update-Server herunter. Diese
Updates werden mit der Signaturdatei vom SICAM 8 Software Solution Host verknüpft. Die
Ausgabe ist ein Update-Archiv.
SICAM 8 Serie, Administrator Security, Handbuch
DC8-132-2, Ausgabe 11.2023
Maßnahmen zur Systemhärtung
2.2 SICAM 8 Serie
37
Werbung
