====== Satellitenserver Systemupdates ====== 

Der Satellitenserver sollte wie jeder Server regelmäßig mit System- und Sicherheitsupdates versorgt werden. Dies kann entweder manuell oder (teil-)automatisiert erfolgen.

===== Manuelles Updaten über die Weboberfläche =====

Gehen Sie in der Weboberfläche des Satellitenservers auf **'System-Status' -> 'System-Updates'** (ab Sat v3.11). Klicken Sie auf 'Auf Updates prüfen', um die Paketlisten zu aktualisieren. Das Aktualisieren der Quellen bzw. die Prüfung auf Updates installiert diese noch nicht!

Wenn Updates zur Verfügung stehen, werden diese angezeigt und können mittels **'Update durchführen'** installiert werden.


===== Automatische Updates (unattended-upgrades) =====

Bei der Erstinstallation des Satellitenservers wurden Sie gefragt, ob Sie automatische Updates aktivieren möchten. Falls Sie dies mit 'Nein' beantwortet haben, können Sie dies bei Bedarf auch nachträglich nachholen. Der Vorteil von automatischen Updates ist, dass Sie sich nicht selbst darum kümmern müssen. Umgekehrt besteht dadurch immer eine gewisse Gefahr, dass auch 'fehlerhafte' Updates eingespielt werden.

  - Installieren Sie das Paket 'unattended-upgrades' auf dem Satellitenserver <code>
sudo apt update && sudo apt install -y unattended-upgrades
</code>
  - Legen Sie die Datei ''/etc/apt/apt.conf.d/99update-config'' mit folgendem Inhalt an: <code php>
// Updates aktivieren
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

// Wenn ein Paket nicht sauber installiert wird, Installation erneut
// versuchen, und alte Paketkonfiguration beibehalten.
Unattended-Upgrade::AutoFixInterruptedDpkg "true";

// Macht den Updatevorgang langsamer, aber robuster
Unattended-Upgrade::MinimalSteps "true";

// Alte Kernelversionen automatisch deinstallieren
Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Wenn nach einem Update Pakete nicht mehr benötigt werden, diese automatisch deinstallieren
//Unattended-Upgrade::Remove-New-Unused-Dependencies "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";

// Automatisch rebooten, wenn ein Paket dies nach dem Update erfordert?
Unattended-Upgrade::Automatic-Reboot "false";

// ... Reboot auch durchführen, wenn jemand auf dem Server eingeloggt ist? (SSH, Terminal)
Unattended-Upgrade::Automatic-Reboot-WithUsers "false";

// Uhrzeit, zu der bei erforderlichem Reboot neugestartet werden soll.
// Der Wert "now" führt den Reboot unverzüglich durch.
Unattended-Upgrade::Automatic-Reboot-Time "02:00";
</code>

Die Optionen können Sie bei Bedarf natürlich anpassen. Weitere Informationen finden Sie u.a. unter [[https://wiki.debian.org/UnattendedUpgrades]].

===== Mirror (Update-Server) ändern =====

Normalerweise werden Aktualisierungen von den offiziellen Debian-Mirrors geladen. Sollten Sie, z.B. aufgrund von Firewallrichtlinien, die Nutzung eines expliziten Mirrors erzwingen wollen, können Sie dies über die Datei ''/etc/apt/sources.list'' erreichen. Diese sieht z.B. so aus:

<code>
deb http://ftp.fau.de/debian/ bookworm main contrib non-free non-free-firmware
deb http://ftp.fau.de/debian/ bookworm-updates main contrib non-free non-free-firmware

deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
</code>

oder so

<code>
deb http://ftp.halifax.rwth-aachen.de/debian/ bookworm  main

deb http://security.debian.org/ bookworm/updates main

# bookworm-updates, previously known as 'volatile'
deb http://ftp.halifax.rwth-aachen.de/debian/ bookworm-updates main
</code>

oder so

<code>
deb http://deb.debian.org/debian bookwormmain
deb http://security.debian.org/debian-security bookworm-security main
deb http://deb.debian.org/debian bookworm-updates main
deb http://deb.debian.org/debian bookworm-backports main
</code>

In den ersten beiden Beispielen werden spezifische Paket-Mirrors benutzt (''%%ftp.fau.de%%'' und ''%%ftp.halifax.rwth-aachen.de%%''). Diese haben aktuell (Stand 13.07.2023) genau je eine fixe IPv4/IPv6-Adresse, welches ein Whitelisting in der Firewall einfach macht. ''deb.debian.org'' hingegen ist ein CDN((Content Delivery Network - https://de.wikipedia.org/wiki/Content_Delivery_Network)), sodass sich die zugehörige IP-Adresse regelmäßig ändert. Eine Liste aller Mirrors findet sich unter https://www.debian.org/mirror/list – die oberste Liste sind DNS-Round-Robin Einträge pro Land, wenn Sie weiter herunterscrollen, finden Sie die einzelnen Mirrors nach Ländern gruppiert.

Zum Ändern des verwendeten Mirrors editieren Sie ihre ''sources.list'' und ändern die URL der  Zeilen, die ''deb.debian.org'' als Quelle enthalten. Der Eintrag für die Security-Updates (''security.debian.org'') kann nicht geändert werden, da dieser für die schnelle Verbreitung von wichtigen Updates verwendet wird und nicht gemirrort wird. Die Mirrors können teilweise bis zu 24h verzögert sein, liefern aber am Ende auch alle Security-Updates aus.

Sollten Sie in der Datei Zeilen haben, die mit ''deb-src'' beginnen, können Sie diese entfernen - diese sind für den Betrieb nicht notwendig, da sie lediglich den Quellcode für Pakete zur Verfügung stellen.

Wenn Sie ein System wünschen, das **nur** Sicherheitsupdates einspielt, und keine allgemeinen Updates die Bugs oder Stabilitätsprobleme beheben, können Sie die Datei auf genau eine Zeile kürzen:
<code>
deb http://security.debian.org/debian-security bookworm-security main
</code>
Achten Sie Darauf, dass Sie den richtigen Code-Namen für Ihre Debian-Version verwenden, im Beispiel hier **bookworm**.