Der SuSE Linux Enterprise Server ist eine schlanke, stabile Distribution, nicht nur für den Einsatz in Großunternehmen. Das Maintainance Web vereinfacht die Wartung und Aktualisierung des Systems.

Mit seiner Enterprise-Edition hat der Nürnberger Distributor eine Linux-Plattform für alle Serverlinien von IBM im Portfolio – Big Blue wird’s freuen. Aber natürlich ist der Einsatz nicht auf IBM-Hardware beschränkt.

Stellt sich die Frage, was den nicht gerade niedrigen Preis von 750 Euro rechtfertigt. Zunächst ist SuSE Enterprise zertifiziert für Oracle und SAP R3, richtet sich also an Unternehmen, die sich auch diese Software leisten können, da fällt die Rechnung aus dem Frankenland kaum ins Gewicht. Aber auch anderen Anwendern verspricht der Hersteller damit ein stabiles, verlässliches System ohne Kinderkrankheiten.

Beim Lieferumfang ist SuSE über seinen Schatten gesprungen und verfährt erstmals nach dem Motto “Weniger ist mehr”. 550 Pakete auf zwei CDs, dazu eine Patch-CD, ein Administrations- und ein Know-how-Handbuch finden sich im Paket. Magere 30 Tage Installationssupport gewährt SuSE dem Käufer. Das Administrationshandbuch hingegen entpuppt sich als echtes Schmuckstück. Sehr übersichtlich sind die Konfigurationsdateien und Optionen wichtiger Dienste beschrieben.

SuSE Enterprise basiert auf der Professional-Version 7.2 mit wenigen Anpassungen, entsprechend zeigen sich auch keine Unterschiede bei Installation, Konfiguration oder Administration. Die Enterprise-Ausgaben für alle verfügbaren Plattformen haben eine gemeinsame, von der Professional abweichende Quellcode-Basis, was Updates für den Hersteller vereinfacht und für den Kunden transparenter macht.

Robert Amper alias Captain Norad vor der neuen Filmkulisse des Raumschiffs U.S.S. Highlander.

Neue und alte Pakete

Ein Paket-Vergleich zwischen der Enterprise und der Professional 7.2 zeigt: Einzig das Paket »cyrus-imapd« ist bei Enterprise neu und bei immerhin 75 Paketen setzt SuSE Enterprise eine neuere Version ein als die 7.2, darunter Kernel, Samba und Yast 2. Die restlichen 473 Binärpakete der Enterprise haben lediglich eine andere Revisionsnummer als die der Professional, sie wurden teilweise für die Zertifizierung gepatcht.

Die zum Test verwendete Version vom Januar 2002 ist mit Kernel 2.4.7, Open-SSH 2.9p1 und Glibc 2.2.2 schon stark angegraut, auf der mitgelieferten Patch-CD befindet sich nur ein verloren wirkendes Java-Update-Paket. Schön wäre eine wirkliche Patch-CD mit den beim Kauf verfügbaren Updates gewesen. Mit etwas Mühe könnte man sie sogar zur Installations-CD ausgestalten, die ohne anschließendes Update ein aktuelles System installiert.

Allein der Sicherheit zuliebe sollte man unmittelbar nach der Installation ein Online-Update fahren oder die Patches per Hand einspielen. SuSE stellt hierfür einen geschützten Bereich auf seinem Webserver bereit, Maintainance Web genannt. Das ist neben der Zertifizierung der eigentliche Mehrwert der Enterprise Edition. Obwohl auch diese Ausgabe – wie alle SuSE-Distributionen – im Unternehmen beliebig kopiert werden kann, ist der Zugang zum Maintainance Web an die Bedingung geknüpft, für jeden damit gewarteten Server ein Paket gekauft zu haben.

Um auf den Maintenance-Bereich zugreifen zu können, ist zunächst eine Registrierung bei SuSE erforderlich. Dabei ist SuSE nicht kleinlich, was die anzugebenden Daten betrifft, neben Namen und Adresse werden auch Telefonnummer und Mail-Adresse abgefragt. Anschließend kann ein Passwort angefordert werden, das über die angegebene Mail-Adresse zugestellt wird.

Der Zugang zum Maintainance Web ist für die Administratoren obligatorisch – dort stellt SuSE Patches sowie Informationen zu den Updates und den damit geschlossenen Sicherheitslücken zur Verfügung. Auch das Tool You (Yast Online Update) sollte darauf zugreifen, um das System zu aktualisieren.

Yast Online Update updaten

Hier ist jedoch eine Falle versteckt. Die ausgelieferte Version von You kann das Maintainance Web nämlich nicht nutzen und verwendet standardmäßig [ftp://ftp.suse.com]. Fatalerweise hat SuSE zudem vergessen, den Update-Pfad anzupassen – You glaubt, auf einer SuSE Professional 7.2 zu arbeiten und bedient sich aus dem entsprechenden Update-Pfad. Setzt der Administrator das Update fort, installiert You auf Gedeih und Verderb die Pakete der Professional 7.2 über die Enterprise-Pakete. Beim derzeitigen Umfang mit Libc, unterschiedlichen Sicherheitsdiensten und Kernelmodulen wird damit die teuer erkaufte Zertifizierung hinfällig.

Um das zu vermeiden, muss You unbedingt vor dem ersten Online-Update aktualisiert werden. Im Maintenance- Bereich sind die beiden nötigen Pakete benannt, es handelt sich um [http://sdb.suse.de/download/i386/update/SuSE-SLES/7/yast1/yast2-core-pkginfo.rpm] sowie [http://sdb.suse.de/download/i386/update/SuSE-SLES/7/yast1/yast2-config-online-update.rpm]. Die Enterprise-Updates liefert SuSE übrigens nicht per FTP von [ftp.suse.com] sondern vom Support-Server [sdb.suse.de] über HTTP. Offenbar unterscheiden sich die Pakete des HTTP-Servers meist nur im Erstellungsdatum von den Professional-Updates des FTP-Servers. Wir haben uns exemplarisch die Unterschiede des Open-SSH-Pakets sowie des Glibc-Updates angesehen.

You angreifbar

Das Paket-Update mittels You ist bei allen SuSE-Distributionen prinzipiell angreifbar. Bei Linux Enterprise konnten wir mit IP- oder DNS-Spoofing veraltete Pakete als nagelneu unterschieben, ohne dass der Administrator die Möglichkeit hatte, dies zu bemerken.

You verwendet für den gesamten Update-Prozess eine ungesicherte FTP- oder HTTP-Verbindung, standardmäßig zum SuSE-Server [ftp://ftp.suse.com]. Dort werden alle Dateien des Verzeichnisses »/pub/suse/i386/update/7.2/patches« abgerufen: Es handelt sich dabei um Text-Dateien, die – unter anderem – Namen, mehrsprachige Beschreibung, Größe, Prüfsumme und den relativen Download-Pfad des jeweiligen Update-Pakets enthalten.

Um das Einspielen gefälschter Pakete zu unterbinden, prüft You die RPMs – bei Paketen ohne SuSE-Signatur erhält der Admin eine entsprechende Meldung. Völlig unbeachtet bleiben zurzeit aber Version, Größe und Prüfsumme des RPMs. So gelang es uns durch das Anlegen eines symbolischen Links und DNS-Spoofing, You ein veraltetes und anfälliges OpenSSH-Paket aus der SuSE 7.1 von unserem FTP-Server unterzuschieben. Es können auch Pakete mit völlig anderem Namen sein, in den Logs von You ist der Schwindel nicht zu erkennen, nur die manuelle Kontrolle der RPM-Datenbank hilft.

Auf dieses Problem hingewiesen versprach SuSE, künftig auch die Beschreibungsdateien zu signieren und zusätzliche Informationen wie Version und Prüfsumme abzufragen, womit der hier beschriebene Angriff nicht mehr funktioniert (siehe Kasten). Apropos Signatur: Am 19. Oktober wird der bisherige Schlüssel ungültig, spätestens dann steht ohnehin ein You-Update an.

Fazit

Mit der Enterprise Server 7 bietet SuSE eine erprobte und stabile Plattform – ein Kontrast zum üblichen Boxen-Geschäft, dass derzeit bei allen Distributoren unter chronischer Featuritis und akuter Versions-Inflation leidet. Bei älteren Paketen sind die meisten Probleme und Beschränkungen bekannt, der Administrator kann sich darauf einstellen. Überraschungen gibt es nur selten.

Insbesondere im Unternehmenseinsatz spielt die Zertifizierung eine große Rolle. Der Support für bestimmte Hard- und Software-Kombinationen ist nur mit einem vom jeweiligen Hersteller zertifizierten Betriebssystem erhältlich. Je nach Ausschreibung wird eine solche Zertifizierung sogar von vielen Kunden verlangt – mit der SuSE Enterprise Server 7 hält Linux also auch in diesem Bereich Einzug.

Das Maintenance Web ist eine große Hilfe für gestresste Administratoren – SuSE stellt alle Enterprise betreffenden Meldungen samt Patches übersichtlich zusammen. Auf unserer Wunschliste stehen – nach dem Beheben der Sicherheitslücken beim Update – nur die Lieferung einer Update-CD beim Kauf, mehr Admin-Tools und ein längerer Installations-Support.