Softwareverteilung unter Linux: apt, yum, Ansible

Softwareverteilung unter Linux

Während Windows-Verteilung in L4 stark auf GUI-Tools wie WSUS oder Intune setzt, läuft es in der Linux-Welt komplett anders: Paketmanager auf der Kommandozeile. Eine zentrale Stärke von Linux ist das Repository-System – jede Distro hat einen Paketmanager der tausende Pakete aus offiziellen Servern installieren kann, mit automatischer Dependency-Auflösung.

Diese Lektion zeigt die wichtigsten Paketmanager: apt (Debian/Ubuntu), dnf/yum (Red Hat/Fedora) und zypper (OpenSUSE). Plus: wie konfiguriert man eigene Repositories, wie baut man eigene Pakete, und wo passt Ansible ins Bild?

1) Distributions-Familien und ihre Paketmanager

Linux-Distributionen sind nicht alle gleich – sie unterscheiden sich besonders in den Paketformaten und -tools. Hier die wichtigsten Familien:

Die wichtigsten Distros und ihre Tools

Debian-Familie

.deb · dpkg / apt

Debian, Ubuntu, Linux Mint, Kali Linux, Raspberry Pi OS, Pop!_OS, Elementary OS

Red-Hat-Familie

.rpm · rpm / dnf / yum

RHEL, Fedora, CentOS Stream, AlmaLinux, Rocky Linux, Oracle Linux, Amazon Linux

SUSE-Familie

.rpm · rpm / zypper

OpenSUSE Leap/Tumbleweed, SUSE Linux Enterprise Server (SLES)

Arch-Familie

.pkg.tar.zst · pacman

Arch Linux, Manjaro, EndeavourOS

In Unternehmen am häufigsten: Ubuntu Server, Debian, RHEL und Rocky Linux. Als FISI musst du mindestens apt und dnf gut beherrschen. Mehr zu Linux-Grundlagen in K29.

2) apt: der Debian/Ubuntu-Paketmanager

apt (Advanced Package Tool) ist der Paketmanager der Debian-Familie. Bei einer frischen Ubuntu-Installation läuft die typische Software-Installation so ab:

apt in Aktion auf Ubuntu

$ sudo apt update Hit:1 http://archive.ubuntu.com/ubuntu noble InRelease Get:2 http://archive.ubuntu.com/ubuntu noble-security InRelease [110 kB] Get:3 http://archive.ubuntu.com/ubuntu noble-updates InRelease [110 kB] Reading package lists... Done $ sudo apt install nginx Reading package lists... Done The following additional packages will be installed: libnginx-mod-* nginx-common nginx-core Suggested packages: fcgiwrap nginx-doc ssl-cert The following NEW packages will be installed: nginx nginx-common nginx-core libnginx-mod-http-geoip2 After this operation, 5234 kB of additional disk space will be used. Do you want to continue? [Y/n] Y ... ✓ Setting up nginx (1.24.0-1ubuntu1) ... ✓ Created symlink /etc/systemd/system/.../nginx.service Processing triggers for man-db (2.12.0-4) ... $ sudo systemctl status nginx ● nginx.service - A high performance web server Active: active (running) since Mon 2026-05-18 14:32:01 CEST

Drei wichtige Schritte: apt update aktualisiert die Paketlisten (welche Pakete gibt's in welchen Versionen?). apt install nginx installiert. Das System löst automatisch alle Dependencies auf, fragt nach Bestätigung, und installiert. Mit -y wird die Frage übersprungen – wichtig für Skripte.

3) Die wichtigsten apt-Befehle

Das Mindestrepertoire das du als FISI beherrschen solltest:

apt-commandsBash

1# Paketlisten aktualisieren
2sudo apt update
3
4# Installiere Paket
5sudo apt install nginx
6
7# Skript-friendly: keine Bestätigung
8sudo apt install -y nginx php-fpm mariadb-server
9
10# Paket suchen
11apt search docker
12
13# Paket-Info anzeigen
14apt show nginx
15
16# Alle installierten Pakete updaten
17sudo apt upgrade -y
18
19# Sicherheits-Updates only
20sudo unattended-upgrade
21
22# Paket entfernen (Configs bleiben)
23sudo apt remove nginx
24
25# Paket inkl. Configs entfernen
26sudo apt purge nginx
27
28# Verwaiste Dependencies entfernen
29sudo apt autoremove
30
31# Welche Pakete sind installiert?
32dpkg -l | grep nginx
33
34# Welche Dateien hat ein Paket?
35dpkg -L nginx

Wichtig zu wissen: apt update ≠ apt upgrade. Das eine aktualisiert die Liste, das andere die Pakete selbst. Häufiger Anfängerfehler.

4) dnf / yum: Red-Hat-Welt

Die Red-Hat-Familie nutzt RPM als Paketformat, und der Manager ist dnf (Dandified yum) auf modernen Systemen oder yum auf alten. Beide haben praktisch dieselbe Syntax – yum ist der Vorgänger:

dnf in Aktion auf Fedora/RHEL

# dnf install nginx Last metadata expiration check: 0:32:12 ago Dependencies resolved. ================================================================ Package Architecture Version Repository ================================================================ Installing: nginx x86_64 1:1.24.0-2 appstream Installing dependencies: nginx-core x86_64 1:1.24.0-2 appstream nginx-filesystem noarch 1:1.24.0-2 appstream Transaction Summary ================================================================ Install 3 Packages Total download size: 1.5 M Installed size: 4.3 M Is this ok [y/N]: y ... ✓ Complete!

Sehr ähnlicher Ablauf wie apt. Schritte: Repository checken, Dependencies auflösen, fragen, installieren. dnf update aktualisiert alle Pakete (Achtung: anders als bei apt, wo „update" nur die Liste aktualisiert!). Diese Verwechslungsgefahr zwischen apt-update und dnf-update ist ein klassischer Stolperstein.

5) zypper: OpenSUSE und SLES

OpenSUSE und SUSE Linux Enterprise nutzen zypper als Paketmanager. Auch RPM-basiert wie dnf, aber eigene Syntax. In deutschen Unternehmen ist SUSE traditionell verbreitet:

zypper-commandsBash

1# Paket installieren
2sudo zypper install nginx
3# oder kürzer: zypper in nginx
4
5# Listen aktualisieren
6sudo zypper refresh        # oder: zypper ref
7
8# Alle Pakete updaten
9sudo zypper update          # oder: zypper up
10
11# Komplettes Distro-Upgrade
12sudo zypper dist-upgrade    # oder: zypper dup
13
14# Paket entfernen
15sudo zypper remove nginx    # oder: zypper rm
16
17# Suchen
18zypper search docker        # oder: zypper se docker

Zypper hat einige Besonderheiten: Patches als spezielle Kategorie (statt nur Pakete) und sehr starkes Repository-Management. Bei SLES (Enterprise) gibt es zusätzliche Werkzeuge wie SUSE Manager für zentrale Verwaltung.

6) Befehle im direkten Vergleich

Die typischen Aktionen über alle drei Paketmanager hinweg:

apt vs. dnf vs. zypper – Cheat-Sheet

apt (Ubuntu)

dnf (Fedora/RHEL)

zypper (SUSE)

Listen aktualisieren

apt update

dnf check-update

zypper refresh

Paket installieren

apt install foo

dnf install foo

zypper install foo

Alle updaten

apt upgrade

dnf upgrade

zypper update

Paket entfernen

apt remove foo

dnf remove foo

zypper remove foo

Suchen

apt search foo

dnf search foo

zypper search foo

Paket-Info

apt show foo

dnf info foo

zypper info foo

Was ist installiert?

dpkg -l

rpm -qa

zypper se -i

Die Befehle sind sich erstaunlich ähnlich. Mit etwas Übung kann man problemlos zwischen den Welten wechseln. Wichtig: bei kritischen Skripten nicht mit Bestätigungs-Fragen arbeiten – immer -y (apt/dnf) oder -n (zypper) verwenden.

7) Repositories konfigurieren

Manchmal sind Pakete nicht in den Standard-Repos. Dann muss man externe Repositories einrichten. Beispiel: aktuelle Docker-Version unter Ubuntu installieren – die ist nicht in den Standard-Ubuntu-Repos, sondern bei Docker selbst.

Beispiel: Docker-Repository auf Ubuntu einrichten

$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | \ sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg [lädt GPG-Schlüssel und legt ihn ab] $ echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/docker.gpg] \ https://download.docker.com/linux/ubuntu noble stable" | \ sudo tee /etc/apt/sources.list.d/docker.list [fügt Repository in sources.list.d hinzu] $ sudo apt update Get:1 https://download.docker.com/linux/ubuntu noble InRelease Reading package lists... Done $ sudo apt install docker-ce docker-ce-cli containerd.io [installiert Docker aus dem Docker-Repository]

Drei Schritte: GPG-Key importieren (damit Pakete-Signaturen geprüft werden können), Repository-URL in /etc/apt/sources.list.d/ eintragen, apt update + install. Bei RHEL/Fedora ähnliches Schema mit /etc/yum.repos.d/. Mehr zu Repositories: jeder Linux-Server hat unzählige davon konfiguriert.

8) Eigene .deb- oder .rpm-Pakete bauen

Manchmal musst du eigene Pakete erstellen – z.B. wenn du eigene Software ausrollst, die nicht im offiziellen Repo ist. Es gibt zwei Hauptansätze: klassisches Tooling (komplex) oder fpm (einfacher Wrapper).

Mit fpm ein .deb-Paket bauen

Verzeichnis-Struktur vorbereiten: Dateien legen die in der Installation an die richtigen Stellen kommen sollen. Beispiel: ./build/usr/local/bin/myapp

fpm aufrufen: fpm -s dir -t deb -n myapp -v 1.0 --depends "libssl1.1" ./build/=/

Ergebnis: myapp_1.0_amd64.deb – installierbar mit sudo dpkg -i myapp_1.0_amd64.deb

Optional: gleiches Skript baut auch .rpm: -t rpm statt -t deb. Praktisch für Multi-Distro-Releases.

Mit klassischen Tools wie dpkg-deb oder rpmbuild hast du mehr Kontrolle, aber auch deutlich mehr Aufwand (eigene .spec-Files, debian/-Verzeichnisse, Build-Skripte). Für die meisten Fälle reicht fpm – gem install fpm und los geht's. Mehr zu Paketformaten in L3.

9) Massen-Verteilung: Ansible für Linux

Während Windows mit WSUS/Intune/PDQ arbeitet, ist die Standardantwort für Linux: Ansible. Ein Ansible-Playbook kann hunderte Linux-Server gleichzeitig mit Paketen versorgen:

install-stack.ymlAnsible Playbook

1- name: Web-Stack auf allen Servern installieren
hosts: webservers
become: true
tasks:
  - name: Apt-Cache aktualisieren
    apt:
      update_cache: yes
      cache_valid_time: 3600
9
  - name: Pakete installieren
    apt:
      name:
        - nginx
        - php-fpm
        - mariadb-server
        - redis-server
      state: present
18
  - name: Services starten und aktivieren
    service:
      name: "{{ item }}"
      state: started
      enabled: yes
    loop: [nginx, php-fpm, mariadb, redis-server]

📌 Ansible-Vertiefung

Die Ansible-Module apt, dnf, yum, zypper und package (distro-agnostisch) sind idempotent – mehrfach laufen lassen ist sicher. Die ausführliche Behandlung von Ansible mit Inventory, Roles, Templates und Handlers findest du in K55 L7 Ansible Playbooks. Hier nur kurz als Vorschau, weil's Teil der Software-Verteilung ist.

10) Unattended Upgrades

Ein wichtiger Mechanismus für Linux-Server: automatisches Sicherheitsupdate. Statt manuell jeden Server zu patchen, läuft im Hintergrund ein Dienst der Sicherheitsupdates automatisch installiert.

Bei Ubuntu/Debian heißt das unattended-upgrades. Konfiguration in /etc/apt/apt.conf.d/50unattended-upgrades festlegen welche Updates automatisch laufen (typisch: nur „-security"). Bei RHEL/Fedora gibt's dnf-automatic, ähnliches Konzept.

Trade-off: schnelle Sicherheits-Updates vs. Risiko unkontrollierter Änderungen. Best Practice: nur Security-Updates automatisch, Feature-Updates manuell und nach Test.

11) Universelle Paketformate: Snap, Flatpak, AppImage

Klassisch sind apt/dnf/zypper distro-spezifisch. Es gibt aber drei moderne Alternativen die distro-übergreifend funktionieren:

Format	Treiber	Charakter
Snap	Canonical (Ubuntu)	Auto-Updates, Sandboxing, eigener Store, kontrovers wegen Performance
Flatpak	Red Hat / Community	Standard bei Fedora-Desktop, Flathub als großer Store, Sandboxing
AppImage	Community	Einzelne ausführbare Datei, keine Installation nötig, einfach chmod und ausführen

Diese Formate enthalten alle Dependencies – Snap-Paket von Firefox läuft auf Ubuntu, Fedora, OpenSUSE, Arch – egal welche Library-Versionen das System hat. Trade-off: jedes Paket bringt eigene Bibliotheken mit (mehr Festplatte, mehr Sicherheits-Updates), aber dafür funktioniert es immer.

Im Server-Bereich werden diese Formate selten genutzt – da ist klassisches apt/dnf der Standard. Auf Linux-Desktops aber zunehmend beliebt.

12) Spacewalk und Satellite: zentrale Verwaltung

Im Enterprise-Bereich gibt es Tools für zentrale Linux-Paket-Verwaltung – analog zu WSUS bei Windows:

Spacewalk: Open-Source-Projekt für RHEL/CentOS-Pakete. Etwas in die Jahre gekommen.
Red Hat Satellite: kommerzielle Variante von Red Hat. Sehr mächtig, aber teuer.
Foreman: Open-Source-Alternative für Provisioning + Konfig-Management.
SUSE Manager: Pendant für SUSE-Systeme.
Landscape: Canonicals Tool für Ubuntu-Management.

Diese Tools sind die „Server-Verwaltungs-Konsolen" der Linux-Welt – wer hat welche Pakete, welche Updates fehlen, welche Compliance-Probleme gibt's. In Konzern-Umgebungen Standard, in kleinen Setups nutzt man eher Ansible.

13) Best Practices

Aus der Praxis – was du beachten solltest:

Immer erst apt/dnf update: Paketlisten aktuell halten
Skripte mit -y: keine Bestätigungs-Fragen in Automation
GPG-Keys prüfen: externe Repos nur mit verifizierten Signaturen
Testing zuerst: nie direkt auf Production-Server, immer Staging
Reboot-Politik: nach Kernel-Updates Reboot nötig – Wartungsfenster
Backup vor Major-Upgrade: dist-upgrade oder do-release-upgrade ist heikel
Logs: /var/log/apt/history.log oder /var/log/dnf.log für Audit-Trail
Unattended-upgrades für Security: schnelle Patches
Konfig-Dateien sichern: apt remove behält Configs (gut), purge löscht alles (Vorsicht)
Repository-Mirror für air-gapped Netzwerke (z.B. mit apt-mirror)

Zusammenfassung

Software-Verteilung unter Linux läuft über distro-spezifische Paketmanager auf der Kommandozeile. apt für Debian/Ubuntu, dnf/yum für RHEL/Fedora, zypper für SUSE. Alle haben sehr ähnliche Befehle: install, remove, update, search. apt update ≠ apt upgrade: ersteres aktualisiert Listen, zweites Pakete. Externe Repositories mit GPG-Key in /etc/apt/sources.list.d/ oder /etc/yum.repos.d/. Eigene Pakete bauen mit fpm (einfach) oder dpkg-deb/rpmbuild (klassisch, komplex). Für Massen-Verteilung auf vielen Linux-Servern: Ansible als Standard (Vertiefung in K55 L7). Unattended Upgrades für automatische Sicherheits-Patches. Universelle Formate Snap/Flatpak/AppImage für Desktop, klassisch Server. Enterprise-Tools Spacewalk, Satellite, Foreman, SUSE Manager. Best Practice: Test vor Production, Backups, gute Repo-Hygiene.