<div><font face="Arial">Pod to se podepíšu, například PHP 5.4 je prostě zabugované a nikdo to neřeší, přestože je to ve stable wheezyho, stejně jako nginx v něm. Updatovat takovéhle věci automaticky je podrážení si nohou.</font>
                </div>
                <div><div><br></div><div><div style="font-size: 10pt; ">Vojtěch Knyttl | GoOut</div><div><font size="1"><br></font></div><div><font size="1">knyttl@goout.cz</font></div><div style="font-size: 10pt; "><font size="1">+420 607 008 510</font></div><div style="font-size: 10pt; "><font size="1"><a href="http://goout.cz" style="color: rgb(0, 106, 227); ">http://goout.cz</a></font></div></div></div>
                 
                <p style="color: #A0A0A8;">On Thursday, November 28, 2013 at 3:22 PM, Robin Obůrka wrote:</p>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div>Ahoj,</div><div>já si jen dovolím jednu malou poznámku.</div><div><br></div><div>Mám takový pocit, že se poměrně důrazně nedoporučuje dělat automatické</div><div>aktualizace. Že vždycky by se měl člověk pečlivě koukat jestli se něco</div><div>nerozbilo, jestli není před aktualizací potřeba nějaký další úkon apod.</div><div><br></div><div>Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace není úplně</div><div>dobrý zvyk a že bychom asi neměli masivně podporovat špatné zvyky. Jestli by</div><div>nebylo lepší sepsat nějaký návod, "jak se nechovat nebezpečně" a k aktualizacím</div><div>se postavit několika radami.</div><div><br></div><div>1) pravidelně je kontrolovat</div><div>2) pokud jsem moc líný, tak něco "jsou nějaké dostupné?" nechat cronem posilat</div><div>na email jednou za.. .den, 2, 3?</div><div>3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat do security mailing</div><div>listu příslušné distribuce.</div><div><br></div><div>Moje interakce se serverem je poměrně dost častá, takže nemám problém</div><div>aktualizace zjišťovat často, navíc jsem zaregistrovaný v mailing listu, takže</div><div>jakákoliv kritická aktualizace je u mě nasazena v řádu minut až hodin. Nemám</div><div>pocit, že by mě to stálo nějaký čas, ale chápu, že spousta lidí chce ať to</div><div>funguje a nemusím o tom vědět - ale... asi bych na to opravdu nešel</div><div>automatickými aktualizacemi, člověk pak neví co se na serveru vlastně děje a to</div><div>může časem vyvrcholit v ještě větší bezpečnostní problém.</div><div><br></div><div>Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace se nedají</div><div>provést přes upgrade, ale je potřeba dist-upgrade. A ten doinstalovává nově</div><div>vzniklé neodsouhlasené závislosti, které se tímto v podstatě odsouhlasí. Takže</div><div>buď časem nutně některé aktualizace uváznou při čekání na dist-upgrade, nebo</div><div>automaticky nechám tahat nové závislosti a netuším co nového - co by případně</div><div>vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na serveru zjevilo.</div><div>A ano, šance, že se něco takového nebezpečného objeví je asi velmi malá, ale</div><div>není to zase sci-fi, dle mého názoru.</div><div><br></div><div>Já jen jestli by tohle nestálo za úvahu.</div><div><br></div><div>R. O.</div><div><br></div><div>Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):</div><blockquote type="cite"><div><div>No, aby me zas nekdo nebral doslovne - ty technologie, co pise Standa i jini,</div><div>maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu,</div><div>dokud vsichni nebudou splnovat aspon ta minima :)</div><div><br></div><div>Kdo mate na VPS automaticke aktualizace?</div><div><br></div><div>Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge Base? Nabizim</div><div>mesic clenstvi gratis, pripadne nejake misto na NASu :)</div><div><br></div><div>S pozdravem,</div><div><br></div><div>Pavel Snajdr</div><div><br></div><div>Odeslano z mobilniho zarizeni.</div><div><br></div><div>On 28 Nov 2013, at 09:39, Pavel Snajdr <<a href="mailto:snajpa@snajpa.net">snajpa@snajpa.net</a></div><div><<a href="mailto:snajpa@snajpa.net">mailto:snajpa@snajpa.net</a>>> wrote:</div><div><br></div><blockquote type="cite"><div><div>Ahoj,</div><div><br></div><div>3x ne :)</div><div><br></div><div>Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja chapu, ze</div><div>tyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsou</div><div>zpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni</div><div>- aktualizujte.</div><div><br></div><div>Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti, vsechno jsou to</div><div>trapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujceny</div><div>pristup takovym "co s tim linuxem, teda jako taky umi".</div><div><br></div><div>Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny lidi - ti co</div><div>neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji si</div><div>praci zbytecnou paranoiou :)</div><div>Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci nekde mezi</div><div>tim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju,</div><div>aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdo</div><div>nedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratka</div><div>random hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem co</div><div>vylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda).</div><div><br></div><div>Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat nazor, ze v</div><div>situacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzes</div><div>dovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit,</div><div>aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokud</div><div>tam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze ma</div><div>spustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovaneho</div><div>jedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A ze</div><div>zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,</div><div>ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamali</div><div>na hypervisora pingem(!).</div><div><br></div><div>Teda, abychom byli na stejne strance spolu - absence SELinuxu vadi i mne,</div><div>akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaci</div><div>procesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nas</div><div>Parallels OpenVZ maintenance partnership prave na to, aby se kouknuli po</div><div>implementaci SELinuxu.</div><div><br></div><div>S pozdravem,</div><div><br></div><div>Pavel Snajdr</div><div><br></div><div>Odeslano z mobilniho zarizeni.</div><div><br></div><div>On 27 Nov 2013, at 20:57, Stanislav Petr <<a href="mailto:glux@glux.org">glux@glux.org</a></div><div><<a href="mailto:glux@glux.org">mailto:glux@glux.org</a>>> wrote:</div></div></blockquote><div>Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:</div><div><br></div><div>1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje?</div><div>Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit.</div><div>Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?</div><div><br></div><div>2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype,</div><div>psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.</div><div><br></div><div>3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozu</div><div>projevi qos nastaveny uvnitr konternerove virtualizace?</div><div><br></div><div><br></div><div>Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku</div><div>serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ</div><div>hazi klacky pod nohy...</div><div><br></div><blockquote type="cite"><div><blockquote type="cite"><div><div><br></div><div><br></div><div><br></div><div>--------------------------------------------------------------------------------</div><div><<a href="http://www.avast.com/">http://www.avast.com/</a>>    </div><div><br></div><div>Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus</div><div><<a href="http://www.avast.com/">http://www.avast.com/</a>> je aktivní.</div><div><br></div><div><br></div><div>_______________________________________________</div><div>Community-list mailing list</div><div>Community-list@lists.vpsfree.cz <<a href="mailto:Community-list@lists.vpsfree.cz">mailto:Community-list@lists.vpsfree.cz</a>></div><div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a></div></div></blockquote><div>_______________________________________________</div><div>Community-list mailing list</div><div>Community-list@lists.vpsfree.cz <<a href="mailto:Community-list@lists.vpsfree.cz">mailto:Community-list@lists.vpsfree.cz</a>></div><div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a></div></div></blockquote><div><br></div><div><br></div><div>_______________________________________________</div><div>Community-list mailing list</div><div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a></div><div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a></div></div></blockquote></div><div><div>_______________________________________________</div><div>Community-list mailing list</div><div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a></div><div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a></div></div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    <br>
                </div>