<span style="font-family: Arial;">Já si nechávám posílat každý den report s navrhovaným seznamem balíčku na upgrade (bez propagace upgradu). Někdo to tady už navrhoval a je to dobrá technika. Některé balíky se netýkají exponovaných služeb a mohou počkat. Když mám vyhrazeno více času udělám apt get upgrade. Je pravda že používám pouze sluzby webserver, db, ssh a skriptování na servery.<br><br>Na desktopu si muzete dovolit automaticky upgrade.<br><br>Pokud jde o servery a služby je lidský dohled nutný. Kdo chce minimalizovat další chyby, musí udržovat testovací prostředí.<br><br>S pozdravem<br>Petr Juhaňák<br><br><br>----- Reply message -----<br>Od: "Robin Obůrka" <r.oburka@gmail.com><br>Komu: <community-list@lists.vpsfree.cz><br>Předmět: [vpsFree.cz: community-list] Aktualizujte si VPS<br>Datum: čt, 11. 28, 2013 15:22<br><br></span><br>Ahoj,<br>já si jen dovolím jednu malou poznámku.<br><br>Mám takový pocit, že se poměrně důrazně nedoporučuje dělat automatické<br>aktualizace. Že vždycky by se měl člověk pečlivě koukat jestli se něco<br>nerozbilo, jestli není před aktualizací potřeba nějaký další úkon apod.<br><br>Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace není úplně<br>dobrý zvyk a že bychom asi neměli masivně podporovat špatné zvyky. Jestli by<br>nebylo lepší sepsat nějaký návod, "jak se nechovat nebezpečně" a k aktualizacím<br>se postavit několika radami.<br><br>1) pravidelně je kontrolovat<br>2) pokud jsem moc líný, tak něco "jsou nějaké dostupné?" nechat cronem posilat<br>na email jednou za.. .den, 2, 3?<br>3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat do security mailing<br>listu příslušné distribuce.<br><br>Moje interakce se serverem je poměrně dost častá, takže nemám problém<br>aktualizace zjišťovat často, navíc jsem zaregistrovaný v mailing listu, takže<br>jakákoliv kritická aktualizace je u mě nasazena v řádu minut až hodin. Nemám<br>pocit, že by mě to stálo nějaký čas, ale chápu, že spousta lidí chce ať to<br>funguje a nemusím o tom vědět - ale... asi bych na to opravdu nešel<br>automatickými aktualizacemi, člověk pak neví co se na serveru vlastně děje a to<br>může časem vyvrcholit v ještě větší bezpečnostní problém.<br><br>Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace se nedají<br>provést přes upgrade, ale je potřeba dist-upgrade. A ten doinstalovává nově<br>vzniklé neodsouhlasené závislosti, které se tímto v podstatě odsouhlasí. Takže<br>buď časem nutně některé aktualizace uváznou při čekání na dist-upgrade, nebo<br>automaticky nechám tahat nové závislosti a netuším co nového - co by případně<br>vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na serveru zjevilo.<br>A ano, šance, že se něco takového nebezpečného objeví je asi velmi malá, ale<br>není to zase sci-fi, dle mého názoru.<br><br>Já jen jestli by tohle nestálo za úvahu.<br><br>R. O.<br><br>Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):<br>> No, aby me zas nekdo nebral doslovne - ty technologie, co pise Standa i jini,<br>> maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu,<br>> dokud vsichni nebudou splnovat aspon ta minima :)<br>> <br>> Kdo mate na VPS automaticke aktualizace?<br>> <br>> Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge Base? Nabizim<br>> mesic clenstvi gratis, pripadne nejake misto na NASu :)<br>> <br>> S pozdravem,<br>> <br>> Pavel Snajdr<br>> <br>> Odeslano z mobilniho zarizeni.<br>> <br>> On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa@snajpa.net<br>> <mailto:snajpa@snajpa.net>> wrote:<br>> <br>>> Ahoj,<br>>><br>>> 3x ne :)<br>>><br>>> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja chapu, ze<br>>> tyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsou<br>>> zpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni<br>>> - aktualizujte.<br>>><br>>> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti, vsechno jsou to<br>>> trapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujceny<br>>> pristup takovym "co s tim linuxem, teda jako taky umi".<br>>><br>>> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny lidi - ti co<br>>> neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji si<br>>> praci zbytecnou paranoiou :)<br>>> Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci nekde mezi<br>>> tim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju,<br>>> aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdo<br>>> nedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratka<br>>> random hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem co<br>>> vylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda).<br>>><br>>> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat nazor, ze v<br>>> situacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzes<br>>> dovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit,<br>>> aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokud<br>>> tam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze ma<br>>> spustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovaneho<br>>> jedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A ze<br>>> zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,<br>>> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamali<br>>> na hypervisora pingem(!).<br>>><br>>> Teda, abychom byli na stejne strance spolu - absence SELinuxu vadi i mne,<br>>> akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaci<br>>> procesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nas<br>>> Parallels OpenVZ maintenance partnership prave na to, aby se kouknuli po<br>>> implementaci SELinuxu.<br>>><br>>> S pozdravem,<br>>><br>>> Pavel Snajdr<br>>><br>>> Odeslano z mobilniho zarizeni.<br>>><br>>> On 27 Nov 2013, at 20:57, Stanislav Petr <glux@glux.org<br>>> <mailto:glux@glux.org>> wrote:<br>>><br>> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:<br>> <br>> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje?<br>> Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit.<br>> Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?<br>> <br>> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype,<br>> psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.<br>> <br>> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozu<br>> projevi qos nastaveny uvnitr konternerove virtualizace?<br>> <br>> <br>> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku<br>> serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ<br>> hazi klacky pod nohy...<br>> <br>>>><br>>>><br>>>><br>>>> --------------------------------------------------------------------------------<br>>>> <http://www.avast.com/>       <br>>>><br>>>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus<br>>>> <http://www.avast.com/> je aktivní.<br>>>><br>>>><br>>>> _______________________________________________<br>>>> Community-list mailing list<br>>>> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz><br>>>> http://lists.vpsfree.cz/listinfo/community-list<br>>> _______________________________________________<br>>> Community-list mailing list<br>>> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz><br>>> http://lists.vpsfree.cz/listinfo/community-list<br>> <br>> <br>> _______________________________________________<br>> Community-list mailing list<br>> Community-list@lists.vpsfree.cz<br>> http://lists.vpsfree.cz/listinfo/community-list<br>> <br><br>