Ja teda vychazim ze svych zkusenosti, stable instalace Debianu 5 i 6 se mi nikdy pri
updatu nerozbila, stejne jako RHEL5 a 6 (+ SL).
Clovek ale nesmi mit pridane pochybne repozitare, i na EPEL uz jsem slysel nemalo
nadavani, ackoliv jsem jeste problemy nezazil.
Pouzivame vetsinu aplikaci tak, jak je poskytuji stable distribuce, holt veci, co by
nejely pod starsimi interpretery maji smulu. I kdyz pomalu ale jiste se mi pod rukama
tvori vlastni repozitar, kde si clovek musi hlidat verze sam a hlavne si tomu musi delat
QA :) ale rekl bych, ze k tomu dojde casem kazdy admin, kdyz toho ma vic.
Jinak pro min stabilni systemy, jak nekdo uz dobre zminil, je aspon dobre o aktualizacich
vedet a nechat se tim spamovat do mailu :)
S pozdravem,
Pavel Snajdr
Odeslano z mobilniho zarizeni.
On 28 Nov 2013, at 15:45, Stanislav Petr
<glux(a)glux.org> wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Tohle je dost zavisly odpouzite distribuce. Pokud pouziju napriklad
CentOS/Scientific Linux/RHEL a necham automaticky aktualizace jen ze
zakladnich repozitaru, muzu bejt celkem v klidu a verit ze se nic
nerobije. Na hruhou stranu u distribuci jako Gentoo, Arch a podobnejch
jsou automaticky aktualizace naprosta silenost.
- --
Stanislav Petr
On 28/11/13 15:22, Robin Obůrka wrote:
Ahoj, já si jen dovolím jednu malou poznámku.
Mám takový pocit, že se poměrně důrazně nedoporučuje dělat
automatické aktualizace. Že vždycky by se měl člověk pečlivě koukat
jestli se něco nerozbilo, jestli není před aktualizací potřeba
nějaký další úkon apod.
Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace
není úplně dobrý zvyk a že bychom asi neměli masivně podporovat
špatné zvyky. Jestli by nebylo lepší sepsat nějaký návod, "jak se
nechovat nebezpečně" a k aktualizacím se postavit několika radami.
1) pravidelně je kontrolovat 2) pokud jsem moc líný, tak něco "jsou
nějaké dostupné?" nechat cronem posilat na email jednou za.. .den,
2, 3? 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat
do security mailing listu příslušné distribuce.
Moje interakce se serverem je poměrně dost častá, takže nemám
problém aktualizace zjišťovat často, navíc jsem zaregistrovaný v
mailing listu, takže jakákoliv kritická aktualizace je u mě
nasazena v řádu minut až hodin. Nemám pocit, že by mě to stálo
nějaký čas, ale chápu, že spousta lidí chce ať to funguje a nemusím
o tom vědět - ale... asi bych na to opravdu nešel automatickými
aktualizacemi, člověk pak neví co se na serveru vlastně děje a to
může časem vyvrcholit v ještě větší bezpečnostní problém.
Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace
se nedají provést přes upgrade, ale je potřeba dist-upgrade. A ten
doinstalovává nově vzniklé neodsouhlasené závislosti, které se
tímto v podstatě odsouhlasí. Takže buď časem nutně některé
aktualizace uváznou při čekání na dist-upgrade, nebo automaticky
nechám tahat nové závislosti a netuším co nového - co by případně
vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na
serveru zjevilo. A ano, šance, že se něco takového nebezpečného
objeví je asi velmi malá, ale není to zase sci-fi, dle mého
názoru.
Já jen jestli by tohle nestálo za úvahu.
R. O.
Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):
> No, aby me zas nekdo nebral doslovne - ty technologie, co pise
> Standa i jini, maji svoje misto, ale moje pointa je, ze diskuze o
> nich nema valnejsiho vyznamu, dokud vsichni nebudou splnovat
> aspon ta minima :)
>
> Kdo mate na VPS automaticke aktualizace?
>
> Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge
> Base? Nabizim mesic clenstvi gratis, pripadne nejake misto na
> NASu :)
>
> S pozdravem,
>
> Pavel Snajdr
>
> Odeslano z mobilniho zarizeni.
>
> On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa(a)snajpa.net
> <mailto:snajpa@snajpa.net>> wrote:
>
>> Ahoj,
>>
>> 3x ne :)
>>
>> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja
>> chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co
>> se nam deji, jsou zpusobene banalitami a vubec je to cela
>> diskuse na mnohem primitivnejsi urovni - aktualizujte.
>>
>> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,
>> vsechno jsou to trapnosti typu par mesicu neaktualizovany
>> system, slabe heslo ci propujceny pristup takovym "co s tim
>> linuxem, teda jako taky umi".
>>
>> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny
>> lidi - ti co neresi bezpecnost vubec a pak ti, kteri to radi
>> prehaneji a pridelavaji si praci zbytecnou paranoiou :) Pritom
>> fakt naprostou vetsinu problemu by vyresil pristup k veci nekde
>> mezi tim - dodrzovat zakladni pravidla jako nepoustet, co
>> nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup
>> k tem strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat
>> silna hesla (hlavne dlouha, kratka random hesla jsou blbost).
>> Dal bych jmenoval jeste nepoustet pod rootem co vylozene
>> nemusim (hlavne vsemozne weby, to pustit pod rootem =
>> sebevrazda).
>>
>> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat
>> nazor, ze v situacich, kde opravdu realne vyzadujes veci jako
>> SELinux, si stejne nemuzes dovolit byt na sdilenem hardwaru s
>> nekym dalsim, protoze si nemuzes dovolit, aby ti nekdo videl do
>> pameti - a ze to fakt neni slozity, teda obzvlast pokud tam mas
>> tak bezny system, jako je RHEL/debian... Vysvetlit tomu
>> systemu, ze ma spustit novy shell a podobne ve spravnem selinux
>> kontextu pro tak motivovaneho jedince, ktery bude mit zajem se
>> tam prolamat, nebude asi az tak problem. A ze zranitelnosti,
>> jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,
>> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve
>> virtio vylamali na hypervisora pingem(!).
>>
>> Teda, abychom byli na stejne strance spolu - absence SELinuxu
>> vadi i mne, akorat ne kvuli zabezpeceni proti hrozbam z venku,
>> ale proti lepsi izolaci procesu v ramci jednoho systemu. Az
>> bude chvili cas, pokusim se vyuzit nas Parallels OpenVZ
>> maintenance partnership prave na to, aby se kouknuli po
>> implementaci SELinuxu.
>>
>> S pozdravem,
>>
>> Pavel Snajdr
>>
>> Odeslano z mobilniho zarizeni.
>>
>> On 27 Nov 2013, at 20:57, Stanislav Petr <glux(a)glux.org
>> <mailto:glux@glux.org>> wrote:
> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
>
> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo
> pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice
> efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor,
> TOMOYO)?
>
> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32,
> mport, pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by
> to asi pomohlo.
>
> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve
> vyslednym provozu projevi qos nastaveny uvnitr konternerove
> virtualizace?
>
>
> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych
> prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi
> prijde ze obcas OpenVZ hazi klacky pod nohy...
>
>>>
>>>
>>>
>>>
--------------------------------------------------------------------------------
<http://www.avast.com/>
>
> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast!
> Antivirus <http://www.avast.com/> je aktivní.
>
>
> _______________________________________________
> Community-list mailing list Community-list(a)lists.vpsfree.cz
> <mailto:Community-list@lists.vpsfree.cz>
>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.20 (Darwin)
Comment: GPGTools -
https://gpgtools.org
Comment: Using GnuPG with Thunderbird -
http://www.enigmail.net/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=tbDZ
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list