On Thursday, November 28, 2013 at 3:22 PM, Robin Obůrka wrote:
Ahoj,já si jen dovolím jednu malou poznámku.Mám takový pocit, že se poměrně důrazně nedoporučuje dělat automatickéaktualizace. Že vždycky by se měl člověk pečlivě koukat jestli se něconerozbilo, jestli není před aktualizací potřeba nějaký další úkon apod.Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace není úplnědobrý zvyk a že bychom asi neměli masivně podporovat špatné zvyky. Jestli bynebylo lepší sepsat nějaký návod, "jak se nechovat nebezpečně" a k aktualizacímse postavit několika radami.1) pravidelně je kontrolovat2) pokud jsem moc líný, tak něco "jsou nějaké dostupné?" nechat cronem posilatna email jednou za.. .den, 2, 3?3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat do security mailinglistu příslušné distribuce.Moje interakce se serverem je poměrně dost častá, takže nemám problémaktualizace zjišťovat často, navíc jsem zaregistrovaný v mailing listu, takžejakákoliv kritická aktualizace je u mě nasazena v řádu minut až hodin. Nemámpocit, že by mě to stálo nějaký čas, ale chápu, že spousta lidí chce ať tofunguje a nemusím o tom vědět - ale... asi bych na to opravdu nešelautomatickými aktualizacemi, člověk pak neví co se na serveru vlastně děje a tomůže časem vyvrcholit v ještě větší bezpečnostní problém.Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace se nedajíprovést přes upgrade, ale je potřeba dist-upgrade. A ten doinstalovává nověvzniklé neodsouhlasené závislosti, které se tímto v podstatě odsouhlasí. Takžebuď časem nutně některé aktualizace uváznou při čekání na dist-upgrade, neboautomaticky nechám tahat nové závislosti a netuším co nového - co by případněvyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na serveru zjevilo.A ano, šance, že se něco takového nebezpečného objeví je asi velmi malá, alenení to zase sci-fi, dle mého názoru.Já jen jestli by tohle nestálo za úvahu.R. O.Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):No, aby me zas nekdo nebral doslovne - ty technologie, co pise Standa i jini,maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu,dokud vsichni nebudou splnovat aspon ta minima :)Kdo mate na VPS automaticke aktualizace?Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge Base? Nabizimmesic clenstvi gratis, pripadne nejake misto na NASu :)S pozdravem,Pavel SnajdrOdeslano z mobilniho zarizeni.On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa@snajpa.net<mailto:snajpa@snajpa.net>> wrote:Ahoj,3x ne :)Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja chapu, zetyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsouzpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni- aktualizujte.Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti, vsechno jsou totrapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujcenypristup takovym "co s tim linuxem, teda jako taky umi".Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny lidi - ti coneresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji sipraci zbytecnou paranoiou :)Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci nekde mezitim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju,aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdonedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratkarandom hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem covylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda).Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat nazor, ze vsituacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzesdovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit,aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokudtam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze maspustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovanehojedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A zezranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamalina hypervisora pingem(!).Teda, abychom byli na stejne strance spolu - absence SELinuxu vadi i mne,akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaciprocesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nasParallels OpenVZ maintenance partnership prave na to, aby se kouknuli poimplementaci SELinuxu.S pozdravem,Pavel SnajdrOdeslano z mobilniho zarizeni.On 27 Nov 2013, at 20:57, Stanislav Petr <glux@glux.org<mailto:glux@glux.org>> wrote:Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje?Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit.Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype,psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozuprojevi qos nastaveny uvnitr konternerove virtualizace?Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredkuserveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZhazi klacky pod nohy...--------------------------------------------------------------------------------Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus<http://www.avast.com/> je aktivní._______________________________________________Community-list mailing listCommunity-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>_______________________________________________Community-list mailing listCommunity-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>_______________________________________________Community-list mailing list_______________________________________________Community-list mailing list