Zdar,
Pre rhel based distra existuje balik yum-autoupdate, dobre v
/etc/sysconfig/yum-autoupdate
zmenit USE_YUMSEC na true nech sa aplikuju automaticky iba security updaty.
Pre centos like je dobre pouzivat glsa-check.
Kludne pridam obsirnejsie do KB, posli link ked budes mat vyrobenu page.
Cheers, RM
On 11/28/2013 10:26 AM, Jan Pokorný - diginto.cz wrote:
Ahoj,
klidně to sepíšu pro debian based distribuce s apt*. Pro ostatni bych
to musel vygooglit, ale taky by se dalo.
Je nějaký přehled o tom, které distribuce na VPS jsou a pro ktere má
tedy smysl to sepsat ?
Díky Honza
---- On Thu, 28 Nov 2013 10:01:36 +0100 *Pavel Snajdr
snajpa@snajpa.net* wrote ----
No, aby me zas nekdo nebral doslovne - ty technologie, co pise
Standa i jini, maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu, dokud vsichni nebudou splnovat aspon ta minima :)
Kdo mate na VPS automaticke aktualizace? Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge
Base? Nabizim mesic clenstvi gratis, pripadne nejake misto na NASu :)
S pozdravem, Pavel Snajdr Odeslano z mobilniho zarizeni. On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa@snajpa.net
mailto:snajpa@snajpa.net> wrote:
Ahoj, 3x ne :) Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja
chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsou zpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni - aktualizujte.
Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,
vsechno jsou to trapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujceny pristup takovym "co s tim linuxem, teda jako taky umi".
Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny
lidi - ti co neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji si praci zbytecnou paranoiou :)
Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci
nekde mezi tim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratka random hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem co vylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda).
Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat
nazor, ze v situacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzes dovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit, aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokud tam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze ma spustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovaneho jedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A ze zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit, ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamali na hypervisora pingem(!).
Teda, abychom byli na stejne strance spolu - absence SELinuxu
vadi i mne, akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaci procesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nas Parallels OpenVZ maintenance partnership prave na to, aby se kouknuli po implementaci SELinuxu.
S pozdravem, Pavel Snajdr Odeslano z mobilniho zarizeni. On 27 Nov 2013, at 20:57, Stanislav Petr <glux@glux.org
mailto:glux@glux.org> wrote:
Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
- Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo
pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?
- Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport,
pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.
- Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym
provozu projevi qos nastaveny uvnitr konternerove virtualizace?
Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ hazi klacky pod nohy...
------------------------- <http://www.avast.com/> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast!
Antivirus http://www.avast.com/ je aktivní.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Richard Marko