[vpsFree.cz: community-list] Aktualizujte si VPS

Richard Marko rissko at gmail.com
Mon Dec 2 14:29:32 CET 2013 

Zdar,

Pre rhel based distra existuje balik yum-autoupdate, dobre v

/etc/sysconfig/yum-autoupdate

zmenit USE_YUMSEC na true nech sa aplikuju automaticky iba security updaty.

Pre centos like je dobre pouzivat glsa-check.

Kludne pridam obsirnejsie do KB, posli link ked budes mat vyrobenu page.

Cheers,
RM


On 11/28/2013 10:26 AM, Jan Pokorný - diginto.cz wrote:
> Ahoj,
>
> klidně to sepíšu pro debian based distribuce s apt*. Pro ostatni bych
to musel vygooglit, ale taky by se dalo.
> Je nějaký přehled o tom, které distribuce na VPS jsou a pro ktere má
tedy smysl to sepsat ?
>
> Díky Honza
>
> ---- On Thu, 28 Nov 2013 10:01:36 +0100 *Pavel Snajdr
<snajpa at snajpa.net>* wrote ----
>
>     No, aby me zas nekdo nebral doslovne - ty technologie, co pise
Standa i jini, maji svoje misto, ale moje pointa je, ze diskuze o nich
nema valnejsiho vyznamu, dokud vsichni nebudou splnovat aspon ta minima :)
>
>     Kdo mate na VPS automaticke aktualizace?
>
>     Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge
Base? Nabizim mesic clenstvi gratis, pripadne nejake misto na NASu :)
>
>     S pozdravem,
>
>     Pavel Snajdr
>
>     Odeslano z mobilniho zarizeni.
>
>     On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa at snajpa.net
<mailto:snajpa at snajpa.net>> wrote:
>
>>     Ahoj,
>>
>>     3x ne :)
>>
>>     Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja
chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co se nam
deji, jsou zpusobene banalitami a vubec je to cela diskuse na mnohem
primitivnejsi urovni - aktualizujte.
>>
>>     Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,
vsechno jsou to trapnosti typu par mesicu neaktualizovany system, slabe
heslo ci propujceny pristup takovym "co s tim linuxem, teda jako taky umi".
>>
>>     Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny
lidi - ti co neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a
pridelavaji si praci zbytecnou paranoiou :)
>>     Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci
nekde mezi tim - dodrzovat zakladni pravidla jako nepoustet, co
nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup k tem
strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat silna hesla
(hlavne dlouha, kratka random hesla jsou blbost). Dal bych jmenoval
jeste nepoustet pod rootem co vylozene nemusim (hlavne vsemozne weby, to
pustit pod rootem = sebevrazda).
>>
>>     Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat
nazor, ze v situacich, kde opravdu realne vyzadujes veci jako SELinux,
si stejne nemuzes dovolit byt na sdilenem hardwaru s nekym dalsim,
protoze si nemuzes dovolit, aby ti nekdo videl do pameti - a ze to fakt
neni slozity, teda obzvlast pokud tam mas tak bezny system, jako je
RHEL/debian... Vysvetlit tomu systemu, ze ma spustit novy shell a
podobne ve spravnem selinux kontextu pro tak motivovaneho jedince, ktery
bude mit zajem se tam prolamat, nebude asi az tak problem. A ze
zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to
najit, ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve
virtio vylamali na hypervisora pingem(!).
>>
>>     Teda, abychom byli na stejne strance spolu - absence SELinuxu
vadi i mne, akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti
lepsi izolaci procesu v ramci jednoho systemu. Az bude chvili cas,
pokusim se vyuzit nas Parallels OpenVZ maintenance partnership prave na
to, aby se kouknuli po implementaci SELinuxu.
>>
>>     S pozdravem,
>>
>>     Pavel Snajdr
>>
>>     Odeslano z mobilniho zarizeni.
>>
>>     On 27 Nov 2013, at 20:57, Stanislav Petr <glux at glux.org
<mailto:glux at glux.org>> wrote:
>>
> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
>
> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo
> pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice
> efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?
>
> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport,
> pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.
>
> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym
> provozu projevi qos nastaveny uvnitr konternerove virtualizace?
>
>
> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych
> prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde
> ze obcas OpenVZ hazi klacky pod nohy...
>
>>>
>>>
>>>
>>>     -------------------------
>>>     <http://www.avast.com/>    
>>>
>>>     Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast!
Antivirus <http://www.avast.com/> je aktivní.
>>>
>>>
>>>     _______________________________________________
>>>     Community-list mailing list
>>>     Community-list at lists.vpsfree.cz
<mailto:Community-list at lists.vpsfree.cz>
>>>     http://lists.vpsfree.cz/listinfo/community-list
>>     _______________________________________________
>>     Community-list mailing list
>>     Community-list at lists.vpsfree.cz
<mailto:Community-list at lists.vpsfree.cz>
>>     http://lists.vpsfree.cz/listinfo/community-list
>     _______________________________________________
>     Community-list mailing list
>     Community-list at lists.vpsfree.cz
<mailto:Community-list at lists.vpsfree.cz>
>     http://lists.vpsfree.cz/listinfo/community-list
>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

More information about the Community-list mailing list