[vpsFree.cz: community-list] Aktualizujte si VPS

Pavel Vondřička Pavel.Vondricka at ff.cuni.cz
Thu Nov 28 15:35:38 CET 2013


"Automatická aktualizace" může znamenat řadu dost odlišných věcí. Jedna 
věc je třeba Gentoo a něco úplně jiného jsou automatické bezpečnostní(!) 
aktualizace třeba v Ubuntu.

Po pravdě řečeno, od té doby, co jsem "lenivě" přešel na Ubuntu 
(jakkoliv to ještě komu zní lamersky) jsem neviděl, aby mi jakákoliv 
oficiální(!) aktualizace (v rámci stejného vydání!) cokoliv rozhodila - 
a to ani backports apod. Natožpak pouze bezpečnostní aktualizace. A 
pochybuju, že sám Debian na tom bude hůř. Takže si nejsem jist, jestli 
je důvod mluvit nutně o "špatném zvyku" nebo prostě jen předsudcích z 
"dávných" dob.

Zdraví,
Pavel

> Ahoj,
> já si jen dovolím jednu malou poznámku.
>
> Mám takový pocit, že se poměrně důrazně nedoporučuje dělat automatické
> aktualizace. Že vždycky by se měl člověk pečlivě koukat jestli se něco
> nerozbilo, jestli není před aktualizací potřeba nějaký další úkon apod.
>
> Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace není úplně
> dobrý zvyk a že bychom asi neměli masivně podporovat špatné zvyky. Jestli by
> nebylo lepší sepsat nějaký návod, "jak se nechovat nebezpečně" a k aktualizacím
> se postavit několika radami.
>
> 1) pravidelně je kontrolovat
> 2) pokud jsem moc líný, tak něco "jsou nějaké dostupné?" nechat cronem posilat
> na email jednou za.. .den, 2, 3?
> 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat do security mailing
> listu příslušné distribuce.
>
> Moje interakce se serverem je poměrně dost častá, takže nemám problém
> aktualizace zjišťovat často, navíc jsem zaregistrovaný v mailing listu, takže
> jakákoliv kritická aktualizace je u mě nasazena v řádu minut až hodin. Nemám
> pocit, že by mě to stálo nějaký čas, ale chápu, že spousta lidí chce ať to
> funguje a nemusím o tom vědět - ale... asi bych na to opravdu nešel
> automatickými aktualizacemi, člověk pak neví co se na serveru vlastně děje a to
> může časem vyvrcholit v ještě větší bezpečnostní problém.
>
> Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace se nedají
> provést přes upgrade, ale je potřeba dist-upgrade. A ten doinstalovává nově
> vzniklé neodsouhlasené závislosti, které se tímto v podstatě odsouhlasí. Takže
> buď časem nutně některé aktualizace uváznou při čekání na dist-upgrade, nebo
> automaticky nechám tahat nové závislosti a netuším co nového - co by případně
> vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na serveru zjevilo.
> A ano, šance, že se něco takového nebezpečného objeví je asi velmi malá, ale
> není to zase sci-fi, dle mého názoru.
>
> Já jen jestli by tohle nestálo za úvahu.
>
> R. O.
>
> Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):
>> No, aby me zas nekdo nebral doslovne - ty technologie, co pise Standa i jini,
>> maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu,
>> dokud vsichni nebudou splnovat aspon ta minima :)
>>
>> Kdo mate na VPS automaticke aktualizace?
>>
>> Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge Base? Nabizim
>> mesic clenstvi gratis, pripadne nejake misto na NASu :)
>>
>> S pozdravem,
>>
>> Pavel Snajdr
>>
>> Odeslano z mobilniho zarizeni.
>>
>> On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa at snajpa.net
>> <mailto:snajpa at snajpa.net>> wrote:
>>
>>> Ahoj,
>>>
>>> 3x ne :)
>>>
>>> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja chapu, ze
>>> tyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsou
>>> zpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni
>>> - aktualizujte.
>>>
>>> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti, vsechno jsou to
>>> trapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujceny
>>> pristup takovym "co s tim linuxem, teda jako taky umi".
>>>
>>> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny lidi - ti co
>>> neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji si
>>> praci zbytecnou paranoiou :)
>>> Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci nekde mezi
>>> tim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju,
>>> aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdo
>>> nedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratka
>>> random hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem co
>>> vylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda).
>>>
>>> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat nazor, ze v
>>> situacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzes
>>> dovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit,
>>> aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokud
>>> tam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze ma
>>> spustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovaneho
>>> jedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A ze
>>> zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,
>>> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamali
>>> na hypervisora pingem(!).
>>>
>>> Teda, abychom byli na stejne strance spolu - absence SELinuxu vadi i mne,
>>> akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaci
>>> procesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nas
>>> Parallels OpenVZ maintenance partnership prave na to, aby se kouknuli po
>>> implementaci SELinuxu.
>>>
>>> S pozdravem,
>>>
>>> Pavel Snajdr
>>>
>>> Odeslano z mobilniho zarizeni.
>>>
>>> On 27 Nov 2013, at 20:57, Stanislav Petr <glux at glux.org
>>> <mailto:glux at glux.org>> wrote:
>>>
>> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
>>
>> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje?
>> Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit.
>> Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?
>>
>> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype,
>> psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.
>>
>> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozu
>> projevi qos nastaveny uvnitr konternerove virtualizace?
>>
>>
>> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku
>> serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ
>> hazi klacky pod nohy...
>>
>>>>
>>>>
>>>>
>>>> --------------------------------------------------------------------------------
>>>> <http://www.avast.com/> 	
>>>>
>>>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus
>>>> <http://www.avast.com/> je aktivní.
>>>>
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>




More information about the Community-list mailing list