[vpsFree.cz: community-list] Aktualizujte si VPS

Pavel Snajdr snajpa at snajpa.net
Fri Nov 29 08:42:43 CET 2013


Ja teda vychazim ze svych zkusenosti, stable instalace Debianu 5 i 6 se mi nikdy pri updatu nerozbila, stejne jako RHEL5 a 6 (+ SL).
Clovek ale nesmi mit pridane pochybne repozitare, i na EPEL uz jsem slysel nemalo nadavani, ackoliv jsem jeste problemy nezazil.

Pouzivame vetsinu aplikaci tak, jak je poskytuji stable distribuce, holt veci, co by nejely pod starsimi interpretery maji smulu. I kdyz pomalu ale jiste se mi pod rukama tvori vlastni repozitar, kde si clovek musi hlidat verze sam a hlavne si tomu musi delat QA :) ale rekl bych, ze k tomu dojde casem kazdy admin, kdyz toho ma vic.

Jinak pro min stabilni systemy, jak nekdo uz dobre zminil, je aspon dobre o aktualizacich vedet a nechat se tim spamovat do mailu :)

S pozdravem,

Pavel Snajdr

Odeslano z mobilniho zarizeni.

> On 28 Nov 2013, at 15:45, Stanislav Petr <glux at glux.org> wrote:
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
> 
> Tohle je dost zavisly odpouzite distribuce. Pokud pouziju napriklad
> CentOS/Scientific Linux/RHEL a necham automaticky aktualizace jen ze
> zakladnich repozitaru, muzu bejt celkem v klidu a verit ze se nic
> nerobije. Na hruhou stranu u distribuci jako Gentoo, Arch a podobnejch
> jsou automaticky aktualizace naprosta silenost.
> 
> - --
> Stanislav Petr
> 
>> On 28/11/13 15:22, Robin Obůrka wrote:
>> Ahoj, já si jen dovolím jednu malou poznámku.
>> 
>> Mám takový pocit, že se poměrně důrazně nedoporučuje dělat
>> automatické aktualizace. Že vždycky by se měl člověk pečlivě koukat
>> jestli se něco nerozbilo, jestli není před aktualizací potřeba
>> nějaký další úkon apod.
>> 
>> Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace
>> není úplně dobrý zvyk a že bychom asi neměli masivně podporovat
>> špatné zvyky. Jestli by nebylo lepší sepsat nějaký návod, "jak se
>> nechovat nebezpečně" a k aktualizacím se postavit několika radami.
>> 
>> 1) pravidelně je kontrolovat 2) pokud jsem moc líný, tak něco "jsou
>> nějaké dostupné?" nechat cronem posilat na email jednou za.. .den,
>> 2, 3? 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat
>> do security mailing listu příslušné distribuce.
>> 
>> Moje interakce se serverem je poměrně dost častá, takže nemám
>> problém aktualizace zjišťovat často, navíc jsem zaregistrovaný v
>> mailing listu, takže jakákoliv kritická aktualizace je u mě
>> nasazena v řádu minut až hodin. Nemám pocit, že by mě to stálo
>> nějaký čas, ale chápu, že spousta lidí chce ať to funguje a nemusím
>> o tom vědět - ale... asi bych na to opravdu nešel automatickými
>> aktualizacemi, člověk pak neví co se na serveru vlastně děje a to 
>> může časem vyvrcholit v ještě větší bezpečnostní problém.
>> 
>> Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace
>> se nedají provést přes upgrade, ale je potřeba dist-upgrade. A ten
>> doinstalovává nově vzniklé neodsouhlasené závislosti, které se
>> tímto v podstatě odsouhlasí. Takže buď časem nutně některé
>> aktualizace uváznou při čekání na dist-upgrade, nebo automaticky
>> nechám tahat nové závislosti a netuším co nového - co by případně 
>> vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na
>> serveru zjevilo. A ano, šance, že se něco takového nebezpečného
>> objeví je asi velmi malá, ale není to zase sci-fi, dle mého
>> názoru.
>> 
>> Já jen jestli by tohle nestálo za úvahu.
>> 
>> R. O.
>> 
>> Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):
>>> No, aby me zas nekdo nebral doslovne - ty technologie, co pise
>>> Standa i jini, maji svoje misto, ale moje pointa je, ze diskuze o
>>> nich nema valnejsiho vyznamu, dokud vsichni nebudou splnovat
>>> aspon ta minima :)
>>> 
>>> Kdo mate na VPS automaticke aktualizace?
>>> 
>>> Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge
>>> Base? Nabizim mesic clenstvi gratis, pripadne nejake misto na
>>> NASu :)
>>> 
>>> S pozdravem,
>>> 
>>> Pavel Snajdr
>>> 
>>> Odeslano z mobilniho zarizeni.
>>> 
>>> On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa at snajpa.net 
>>> <mailto:snajpa at snajpa.net>> wrote:
>>> 
>>>> Ahoj,
>>>> 
>>>> 3x ne :)
>>>> 
>>>> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja
>>>> chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co
>>>> se nam deji, jsou zpusobene banalitami a vubec je to cela
>>>> diskuse na mnohem primitivnejsi urovni - aktualizujte.
>>>> 
>>>> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,
>>>> vsechno jsou to trapnosti typu par mesicu neaktualizovany
>>>> system, slabe heslo ci propujceny pristup takovym "co s tim
>>>> linuxem, teda jako taky umi".
>>>> 
>>>> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny
>>>> lidi - ti co neresi bezpecnost vubec a pak ti, kteri to radi
>>>> prehaneji a pridelavaji si praci zbytecnou paranoiou :) Pritom
>>>> fakt naprostou vetsinu problemu by vyresil pristup k veci nekde
>>>> mezi tim - dodrzovat zakladni pravidla jako nepoustet, co
>>>> nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup
>>>> k tem strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat
>>>> silna hesla (hlavne dlouha, kratka random hesla jsou blbost).
>>>> Dal bych jmenoval jeste nepoustet pod rootem co vylozene
>>>> nemusim (hlavne vsemozne weby, to pustit pod rootem =
>>>> sebevrazda).
>>>> 
>>>> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat
>>>> nazor, ze v situacich, kde opravdu realne vyzadujes veci jako
>>>> SELinux, si stejne nemuzes dovolit byt na sdilenem hardwaru s
>>>> nekym dalsim, protoze si nemuzes dovolit, aby ti nekdo videl do
>>>> pameti - a ze to fakt neni slozity, teda obzvlast pokud tam mas
>>>> tak bezny system, jako je RHEL/debian... Vysvetlit tomu
>>>> systemu, ze ma spustit novy shell a podobne ve spravnem selinux
>>>> kontextu pro tak motivovaneho jedince, ktery bude mit zajem se
>>>> tam prolamat, nebude asi az tak problem. A ze zranitelnosti,
>>>> jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit, 
>>>> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve
>>>> virtio vylamali na hypervisora pingem(!).
>>>> 
>>>> Teda, abychom byli na stejne strance spolu - absence SELinuxu
>>>> vadi i mne, akorat ne kvuli zabezpeceni proti hrozbam z venku,
>>>> ale proti lepsi izolaci procesu v ramci jednoho systemu. Az
>>>> bude chvili cas, pokusim se vyuzit nas Parallels OpenVZ
>>>> maintenance partnership prave na to, aby se kouknuli po 
>>>> implementaci SELinuxu.
>>>> 
>>>> S pozdravem,
>>>> 
>>>> Pavel Snajdr
>>>> 
>>>> Odeslano z mobilniho zarizeni.
>>>> 
>>>> On 27 Nov 2013, at 20:57, Stanislav Petr <glux at glux.org 
>>>> <mailto:glux at glux.org>> wrote:
>>> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
>>> 
>>> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo
>>> pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice
>>> efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor,
>>> TOMOYO)?
>>> 
>>> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32,
>>> mport, pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by
>>> to asi pomohlo.
>>> 
>>> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve
>>> vyslednym provozu projevi qos nastaveny uvnitr konternerove
>>> virtualizace?
>>> 
>>> 
>>> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych
>>> prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi
>>> prijde ze obcas OpenVZ hazi klacky pod nohy...
>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> --------------------------------------------------------------------------------
> <http://www.avast.com/>    
>>>>> 
>>>>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast!
>>>>> Antivirus <http://www.avast.com/> je aktivní.
>>>>> 
>>>>> 
>>>>> _______________________________________________ 
>>>>> Community-list mailing list Community-list at lists.vpsfree.cz
>>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> _______________________________________________ Community-list
>>>> mailing list Community-list at lists.vpsfree.cz
>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> 
>>> 
>>> _______________________________________________ Community-list
>>> mailing list Community-list at lists.vpsfree.cz 
>>> http://lists.vpsfree.cz/listinfo/community-list
>> 
>> 
>> 
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz 
>> http://lists.vpsfree.cz/listinfo/community-list
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG/MacGPG2 v2.0.20 (Darwin)
> Comment: GPGTools - https://gpgtools.org
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
> 
> iQIcBAEBCgAGBQJSl1cLAAoJEIma271KQWS/MIAP+wSlPIIzEdUyiUWAmU7+Ww64
> sP25KgCRdCfqmPoopXIRkLpSd3PaTVdTsJRnVZYB5MV6VBpPLg2Z5L3MoW1fRRjm
> Oq4asF7DzSce6UfD4yfQa7VAjzy2ox31rmu7MQ51T09uKhrtlWF5ZqRNuoIQCZ/R
> CdJsNiMii87e5QhD4fMW4sXB2TM6lIcjG6CWkoIjODolY5/TD98gzvTPDySyxPUA
> 3AhwWEWqV9h9VbBvjoMSWADHQy1z2ccKjF8ckGCOLlJsc4yWJk9tNQaBaP9oYdq3
> 2+8mSPgOOiIb2TFw6Mab97Ur6shF5i97UZORNYAnBDVskuo7qqKFTxzZs9E2EHMF
> u6rC1BhQZNQeVV6HqTvO0xxe7rnByUakphftRSWm9S7qMvS33M2Hew13ofyrwFSI
> nrTTqUhC6TXNfFZ6xIBKzxJoBKhkxLlm8s60wr5x8YTcXfFjSTWBFMQfSqgpMrXD
> UmyYnZ8ZBfcPzW1q41rc5ucunUmqkivHl07bqQd0cd3/ywD3RmkglAcQ5kkBYjuK
> UfQRF4ou6YZXyh9D3GQe3PLz8p/a54ez7FdNRFn2FEbYZOIT7TsAuynFhxlEqUGr
> 433DWOQX3fWPKQnDpI7lb9fqeOPh8bOK1qE7Cn1mzIQbqQNc2SbA82Q2pL1ITUAs
> C0Vs7TKFVIWT8WwxI0Mm
> =tbDZ
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list



More information about the Community-list mailing list