Linux pro server

Peter Surda shurdeek na routehat.org
Úterý Únor 1 12:07:08 CET 2005


On Tue, Feb 01, 2005 at 10:53:41AM +0100, moje wrote:
> Nejak mi v te diskusi chybel duraz na bezpecnostni aktualizace,
Z cisto objektivneho hladiska by som potom musel konstatovat, ze vsetky
distribucie, ktore blizsie poznam, maju v tejto oblasti medzery, nevynimajuc
ani moje "modly" Trustix a Route Hat.

Z praktickeho hladiska je vsak dolezitost bezpecnostneho updatu zavisla od
velkeho mnozstva premennych, napriklad ci ten balik vobec pouzivam, ci ho
pouzivam v takej konfiguracii ze bug je triggernutelny, aky ma bug efekt (DoS,
citanie suborov, root exploit, ...), ci je nejaky workaround a ci mi ten efekt
vadi.

Hlavne ten workaround moze zavisiet skor na adminovi ako na distributorovi, a
umoznuje uplatnit adminove skusenosti a kreativitu, uvediem priklad. V
decembri sa rozmnozili cervy cez stare verzie roznych php aplikacii, napriklad
phpBB. Kedze v niektorych pripadoch nemam moznost usera prinutit upgrade-nut,
vyriesil som to zapisom do iptables, ktory apachovi zakazal akukolvek
komunikaciu smerom von. Cerv teda spustil wget, wget casom timeoutol a cerv
skoncil. Potom som este radsej aj dodatocne chmodol wget aby ho apache vobec
spustat nemohol :-).

> dobu jejich poskytovani (pokud vubec jsou),
Toto je velmi rozumne kriterium, nepostoval vsak niekto pred par dnami
tabulku? Alebo som si pomylil list?

> moznost spravy (ano vsechny distribuce maji sshd a vi/vim) a dalsi drobnosti
> diky kterym se server stava tou krabici nekde v koute o ktere nikdo poradne
> nevi (krome admina), protoze dobre slouzi a neni treba se ji na plny uvazek
> venovat.
Tieto kriteria su dost dolezite hlavne ked administrujes velke mnozstvo
pocitacov. V Route Hat-e sa ich snazim zohladnit (lebo konieckoncov to usetri
pracu mne ako najvacsiemu deployerovi :-)), napriklad automatizaciou typickych
uloh. Otazkou pochopitelne zostava, co su typicke ulohy, a to je individualne.

> P.S. Ona tahle diskuse je asi stejne zbytecna, protoze vetsina adminu ma
> svou oblibenou distribuci a svuj zpusob spravy.
Este dodam: svoju oblast nasadenia.

> A pokud nekdo nevi co chce, tak je mozne mu poradit, ale zkusenosti musi
> stejne nabrat sam.
Je samozrejme druha moznost: outsourcovat.

> Konir Tomas
S pozdravom,

Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023

-- 
 - "The world we're living in lies always in darkness."
 - "That's why we're seeking the light."


Další informace o konferenci Linux