Zastanawiam się nad włączeniem za pomocą crona skryptu, który automatycznie będzie sprawdzał i instalował codziennie o godzinie 4:05 aktualizacje, na serwerze pełniącym rolę bramy. Co o tym sądzicie?
Zasada jest taka, że takie rzeczy administrator wykonuje ręcznie. Nigdy nie wiesz czy taki zabieg nie zepsuje czegoś kluczowego w systemie, i nieroztropną rzeczą jest bezmyślnie akceptować aktualizację bez przeglądnięcia pakietów, które temu podlegają. Słowem porzuć ten zamiar.
Zainteresuj się takim ustrojstwem jak apticron - powiadomi Cię jak pojawią się nowe aktualizację i będziesz mógł sobie klepnąć je w pełni świadomie z palca
Bastian pisze:Zasada jest taka, że takie rzeczy administrator wykonuje ręcznie. Nigdy nie wiesz czy taki zabieg nie zepsuje czegoś kluczowego w systemie, i nieroztropną rzeczą jest bezmyślnie akceptować aktualizację bez przeglądnięcia pakietów, które temu podlegają. Słowem porzuć ten zamiar.
popieram w 150 %
Lepiej troche czasu poświęcić na ręczna aktualizacje niż potem kupe czasu na naprawe.
Podepnę się trochę pod temat, bo jednak z produkcyjnymi serwerami opartymi na Linuxie nie mam dużej styczności.
Co rozumiecie pod pojęciem "przeglądnięcia pakietów"?
lun, większość przedstawia odruchowo doświadczenia dotyczące Sida. W przypadku serwera pracującego z wykorzystaniem wersji stabilnej Debiana, tych kluczowych aktualizacji dotyczących systemu, raczej nie ma. Wiec, wykorzystywanie jakichś dodatkowych narzędzi mija się, moim zdaniem, z celowością ich stosowania.
lun pisze:Podepnę się trochę pod temat, bo jednak z produkcyjnymi serwerami opartymi na Linuxie nie mam dużej styczności.
Co rozumiecie pod pojęciem "przeglądnięcia pakietów"?
Mnie chodziło o proste przeglądanie tego co chce zaktualizować apt-get, który przed procedurą zawsze pokazuje zawartość i pyta.
Dziękuję za odpowiedzi. Troszkę zmodyfikuję pytanie. Często spotykam się w różnych miejscach sieci ze stwierdzeniem, że "porządny administrator" powinien mieć pełną świadomość tego co instaluje na serwerze. Zazwyczaj na takim stwierdzeniu się wszelkie wytłumaczenia kończą. Nikt nie rozwija, co kryje się za tym pojęciem, ale ja uważam, że chyba nie chodzi o listę aktualizacji z apt-geta, yuma, czy też innego menadżera pakietów.
Czy Wy w pracy/nauce/praktyce stosujecie jakieś metody tego "świadomego" instalowania? Czy np. pomimo skonfigurowanych źródeł stosujecie sprawdzanie sum kontrolnych przed instalacją danego pakietu? Czy stosujecie np. jeden serwer jako źródło aktualizacji dla reszty maszyn, na który trafiają tylko "zweryfikowane" (tylko pytanie w jaki sposób zweryfikowane?) pakiety? Czy stosujecie bardziej
Nikt nie rozwija co kryje się za tym pojęciem, ale ja uważam. że chyba nie chodzi o listę aktualizacji z apt-geta, yuma, czy też innego menadżera pakietów.
Ależ dlaczego nie? Z reguły to co proponuje zarządca pakietów należy instalować, gdyż mogą tam być łaty kluczowe dla bezpieczeństwa systemu, szczególnie gdy dotyczą one aplikacji sieciowych działających na serwerze. Jednak jeśli wiesz co robisz, i nie chcesz instalować jakiejś konkretnej aktualizacji, to możesz z niej zrezygnować. Ja raczej ograniczam się do porządnego przetestowania zaktualizowanej aplikacji, i jeśli wszystko gra to na tym moja rola się kończy. Na tym polega właśnie ,,świadome instalowane'' w przypadku aktualizacji. Za tym pojęciem oczywiście kryje się jeszcze druga rzecz, tzn. nie instaluje się aplikacji, które nie są potrzebne do produkcyjnego działania serwera. W ten sposób nie otwierasz dróg potencjalnych ataków. Im więcej usług nasłuchuje na portach serwera, tym więcej roboty ma administrator w ich zabezpieczaniu. Proste.
