Hvor hurtigt patcher du din Internetserver?

Jeg ved dette blogindlæg at lidt kildent, men jeg prøver lige at udfordre jer på jeres ærlighed. Vi havde en god diskussion for et par uger siden om serversikkerhed, og tillad mig at vende tilbage til det område. Hvis du driver en BSD/Linux-server, koblet til Internettet - hvordan er din patch-politik og hvor hurtigt patcher du din maskine(r)?

Grunden til at jeg skriver at dette emne er lidt kildent er, at det nemme svar er "jeg smider alt jeg har hvert 5. minut, kigger efter om der er sikkerhedspatches, og så installerer jeg dem". Jeg synes emnet er lidt interessant, fordi de procedurer man anvender som sysadmin altid vil være en afvejning af risiko og tidsforbrug.

Patcher du "så hurtigt som muligt", "en gang per dag", "jeg får ikke lov på drift maskiner", "vi patcher kun hvis vi mener det kan ramme os"''?

Jeg selv kører (bl.a.) med Hobbit, som overvåger min (Debian/Ubuntu) apt-status hvert 5. minut og er der pakke-opdateringer, så sendes mail til mig med det samme. Mailen gentages hver 2. time for at irritere mig selv ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=") indtil jeg har opdateret. Jeg opdaterer normalt indenfor en time eller to fra at jeg har set mailen.

Jeg opdaterer normalt kun svarende til de pakker, som kommer ud via den distribution, jeg kører med. Er der nogen som opdaterer med custom-pakker før der er "rigtige" pakker FreeBSD, Ubuntu, Debian, U-name-it....''

/pto

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jeppe Toustrup

Jeg plejer at tjekke med "apt-get update && apt-get upgrade" et par gange om ugen, for om der skulle være kommet opdateringer til pakker. Jeg kigger normalt ikke nærmere på hvad der er ændret i pakkerne, med mindre der er store spring i versions numre, eller det vedrører enkelte software projekter hvor jeg følger ekstra med i udviklingen af nye features.

  • 0
  • 0
#2 Mads Olesen

Jeg administrerer et par Ubuntu servere i forskellige kontekster, og opdaterer generelt ret konservativt. Ingen opdateringer kommer ind før jeg er sikker på om de er nødvendige og jeg har en ide om hvad risikoen er. Så normalt holder jeg øje med det et par gange om ugen, men opgraderer nok kun et par gange om måneden medmindre der er noget kritisk.

Jeg har udviklet et lille værktøj til at hjælpe mig med dette workflow, kaldet MultiADM. Det er et grafisk værktøj der kan holde øje med hvilke opgraderinger en Debian/Ubuntu maskine mangler (ved at logge ind over ssh). Siden er der dog også kommet understøttelse for Typo3 og Wordpress, så jeg har et samlet overblik. Det kan findes på http://launchpad.net/multiadm , og burde køre på Ubuntu 10.04.

  • 0
  • 0
#4 Peter Holm Jensen

men skulle nogen hacke den, tja så kan det også være ligemeget, så har jeg en god backup. Følger lidt med om der skulle være nogle vigtige opdateringer, men for det meste er de security ting der kommer op ikke noget der burde betyde noget for mine servere. Det skal siges at jeg aldrig er blevet hacket (så vidt vides), men har dog set sære ting i logfilerne (som bliver læst løbende) enkelte gange, og dette har i et enkelt tilfælde ført til at jeg opdaterede. Hvis jeg havde business servere der bare skulle køre 24/365 så ville jeg være mere oppe på mærkerne.

  • 0
  • 0
#5 Deleted User

Det kommer lidt an på hvad der er for en webserver, den som jeg hoster på den bliver opdateret en gang om ugen hvis der ikke er noget kritisk, men jeg tjekker via apt og så fra min leverandør.

Hvis det er en webserver jeg bruger til dokumentation, så har jeg lukket af for alt udefra med undtagelse af apache som jeg beskytter med bådee htaccess og det login der er i dokuwiki, så skjuler jeg versionen på apache med Servertokens Prod. den server opdaterer jeg kun sjældent.

  • 0
  • 0
#6 Christian E. Lysel

Det er godt nok forskelligt. Alt fra en gang om ugen, oftere hvis der er en kendt fejl. De kører dog også vserver og er nemme at "rulle" tilbage.

Nogle af systemerne har ikke haft kende fejl i de 11 år de har kørt ...

  • 0
  • 0
#7 Kenneth Holmqvist

Jeg har to opensuse dns servere i firmaet og jeg mener jeg har sat en cron job til at køre hver nat hvis jeg ikke husker helt galt. De har kørt i et par år og der er ingen problemer med dem så det er svært lige at huske hvad der er sat op på dem. Men anyways jeg bruger kun det der kommer fra novell ingen 3parts opdateringer. Men altså jeg tager et snapshot af maskinerne (vmware guests) engang om måneden så man lige kan gå tilbage.

  • 0
  • 0
#8 Peter Jespersen

Havde et cron job kørende tidligere, men løb ind i noget snavs med en PHP - det tog lidt tid at diagnostisere (var vist lidt halv dum eller vissen den weekend) men det endte med at jeg måtte nedgradere PHP'en før at Drupal opførte sig ordenligt igen. Men det gjorde at jeg slog skriptet fra og har lige siden gjort det manuelt. Da det er en openSUSE dreven server ligesom min hjemme desktop, laptop og arbejdsmaskine ser jeg lige først som dagens opgraderinger får disse til at skabe sig (det er mest kernel opdateringer de har til fælles) - ellers bliver det gerne en 2-3 gange om ugen. Enkelte programmer såsom DNSMasq kører jeg helt udenom openSUSE repo, her kigger jeg efter opdateringer hver mandag.

  • 0
  • 0
#9 Peter Toft

Det er ret interessant at læse. Jeg havde klart forventet ret få svar netop fordi det er lidt kildent... MANGE tak til jer som svarer.

Jeg kan snildt sætte mig ind i de som svarer "vi patcher nu meget nødtvungent", men det kræver også is i maven :)

  • 0
  • 0
Log ind eller Opret konto for at kommentere