Sysadm: Sentimentale Stoddere...

Jeg er ved at gøre klar til at opdatere mit lokale driftmiljø til FreeBSD 9-stable og så opdager man pludselig:

d12# uname -v  
FreeBSD 7.2-STABLE #0: Fri May 15 10:48:53 UTC 2009 [...]  
d12# uptime  
1:28PM  up 983 days, 22:16, 1 user, load averages: 0.00, 0.04, 0.00  
d12#  

Der er ikke ret meget at gøre, er der ?

Jeg bliver nødt til at vente mindst 17 dage med at opdatere den maskine.

Nu jeg tænker over det, var det vist samme type ræsonnement der førte til at den aldrig kom fra 7-stable til 8-stable...

Jeg er lidt sentimental når det drejer sig om uptimes.

De første versioner af "386bsd 0.1-new" crashede hvis man trykkede CTRL-C eller på anden vis prøvede at sende et signal og siden er det gået slag i slag med at forbedre stabiliteten af FreeBSD indtil vi nu om dage er mere tænker over uptime, med mindre man diskuterer deregulering af elnettet.

Netop denne maskine styrer min 12/24V lavspændingsforsyning til mit lab som har 200Ah blybatteri som backup og den er derfor skånet for utilsigtede konsekvenser politiske strømninger.

En gang imellem er det rart at blive mindet om hvor langt vi egentlig er kommet...

phk

Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Når den så har kørt 1000 dage, så skal den da også have lov til at komme op på 1024 dage. Og så lige op til 1096 dage, så den har kørt tre år. Og så skal den da også have lov til at have kørt i 100 000 000 sekunder (= 1157 dage, 9 timer, 46 minutter og 40 sekunder). Og sådan kan det blive ved... :-)

  • 25
  • 0
Karsten Bolding

... men

kb@femern:~$ uname -a
Linux femern 2.6.26-2-686-bigmem #1 SMP Thu Mar 26 02:03:34 UTC 2009 i686 GNU/Linux
n01: 14:21:15 up 1 day, 2:52, 0 users, load average: 0.00, 0.00, 0.00
n02: 14:21:15 up 879 days, 2:44, 0 users, load average: 0.07, 0.02, 0.00
n03: 14:21:15 up 999 days, 40 min, 0 users, load average: 0.00, 0.00, 0.00
n04: 14:21:15 up 999 days, 32 min, 0 users, load average: 0.00, 0.00, 0.00
n05: 14:21:15 up 999 days, 40 min, 0 users, load average: 0.00, 0.00, 0.00
n06: 14:21:15 up 999 days, 34 min, 0 users, load average: 0.00, 0.00, 0.00
n07: 14:21:15 up 999 days, 34 min, 0 users, load average: 0.00, 0.00, 0.00
n08: 14:21:14 up 999 days, 21 min, 0 users, load average: 0.00, 0.00, 0.00
n09: 14:21:15 up 999 days, 57 min, 0 users, load average: 7.00, 7.00, 7.00
n10: 14:21:15 up 999 days, 35 min, 0 users, load average: 7.06, 7.01, 7.00
n11: 14:21:15 up 999 days, 46 min, 0 users, load average: 10.01, 10.01, 10.00
n12: 14:21:15 up 999 days, 47 min, 0 users, load average: 8.00, 8.00, 8.00
n13: 14:21:15 up 999 days, 51 min, 0 users, load average: 0.00, 0.00, 0.00
n14: 14:21:15 up 999 days, 41 min, 0 users, load average: 0.00, 0.00, 0.00
n15: 14:21:15 up 999 days, 36 min, 0 users, load average: 0.00, 0.00, 0.00
n16: 14:21:15 up 999 days, 49 min, 0 users, load average: 0.00, 0.00, 0.00

n01 kunne remote rebootes i går via DRAC.
n02 havde en hardware fejl.

Noderne er benyttet til CFD - og de har fået lov at svede de sidste knapt 3 år.

Karsten

PS: Frontenden :-)
14:25:28 up 1005 days, 2:22, 12 users, load average: 0.02, 0.03, 0.00

  • 3
  • 0
Mikkel Høgh

Nu bruger jeg også FreeBSD på firmaets serverpark (samt firewalls, NAS-bokse mv.), så jeg studser lidt over at du slet ikke har rebootet maskinen i små tre år – hvordan så med sikkeredsopdateringer? Nu kører jeg jo typisk på -RELEASE, og der er vi jo oppe i (svjh) 8.2-p4, 8.1-p7 osv. Godt nok er det ikke alle opdateringer der rører ved kernen, men hvad med dem, der gør?

Jeg har godt hørt om at man kan lave nogen tricks med at indlæse en ny kerne mens systemet kører, men det har aldrig rigtig synes at være besværet værd i min optik :)

(Og er stadig meget betaget af hvor solidt FreeBSD er efter vi for nogen år siden skiftede fra Linux, det er godt, gedigent håndværk – tak for det)

  • 8
  • 0
Baldur Norddahl

Maskinen har ikke nogen udadvendte services og står bag en firewall, så den har ikke været i nærheden af nogle relevante advisories.

Dit net er sikkert lille nok til at du har helt styr på alt, men generelt er det en dårlig taktik. Skidt og møg kan komme ind via andre maskiner og derfra ramme servere der ellers er beskyttet af "firewall". Hele princippet med én firewall til at beskytte netværket er rådent.

Jeg kender til en større producent af medicin, som har et internt "måleapparat-netværk" som er så følsomt at det er helt afskærmet fra omverden. Der er simpelthen ikke internet. Alle serverne er selvfølgelig smittet med et botnet. Hvordan det er kommet ind vides ikke, men da det først var inde, snuppede det naturligvis samtlige servere, da ingen af dem var opdaterede.

  • 4
  • 0
Jesper Lund Stocholm Blogger

Alle serverne er selvfølgelig smittet med et botnet. Hvordan det er kommet ind vides ikke, men da det først var inde, snuppede det naturligvis samtlige servere, da ingen af dem var opdaterede.


Det minder mig om da min daværende arbejdsplads blev ramt af "Code Red". Her blev det interne net også smittet "indefra", bag alt vores fine sikkerheds-isenkram/software.

  • 2
  • 0
Torben Frandsen

Jeg husker hvordan jeg følte mig lidt pigesur for år tilbage. Jeg havde forladt en virksomhed, og det kom mig for øre at min afløser på posten havde genstartet en Windows 2000 box. Den havde på det tidspunkt gjort sit arbejde upåklageligt og uden afbrydelse i over 1½ år.

  • 0
  • 0
Baldur Norddahl

Baldur, du har stadig ikke forstået "ingen udadvendte services".

Min kommentar var generel og ikke specielt møntet på dit setup, som jeg naturligvis ikke ved noget om. Min anke gik på at du antydede at en firewall var tilstrækkelig beskyttelse "Maskinen har ikke nogen udadvendte services og står bag en firewall".

Men hvis vi skal køre rundt i den specifikke case: Kan den modtage netværkspakker? Hvis ikke, hvorfor skrev du så ikke at den ikke har noget netkort? For at være lidt fræk: Kan du huske ping-of-death? Måske ikke "komprimeret" men et eksempel på DOS der virkede imod stort set alt der kunne modtage trafik. Hvis maskinen laver udgående trafik, UDP, TCP, NTP? så kan denne trafik hijackes (specielt hvis peer er hacket!).

Nu kan vi antage at du er mere end almindeligt velunderrettet og vil vide hvis der var relevante patches. Men ellers er eneste beskyttelse imod den slags, f.eks. ping-of-death, at sørge for at maskinerne er opdateret.

Hvis man skal bruge en central firewall til beskyttelse en sådan maskine, så skal den over på dens eget vlan. Da kan din firewall helt forhindre uvedkommende trafik, inklusiv ping, også fra andre lokale maskiner på dit netværk. Det hjælper så stadig ikke på tilfældet, hvor ntp serveren er hacket og kan udnytte en svaghed i ntp klienten.

  • 2
  • 0
Robert Larsen

Nu er det jo sådan at PHK sikkert kun har unix maskiner alle open source, han har et lille netværk og en firewall, så han kan i sin vildeste fantasi ikke forstille sig at hans netværk skulle blive kompromitteret, jeg kender selv følelsen - den er skøn ;-)

Eller også er PHK kerne udvikler og har ret godt styr på hvilke opdateringer, der er relevante for ham og ville have opdateret sin server for længst, hvis der havde været et problem, som en opdatering ville have løst.

  • 4
  • 2
Jens Pedersen

Synes nu det er meget friskt at du forsøger at belære PHK om it-sikkerhed ;)

Personligt er jeg ret overbevist om at PHK har ret godt styr på det :)

Om der så er kommet nok så mange patches til FreeBSD og dertilhørende kodestumper, så er de jo komplet irrelevante for en maskine, hvis ikke de adresserer et specifikt problem der vedrører en service som den pågældende maskine er "lydhør" overfor.

Siden 17. maj 2009 er der kommet 45 security advisories til FreeBSD og dertil standard tilknyttede kodestumper.

Du kan selv gå ind på linket herunder og se om der er bare én af dem der er relevante for en maskine der ikke har en default route og som ikke har én eneste udadvent service.

http://www.freebsd.org/security/advisories.html

Når du har gjort det kan du vende tilbage og berige os andre med dine nye erfaringer og forklare hvorfor det ikke skulle være safe at have en sådan maskine stående :)

  • 10
  • 1
Morten Jensen

@Jimmy Krag

Og så er der jo også de opdateringer der introducerer nye problemer, ej at forglemme.

Det er vist især en Ubuntu specialitet ;) og efter min erfaring ikke så alment et problem på STABLE-branches og long term support distroer. På FreeBSD er det typisk gået smertefrit - OpenBSD derimod hahaha :D! Det er længe siden jeg sidst har haft fornøjelsen, men jeg vil varmt anbefale det til masochisterne derude.

Jeg har derimod været ekstremt opmærksom på hvad jeg opdaterer på min ubuntu-baserede desktop distro de sidste to års tid. Der er nogle gange røget en key-feature eller to i svinget når jeg har opdateret blindt..

  • 1
  • 0
Claus Stovgaard

Jeg er generelt imod lange oppetider på alt det der kører i produktion, med services til nettet. Lang oppetid betyder ofte sløv sysadmin, da det er vigtig at have sikkerhedsopdateringer (også til kernen), og være sikker på at kunne komme hurtigt op efter en genstart af serveren (Strømnedbrud, PSU fejl, andet).

Men kan sagtens se det sentimentale i at man lader en specifik maskine stå, hvis man vurdere at den ikke kan være til fare.

F.eks. har mit kollegie en gentoo maskine som tidligere har kørt server, som på nuværende tidspunkt ikke køre andet end ssh og irssi. Den befinder sig meget lukket, og får alle opdateringer på nær kernen løbende. Det betyder så også at udev er skiftet, og init er skiftet over til openrc, så vil den sikkert ikke kunne starte på den kerne igen.

frosteyes@tara ~ $ uname -a  
Linux tara 2.6.19-gentoo-r5-HCO #7 Thu Feb 22 08:04:55 CET 2007 i686 Pentium III (Coppermine) GenuineIntel GNU/Linux  
frosteyes@tara ~ $ uptime   
 22:14:43 up 1730 days,  4:20,  2 users,  load average: 1.35, 0.70, 0.27
  • 0
  • 0
Dennis Schafroth

Er der udviklet "ksplice" til FreeBSD? Det virkeder ganske glimrende til Linux for det blev snuppet af Oracle.

Ikke meget med oppetider, men PHK, har du publiceret designet af lavspændingsanlæget ? Jeg kunne godt tænke mig at samle de mange strømforsyninger til færre (men gerne redudante). Jeg må indrømme at jeg ikke har rodet meget med strøm siden studietiden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere