Dette indlæg er alene udtryk for skribentens egen holdning.

Sysadm: Sentimentale Stoddere...

24. januar 2012 kl. 14:2728
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Jeg er ved at gøre klar til at opdatere mit lokale driftmiljø til FreeBSD 9-stable og så opdager man pludselig:

d12# uname -v
FreeBSD 7.2-STABLE #0: Fri May 15 10:48:53 UTC 2009 [...]
d12# uptime
1:28PM  up 983 days, 22:16, 1 user, load averages: 0.00, 0.04, 0.00
d12#

Der er ikke ret meget at gøre, er der ?

Jeg bliver nødt til at vente mindst 17 dage med at opdatere den maskine.

Nu jeg tænker over det, var det vist samme type ræsonnement der førte til at den aldrig kom fra 7-stable til 8-stable...

Artiklen fortsætter efter annoncen

Jeg er lidt sentimental når det drejer sig om uptimes.

De første versioner af "386bsd 0.1-new" crashede hvis man trykkede CTRL-C eller på anden vis prøvede at sende et signal og siden er det gået slag i slag med at forbedre stabiliteten af FreeBSD indtil vi nu om dage er mere tænker over uptime, med mindre man diskuterer deregulering af elnettet.

Netop denne maskine styrer min 12/24V lavspændingsforsyning til mit lab som har 200Ah blybatteri som backup og den er derfor skånet for utilsigtede konsekvenser politiske strømninger.

En gang imellem er det rart at blive mindet om hvor langt vi egentlig er kommet...

Artiklen fortsætter efter annoncen

phk

28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
22. februar 2012 kl. 12:27

Er der udviklet "ksplice" til FreeBSD? Det virkeder ganske glimrende til Linux for det blev snuppet af Oracle.

Ikke meget med oppetider, men PHK, har du publiceret designet af lavspændingsanlæget ? Jeg kunne godt tænke mig at samle de mange strømforsyninger til færre (men gerne redudante). Jeg må indrømme at jeg ikke har rodet meget med strøm siden studietiden.

28
22. februar 2012 kl. 13:31

Jeg tror roligt vi kan sige at det design jeg endte med blev noget mere indviklet end der er brug for, det er næppe nogen god rollemodel.

26
26. januar 2012 kl. 22:20

Jeg er generelt imod lange oppetider på alt det der kører i produktion, med services til nettet. Lang oppetid betyder ofte sløv sysadmin, da det er vigtig at have sikkerhedsopdateringer (også til kernen), og være sikker på at kunne komme hurtigt op efter en genstart af serveren (Strømnedbrud, PSU fejl, andet).

Men kan sagtens se det sentimentale i at man lader en specifik maskine stå, hvis man vurdere at den ikke kan være til fare.

F.eks. har mit kollegie en gentoo maskine som tidligere har kørt server, som på nuværende tidspunkt ikke køre andet end ssh og irssi. Den befinder sig meget lukket, og får alle opdateringer på nær kernen løbende. Det betyder så også at udev er skiftet, og init er skiftet over til openrc, så vil den sikkert ikke kunne starte på den kerne igen.

  1. frosteyes@tara ~ $ uname -a
  2. Linux tara 2.6.19-gentoo-r5-HCO #7 Thu Feb 22 08:04:55 CET 2007 i686 Pentium III (Coppermine) GenuineIntel GNU/Linux
  3. frosteyes@tara ~ $ uptime
  4. 22:14:43 up 1730 days, 4:20, 2 users, load average: 1.35, 0.70, 0.27

23
26. januar 2012 kl. 11:23

Og så er der jo også de opdateringer der introducerer nye problemer, ej at forglemme.

Der er vel ikke nogen som opdaterer uden at have testet opdateringen på sit testmiljø først?

13
25. januar 2012 kl. 10:09

Jeg husker hvordan jeg følte mig lidt pigesur for år tilbage. Jeg havde forladt en virksomhed, og det kom mig for øre at min afløser på posten havde genstartet en Windows 2000 box. Den havde på det tidspunkt gjort sit arbejde upåklageligt og uden afbrydelse i over 1½ år.

5
24. januar 2012 kl. 21:37

Nu bruger jeg også FreeBSD på firmaets serverpark (samt firewalls, NAS-bokse mv.), så jeg studser lidt over at du slet ikke har rebootet maskinen i små tre år – hvordan så med sikkeredsopdateringer? Nu kører jeg jo typisk på -RELEASE, og der er vi jo oppe i (svjh) 8.2-p4, 8.1-p7 osv. Godt nok er det ikke alle opdateringer der rører ved kernen, men hvad med dem, der gør?

Jeg har godt hørt om at man kan lave nogen tricks med at indlæse en ny kerne mens systemet kører, men det har aldrig rigtig synes at være besværet værd i min optik :)

(Og er stadig meget betaget af hvor solidt FreeBSD er efter vi for nogen år siden skiftede fra Linux, det er godt, gedigent håndværk – tak for det)

7
25. januar 2012 kl. 00:41

Maskinen har ikke nogen udadvendte services og står bag en firewall, så den har ikke været i nærheden af nogle relevante advisories.

8
25. januar 2012 kl. 05:57

Maskinen har ikke nogen udadvendte services og står bag en firewall, så den har ikke været i nærheden af nogle relevante advisories.

Dit net er sikkert lille nok til at du har helt styr på alt, men generelt er det en dårlig taktik. Skidt og møg kan komme ind via andre maskiner og derfra ramme servere der ellers er beskyttet af "firewall". Hele princippet med én firewall til at beskytte netværket er rådent.

Jeg kender til en større producent af medicin, som har et internt "måleapparat-netværk" som er så følsomt at det er helt afskærmet fra omverden. Der er simpelthen ikke internet. Alle serverne er selvfølgelig smittet med et botnet. Hvordan det er kommet ind vides ikke, men da det først var inde, snuppede det naturligvis samtlige servere, da ingen af dem var opdaterede.

20
25. januar 2012 kl. 14:13

Synes nu det er meget friskt at du forsøger at belære PHK om it-sikkerhed ;)

Personligt er jeg ret overbevist om at PHK har ret godt styr på det :)

Om der så er kommet nok så mange patches til FreeBSD og dertilhørende kodestumper, så er de jo komplet irrelevante for en maskine, hvis ikke de adresserer et specifikt problem der vedrører en service som den pågældende maskine er "lydhør" overfor.

Siden 17. maj 2009 er der kommet 45 security advisories til FreeBSD og dertil standard tilknyttede kodestumper.

Du kan selv gå ind på linket herunder og se om der er bare én af dem der er relevante for en maskine der ikke har en default route og som ikke har én eneste udadvent service.

http://www.freebsd.org/security/advisories.html

Når du har gjort det kan du vende tilbage og berige os andre med dine nye erfaringer og forklare hvorfor det ikke skulle være safe at have en sådan maskine stående :)

11
25. januar 2012 kl. 08:47

Hvilken del af "ingen udadvendte services" var det du ikke læste ?

Maskinen har ikke engang en default route...

14
25. januar 2012 kl. 10:22

Baldur, du har stadig ikke forstået "ingen udadvendte services".

Hvordan har du tænkt dig at kompromitere en maskine der ikke tilbyder nogen netværks-services ?

15
25. januar 2012 kl. 10:38

Baldur, du har stadig ikke forstået "ingen udadvendte services".

Min kommentar var generel og ikke specielt møntet på dit setup, som jeg naturligvis ikke ved noget om. Min anke gik på at du antydede at en firewall var tilstrækkelig beskyttelse "Maskinen har ikke nogen udadvendte services og står bag en firewall".

Men hvis vi skal køre rundt i den specifikke case: Kan den modtage netværkspakker? Hvis ikke, hvorfor skrev du så ikke at den ikke har noget netkort? For at være lidt fræk: Kan du huske ping-of-death? Måske ikke "komprimeret" men et eksempel på DOS der virkede imod stort set alt der kunne modtage trafik. Hvis maskinen laver udgående trafik, UDP, TCP, NTP? så kan denne trafik hijackes (specielt hvis peer er hacket!).

Nu kan vi antage at du er mere end almindeligt velunderrettet og vil vide hvis der var relevante patches. Men ellers er eneste beskyttelse imod den slags, f.eks. ping-of-death, at sørge for at maskinerne er opdateret.

Hvis man skal bruge en central firewall til beskyttelse en sådan maskine, så skal den over på dens eget vlan. Da kan din firewall helt forhindre uvedkommende trafik, inklusiv ping, også fra andre lokale maskiner på dit netværk. Det hjælper så stadig ikke på tilfældet, hvor ntp serveren er hacket og kan udnytte en svaghed i ntp klienten.

18
25. januar 2012 kl. 13:16

Nu er det jo sådan at PHK sikkert kun har unix maskiner alle open source, han har et lille netværk og en firewall, så han kan i sin vildeste fantasi ikke forstille sig at hans netværk skulle blive kompromitteret, jeg kender selv følelsen - den er skøn ;-)

19
25. januar 2012 kl. 13:48

Nu er det jo sådan at PHK sikkert kun har unix maskiner alle open source, han har et lille netværk og en firewall, så han kan i sin vildeste fantasi ikke forstille sig at hans netværk skulle blive kompromitteret, jeg kender selv følelsen - den er skøn ;-)

Eller også er PHK kerne udvikler og har ret godt styr på hvilke opdateringer, der er relevante for ham og ville have opdateret sin server for længst, hvis der havde været et problem, som en opdatering ville have løst.

22
26. januar 2012 kl. 00:49

Og så er der jo også de opdateringer der introducerer nye problemer, ej at forglemme.

24
26. januar 2012 kl. 20:46

@Jimmy Krag

Og så er der jo også de opdateringer der introducerer nye problemer, ej at forglemme.

Det er vist især en Ubuntu specialitet ;) og efter min erfaring ikke så alment et problem på STABLE-branches og long term support distroer. På FreeBSD er det typisk gået smertefrit - OpenBSD derimod hahaha :D! Det er længe siden jeg sidst har haft fornøjelsen, men jeg vil varmt anbefale det til masochisterne derude.

Jeg har derimod været ekstremt opmærksom på hvad jeg opdaterer på min ubuntu-baserede desktop distro de sidste to års tid. Der er nogle gange røget en key-feature eller to i svinget når jeg har opdateret blindt..

4
24. januar 2012 kl. 19:24

Jeg har det på samme måde med share ratio på en (lovlig) torrent jeg seeder. Indtil videre er den på 32620,86.

3
24. januar 2012 kl. 19:16

Hvor mange gange har du læst det her igennem inden du udgav det? :)

2
24. januar 2012 kl. 15:26

... men

kb@femern:~$ uname -a Linux femern 2.6.26-2-686-bigmem #1 SMP Thu Mar 26 02:03:34 UTC 2009 i686 GNU/Linux n01: 14:21:15 up 1 day, 2:52, 0 users, load average: 0.00, 0.00, 0.00 n02: 14:21:15 up 879 days, 2:44, 0 users, load average: 0.07, 0.02, 0.00 n03: 14:21:15 up 999 days, 40 min, 0 users, load average: 0.00, 0.00, 0.00 n04: 14:21:15 up 999 days, 32 min, 0 users, load average: 0.00, 0.00, 0.00 n05: 14:21:15 up 999 days, 40 min, 0 users, load average: 0.00, 0.00, 0.00 n06: 14:21:15 up 999 days, 34 min, 0 users, load average: 0.00, 0.00, 0.00 n07: 14:21:15 up 999 days, 34 min, 0 users, load average: 0.00, 0.00, 0.00 n08: 14:21:14 up 999 days, 21 min, 0 users, load average: 0.00, 0.00, 0.00 n09: 14:21:15 up 999 days, 57 min, 0 users, load average: 7.00, 7.00, 7.00 n10: 14:21:15 up 999 days, 35 min, 0 users, load average: 7.06, 7.01, 7.00 n11: 14:21:15 up 999 days, 46 min, 0 users, load average: 10.01, 10.01, 10.00 n12: 14:21:15 up 999 days, 47 min, 0 users, load average: 8.00, 8.00, 8.00 n13: 14:21:15 up 999 days, 51 min, 0 users, load average: 0.00, 0.00, 0.00 n14: 14:21:15 up 999 days, 41 min, 0 users, load average: 0.00, 0.00, 0.00 n15: 14:21:15 up 999 days, 36 min, 0 users, load average: 0.00, 0.00, 0.00 n16: 14:21:15 up 999 days, 49 min, 0 users, load average: 0.00, 0.00, 0.00

n01 kunne remote rebootes i går via DRAC. n02 havde en hardware fejl.

Noderne er benyttet til CFD - og de har fået lov at svede de sidste knapt 3 år.

Karsten

PS: Frontenden :-) 14:25:28 up 1005 days, 2:22, 12 users, load average: 0.02, 0.03, 0.00

1
24. januar 2012 kl. 15:07

Når den så har kørt 1000 dage, så skal den da også have lov til at komme op på 1024 dage. Og så lige op til 1096 dage, så den har kørt tre år. Og så skal den da også have lov til at have kørt i 100 000 000 sekunder (= 1157 dage, 9 timer, 46 minutter og 40 sekunder). Og sådan kan det blive ved... :-)