"Pembaruan yum" otomatis untuk menjaga keamanan server - pro dan kontra?

8

Saya sedang mempertimbangkan untuk menambahkan cronjob yang berjalan yum -qy updatesecara teratur pada beberapa mesin yang tidak mendapatkan perawatan rutin. Tujuannya adalah untuk menjaga mesin tetap mutakhir sehubungan dengan patch keamanan yang jika tidak akan diterapkan terlambat. Saya hanya menggunakan repositori dasar CentOS.

Pertanyaan:

  • Dalam pengalaman Anda - seberapa "aman" pendekatan ini? Haruskah saya mengharapkan pembaruan yang gagal sesekali? Kira-kira seberapa sering pendekatan ini membutuhkan reboot?
  • Pro / kontra atau gotcha lainnya dengan pendekatan ini?
  • Bagaimana Anda menjaga mesin Anda mutakhir menggunakan otomatisasi?
Knorv
sumber
2
ganti yum -qy dengan: / usr / bin / yum -R 120 -e 0 -d 0 -y pembaruan yum AND / usr / bin / yum -R 10 -e 0 -d 0 -y pembaruan
Adam Benayoun
Adam: Terima kasih atas saran Anda. Bisakah Anda menjelaskan mengapa itu lebih baik?
knorv
1
Pertama Anda memperbarui yum kemudian Anda memperbarui paket, -R berarti bahwa ia memberikan waktu tunggu perintah maksimum, yang berarti tidak akan habis jika saya benar. -e dan -d hanya tingkat kesalahan / debug
Adam Benayoun
Saya tidak yakin tentang "-R [waktu dalam menit]" - "mengatur jumlah waktu maksimum yang akan ditunggu yum sebelum melakukan perintah - ini akan diacak dari waktu ke waktu". Sepertinya yum akan menunggu rand () * menit sebelum mengeluarkan perintah? Apakah itu bagus? :-)
knorv

Jawaban:

6

Tergantung

Dalam pengalaman saya dengan CentOS cukup aman karena Anda hanya menggunakan repositori dasar CentOS.

Jika Anda mengharapkan pembaruan yang gagal sesekali ... ya ... pada tingkat yang sama Anda harus mengharapkan hard drive yang gagal atau CPU yang gagal sesekali. Anda tidak pernah dapat memiliki terlalu banyak cadangan. :-)

Yang menyenangkan tentang pembaruan otomatis adalah Anda mendapatkan tambalan (dan karenanya lebih aman) lebih cepat daripada melakukannya secara manual.

Tambalan manual sepertinya selalu didorong keluar atau dianggap sebagai "prioritas rendah" untuk banyak hal lain, jadi jika Anda akan pergi ke mode manual JADWAL WAKTU PADA KALENDER ANDA untuk melakukannya.

Saya telah mengkonfigurasi banyak mesin untuk melakukan auto yum udpates (melalui cron job) dan jarang mengalami masalah. Bahkan, saya tidak ingat pernah memiliki masalah dengan repositori DASAR. Setiap masalah yang bisa saya pikirkan (dari atas kepala saya, dalam pengalaman saya) selalu menjadi situasi pihak ke-3.

Yang sedang berkata ... Saya punya beberapa mesin yang secara manual saya perbarui. Hal-hal seperti server basis data dan sistem kritis lainnya SANGAT SENANG saya suka memiliki pendekatan "langsung".

Cara saya menemukan jawabannya adalah seperti ini ... Saya memikirkan skenario "bagaimana jika" dan kemudian mencoba memikirkan berapa lama untuk membangun kembali atau memulihkan dari cadangan dan apa (jika ada) yang akan hilang .

Dalam hal beberapa server web ... atau server yang isinya tidak banyak berubah ... Saya teruskan dan lakukan pembaruan otomatis karena jumlah waktu untuk membangun kembali / memulihkan sangat minim.

Dalam kasus server database kritis, dll ... Saya menjadwalkan waktu seminggu sekali untuk memeriksanya dan secara manual menambalnya ... karena waktu yang dibutuhkan untuk membangun kembali / memulihkan lebih memakan waktu.

Bergantung pada server apa yang Anda miliki di jaringan Anda dan bagaimana rencana cadangan / pemulihan Anda diimplementasikan, keputusan Anda mungkin berbeda.

Semoga ini membantu.

KPWINC
sumber
6

Pro : Server Anda selalu berada pada tingkat patch terbaru, biasanya bahkan terhadap eksploitasi 0 hari.

Con : Kode apa pun yang berjalan di server Anda yang menggunakan fitur yang dihapus di versi yang lebih baru, file konfigurasi apa pun yang mengubah sintaksis, dan "fitur" keamanan baru apa pun yang mencegah eksekusi kode yang dapat dieksploitasi dapat menyebabkan hal-hal yang berjalan pada server itu rusak tanpa Anda mengetahuinya sampai seseorang memanggil Anda dengan masalah.

Praktik terbaik: Minta server mengirimi Anda email saat perlu diperbarui. Cadangkan atau ketahui cara memperbarui roll-back.

Karl Katzke
sumber
+1 - Saya sangat menyarankan untuk mendaftar ke milis centos, mereka melakukan pekerjaan yang baik dalam mendorong pemberitahuan tentang tambalan dan prioritas sebelum didorong ke repositori.
Adam Benayoun
3
Tidak ada patch terhadap eksploitasi 0 hari, menurut definisi. Eksploitasi 0 hari adalah eksploitasi yang belum ada tambalannya.
MarkR
Saya menganggap 0 hari sebagai hari ditemukan / dieksploitasi / diumumkan, dan Redhat biasanya menambal kerentanan parah dalam beberapa jam - yang, kebetulan, masih pada hari ditemukan.
Karl Katzke
2

Di atas apa yang dikatakan kebanyakan orang di sini, saya sangat merekomendasikan untuk mendaftar ke milis centos, mereka selalu memposting email tentang tambalan dan prioritas mereka tepat sebelum mereka mendorong mereka ke repositori. Sangat berguna untuk mengetahui terlebih dahulu paket apa yang perlu ditingkatkan.

Pengaturan saya memungkinkan yum untuk memperbarui sistem sekali sehari secara otomatis, saya membuat Anda mengirim email kepada saya dengan paket yang diinstal atau ditingkatkan setelahnya. Saya juga menerima email ketika Anda memiliki konflik dan membutuhkan intervensi manual (setiap 4 jam).

Sampai sekarang, semuanya berjalan dengan lancar (selama lebih dari 4 tahun sekarang), satu-satunya waktu saya tertangkap offguard adalah ketika yum memutakhirkan kernel biasa (saya memvirtualkan server saya) dan mengubah grub dan mendorong kernel biasa sebagai default, 2 minggu kemudian selama pemeliharaan sistem saya reboot dan semua server virtual saya hilang selama beberapa menit sampai saya harus campur tangan secara manual.

Selain itu, saya tidak benar-benar memiliki masalah.

Adam Benayoun
sumber
1

selama Anda tidak memiliki paket khusus, dan hanya menggunakan repositori Base dari CentOS, itu seharusnya cukup aman.

juga, cara yang lebih baik untuk mencapai ini adalah dengan menggunakan yum-updatesd dengan do_update = yesset.

dlu
sumber
1
Layanan yum-updatesd tidak cukup matang untuk lingkungan perusahaan, dan layanan dapat memperkenalkan overhead yang tidak perlu. Saya akan menggunakan: / usr / bin / yum -R 120 -e 0 -d 0 -y pembaruan yum DAN / usr / bin / yum -R 10 -e 0 -d 0 -y pembaruan
Adam Benayoun
0

Saya kira selama Anda memiliki backup otomatis, itu tidak akan terlalu mengkhawatirkan, selama Anda dapat hidup dengan downtime server.

Saya belum mencoba ini; Saya tidak ingin secara pribadi karena ada risiko yang signifikan untuk memecahkan sesuatu atau memiliki masalah yang tidak biasa diperkenalkan karena perbaikan hulu. Lebih buruk lagi jika ini adalah server yang jarang mendapat perhatian sehingga jika ada masalah Anda mungkin tidak mengetahuinya.

Jika Anda dapat hidup dengan server yang dipermasalahkan untuk jangka waktu tertentu jika / ketika ada sesuatu yang rusak, dan Anda memiliki rencana respons untuk mengembalikan sistem kembali ke keadaan sebelumnya serta sistem untuk mengirimi Anda pembaruan melalui log atau email melaporkan kapan dan apa yang telah diperbarui (sehingga Anda tahu itu tidak dalam kondisi macet atau menunggu balasan untuk sesuatu yang memerlukan intervensi) maka Anda dapat mencobanya. Jika itu server kritis atau sesuatu yang penting ... Saya tidak ingin mengambil risiko.

Server saya bukan milik Anda :-)

Bart Silverstrim
sumber