Опубликован (http://www.awe.com/mark/blog/20090902.html) отчет с анализом рисков, которым подвергаются пользователи необновленной версии RHEL 5.3. В отчете представлены обобщенные данные по уязвимостям, исправленным в промежутке между выходом релизов RHEL 5.3 и 5.4. За 7 месяцев было устранено 9 проблем, имеющих статус критических, семь из которых связаны с ошибками в Firefox и по одной проблеме в kdelibs (https://rhn.redhat.com/errata/RHSA-2009-1127.html) и библиотеке NSS (https://rhn.redhat.com/errata/RHSA-2009-1186.html). Благодаря использованию в дистрибутиве технологии ExecShield, защищенных вариантов malloc/free и активации FORTIFY_SOURCE опции glibc (дополнительная внутренняя проверка выхода за пределы буфера для функций, таких как strcpy), три проблемы (dhclient (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-0692), NTP (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-1252) и kerberos5 (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-0846)) были защищены от выпо...URL: http://www.awe.com/mark/blog/20090902.html
Новость: http://www.opennet.me/opennews/art.shtml?num=23333
да, это добрая тема
большее время поддержки на типовых юниксовых сервисах, способных работать годами, это гуд
>семь из которых связаны с ошибками в FirefoxВ соседней теме всерьез предлагают ставить на каждый сервер, обязательно в бандл (что бы обновить было тяжело) именно FireFox :))
Ну так то ж крутые админы \m/ \m/. Хотя это еще что, я вот на виндовом доменном контроллере видел сильверлайт и апдейт меняющий мажорную версию IE, так что местные админы еще не самые крутые. Некоторые пошли чуть дальше и допускают мысль не только о ходьбе в интернет браузером с боевого сервака но и мысль о том что можно ходить в интернет браузером с стремными довесками прямо с сервака который не просто "боевой" а, пардон, авторизует всех юзеров домена и потому является довольно интересной мишенью хацкеров.
>В соседней теме всерьез предлагают ставить на каждый сервер, обязательно в бандл (что бы обновить было тяжело) именно FireFox :))Так как это речь о моём посте, поясняю. Некая sHaggY_caT продолжает врать, не знаю уж почему. Оригинальное сообщение выглядит так: "Или FireFox - нужен на сервере очень редко, но тянет за собой пол-дистрибутива зависимостей.". "Очень редко" трансформировалось в "каждый сервер".
Вообще не понятно, зачем на сервере гуя и в частности гуевый браузер. Чтобы скачать что либо есть wget, а лазить по вебу с сервака совсем не православно ;).
Вообще не понятно, куда им время?
Пиво пить?
Вон фря работает годами, умелый админ в три движения поставит/выправит ее в/из любую позу. И простой измеряется еденицами часов в год.Нафига все эти монструозы?
Или считается время между звонком в техподержку и приходом инструкций?
Поиск оптимума, и по башке не получить и пиво успеть попить.
>Вон фря работает годами, умелый админ в три движения поставит/выправит ее в/из любую позу.Это приемлимо только в маленьких сетях. У нас несколько тысяч серверов на FreeBSD, мы никогда не обновляем систему 6.3 >> 6.4, 6.3 >> 7.2 и т д.
Простой из-за того,что что-то все-таки не срастется, и из-за того, что такое обновление это всегда ручная работа, неприемлим.
Мы и фревые и линуксовые серверы всегда заливаем по стандартному шаблону через PXE.
В случае необходимости обновления системы, сервисы поднимаются на временном сервере, перезаливается система(тестируется, и т д), а потом сервисы переезжают назад.Когда серверов 5-10, да, можно и на линуксе делать apt-get dist-upgrade, yum upgrade, и т д, и все будет работать, если повезет, и руки не очень кривые :)
Вы мне в сертификационных таблицах всякого промышленного софта, аля Оракл, найдите фрю, я подумаю - может она действительно так хороша....
У нас в компании тоже на FreeBSD серверов предостаточно, все обновляются нормально, на паре серверов всё собирается, потмо маунтится по nfs и обновляется, пачками всё обновляется, машинки бегают на webserver сообщают свой uname и если приказанно то лезет обновляться. Скрипт причём примитивный.
Мы так делать не рискуем... Ставим только единичные пакеты(тоже собранные на специальном сервере, если фря, или с локального зеркала, если Linux), если какая-то дырка, а так, стараемся переписать шаблон под сервис, если нужно в него что-то добавить.А как вы узнаете, на каком именно сервере какую версию пакета нужно обновить, и как тестируете на предмет багов?
> и как тестируете на предмет багов?сколько раз я слышал от "опытных" программистов: "какие баги? в моем коде нет багов. зачем мне QA?". наверное в среде системных администраторов тоже полно таких "опытных" :-)
>сколько раз я слышал от "опытных" программистов: "какие баги? в моем коде
>нет багов. зачем мне QA?".Это стандартно для программистов. Хотя нет, это стандартно вообще для людей - ну кто же захочет видеть огрехи в своей работе?!Правильно - очень немногие.Свои результаты труда по определению кажутся человеку хорощими.Как же так - ведь он старался. А значит результат не может быть плохим. Правда баги - это не "плохо", это просто жизненно.Они - были, есть и будут есть, даже если некоторые и предпочитают их не замечать :P.
я не пойму одного нах в серверном дистре иксы ???? плюс гном по дефолтуа бедный ЭМСИ немогут по дефолту врубить
и вечно тянет за собой капс сендмейл даже если отрубаешь их при инсталляции
тянет нах авахи тянет блуетуз которого ващеприходится переправлять файлик чтобы он не тянул всю херню
убираешь галочку сендмейл он поставит вам постфикс ))) какая радость
пс: я выбираю RHEL
Я пока леньсь кикстартом пользоваться - накатал скриптец, который после установки Base удаляет всё ненужное, ставит всё нужное и меняет настройки (типа, заведение пользователей, правка sudoers, правка ssd_config, чтобы рутом не пущало и прочее)
Кикстарт это очень просто :) правда:)) разобраться и настроить можно за один вечер, написать его под сервис можно за время установки Вашего типового сервера + 10 минут.Технология экономит просто потрясающее количество времени :)
Для серверов Fujitsu срок поддержки RHEL уже продлён:
https://www.redhat.com/about/news/prarchive/2008/fujitsu-mc-...