Winfried Tilanus schreef: > On 09/16/2009 Paul van der Vlis wrote: > > Hoi, > >> Na hoeveel dagen komen security-updates toch in stable terecht als je >> geen regel met "security.debian.org" in je sources.list hebt staan? > > Bij de volgende update van stable.
Ah, dan heb ik Heiko verkeerd begrepen... >> Ik ben eigenlijk al lang op zoek naar een methode om sommige systemen >> sneller te kunnen voorzien van security-updates dan andere systemen, >> waarbij die eerste systemen dan een soort praktijktest vormen voor de >> andere. > > Ik denk dat je de verkeerde kant op denkt. Niets belet je om te wachten > met je "aptitude upgrade" tot je op een ander systeem de upgrade > voldoende getest hebt. En als er meerdere updates in de rij staan, kan > je een van de packages updaten met: "aptitude install <paketnaam>" Daar valt over na te denken, maar ik verwacht dat het lastig werkt. > Of om het anders te zeggen: zeker in een (bedrijfskritische) productie > omgeving is er veel voor te zeggen om ook security-updates niet direct > te installeren, maar eerst te testen (of af te wachten of anderen > problemen ondervinden). Maar als je niet klakkeloos de updates van > security.debian.org wilt overnemen, dan kom je in het edelere handwerk > terecht. Automatische 'patch-management' werkt dan niet meer. > > Wanneer dat moment is dat je je productie omgeving gaat upgraden, is > namelijk niet algemeen te zeggen. In een 0-day situatie waarbij er een > remote command execution is die al veel misbruikt wordt, zou ik > bijvoorbeeld veel sneller upgraden dan bij een lokaal > veiligheidsprobleem waar nog geen exploits voor bekend zijn. Inderdaad, maar een default met een paar dagen verschil zou mooi zijn. In de praktijk komen 0-day situaties gelukkig niet vaak voor. > Ook zou ik bijvoorbeeld op de chatservers die ik beheer een upgrade aan > de xmpp-library die ik gebruik veel beter testen dan een upgrade aan de > mailserver die op die machines 'alleen maar' dient voor het forwarden > van berichten aan root. Klopt. Met vriendelijke groet, Paul van der Vlis. -- http://www.vandervlis.nl/ -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
