On 09/21/2009 10:34 PM, Huub Reuver wrote: Hoi,
> Een andere stroming is juist het voorkomen dat iemand je kernel kan > "patchen" zonder downtime. > > Heb je je al bedacht wat voor een impact ksplice heeft op je > security policy? Inderdaad een belangrijk punt. Ik heb een tijdje geƫxperimenteerd met moduleloze kernels, juist vanwege de veiligheid. Maar toen ik van hardware veranderde, bleek ik tegen een module aan te lopen die niet statisch in de kernel ingebakken kon worden (zucht). En er is ook een andere afweging: Als het het doen van updates veel ingewikkelder / tijdrovender / foutgevoeliger maakt, dan neemt de beheer(s)baarheid van de server snel af. Als je daardoor niet patcht of te lang wacht met patchen, dan heb je een groter nadeel dan het voordeel van een dichtgebakken kernel. > Ik denk niet dat ik snel een dergelijke tool zal gebruiken, maar dan > val ik waarschijnlijk al bij voorbaat niet in de doelgroep. (Te weinig > beheerder van 24/7 servers). Ik vraag me af of die tool bruikbaar is > voor servers zonder continu toezicht of zonder een heel strakke security > policy. Bij een paar servers waar ik verantwoordelijk voor ben, hechten we nogal aan veiligheid. We proberen de security policy dus ook zo strak mogelijk te houden en houden continu toezicht op de servers. Tegelijkertijd zie ik onze dienstverlening steeds meer richting 24/7 kruipen. Het vinden van een geschikt moment voor onderhoud / herstarts wordt steeds lastiger. Vandaar mijn interesse in ksplice. Als het helpt om de patches sneller uit te voeren, is het ook weer een veiligheidsvoordeel, maar dan moet het wel redelijk fool-proof zijn. groet, Winfried -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
