Ce 4 octobre, Félix Hauri a écrit:
> On Fri, 4 Oct 2002, Daniel Cordey wrote:
> > Et d'autres distribs possèdent AUSSI un méchanisme de mise-a-jours en ligne.
>
> Certainement, mais Anne à tout de même écrit ``beaucoup bossé''!
Oui. Le vrai point n'est pas de patcher mais de trouver dans notre
réseau les machines qui sont vulnérables puis de trouver les managers
et parfois (rarement) leur donner un coup de main pour patcher.
Sans parler des cas où apache avait été compilé avec openssl en
statique et que donc patcher ne suffit pas et que les managers
ne le savent pas/plus toujours... Dans une école, les managers
changent, etc.
Le bilan que nous en tirons, je le garde pour nous...
L'histoire avec les mises à jour, c'est que mettre à jour pour la
sécurité et les bugs quand ça ne change pas le comportement, d'accord.
Mais dans certains cas, ce n'est pas aussi simple. Bien sûr, nous, les
techies, nous savons nous rendre compte. Mais le commun des mortels...
>
> > Avec une SuSe 8.0 (Yast2), j'ai ainsi installé ~80 patchs dont plus de 40
> > sont des patchs de sécurité. C'est très facile à faire et je conseille de le
> > faire régulièrement (quelque soit la distrib !).
Il faudrait pouvoir patcher uniquement ce qui est sécurité.
> > Perso, je le fais 1-2 fois
> > par semaine... et mon sytème fonctionne toujours :-)
>
> Pour ma part, j'ai mis:
>
> ``30 4 * * * apt-get -qqqy update && apt-get -qqsy dist-upgrade''
>
> dans le crontab du root, et je ne fais plus rien;)
> ``apt-get -qqqy update'' met silencieusement à jour la base de donnée
> de paquets disponibles
> et ``apt-get -qqsy dist-upgrade'' simule une mise à jour des paquets, mais
> ne fait rien!
> (Important car les mises à jours
> impliquent parfois un dialogue
> administrateur)
>
> Le tout en silence tant que rien n'est à mettre à jour.
>
> CRON m'envoie un mail dès que la simulation aurrait quelque-chose à faire.
> Je suis donc informé de la nécessiter d'effectuer l'opération chaque jours
> s'il y a lieu, et pas dérangé sinon.
J'ai un outil similaire, autorpm. Mais je n'ai plus trouvé le temps
de suivre les dernières versions ni de faire en sorte qu'il
ne considère que ce qui concerne la sécurité. Ni de trouver la bonne
solution pour les dépendances. Trop sur la pile...
Mais nous avons un très bon responsable de la sécurité qui nous dit
ce qu'il faut absolument patcher, etc cela, je le fais toujours
immédiatement. Mais ce n'est pas ce que je fais qui compte, c'est ce
que la communauté fait. Pour ce ver par exemple, nous sommes tou.te.s
solidaires. Le réseau est rempli de paquets de ce ver...
Tout cela est très bien car rend à nouveau attentif à la sécurité.
Combien de machines avaient le port 443 ouvert alors que ce n'était
pas utilisé...
Anne
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se désabonner aussi.
