Ce 4 octobre, F�lix Hauri a �crit:
> On Fri, 4 Oct 2002, Daniel Cordey wrote:
> > Et d'autres distribs poss�dent AUSSI un m�chanisme de mise-a-jours en ligne.
>
> Certainement, mais Anne � tout de m�me �crit ``beaucoup boss�''!
Oui. Le vrai point n'est pas de patcher mais de trouver dans notre
r�seau les machines qui sont vuln�rables puis de trouver les managers
et parfois (rarement) leur donner un coup de main pour patcher.
Sans parler des cas o� apache avait �t� compil� avec openssl en
statique et que donc patcher ne suffit pas et que les managers
ne le savent pas/plus toujours... Dans une �cole, les managers
changent, etc.
Le bilan que nous en tirons, je le garde pour nous...
L'histoire avec les mises � jour, c'est que mettre � jour pour la
s�curit� et les bugs quand �a ne change pas le comportement, d'accord.
Mais dans certains cas, ce n'est pas aussi simple. Bien s�r, nous, les
techies, nous savons nous rendre compte. Mais le commun des mortels...
>
> > Avec une SuSe 8.0 (Yast2), j'ai ainsi install� ~80 patchs dont plus de 40
> > sont des patchs de s�curit�. C'est tr�s facile � faire et je conseille de le
> > faire r�guli�rement (quelque soit la distrib !).
Il faudrait pouvoir patcher uniquement ce qui est s�curit�.
> > Perso, je le fais 1-2 fois
> > par semaine... et mon syt�me fonctionne toujours :-)
>
> Pour ma part, j'ai mis:
>
> ``30 4 * * * apt-get -qqqy update && apt-get -qqsy dist-upgrade''
>
> dans le crontab du root, et je ne fais plus rien;)
> ``apt-get -qqqy update'' met silencieusement � jour la base de donn�e
> de paquets disponibles
> et ``apt-get -qqsy dist-upgrade'' simule une mise � jour des paquets, mais
> ne fait rien!
> (Important car les mises � jours
> impliquent parfois un dialogue
> administrateur)
>
> Le tout en silence tant que rien n'est � mettre � jour.
>
> CRON m'envoie un mail d�s que la simulation aurrait quelque-chose � faire.
> Je suis donc inform� de la n�cessiter d'effectuer l'op�ration chaque jours
> s'il y a lieu, et pas d�rang� sinon.
J'ai un outil similaire, autorpm. Mais je n'ai plus trouv� le temps
de suivre les derni�res versions ni de faire en sorte qu'il
ne consid�re que ce qui concerne la s�curit�. Ni de trouver la bonne
solution pour les d�pendances. Trop sur la pile...
Mais nous avons un tr�s bon responsable de la s�curit� qui nous dit
ce qu'il faut absolument patcher, etc cela, je le fais toujours
imm�diatement. Mais ce n'est pas ce que je fais qui compte, c'est ce
que la communaut� fait. Pour ce ver par exemple, nous sommes tou.te.s
solidaires. Le r�seau est rempli de paquets de ce ver...
Tout cela est tr�s bien car rend � nouveau attentif � la s�curit�.
Combien de machines avaient le port 443 ouvert alors que ce n'�tait
pas utilis�...
Anne
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
