On Fri, Feb 05, 2010 at 04:11:09PM +0100, Alejandro Vargas wrote: > El día 5 de febrero de 2010 13:56, Rodrigo Campos > <[email protected]> escribió: > > > respecto o no). Tambien, por default (aunque creo que es configurable) si > > actualizas apache ponele en debian/ubuntu te lo reinicia (si no me equivoco, > > sino seguro hay algun otro servicio que si lo reinicia seguro) y capaz que > > eso > > no queres que pase siempre. > > Sí, creo que las distribuciones basadas en rpm también lo hacen. Pero > tomá en cuenta que en cualquier momento podría fallar la electricidad, > por ejemplo y reiniciarse igual. Si el servidor no puede soportar que > se reinicie un servicio es que algo mal debe haber.
Por que algo anda mal ? Te es importante que no se caiga el servicio. Por eso probablemente capaz tambien les pones UPSs y demas cosas. No es que el servidor no lo soporte, sino que no es algo deseable para vos capaz en muchisimos casos perfectamente validos. > > > No sé, ver el changelog de las cosas que vas a actualizar tiene sentido. > > Bueno, yo normalmente utilizo en mi estación de trabajo el mismo > sistema que en los servidores (aunque en mi escritorio siempre tengo > la ultimísima versión y los servidores tienen casi todos versines > distnitas porque han sido instalados en diferentes tiempos). Así que Pero probablemente en tu desktop (o al menos a mi creo que siempre me paso) no tengas corriendo una base de datos o todas las cosas que tenes en los servers, php, y demas yerbas. > cuando vienen las actualizaciones les echo una mirada. Es raro el día > que pasa sin que haya al menos 3 o 4 paquetes actualizados. Casi Tantas actualizaciones de seguridad tenes por dia ? o en tu desktop tenes tantas decis y te entendi mal ? > siempre problemas menores pero muchas veces detalles que podrían > significar una vulnerabilidad. A demás cuando un paquete hace algún > cambio significativo en archivos de configuración por ejemplo, te Eso no es una actualizacion de seguridad por lo general =) > > Y si manejas bastantes servidores hay programas para ayudarte con eso asi no > > pasa lo que decis de no tener tiempo o olvidarse (lleva tiempo tambien, > > claro, > > pero mucho menos segun entiendo) > > Te aseguro que si alguna vez hubiera tendio algún problema respecto de > las actualizaciones ya habría buscado otra forma. Por ejemplo tener > aunque sea una máquina virtual donde probarlas primero. Pero como > llevo años y años sin problemas, creo que incluso si algo fallara > justificaría con creces la seguridad de estar con todo al día. No por > bugs del software en sí sino por los agujeros de seguridad. > > Yo he visto máquinas que han sido comprometidas por no estar > actualizadas y te aseguro que era un embrollo de caballos de troya y > puertas traseras impresionante. Como era una RedHat con el comando rpm Sisi, yo no digo no actualizarlas. Entiendo lo que decis. Simplemente digo que a mi no me gusta el cron para las actualizaciones. Es una cuestion de gustos :) > > Yo prefiero arreglar un problema derivado de una actualización (que no > seré el único que lo tenga porque millones de máquinas se habrán > actualizado al mismo tiempo y tendrán el mismo problema) porque seguro > que encontraré solucines en internet si no las encuentro yo. Me parece > mucho más complicado arreglar un sistema que ha sido comprometido > porque ya no sabés si podés confiar en el bash que estás ejecutando. Pero de nuevo, no digo no actualizarlas. Y no creo que si no lo croneas entonces vas a ser un gil vulnerable a todo. Podes actualizarlas en tiempos re razonables sin tenerlas en un cron me parece :) Saludos, Rodrigo
