El día 6 de febrero de 2010 01:33, Rodrigo Campos <[email protected]> escribió: >> > respecto o no). Tambien, por default (aunque creo que es configurable) si >> > actualizas apache ponele en debian/ubuntu te lo reinicia (si no me >> > equivoco, >> > sino seguro hay algun otro servicio que si lo reinicia seguro) y capaz que >> > eso >> > no queres que pase siempre. >> >> Sí, creo que las distribuciones basadas en rpm también lo hacen. Pero >> tomá en cuenta que en cualquier momento podría fallar la electricidad, >> por ejemplo y reiniciarse igual. Si el servidor no puede soportar que >> se reinicie un servicio es que algo mal debe haber. > > Por que algo anda mal ? Te es importante que no se caiga el servicio. Por eso > probablemente capaz tambien les pones UPSs y demas cosas. No es que el > servidor > no lo soporte, sino que no es algo deseable para vos capaz en muchisimos casos > perfectamente validos.
Claro, pero estamos hablando de fincionamiento del servidor no de servicio a los usuarios. Nunca es deseable que se reinicie un servidor. De hecho es muy raro que yo lo haga. Creo que mi record fue 400 dias pero falló una UPS. Pero la cosa es que un reinicio rápido de un servicio, hecho a las 6 de la mañana es preferible a tener un agujero de seguridad abierto. >> > No sé, ver el changelog de las cosas que vas a actualizar tiene sentido. >> >> Bueno, yo normalmente utilizo en mi estación de trabajo el mismo >> sistema que en los servidores (aunque en mi escritorio siempre tengo >> la ultimísima versión y los servidores tienen casi todos versines >> distnitas porque han sido instalados en diferentes tiempos). Así que > > Pero probablemente en tu desktop (o al menos a mi creo que siempre me paso) no > tengas corriendo una base de datos o todas las cosas que tenes en los servers, > php, y demas yerbas. No, pero en realidad no necesito que estén corriendo. Generalmente tengo instalado más o menos lo mismo que en los servidores porque a veces hago pruebas en mi desktop, así que cuando hay actualizaciones las veo en la lista y se que han venido. Muchas veces suelo mirar el motivo de la actualización, pero en realidad es obvio: se ha descubierto un problema de seguridad en tal cosa o se ha corregido un bug en tal otra. La veradd es que no me dice nada nuevo pero ya estoy sobre aviso de que se actualiza ese servicio y si hay algún problema lo sabré. De todas formas, si hubiera un problema me enteraría porque sonará el teléfono en seguida. Y para corregirlo seguramente no volvería a la versión anterior porque prefiero tomarme un rato y ver qué pasa en lugar de dejar un agujero de seguridad abierto. Pero bueno, realmente no te puedo asegurar lo que haría porque en muchos años jamás se me ha presentado esa situación. >> cuando vienen las actualizaciones les echo una mirada. Es raro el día >> que pasa sin que haya al menos 3 o 4 paquetes actualizados. Casi > > Tantas actualizaciones de seguridad tenes por dia ? o en tu desktop tenes > tantas > decis y te entendi mal ? No son todas de seguridad, pero todas arreglan algo. Así es el software libre, la gente sigue y sugue mejorándolo. Por ejemplo hoy hay 3 actualizaciones gstreamer0.10-plugins-bad, gstreamer0.10-voip y libgstphotography0.10_0. El changelog dice algo de "fix DVD disk seek crash" entre otros arreglos. >> siempre problemas menores pero muchas veces detalles que podrían >> significar una vulnerabilidad. A demás cuando un paquete hace algún >> cambio significativo en archivos de configuración por ejemplo, te > > Eso no es una actualizacion de seguridad por lo general =) No, muchas veces no son problemas de seguridad pero siempre vale la pena actualizar. En general los servicios importantes como Apache, Php, etc no se actualizan tan seguido pero siempre que lo ponen es por algo que vale la pena. >> Yo he visto máquinas que han sido comprometidas por no estar >> actualizadas y te aseguro que era un embrollo de caballos de troya y >> puertas traseras impresionante. Como era una RedHat con el comando rpm > > Sisi, yo no digo no actualizarlas. Entiendo lo que decis. Simplemente digo > que a mi no me gusta el cron para las actualizaciones. Es una cuestion de > gustos :) Entiendo, yo opinaba lo mismo hace años. Pero con el tiempo he ido confiando en la capacidad de la gente que hace las actualizaciones. Obviamente algún día meterán la pata pero bueno, como dije antes, es cosa de probabilidades. He comprobado que hay más probabilidades de que se me meta alguien por un agujero de seguridad (en vista de los cientos de miles de ataques que se reciben diáriamente) que una actualización deje inservible algo importante. >> Yo prefiero arreglar un problema derivado de una actualización (que no >> seré el único que lo tenga porque millones de máquinas se habrán >> actualizado al mismo tiempo y tendrán el mismo problema) porque seguro >> que encontraré solucines en internet si no las encuentro yo. Me parece >> mucho más complicado arreglar un sistema que ha sido comprometido >> porque ya no sabés si podés confiar en el bash que estás ejecutando. > > Pero de nuevo, no digo no actualizarlas. Y no creo que si no lo croneas > entonces > vas a ser un gil vulnerable a todo. Podes actualizarlas en tiempos re > razonables > sin tenerlas en un cron me parece :) Es que al final eso es lo que pasa, por el motivo que sea: puede ser porque estabas concentrado en otra cosa y esa semana lo dejaste pasar, o porque simplemente te fuiste de vacaciones y querías desconectarte del trabajo. Por lo que sea pero podés dejarlo pasar. Pasa como con las copias de seguridad: como nunca hacen falta, uno se va dejando estar, no verifica si se ha grabado bien, un día lo deja porque total ya hay otras, etc. etc. Y no pasa nada, pasa el tiempo, pasan meses, pasan años y nada. El día que te hace falta una resulta que ya ni te acordás de qué directorios se backupeaban y ni sabés si se estaban grabando o no. Los humanos no somos confiables para hacer trabajos repetitivos que requieran atención. Sobre todo si la mayoría de las veces si no ponés atención no pasa nada malo.
