On Mon, Feb 08, 2010 at 09:20:52AM +0100, Alejandro Vargas wrote: > El día 6 de febrero de 2010 01:33, Rodrigo Campos > <[email protected]> escribió: > >> > respecto o no). Tambien, por default (aunque creo que es configurable) si > >> > actualizas apache ponele en debian/ubuntu te lo reinicia (si no me > >> > equivoco, > >> > sino seguro hay algun otro servicio que si lo reinicia seguro) y capaz > >> > que eso > >> > no queres que pase siempre. > >> > >> Sí, creo que las distribuciones basadas en rpm también lo hacen. Pero > >> tomá en cuenta que en cualquier momento podría fallar la electricidad, > >> por ejemplo y reiniciarse igual. Si el servidor no puede soportar que > >> se reinicie un servicio es que algo mal debe haber. > > > > Por que algo anda mal ? Te es importante que no se caiga el servicio. Por > > eso > > probablemente capaz tambien les pones UPSs y demas cosas. No es que el > > servidor > > no lo soporte, sino que no es algo deseable para vos capaz en muchisimos > > casos > > perfectamente validos. > > Claro, pero estamos hablando de fincionamiento del servidor no de > servicio a los usuarios. Nunca es deseable que se reinicie un
Es que si reiniciar tu servicio afecta a los usuarios, no podes hablar de las cosas por separado. Porque simplemente no podes hacer una sin afectar la otra. > servidor. De hecho es muy raro que yo lo haga. Creo que mi record fue > 400 dias pero falló una UPS. Pero la cosa es que un reinicio rápido de > un servicio, hecho a las 6 de la mañana es preferible a tener un > agujero de seguridad abierto. No, no entendes. Digo que puede ser perfectamente valido que eso no sea aceptable o deseable, y que prefieras hacerlo en algun momento planificado. Y no hay que elegir entre el cron o el agujero de seguridad, se puede no tener un cron y estar actualizado. > >> siempre problemas menores pero muchas veces detalles que podrían > >> significar una vulnerabilidad. A demás cuando un paquete hace algún > >> cambio significativo en archivos de configuración por ejemplo, te > > > > Eso no es una actualizacion de seguridad por lo general =) > > No, muchas veces no son problemas de seguridad pero siempre vale la > pena actualizar. En general los servicios importantes como Apache, > Php, etc no se actualizan tan seguido pero siempre que lo ponen es por > algo que vale la pena. Claro, muchas veces no queres todo eso. Queres una version estable que te backporteen los fixes que la afectan, sin más nada. No querés todo el riesgo que puede ser un cambio que no necesitas, por mas que tus muchisisisimos años de experiencia digan que no introduce problemas, es algo re razonable de pedir y es algo que se hace bastante. > >> Yo he visto máquinas que han sido comprometidas por no estar > >> actualizadas y te aseguro que era un embrollo de caballos de troya y > >> puertas traseras impresionante. Como era una RedHat con el comando rpm > > > > Sisi, yo no digo no actualizarlas. Entiendo lo que decis. Simplemente digo > > que a mi no me gusta el cron para las actualizaciones. Es una cuestion de > > gustos :) > > Entiendo, yo opinaba lo mismo hace años. Pero con el tiempo he ido > confiando en la capacidad de la gente que hace las actualizaciones. > Obviamente algún día meterán la pata pero bueno, como dije antes, es > cosa de probabilidades. He comprobado que hay más probabilidades de Y cuestion de necesidades y gustos también. Puede ser que no sea aceptable estar reiniciando un servicio automaticamente cada vez que tenés una actualizacion, o que introduzca problemas de performance en tu setup, o saraza. Y que eso simplemente no sea aceptable. > >> Yo prefiero arreglar un problema derivado de una actualización (que no > >> seré el único que lo tenga porque millones de máquinas se habrán > >> actualizado al mismo tiempo y tendrán el mismo problema) porque seguro > >> que encontraré solucines en internet si no las encuentro yo. Me parece > >> mucho más complicado arreglar un sistema que ha sido comprometido > >> porque ya no sabés si podés confiar en el bash que estás ejecutando. > > > > Pero de nuevo, no digo no actualizarlas. Y no creo que si no lo croneas > > entonces > > vas a ser un gil vulnerable a todo. Podes actualizarlas en tiempos re > > razonables > > sin tenerlas en un cron me parece :) > > Es que al final eso es lo que pasa, por el motivo que sea: puede ser No, realmente no creo que todo el mundo que tiene un sistema actualizado tenga un cron, asique no le pasa a todo el mundo. De nuevo, no hay que elegir entre el cron o el agujero de seguridad, hay cosas en el medio tambien. Puede ser que tienda a pasar cuando tenés demasiadas responsabilidades o saraza, pero eso quiere decir que te falta tiempo para hacer las cosas como deben ser o poner un cron que las haga y solo mirarlas cuando algo explotó. Pero en cualquier caso la solucion es otra ;) Saludos, Rodrigo
