On Tue, Feb 09, 2010 at 01:15:49PM +0100, Alejandro Vargas wrote: > El día 9 de febrero de 2010 03:30, Rodrigo Campos > <[email protected]> escribió: > > > Claro, muchas veces no queres todo eso. Queres una version estable que te > > backporteen los fixes que la afectan, sin más nada. > > No se Debian pero Mandriva prácticamente nunca no cambia de versiones > dentro de una misma distro. Justamente hacen eso: backports de lo que > haga falta arreglar. Es más seguro pero a veces uno preferiría > versiones nuevas en cosas como Firefox, por ejemplo.
Claro, entonces estamos hablando de lo mismo. Me parece que te habia entendido mal yo, porque (pongo porque falta "contexto") habiamos dicho asi: (donde yo soy el del "medio", con "> >", y los otros dos sos vos) > >> siempre problemas menores pero muchas veces detalles que podrían > >> significar una vulnerabilidad. A demás cuando un paquete hace algún > >> cambio significativo en archivos de configuración por ejemplo, te > > > > Eso no es una actualizacion de seguridad por lo general =) > > No, muchas veces no son problemas de seguridad pero siempre vale la > pena actualizar. En general los servicios importantes como Apache, > Php, etc no se actualizan tan seguido pero siempre que lo ponen es por > algo que vale la pena. Yo de aca, probablemente mal, te entendi que decias que una actualizacion que quieras aplicar es una que hace algun cambio significativo en archivos de configuracion (porque siempre es bueno actualizar). Y eso no suele pasar si mantenes la version del programa. Entonces esas no son las actualizaciones de las que veniamos hablando ni que sucedan cuando tenes una distro estable. Y yo no estaba diciendo que debian sea así ni nada (sino pensaba que vos actualizabas asi capaz :)). Me parece que fue un mal entendido :) > > Puede ser que no sea aceptable estar > > reiniciando un servicio automaticamente cada vez que tenés una > > actualizacion, o > > que introduzca problemas de performance en tu setup, o saraza. Y que eso > > simplemente no sea aceptable. > > La verdad un corte de 5 segundos a las 6 de la mañana 3 o 4 veces al > año me parece muy aceptable... A vos. A tu jefe por ahi no, y puede tener TODO le sentido. (mas alla de que no sabes cuantos cortes vas a tener porque cada actualizacion que te afecta o no, la aplicas y eso capaz implica reiniciar un servicio "critico" cada vez. Y no poder garantizar mas que con estadisticas cuan "dañino" puede ser el cron tarado que actualiza incondicionalmente, puede no ser aceptable... por decir un ejemplo) > Con respecto a performance, nada cambiará porque no toca esas cosas. Las > actualizaciones nunca modifican las configuraciones que ha hecho el > administrador. Si hay algo nuevo lo deja en un archivo diferente. Eso, hasta No tiene nada que ver eso. La actualizacion de seguridad probablemente cambie la forma de hacer algo (agregue algun checkeo, algun free/close, etc.) y esa forma de hacer algo puede que la estes usando vos (ahora, antes de actualizar, asique no hay ningun cambio de archivo de configuracion que juegue). Y que para hacerla "bien" (segura, digamos) hay que hacer algo que es bastante costoso capaz, y eso a vos te jode bastante en performance de algo. Podría pasar tranquilamente y podría tener todo el sentido que te importe saber eso antes de ponerlo en produccion (o reportar la regresion, etc.) > >> Es que al final eso es lo que pasa, por el motivo que sea: puede ser > > > > No, realmente no creo que todo el mundo que tiene un sistema actualizado > > tenga > > un cron, asique no le pasa a todo el mundo. > > Bueno, OK, le pasa a todos los que lo actualizaron, por el medio que sea. Como ? No entendi > > > De nuevo, no hay que elegir entre el > > cron o el agujero de seguridad, hay cosas en el medio tambien. > > Es cierto, pero según mi experiencia, uno muchas veces se deja estar > con las actualizaciones. Y cada dia que pasa sin actualizar es un > desastre en potencia. No. Cada dia que pasa sin actualizar, no es mas que un dia que pasa sin actualizar. De todas las actualizaciones que hay, tenes que fijarte cuales son para paquetes que tenes instalados, de las que son par apaquetes que tenes instalados, cuales te afectan. Y de las que te afectan, cuales se pueden explotar remotamente o solo localmente, cuales se podrian explotar desde la lan o algo asi y cuales desde inet, y de todas esas cuales son las que realmente si son un desastre en potencia. Pero de nuevo (y esto es lo que en verdad me importa), no hay que elegir entre el agujero de seguridad y el cron. Se puede estar actualizado y sin agujeros de seguridad, en tiempos re razonables, sin el cron. Es algo que se puede hacer y un humano puede hacer bien a lo largo del tiempo. > ¿Digo yo... cuándo fue la última vez que hubo una actualización y > deciiste no aplicarla? Supongo que cuando la actualizacion era para un paquete que tenia pero no me afectaba (creo que postgres o apache) y reinciarlos no era algo que uno quiera hacer seguido, porque era importante no reiniciarlos. > ¿Cuán seguido ocurre? No, no entendes. No tiene NADA que ver cuan seguido ocurre. NADA. De nuevo, puede que simplemente no sea para nada deseable (por poner un ejemplo, debe haber mas tambien) reiniciar un servicio sin planificarlo o algo asi, y entonces cuan seguido ocurre no tiene NADA que ver. Porque tu solucion (el cron) impone algo que no querés o no es para nada deseable, entonces simplemente no sirve. Saludos, Rodrigo
