El día 13 de febrero de 2010 16:53, Rodrigo Campos <[email protected]> escribió: > A vos. A tu jefe por ahi no, y puede tener TODO le sentido. > (mas alla de que no sabes cuantos cortes vas a tener porque cada actualizacion > que te afecta o no, la aplicas y eso capaz implica reiniciar un servicio > "critico" cada vez. Y no poder garantizar mas que con estadisticas cuan > "dañino" > puede ser el cron tarado que actualiza incondicionalmente, puede no ser > aceptable... por decir un ejemplo)
Sí. Es un tema estadístico. Tal vez no sea muy seguro pero hay algo que sí es mucho más seguro: que si aparece un problema de seguridad y te dejás estar porque andás mirando qué hace la actualización, puede que llegués tarde y te comprometan el sistema en tal forma que tengas que apagar por mucho más que unos segundos para solucionarlo. > La actualizacion de seguridad probablemente cambie la forma de hacer algo > (agregue algun checkeo, algun free/close, etc.) y esa forma de hacer algo > puede > que la estes usando vos (ahora, antes de actualizar, asique no hay ningun > cambio de archivo de configuracion que juegue). Y que para hacerla "bien" > (segura, digamos) hay que hacer algo que es bastante costoso capaz, y eso a > vos > te jode bastante en performance de algo. Supuestamente el funcionamiento interno de un intérprete (como php), un servidor (Apache, Mysql, etc.) o una biblioteca, no tiene por qué preocuparte. Podría ser que hubieras sacado ventaja de un bug o que hayas tenido que hacer algo de más para evitarlo, pero... sólo en el primer caso te podría causar un problema. Y en todo caso solucionarlo te llevará mucho menos que reinstalar un sistema que haya sido comprometido. Como sea, sacar provecho de un bug es algo que no deberías haber hecho y yo prefiero correr con el teléfono sonando para solucionar una cosa así que arriesgarme a tener que instalar un servidor desde cero y recuperar de las copias de seguridad lo que haga falta. >> > No, realmente no creo que todo el mundo que tiene un sistema actualizado >> > tenga >> > un cron, asique no le pasa a todo el mundo. >> >> Bueno, OK, le pasa a todos los que lo actualizaron, por el medio que sea. > > Como ? No entendi Decía que no importa si actualizas automáticamente a las 6 de la mañana con el cron, o actualizas manualmente a las 6 de la tarde. Si algo de la actualización causa un problema, se lo causará a todos los que hayan actualizado. Será mucha genet que tenga el mismo problema y seguramente verás hablar de él en google y encontrarás soluciones. Sin embargo, si el problema fue un sistema comprometido por haber esperado unos días para actualizar, no encontrarás tantas soluciones. >> Es cierto, pero según mi experiencia, uno muchas veces se deja estar >> con las actualizaciones. Y cada dia que pasa sin actualizar es un >> desastre en potencia. > > No. Cada dia que pasa sin actualizar, no es mas que un dia que pasa sin > actualizar. ¿Y a vos te parece que un día con un agujero sin tapar no es un desastre en potencia? > De todas las actualizaciones que hay, tenes que fijarte cuales son > para paquetes que tenes instalados, de las que son par apaquetes que tenes > instalados, cuales te afectan. Y de las que te afectan, cuales se pueden > explotar remotamente o solo localmente, cuales se podrian explotar desde la > lan > o algo asi y cuales desde inet, y de todas esas cuales son las que realmente > si > son un desastre en potencia. O sea que vos proponés sólo solucionar los problemas más graves y los demás tomárselos con calma. No se... Ya he tenido experiencias de no actualizar un paquete y que después tenga dependencias con otros. Pero bueno, te aseguro que si alguna vez alguna actualización me hubiera causado un problema importante, consideraría hacerlo de esa forma. Por lo pronto, a mi me deja mucho más tranquilo no tener que estar pendiente de esas cosas. >> ¿Digo yo... cuándo fue la última vez que hubo una actualización y >> deciiste no aplicarla? > > Supongo que cuando la actualizacion era para un paquete que tenia pero no me > afectaba (creo que postgres o apache) y reinciarlos no era algo que uno quiera > hacer seguido, porque era importante no reiniciarlos. La pregunta era ¿cuándo?. El asunto iba a que si me decís que hace un mes hubo un caso así, puede ser razonable lo que decís. Pero si me decís que hace años que no te pasa... >> ¿Cuán seguido ocurre? > > No, no entendes. No tiene NADA que ver cuan seguido ocurre. NADA. A ver. Te lo explico de esta forma: a mucha gente ha muerto cruando la calle. Pero como no es algo que ocurra seguido, yo me animo a cruzarla todos los días. Fijate que estamos hablando de algo mucho más grave que un agujero de seguridad. Estamos hablando de arriesgar la vida. Y la arriesgamos a diario basándonos puramente en la estadística. Sabemos que el peligro existe pero sabemos que no ocurre seguido por eso no nos preocupa tanto como para no hacerlo. > De nuevo, puede que simplemente no sea para nada deseable (por poner un > ejemplo, > debe haber mas tambien) reiniciar un servicio sin planificarlo o algo asi, De nuevo te digo que todos mism servicios pueden reiniciarse en cualqueir momento mientras la bajada no tome más que unos pocos segundos. Yo actualizo a mitad de la noche, y la grandísima mayoría de las veces no implica reiniciar un servicio. Pero aunque esto tuviera que ocurrer en mitad del horario de trabajo, igual el esperar unos segundos no haría ningún daño.
