2009/10/17 Marco Ermini <[email protected]>: > 2009/10/16 yersinia: > [...] >> Non sempre fortunatamente. Io lavoro in una grande azienda nella quale >> sui 600 circa sistemi Linux in produzione si installano le patch del >> sistema operativo giornalmente e automaticamente. > > Beh... prima cosa, non mi sembra una realtà molto grande. Almeno da > noi, 600 sistemi sono a malapena i sistemi SOX relevant in uno dei tre > piani di uno dei nostri DC ;-) Sono solo i sistemi Linux. Certo, speriamo che diventino di più........ > > Secondo lo ritengo abbastanza pericoloso e personalmente non lo farei > mai automaticamente a meno che non sia sicuro che i sistemi non girino > alcun software non supportato dallo stesso vendor del sistema > operativo. Quindi praticamente l´1% forse giusto i front-end Apache (o > manco quelli visto che mod_security non è supportato ed installato "a > mano"...) mod_security è in EPEL, e le conf si cerca di seguirle, e tutti i sistemi sono gestiti da puppet e tutti i software, ad esclusione di molti commerciali, sono pacchettizzati in RPM : quando il vendor non ci da un RPM lo fà qualche esperto in materia internamente, se possibile dati i tempi. E' proprio l'uso dell'RPM (o di un package manager in generale serio che consenta un update live install-before-remove silente e controlli le dipendenze: a me piace l'RPM ad altri il DEB ma non è questo il punto) che consente i suddetti aggiornamenti online. Certo, qualche volta va fatto il reboot ma si potrebbe, con linux, mettere live il kernel senza passare per la lunga fase di POST : vedremo. > > Ammesso e non concesso che tu utilizzi soltanto software ufficiale del > sistema operativo, il vero problema non e certo il sistema operativo - > posso aggiornare per esempio PHP automaticamente, ma se il programma > PHP è scritto coi piedi hai voglia te... Be' che centra si fanno i collaudi quando vi sono applicazioni hand made internamente. Ma per il resto, come ti ho riportato, viene tutto pacchettizzato se possibile, per le dipendenze in primo luogo ma non solo. > > Infine questo semplicemente non è possibile con l´altra metà del cielo > il software del nostro amico Bill, quindi... > Appunto. "Sfortunatamente" opero solo su Linux e Unix direttamente. Qualcuno usa Landesk per questi sistemi ma è solo per la software distribution : le patch qualcuno le deve fare, se non sono solo quelle di M$. > Le patch automatiche all´OS risolvono poco o nulla purtroppo - fosse > così semplice avremmo molto meno lavoro ;-) Ma certo, era solo perchè quello era il punto in discussione. Infatti l'uso di politiche MAC, anche personalizzate, e tutto il solito e ben noto hardening dei sistemi aiutano. Ed essendoci per natura spesso configurazioni diverse sui diversi sistemi l'uso di puppet anche aiuta - non poco. Certo è solo una piccola esperienza di qualcuno molto pigro e non è detto che si possa applicare a tutte le situazioni o sistemi operativi.
Cordiali Saluti > > > Cordiali saluti > -- > Marco Ermini > r...@human # mount -t life -o ro /dev/dna /genetic/research > http://www.linkedin.com/in/marcoermini > "Jesus saves... but Buddha makes incremental back-ups!" > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
