2009/10/18 yersinia: [...] > mod_security è in EPEL, "Extra Packages for Enterprise Linux (EPEL) is a volunteer-based community effort from the Fedora project to create a repository of high-quality add-on packages for Red Hat Enterprise (RHEL) and its compatible spinoffs such as CentOS or Scientific Linux. Fedora is the upstream of RHEL and add-on packages for EPEL are sourced from the Fedora repository primarily and built against RHEL."
Mi pare di capire che RedHat non supporti questi pacchetti... Inoltre il problema di mod_security è che la build "standard" inclusa quella di EPEL, usa un sistema di log non standard di Apache e ne rallenta notevolmente le prestazioni. Noi usiamo una versione patchata da noi. (ma questo è un dettaglio tecnico...) > E' proprio > l'uso dell'RPM (o di un package manager in generale serio che > consenta un update live install-before-remove silente e controlli le > dipendenze: a me piace l'RPM ad altri il DEB ma non è questo il punto) > che consente i suddetti aggiornamenti online. Non lo metto in dubbio. Lungi da me negare le qualità di un sistema Linux :-) rimane comunque la nostra regola, che continuo a reputare sacrosanta per i sistemi in produzione e soprattutto in una grande azienda: "Le patch - qualsiasi esse siano, OS o meno... - si installano solo passando da un sistema di Change Management". Che si possa automatizzare pure quello, è un dettaglio, ma gli update si fanno solo passando dal nostro sistema di CM, che sia Remedy o altro. A seconda dell'impatto, le patch possono richiedere una maintenance window - se richiede per esempio il restart o il test del server, per esempio di Apache o altri servizi, si fa soltanto durante una MW e quindi significa in pratica che si fanno di notte e solo in uno dei due giorni della settimana dedicati a questo (per motivi economici ed organizzativi, ovviamente) a meno che non sia "urgent". In ogni caso esiste anche qua la "separation of duties" - tra l'altro obbligatoria per SOX, visto che noi sfortunatamente ne siamo soggetti - ma è comunque una buona pratica anche se non si è soggetti :-) Questo significa che ogni software patch ha un richiedente e un altro paio di occhi che la verifica prima di richiederne l'installazione. Che io sappia, tutto questo non si integra automaticamente e di default con RedHat Satellite... insomma, se hai certe esigenze, non esiste alcuna "installazione automatica" possibile. [...] >> Le patch automatiche all´OS risolvono poco o nulla purtroppo - fosse >> così semplice avremmo molto meno lavoro ;-) > Ma certo, era solo perchè quello era il punto in discussione. Beh, non sono sicuro :-) È certamente il punto che hai sollevato tu, ma la discussione non era ristretta a questo, IMHO ;-) Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
