Re: [FUG-BR] Política de atualização do sistema
Tem sempre o http://www.freebsd.org/releases/6.1R/errata.html aonde voce tbm fica avisado sobre as erratas, nao e' nada automatico, mas e' util em sistemas nao tao criticos. ps.: replace 6.1R por X.XY valeu, victor 2006/11/30, Alex Moura [EMAIL PROTECTED]: On 11/29/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Sei que existe muita documentação sobre atualização do FreeBSD por aí... uns usam csup, outros cvsup, outros portupgrade... gostaria de saber qual vocês indicam, e como vocês fazem suas atualizações, se manualmente ou tem alguma coisa na crontab... qual diferença entre esses comandos... etc Essas dúvidas conceituais você tira no Handbook: Capítulo 4. Instalando aplicativos: Pacotes e Ports http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/ports.html Capítulo 21. A Versão Mais Recente http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/cutting-edge.html Basicamente, é preciso manter o sistema operacional e também as aplicações de terceiros atualizados. Para cada caso há ferramentas adequadas e diferentes estratégias (de atualização) podem ser adotadas. Para manter o sistema operacional, siga o handbook e você vai estar bem. Pessoalmente uso o cvsup-without-gui há anos para sincronizar o código fonte e atualizar o kernel e a userland, que são as partes do sistema operacional que não incluem o kernel. Para manter as aplicações instaladas, há algumas opções e cada uma tem sua torcida. Use o bom-senso e aprenda a tirar o melhor proveito de cada alternativa. Com o tempo você pode dominar todas elas. Pessoalmente, as ferramentas que prefiro usar pra manter os sistemas são: portsnap e o pacote portupgrade. De vez em quando é necessário usar as ferramentas nativas do ports ou mesmo instalar pacotes, a opção mais rápida (porém menos flexível) em certos casos. Eu às vezes atualizo pelo cvsup, mas só quando lembro, não tem nada automatizado. No mínimo assine a lista de alertas de segurança do FreeBSD e siga as instruções delas. Existe algum script que rode o portaudit, e caso ache algum port vulnerável instalado envie um email para o admin? Ao instalar o portaudit é exatamente isto que a ferramenta faz: enviar emails para o admin alertando sobre problemas nas aplicações instaladas. Resumindo, gostaria de saber como vocês tratam essa questão de atualização do sistema. Já fiz atualizações com muita freqüência, mas atualmente por falta de tempo e outras prioridades, só faço o que for importante. Procuro manter os sistemas com a linha STABLE ou RELEASE, e aplico as correções no sistema operacional (kernel/userland), que forem indicadas nos alertas de segurança. As aplicações atualizo mediante avisos do portaudit, que roda automaticamente todos os dias, ou por conta de alguma nova versão ou feature. Os ports são atualizados diariamente quando não estão congelados para o lançamento de nova versão do sistema operacional (RELEASE) e, dependendo da quantidade de aplicações que instalar, você pode fazer atualizações diariamente se quiser (e tiver paciência), mas não recomendo. Esta abordagem me permite ter sistemas com uptime de 150, 260 dias até mais de 1 ano. Claro que a infra também tem que ajudar: hardware de boa qualidade, no-breaks e geradores são importantes. Outros certamente terão diferentes necessidades e estratégas. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
Alex, obrigado pelas explicações tão detalhadas... :-) Sobre o portaudit enviar log por email, desconheço essa opção... acho que dar pra mandar rodar e jogar a saida para um email, mas ele enviaria email até mesmo quando não fossem encontrado quaisquer falha... se você puder me passar mais detalhes de como faz esse procedimento... Sobre a lista de segurança já sou cadastrado, sempre vejo os alerts... apesar que nunca tive coragem de parar meu sistema para aplicar um patch daqueles no kernel :-) Uptime de 1 ano? rsrs não chego a tanto... minha infraestrutura ainda não está a esse nível... o máximo que consegui foi uns 60 dias :-) outro dia postaram um link para um site com records de uptime, tinha um lá com 5 anos... acho que o link é esse: http://en.uptime-project.net/page.php?page=toplist Se alguém tiver outra sugestão sobre atualização, tipo... de meia noite rodo um script tal, que baixa os ports do mirror tal, etc... e posta aqui se puder. Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Alex Moura [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, November 29, 2006 11:10 PM Subject: Re: [FUG-BR]Política de atualização do sistema On 11/29/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Sei que existe muita documentação sobre atualização do FreeBSD por aí... uns usam csup, outros cvsup, outros portupgrade... gostaria de saber qual vocês indicam, e como vocês fazem suas atualizações, se manualmente ou tem alguma coisa na crontab... qual diferença entre esses comandos... etc Essas dúvidas conceituais você tira no Handbook: Capítulo 4. Instalando aplicativos: Pacotes e Ports http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/ports.html Capítulo 21. A Versão Mais Recente http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/cutting-edge.html Basicamente, é preciso manter o sistema operacional e também as aplicações de terceiros atualizados. Para cada caso há ferramentas adequadas e diferentes estratégias (de atualização) podem ser adotadas. Para manter o sistema operacional, siga o handbook e você vai estar bem. Pessoalmente uso o cvsup-without-gui há anos para sincronizar o código fonte e atualizar o kernel e a userland, que são as partes do sistema operacional que não incluem o kernel. Para manter as aplicações instaladas, há algumas opções e cada uma tem sua torcida. Use o bom-senso e aprenda a tirar o melhor proveito de cada alternativa. Com o tempo você pode dominar todas elas. Pessoalmente, as ferramentas que prefiro usar pra manter os sistemas são: portsnap e o pacote portupgrade. De vez em quando é necessário usar as ferramentas nativas do ports ou mesmo instalar pacotes, a opção mais rápida (porém menos flexível) em certos casos. Eu às vezes atualizo pelo cvsup, mas só quando lembro, não tem nada automatizado. No mínimo assine a lista de alertas de segurança do FreeBSD e siga as instruções delas. Existe algum script que rode o portaudit, e caso ache algum port vulnerável instalado envie um email para o admin? Ao instalar o portaudit é exatamente isto que a ferramenta faz: enviar emails para o admin alertando sobre problemas nas aplicações instaladas. Resumindo, gostaria de saber como vocês tratam essa questão de atualização do sistema. Já fiz atualizações com muita freqüência, mas atualmente por falta de tempo e outras prioridades, só faço o que for importante. Procuro manter os sistemas com a linha STABLE ou RELEASE, e aplico as correções no sistema operacional (kernel/userland), que forem indicadas nos alertas de segurança. As aplicações atualizo mediante avisos do portaudit, que roda automaticamente todos os dias, ou por conta de alguma nova versão ou feature. Os ports são atualizados diariamente quando não estão congelados para o lançamento de nova versão do sistema operacional (RELEASE) e, dependendo da quantidade de aplicações que instalar, você pode fazer atualizações diariamente se quiser (e tiver paciência), mas não recomendo. Esta abordagem me permite ter sistemas com uptime de 150, 260 dias até mais de 1 ano. Claro que a infra também tem que ajudar: hardware de boa qualidade, no-breaks e geradores são importantes. Outros certamente terão diferentes necessidades e estratégas. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
On Thu, 2006-11-30 at 09:20 -0300, Welkson Renny de Medeiros wrote: Alex, obrigado pelas explicações tão detalhadas... :-) Sobre o portaudit enviar log por email, desconheço essa opção... acho que dar pra mandar rodar e jogar a saida para um email, mas ele enviaria email até mesmo quando não fossem encontrado quaisquer falha... se você puder me passar mais detalhes de como faz esse procedimento... Pra mim chega todos os dias daily security, como fiz apenas instalei o portaudit e rodei #portaudit -Fda Sobre a lista de segurança já sou cadastrado, sempre vejo os alerts... apesar que nunca tive coragem de parar meu sistema para aplicar um patch daqueles no kernel :-) Uptime de 1 ano? rsrs não chego a tanto... minha infraestrutura ainda não está a esse nível... o máximo que consegui foi uns 60 dias :-) outro dia postaram um link para um site com records de uptime, tinha um lá com 5 anos... acho que o link é esse: http://en.uptime-project.net/page.php?page=toplist Se alguém tiver outra sugestão sobre atualização, tipo... de meia noite rodo um script tal, que baixa os ports do mirror tal, etc... e posta aqui se puder. Pra atualizar tds os dias meu ports coloquei no cron assim 20 3 * * * /usr/sbin/portsnap cron Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Alex Moura [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, November 29, 2006 11:10 PM Subject: Re: [FUG-BR]Política de atualização do sistema On 11/29/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Sei que existe muita documentação sobre atualização do FreeBSD por aí... uns usam csup, outros cvsup, outros portupgrade... gostaria de saber qual vocês indicam, e como vocês fazem suas atualizações, se manualmente ou tem alguma coisa na crontab... qual diferença entre esses comandos... etc Essas dúvidas conceituais você tira no Handbook: Capítulo 4. Instalando aplicativos: Pacotes e Ports http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/ports.html Capítulo 21. A Versão Mais Recente http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/cutting-edge.html Basicamente, é preciso manter o sistema operacional e também as aplicações de terceiros atualizados. Para cada caso há ferramentas adequadas e diferentes estratégias (de atualização) podem ser adotadas. Para manter o sistema operacional, siga o handbook e você vai estar bem. Pessoalmente uso o cvsup-without-gui há anos para sincronizar o código fonte e atualizar o kernel e a userland, que são as partes do sistema operacional que não incluem o kernel. Para manter as aplicações instaladas, há algumas opções e cada uma tem sua torcida. Use o bom-senso e aprenda a tirar o melhor proveito de cada alternativa. Com o tempo você pode dominar todas elas. Pessoalmente, as ferramentas que prefiro usar pra manter os sistemas são: portsnap e o pacote portupgrade. De vez em quando é necessário usar as ferramentas nativas do ports ou mesmo instalar pacotes, a opção mais rápida (porém menos flexível) em certos casos. Eu às vezes atualizo pelo cvsup, mas só quando lembro, não tem nada automatizado. No mínimo assine a lista de alertas de segurança do FreeBSD e siga as instruções delas. Existe algum script que rode o portaudit, e caso ache algum port vulnerável instalado envie um email para o admin? Ao instalar o portaudit é exatamente isto que a ferramenta faz: enviar emails para o admin alertando sobre problemas nas aplicações instaladas. Resumindo, gostaria de saber como vocês tratam essa questão de atualização do sistema. Já fiz atualizações com muita freqüência, mas atualmente por falta de tempo e outras prioridades, só faço o que for importante. Procuro manter os sistemas com a linha STABLE ou RELEASE, e aplico as correções no sistema operacional (kernel/userland), que forem indicadas nos alertas de segurança. As aplicações atualizo mediante avisos do portaudit, que roda automaticamente todos os dias, ou por conta de alguma nova versão ou feature. Os ports são atualizados diariamente quando não estão congelados para o lançamento de nova versão do sistema operacional (RELEASE) e, dependendo da quantidade de aplicações que instalar, você pode fazer atualizações diariamente se quiser (e tiver paciência), mas não recomendo. Esta abordagem me permite ter sistemas com uptime de 150, 260 dias até mais de 1 ano. Claro que a infra também tem que ajudar: hardware de boa qualidade, no-breaks e geradores são importantes. Outros certamente terão diferentes necessidades e estratégas. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
Valeu Renato, vou dar uma olhada nesse script. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Renato Botelho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, November 30, 2006 9:26 AM Subject: Re: [FUG-BR]Política de atualização do sistema On 11/30/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alex, obrigado pelas explicações tão detalhadas... :-) Sobre o portaudit enviar log por email, desconheço essa opção... acho que dar pra mandar rodar e jogar a saida para um email, mas ele enviaria email até mesmo quando não fossem encontrado quaisquer falha... se você puder me passar mais detalhes de como faz esse procedimento... O portaudit instala automaticamente um script em /usr/local/etc/periodic/security, todas as noites ele baixa uma nova base de dados, testa e envia o resultado naquele email security que é gerado diariamente, dentro do email vc vera algo assim Checking for a current audit database: Downloading fresh database. auditfile.tbz 39 kB 24 kBps New database installed. Database created: Thu Nov 30 02:40:15 BRST 2006 Checking for packages with security vulnerabilities: Affected package: google-earth-4.0.2414 Type of problem: google-earth -- heap overflow in the KML engine. Reference: http://www.FreeBSD.org/ports/portaudit/5c9a2769-5ade-11db-a5ae-00508d6a62df.html 1 problem(s) in your installed packages found. You are advised to update or deinstall the affected package(s) immediately. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
On 11/30/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alex, obrigado pelas explicações tão detalhadas... :-) Sobre o portaudit enviar log por email, desconheço essa opção... acho que dar pra mandar rodar e jogar a saida para um email, mas ele enviaria email até mesmo quando não fossem encontrado quaisquer falha... se você puder me passar mais detalhes de como faz esse procedimento... Só instalei o portaudit, juro. :-) Você lê ou recebe cópias dos emails do root? Veja se no seu sistema o portaudit está completo: $ pkg_info -Lx portaudit Information for portaudit-0.5.11: Files: /usr/local/man/man1/portaudit.1.gz /usr/local/sbin/portaudit /usr/local/etc/portaudit.conf.sample /usr/local/etc/periodic/security/410.portaudit Este último arquivo acima é que faz o serviço de envio automático de emails com as vulnerabilidades das aplicações. Também pode ser que seu sistema não esteja rodando os scripts periodic todos os dias. O que faço aqui é simplesmente me incluir no alias do root no /etc/aliases: # root: [EMAIL PROTECTED] root: root,alex E instalar o portaudit, com portinstall portaudit Todas as manhãs você vai ter um útil email de auditoria do FreeBSD. :-) Se alguém tiver outra sugestão sobre atualização, tipo... de meia noite rodo um script tal, que baixa os ports do mirror tal, etc... e posta aqui se puder. Tenho feito manualmente quando preciso. Mas aqui a rede e as máquinas são bem rápidas. Pode ser mesmo interessante deixar executando certas atualizações automaticamente. Em ambiente com poucos servidores, creio que bastaria colocar no crontab de cada um algo como: @daily /usr/sbin/portsnap fetch /usr/sbin/portsnap update @weekly /usr/local/bin/cvsup -g -L 1 /usr/share/examples/cvsup/standard-supfile -h \ `fastest_cvsup -c br -Q` As atualizações do sistema e aplicativos prefiro executar manualmente. Levam poucos minutos (entre 1 e 5min., na maioria dos casos) em servidores rápidos. Esta estimativa não inclui ports de ambientes gráficos, de aplicações para desktop e problemas eventuais (conflitos de dependências, ports quebrados etc.). Alguns truques ajudam bastante - Ter máquinas com muita RAM (1, 2 ou 4GB) - Montar o /tmp em um ramdisk (Um /tmp em ramdisk de 512MB é muito bom) - Usar portinstall -FR port ou portupgrade -FR port antes de portupgrade -p port ou portinstall -p port - Usar make fetch-recursive e make all antes de executar um make install ou make deinstall reinstall clean. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
Alex, eu verificava o email do root quando era sendmail, depois que instalei o qmail não sei como proceder... sempre aparece No mail for root... (Renato Botelho na área? rsrs) Pelo que entendi talvez não seja realmente necessário rodar diariamente um cvsup da vida... só é necessário rodar o portaudit, e caso receba algum alerta por email aí sim atualiza a árvore do ports e depois desinstala/instala o port com problema. Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Alex Moura [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, November 30, 2006 9:52 AM Subject: Re: [FUG-BR]Política de atualização do sistema On 11/30/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alex, obrigado pelas explicações tão detalhadas... :-) Sobre o portaudit enviar log por email, desconheço essa opção... acho que dar pra mandar rodar e jogar a saida para um email, mas ele enviaria email até mesmo quando não fossem encontrado quaisquer falha... se você puder me passar mais detalhes de como faz esse procedimento... Só instalei o portaudit, juro. :-) Você lê ou recebe cópias dos emails do root? Veja se no seu sistema o portaudit está completo: $ pkg_info -Lx portaudit Information for portaudit-0.5.11: Files: /usr/local/man/man1/portaudit.1.gz /usr/local/sbin/portaudit /usr/local/etc/portaudit.conf.sample /usr/local/etc/periodic/security/410.portaudit Este último arquivo acima é que faz o serviço de envio automático de emails com as vulnerabilidades das aplicações. Também pode ser que seu sistema não esteja rodando os scripts periodic todos os dias. O que faço aqui é simplesmente me incluir no alias do root no /etc/aliases: # root: [EMAIL PROTECTED] root: root,alex E instalar o portaudit, com portinstall portaudit Todas as manhãs você vai ter um útil email de auditoria do FreeBSD. :-) Se alguém tiver outra sugestão sobre atualização, tipo... de meia noite rodo um script tal, que baixa os ports do mirror tal, etc... e posta aqui se puder. Tenho feito manualmente quando preciso. Mas aqui a rede e as máquinas são bem rápidas. Pode ser mesmo interessante deixar executando certas atualizações automaticamente. Em ambiente com poucos servidores, creio que bastaria colocar no crontab de cada um algo como: @daily /usr/sbin/portsnap fetch /usr/sbin/portsnap update @weekly /usr/local/bin/cvsup -g -L 1 /usr/share/examples/cvsup/standard-supfile -h \ `fastest_cvsup -c br -Q` As atualizações do sistema e aplicativos prefiro executar manualmente. Levam poucos minutos (entre 1 e 5min., na maioria dos casos) em servidores rápidos. Esta estimativa não inclui ports de ambientes gráficos, de aplicações para desktop e problemas eventuais (conflitos de dependências, ports quebrados etc.). Alguns truques ajudam bastante - Ter máquinas com muita RAM (1, 2 ou 4GB) - Montar o /tmp em um ramdisk (Um /tmp em ramdisk de 512MB é muito bom) - Usar portinstall -FR port ou portupgrade -FR port antes de portupgrade -p port ou portinstall -p port - Usar make fetch-recursive e make all antes de executar um make install ou make deinstall reinstall clean. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
Em Qua, 2006-11-29 às 19:56 -0300, Welkson Renny de Medeiros escreveu: Senhores, Sei que existe muita documentação sobre atualização do FreeBSD por aí... uns usam csup, outros cvsup, outros portupgrade... gostaria de saber qual vocês indicam, e como vocês fazem suas atualizações, se manualmente ou tem alguma coisa na crontab... qual diferença entre esses comandos... etc Eu às vezes atualizo pelo cvsup, mas só quando lembro, não tem nada automatizado. Existe algum script que rode o portaudit, e caso ache algum port vulnerável instalado envie um email para o admin? Resumindo, gostaria de saber como vocês tratam essa questão de atualização do sistema. Abraço a todos... para atualizar programas o portaudit junto com portupgrade é execelente , para a arvore do source agora seria recomendado o csup por não ter restrição de licensa , cvsup usa l3, por isso fizeram o csup. pode-se rodar no cron e fazer a saida ir para o email , basta fazer um script e rodar ele digamos uma vez por semana. fazer atualização automaticamente creio ser viavel mas nada recomendada , já que nem todas as atualizaçoes são bem vindas , apenas como exemplo é atualizado uma versão do php e isso simplesmente pode tornar uma aplicação sua comprometida. []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Voc� quer respostas para suas perguntas? Ou voc� sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Política de atualização do sistema
On 11/29/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Sei que existe muita documentação sobre atualização do FreeBSD por aí... uns usam csup, outros cvsup, outros portupgrade... gostaria de saber qual vocês indicam, e como vocês fazem suas atualizações, se manualmente ou tem alguma coisa na crontab... qual diferença entre esses comandos... etc Essas dúvidas conceituais você tira no Handbook: Capítulo 4. Instalando aplicativos: Pacotes e Ports http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/ports.html Capítulo 21. A Versão Mais Recente http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/cutting-edge.html Basicamente, é preciso manter o sistema operacional e também as aplicações de terceiros atualizados. Para cada caso há ferramentas adequadas e diferentes estratégias (de atualização) podem ser adotadas. Para manter o sistema operacional, siga o handbook e você vai estar bem. Pessoalmente uso o cvsup-without-gui há anos para sincronizar o código fonte e atualizar o kernel e a userland, que são as partes do sistema operacional que não incluem o kernel. Para manter as aplicações instaladas, há algumas opções e cada uma tem sua torcida. Use o bom-senso e aprenda a tirar o melhor proveito de cada alternativa. Com o tempo você pode dominar todas elas. Pessoalmente, as ferramentas que prefiro usar pra manter os sistemas são: portsnap e o pacote portupgrade. De vez em quando é necessário usar as ferramentas nativas do ports ou mesmo instalar pacotes, a opção mais rápida (porém menos flexível) em certos casos. Eu às vezes atualizo pelo cvsup, mas só quando lembro, não tem nada automatizado. No mínimo assine a lista de alertas de segurança do FreeBSD e siga as instruções delas. Existe algum script que rode o portaudit, e caso ache algum port vulnerável instalado envie um email para o admin? Ao instalar o portaudit é exatamente isto que a ferramenta faz: enviar emails para o admin alertando sobre problemas nas aplicações instaladas. Resumindo, gostaria de saber como vocês tratam essa questão de atualização do sistema. Já fiz atualizações com muita freqüência, mas atualmente por falta de tempo e outras prioridades, só faço o que for importante. Procuro manter os sistemas com a linha STABLE ou RELEASE, e aplico as correções no sistema operacional (kernel/userland), que forem indicadas nos alertas de segurança. As aplicações atualizo mediante avisos do portaudit, que roda automaticamente todos os dias, ou por conta de alguma nova versão ou feature. Os ports são atualizados diariamente quando não estão congelados para o lançamento de nova versão do sistema operacional (RELEASE) e, dependendo da quantidade de aplicações que instalar, você pode fazer atualizações diariamente se quiser (e tiver paciência), mas não recomendo. Esta abordagem me permite ter sistemas com uptime de 150, 260 dias até mais de 1 ano. Claro que a infra também tem que ajudar: hardware de boa qualidade, no-breaks e geradores são importantes. Outros certamente terão diferentes necessidades e estratégas. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
