Actualizaciones y fixes
Saludos amigos, tengo unos servidores corriendo en una dmz con SuSE ES 9, pero quisiera saber si existen actualizaciones , fixes y patches (viene de arriba) para esta version de SuSE para bajarlos y tenerlos disponibles en un sitio, me imagino que lo ideal seria almacenarlos en un sitio y despues distribuirlos a los servidores en la dmz, pero la verdad no se donde bajarlos. muchas gracias -- Ciao, Javier linux user #393724
Hola :) El Viernes, 5 de Mayo de 2006 14:23, javier rojas escribió:
Saludos amigos,
tengo unos servidores corriendo en una dmz con SuSE ES 9, pero quisiera saber si existen actualizaciones , fixes y patches (viene de arriba) para esta version de SuSE para bajarlos y tenerlos disponibles en un sitio, me imagino que lo ideal seria almacenarlos en un sitio y despues distribuirlos a los servidores en la dmz, pero la verdad no se donde bajarlos.
En YaST tienes una cosa que se llama "YOU Server". Lo configuras para que te descargue los parches a una máquina y el resto de servidores que actualicen contra esa máquina. HTH Rafa -- "Even paranoids have enemies." Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman
hola:)
En YaST tienes una cosa que se llama "YOU Server". Lo configuras para que te descargue los parches a una máquina y el resto de servidores que actualicen contra esa máquina.
estan en una dmz y no tienen conexion a internet, la cuestion seria que a lo mejor puedo hablar para que me permitan una conexion para http (no creo que me habiliten ftp) para que descargue las actualizaciones, pero realmente no se adonde apuntar, o sea, la direccion desde donde puedo descargar las actualizaciones -- Ciao, Javier linux user #393724
Hola :) El Viernes, 5 de Mayo de 2006 14:32, javier rojas escribió:
hola:)
En YaST tienes una cosa que se llama "YOU Server". Lo configuras para que te descargue los parches a una m�quina y el resto de servidores que actualicen contra esa m�quina.
estan en una dmz y no tienen conexion a internet, la cuestion seria que a lo mejor puedo hablar para que me permitan una conexion para http (no creo que me habiliten ftp) para que descargue las actualizaciones, pero realmente no se adonde apuntar, o sea, la direccion desde donde puedo descargar las actualizaciones
La conexión es http y, si mal no recuerdo, apunta a you.suse.com por lo que en el cortafuegos lo pueden tener algo controlado ;) Por defecto te viene la dirección cuando pinchas en actualizar o YOU Server así que al abrir ese módulo, puedes comprobarlo. HTH Rafa -- "Even paranoids have enemies." Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman
Gracias!
La conexión es http y, si mal no recuerdo, apunta a you.suse.com por lo que en el cortafuegos lo pueden tener algo controlado ;)
Por defecto te viene la dirección cuando pinchas en actualizar o YOU Server así que al abrir ese módulo, puedes comprobarlo.
pero una pregunta, hay alguna resticcion en esa pagina?, se me muestra com un mensaje de no disponible.... otra cosa, las actualizaciones son automaticas?, YOU me muestra un aviso? o tengo que buscarlas especificamente? Gracias nuevamente! -- Ciao, Javier linux user #393724
2006/5/5, javier rojas
Gracias!
La conexión es http y, si mal no recuerdo, apunta a you.suse.com por lo que en el cortafuegos lo pueden tener algo controlado ;)
Por defecto te viene la dirección cuando pinchas en actualizar o YOU Server así que al abrir ese módulo, puedes comprobarlo.
pero una pregunta, hay alguna resticcion en esa pagina?, se me muestra com un mensaje de no disponible.... otra cosa, las actualizaciones son automaticas?, YOU me muestra un aviso? o tengo que buscarlas especificamente?
sii, hay restriciones que permiten solamente la descarga a los usuarios que tienen la SLES y su respectivo contracto de soporte/manutencion !! o sea, se usas la version de evaluacion no podras descargar los parches desde los servidores de suse (al menos los RPMs, pero si podrias descargar los SRPMS y recompilarlos y despues instalarlos). en resumen... se deseas utilizar la SLES, compre el soporte. salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
Hola :) El Viernes, 5 de Mayo de 2006 16:34, Victor Hugo dos Santos escribió:
2006/5/5, javier rojas
: Gracias!
La conexi�n es http y, si mal no recuerdo, apunta a you.suse.com por lo que en el cortafuegos lo pueden tener algo controlado ;)
Por defecto te viene la direcci�n cuando pinchas en actualizar o YOU Server as� que al abrir ese m�dulo, puedes comprobarlo.
pero una pregunta, hay alguna resticcion en esa pagina?, se me muestra com un mensaje de no disponible.... otra cosa, las actualizaciones son automaticas?, YOU me muestra un aviso? o tengo que buscarlas especificamente?
sii, hay restriciones que permiten solamente la descarga a los usuarios que tienen la SLES y su respectivo contracto de soporte/manutencion !! o sea, se usas la version de evaluacion no podras descargar los parches desde los servidores de suse (al menos los RPMs, pero si podrias descargar los SRPMS y recompilarlos y despues instalarlos).
en resumen... se deseas utilizar la SLES, compre el soporte.
Sólo añadir la respuesta a la 2a pregunta: puedes automatizarlo para que se actualice solo. No soy partidario de que las cosas se actualicen solas, prefiero ser yo quién las actualice ... no vaya a ser que algo falle .. Rafa -- 50% of all statistics are inaccurate. OpenWengo: rgriman
2006/5/5, Rafa Grimán
Hola :)
[...]
Sólo añadir la respuesta a la 2a pregunta: puedes automatizarlo para que se actualice solo. No soy partidario de que las cosas se actualicen solas, prefiero ser yo quién las actualice ... no vaya a ser que algo falle ..
pero y esta nueva actualizacion de seguridad critica que salio justo en el viernes a las 21:00 ??? solamente la instalara en el lunes ???? :-( salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Hola :) El Viernes, 5 de Mayo de 2006 17:24, Victor Hugo dos Santos escribió:
2006/5/5, Rafa Grim�n
: Hola :)
[...]
S�lo a�adir la respuesta a la 2a pregunta: puedes automatizarlo para que se actualice solo. No soy partidario de que las cosas se actualicen solas, prefiero ser yo qui�n las actualice ... no vaya a ser que algo falle ..
pero y esta nueva actualizacion de seguridad critica que salio justo en el viernes a las 21:00 ??? solamente la instalara en el lunes ????
Depende, si me afecta o no me afecta. Me explico: - a lo mejor es una actualización de JBoss y no lo tengo instalado - a lo mejor es un parche frente a un ataque tan complejo (tmp races de ssh) que la posibilidad de que alguien entre en mi máquina es muy remota y puede esperar al lunes - a lo mejor es un parche que afecta a un sw de terceros (Oracle) y este sw de terceros no ha sacado parche que tenga en cuenta al de SUSE. Hay que leerse bien la documentación antes de aplicar los parches ;) Rafa -- 50% of all statistics are inaccurate. OpenWengo: rgriman
Hay que leerse bien la documentación antes de aplicar los parches ;) yo creo que ese es el secreto de todo el proceso de parcheado, muchas veces se aplican parches (guindow$ es especialista) que no se necesitan, que no se aplican para nuestras necesidades y que afectan
hola :) politicas que no se tenian previstas.... -- Ciao, Javier linux user #393724
2006/5/7, javier rojas
Hay que leerse bien la documentación antes de aplicar los parches ;) yo creo que ese es el secreto de todo el proceso de parcheado, muchas veces se aplican parches (guindow$ es especialista) que no se necesitan, que no se aplican para nuestras necesidades y que afectan
hola :) politicas que no se tenian previstas....
perdon... pero se es un parche de seguridad, primero se instala y luego se le la documentacion !!! IMHO salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
2006/5/7, Rafa Grimán
Hola :)
El Viernes, 5 de Mayo de 2006 17:24, Victor Hugo dos Santos escribió:
2006/5/5, Rafa Grim�n
: Hola :)
[...]
S�lo a�adir la respuesta a la 2a pregunta: puedes automatizarlo para que se actualice solo. No soy partidario de que las cosas se actualicen solas, prefiero ser yo qui�n las actualice ... no vaya a ser que algo falle ..
pero y esta nueva actualizacion de seguridad critica que salio justo en el viernes a las 21:00 ??? solamente la instalara en el lunes ????
Depende, si me afecta o no me afecta. Me explico:
creo que no me entendiste... supongamos que tienes un servidor WEB funcionando y durante el viernes por la noche sale un parche de seguridad critica para un exploit "0 day" que da aceso remoto a la maquina que tienes... en vuestro caso (con actualizaciones manuales), los chacales de internet, tendran todo el final de semana para llegar hasta vuestra maquina ya que posiblemente vengas a instalar el parche en el lunes por la manana... despues que posiblemente la maquina ya se encuentre comprometida. :-(
Hay que leerse bien la documentación antes de aplicar los parches ;)
mmmm... como mencione en otro correo... IMHO, los parches de seguridad, primero se aplican y despues uno se empena en descubrir para que sirven. salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
Hola :) El Domingo, 7 de Mayo de 2006 23:28, Victor Hugo dos Santos escribió:
2006/5/7, Rafa Grimán
: Hola :)
El Viernes, 5 de Mayo de 2006 17:24, Victor Hugo dos Santos escribió:
2006/5/5, Rafa Grim�n
: Hola :)
[...]
S�lo a�adir la respuesta a la 2a pregunta: puedes automatizarlo para que se actualice solo. No soy partidario de que las cosas se actualicen solas, prefiero ser yo qui�n las actualice ... no vaya a ser que algo falle ..
pero y esta nueva actualizacion de seguridad critica que salio justo en el viernes a las 21:00 ??? solamente la instalara en el lunes ????
Depende, si me afecta o no me afecta. Me explico:
creo que no me entendiste... supongamos que tienes un servidor WEB funcionando y durante el viernes por la noche sale un parche de seguridad critica para un exploit "0 day" que da aceso remoto a la maquina que tienes... en vuestro caso (con actualizaciones manuales), los chacales de internet, tendran todo el final de semana para llegar hasta vuestra maquina ya que posiblemente vengas a instalar el parche en el lunes por la manana... despues que posiblemente la maquina ya se encuentre comprometida. :-(
Comprendí el ejemplo, pero hay que tener en cuenta otras cosas también: - se supone que el servidor (web, dns, correo, ...) estará tras un cortafuegos - el cortafuegos estará bien configurado sólo con determinados puertos abiertos, ... - el servidor también está bien configurado: ssh, usuarios, servicios necesarios, hosts.allow, ... - hay una copia del servidor en cuestión (aunque sea en un CD) - o bien hay turno de noche o bien tengo acceso desde el exterior para administrar el sistema Si tenemos en cuenta los dos últimos puntos: - si alguien ataca, tengo una copia exacta del servidor por si alguien entra ... la restauro. - si me leo la documentación, puedo decidir si instalar o no el parche
Hay que leerse bien la documentación antes de aplicar los parches ;)
mmmm... como mencione en otro correo... IMHO, los parches de seguridad, primero se aplican y despues uno se empena en descubrir para que sirven.
Depende, conozco un caso de un servidor Oracle MUY grande, pensaban de esa manera ... y se fué todo al traste :( La BBDD almacenaba información muy sensible, información crítica de esa empresa, ... es más, la empresa no quedó paralizada porque lo tenían en cluster. Aplicaron un parche del kernel pensando "Es un parche de seguridad, TENEMOS que instalarlo!!!". No comprobaron si ese parche rompía otra cosa ... y así fué :( Las prisas son malas compañeras del trabajo en general ;) De todas maneras, repito lo que he comentado en correos anteriores: la seguridad informática (parches, antivirus, cortafuegos, NIDS, IDS, firmas electrónicas, cifrados de XXXXXXXX bits, ...) nos dan una seguridad "falsa" ("cómoda") puesto que la ingeniería social (inversa o no) nos pueden reventar el sistema más protegido (CIA, FBI, banca, ...). No debemos caer en la "comodidad" de pensar: "Tengo el último parche, el cortafuegos XXXX, ..." si luego resulta que tenemos, por ejemplo, un Help Desk ;) IMHO Rafa -- "Even paranoids have enemies." Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman
2006/5/8, Rafa Grimán
Hola :)
[...]
Comprendí el ejemplo, pero hay que tener en cuenta otras cosas también: - se supone que el servidor (web, dns, correo, ...) estará tras un cortafuegos
y ??? estar detras de uno (o varios) cortafuegos no le ayudara de nada en este ejemplo.. ya que por ejemplo, deberas de tener el puerto 80,53 y 25 respectivamente abiertos para que los clientes reales /y el exploit) puedan aceder a vuestro server !!
- el cortafuegos estará bien configurado sólo con determinados puertos abiertos, ...
idem a la anterior.
- el servidor también está bien configurado: ssh, usuarios, servicios necesarios, hosts.allow, ...
mmm... mmm.. y mmm otra vez... tampoco veo mucha razon en esto.. dependendo del tipo de exploit, las ACLs que tengas no iran adelantar de mucho.
- hay una copia del servidor en cuestión (aunque sea en un CD)
por supuesto que esto es util.. pero mismo asi tendras vuestro servidor comprometido, debido a que no instalaste el parche y deberas de reinstalar y recuperar el respaldo.
- o bien hay turno de noche o bien tengo acceso desde el exterior para administrar el sistema
si.. esto deberia de ser el correcto... tener un equipo de soporte 24x7 y que cuando tengas una actualizacion critica, te envie un messaje a vuestro celular en el sabado por la madrugada informando que debes de conectar al servidor para leer la documentacion y instalar un parche !!! pero como el muchacho de turno esta mas "borracho" (con la cana = bebio mucho alchool) ya pueden imaginar el resultado !!! ;-)
Si tenemos en cuenta los dos últimos puntos: - si alguien ataca, tengo una copia exacta del servidor por si alguien entra ... la restauro.
personalmente... prefiro tener un servidor web (por ejemplo) fuera de funcionamento por un parche malo instalado/no provado que un servidor que muestre la mensaje "Hacking for Chinenses" (o como sea que se escriba) salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
Hola :) El Lunes, 8 de Mayo de 2006 16:59, Victor Hugo dos Santos escribió:
2006/5/8, Rafa Grim�n
: Hola :)
[...]
Comprend� el ejemplo, pero hay que tener en cuenta otras cosas tambi�n: - se supone que el servidor (web, dns, correo, ...) estar� tras un cortafuegos
y ??? estar detras de uno (o varios) cortafuegos no le ayudara de nada en este ejemplo.. ya que por ejemplo, deberas de tener el puerto 80,53 y 25 respectivamente abiertos para que los clientes reales /y el exploit) puedan aceder a vuestro server !!
- el cortafuegos estar� bien configurado s�lo con determinados puertos abiertos, ...
idem a la anterior.
- el servidor tambi�n est� bien configurado: ssh, usuarios, servicios necesarios, hosts.allow, ...
mmm... mmm.. y mmm otra vez... tampoco veo mucha razon en esto.. dependendo del tipo de exploit, las ACLs que tengas no iran adelantar de mucho.
- hay una copia del servidor en cuesti�n (aunque sea en un CD)
por supuesto que esto es util.. pero mismo asi tendras vuestro servidor comprometido, debido a que no instalaste el parche y deberas de reinstalar y recuperar el respaldo.
- o bien hay turno de noche o bien tengo acceso desde el exterior para administrar el sistema
si.. esto deberia de ser el correcto... tener un equipo de soporte 24x7 y que cuando tengas una actualizacion critica, te envie un messaje a vuestro celular en el sabado por la madrugada informando que debes de conectar al servidor para leer la documentacion y instalar un parche !!! pero como el muchacho de turno esta mas "borracho" (con la cana = bebio mucho alchool) ya pueden imaginar el resultado !!! ;-)
Si tenemos en cuenta los dos �ltimos puntos: - si alguien ataca, tengo una copia exacta del servidor por si alguien entra ... la restauro.
personalmente... prefiro tener un servidor web (por ejemplo) fuera de funcionamento por un parche malo instalado/no provado que un servidor que muestre la mensaje "Hacking for Chinenses" (o como sea que se escriba)
Lo que digo es que existe el riesgo de parchear un servidor y que deje de funcionar, luego tienes un dilema: - si parcheo y se cae la máquina por incompatibilidad con otro SW, ¿qué pasa? - si no parcheo, ¿qué posibilidad existe de que entren en mi sistema? Y ¿qué pasa si entran? Lo que digo es que cada uno debe tener mucho cuidado al actualizar, que actualizar sin leer la documentación no es bueno. No obligo a nadie ni intento convencer a nadie, sólo aconsejo tener cuidado ;) En el correo anterior ponía un ejemplo real de lo que puede pasar. En el ejemplo que puse, casi despiden a muchas personas. También digo que estoy de acuerdo en lo que respondes respecto a lo que yo comentaba del cortafuegos, por eso, en el correo anterior, escribí esto: "De todas maneras, repito lo que he comentado en correos anteriores: la seguridad informática (parches, antivirus, cortafuegos, NIDS, IDS, firmas electrónicas, cifrados de XXXXXXXX bits, ...) nos dan una seguridad "falsa" ("cómoda") puesto que la ingeniería social (inversa o no) nos pueden reventar el sistema más protegido (CIA, FBI, banca, ...). No debemos caer en la "comodidad" de pensar: "Tengo el último parche, el cortafuegos XXXX, ..." si luego resulta que tenemos, por ejemplo, un Help Desk ;)" Rafa -- "Even paranoids have enemies." Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman -- 50% of all statistics are inaccurate. OpenWengo: rgriman
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-05-09 a las 05:18 +0200, Rafa Grimán escribió: ...
Lo que digo es que existe el riesgo de parchear un servidor y que deje de funcionar, luego tienes un dilema:
- si parcheo y se cae la máquina por incompatibilidad con otro SW, ¿qué pasa?
- si no parcheo, ¿qué posibilidad existe de que entren en mi sistema? Y ¿qué pasa si entran?
Recuerdo un "parche" o actulización que pusieron un dia en un operador de teléfonos moviles español. El parche estaba mal, y aunque lo pusieron en una única máquina, se propagó, y rápidamente dejó a toda la red del país sin servicio. Para agravar el problema los técnicos del siguiente nivel, responsables, jefes, y todo el mundo (era de noche, creo) tenían teléfonos de la compañía (normas de la empresa para abaratar costes), que no funcionaban... por lo que podían no localizarles para que ayudaran. Fijaos lo peligroso que puede ser poner un parche. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEYIJ8tTMYHG2NR9URAqHFAJ44nkYc5CXQVWFgtL8wnZ12aRi9uQCeMQGA GeBfiBjaSPJbB5prnUBZPLc= =u6XX -----END PGP SIGNATURE-----
El 9/05/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-05-09 a las 05:18 +0200, Rafa Grimán escribió:
...
Lo que digo es que existe el riesgo de parchear un servidor y que deje de funcionar, luego tienes un dilema:
- si parcheo y se cae la máquina por incompatibilidad con otro SW, ¿qué pasa?
- si no parcheo, ¿qué posibilidad existe de que entren en mi sistema? Y ¿qué pasa si entran?
Recuerdo un "parche" o actulización que pusieron un dia en un operador de teléfonos moviles español. El parche estaba mal, y aunque lo pusieron en una única máquina, se propagó, y rápidamente dejó a toda la red del país sin servicio. Para agravar el problema los técnicos del siguiente nivel, responsables, jefes, y todo el mundo (era de noche, creo) tenían teléfonos de la compañía (normas de la empresa para abaratar costes), que no funcionaban... por lo que podían no localizarles para que ayudaran.
hehehe.. me recuerda a un provedor que teniamos hace tiempo.. donde segun ellos, en caso de problema deberiamos de entar en una pagina o enviar un correo.. pero siempre me preguntaba como diablos ibamos a entrar en la pagina para ingresar el problema se ellos eran el provedor del enlace de internet !!!! :-(
Fijaos lo peligroso que puede ser poner un parche.
por esto es importante tener una distribuicion empresarial, que te de algo mas de seguridad como redhat y/o suse enterprise.. claro esta que ellas tambien pueden equivocarse y publicar un parche malo. salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-05-09 a las 12:19 -0400, Victor Hugo dos Santos escribió:
sin servicio. Para agravar el problema los técnicos del siguiente nivel, responsables, jefes, y todo el mundo (era de noche, creo) tenían teléfonos de la compañía (normas de la empresa para abaratar costes), que no funcionaban... por lo que podían no localizarles para que ayudaran.
hehehe.. me recuerda a un provedor que teniamos hace tiempo.. donde segun ellos, en caso de problema deberiamos de entar en una pagina o enviar un correo.. pero siempre me preguntaba como diablos ibamos a entrar en la pagina para ingresar el problema se ellos eran el provedor del enlace de internet !!!! :-(
Lo mismo, exactamente. Bueno, eso te lo hace hasta Telefónica acá.
Fijaos lo peligroso que puede ser poner un parche.
por esto es importante tener una distribuicion empresarial, que te de algo mas de seguridad como redhat y/o suse enterprise.. claro esta que ellas tambien pueden equivocarse y publicar un parche malo.
Ojo, que el desastre que te he relatado, esas máquinas usan parches del distribuidor, y te advierto que lo cobran muy bien. Imagino que luego les demandarían por daños y perjuicios. O pagaba el seguro, vete a saber. O incumplieron algunas de las cláusulas del contrato y se agarron a eso. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEYNxutTMYHG2NR9URAqpKAJ0Wrv67YQBY6AdPg7tAmPRrvPs9kwCdGm17 rHFNTNZy67+b1vnpP/OBkYg= =oAgk -----END PGP SIGNATURE-----
2006/5/8, Rafa Grimán
Hola :)
El Lunes, 8 de Mayo de 2006 16:59, Victor Hugo dos Santos escribió:
2006/5/8, Rafa Grim�n
: Hola :)
[...]
Comprend� el ejemplo, pero hay que tener en cuenta otras cosas tambi�n: - se supone que el servidor (web, dns, correo, ...) estar� tras un cortafuegos
y ??? estar detras de uno (o varios) cortafuegos no le ayudara de nada en este ejemplo.. ya que por ejemplo, deberas de tener el puerto 80,53 y 25 respectivamente abiertos para que los clientes reales /y el exploit) puedan aceder a vuestro server !!
- el cortafuegos estar� bien configurado s�lo con determinados puertos abiertos, ...
idem a la anterior.
- el servidor tambi�n est� bien configurado: ssh, usuarios, servicios necesarios, hosts.allow, ...
mmm... mmm.. y mmm otra vez... tampoco veo mucha razon en esto.. dependendo del tipo de exploit, las ACLs que tengas no iran adelantar de mucho.
- hay una copia del servidor en cuesti�n (aunque sea en un CD)
por supuesto que esto es util.. pero mismo asi tendras vuestro servidor comprometido, debido a que no instalaste el parche y deberas de reinstalar y recuperar el respaldo.
- o bien hay turno de noche o bien tengo acceso desde el exterior para administrar el sistema
si.. esto deberia de ser el correcto... tener un equipo de soporte 24x7 y que cuando tengas una actualizacion critica, te envie un messaje a vuestro celular en el sabado por la madrugada informando que debes de conectar al servidor para leer la documentacion y instalar un parche !!! pero como el muchacho de turno esta mas "borracho" (con la cana = bebio mucho alchool) ya pueden imaginar el resultado !!! ;-)
Si tenemos en cuenta los dos �ltimos puntos: - si alguien ataca, tengo una copia exacta del servidor por si alguien entra ... la restauro.
personalmente... prefiro tener un servidor web (por ejemplo) fuera de funcionamento por un parche malo instalado/no provado que un servidor que muestre la mensaje "Hacking for Chinenses" (o como sea que se escriba)
Lo que digo es que existe el riesgo de parchear un servidor y que deje de funcionar, luego tienes un dilema:
- si parcheo y se cae la máquina por incompatibilidad con otro SW, ¿qué pasa?
- si no parcheo, ¿qué posibilidad existe de que entren en mi sistema? Y ¿qué pasa si entran?
mmm.. bueno ... creo que es un tema mas de criterio de cada uno (y su empresa)... personalmente, acredito que es preferible arrisgarse a instalar el parche, que dejar la maquina vulnerable a algun acceso no autorizado. salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-05-09 a las 12:11 -0400, Victor Hugo dos Santos escribió:
mmm.. bueno ... creo que es un tema mas de criterio de cada uno (y su empresa)... personalmente, acredito que es preferible arrisgarse a instalar el parche, que dejar la maquina vulnerable a algun acceso no autorizado.
Eso es algo que tienes que evaluar en cada caso. Que recursos 24*7 asignas, costes, riesgos, alternativas, etc. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD4DBQFEYNzdtTMYHG2NR9URAnEKAJQJU4R1ATRigP4kVNOs3vnzJxBeAKCPU1OJ FQL/f1xKwIOyiBdpKy/75Q== =GKCo -----END PGP SIGNATURE-----
El Viernes, 5 de Mayo de 2006 15:26, javier rojas escribió:
Gracias!
La conexión es http y, si mal no recuerdo, apunta a you.suse.com por lo que en el cortafuegos lo pueden tener algo controlado ;)
Por defecto te viene la dirección cuando pinchas en actualizar o YOU Server así que al abrir ese módulo, puedes comprobarlo.
pero una pregunta, hay alguna resticcion en esa pagina?, se me muestra com un mensaje de no disponible.... otra cosa, las actualizaciones son automaticas?, YOU me muestra un aviso? o tengo que buscarlas especificamente?
* Es un acceso autentificado y los parches son paquetes numericos, service packs, no por aplicaciones. * Dale acceso momentaneo a esas maquinas a internet y usa you, donde has de poner usuario y contraseña, no hay peligro en que puedan hacer peticiones a internet y mas si es una zona DESmilitarizada.
participants (6)
-
Carlos E. R.
-
javier rojas
-
jose maria
-
Rafa Grimán
-
Rafa Grimán
-
Victor Hugo dos Santos