ivinnic
@ivinnic
Full-Stack - подустал

Как правильно настроить автообновления по безопасности веб севера Linux?

Добрый день!

Кроме настройка автоматического обновления пакетов безопасности unattended upgrades
что еще нужно настроить?

Что скажете по поводу обновления ядра? Как это правильно делать?

Спасибо
  • Вопрос задан
  • 142 просмотра
Пригласить эксперта
Ответы на вопрос 3
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Закрыть снаружи все порты, кроме HTTP(S), ставить обновления безопасности на веб-сервер, РНР, базу и весь остальной стек.

Ядро трогать не обязательно - если в сайте нет каких-то лютых уязвимостей и работа компонентов нормально настроена от непривилегированных пользователей, до него не очень-то доберёшься.
Ответ написан
Комментировать
mindtester
@mindtester
http://iczin.su/hexagram_48
даже unattended upgrades может быть спорной практикой, особенно для сервера 24/7 с высокой ценой времени отказа.. апдейты могут требовать перезагрузки же? и явно апдейты ядра системы точно ее хотят

тут ключевое слово сервер, по этому лучше что бы все апдейты проходили под контролем (частая схема в большом спорте - кластер NLB, в котором ноды обслуживаются поочередно, как итог простоя нет)

.. еще тема - внезапные 0-дей, бывает так, что на форумах/рассылках/в новостях, можно узнать о внезапно обнаруженной дыре, для которой начали пилить патч, но он не прост, и выйдет спустя время.. при этом, не редко, бывают рекомендации, как закрыть проблему самостоятельно (в тч скрипты и подобное)

это все к тому, что хороший контроль безопасности невозможно переложить на автоматику
Ответ написан
Комментировать
@ProFfeSsoRr
Сис.админ по Linux
Ни в коем случае не делайте автоматические апдейты! Если есть возможность - хотя бы даже в виртуалке у себя на машине имейте копию боевого сервера и обновляйтесь сначала на ней. Если такой возможности нет - руками в часы минимальной нагрузки. Автоматический апдейт - верный путь к плохому сну, работе сверхурочно в самый неподходящий момент и т.д.
Но это не означает, что надо редко обновляться - наоборот, чем чаще тем меньшей апдейтов за раз, в случае поломки меньший список мест, которые проверять.
Апдейт ядра - или через перезагрузку, или ставить такие ядра, которые обновляются на ходу (но там своя специфика и вам в такое рано лезть).
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы