LINUX.ORG.RU
ФорумTalks

Ввести обязательные апдейты

 


0

2

Недавно я посканил знакомых, сети внутри нашего здания, итп, и обнаружил ужасную правду - почти никто не обновляется. Все эти хартблиды, шеллшоки, гости, и еще больше багов в серверах управляемых через иксы - это не байки из раздела /news, а вполне реальный капец. Можно просто взять глагне лора/опеннета/хакерньюза/.. подряд пробить все баги за последние два года, и найти уязвимые хосты. А еще есть копеечные длинки и прочий хлам, их вообще никто никогда не обновляет, и существуют ли обновления

то есть по сути, Шиндовс куда более защищен. Там апдейты ставятся автоматически и в обязательном порядке, и админы и юзеры обычно слишком ленивы чтобы это поведение как-то изменять. Даже у OSX есть банальное окошко, постоянно дрочащее обладателя огрызка на тему «обнови меня сейчас, ночью, или прикажи напомнить завтра».

а вот линуксовые серверы управляются по SSH, и несмотря на наличие окошка обновлений в Убунте, все равно никто этого окошка не видит. Альтернативно одаренные с управлением в иксах, тут же отключают данную фичу одной галочкой - особенно полезно ибо данное окошко иногда крашится оставляя локи

соответственно, предлагаю сделать фичу обновления обязательной, а ее отключение немыслимо сложным (немыслимо сложным для обычного хомяка). Требование обновления должно отображаться и в терминалах, и в текстовых консолях, и в графике, и жестко поддерживаться на загрузке-выключении. Требование обновления блокирует интерактивную сессию до получения внятного ответа (на манер остановки загрузки при ошибках в fstab).

Например, эту фичу можно впихать прямо в init, в смыле в systemd. Допустим, у нас будет централизованный общий системный контракт/интерфейс на получение информации об обновлениях. Дальше в зависимости от дистрибутива, каждый пакетный менеджер должен будет предоставить реализацию этого контракта, которую будет дергать systemd по lifecycle фазе и таймеру.

Отключение фичи будет упрятано во что-то заведомо неудобное типа параметров ядра, значение которого придется вычислять хитрым и нестабильным скриптом (типа парсинга «Predictable» Network Interface Names). Таким образом фича отключения будет естественным существовать только для профессионалов и красноглазых.

★★★★☆

Последнее исправление: stevejobs (всего исправлений: 1)

Впечатления от жну-линукс на десктопе - не было печали, апдейтов накачали
Ввести обязательные апдейты

хе-хе

Yossarian
()

При логине по SSH:

71 packages can be updated.
13 updates are security updates.

Last login: Fri Feb 26 11:11:03 2016 from localhost

не говоря уже про прочие unattended-upgrades и yum-cron

aleax
()
Ответ на: комментарий от stevejobs

нормальных ОС, например Archlinux

Спасибо тебе, человек, за несколько секунд искреннего смеха. Спасибо. Жизнь вообще такая штука, что хрен когда даёт повод посмеяться...

Stahl ★★☆
()

Для секьюрных фиксов - да, для обновления версий софта и дистрибутива(почувствуй разницу centos6->centos7; debian7->debian8) - Нет.

Deleted
()
Ответ на: комментарий от aleax

не, оно должно зафризить логин-шелл еще до появления возможности ввода произвольных команд, и задать вопрос: «будем обновляться?». При ответе «нет» шелл умрет. При ответе «да» начнется обновление. Если он попытается залогиниться в реальную текстовую консоль (н-р на хецнере это можно через java-апплет), то там произойдет всё то же самое. Если админ психанет и решит ребутнуть машину из веб-интерфейса хостинга - при перезагрузке, в зависимости от настроек, либо произойдет все то же самое (загрузка прервется до ответа «да, я хочу обновиться»), либо апдейты накатятся автоматически. Отключить это простым способом никак нельзя.

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от stevejobs

При ответе «нет» шелл умрет. При ответе «да» начнется обновление.

А зачем что-то спрашивать тогда?

pacify ★★★★★
()
Ответ на: комментарий от pacify

если ОЧЕНЬ важно не обновляться, человек сможет все-таки не обновляться, а пойти и пройти сквозь боль и унижения с отключением фичи через параметры гроба

+ в качестве исключения-послабления, можно давать опцию «отложить обновление», но не дольше допустим 1 недели с последнего обновления

stevejobs ★★★★☆
() автор топика
Последнее исправление: stevejobs (всего исправлений: 1)
Ответ на: комментарий от stevejobs

если ОЧЕНЬ важно не обновляться, человек сможет все-таки не обновляться, а пойти и пройти сквозь боль и унижения с отключением фичи через параметры гроба

Как он это сделает, если при заходе в шелл можно либо обновиться, либо пойти нахер?

Yossarian
()

никто не обновляется

Ерунда какая. пишется скрипт (в самом простом случае), который всё обновляет. Если что-то поломается, то есть всяческие бэкапы и снапшоты.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Лучше вернуть принудительное лечение.

Deleted
()
Ответ на: комментарий от stevejobs

Как я думаю следующим шагом будут платные репозитори.
Потом админы освоят hex редакторы чтобы твои красоты выдирать с кровушкой.
Как ответ на это ты вводишь товоизацию ядра на платформе PC, для чего вступишь в сговор с Майкрософтом.

Умри сволочь.

torvn77 ★★★★★
()

Ввести
обязательные

Жириновский.jpg

outtaspace ★★★
()
Ответ на: комментарий от Yossarian

с перезагрузкой - интерактивно отредактировав параметры в гробе (емнип в grub2 это кнопочка e на текущем boot entry). Можно сделать параметр, который будет просто отключать фичу. Можно сделать специальный recovery mode и вывести его отдельным boot entry.

без перезагрузки - хз. Подскажи?

но обновить ядро без перезагрузки все равно нельзя, поэтому на десктопе отключение фичи без перезагрузки вообще не будет. Ибо ненужно. Пришли обновления - ты обязан их в фиксированное время (максимум 1 неделя) установить и перезагрузиться. А на серверах надо придумать какой-то особо хитрый способ, чтобы он вроде бы и был, и никому не хотелось им пользоваться

stevejobs ★★★★☆
() автор топика
Последнее исправление: stevejobs (всего исправлений: 1)
Ответ на: комментарий от stevejobs

Особенно хороша следующая ситуация - прилетевшее обновление ломает систему, пользователь делает откат, оно ставится снова. Типа как колесо генотьбы, только для линуксов.

Yossarian
()

Решил всех в рай силком затащить? Такое обычно работает в обратную сторону

Satou ★★★★
()

Недавно я посканил знакомых, сети внутри нашего здания, итп, и обнаружил ужасную правду - почти никто не обновляется

Один code monkey посканил других знакомых code monkeys и, ВНЕЗАПНО, выяснил, что они таки на самом деле monkeys. Ну не чудо ли?

P.S. Советую диспансеризацию, тебе с каждым тредом всё хуже и хуже, шизофазия прогрессирует семимильными шагами.

redgremlin ★★★★★
()
Ответ на: комментарий от Yossarian

можно сделать так: никаких откатов в полном смысле НЕ существует вообще. Могут существовать только дополнительные обновления, исправляющие предыдущие ошибки.

предполагаемое использование: пришло обновление А и убило систему. Пользователь ждет выхода обновления Б которое поправит последствия А. Представим что последствия А - это удаление файлов, т.е. поможет полный откат до снапшота/бэкапа. Пользователь откатывается и обновляется. Система обновлений видит уже новый набор апдейтов, и fast-forward обновляется сразу до Б (если там обновились только какие-то пакеты, это произойдет само собой, без написания велосипедов).

колесо генотьбы

генотьба - это от слова «генту»? Генту не линукс? Помойму на роль «нормальной ОС» генту еще лучше подходит, чем арч, надо только все же иметь в бинарном виде стандартные пакеты

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от stevejobs

предполагаемое использование: пришло обновление А и убило систему. Пользователь ждет выхода обновления Б которое поправит последствия А. Представим что последствия А - это удаление файлов, т.е. поможет полный откат до снапшота/бэкапа. Пользователь откатывается и обновляется. Система обновлений видит уже новый набор апдейтов, и fast-forward обновляется сразу до Б (если там обновились только какие-то пакеты, это произойдет само собой, без написания велосипедов).

Решил отобрать у линукса последний один процент?

Yossarian
()
Ответ на: комментарий от redgremlin

Советую диспансеризацию

сегодня хотел пройти! www.linux.org.ru/forum/talks/12387636

но JB зарезал топик с резолюцией «к врачу!», хотя без этого топика врача посетить как раз невозможно. Бедный жобэ, уже читать разучился

теперь не получится пройти :(

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от Yossarian

Myth == busted

fedora сломалась после обновления site:linux.org.ru
Результатов: примерно 19 500

ubuntu сломалась после обновления site:linux.org.ru
Результатов: примерно 43 500

:p

Midael ★★★★★
()
Последнее исправление: Midael (всего исправлений: 1)
Ответ на: комментарий от Yossarian

так на Шиндузе вроде похожая технология, и она работает? Вон Midael даже видос опубликовал сочного баттхерта нашей целевой аудитории - человека, который не хочет устанавливать обновления не потому что сделает это вечером (или из более удобного интерфейса, или более умным способом), а потому что хочет не устанавливать обновления вообще

stevejobs ★★★★☆
() автор топика
Ответ на: Myth == busted от Midael

Это как-то опровергает то что рач ломается после обновления? :)

Yossarian
()

Проприетарщик? Мелкомягкий? Признавайся!

xwicked ★★☆
()
Ответ на: комментарий от stevejobs

В шиндузе ты сам выбираешь, ставить ли обновления, не ставить, и если ставить, то какие. Я только обновления безопасности ставлю.

Yossarian
()

Соответствуешь нику, так и хочешь навязать всем зонд.

ptah_alexs ★★★★★
()

А потом с обновлением приходит новый ssh, в котором отключен логин с паролем, вход только по ключу, и сервер превращается в тыкву не только у нерадивого админа, не читавшего чейнджлоги, но и у любого.

Какой, говорите, размер материальной ответственности автора предложения?

bormant ★★★★★
()
Последнее исправление: bormant (всего исправлений: 2)

В общем и целом для популяции машин, это хорошая идея.
Кому не надо, может просто отключить unattended-upgrades.

aidaho ★★★★★
()

Идите ннна.... на мак с такими идеями.

hungry_ewok
()

У ШынОС и раньше были автоматические обновления, только сейчас ты не можеш выборочно обойти «обновления» с рекламой, или прочим булшитом.

А всякие роутеры, планшетоты, телефонота и любое иот-говно дырявое как...

FiXer ★★☆☆☆
()

Например, эту фичу можно впихать прямо в init, в смыле в systemd

плюсую. только ради новых взрывов systemd-хейтеров и я-делаю-со-своей-системой-всё-что-хочу-кунов.

f1u77y ★★★★
()
Ответ на: комментарий от stevejobs

я надеюсь что такое поведение никогда не будет реализовано в наших уютненьких линуксах. В винловс и то можно на 10 минут отложить и занятся текущим вопросом.

aleax
()

Можно просто взять глагне лора/опеннета/хакерньюза/.. подряд пробить все баги за последние два года, и найти уязвимые хосты

Ну дык так и делается это все, тю. О чем этот плач вообще?

Gonzo ★★★★★
()
Ответ на: комментарий от user42

А потом будешь писать посты «не было печали, апдейтов накачали»?

Ахаха, это лучший комент, кстати :D

Gonzo ★★★★★
()

Что в дебиане/серверной убунте, что в десктопной убунтеесть настройка unattended upgrades. И оно по-умолчанию настроено так, что само ставит обновления безопасности. Единственное, что систему надо перезагружать после обновления ядра, либо настроить автоматическую перезагрузку. Как там в rpm-based(хотя тут подозреваю наличие аналогичного функционала) и в арчегентах - хз.

Nightwing
()

а вот линуксовые серверы управляются по SSH, и несмотря на наличие окошка обновлений в Убунте, все равно никто этого окошка не видит

Чувак! Ты хоть девять классов-то окончил?

Igron ★★★★★
()

Отключение фичи будет упрятано во что-то заведомо неудобное

Кто о чём, а стиви — о ректальном насилии.

Manhunt ★★★★★
()
Ответ на: комментарий от peregrine

Просто не трогай безопасность и стабильность под Nix-ами. Очень прошу.

Это выдержка из твоего письма к поттерингу?

Manhunt ★★★★★
()
Ответ на: комментарий от Deleted

80% линуксовых серверов содержат незалатанные 1-day уязвимости. Да, это из-за трудностей с обновлениями.

Вот такая вот ерунда.

fornlr ★★★★★
()

Джобся, это культура ИТ такая.
Зачем её менять? Пусть сидят на старых дистрах.

Кому надо, кто задом чувствует что конкуренты есть и хотят залезть, те и накатывают обновы.

Deleted
()

а вот линуксовые серверы управляются по SSH, и несмотря на наличие окошка обновлений в Убунте, все равно никто этого окошка не видит

Вообще-то при консольном виде тебе пишется, сколько пакетов требуется обновить.

Valkeru ★★★★
()
Ответ на: комментарий от Manhunt

Можно и к нему. А вообще к ТС-у, если он когда-то надумает что-то патчить.

peregrine ★★★★★
()

почти никто не обновляется

Офтопик же. Нужно тестить софт под виндой, так что я тоже вспомнил почему всегда обновления вырубал. Сейчас да, вырубить стало сложнее, пришлось основательно погуглить.

ya-betmen ★★★★★
()
Последнее исправление: ya-betmen (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.