LINUX.ORG.RU
ФорумTalks

Ввести обязательные апдейты

 


0

2

Недавно я посканил знакомых, сети внутри нашего здания, итп, и обнаружил ужасную правду - почти никто не обновляется. Все эти хартблиды, шеллшоки, гости, и еще больше багов в серверах управляемых через иксы - это не байки из раздела /news, а вполне реальный капец. Можно просто взять глагне лора/опеннета/хакерньюза/.. подряд пробить все баги за последние два года, и найти уязвимые хосты. А еще есть копеечные длинки и прочий хлам, их вообще никто никогда не обновляет, и существуют ли обновления

то есть по сути, Шиндовс куда более защищен. Там апдейты ставятся автоматически и в обязательном порядке, и админы и юзеры обычно слишком ленивы чтобы это поведение как-то изменять. Даже у OSX есть банальное окошко, постоянно дрочащее обладателя огрызка на тему «обнови меня сейчас, ночью, или прикажи напомнить завтра».

а вот линуксовые серверы управляются по SSH, и несмотря на наличие окошка обновлений в Убунте, все равно никто этого окошка не видит. Альтернативно одаренные с управлением в иксах, тут же отключают данную фичу одной галочкой - особенно полезно ибо данное окошко иногда крашится оставляя локи

соответственно, предлагаю сделать фичу обновления обязательной, а ее отключение немыслимо сложным (немыслимо сложным для обычного хомяка). Требование обновления должно отображаться и в терминалах, и в текстовых консолях, и в графике, и жестко поддерживаться на загрузке-выключении. Требование обновления блокирует интерактивную сессию до получения внятного ответа (на манер остановки загрузки при ошибках в fstab).

Например, эту фичу можно впихать прямо в init, в смыле в systemd. Допустим, у нас будет централизованный общий системный контракт/интерфейс на получение информации об обновлениях. Дальше в зависимости от дистрибутива, каждый пакетный менеджер должен будет предоставить реализацию этого контракта, которую будет дергать systemd по lifecycle фазе и таймеру.

Отключение фичи будет упрятано во что-то заведомо неудобное типа параметров ядра, значение которого придется вычислять хитрым и нестабильным скриптом (типа парсинга «Predictable» Network Interface Names). Таким образом фича отключения будет естественным существовать только для профессионалов и красноглазых.

★★★★☆

Последнее исправление: stevejobs (всего исправлений: 1)

1 2
Ответ на: комментарий от stevejobs

Ничего. Ровно также, как это же ничего не помешает смотреть на растущие циферки в шиндовз update. Обновляю обычно только сигнатуры Defender, всё остальное... Ну с неделю назад обновил. А до этого в сентябре или в августе.

Valkeru ★★★★
()

Тред не читал.

Деточка, ты хорошо себе представляешь процесс контроля обновлений? Лай с ними, с десктопами - сервера ты тоже предлагаешь обновлять в обязательном порядке?

CaveRat ★★
()
Ответ на: комментарий от Valkeru

У тебя десятка? Сразу разобрался как отключить? В Home Edition (на них обновились ноутбуки с восьмеркой) нету доступа до групповых политик, да и групповые политики тоже на очень advanced юзера

stevejobs ★★★★☆
() автор топика

ее отключение немыслимо сложным (немыслимо сложным для обычного хомяка)

Там, где хомяку сложно — там тут же появляются твикеры и прочие однострочники, которые хомяк запустит, даже не вникая. То есть увеличим социально-инженерную дыру, через которую произвольный ЛОРовец сможет проникнуть в мой компьютер «с помощью специально сформированного сообщения на форуме» ©.

greatperson
()

Почитал тред, и сделал вывод, что за тобой пора выезжать... санитарам. Ты буйный!

Поставь себе уже десяточку и не совокупляйся с нашими мозгами. Не надо делать из линукса - десяточку, я тебя умоляю.

nexfwall ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Talks