Есть ли смысл патчить серверы в локальной сети и как часто?

Смотря что на них делаете. Если гоняете моделирование каким-нибудь САПРом, то это даже вредно, оно там на определенные версии пакетов завязано, шаг влево, шаг в право - ведро багов. Ну и от исправлений spectre/meltdown тоже только вред.

Все серверы разные (где-то БД, где-то веб-сервер, где-то какие-то приложения).

то что торчит хоть как-то в интернеты, хоть через веб-сервак, я б апдейтил регулярно. Как часто? Тут лучше привязывать к циклу апдейтов веб-приложух, чтобы уложиться в окно апдейтов и чтобы не было классического https://www.youtube.com/watch?v=uRGljemfwUE

И вот тут также мы имеем цветение так называемой «логики» погроммиста. Если педаль тормоза у нас в автомобиле используется в 50 раз реже педали газа, значит, её непременно следует удалить. Не нужно. Да что педаль тормоза. Подушка безопасности - вообще не нужна в принципе, она же не используется практически никогда.

если у тебя во внутрисети нет каких-нить мамкиных какеров, то можно привязывать апдейты локальных серверов к апдейтам рабочего софта. если сервера никак не торчат наружу, то многие патчи для них неактуальны и, как заметили выше, всякие заплатки на мелтдауны даже вредны.

500+ непатченных серверов, некоторые торчат в интернет (на самом деле неважно, голой жопой, или прикрытой, заползёт-то наверняка через дыры в веб-приложениях)... Небось ещё и селинукс везде отключен. А ты уверен, что у вас там прямо сейчас не рассадник?

на фоне тем «Я положил систему с помощью grep. Что я сделал не так?» и прочих (www.linux.org.ru/people/iljuase/)

тема топика лишена смысла.

ни один сервак не торчит во внешку напрямую.

Если сервисы, которые эти серваки крутят, могут быть потыканы извне (даже через фаерволл и прочие ЛБ), то да, нужно.

Если твоя локалка не подключенна к интернетам, то на усмотрение админа (я бы все равно патчила).

У меня виртуалки на NASом, я их обновляю когда есть время на исправление возможных последствий, примерно несколько раз в год. В изолированной от внешнего мира сети вообще ничего обновлять не нужно, а центоси даже вредно.

В изолированной от внешнего мира сети

С каких пор «Сетка у нас отделена от интернета (DMZ и всё такое)» стала изолированной?

вообще ничего обновлять не нужно, а центоси даже вредно

пятизвездочный троллинг

Не надо чинить то, что не сломано.

Не надо чинить то, что не сломано.

Рука-лицо. А потом у нас во всех госках wannacrypt прошелся по всем ресурсам(и внутренним, и внешним). Чо чинить то, что не сломано.

Для безопасности, частота условно пропорциональна цене утекания или порчи данных, количеству и качеству недоверенных источников входных данных, количеству отключенных механизмов ограничения доступа и обратно пропорционально стоимости простоя при плановом ребуте. Если админы хоть сколько нибудь админят, делитель должен быть незаметен. Кроме случая обработки никому не нужных околонулевой стоимости данных в совершенно огороженной среде. Т.ч. патчить почаще, предприняв меры по уменьшению потерь от этого деструктивного поведения.

Не для безопасности, лучше чтобы поломка системы обнаруживалось, пока авторы ещё помнят, как они этого добились. Если откладывать, большой набор патчей труднее откатывать и диагностировать. Опять, получается, нужно почаще.

wannacrypt

пятизвездочный троллинг (c)

Вопрос уровня «Имеет ли смысл админить серваки локальной сети?». Да - имеет. Это - неотъемлемая часть работы системного администратора. Ты можешь забить на обновления вообще и оставить всё как есть, и это даже будет работать. Нужно ли тебе полноценное администрирование сети, вопрос уже из того разряда, где стоит вопрос «а так ли нам нужен админ?».

Проблема в том, что всё сломано изначально. Иначе не было бы всяких багов и дыр.

всё сломано изначально

Ога, прямо все. И как бедные люди работают...

Привет, дорогой ТС. Чтобы грамотно ответить на твой вопрос, скажи, пожалуйста, при наличии «500+ Linux-серверов» какой у вас штат админов и почему ты спрашиваешь об этом на форуме? Т.е. «500 серваков есть, а где админы?» Муниципальной организацией это попахивает.

Рука-лицо.

вы сейчас с Lordwind устроите спор из серии «как часто надо проверяться у венеролога». правильный ответ будет разный в зависимости от.

не зная требований к делопроизводству данной организации и вообще ситуации вы ничего не можете сказать точно.

на фоне тем ... тема топика лишена смысла.

Да, я посмотрел, список нубских вопросов ТС впечатляет. Это диагноз:

«Я работаю в IT-компании и мы поддерживаем Linux-серверы по модели 'оутсорсинг'. В распоряжении 400+ Linux-серверов.»

Это значит какие-то жмоты не стали нанимать своих Линукс-админов, а наняли аутсорсеров, которые в свою очередь жмоты и тоже не стали, но сделали вид, что у них линукс админы.

В этой ситуации вопрос только, когда произойдет «КА-БУМ».

Человек 11 именно Unix-администраторов.

Почему спрашиваю тут? Ну типа в интернете люди умнее, мнения более разносторонние и всё такое, взгляд со стороны.

+ ни один из них не скажет, что патчинг не нужен, т.к. все работают в 'системе', следуют определённым правилам и боятся сделать шаг в сторону.

Ну и да, я не считаю соих коллег профессионалами в сфере кибер-безопасности.

но сделали вид, что у них линукс админы.

Но-но-но, давайте без оскорблений, господин, я даже RHCE сдал с первого раза.

Я настоящий сертифицированный Linux-специалист :D.

Не, не патч. Оставь как есть, только контору назови свою, что бы люди знали к кому обращаться не надо :)

На досуге советую прочитать CVE дистра, который ты обслуживаешь. Гарантирую, вопросы отпадут сами :)

P.S. slapper'a я лично словил в 2002 году

пятизвездочный троллинг (c)

Почему троллинг ? SMB1 дыряв и в линуксе

Я периодически почитываю CVE и прекрасно осведомлён о происходящем. Я же интересующь конкретно моим случаем, когда серверы не торчат наружу.

боюсь тебя огорчить, но я тоже знаю, что такое RHCE и хвастаться им можно только перед менеджментом:) он не для того, чтобы поддерживать инфраструктуру из 500 серверов (виртуальных, видимо).

Человек 11 именно Unix-администраторов.

аутсорсеры не в счет. я считаю, это гнилая модель.

Ну типа в интернете люди умнее, мнения более разносторонние и всё такое, взгляд со стороны.

книги умнее. мне кажется, с момента, как ты создал первые свои темы, ты мог уже прочитать несколько книг. с момента как ты ждешь тут ответа - пролистать несколько тематических глав в разных pdf книгах. так что не будем давать тебе рыбу в руки, попробуй научиться ее ловить.

Я периодически почитываю CVE и прекрасно осведомлён о происходящем. Я же интересующь конкретно моим случаем, когда серверы не торчат наружу.

Ни один сервис не торчит наружу ? Эти сервера вообще с внешним миром не взаимодействуют никак ? Что они делают ?