Linux distrokeskustelu

[JRan]

Ettei kysytty linkkiä josta ilmenisi näiden päivitysten laatu? En itse ainakaan alkaisi tärisemään mistään kernelin tietoturvapäivityksistä ellei siellä ole jokin kriittinen (remote) privilege escalation reikä, varsinkin kun omat ovat palomuurin takana. Ei ole tosin muutenkaan tapana ajella satunnaista internetistä löytyvää sontaa serverikoneilla.

No eiköhän sekin sillä apt:lla löytyisi

apt changelog [paketin nimi]

toki jos itse ei servereitään käytä, niin silloinhan tällä ei ole mitään merkitystä. Tuskinpa ne Debian Stable kernelin backporttaukset nyt mitään satunnaisesta sontaa on.

Nuo ovat dedikoituja palvelimia vuokralla Saksasta ja Hollannista, heillä on oma tiiminsä joka tekee auditoinnin ja informoi niistä niin olisin tarvinnut linkit että tarkistan, tarvittaessa päivitän ja otan yhteyttä heihin. Ei ole mahdollisuutta lentää koneen ääreen jos kriittiset palvelut eivät nouse pystyyn, server downtime maksaa. Lisäksi minun pitää ilmoittaa käyttäjille tästä jos serveri vaatii boottauksen. Yli puolen vuoden uptime palvelimessa on naurettavan pieni.

Kuulostaa vähän oudolta, dedikoituja palvelimia Saksassa ja Hollannissa joita kuitenkin hallinnoi joku muu (esimerkiksi kernel päivityksien osalta), mutta ongelmatilanteessa sinun pitäisi mennä paikanpäälle. Erikoinen diili kokonaisuudessaan. Ehkä kannattaa harkita jotain muita ratkaisuja, koska parempiakin on varmasti saatavilla.

Vähän huono suunnitelma yleisesti, etenkin jos downtime maksaa, että kriittiset palvelut pyörii yhden koneen varassa. Eli jos boottaat koneen, niin käyttäjien palvelut menee alas. Nykyään kriittiset palvelut on yleensä vähintäänkin kahdennettuja juuri tästä syystä. Toisen koneen voi bootata, päivittää jne. voi myös rauhassa testata, että kaikki toimii päivityksillä. Sen jälkeen toki päivitetään seuraava(t) kone(et) samaan tilaan.

Toki isommissa ympäristöissä on testaamiseen omat koneet jotka vastaa tuotantoa ja päivitykset tehdään testauksen jälkeen kaikille tuotantopalvelimille.

Eihän yksittäisen palvelimen uptimella ole mitään merkitystä. Kyllähän tota asiaa pitää tarkastella kokonaisuutena ja pyrkiä siihen, että palveluiden downtime on 0. Ihan sama mikä on yksittäisen serverin uptime.

 

[kaakau<"'\\/>]

No eiköhän sekin sillä apt:lla löytyisi

apt changelog [paketin nimi]

toki jos itse ei servereitään käytä, niin silloinhan tällä ei ole mitään merkitystä. Tuskinpa ne Debian Stable kernelin backporttaukset nyt mitään satunnaisesta sontaa on.

Laittoikoi joku apt list --upgradeable. Eikö sillä näy suoraan onko tietoturvapäivitys? Näkyy se tarkempi repo, onko security. Itse laitan nuo kaikki kyllä unattended-upgradesilla muutenkin päivittymään itsestään.

 

[TripBlast]

No eiköhän sekin sillä apt:lla löytyisi

apt changelog [paketin nimi]

toki jos itse ei servereitään käytä, niin silloinhan tällä ei ole mitään merkitystä. Tuskinpa ne Debian Stable kernelin backporttaukset nyt mitään satunnaisesta sontaa on.


Kuulostaa vähän oudolta, dedikoituja palvelimia Saksassa ja Hollannissa joita kuitenkin hallinnoi joku muu (esimerkiksi kernel päivityksien osalta), mutta ongelmatilanteessa sinun pitäisi mennä paikanpäälle. Erikoinen diili kokonaisuudessaan. Ehkä kannattaa harkita jotain muita ratkaisuja, koska parempiakin on varmasti saatavilla.

Vähän huono suunnitelma yleisesti, etenkin jos downtime maksaa, että kriittiset palvelut pyörii yhden koneen varassa. Eli jos boottaat koneen, niin käyttäjien palvelut menee alas. Nykyään kriittiset palvelut on yleensä vähintäänkin kahdennettuja juuri tästä syystä. Toisen koneen voi bootata, päivittää jne. voi myös rauhassa testata, että kaikki toimii päivityksillä. Sen jälkeen toki päivitetään seuraava(t) kone(et) samaan tilaan.

Toki isommissa ympäristöissä on testaamiseen omat koneet jotka vastaa tuotantoa ja päivitykset tehdään testauksen jälkeen kaikille tuotantopalvelimille.

Eihän yksittäisen palvelimen uptimella ole mitään merkitystä. Kyllähän tota asiaa pitää tarkastella kokonaisuutena ja pyrkiä siihen, että palveluiden downtime on 0. Ihan sama mikä on yksittäisen serverin uptime.

Hirveää spekulointia ilman että tietää tarkemmin diilistä tai noiden servereiden vuokrista, kyllähän sen sen saa hätä tilanteissa kytketyllä KVM konsolilla heidän toimesta. Selität servereiden peilauksesta ei ole uutta tietoa. On backupitkin kyllä. Et tiedä edes mitä servicejä siellä pyörii, jopa kernelin debian stable backporttaukset hajottavat tiettyjä servicejä. Jospa jätetään ne minun serverit nyt rauhaan ja keskitytään johonkin muuhun. Ne ovat pyörineet vuosia ilman ongelmia ja niihin olen kyllä ajanut kriittiset tietoturvapätsit. Tämä siis lähti siitä kun sanottiin etten saa mitaleja uptimestä johon pyysin vain linkit noihin neljään tietoturvapäivitykseen.

Ehdotat parempia diilejä mutta et kerro mitä tai anna esimerkkejä. Enkä jaksa kirjoittaa kaikkea sanasta sanaan kun en ymmärrä nyt mihin tämä liittyy. Taitaa olla väärä foorumi näille asioille.

 

[JRan]

Laittoikoi joku apt list --upgradeable. Eikö sillä näy suoraan onko tietoturvapäivitys? Näkyy se tarkempi repo, onko security. Itse laitan nuo kaikki kyllä unattended-upgradesilla muutenkin päivittymään itsestään.

Juu eiköhän tämäkin riitä kertomaan, että voi hyvin päivittää.

Hirveää spekulointia ilman että tietää tarkemmin diilistä tai noiden servereiden vuokrista, kyllähän sen sen saa hätä tilanteissa kytketyllä KVM konsolilla heidän toimesta. Selität servereiden peilauksesta ei ole uutta tietoa. On backupitkin kyllä. Et tiedä edes mitä servicejä siellä pyörii, jopa kernelin debian stable backporttaukset hajottavat tiettyjä servicejä. Jospa jätetään ne minun serverit nyt rauhaan ja keskitytään johonkin muuhun. Ne ovat pyörineet vuosia ilman ongelmia ja niihin olen kyllä ajanut kriittiset tietoturvapätsit. Tämä siis lähti siitä kun sanottiin etten saa mitaleja uptimestä johon pyysin vain linkit noihin neljään tietoturvapäivitykseen.

Niin itse vastasin vaan kernel päivityksiin sekä uptime-ja downtime asiaan. Vastasin siis sen pohjalta mitä kirjoitit. Jos antamasi tiedot asiasta oli väärät tai puutteelliset, niin sitähän minä en toki voi tietää.

Ehdotat parempia diilejä mutta et kerro mitä tai anna esimerkkejä. Enkä jaksa kirjoittaa kaikkea sanasta sanaan kun en ymmärrä nyt mihin tämä liittyy. Taitaa olla väärä foorumi näille asioille.

Niin siis ei se kovin hyvältä diililtä kuulosta, että jos ongelmia ilmenee, niin sinun pitää lentää Saksaan tai Hollantiin korjaamaan asiaa. Myöskään en ole kuullut ikinä, että saisit oikeasti pääsyä kenenkään saliin, jos sinulla on siellä dedikoitu serveri.

Se että voinko antaa esimerkkejä, niin en toki näillä tiedoilla. Ei aavistustakaan, mitä teet koneilla, millainen infra vuokrattuna, mihin hintaan, onko sijainnilla merkitystä jne.

Ja toki tämä on varmasti täysin väärä keskustelu tähän. Edellisissä viesteissä puhuttiin edelleen ihan Linuxiin liittyvistä asioista:

- kernel päivitykset ja miten niitä uskaltaisi helpommin tehdä -> varmistetaan ennakkoon (tavalla tai toisella), että mikään ei hajoa
- uptime, millä ei ole mitään merkitystä
- downtime, mikä on erittäin tärkeä, jos tarjoat jotain asiakkaille/käyttäjille

 

[TripBlast]

Juu eiköhän tämäkin riitä kertomaan, että voi hyvin päivittää.


Niin itse vastasin vaan kernel päivityksiin sekä uptime-ja downtime asiaan. Vastasin siis sen pohjalta mitä kirjoitit. Jos antamasi tiedot asiasta oli väärät tai puutteelliset, niin sitähän minä en toki voi tietää.


Niin siis ei se kovin hyvältä diililtä kuulosta, että jos ongelmia ilmenee, niin sinun pitää lentää Saksaan tai Hollantiin korjaamaan asiaa. Myöskään en ole kuullut ikinä, että saisit oikeasti pääsyä kenenkään saliin, jos sinulla on siellä dedikoitu serveri.

Se että voinko antaa esimerkkejä, niin en toki näillä tiedoilla. Ei aavistustakaan, mitä teet koneilla, millainen infra vuokrattuna, mihin hintaan, onko sijainnilla merkitystä jne.

Ja toki tämä on varmasti täysin väärä keskustelu tähän. Edellisissä viesteissä puhuttiin edelleen ihan Linuxiin liittyvistä asioista:

- kernel päivitykset ja miten niitä uskaltaisi helpommin tehdä -> varmistetaan ennakkoon (tavalla tai toisella), että mikään ei hajoa
- uptime, millä ei ole mitään merkitystä
- downtime, mikä on erittäin tärkeä, jos tarjoat jotain asiakkaille/käyttäjille

Jep, jos jätetään tähän. Eikä spekuloida, hoida omat serverisi ja asiakkaasi.