-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 02/02/2007 02:06 AM, Marcos Lazarini wrote: > Em 31/01/07, Felipe Augusto van de Wiel > (faw)<[EMAIL PROTECTED]> escreveu: >> On 01/31/2007 08:31 PM, Marcos Lazarini wrote: >> > Em 31/01/07, Felipe Augusto van de Wiel >> > (faw)<[EMAIL PROTECTED]> escreveu: >> >> > E quando ele pergunta "deseja usar a versão do mantendor ou a versão >> >> > atual?" O que acontece?
[...] > Espero que vc não esteja insinuando que não devo mexer nos arquivos de > configuração! Não estou "insinuando" nada. > Vou dar outro exemplo: eu tenho um roteador desprovido de capacidade > de processamento (um 486). Porém notei que de tempos em tempos a > máquina ficava lerda por alguns segundos (30~40s) e depois voltava. > Descobri que ela tinha vários serviços cron que ligavam a cada 5 min > ou 10 min, todos um por cima do outro (mrtg, logcheck, o do sar, são > os que me lembro agora). Entrei lá e mudei p/ cada um começar num > minuto diferente e agora a máquina está mais 'suave'. Não ia achar nem > um pouco legal perder essa configuração a cada atualização de > segurança... Você não deveria perder estas configurações. Quando você configura o postfix e tem uma atualização de segurança, ele deveria atualizar o pacote sem tocar nos seus arquivos, no entanto isso pode acontecer em alguns arquivos se uma mudança no arquivo de configuração for necessária e entrar em conflito com suas opções, por isso, muitos arquivos tem uma seção mágica pro DebConf, e outros tem uma área ".d" pra você fazer suas personalizações. > Então p/ mim, perder isso seria um bug - quero que ele pergunte; OK, pra certas pessoas o fato de ter o Windows instalado no computador é um bug, nem por isso as pessoas podem todas afirmar isso em conjunto como se fosse algo líquido e certo. > agora p/ uma pessoa que queria automatizar a atualização e ele > parar peguntar, isso vai ser bug p/ ele tbm! conflito de > interesses... Hmmm... se a configuração estiver correta, ele não vai perguntar, parece que você não está entendendo isso. Você pode fazer o mesmo que fez com o cron de outra forma, usando o cron.d e sem ter conflitos. O apt e o cron-apt tem configurações que permitem certa flexibilidade na hora de tomar ações quanto a decisões, além disso, é como eu disse, pode ser que você prefira ficar com seu servidor vulnerável ao invés de perder suas configurações, essa é a opção de cada sysadmin. > (ainda comentando sobre o cron: outra coisa que fiz foi mudar o > horário padrão dos cron.{daily|weekly|monthly}, pois são todos 6 e > pouco por padrão. Alguns programas, como o locate, logcheck (p/ citar > dois), demoram um certo tempo, e ai o cron de um período encavalava no > outro, a maquina usava swap, etc e tal) Pra isso existe divert e outros recursos, pra não perder a configuração, ou você acha que é a única pessoa do mundo que muda esses horários? :) [...] >> Então eu acho que você não cuida de servidores críticos. >> É melhor ter o serviço seguro por default do que sua configuração >> querida. :-) > > Certamente a configuração padrão funciona, mas ela pode não ser > adequada - veja situação que descrevi acima. Se procurar um pouco, > certamente vão existir casos em que não é nem um pouco interessante a > substituição do arquivo de configuração (o que me vem a cabeça agora é > o 915resolution - ele só funciona depois q vc o configura) E por isso você pode configurar o apt pra não trocar o arquivo e não questioná-lo sobre isso. > Mas eu parto do pressuposto de que se vc mexe no arq. de configuração > sabe o que está fazendo, e assume a responsabilidade - não acho que o > mantenedor do pacote deva ditar qual deve ser minha preferência sobre > o aplicativo que ele mantém. O mantendor do pacote não faz isso... não fale besteira. >> > De qquer maneira, queria saber qual a diferença, e depois do pacote >> > instalado, dá bem mais trabalho saber... >> >> debdiff, aide, fcheck e controle de versão serve exatamente >> pra isso. :-) > > Essas coisas oferecem rollback? :-) Oferecem. > Agora não tenho noticia de um gerenciador de pacotes que use controle > de versão nos arquivos q ele instala O apt tem um protótipo pra isso e você pode mudar o seu /etc pra usar svk naturalmente e controlar as mudanças nas suas configurações. > Pelo menos já é um começo... Yeah... sure. [...] > Certamente - mas se a janela for de 1 h ou 1 dia, a meu ver não faz > muuita diferença: vc foi exposto da mesma maneira e pode ter sido alvo > da mesma forma. Por isso, são necessários outros métodos (como os IDS > q vc citou acima) p/ cercar por outros caminhos eventuais explorações > de vulnerabilidades. Estou pensando nas relacionadas a escalada de > privilégios; se o prob. é um DoS, ai é potencialmente mais tranquilo. Não vou nem discutir o aspecto de ficar exposto por 1h ou por 24h, quando menor a janela de exposição melhor, e você pode configurar atualização pró-ativa, sob demanda, ou seja, sai a atualização você dispara os robôs. > Sem contar que numa intranet, o ambiente supostamente tem uma relação > de confiança maior do que com outro micro da internet. Agora, em > servidores o assunto é bem diferente. Tem certeza? _Vários_ estudos mostram que a maioria dos ataques bem sucedidos é interna ou com participação interna. >> > Se fosse 100% seguro automatizar assim as atualizações, eu aposto que >> > certamente já viria ligado por default, ou então seria mto fácil ligar >> > isso. Prefiro a moda antiga ainda :-) >> >> É 100% seguro (com security stable). Tanto que muita gente usa. >> ;) > > A pergunta que não quer calar é: pq não é ao contrário então? já não > vem ligado e desliga se vc não quiser? Por que o Debian tem uma postura conservadora, ele não assume que você tem conexão 24h por dia e logo não assume que você queira automaticamente atualizar listas e pacotes. > Em ultimo caso, eu faria todas as máquinas automáticas, mas a minha > eu ia atualizar na mão p/ acompanhar o processo e ver se correu tudo > bem nas outras - eventualmente pode ser necessário um procedimento de > correção. Eventualmente pode ser necessário desentupir o banheiro, ou seja, "shit happens". O ponto é que há formas de automatizar o processo com segurança, se você não teve boas experiências com isso, pode apontar os problemas e suas impressões, mas não defenda que o processo é fundamentalmente falho, pois ele não é. Caso não tenha ficado claro, eu cuido de mais de um servidor fazendo atualizações automáticas com alta periodicidade sem problemas nos últimos 12 meses. Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFw4bPCjAO0JDlykYRAiGuAJ9srGwgGw8Q/DnXLnxvcIsR29/vgwCcDuiA aCYjkE7UK09nsz5tVgBkUgI= =Aukv -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]