Ce 4 octobre, Félix Hauri a écrit: > On Fri, 4 Oct 2002, Daniel Cordey wrote: > > Et d'autres distribs possèdent AUSSI un méchanisme de mise-a-jours en ligne. > > Certainement, mais Anne à tout de même écrit ``beaucoup bossé''!
Oui. Le vrai point n'est pas de patcher mais de trouver dans notre réseau les machines qui sont vulnérables puis de trouver les managers et parfois (rarement) leur donner un coup de main pour patcher. Sans parler des cas où apache avait été compilé avec openssl en statique et que donc patcher ne suffit pas et que les managers ne le savent pas/plus toujours... Dans une école, les managers changent, etc. Le bilan que nous en tirons, je le garde pour nous... L'histoire avec les mises à jour, c'est que mettre à jour pour la sécurité et les bugs quand ça ne change pas le comportement, d'accord. Mais dans certains cas, ce n'est pas aussi simple. Bien sûr, nous, les techies, nous savons nous rendre compte. Mais le commun des mortels... > > > Avec une SuSe 8.0 (Yast2), j'ai ainsi installé ~80 patchs dont plus de 40 > > sont des patchs de sécurité. C'est très facile à faire et je conseille de le > > faire régulièrement (quelque soit la distrib !). Il faudrait pouvoir patcher uniquement ce qui est sécurité. > > Perso, je le fais 1-2 fois > > par semaine... et mon sytème fonctionne toujours :-) > > Pour ma part, j'ai mis: > > ``30 4 * * * apt-get -qqqy update && apt-get -qqsy dist-upgrade'' > > dans le crontab du root, et je ne fais plus rien;) > ``apt-get -qqqy update'' met silencieusement à jour la base de donnée > de paquets disponibles > et ``apt-get -qqsy dist-upgrade'' simule une mise à jour des paquets, mais > ne fait rien! > (Important car les mises à jours > impliquent parfois un dialogue > administrateur) > > Le tout en silence tant que rien n'est à mettre à jour. > > CRON m'envoie un mail dès que la simulation aurrait quelque-chose à faire. > Je suis donc informé de la nécessiter d'effectuer l'opération chaque jours > s'il y a lieu, et pas dérangé sinon. J'ai un outil similaire, autorpm. Mais je n'ai plus trouvé le temps de suivre les dernières versions ni de faire en sorte qu'il ne considère que ce qui concerne la sécurité. Ni de trouver la bonne solution pour les dépendances. Trop sur la pile... Mais nous avons un très bon responsable de la sécurité qui nous dit ce qu'il faut absolument patcher, etc cela, je le fais toujours immédiatement. Mais ce n'est pas ce que je fais qui compte, c'est ce que la communauté fait. Pour ce ver par exemple, nous sommes tou.te.s solidaires. Le réseau est rempli de paquets de ce ver... Tout cela est très bien car rend à nouveau attentif à la sécurité. Combien de machines avaient le port 443 ouvert alors que ce n'était pas utilisé... Anne -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.