Je lance la compilation des ports avec poudriere, ça me prend quelques minutes pour lancer et après ça compile tout seul pendant 2h à 18h (18h c'est quand on a une mise à jour majeure de l'OS et qu'il faut tout recompliler).
Une fois que c'est fait, je lance la mise à jour manuellement (faut que je fasse un script ansible) de gitlab qui prend environ 1 heure.
Une fois ça fait, je lance un pkg update && pkg upgrade -y pour tous les serveurs via ansible sur tous les serveurs, je lance, ça me prend 2 minutes max et ça se déroule tout seul en quelques minutes.
On fait cette action sur tous les serveurs, prod++ et prod--
David
On Sun, 8 Sep 2024 15:22:12 +0200 David RIBEIRO david.ribeiro76@gmail.com wrote:
Salut David,
Et comment tu gères une maj 1 fois tous les 7 jours ? Ansible full auto calendriarisé ? Quand je dis gérer, je parle de gérer les serveurs PROD++ des serveurs moins PROD++ :)
Merci pour tes lumières.
David
Le sam. 7 sept. 2024 à 11:00, David Durieux david@durieux.family a écrit :
Salut,
bah écoute merci ;)
Je met à jour mes 250 serveurs sous FreeBSD + les softs dessus 1 fois par semaine au minimum (des fois plus selon s'il y a des faille méga urgentes).
En 2 ans, je n'ai eu qu'une fois un soucis sur un logiciel, donc c'est relativement rare.
Et je préfère avoir un problème de ce genre plutôt que devoir gérer des catastrophes genre une faille exploitée.
David
On Fri, 6 Sep 2024 22:05:31 +0200 Laurent Barme 2551@barme.fr wrote:
Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit : …
Tiens, d'ailleurs, en parlant de passoire... On est tous ici bien au courant que les bugs de secu, ca existe, et que les distributions mettent a jour (plus ou moins vite).
…
Un exemple sur un cas concret : le CVE-2021-41773 (
https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-ht... )
Dans les logs (/var/log/apache2/error.log), cela donne quelque chose comme ça :
AH00126: Invalid URI in request POST/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
Il est apparu le 16/09/21 avec la 2.4.49 (https://www.apachelounge.com/Changelog-2.4.html).
Il a été corrigé le 07/10/21 avec la 2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html)
Les serveurs sur lesquels on applique des mises à jour quotidiennes automatiques ont donc été exposés pendant 21 jours…
Bon, faut relativiser : il est très probable que les pirates n'aient pas été en mesure d'exploiter la faille dès le 16/09/21. Par contre elle est toujours régulièrement tentée d'après ce que je vois encore aujourd'hui comme attaques sur les serveurs que je gère.
On est évidemment toujours plus intelligent a posteriori mais lorsque les développeurs ont adapté la gestion des chemins de répertoire ("The path traversal vulnerability was introduced due to the new code change added for path normalization i.e., for URL paths to remove unwanted or dangerous parts from the pathname,") ils auraient pu être un peu proactif pour imaginer comment un pirate aurait pu exploiter le risque d'un chemin dangereux et faire des tests (encore des tests, toujours des tests).
Cela dit, je ne critique pas ici le travail des développeurs ni celui de l'équipe de sécurité. L'introduction involontaire d'un bug est inhérent au travail d'un développeur, quelque soit le soin qu'il mette à l'anticiper. Et débusquer un bug en seulement 21 jours (le plus dur étant de le repérer, la correction est ensuite souvent triviale) c'est déjà une belle performance.
Cependant, je reste convaincu qu'il est préférable d'attendre que d'autres prennent les risques de déployer une nouvelle évolution ; merci à eux :-)
Liste de diffusion du %(real_name)s http://www.frsag.org/