Re: Geen security.debian.org gebruiken
On 09/16/2009 Paul van der Vlis wrote:
Hoi,
> Na hoeveel dagen komen security-updates toch in stable terecht als je
> geen regel met "security.debian.org" in je sources.list hebt staan?
Bij de volgende update van stable.
> Ik ben eigenlijk al lang op zoek naar een methode om sommige systemen
> sneller te kunnen voorzien van security-updates dan andere systemen,
> waarbij die eerste systemen dan een soort praktijktest vormen voor de
> andere.
Ik denk dat je de verkeerde kant op denkt. Niets belet je om te wachten
met je "aptitude upgrade" tot je op een ander systeem de upgrade
voldoende getest hebt. En als er meerdere updates in de rij staan, kan
je een van de packages updaten met: "aptitude install <paketnaam>"
Of om het anders te zeggen: zeker in een (bedrijfskritische) productie
omgeving is er veel voor te zeggen om ook security-updates niet direct
te installeren, maar eerst te testen (of af te wachten of anderen
problemen ondervinden). Maar als je niet klakkeloos de updates van
security.debian.org wilt overnemen, dan kom je in het edelere handwerk
terecht. Automatische 'patch-management' werkt dan niet meer.
Wanneer dat moment is dat je je productie omgeving gaat upgraden, is
namelijk niet algemeen te zeggen. In een 0-day situatie waarbij er een
remote command execution is die al veel misbruikt wordt, zou ik
bijvoorbeeld veel sneller upgraden dan bij een lokaal
veiligheidsprobleem waar nog geen exploits voor bekend zijn.
Ook zou ik bijvoorbeeld op de chatservers die ik beheer een upgrade aan
de xmpp-library die ik gebruik veel beter testen dan een upgrade aan de
mailserver die op die machines 'alleen maar' dient voor het forwarden
van berichten aan root.
groet,
Winfried
Reply to: