Re: Iemand al ervaring met ksplice?
On 09/21/2009 10:34 PM, Huub Reuver wrote:
Hoi,
> Een andere stroming is juist het voorkomen dat iemand je kernel kan
> "patchen" zonder downtime.
>
> Heb je je al bedacht wat voor een impact ksplice heeft op je
> security policy?
Inderdaad een belangrijk punt. Ik heb een tijdje geëxperimenteerd met
moduleloze kernels, juist vanwege de veiligheid. Maar toen ik van
hardware veranderde, bleek ik tegen een module aan te lopen die niet
statisch in de kernel ingebakken kon worden (zucht).
En er is ook een andere afweging: Als het het doen van updates veel
ingewikkelder / tijdrovender / foutgevoeliger maakt, dan neemt de
beheer(s)baarheid van de server snel af. Als je daardoor niet patcht of
te lang wacht met patchen, dan heb je een groter nadeel dan het voordeel
van een dichtgebakken kernel.
> Ik denk niet dat ik snel een dergelijke tool zal gebruiken, maar dan
> val ik waarschijnlijk al bij voorbaat niet in de doelgroep. (Te weinig
> beheerder van 24/7 servers). Ik vraag me af of die tool bruikbaar is
> voor servers zonder continu toezicht of zonder een heel strakke security
> policy.
Bij een paar servers waar ik verantwoordelijk voor ben, hechten we nogal
aan veiligheid. We proberen de security policy dus ook zo strak mogelijk
te houden en houden continu toezicht op de servers.
Tegelijkertijd zie ik onze dienstverlening steeds meer richting 24/7
kruipen. Het vinden van een geschikt moment voor onderhoud / herstarts
wordt steeds lastiger. Vandaar mijn interesse in ksplice. Als het helpt
om de patches sneller uit te voeren, is het ook weer een
veiligheidsvoordeel, maar dan moet het wel redelijk fool-proof zijn.
groet,
Winfried
Reply to: