Hoi Paul,
On Thu, 2020-01-09 at 11:30 +0100, Paul van der Vlis wrote:
Ik heb een klant die wil upgraden naar Debian 10 met PHP 7.4, daarmee
hebben ze ook hun applicatie getest. Nu heeft Debian 10 normaal PHP
7.3.
Ze willen ook geen security updates, want dat zou problemen kunnen
geven. Hun security model bestaat er eigenlijk uit dat alles via
Cloudflare loopt. De machines zijn niet direct bereikbaar, alleen via
Cloudflare. Ze denken dat dat veilig is.
Wat de klant ook zegt, geen security updates, is voor mij een no-go.
Mijn mening is, dat dit niet erg veilig is, omdat ook via Cloudflare
misbruik te maken is van zwakheden. Maar omdat ze de applicatie zelf
maken (op basis van Symfony) de kans niet heel groot is dat een
hacker er veel moeite in steekt.
We zijn het eens, Cloudflare is een doorgeef luik. Je zou kunnen
overwegen om daarnaast met fail2ban aan de slag te gaan.
Waar ik wel bang voor ben, is dat dingen niet goed functioneren. Nu
is het ook al zo dat ze PHP 7.2 gebruiken op Debian 9, en ik zie wat
rare problemen met standaard applicaties. Ik kan me overigens
voorstellen dat ze geen PHP 7.0 wilden want dat geeft wel vaker
problemen.
Is het wat om de klant naast productie tevens een ota omgeving aan te
bieden? Dan zit je productie niet gelijk in de weg. Dat geldt ook voor
security updates, die rol je dan eerst op test / qa uit.