Journal Automatisation de patching de sécurité

Posté par  (site web personnel) .
Étiquettes : aucune
0
16
juil.
2004
Juste une petite idée en passant : pourquoi ne pas créer une SSLL qui aurai pour mission de centraliser toutes les configs noyaux (et le reste) de ses clients et de leur envoyer des patchs binaires personnalisés lorsqu'une faille est découverte ?

Cette SSLL pourrait offrir ses services à des SSII dont ce n'est pas la spécialité

Parce que le problème, tel que je le vois de mon nuage, est de devoir recompiler le noyau à chaque découverte de patch.


Idée très farfelue à laquelle je vois plein d'objections, mais si un professionnel expérimenté avait des commentaires interressants ?

  • # Re:

    Posté par  . Évalué à 0.

    Je ne suis pas un "professionnel expérimenté" mais j'utilise :
    yum update
    ou
    up2date
    ou
    apt update

    Qui d'autres ?

    • [^] # Re: Re:

      Posté par  . Évalué à 2.

      pareil:
      apt-get update/upgrade

      Dans le cas d'un noyeau que j'ai recompilé:
      3 commandes:
      make-kpkg clean
      make-kpkg ...
      dpkg -i kernel-image*.deb
      et voila mon noyau à jour!

      Donc pas trop méchant!

      • [^] # Re: Re: make-kpkg

        Posté par  . Évalué à 1.

        Il y a encore mieux, tu commentes et tu release ta version de noyau, grace a debchange

        debchange -i

        comme ca tu le vois ds les changelog ds /usr/doc/kernel-image-*/Changelog

  • # Ben ...

    Posté par  . Évalué à 4.

    Le plupart des sociétés de services (et pas que des SSLL, loin de là) qui montent des serveurs, aussi bien Windows, Linux ou autres, proposent des contrats de maintenance avec la prise en charge de ce genre de prestation.

    Il devient rare qu'un contrat de vente de serveur ne propose pas ce genre de service, mais on est encore loin (problème d'éducation) de voir ce service toujours acheté par les clients. Certains pensent encore qu'on essaie de leur forcer la main en décrivant les (gros) risques liés à une machine "non entretenue" et pensent que la veille est un truc qui se fait sans efforts.

    Ensuite il y a des sociétés d'infogérance qui font ca aussi sur tout type de systèmes, en allant jusqu'à prendre à leur compte les tâches d'administration de base (création de compte et j'en passe).

    A propos de la recompilation de noyau, ca reste assez rare, parce que pour l'instant ce sont très majoritairement des failles "locales" qui ne sont pas suceptibles de toucher toutes les machines.

    M

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.