Časté aktualizace jádra a restarty systému

[M Z]

Mel, bych jeden spis obecny dotaz a doufam ze z toho nebude dalsi hadka  .
Za posledni rok mozna uz dele se frekvence aktualizaci kernelu zvysila na cca jedenkrat tydne. Delate poctive aktualizace kernelu a restarty OS, nebo jako ja pravidelne aktualizujete, ale restarty jsou jen vyjimecne?

Podle monitoringu bude prumerny uptime serveru hodne pres sto dni. Nemuzu a ani nejsem ochotny kazdy tyden restartovat vice jak stovku serveru. Na nekterych probihaji nekolik dnu a nekdy i tydnu dlouhe vypocty a par aplikaci ma zavislost na trech i vice serverech, takze automaticke restarty by byly dost problematicke.
 

[Reklama]

[LA_user]

Existují cesty, jak záplatovat jádro za běhu..

Jako jedna z těch nejméne náročných a v mém prostředí otestovaných variant se mi jeví:
https://ksplice.oracle.com/try/desktop

Pokud máš Ubuntu, můžeš to vyzkoušet i free.

[czechsys]

Mel, bych jeden spis obecny dotaz a doufam ze z toho nebude dalsi hadka  .
Za posledni rok mozna uz dele se frekvence aktualizaci kernelu zvysila na cca jedenkrat tydne. Delate poctive aktualizace kernelu a restarty OS, nebo jako ja pravidelne aktualizujete, ale restarty jsou jen vyjimecne?

Podle monitoringu bude prumerny uptime serveru hodne pres sto dni. Nemuzu a ani nejsem ochotny kazdy tyden restartovat vice jak stovku serveru. Na nekterych probihaji nekolik dnu a nekdy i tydnu dlouhe vypocty a par aplikaci ma zavislost na trech i vice serverech, takze automaticke restarty by byly dost problematicke.

A co resis? Aktualizace a jejich cetnost jsou soucasti firemni IT politiky a to je vec, kterou se mas ridit. Pokud takovy plan nemas, tak se obrat na vedeni, jak mas postupovat.

[Bugsa]

Tak ono se to netýká jen jádra. Když zaktualizuješ aplikace, tak bez jejich restartu ti stejně běží na staré verzi.

Jak říká czechsys, je to věc interní politiky a ta se stanovuje podle toho co na serveru běží, kdo a odkud k němu přistupuje a jaká jsou bezpečnostní rizika. Ruku na srdce, pokud nám OS/aplikace běží a dělá co má, tak ji aktualizujeme v 90% případů jen kvůli "bezpečnosti", protože co funguje, na to se sahá jen když je to nutné.

[pavel411]

Existují cesty, jak záplatovat jádro za běhu..

Jako jedna z těch nejméne náročných a v mém prostředí otestovaných variant se mi jeví:
https://ksplice.oracle.com/try/desktop

Pokud máš Ubuntu, můžeš to vyzkoušet i free.

netusim co mas, pro Debian https://packages.debian.org/trixie/kpatch, resp. https://github.com/dynup/kpatch

v povidani https://tuxcare.com/blog/linux-kernel-security-patching/ je zmineno, ze ksplice vyzaduje Oracle Linux Premier Support subscription

[Reklama]

[_Jenda]

Za posledni rok mozna uz dele se frekvence aktualizaci kernelu zvysila na cca jedenkrat tydne. Delate poctive aktualizace kernelu a restarty OS, nebo jako ja pravidelne aktualizujete, ale restarty jsou jen vyjimecne?

Odhadl bych, že v Debianu je kernel spíš tak jednou za měsíc? Resp. brzy po vydání nového stablu chodí hodně aktualizací pořád, ale pak se to už uklidní (i když je to samozřejmě stále verze s podporou). Každopádně ne, nerestartuju, doufám, že většina oprav jsou věci v obskurních modulech vyžadující typ přístupu či konfiguraci kterou člověk běžně nemá. Když by se objevil nějaký akutní průšvih postihující běžné konfigurace, tak se o tom dočtu na Rootu a rebootnu…

[panpanika]

nahodou jsem narazil na video k tematu a ty tooly na konci se zdaj byt uzitecny pro posouzeni (+talky gregkh jsou vzdycky dobry )

https://m.youtube.com/watch?v=dhu8HSOzxd8

https://github.com/gregkh/presentation-cve-is-dead

[M Z]

Zda se ze pouze _Jenda pochopil na co jsem se ptal . Zkouset ksplice na databazovem serveru nebo na gpfs clusteru s nekolika PB filesystemem vazne nebudu. A firemni IT politika je aktualizovat ASAP, o restartech se tam nic nerika.
To uz je tady na foru takovy folklor, neodpovidat na dotaz, ale davat nevyzadane rady.

_Jendo dekujeme.

[jjrsk]

...

Hele zcela obecne plati, ze funkcnost ma vzdy prednost. Sazmorejme ze to koliduje s "bezpecnosti" (ty uvozovky proto, ze 99% der se tyce mozna promile instanci a i tech jen nekdy).

Takze bys mel nejakym zpusobem scanovat co ty aktualizace obsahujou a podle toho se na ne vykaslat. Jestli to budes nebo nebudes instalovat zavisi i na tom jak ten stroj je pripojenej na sit atd atd atd.

Celkem bezne se provozujou systemy, ktery se neaktualizujou vubec.

[Zopper]

Mel, bych jeden spis obecny dotaz a doufam ze z toho nebude dalsi hadka  .

Ale my se hádat chceme, z toho má Root nejvíc shlédnutí reklam! 

Za posledni rok mozna uz dele se frekvence aktualizaci kernelu zvysila na cca jedenkrat tydne. Delate poctive aktualizace kernelu a restarty OS, nebo jako ja pravidelne aktualizujete, ale restarty jsou jen vyjimecne?

Nevím úplně, jak často se u nás na jakých serverech aktualizuje jádro, ale jako rule-of-thumb bych řekl "často a rychle". Virtualizace, cloud, kontejnery, kubernety, high availability, a taková klíčová slova na jedné straně, korporátní se-security-se-nediskutuje a certifikace na straně druhé. 

Ve výsledku buď ta dlouhoběžící operace pokračuje bez zastavení a jen se přenáší mezi nody, které se někde dole restartují, aniž bys to reálně potřeboval vědět (databáze). Nebo se s touhle úrovní vysoké dostupnosti nechceš otravovat a pak máme aplikace dělané tak, že prostě nepouští měsíc trvající nepřerušitelný výpočet, protože třeba víš, že se ti každou noc celá farma otočí (a při problému i přes den), a pokud ti to něco rozbije, tak jsi to blbě navrhnul.

Což je ostatně dobrá úvaha obecně: Co když zrovna umře železo, přiletí blbá částice z vesmíru a shodí systém (jako nedávno ten Airbus...)? Ale možná prostě nemáte tolik serverů, aby tohle bylo potřeba řešit (počet serverů * pravděpodobnost * náklady)?

[jjrsk]

...Co když zrovna umře železo, přiletí blbá částice z vesmíru a shodí systém (jako nedávno ten Airbus...)? Ale možná prostě nemáte tolik serverů, aby tohle bylo potřeba řešit (počet serverů * pravděpodobnost * náklady)?

Taky ti do serveru muze natyct voda, vyhoret budova, prijit tsunami ... jenze to vsechno se nedeje 5x denne. Abys moh neco prenaset mezi vice nody, tak to tak musi byt od pocatku sveta navrzeno, a pro spousty uloh to tak vubec udelat nelze. V neposledni rade je taky rec o financich.

[Marek Staněk]

...
nedávno ten Airbus...)? Ale možná prostě nemáte tolik serverů, aby tohle bylo potřeba řešit (počet serverů * pravděpodobnost * náklady)?

Ono je dobré spíš než pravděpodobnost výskytu události vyhodnocovat rizika ze selhání plynoucí a jejich dopady.
Ono je hrozně hezké, když událost vedoucí k nefunkčnosti nastane kterýkoli den s pravděpodobností 1 ku miliónu, když si v případě povinnosti ji ošetřit a ignorování této povinnosti půjdeš na deset let sednout a dostaneš na dalších 15 let zákaz výkonu činnosti plus flastr pár milionů a budeš mít na krku náhradu škody dalších pár desítek míčů a ještě sankce pod SLA třeba 100 tisíc za každou započatou hodinu nefunkčnosti nad hranici povolené doby na zotavení z poruchy.

To ti pak ta mikroskopická pravděpodobnost bude platná, jak říkají rusáci, "jak zuby v pérdeli".

[Zopper]

Taky ti do serveru muze natyct voda, vyhoret budova, prijit tsunami ... jenze to vsechno se nedeje 5x denne. Abys moh neco prenaset mezi vice nody, tak to tak musi byt od pocatku sveta navrzeno, a pro spousty uloh to tak vubec udelat nelze. V neposledni rade je taky rec o financich.

Však to píšu - udělat se dá spousta věcí, dal jsem příklady, jak se k potřebě restartů dá přistupovat, když těch serverů jsou stovky, nebo spíš tisíce, a víc. Ale přitom uznávám, že aplikovat takové návrhy dává smysl až od určité kombinace počtu, nákladů, a rizik.

Ono je dobré spíš než pravděpodobnost výskytu události vyhodnocovat rizika ze selhání plynoucí a jejich dopady.

Koukám, že jsem se nevyjádřil nejlépe, protože tohle jsem zahrnul pod "náklady." Náklady na řešení problému když to nastane, i náklady na implementaci. Jen jsem nechtěl mít ilustrační vzorec na dva řádky. Ale jo, no jsme na Rootu a řekl jsem si o to.

[Marek Staněk]

Nemusíš psát vzorce na půl stránky. A ne, to nejsou náklady; alespoň ne bez dalšího upřesnění. Náklady bez dalšího jsou to, co tě bude stát učinění ochranných opatření pro minimalizaci rizik. A tím jsou myšleny výdaje skutečně vynaložené a skutečně směřující k minimalizaci konkrétních rizik.
To, co se stane, když opatření neučiníš nebo selžou, jsou rizika.

[MichalPS]

Pokud firemní security politika tlačí na aktualizace ASAP, ale byznys ti prostě nedá prostor pro restart, tak je na čase začít řešit Live Patching (třeba kpatch pro Debian/RHEL nebo Canonical Livepatch u Ubuntu). Díky tomu můžeš lepit kritické díry v jádře v podstatě za pochodu. Samozřejmě to úplně neruší potřebu ten server dřív nebo později restartovat se vším všudy, ale aspoň můžeš v klidu nechat dojet ty dlouhé výpočty, aniž bys riskoval bezpečnost. Můžete se také seznámit s tímto, doufám, že vám to bude užitečné.