On Sun, May 09, 2004 at 07:36:30PM +0200, Eric Schaefer wrote:
Am So, den 09.05.2004 schrieb Hilmar Preusse um 17:25:
- Produktionsserver bekommen nur Security-Updates und die
kompiliert man sich sowieso selbst, wenn man sicher gehen will.
Wieso? Du hast Angst, daß Dir jemand gefakte Binaries unterschiebt?
Nein. Wenn jetzt (in drei Minuten) jemand eine sshd-Lücke mit patch und exploit veröffentlicht, kann ich den Patch gleich reviewen (so ich das wissen dazu habe), patchen, kompilieren, fertig. Bis ein Paket dafür da
^^^^^^^^^^^^^^^^^^^ hast du das Wissen?
ist, vergehen meist ein paar Stunden und das kann bei verschiedenen Servern schon zu spät sein.
Eben, deswegen würden bei mir die Firewalls umkonfiguriert und das Logging aufgeblasen, ausserdem wären die Maschinen unter Beobachtung. Ein Patch, der keine QA gesehen hat, macht dir unter umständen mehr kaputt als ganz. Und ja, gerade die "trivialen" Einzeiler haben es oft dick hinter den Ohren.
Auf meiner privaten Spielmaschine ist das allerdings relativ wurscht, aber jemand anderes fing mit "Produktionsservern" an.
Eben. Auf deiner Privatmaschine kannst du machen was du willst, auf einem Produktionsserver ist das nicht mehr so einfach. Zumindest wenn es schief- geht.
- Distributionsspezifische Kernel sind IMMER Scheiße.
Weil ich damit bisher nur Probleme hatte und noch nie einen mit dem ultimativen Killerfeature hatte, welches nicht auch in vanilla V++ enthalten gewesen wäre.
Für manche Kunden ist "Software X ist zertifiziert für Kernel Y von Distributor Z" durchaus ein Killerfeature. Und das kann man scheisse finden wie man will, aber wenn der Support für Software X halt davon abhängt, bleibt dir keine andere Wahl.