Práticas de atualização de manutenção do servidor Linux em pequenas empresas

Question

Práticas de atualização de manutenção do servidor Linux em pequenas empresas

#1 resposta do (3 votos)
#2 resposta do (1 votos)

3

O que é um plano de atualização seguro para servidores voltados para a Web quando a pessoa encarregada da administração não pode alocar tempo significativo para testar cada pacote atualizado por quebra? É claro que eu quero atualizar a pilha LAMP regularmente por razões de segurança, mas eu não preciso do mais recente patch para o Java quebrando o Solr, ou o patch mais recente do PHP quebrando um script de uma maneira não óbvia. Eu sei ser cauteloso de lançamentos de ponto PHP, mas com Java eu estou menos confiante. Neste momento, nossos servidores são baseados no Debian (Ubuntu Server LTS), mas estou pensando em migrar para o Red Hat (CentOS) por causa do recurso de reversão do Yum.

As minhas preocupações são injustificadas? Note que esta é uma pequena empresa, acabamos de contratar nosso quarto funcionário. Então, além de minhas funções como desenvolvedor de software, tenho a tarefa de manter uma lista crescente de hardware, incluindo servidores web públicos. Nenhum dado sensível está nos servidores web, o pior que pode acontecer de uma exploração é que alguém iria desfigurar o nosso site, que também é nosso produto (SaaS através de uma API pública).

maintenance

por dotancohen 19.03.2013 / 17:42

2 respostas

1

Antes de mais nada, retire o sistema das necessidades básicas, remova tudo o que você não precisa . Se você não precisa do Java, livre-se dele, se você não precisa do Perl, livre-se dele ... Então o mais óbvio é atualizar tudo o que resta. Atualizações em distribuições de versões fixas, como Debian / Ubuntu, RH / CentOS / Fedora, SLES / openSUSE, provavelmente não irão quebrar nada, a menos que você esteja usando indevidamente os pacotes em questão de alguma maneira estranha.

Se você está preocupado que uma atualização do PHP irá quebrar o site que, se eu entendi corretamente, é o seu produto, corrija o produto (se não for o produto, corrija o script de qualquer maneira). Caso contrário, é só pedir problemas.

Definir sua teia definitivamente não é a pior coisa que pode acontecer - uma vez que o sistema é sequestrado, ele pode (e provavelmente será) usado de maneira muito mais sutil e perigosa do que apenas colocar coisas ofensivas em exibição pública.

por 19.03.2013 / 17:58

Tags maintenance

Como criar um daemon que estaria escutando o script dbus e fire na mensagem Executando o visualizador VNC sem abrir um console

score 3 · Accepted Answer

Selecione uma distribuição Linux "para uso empresarial", instale apenas os pacotes necessários para seu trabalho (pacotes extras significam superfície extra vulnerável), não instale nenhum "pacote não oficial" a menos que estritamente necessário ( e, em seguida, apenas cuidadosamente considerados para estabilidade e capacidade de resposta upstream para problemas de segurança, e registro / compromisso para não atropelar os pacotes da distribuição), configure com cuidado (regras de firewall local, qualquer configuração local). Crie contas locais conforme necessário, forneça senhas seguras. Use root o mínimo possível na máquina. Configure o SSH sem senha para usuários selecionados. Não siga as muitas sugestões na 'net to' apenas desligue o SELinux ", o SELinux é capaz de fornecer muita segurança adicional. Trabalhe com ele, se um pacote não funcionar com o SElinux, ele está quebrado e não deve ser usado.

Assine os anúncios de atualização do pacote da distribuição, atualize pelo menos as atualizações de segurança o mais rápido possível (não "uma vez por mês", pelo menos verifique diariamente). Veja a página de segurança do LWN regularmente.

Independentemente dos serviços que a máquina fornecer, selecione os pacotes para fazer isso com cuidado entre o que sua distribuição oferece. Provavelmente será que o melhor em geral é mais difícil de usar ... algumas idéias sobre seleção / avaliação de software são aqui .

Procure por "melhores práticas" para os serviços a serem oferecidos, em particular sugestões de configuração para o que você instala. Verifique se a documentação on-line está completa, clara e pesquisável. Veja se há uma maneira de relatar bugs, verifique uma seleção aleatória de bugs para ver como eles são responsivos. Procure por sites de perguntas e respostas online, FAQs, listas de discussão (se você tiver problemas, quer saber quem pode perguntar).

Crie um esquema de backup abrangente, mais cedo ou mais tarde você terá que ter que recorrer a ele. Documente a instalação (ou, melhor ainda, configure a instalação automatizada e mantenha-a atualizada), algo fora do prazo pode acontecer com a máquina. Certifique-se de ter backups "antigos" também (alguns canalhas podem tomar conta da máquina e você descobrirá alguns meses depois ...).

Considere contratar um nerd especializado no que você deseja configurar, apenas certifique-se de (a) mantê-los à mão e (b) você entende o suficiente da configuração para poder passar pela maioria dos casos, e (c) certifique-se de passar no teste de ônibus (isto é, ter outros ao redor que possam assumir o controle caso você seja atropelado por um ônibus).

Configurar uma máquina com o mesmo sistema operacional para uso pessoal, é muito útil em caso de crise para estar intimamente familiarizado com o sistema em dificuldade (ou até mesmo ter um sobressalente na mão ;-). Este será um trabalho de meio período, já que "leva apenas 95% do meu tempo", a menos que você reserve um tempo para organizar as tarefas de modo a minimizar o não-passado (ou você acaba sendo o corpo de bombeiros chamado 24/7 ).

Pessoalmente, eu usaria Red Hat Enterprise Linux ou um clone como CentOS , talvez complementado com EPEL . Mas esse sou apenas eu, usuário da Red Hat por volta de 95, ultimamente Fedora fã.