[debian oid]Slim clients laten updaten

Boudewijn schreef op dinsdag 19 september 2006 @ 13:02:
Hoi


Ik ben voor mijn stage bezig met een embedded debian setup met een radius server erop (ja daar zullen jullie binnenkort nog fiks wat posts over lezen ).

We willen die bakjes bij klanten neerhangen en dan daar updates in kunnen krijgen vanaf onze eigen locatie.

Het probleem is dat je er niet direct naar kunt connecten omdat geen enkel bedrijf een poort open wil zetten naar zo'n ding vermoeden we (ook niet zo vreemd btw).

Wat mijn voorgestelde oplossing was :

Een VPN-client erop zetten die via cron elke X uur connect met een extern VPN (van ons dus). Daaroverheen gaan we communicatie voeren.
Hierna over dat VPN wat deb's gaan downloaden met updates enzo (Die worden op een mirror oid op het VPN gezet).

Heeft iemand hier ideeen over? Of tips?

@modje: dit is geen ik-ben-te-lui-om-te-zoeken-topic, maar ik wil vooral een discussie starten met mensen die hier ook over na hebben gedacht.

Tja, je moet je in dit soort gevallen altijd 2 dingen gaan afvragen:

1. Moet je een embedded Linux wel updaten
2. Wat is het risico dat je loopt als je niet update

Ad 1:
Hoe vaak wordt een embedded system van bijv. Cisco geupdate door klanten? Want daar moet je mee vergelijken en niet met een willekeurige Linuxbak

Ad. 2:
Die bakken komen het internet niet op en als de radiusserver niet bugged is, wat is dan het risico? Je kan met dit soort dingen heel goed af met een mail naar de klant dat ze "die en die handeling moeten uitvoeren" als er wel een update nodig is. Sterker nog, je kan naar die klant toe als er echt iets geupdate moet worden, levert nog geld op ook.

Over je vpn-client-oplossing: ik zou je als klant ritueel kielhalen als je dat deed. Je weet gewoon niet wat het gevolg is van een VPN-connectie door de infrastructuur van je klant heen. Zelfde geld staat er een router die over de zeik raakt daardoor etc. etc.

[ Voor 7% gewijzigd door Zwerver op 19-09-2006 13:15 ]

Boudewijn schreef op dinsdag 19 september 2006 @ 13:17:
ik ga ervanuit dat er vroeg of laat een bug wordt gevonden in software. er draait ook een ldap\ad backend op bijvoorbeeld. openRadius zelf is ook nog niet uitontwikkeld (wel al stabiel).

In hoeverre het erg is als de shit uitbarst: ik weet het niet. Ga ik navragen.

Mjah, punt blijft gewoon dat die bug niet zo erg hoeft te zijn. Zolang die machines niet vanaf het internet toegankelijk zijn is een update niet altijd noodzakelijk, ook niet als er een bug in ldap/radius whatever zit

1: Cisco wordt idd te weinig geupdate.
2: Hoe wil je een klant die handeling laten verrichten? De interface is gewoon LAN en een RS232 interface. Niet echt user-friendly.

Nah, niet alleen Cisco, ook de router bij een MKB-bedrijf, de ADSL-modems e.d. Wat ik wil zeggen is dat je niet teveel problemen moet gaan maken van updates, tenzij je zeker weet dat een bug tot misbruik kan gaan leiden,.

LAN + https + knopje waarmee de app zelf een update kan ophalen? Kwestie van een extra managementinterface aanmaken en daar een hele simpele httpserver aanhangen.

Wat een belangrijk punt is:

De kasten worden ook op incidentele dingen opgehangen (concerten, meetings, congressen etc). Als je dan nog iets wil wijzigen is het vrij lastig omdat al dat spul hoog\ver-weg staat.

een remote-access functie lijkt me dan vrij makkelijk (ik loop donderdag een dag mee in belgie bij zo'n event, dus dan kan ik het ook wat beter beoordelen).

Dan nog kan je dat toch op een andere manier regelen? Als er al een netwerkinterface aanzit dan kan je dat dus best door de klant zelf laten doen. Gewoon een "er is een update"-mailtje/telefoontje en de uitleg hoe ze dat ding moeten updaten