Thematopic: Security updates

Op het moment beheer ik alleen een handvol Debian machines voor privé (-achtig) gebruik. Het gaat voornamelijk om 3 servers, 1 gateway/router, 2 desktops en 1 laptop.

De servers
De servers (op de universiteit) en de router (thuis) zijn allen direct met het internet verbonden (ieder een eigen globaal IP adres). Twee van de servers beheer ik samen met andere mensen.

Deze machines draaien allemaal Debian 4.0. Ze draaien allemaal elke nacht een shell script vanuit cron dat

1. controleert of er updates zijn
2. eventuele updates alvast download
3. mij een mailtje stuurt als er updates klaar staan.

Ik log dan (meestal diezelfde dag nog) met de hand in (via ssh) om de updates te installeren.

De gateway heeft een TV-kaart en doet ook dienst als "videorecorder". Hiervoor staat een zelf gecompileerde mplayer/mencoder op die machine, dus niet uit de Debian repositories. Ik update die mplayer eigenlijk nooit, hij is ook niet security-gevoelig. Alle andere software komt uit de Debian repositories en wordt dus meegenomen in de Debian security updates.

De desktops
De laptop en één desktop draaien Debian 4.0. Ze controleren automatisch op updates en geven op de desktop een notificatie als er updates beschikbaar zijn. Ik installeer deze updates meestal zodra ik de notificatie zie (wat soms even kan duren). Alle software is afkomstig uit de Debian repositories en wordt dus meegenomen in de updates.

Mijn primary desktop is een wat ander verhaal. Deze draait Debian Unstable, wat een soort constant geupdate beta (of eigenlijk alpha) is; er zijn constant nieuwere versies van software beschikbaar. Voor Unstable zijn er geen echte security updates; updates die security problemen oplossen gaan gewoon mee met de stroom van andere updates. Alle updates installeren betekent dus dat er veel meer kan veranderen dan alleen wat security updates. Ik update deze machine als ik daar zin in heb (wat soms best een tijd uitgesteld kan worden).

Daarnaast bevat deze machine de meeste non-Debian software, voornamelijk mplayer/mencoder, een handvol spellen, en flash. De meesten hiervan zijn gelukkig niet zo security gevoelig, zodat ze niet vaak geupdate hoeven worden (flash is een potentieel gevaarlijke uitzondering).

Bedrijfsomgeving
In een grotere, georganiseerdere omgeving (zoals een bedrijf) zou ik waarschijnlijk alle machines automatisch de updates laten ophalen en installeren van een eigen Debian repository. Op deze repository kunnen dan de updates geplaatst worden nadat ze zijn getest op testconfiguraties.

Ook kan niet-Debian software dan gepackaged worden en makkelijk uitgerold en geupdate worden via die lokale repository.

Overig gebrabbel
Ik hou dus wel security updates bij. Dat is belangrijk omdat een gecrackede machine onacceptabel is.

Ik installeer de updates zo snel mogelijk nadat ze beschikbaar zijn (met uitzondering van mijn primary desktop), en ik test ze niet van te voren. Debians security updates bevatten alleen de security fixes en brengen daardoor een laag risico met zich mee. Het risico door een niet-gepatchte security hole is naar mijn idee groter dan het risico van een foute update, al verschilt dat natuurlijk per security probleem en situatie.

Ook omdat deze machines voor privé gebruik zijn is de impact van een foute update beperkt, en door de schaal is een fatsoenlijke infrastructuur met tests niet interessant genoeg. Voor grootschaligere situaties zoals een bedrijf zou updates testen wel interessant zijn (zie ook boven).

Er is wel een duidelijk verschil in hoe ik de verschillende systemen behandel. De machines die direct met het internet verbonden zijn houd ik veel nauwlettender in de gaten (niet alleen qua updates, maar ook in andere security aspecten). De relatief beschermde desktops hebben wat minder prioriteit.

Bovenop dat alles volg ik de debian-security-announce mailinglist, en (met een half oog) de bugtraq mailinglist, zodat ik weet wat er gaande is.

Servers
Wij hebben voornamelijk Windows servers staan. Deze checken zelf voor updates, zijn ze aanwezig dan worden ze gedownload en krijgen we een notificatie. Na notificatie halen we 1 server uit de Citrix farm, maken een image en voorzien deze van de updates. Hetzelfde gebeurd met onze failover domain controller. Mocht onverhoopt de patch iets ontregelen dan draaien wij productie gewoon verder. Binnen afzienbare tijd hebben we echter VMWare, dan is het helemaal makkelijk om updates te testen.

Citrix en Powerfuse updates checken we zelf maandelijks op de websites. Moet eigenlijk nog even een mailinglist abo voor komen.

Desktops
We hebben nog slechts een handvol Windows desktops, de rest zijn thin clients. Alle overgebleven Windows desktops downloaden en installeren automatisch hun updates. Thin clients worden 1 maal per kwartaal nagelopen op nieuwe firmware. Meestal komt dat maar 1 maal per jaar uit.

Firewall, Routers, Switches, Printers
Voor de firewall en routers hebben we contracten lopen dus dat is uitbesteed. Deze zaken zijn het meest kwetsbaar, samen met de servers.
Switches en printers houden we eerlijk gezegd niet goed bij.

VOIP
Dit krijgen we in de loop van het jaar. Ik zal bij de leverancier navragen hoe dit gaat verlopen.

Overig
Software welke op de servers geinstalleerd staan wordt geupdate als we actief misbruik van lekken of POC code tegenkomen op nieuws sites / bugtraq / milw0rm / etc. Bijvoorbeeld Flash, MS Office, etc.

Windows park (XP/2003):
Geen updates omdat ik geen tijd heb om updates te testen, WSUS is ondertussen weg wegens plaatsgebrek. Richting 200 machines. Het zou op termein moeten terugkomen, maar dan als 2nd tier, geregeld uit een andere vestiging.

Als het mis gaat
Update ongedaan maken op het toestel waar de update voor problemen zorgt

Software (enkel major updates)
Gaat in princype gecoordineerd via AD, als dat niet kan gaat het manueel. We proberen overal hetzelfde level aan te houden (als dat mogelijk is). Ik haat alvast de softwares die zelf op het net gaan kijken en dan de gebruiker vragen om te updaten.

Er word geen onderscheid gemaakt tussen types servers, er is geen testprocedure

Bij mij thuis, en bij redelijk veel familie pc's die ik in orde hou, gebeuren Windows Updates met notificatie: geen updates downloaden of installeren, maar vragen aan gebruiker.

Alleen bij Vista is dat redelijk lastig, omdat die steeds updates wél installeert, terwijl er duidelijk staat ingesteld dat hij het niet moet doen. Opgelost in SP1, gelukkig...

Gewone updates, zoals kleine security fixes, doe ik regelmatig, wanneer Windows het vraagt. Service Packs slipstream ik, samen met alle andere beschikbare updates op dat moment.
Dat doe ik ongeveer om de 3 maanden, samen met een herinstallatie...

Thuis draai ik op File Servertje Ubuntu Linux, die mooi elke morgend zijn apt-get uitvoert.

Als het misgaat bij mijzelf doe ik een herinstallatie, met CD waar update NIET inzit.
Bij familie gaat het vaker mis, en verwijder ik de Software Distribution map als hij geen updates meer wil doen, en doe ik een re-install als foute updates zijn geïnstalleerd.

Windows software hou ik regelmatig up to date, bij elke herinstallatie pluk ik alle software opnieuw van het internet, en test ik die eerst uit op m'n toch al oude Windows. Werkt alle software zoals het hoort, gaat er mooi een format over, werkt het niet, blijf ik bij de oude versie.

Ubuntu software wordt mee in apt-get genomen, dus daar geen probleem.

Hierbij mijn prive situatie "beleid"

*Installeer je wel security updates?
Ja, om te zorgen dat evt. problemen/ zwakheden in de systemen zo snel mogelijk opgelost zijn

*Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
Eigen pc's (windows, mac en ubuntu) en pc's/ mac's van mijn ouders

* Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
In het geval het om een Mac update gaat, dan kan ik dmv time machine terug, voor windows zou ik het moeten de-installeren. In het geval van ubuntu zou ik uit moeten zoeken hoe ik terug kan, nog niet aan de hand gehad

*Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
Software update op de apple, windows update op de rest. Ubuntu trap ik vaak ook handmatig af.
Vaak is dit wel een handmatig ge-initialiseerde actie, ondanks dat automatisch updatten aanstaat, maar vaak weet ik dat er wat is, en dan forceer ik dus een check

*Hoe keur je updates goed, test je uit?
Door te kijken of het systeem het na het updatten nog steeds doet, het zijn prive systemen, dus niet zo cruciaal? Maar dit is niet echt testen (of echt niet)

*Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Dit wil ik nog wel eens handmatig doen, maar dit gebeurt minder vaak als OS updates.

*Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?
Nope geen onderscheid, ik probeer alles zo up to date mogelijk te houden

Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

Ja, ik doe dat op servers, voor alles behalve de daadwerkelijke installatie van updates.

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

ja maar, ja maar....

dit is toch 'windows servers en server software'

• Installeer je wel security updates? Waarom wel of niet?

Zeker wel, ik zit in de IT-beveiliging voor m'n werk en zie dagelijks hoe snel het fout gaat als je de updates niet bijhoudt.

• Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?

Mijn eigen pc, laptop en de pc van m'n ouders. 3x windows, 1x ubuntu.

• Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)

Als een update iets stuk maakt dan uninstall ik de update (is echter nog niet gebeurd), gaat het mis door het ontbreken van een update en ben ik geinfecteerd doe ik vrij snel een reinstall.

• Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?

Ik update mijn pcs handmatig omdat ik anders helemaal gestoord word van de popups van automatic updates. Aangezien ik een beperkt aantal pcs beheer test ik niet eerst op een pc maar update ik de hele zwik in een keer.

• Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?

Ik houd (ook voor m'n werk) de diverse mailinglists bij, oa Bugtraq en Full-Disclosure. Ook run ik regelmatig http://secunia.com/software_inspector/ om te kijken of ik nog iets gemist heb.

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

Ik gebruik hier apticron. Op die manier wordt dagelijks gecheckt of er updates zijn, zo ja, worden deze gedownload en krijg je een mailtje dat er updates voor machine X zijn en welke updates dat dan zijn. Je kan natuurlijk altijd zelf gaan scripten en een cronjob maken, maar dit werkt gewoon out of the box

Sample apticron mail

heb thuis 2 servers staan,

1x windows 2003 R2 (sp2)
1x Windows 2008 (Sp1)
1 laptop xp pro (sp3)
1 pc XP pro (sp3)
1 pc Vista Business (SP1)

heb op de 2003 pc een wsus draaien, updates worden automatisch installed, en mocht een update pas klaar zijn als de pc restart, het zei zo, de melding van opnieuw opstarten heb ik disabled, en komt maar 1x in de zoveel tijd voor dat ik alsnog deze melding krijg, verder dus auto download en auto install.

Servers restart ik 1x in de zoveel tijd bijv 2weken een maand, ligt er maar net aan...

Zelf kan ik iedereen PSI en NSI aanbevelen van Secunia.

Een erg goeie tool die op het moment nog in RC status staat, maar een deze dagen wordt gelanceerd als final.

Hij pakt opvallend veel software en bied ook vrijwel altijd een goeie oplossing.

Bijvoorbeeld flash plugin en java client runtime worden vaak vergeten bij het updaten van een systeem, deze tool vergeet dat niet.

Powershell schreef op maandag 16 juni 2008 @ 20:51:
[...]


ja maar, ja maar....

dit is toch 'windows servers en server software'

Ga eens naar NOS en klik dan op dit thematopic. Ik dacht juist bij het lezen van de OP: 'ja maar, ja maar, dit is toch Non-Windows Operating Systems'

Misschien niet handig op deze manier een thematopic.

Mijn reactie dan maar:

- Installeer je wel security updates?
Ja, altijd, voor de Linux machines in elk geval.
- Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
Beide. 10 pc's (windows), 1 server(linux), 1 backup-server (linux), thuis 1 pc (linux).
- Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
Vloeken. Nee. Meestal kom ik het probleem niet direct tegen, maar pas een paar dagen later en dan loop je je rot te zoeken naar een oplossing. Tot nu toe altijd gehad dat er een nieuwe 'security' update kwam die zorgde voor het verhelpen van de bug. Ik praat dan over de linux bakken.
- Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
Cron-apt zorgt voor de dagelijkse check op de linux bakken en mailt mij. De Windows machines zijn helemaal dichtgetimmerd. Mensen gaan namelijk alleen maar klagen als je een update binnen krijgt en Windows wil hoe dan ook rebooten. Als je dan als client op een samba domein bent ingelogd gaat hij geforceerd rebooten. Daar zitten we niet op te wachten.
- Hoe keur je updates goed, test je uit?
Standaard repositories vertrouw ik wel. Soms wacht ik een paar dagen met een niet-kritieke update of een update voor een service die toch alleen maar lokaal open staat. (vanwege soms wat slordige patching en regressive bugs)
- Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Die zitten er bij mij wel in (Ubuntu). Op de server draaien die dingen niet en op de Windows machines hebben gebruikers geen rechten om wat te installeren en je kan er als beheerder niet fatsoenlijk remote bij. Er ontbreekt iets als ssh en aptitude ofzo. Verder wordt er wel redelijk wat verkeer gemonitord, want alles loopt via de server (is ook router), dus een grote hack hebben we snel door.
- Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?
Ja, de backup-server is volledig dichtgetimmerd in de firewall en ik vertrouw het wel om die een maandje droog te laten staan zonder nieuw patches. En zoals ik al zei, de Windows clients is grofweg teveel werk om dat goed te kunnen doen (er fysiek heen gaan, iemand die erachter zit wegschoppen, als admin inloggen, lang wachten, rebooten, bleh).

[ Voor 71% gewijzigd door gertvdijk op 17-06-2008 14:44 ]

gertvdijk schreef op dinsdag 17 juni 2008 @ 14:29:
Ga eens naar NOS en klik dan op dit thematopic. Ik dacht juist bij het lezen van de OP: 'ja maar, ja maar, dit is toch Non-Windows Operating Systems'

Misschien niet handig op deze manier een thematopic.

Als je betere ideeën hebt over hoe dit soort topics over meerdere forumonderdelen tegelijk kunnen worden gehouden, dan staat het je vrij om daarover in de feedback topics een boompje op te zetten.
Op dit moment blijken de aliassen nog het beste te werken - mits je tenminste de topicstart even goed doorleest

De Windows machines zijn helemaal dichtgetimmerd. Mensen gaan namelijk alleen maar klagen als je een update binnen krijgt en Windows wil hoe dan ook rebooten. Als je dan als client op een samba domein bent ingelogd gaat hij geforceerd rebooten. Daar zitten we niet op te wachten.

Ook dat kan je beinvloeden door de registry keys te gebruiken die normaal gesproken via de WSUS policies worden gebruikt..

- Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Die zitten er bij mij wel in (Ubuntu). Op de server draaien die dingen niet en op de Windows machines hebben gebruikers geen rechten om wat te installeren en je kan er als beheerder niet fatsoenlijk remote bij. Er ontbreekt iets als ssh en aptitude ofzo.

Er zijn genoeg andere manieren om remote zaken te laten installeren of updaten.
Je hoeft er niet voor naar een machine te lopen om een user er vanachter weg te schoppen
Het is net als met *nixen, je moet alleen even weten hoe

[ Voor 43% gewijzigd door alt-92 op 17-06-2008 16:02 ]

Debian is trouwens bezig om ksplice in het debian package systeem te integreren. (Is nu experimental)
Ksplice Maakt het mogelijk een draaiende linux kernel te patchen.
Zolang de datastructuur het zelfde blijft.
standaard linux kernels kan je dan apt-get updaten zonder te rebooten. (of zelf je ksplice_patch.deb te bakken) Leek mij wel waardig om te posten.

[ Voor 5% gewijzigd door daft_dutch op 18-06-2008 21:58 ]

omgeving:

8 x debian
21 x win2k3
25 x winxp

Winxp gaat via Wsus. Waarbij het meeste op auto accept staat

Van de win2k3 machines doe ik het handmatig. PDC, BDC en exchange gaan handmatig 1x per maand. De rest gaat in de maandelijkse update ronde via handmatige checks.

Toekomstig verhaal is dat ook de win2k3 machines via WSUS of SMS bijgehouden gaan worden. Maar eerst maar eens flink wat testen met SMS.

De linux machines worden eigenlijk niet bijgewerkt. Die staan alleen intern, en draaien alleen mysql.

Productie omgeving:
590 Windows XP SP3 desktops
15 RHEL/CentOS Linux server versie 4 en 5
30 Windows Server 2003/2000
5 VMware ESX 3.5 U1 servers

• Installeer je wel security updates?
Ja op alles wat er maar draait

• Maak je onderscheid tussen typen systemen?
Ja machines in het DMZ gaan afhankelijk van de grote van het lek en de mogelijkheid tot misbruik
zo snel mogelijk.

Niets wordt automatisch gedeployd er wordt eerst gekeken en getest.

Alle Windows OS sen producten worden gepatcht in groepen met:
Shavlik NetChk® Protect

He mooie is dat je met deze tool heel veel software kan patchen.
Kleine opsomming: Alle windows patches. flash, Adobe Reader, Java, Firefox, skype enz
zie hier voor de volledige lijst: http://xml.shavlik.com/data/supportedproducts60.htm

De Linux servers gaan 1 voor 1 met yum update of u2date

De VMware servers gaan via de Virtual Center update manager

[ Voor 19% gewijzigd door TAMW op 30-06-2008 19:06 ]

Ik wil zelf zoiets gaan doen voor mijn nieuwe FreeBSD server.
Ding gaat plat gezegd mail+web doen, en ik heb 2 dezelfde dozen gekocht...

Ik wilde nu op de doos thuis (de andere hangt in een DC) de ports compileren (heb wat opties aanstaan die niet standaard, zijn anders zou ik wel packages gebruiken) en dan via een losse https mirror (die alleen vanaf het IP van de DC-doos connecties accepteert) de gecompileerde ports (packages...) naar de DC-doos sturen.

Gewoon als package mirror de doos thuis aangeven dus.

is dit een goed plan, of zouden jullie het anders doen?

Motivatie: ik kan van tevoren testen, en mijn DC doos loopt niet de halve dag te compileren (het zijn beide dual opterons, dus het zal niet gek lang duren...).

daft_dutch schreef op woensdag 18 juni 2008 @ 21:57:
Debian is trouwens bezig om ksplice in het debian package systeem te integreren. (Is nu experimental)

Hmm, hoe bedoel je? Dat ze de software opnemen in Debian, of dat ze het willen gaan toepassen om bijvoorbeeld kernel security updates uit te rollen?

Dat eerste is niet zo verrassend, dat tweede zou wel interessant zijn. Als je dat tweede bedoelt, dan zie ik graag een bron

megamuch schreef op maandag 30 juni 2008 @ 15:39:
De linux machines worden eigenlijk niet bijgewerkt. Die staan alleen intern, en draaien alleen mysql.

Toch is het natuurlijk beter ze up to date te houden. Ook interne security lekken kunnen risico's zijn.

Straks zeg je nog "ze staan toch intern, met alleen maar ssh met public key authentication toegankelijk van buiten"

*Installeer je wel security updates?
Ja tuurlijk, welke gotter doet dat doelbewust niet dan? (gecontroleerd bepaalde updates uitsluiten niet meegerekend)

*Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
Thuis.
3*winxp desktops
2*winxp laptops
1*linux-ubuntu desktop
1*linux-ubuntu-server thuisserver

* Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
Misgaan? Die dingen horen gewoon niet mis te gaan! Maar anders zit er thuis niets anders op dan ff handmatig te deïnstalleren.

*Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
Windows bakken: optie op automatisch (zowel downloaden als installeren), ik wil er zo weinig mogelijk last van hebben / werk aan hebben.
Linux bakken: dagelijkse crontab die z'n werkje doet.

*Hoe keur je updates goed, test je uit?
Het lijkt me dat updates getest worden voor ze uitgerolled worden, dus ik ga ze niet handmatig testen voor thuis pc's of pc's die alleen dienen om IE en office te draaien.

*Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Handmatig, totdat ik een betere oplossing vindt.

*Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?
Het enige wat het moet doen, is werken zonder dat het mij (of andere mensen) stoort.

Okee, gaan we.

---

Installeer je wel security updates?

• Like, doh

Omdat ik naast het normale netwerk vrij veel testomgevingen draai voor het werk (en hobby) en dat hoofdzakelijk Windows Servers betreft moet er natuurlijk ook aandacht besteed worden aan het bijwerken en installeren van de benodigde hotfixes en servicepacks.

Doe je dit enkel voor je eigen PC's thuis of voor een organisatie?

Op het werk hebben ze een aparte club die dat via SMS regelen, daar bemoei ik me niet mee.
Thuis is een ander verhaal
Op dit moment bestaat mijn eigen fysieke parkje uit:

• 3x Windows 2003 Server R2 Enterprise (DC 1 en 2)
• 1x Windows 2003 Server Enterprise (Exchange 2003)
• 1x Windows 2003 Server Standard (ISA)
• 1x Vista Ultimate/2008 Server X64 dualboot
• 1x Windows XP
• 1x MCE 2005

Waarbij één 2003 R2 machine een dedicated VMware Server host is.
De VMware installatie op mijn Vista Werkstation en de VMware Server samen zijn goed voor een drietal testnerdwerken.
Samen is dat goed voor een slordige 24 machines.

Omdat alles zoveel mogelijk up to date te houden kun je je voorstellen dat je dat niet meer met de hand gaat doen

Hoe update je?

Ik gebruik voor de Microsoft Updates van OS en Software Windows Server Update Services 3.0 Sp1.

Hoe keur je updates goed, test je uit?

Om updates te testen draaien er een XP, Vista Business en 2003 R2 Server als VM Guests waar de updates op uitgerold worden.
Zijn er geen issues bekend, dan kan de rest mee - zo wel, dan kunnen we via workarounds werken of wachten totdat de nieuwe versie doorkomt via WSUS.

Maak je onderscheid tussen typen systemen?

Zoals je hierboven in de WSUS console ziet heb ik onderverdelingen gemaakt in functionaliteiten en taken van de verschillende machines, met navenant verschillende instellingen.
Desktop machines zoals mijn MCE2005 wordt vrijwel altijd silent geupdate, de Server machines doen enkel aan Notify for install.

Ook voor het testnerdwerk gelden eenzelfde soort regels, Servers gaan enkel op Notify.
Waar wel een verschil in zit zijn de refreshtijden; het testnetwerk checkt elk uur op updates omdat hier nog wel eens een machine opnieuw wordt ingespoeld.
Op die manier zijn de verse installaties vrij vlot weer up-to-date gebracht.

Wat doe je met overige software updates?

Overige software als updates voor Adobe Reader en andere plugins gaan voorlopig nog via Software Installation GPO's, al is een upgrade naar System Center Essentials 2007 een mogelijke optie om dat eventueel te bundelen.

Voorlopig draait mijn laptop (XP) afgezien van de WSUS registry entries als een Standalone niet-domain client.
De zaken als Flash, Adobe Reader, Sun Java en dergelijke staan daarop met de auto-update functie aan zodat ik wel op de hoogte ben als er een nieuwere versie of een bugfix voor één van de produkten is.
De updates worden dan bewaard, waar nodig aangepast en vervolgens via een GPO geinstalleerd.

Wat is je plan als een security update mis gaat?

Even flink vloeken en tieren, testmachine opnieuw installeren of een rollback doen en vrolijk weer verder gaan.
Op zich komt het niet zo heel vaak voor, lastiger is het wanneer het WSUS team aan de andere kant van de oceaan een verkeerd gedateerde update doorvoert waardoor geen enkele client nog kan updaten

Nou ja, weet je gelijk welke mailings en blogs je in de gaten kan houden

Ik beheer een 5-tal linux servers. Allemaal draaien ze ubuntu met the usual stuff: apache, mysql, php.

Ik heb "unattended-upgrades" geinstalleerd en dat werkt als een trein. Deze installeert iedere dag alle security updates. Zonder mijn tussenkomst dus. Waarom? Omdat het geen fulltime job is, dus vaak moet het beheren "even tussendoor" gebeuren. Daarom gebeurt dat vaak niet

Overlaatst was er via een oude mambo site van een klant van ons, via een kernel exploit onze server gehacked. Reden: achterstallig onderhoud.

Dus nu probeer ik zoveel mogelijk alles automatisch te laten gebeuren. Om deze reden installeer ik ook geen custom gecompilede software. Voordeel van Debian/Ubuntu is dat zo'n beetje alles in de repositories zit.

Om de zoveel tijd kijk ik even de logs/e-mail berichten door en bepaal ik of er herstart moet worden (ivm kernel ipdates). Hopen dat ksplice er snel komt

DumbAss schreef op zaterdag 12 juli 2008 @ 09:57:
... via een kernel exploit onze server gehacked.

Even opgezocht. Het was de vmsplice exploit.

zelf geïnstalleerde software op hosting servers is vaak de makkelijkste weg om te hacken.
Iemand installeert een forum of userpanel ziet dat het werkt en doet er niets meer aan.

Ook omdat dit anders als een virus meet mogelijk heden geeft voor een cracker om actief user access te krijgen. Hoe snel je updates ook draait. 0day exploits zijn dan ineens een groot gevaar.

Alleen de repository van je distro te gebruiken overkomt dit probleem grotendeels.

Inleiding
Ik ben pas begonnen op een beheer afdeling van een grote bank,op de 2de lijn.De 3de lijn is een externe beheerpartij/leverancier(bijvoorbeeld Microsoft). We beheren ongeveer 7000 Windows Servers(NT/2000/2003).Dit verhaaltje gaat dan alleen over servers. Dat beheer is verdeeld over 3 Teams. Ieder team mag zelf bepalen hoe hij/zijn servers patcht. Ook hebben we nog wat legacy (Windows NT,Windows 2000). De patches zijn maximaal 6 dagen nadat een security bullentin van Microsoft uitgekomen geinstalleerd.Eigenlijk zijn wij alleen verantwoordelijk voor het OS & Hardware van de servers, de functiescheiding is bij ons flink doorgevoerd. Wij doet het op de volgende manieren.

Legacy:
Wij doet het op de volgende manier,zodra Microsoft weer patchdagen heeft scannen wij onze servers met Shavlik NetChk Protect.Dit pakket laat dan precies in een rapport welke servers welke patches mist.Het handige van dit pakket, is dat hij alles in een database zet, en dat hij patches voor NT/2000 via sheduling kan installeren.

2003
Binnen dit domein wordt alles gepatchet via SMS, dit is (helaas) uitbesteed aan een externe beheerpartij.Maar dit komt gelukkig binnenkort weer terug bij ons.

Applicaties
De applicaties van onder verantwoordelijkheid van de Applicatiebeheerders, deze zijn dan ook verantwoordelijk voor de updates binnen hun applicatie(s)

Anti-Virus
Wij draaien ePO, deze wordt iedere dag gecheckt dat de clients en de agents op de servers de laatste DAT files hebben. Via ons monitoring systeem komt er een melding binnen als deze 2 versies achterloopt (incident).

[ Voor 14% gewijzigd door Turdie op 08-09-2008 20:51 ]

Elke maand komen er een aantal updates via Microsoft Update binnen. Ik beheer o.a. SMS en WSUS, en rol alle updates uit via WSUS. "Alle updates" = security updates, rollups, defender updates, functionele updates (bijv. Powershell)
Aangezien wij een, qua IT, niet al te groot en professioneel bedrijf zijn, hebben we geen clusters, maar wel een hoop single-point of failures: van de mailserver en fileserver zijn er allebei 1
Het voordeel hiervan is dat we niet al te veel servers hebben (+/ 60, waarvan 30 virtueel). Het nadeel is dat elke reboot downtime betekent.
Omdat we 300.000 klanten hebben die op onze website komen en hun gegevens kunnen opvragen en wijzigingen doorgeven, is downtime is vloekwoord geworden
Downtime van een mailserver betekent dat mensen geen bevestigingen van wijzigingen krijgen, facturen niet verstuurd kunnen worden, etc.

Ik vraag me af hoe andere mensen / bedrijven met deze situatie omgaan: plannen jullie elke maand een dag downtime in, doen jullie dat op een zaterdag, of vrijdagmiddag, of 's nachts? Doen jullie alle servers tegelijk, of 1 voor 1 wanneer het uitkomt?

Op dit moment plannen wij eens in de 3 maanden een update-avond in. Met een script worden dan alle servers gereboot, worden updates gepushed en automatisch geinstalleerd, worden alle servers na een uur weer gereboot, worden de resterende updates gepushed en geinstalleerd en worden alle servers wederom na een uur gereboot. Deze gekke wijze is vooral de schuld van de updates-on-updates.
Met het script heb ik vrijwel geen werk aan de updates: elk uur 5 minuten klikken, maar het nadeel is dat we een hele avond moeten bestempelen als "onderhoudavond", waarbij het gehele serverpark down is

Geen gefaseerde patchronde?
Ik zou als downtime vloeken is sowieso al een keer gaan denken aan een meer HA-ready infra, dan lost dat update-dus-ik-moet-het-hele-netwerk-down-gooien probleem ook in één keer op.

Cis schreef op donderdag 18 februari 2010 @ 15:04:
Downtime van een mailserver betekent dat mensen geen bevestigingen van wijzigingen krijgen, facturen niet verstuurd kunnen worden, etc.

Dat kan je toch veel makkelijker aanpakken door (op elke host) een lokale mini-MTA te installeren die de hoofd-mailserver als smarthost heeft ingesteld? Dus al je applicaties praten SMTP tegen localhost en die zorgt dat de mail bij de smtp-out terecht komt. Dan blijven mails hangen in de queue totdat je hoofd-mailserver weer up komt. Het enige is dat je dan een beetje vertraging hebt in het e-mailverkeer, maar e-mail is geen IM en helemaal niet bedoeld om instant aan te komen; een uurtje vertraging is niet gek.

Cis schreef op donderdag 18 februari 2010 @ 15:04:
Ik vraag me af hoe andere mensen / bedrijven met deze situatie omgaan: plannen jullie elke maand een dag downtime in, doen jullie dat op een zaterdag, of vrijdagmiddag, of 's nachts? Doen jullie alle servers tegelijk, of 1 voor 1 wanneer het uitkomt?

Eerst een testsysteem pakken dat identiek is aan de huidige omgeving, dan upgraden, kijken hoe dat gaat en waar problemen ontstaan. Daarna pas je echte systeem in het geprepareerde scenario doen, zonder verrassingen.
Als het gaat om simpele security updates kunnen ze vaak prima zonder merkbare downtime. Een MySQL server security update gaat bij mijn in tientallen seconden; dan issie weer up. Zelfde geldt voor andere services en kan prima 'even' 's nachts gebeuren.

Cis schreef op donderdag 18 februari 2010 @ 15:04:
Op dit moment plannen wij eens in de 3 maanden een update-avond in. Met een script worden dan alle servers gereboot, worden updates gepushed en automatisch geinstalleerd, worden alle servers na een uur weer gereboot, worden de resterende updates gepushed en geinstalleerd en worden alle servers wederom na een uur gereboot. Deze gekke wijze is vooral de schuld van de updates-on-updates.

Sjeesz... ben ik blij dat ik geen Windows systemen beheer. (ik neem aan dat het gaat om Windows-updates?) Updates on updates heb ik nog nooit van gehoord. Elk fatsoenlijk package management gaat daar prima mee om en installeert ze achter elkaar in de volgorde dat het moet.

Gelukkig heeft de WU package manager ook die functionaliteit
Moet je 'm natuurlijk wel goed gebruiken he..

alt-92 schreef op donderdag 18 februari 2010 @ 16:44:
Geen gefaseerde patchronde?
Ik zou als downtime vloeken is sowieso al een keer gaan denken aan een meer HA-ready infra, dan lost dat update-dus-ik-moet-het-hele-netwerk-down-gooien probleem ook in één keer op.

Probleem is dat we niet genoeg kennis (en tijd) hebben om dit goed in te regelen. Ik snap wel dat het wellicht de enige optie is om het probleem van downtime voorgoed kwijt te zijn.

gertvdijk schreef op donderdag 18 februari 2010 @ 17:25:
[...]

Dat kan je toch veel makkelijker aanpakken door (op elke host) een lokale mini-MTA te installeren die de hoofd-mailserver als smarthost heeft ingesteld? Dus al je applicaties praten SMTP tegen localhost en die zorgt dat de mail bij de smtp-out terecht komt. Dan blijven mails hangen in de queue totdat je hoofd-mailserver weer up komt. Het enige is dat je dan een beetje vertraging hebt in het e-mailverkeer, maar e-mail is geen IM en helemaal niet bedoeld om instant aan te komen; een uurtje vertraging is niet gek.

Hmm, daar had ik nog niet eerder van gehoord / aan gedacht. Ik ga dit opnemen in mijn todo-lijstje. Thnx

[...]

Eerst een testsysteem pakken dat identiek is aan de huidige omgeving, dan upgraden, kijken hoe dat gaat en waar problemen ontstaan. Daarna pas je echte systeem in het geprepareerde scenario doen, zonder verrassingen.
Als het gaat om simpele security updates kunnen ze vaak prima zonder merkbare downtime. Een MySQL server security update gaat bij mijn in tientallen seconden; dan issie weer up. Zelfde geldt voor andere services en kan prima 'even' 's nachts gebeuren.

Wij hebben hier geen omgeving, die gelijk is aan productie. Hierdoor testen we met updates dus eigenlijk in productie. Tot nu toe (afkloppen) is dit nooit fout gegaan: updates hebben nooit tot ernstige verstoringen geleid in productietijd. We testen na een updateavond altijd alle systemen op werking (draaien alle services, kunnen we inloggen op alle systemen, werkt het DMS.. etc etc).
Ik ben, aangezien we niet kunnen testen op een identieke testomgeving, een beetje sceptisch over het "even 's nachts rebooten". Ben veel te bang dat een kritieke applicatie niet meer opkomt (al hoewel dit door SCOM gemeld zal worden per mail...)

[...]

Sjeesz... ben ik blij dat ik geen Windows systemen beheer. (ik neem aan dat het gaat om Windows-updates?) Updates on updates heb ik nog nooit van gehoord. Elk fatsoenlijk package management gaat daar prima mee om en installeert ze achter elkaar in de volgorde dat het moet.

alt-92 schreef op donderdag 18 februari 2010 @ 19:18:
Gelukkig heeft de WU package manager ook die functionaliteit
Moet je 'm natuurlijk wel goed gebruiken he..

Op zich doet WSUS dit ook wel. Maar het probleem treedt bijvoorbeeld op bij .Net Framework: Via WSUS rol ik .NET Fw 3.5 uit. Vervolgens moet ik rebooten. Dan moet ik SP1 installeren. Weer rebooten. Daarna is er nog een security fix voor SP1.
Doe ik dan iets fout?

Cis schreef op vrijdag 19 februari 2010 @ 13:08:
Wij hebben hier geen omgeving, die gelijk is aan productie. Hierdoor testen we met updates dus eigenlijk in productie. Tot nu toe (afkloppen) is dit nooit fout gegaan: updates hebben nooit tot ernstige verstoringen geleid in productietijd. We testen na een updateavond altijd alle systemen op werking (draaien alle services, kunnen we inloggen op alle systemen, werkt het DMS.. etc etc).

Ik snap dat je niet 100% in een testomgeving kan gooien, maar veel dingen kan ik in elk geval wel even makkelijk testen. Ik creeer een nieuwe VM, start het install script, laad een database met dummydata, test of het werkt, draai de voorgestelde updates/upgrades/wijzigingen en kijk waar we tegenaan lopen. Een 100% identiek systeem ga je niet kunnen maken, maar veel problemen (dependency problemen, ssh/ssl keys die opeens worden geblacklist, etc) kan je wel zien aankomen en op inspelen dan.
Maar goed, 98% van de security updates zijn maar kleine patches of updates die vrijwel geheel pijnloos zijn of pijnloos zijn gemaakt door de package maintainers. Alleen upgrades zijn nog wel eens een pain-in-the-ass.

Cis schreef op vrijdag 19 februari 2010 @ 13:08:
Ik ben, aangezien we niet kunnen testen op een identieke testomgeving, een beetje sceptisch over het "even 's nachts rebooten". Ben veel te bang dat een kritieke applicatie niet meer opkomt (al hoewel dit door SCOM gemeld zal worden per mail...)

Dan heb je toch een failover (eventueel VM die uitstaat, maar klaarstaat) die de updates nog niet gehad heeft? Of heb je ook geen failover?

[ Voor 6% gewijzigd door gertvdijk op 19-02-2010 13:25 ]

Voor zowel thuis als op het werk draaien we ofwel WSUS of een Debian Mirror via apt-mirror. Werkt uitstekend. WSUS is best koel.