Toon posts:

[Algemeen] Patches na een SP op productie servers

Pagina: 1
Acties:
  • 222 views sinds 30-01-2008
  • Reageer

woensdag 22 oktober 2003 10:46

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Hi,

Ik vroeg me af hoe de GoT'er met het patchen van productieservers omgaat.

Kijk, je levert bijv. een maandje of wat geleden een mooie Windows 2000 server op, zet er SP4 op en klaar. Maar helaas, daar was de RPC fun, en je server moet gepatched worden. Dat doe je keurig, want deze patches waren 'Critical'. Zelfde voor de nieuwe Messenger service bug.

Maar als je nu op Windows Update kijkt zie je dat er zat andere patches (pre SP5) voor handen zijn.

Maar wil je die wel op een productieserver? Zijn die patches wel 100% betrouwbaar? Waarschijnlijk wel, anders waren ze niet beschikbaar toch? :)

Anyway, een collega is van mening dat buiten de critical patches er gewoon gewacht moet worden op een nieuw SP. Dit terwijl ik aan de andere kant ervan uit ga dat alle patches beschikbaar via Windows Update er wel op gezet kunnen worden.

Hoe denken jullie erover?

Godfather Bodybuilding topic reeks

woensdag 22 oktober 2003 10:50

Acties:
  • |sWORDs|
  • Registratie: Maart 2000
  • Laatst online: 14-04 12:48

|sWORDs|

vSphere/ESXi

Ik ben het met je collega eens, laat alles zich eerst maar eens bewijzen en dan pas updaten. Je hebt het wel over een server en niet op een workstation. En het is trouwens al meerdere malen voorgekomen dat een patch niet goed was/ sommige hardware er problemen mee kreeg.

Te Koop:24 Core Intel Upgradeset

woensdag 22 oktober 2003 10:53

Acties:
  • cdgrit
  • Registratie: Mei 2002
  • Laatst online: 23-04 19:44

cdgrit

MrJ schreef op 22 October 2003 @ 10:46:
Hoe denken jullie erover?
Kweet niet of je het wilt horen, maar ik denk maar één ding.
Zet geen Windows op een productieserver. Je wordt er patch-moe van.

Op m'n Debian server update ik eigenlijk alleen als het echt belangrijke patches zijn. Apache, PHP, MySQL hou ik wel zoveel mogelijk up-to-date. Voor de rest hou ik me bij "If it aint broke, then don't fix it".


Originele startpagina - Stadindex.nl

woensdag 22 oktober 2003 10:58

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
sWORDs schreef op 22 October 2003 @ 10:50:
Ik ben het met je collega eens, laat alles zich eerst maar eens bewijzen en dan pas updaten. Je hebt het wel over een server en niet op een workstation. En het is trouwens al meerdere malen voorgekomen dat een patch niet goed was/ sommige hardware er problemen mee kreeg.
True. Maar deze issues kan je ook krijgen met 'Critical' patches die we moeten installeren van hogerhand (dwz de IT hoofdkantoren in Londen en Chigago bij ons).
cdgrit schreef op 22 October 2003 @ 10:53:
[...]

Kweet niet of je het wilt horen, maar ik denk maar één ding.
Zet geen Windows op een productieserver. Je wordt er patch-moe van.

Op m'n Debian server update ik eigenlijk alleen als het echt belangrijke patches zijn. Apache, PHP, MySQL hou ik wel zoveel mogelijk up-to-date. Voor de rest hou ik me bij "If it aint broke, then don't fix it".
Helaas is in dit bedrijf geen ruimte van non Windows based OS's op de servers. Dan is de koek als snel op. :)

Maar wanneer is iets 'broken' dan? Als het lek alszijnde 'critical' bestempeld wordt?

Godfather Bodybuilding topic reeks

woensdag 22 oktober 2003 11:02

Acties:
  • Yoeri
  • Registratie: Maart 2003
  • Niet online

Yoeri

O+ Joyce O+

(overleden)
cdgrit schreef op 22 October 2003 @ 10:53:
[...]

Kweet niet of je het wilt horen, maar ik denk maar één ding.
Zet geen Windows op een productieserver. Je wordt er patch-moe van.

Op m'n Debian server update ik eigenlijk alleen als het echt belangrijke patches zijn. Apache, PHP, MySQL hou ik wel zoveel mogelijk up-to-date. Voor de rest hou ik me bij "If it aint broke, then don't fix it".
Dat je patches inderdaad beter eerst ff test vooraleer ze op een productieserver te gooien is een feit, maar jouw stelling is pure flame, aangezien voor LAMP, en linux in het algemeen minstens evenveel patches komen als voor windows

Kijkje in de redactiekeuken van Tweakers.net
22 dec: Onze reputatie hooghouden
20 dec: Acht fouten

woensdag 22 oktober 2003 11:03

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

De meest gebruikte strategy is alleen installeren hotfixes en critical patches. Waarom zou je een machine met pre SPX patches uit gaan voeren als je niet weet wat het resultaat zal zijn. Ik heb de messenger patch bv niet geinstalleerd maar gewoon de hele service disabled.. scheelt uberhaupt weer een reboot.

woensdag 22 oktober 2003 11:09

Acties:

Verwijderd

mutsje schreef op 22 oktober 2003 @ 11:03:
De meest gebruikte strategy is alleen installeren hotfixes en critical patches. Waarom zou je een machine met pre SPX patches uit gaan voeren als je niet weet wat het resultaat zal zijn. Ik heb de messenger patch bv niet geinstalleerd maar gewoon de hele service disabled.. scheelt uberhaupt weer een reboot.
Een reden om wel een pre-spx patch te installeren:
Er is een fout/security leak gevonden, deze is onderkent, en er is een fix voor. Dus zolang jij die patch niet hebt, is jouw systeem niet veilig (flame: al is dat met windows altijd zo)...

Een service compleet disablen lijkt mij helemaal een foute oplossing.. Wat als er zoiets komt voor de httpd? Dan maar geen webpages meer?

verder vind ik ook dat je al fout bezig ben met een windowsproductieserver

woensdag 22 oktober 2003 11:16

Acties:
  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 20:24

Grolsch

Verwijderd schreef op 22 October 2003 @ 11:09:
[...]


Een reden om wel een pre-spx patch te installeren:
Er is een fout/security leak gevonden, deze is onderkent, en er is een fix voor. Dus zolang jij die patch niet hebt, is jouw systeem niet veilig (flame: al is dat met windows altijd zo)...

Een service compleet disablen lijkt mij helemaal een foute oplossing.. Wat als er zoiets komt voor de httpd? Dan maar geen webpages meer?

verder vind ik ook dat je al fout bezig ben met een windowsproductieserver
tja, 90% van alle serverparken draait ongeveer op windows, dus dat verander je niet.

ps. linux/unix is niet veiliger, maar minder interesant om te hacken, omdat er weinig mensen mee werken.

Kvind het aardig richting flamen gaan omdat je niet met goeie argumentatie komt!

om ff ontopic te gaan, ik installeer op produktie servers alleen maar SP's (als ze meer als een maand oud zijn) en critical update's

[ Voor 8% gewijzigd door Grolsch op 22-10-2003 11:17 ]

PVOUPUT - 13.400WP - Twente

woensdag 22 oktober 2003 14:15

Acties:
  • Yoeri
  • Registratie: Maart 2003
  • Niet online

Yoeri

O+ Joyce O+

(overleden)
Verwijderd schreef op 22 October 2003 @ 11:09:
[...]
Een reden om wel een pre-spx patch te installeren:
Er is een fout/security leak gevonden, deze is onderkent, en er is een fix voor. Dus zolang jij die patch niet hebt, is jouw systeem niet veilig (flame: al is dat met windows altijd zo)...

Een service compleet disablen lijkt mij helemaal een foute oplossing.. Wat als er zoiets komt voor de httpd? Dan maar geen webpages meer?

verder vind ik ook dat je al fout bezig ben met een windowsproductieserver
Patch & enable jij dan wel een SSL-service op je linuxbak ook al gebruik je die niet (bijvoorbeeld)?

Services die je niet gebruikt zou je àltijd moeten disablen, scheelt resources èn security.

En als dat met windows altijd zo is, kun je dat dan ook ff onderbouwen alsjeblieft, want op deze manier gaan we lekker flamen

Kijkje in de redactiekeuken van Tweakers.net
22 dec: Onze reputatie hooghouden
20 dec: Acht fouten

woensdag 22 oktober 2003 14:40

Acties:
  • SH007
  • Registratie: November 2001
  • Niet online

SH007

En nu weer ontopic aub!

Een discussie is leuk, zolang er niet geflamed wordt. Mocht er iemand flamen, reageer er dan gewoon niet op. Een topicreport is genoeg. Er wordt dan vanzelf wat aan gedaan :)
Reageer dus gewoon niet op die reply van beurdy.

woensdag 22 oktober 2003 14:41

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Heren, svp geen MS - *ix war beginnen please. :*

Godfather Bodybuilding topic reeks

woensdag 22 oktober 2003 14:45

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

Als je de Security Guides ook leest(zie onderaan [rml][ 200X]Howto:Security Configuration and Analysis[/rml]) Dan zie je dat er veel services standaard uitgezet worden. Hoe hoger de security hoe meer services er uit geschakeld worden. Wat Critial patches en hotfixes betref mis ik nog 1 item in deze discussie thread. Namelijk Testen jullie patches ook voordat jullie ze uitrollen op een productie/live omgeving.

woensdag 22 oktober 2003 14:48

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Tja, wat versta je onder testen?

Elke productie server restoren in een schaduw omgeving en enkele dagen laten draaien met die nieuwe fix? Dat niet. :) Wel wordt deze geinstalleerd op een test server. Maar als daar geen problemen mee zijn wordt 'ie wel uitgerold, terwijl je er niet 100% zeker van bent dat de patch op elke server zich zo gedraagd.

Godfather Bodybuilding topic reeks

woensdag 22 oktober 2003 15:26

Acties:
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Uitgebreid testen is vaak niet mogelijk. Als het meezit test je een paar representatieve machines en hoop je dat alle systemen zich hetzelfde gedragen als je testsysteem.
Als in je bedrijf veel non-standaard servers voorkomen waar allerhande obscure applicaties op draaien is het vaak onmogelijk om alles te testen.

Hoe zou je trouwens moeten omgaan met hele urgente security updates? Een dagje testen kan in extreme gevallen betekenen dat je een extra dag kwetsbaar voor een aanval bent.
Op mijn werk hadden we onlangs nog behoorlijke problemen gehad met een worm (Nachi, gelukkig vrij onschuldig) die alle servers geinfecteerd heeft. De IT-afdeling had de beschikbare patch al uitgerold op de clients maar durfde de patch nog niet te installeren op de productieservers.

woensdag 22 oktober 2003 16:31

Acties:

Verwijderd

Robbedoeske schreef op 22 October 2003 @ 14:15:
[...]

Patch & enable jij dan wel een SSL-service op je linuxbak ook al gebruik je die niet (bijvoorbeeld)?
ja
Services die je niet gebruikt zou je àltijd moeten disablen, scheelt resources èn security.
Services die je niet gebruikt moet je eigelijk niet eens installeren
En als dat met windows altijd zo is, kun je dat dan ook ff onderbouwen alsjeblieft, want op deze manier gaan we lekker flamen
Doe ik niet aangezien er hier een mod rondhuppeld wiens wereld nogal zwart-wit is..
Mod-break:

Deze discussie gaat over patchen van Windows servers en Win vs Nix is dan nogal offtopic en zal de echte discussie ondersneeuwen. Start een nieuw topic met onderbouwing van je problemen met Windows en dan gaan we daar discussieren :*

[ Voor 23% gewijzigd door F_J_K op 22-10-2003 16:54 . Reden: Win vs Nix ]

woensdag 22 oktober 2003 18:59

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

MrJ schreef op 22 October 2003 @ 10:46:
Maar wil je die wel op een productieserver? Zijn die patches wel 100% betrouwbaar? Waarschijnlijk wel, anders waren ze niet beschikbaar toch? :)

Hier mag je niet van uitgaan - recentelijk zijn er nog patches geweest voor (bv.) Exchange die toch echt veel problemen veroorzaakten.

In principe moet je alleen patchen als het echt niet anders kan, maar het liefst doe je dit door eerst de situatie te testen op een test server.

woensdag 22 oktober 2003 22:09

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Op dit moment zijn er alleen de 2 RPC patches geinstalleerd na SP4 op onze servers.

KB824146 en KB823980 welteverstaan. En we zitten erover te denken om ook de messenger bug (KB828035) te patchen.

Ik denk dat de eerste 2 echt nodig waren, ookal zit je in een firewalled omgeving. Maar of de messenger bug ook zo critical is om servers te patchen zijn we nog niet uit.

Godfather Bodybuilding topic reeks

woensdag 22 oktober 2003 22:17

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

MrJ schreef op 22 oktober 2003 @ 22:09:
Op dit moment zijn er alleen de 2 RPC patches geinstalleerd na SP4 op onze servers.

KB824146 en KB823980 welteverstaan. En we zitten erover te denken om ook de messenger bug (KB828035) te patchen.

Ik denk dat de eerste 2 echt nodig waren, ookal zit je in een firewalled omgeving. Maar of de messenger bug ook zo critical is om servers te patchen zijn we nog niet uit.
Mr J,

Ik heb gewoon op me omgeving de messenger service disabled. Je hebt het niet echt nodig op een server.

rest.

met testen van patches bedoel ik installeren op een redelijke representative server en dan rebooten en kijken of de machine weer up komt zonder teveel problemen.

woensdag 22 oktober 2003 23:05

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Dat disablen kan ook ja, lijkt me misschien een iets betere optie. :)

Zo wordt hier ook getest, maar echt 100% zeker ben je dus kennelijk nooit helaas.

Godfather Bodybuilding topic reeks

donderdag 23 oktober 2003 10:07

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

Nee echt 100% zekerheid krijg je nooit omdat je zelden een identiek opgebouwde testomgeving hebt als dat je prodcutie omgeving is. Maar 1 keer testen op een identiek gepatchte server geeft al enige geruststelling imho
Pagina: 1
Reageer