Je lance la compilation des ports avec poudriere, ça me prend quelques minutes pour lancer et après ça compile tout seul pendant 2h à 18h (18h c'est quand on a une mise à jour majeure de l'OS et qu'il faut tout recompliler).
Une fois que c'est fait, je lance la mise à jour manuellement (faut que je fasse un script ansible) de gitlab qui prend environ 1 heure. Une fois ça fait, je lance un pkg update && pkg upgrade -y pour tous les serveurs via ansible sur tous les serveurs, je lance, ça me prend 2 minutes max et ça se déroule tout seul en quelques minutes. On fait cette action sur tous les serveurs, prod++ et prod-- David On Sun, 8 Sep 2024 15:22:12 +0200 David RIBEIRO <david.ribeir...@gmail.com> wrote: > Salut David, > > Et comment tu gères une maj 1 fois tous les 7 jours ? Ansible full > auto calendriarisé ? > Quand je dis gérer, je parle de gérer les serveurs PROD++ des serveurs > moins PROD++ :) > > Merci pour tes lumières. > > David > > Le sam. 7 sept. 2024 à 11:00, David Durieux <david@durieux.family> a > écrit : > > > Salut, > > > > bah écoute merci ;) > > > > Je met à jour mes 250 serveurs sous FreeBSD + les softs dessus 1 > > fois par semaine au minimum (des fois plus selon s'il y a des > > faille méga urgentes). > > > > En 2 ans, je n'ai eu qu'une fois un soucis sur un logiciel, donc > > c'est relativement rare. > > > > Et je préfère avoir un problème de ce genre plutôt que devoir gérer > > des catastrophes genre une faille exploitée. > > > > David > > > > On Fri, 6 Sep 2024 22:05:31 +0200 > > Laurent Barme <2...@barme.fr> wrote: > > > > > > > > Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit : > > > … > > > > Tiens, d'ailleurs, en parlant de passoire... On est tous ici > > > > bien au courant que les bugs de secu, ca existe, et que les > > > > distributions mettent a jour (plus ou moins vite). > > > … > > > > > > Un exemple sur un cas concret : le CVE-2021-41773 > > > ( > > https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-http-server-path-traversal-remote-code-execution-cve-2021-41773-cve-2021-42013 > > ) > > > > > > Dans les logs (/var/log/apache2/error.log), cela donne quelque > > > chose comme ça : > > > > > > AH00126: Invalid URI in request > > > POST/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh > > > HTTP/1.1 > > > > > > > > > Il est apparu le 16/09/21 avec la 2.4.49 > > > (https://www.apachelounge.com/Changelog-2.4.html). > > > > > > Il a été corrigé le 07/10/21 avec la > > > 2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html) > > > > > > Les serveurs sur lesquels on applique des mises à jour > > > quotidiennes automatiques ont donc été exposés pendant 21 jours… > > > > > > Bon, faut relativiser : il est très probable que les pirates > > > n'aient pas été en mesure d'exploiter la faille dès le 16/09/21. > > > Par contre elle est toujours régulièrement tentée d'après ce que > > > je vois encore aujourd'hui comme attaques sur les serveurs que je > > > gère. > > > > > > On est évidemment toujours plus intelligent a posteriori mais > > > lorsque les développeurs ont adapté la gestion des chemins de > > > répertoire ("The path traversal vulnerability was introduced due > > > to the new code change added for path normalization i.e., for URL > > > paths to remove unwanted or dangerous parts from the pathname,") > > > ils auraient pu être un peu proactif pour imaginer comment un > > > pirate aurait pu exploiter le risque d'un chemin dangereux et > > > faire des tests (encore des tests, toujours des tests). > > > > > > Cela dit, je ne critique pas ici le travail des développeurs ni > > > celui de l'équipe de sécurité. L'introduction involontaire d'un > > > bug est inhérent au travail d'un développeur, quelque soit le > > > soin qu'il mette à l'anticiper. Et débusquer un bug en seulement > > > 21 jours (le plus dur étant de le repérer, la correction est > > > ensuite souvent triviale) c'est déjà une belle performance. > > > > > > Cependant, je reste convaincu qu'il est préférable d'attendre que > > > d'autres prennent les risques de déployer une nouvelle évolution ; > > > merci à eux :-) > > > > > > > > > > _______________________________________________ > > Liste de diffusion du %(real_name)s > > http://www.frsag.org/ > > > _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
