KS
Я в этой истории участвовал как разработчик, но, видимо, когда раскатывали, было излишние доверие к этой тулзе. А админы тогда стали Senior Reboot Engineer
сервера в идеале нужно ребутать раз в месяц, чтобы апдейты поставить.
Size: a a a
2019 January 15
N
Идеально не жить с говновиндой на серверах
AM
Выпили с хостов, пока стандартный евент process creation юзаем, остальные типы событий к сожалению заменить нечем
V
сервера в идеале нужно ребутать раз в месяц, чтобы апдейты поставить.
V
apt upgrade и так работает...)))С
Идеально не жить с говновиндой на серверах
это не спасает от ребутов
N
Зато руки чистые
V
Но если серьезно, патч-менеджмент - отдельная тема, и я бы с удовольствием послушал , кто как живёт/осуществляет его
С
на devopsconf qiwi рассказывали
KS
мой рецепт:
1) Сканер уязвимостей, который делает простую вещь - линкует неустановленный патч с уязвимостью.
2) Еженедельное сканирование всех хостов.
3) Метрика по общему количеству уязвимостей высокого и критичного уровней на еженедельную планерку руководству.
4) Руководство на 1 графике должно видеть рост уязвимостей после супервторника и снижение уязвимостей во все остальные недели.
1) Сканер уязвимостей, который делает простую вещь - линкует неустановленный патч с уязвимостью.
2) Еженедельное сканирование всех хостов.
3) Метрика по общему количеству уязвимостей высокого и критичного уровней на еженедельную планерку руководству.
4) Руководство на 1 графике должно видеть рост уязвимостей после супервторника и снижение уязвимостей во все остальные недели.
r
А есть сканер уязвимостей , который выдает конкретную kbшку на уязвимость?
r
Qualys MS выдаёт, дальше сам ищи
S
вроде Maxpatrol показывал, если правильно помню
KS
Qualys MS выдаёт, дальше сам ищи
а чем MS плохо? Админы не могут найти kb во wsus?
V
А автоматизировать его можно? Не руками же искать
c
А автоматизировать его можно? Не руками же искать
У нас все давно автоматизированно, только патчить некому
V
У нас все давно автоматизированно, только патчить некому
Можно...с эксплуатацией и пообщаться)) они ближе всего к продукту)
r
а чем MS плохо? Админы не могут найти kb во wsus?
Ну, ленятся, нам KB подавай говорят)
KS
Ну, ленятся, нам KB подавай говорят)
тут организационно надо решать, стимулировать кнутом и пряником
r
согласен, ну и уязвимость - это не обязательно только одна KBшка..