アカウント名:
パスワード:
こう書くとマイナスモデされそうですが、ボランティアが減ってるせいなのか最近のdistributionの脆弱性対応の早さには問題があり、本家のupdateがpackage management systemに反映されるまで1~2か月かかるのが当たり前だったりします
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが、そういうサーバは1か月以上も0 day同然の状態に晒されているわけ
毎日脆弱性情報チェックして手動でソースビルドできない人は素直にWindows Server使った方が安全ですよWindows ServerはLinux Serverより危険だというのは過去の話で今は逆転していますライセンス料の観点からLinuxが流行ってるだけの事です
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
書いたやつのレベルの低さが良くわかる一文。俺の周りの世界だとまったく一般的じゃないどころか見たことすらない。
そうだよね。単なるパッチでもシステムに影響出てくることがあるから、まずはステージング環境に適用してテスト工程を経てからじゃないと本番環境には当てられないわ。毎日自動処理で好き勝手にパッチ当てられるとか、2~3日ダウンしても問題無いような低レベルなサーバなんだろうな。
どんなに早くても商用環境だと
水曜:パッチリリース確認、直近のイメージBKから環境構築、検証木曜:顧客報告金曜:顧客が作業承認土日:パッチ適用
とかになるからねぶっちゃけ0DAY対応どころか2~3日は空くっていうね
顧客定例が月一だから早くても来週末に対応だーとかの方が多そう
Java脆弱性問題での徳丸 浩の発言よりhttps://twitter.com/ockeghem/status/841513670555312128 [twitter.com]
> 3年ほど前から、「パッチ適用による副作用を検証していたのでは間にあわない」とセミナー等では言い続けていたのですが、恐れていたことが現実になりました。切り戻し手段を確保しておいていきなりパッチ適用するとかしないと間に合わない
シス管個人の問題じゃどうにもならんけど重要なセキュリティパッチについてはパッチリリース確認したら検証せずにただちに当てないと間に合わないGMOのシステムでもパッチ検証している間に脆弱性突かれて個人情報漏えいというパターンが常習化しているしな
検証なしでパッチ当ててサービスが止まった時、すぐロールバックすれば客から責任追及されないなら、いくらでもそうするんですがね。まあ、客は客で、ビジネス相手や末端利用者に同じことを思ってるでしょうが。世の中全体が「安全のためならサービス停止や不便を許容する」ようにならないと無理でしょうね。
でも最近のアメリカ資本系は検証なしで適用してるっぽいんだけどね。SpectreMeltdownで即日対応してたAWSやAzureとか・・・。その後でインテルのバグが見つかってるけど切り戻しもせずにそのままだったし。
検証している間にサーバーが乗っ取られたらそういう怠惰なサーバー屋の責任にしていかなければダメということですね。
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
そうです検証どおり本番でも落ちたので問題ありますん
サーバ落ちてもセキュリティリスク回避を取った形なので日本企業ではあり得ない「判断」だよね。情報リークが想定外のタイミングだったので検証不十分なままで見切り発車した感はあるんだけど。
向こうの国だと「パッチ出てるのに対応しなかった」は訴訟の対象になるけど、「最悪の事態回避への努力の結果」だったら問題ないってことかな。
単なるパッチでトラブルなるような俺様仕様テンコ盛りな構成やクソ実装アプリ作るような低レベルなシステム管理者や開発者じゃないので(^^警戒したのはこないだのメルトダウン位だねー。
単なるパッチでWindows/Linux自体起動しなくなることもあるのに何言ってんだこいつ?
時々起きる程度のモノの為に常時遅れるとか何言ってるんだコイツは?大体ダメだったら即時当てる前のに戻せるばいいし。待機系くらいあるでしょ。
「ライセンス料無料=金がかからない」って考えてる人は今でもいるもんね全て自己責任になるからこそ保守に相応のコストをかけなきゃいけないのにWindowsと違ってLinuxは安全だとか言って10年前から塩漬けの鯖が現役だったり
そうだ本家のupdate担当になれば幸せになれるんだ
> 毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
は?そんな意識高い系のシス管なんて日本にはほとんどいないぞ。デフォルトで有効になってる自動更新をわざわざ無効にするシス管ならいっぱいいるが。
「我が社のシステムに不具合が出るリスクと侵入されるリスクを比較検討した結果、アップデートしないことに決定しました」「検証工数は誰が出すんですか?検証コストは侵入リスクに見合っているんですか?」「前任者からの引き継ぎですが手順書にアップデートが記載されていないので対応できません」
1〜2ヶ月もかかるっていうのは、CentOSですら見かけないように思うのですが、どこかにソースありますかね?Windowsの場合は純正部分以外が放置されてることが多すぎてなw
WindowsはWindowsで更新がクソ長い上にブラウザの脆弱性ごときで再起動を要求される .NET Frameworkの更新は環境によっては2時間以上かかる基本1ヶ月おきにしか更新が降ってこない 実際に攻撃されている状況でも緊急パッチをなかなか提供してくれない LDRの提供にも本社との相談が必要で2wはかかった更新されるのは純正製品のみで3rdのソフトウェアは置いてけぼり MS製品以外の更新がされていないことが多いというか殆ど。 ドライバーは脆弱性があっても放置されていることが多い パッチ管理についてはデストリビューション未満
これとは別にアプリケーションの検証はどうしても必要になるのでWindowsだろうがLinuxだろうが、WAFやIPSなどを組み合わせざるを得ないんじゃないかな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
Linux はソースビルドしない限り危険、Windows Server を使おう (スコア:1)
こう書くとマイナスモデされそうですが、ボランティアが減ってるせいなのか最近のdistributionの脆弱性対応の早さには問題があり、本家のupdateがpackage management systemに反映されるまで1~2か月かかるのが当たり前だったりします
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが、そういうサーバは1か月以上も0 day同然の状態に晒されているわけ
毎日脆弱性情報チェックして手動でソースビルドできない人は素直にWindows Server使った方が安全ですよ
Windows ServerはLinux Serverより危険だというのは過去の話で今は逆転しています
ライセンス料の観点からLinuxが流行ってるだけの事です
Re: (スコア:0)
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
書いたやつのレベルの低さが良くわかる一文。
俺の周りの世界だとまったく一般的じゃないどころか見たことすらない。
Re:Linux はソースビルドしない限り危険、Windows Server を使おう (スコア:1)
そうだよね。
単なるパッチでもシステムに影響出てくることがあるから、まずはステージング環境に適用してテスト工程を経てからじゃないと本番環境には当てられないわ。
毎日自動処理で好き勝手にパッチ当てられるとか、2~3日ダウンしても問題無いような低レベルなサーバなんだろうな。
Re: (スコア:0)
どんなに早くても商用環境だと
水曜:パッチリリース確認、直近のイメージBKから環境構築、検証
木曜:顧客報告
金曜:顧客が作業承認
土日:パッチ適用
とかになるからね
ぶっちゃけ0DAY対応どころか2~3日は空くっていうね
顧客定例が月一だから早くても来週末に対応だーとかの方が多そう
典型的な駄目日本人社会の縮図って感じ (スコア:0)
Java脆弱性問題での徳丸 浩の発言より
https://twitter.com/ockeghem/status/841513670555312128 [twitter.com]
> 3年ほど前から、「パッチ適用による副作用を検証していたのでは間にあわない」とセミナー等では言い続けていたのですが、恐れていたことが現実になりました。切り戻し手段を確保しておいていきなりパッチ適用するとかしないと間に合わない
シス管個人の問題じゃどうにもならんけど
重要なセキュリティパッチについてはパッチリリース確認したら検証せずにただちに当てないと間に合わない
GMOのシステムでもパッチ検証している間に脆弱性突かれて個人情報漏えいというパターンが常習化しているしな
Re: (スコア:0)
検証なしでパッチ当ててサービスが止まった時、すぐロールバックすれば客から責任追及されないなら、いくらでもそうするんですがね。
まあ、客は客で、ビジネス相手や末端利用者に同じことを思ってるでしょうが。世の中全体が「安全のためならサービス停止や不便を許容する」ようにならないと無理でしょうね。
Re: (スコア:0)
でも最近のアメリカ資本系は検証なしで適用してるっぽいんだけどね。
SpectreMeltdownで即日対応してたAWSやAzureとか・・・。
その後でインテルのバグが見つかってるけど切り戻しもせずにそのままだったし。
Re: (スコア:0)
検証している間にサーバーが乗っ取られたらそういう怠惰なサーバー屋の責任にしていかなければダメということですね。
Re: (スコア:0)
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
Re: (スコア:0)
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
そうです検証どおり本番でも落ちたので問題ありますん
Re: (スコア:0)
サーバ落ちてもセキュリティリスク回避を取った形なので日本企業ではあり得ない「判断」だよね。
情報リークが想定外のタイミングだったので検証不十分なままで見切り発車した感はあるんだけど。
向こうの国だと「パッチ出てるのに対応しなかった」は訴訟の対象になるけど、
「最悪の事態回避への努力の結果」だったら問題ないってことかな。
Re: (スコア:0)
単なるパッチでトラブルなるような俺様仕様テンコ盛りな構成やクソ実装アプリ作るような低レベルなシステム管理者や開発者じゃないので(^^
警戒したのはこないだのメルトダウン位だねー。
Re: (スコア:0)
単なるパッチでWindows/Linux自体起動しなくなることもあるのに何言ってんだこいつ?
Re: (スコア:0)
時々起きる程度のモノの為に常時遅れるとか何言ってるんだコイツは?
大体ダメだったら即時当てる前のに戻せるばいいし。待機系くらいあるでしょ。
Re: (スコア:0)
「ライセンス料無料=金がかからない」って考えてる人は今でもいるもんね
全て自己責任になるからこそ保守に相応のコストをかけなきゃいけないのに
Windowsと違ってLinuxは安全だとか言って10年前から塩漬けの鯖が現役だったり
ソースビルドなんて危険だ (スコア:0)
そうだ
本家のupdate担当になれば幸せになれるんだ
Re: (スコア:0)
> 毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
は?そんな意識高い系のシス管なんて日本にはほとんどいないぞ。
デフォルトで有効になってる自動更新をわざわざ無効にするシス管ならいっぱいいるが。
「我が社のシステムに不具合が出るリスクと侵入されるリスクを比較検討した結果、アップデートしないことに決定しました」
「検証工数は誰が出すんですか?検証コストは侵入リスクに見合っているんですか?」
「前任者からの引き継ぎですが手順書にアップデートが記載されていないので対応できません」
Re: (スコア:0)
1〜2ヶ月もかかるっていうのは、CentOSですら見かけないように思うのですが、どこかにソースありますかね?
Windowsの場合は純正部分以外が放置されてることが多すぎてなw
Re: (スコア:0)
WindowsはWindowsで
更新がクソ長い上にブラウザの脆弱性ごときで再起動を要求される
.NET Frameworkの更新は環境によっては2時間以上かかる
基本1ヶ月おきにしか更新が降ってこない
実際に攻撃されている状況でも緊急パッチをなかなか提供してくれない
LDRの提供にも本社との相談が必要で2wはかかった
更新されるのは純正製品のみで3rdのソフトウェアは置いてけぼり
MS製品以外の更新がされていないことが多いというか殆ど。
ドライバーは脆弱性があっても放置されていることが多い
パッチ管理についてはデストリビューション未満
これとは別にアプリケーションの検証はどうしても必要になるので
WindowsだろうがLinuxだろうが、WAFやIPSなどを
組み合わせざるを得ないんじゃないかな