Re: "pkg audit" frs Basissystem

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Sun, 2 Mar 2014 15:23:00 +1100 (EST)

On Sat, 1 Mar 2014, Rainer Duffner wrote:

> Am 28.02.2014 um 01:29 schrieb Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>:
>
>> Hallo,
>>
>> mit meinem Dutzend Servern und mehr Jails ist es ja noch halbwegs überschaubar..
>>
>> .. und der FreeBSD Security Advisories gibt es nicht so viele, so daß ich bis jetzt immer noch "halbwegs" mit manueller Suche nach Schwachstellen im Basissystem auskomme.
>>
>> Trotzdem, in etwa kam ich zu ähnlichen Ideen wie hier:
>>
>> https://wiki.freebsd.org/201309DevSummit/Security
>>
>> The other problem with VuXML -- should we add FreeBSD SAs to VuXML? Nothing uses VuXML for the base system. FreBSD Update for uname components will not update the kernel version so the version apparently doesn't change Should we add /etc/freebsd_release ? (Previous suggestions lead to huge bikeshed...)
>>
>> Und von dann weiter.
>
> IMO müsste man die Security-Updates für Base eigentlich bedenkenlos
> einspielen können (wenn man auf ein paar Systemen getestet hat). Es gibt
> so wenige davon, dass man eigentlich selten Probleme damit hat.

Das stimmt.

Wie auch immer - wenn man eine "Masse" von Servern und Jails hat, ist es
wichtig, dass man zunaechst einmal den Ist-Zustand der Server/Jails
erfasst, um festzustellen, welche Systeme eines Updates beduerfen.

"pkg audit" erledigt das fuer die Pakete, es fehlt eine Entsprechung
fuers Basissystem.

Ich muss schliesslich nicht fuenfzig Server/Jails patchen, wenn ich nur
zwei Binds im Einsatz habe (und der betroffen ist)

> Cool wäre, wenn es so etwas wie „Pulp“ (http://www.pulpproject.org) auch für FreeBSD gäbe.
>
> Zusammen mit einer Integration in „The Foreman“ (http://theforeman.org).
>
> Das ist ja letztlich das, was FreeBSD fehlt: ein komplettes Lifecycle-Management System.

Wie fuegt sich dies hier ein: http://www.vagrantup.com/about.html ?

Das Wort "komplett" ist etwas schwierig.. Letzteres ist z.B.
entwicklerorientiert..

Fuer viele der Aufgaben habe ich FreeBSD-spezifische Loesungen.

Ueber letztgenanntes System, Vagrant, habe ich gerade nachgedacht und ein
wenig daran, wie ich einen "Provider" schaffe, der z.B. FreeBSD-jails
abdeckt, mit denen ich taeglich arbeite.

Ueber die letzten drei Jahre, die ich nun wieder FreeBSD-Server betreue,
habe ich ein Oekosystem geschaffen, welches shellskriptbasiert:

- Jailtemplates kreiert
- Packagemanagement via Repositories
- Konfigurationsdateien fuer Paketmenagement per Jail/Server
- Konfigurationsmanagement via Subversion und Installationsskript
- Updatemanagement
- Ersatz von Jails durch neue (neue Templates nutzend) "on the fly"
- Update aller Jails eines Servers mit einem Skript

etc.

Dadurch, dass es shellbasiert ist, ist es sehr flexibel. Man kann immer
Hooks vorsehen, die spezifische Arbeiten erledigt, die man noch nicht
anders abgedeckt hat.

Das ist alles sehr "handgestrickt", hat sich fuer mich aber im Laufe der
Zeit als sehr effektiv erwiesen, finde ich.

Ich haette nichts dagegen, dass in ein groesseres Framewerk zu
uebertragen, es ist aber auch eine Frage: welche dieser Frameworks sind
heute relevant? Und welche morgen? (die shell gibt es nun schon 40+
Jahre;-)

Ueberhaupt habe ich nichts dagegen, etwas der Allgemeinheit zur Verfuegung
zustellen.

So habe ich das Gefuehl, mein Basesystem-Versionstracking und
Security-Audit deckt sich in vielen Punkten mit dem, was da wohl vor ein
paar Monaten als Idee unter FreeBSD-Entwicklern kursierte..

Oder?

Ich gebe zu, mich kaum mit sowas "rauszutrauen" - ich sitze hier weit weg
von allem und habe vielleicht nur abstruse Ideen und Loesungen fuer meine
kleine Dunkelkammer?

Es gruesst
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 02 Mar 2014 - 05:23:11 CET

search this site