Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Livepatch voor Linux Disto's

29-04-2022, 11:54 door Anoniem, 7 reacties
Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.

Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Reacties (7)
29-04-2022, 12:53 door Anoniem
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.

Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?

Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.

Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.

Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .

Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .

Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .

Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.

Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .

https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/


Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
29-04-2022, 12:58 door Anoniem
Door Anoniem: Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen?

Tragedie Linux

https://en.wikipedia.org/wiki/Tragedy_of_the_commons
29-04-2022, 14:46 door Anoniem
Door Anoniem:
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.

Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?

Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.

Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.

Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .

Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .

Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .

Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.

Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .

https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/


Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Eens met de uitleg hierboven. Het is tegenwoordig zeer gebruikelijk dat servers een reboot krijgen. Herstarten van menig serverpark duurt ook maar paar seconde waar de oude mainframes je koffie kon zetten in de tussentijd.

Livepatching is op papier leuk maar de kans bestaat dat je bij een volgende reboot toch voor onverwachte verassingen komt te staan terwijl je die bij regulier onderhoud veel sneller had kunnen herkennen. De mogelijkheid hebben kan nuttig zijn in sommige gevallen maar ik zou er niet constant op varen.

Gratis is niet altijd beter zeker bij een kritisch onderdeel als kernel support wil je niet dat je support later kan zeggen sorry valt niet onder S.L.A. omdat je een niet ondersteunde service hebt gebruikt.

Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.
29-04-2022, 15:11 door Anoniem
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.

Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Ik zou het maar gewoon betalen. Zelf heb ik livepatch ook (als consument), maar ik neem aan dat het toch in uw voordeel is hiertoe over te gaan? Regel het gewoon vandaag nog.
29-04-2022, 15:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.

Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?

Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.

Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.

Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .

Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .

Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .

Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.

Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .

https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/


Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Eens met de uitleg hierboven. Het is tegenwoordig zeer gebruikelijk dat servers een reboot krijgen. Herstarten van menig serverpark duurt ook maar paar seconde waar de oude mainframes je koffie kon zetten in de tussentijd.

Livepatching is op papier leuk maar de kans bestaat dat je bij een volgende reboot toch voor onverwachte verassingen komt te staan terwijl je die bij regulier onderhoud veel sneller had kunnen herkennen. De mogelijkheid hebben kan nuttig zijn in sommige gevallen maar ik zou er niet constant op varen.

Gratis is niet altijd beter zeker bij een kritisch onderdeel als kernel support wil je niet dat je support later kan zeggen sorry valt niet onder S.L.A. omdat je een niet ondersteunde service hebt gebruikt.

Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.

Wat zou er eventueel mis kunnen gaan bij het gebruik van LivePatch?
29-04-2022, 19:22 door Anoniem
Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.

Livepatching heeft in deze context betrekking op het host OS. Niet op VM's (guest OS).
29-04-2022, 19:38 door Anoniem
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.

Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?

Er is niks mis met af en toe een reboot van een server, als het goed is heb je redundancy en zullen de meeste mensen/applicaies er geen last van hebben. Waarom een reboot, nou heel simpel je controleerd meteen of alle afhankelijkheden nog in orde zijn b.v. of je al je moutpoints e.d. kunt bereiken. Ik heb het maar al te vaak megemaakt dat er ergens in de infrastructuur iets veranderd was of configs aangepast zonder deze afdoende te verifieeren. Zou niet moeten maar het gebeurd wel in de praktijk.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.