Wer nicht?
ist jetzt die Frage wie Du es verstanden hast, mehr als einen vServer sollt ma schon haben, wenn ma ein Monitoring veranstalten will;
is sonst wie eine Straßenbahnlinie mit nur einer einzigen Haltestelle
Wer nicht?
ist jetzt die Frage wie Du es verstanden hast, mehr als einen vServer sollt ma schon haben, wenn ma ein Monitoring veranstalten will;
is sonst wie eine Straßenbahnlinie mit nur einer einzigen Haltestelle
ist jetzt die Frage wie Du es verstanden hast, mehr als einen vServer sollt ma schon haben, wenn ma ein Monitoring veranstalten will;
is sonst wie eine Straßenbahnlinie mit nur einer einzigen Haltestelle
Wie eine Ringbahn für Stadrundfahrten?
Wie eine Ringbahn für Stadrundfahrten?
die Stadt zeigst mir, wo Du da bei der Stadtrundfahrt keine einzige Haltestelle siehst
wo ma aussteigen könnt, wenn sie nur stehen bleiben würd'
wie Du hast nur einen einzigen vServer zum Zwecke des Monitorings?
Ich leiste mir tatsächlich den Luxus dass einer der vServer nur Monitoring und Logsammelstelle ist. Über zu wenig Arbeit beschwert sich der Host nicht.
Gleichzeitig ist das der Testhost für Containerupdates von allen Dingen die in der anderen Umgebung laufen + OS Updates. In der eigentlichen Umgebung läuft dann das Monitoring mit mindestens 2 Containern auf unterschiedlichen Hosts und HA-Failover (iPv4/v6), Zudem wird der andere Host kontrolliert. Der Traffic dazu läuft aber alles über das Cloud VLAN.
Extern hab ich dann noch tatsächlich einen Managed Monitoring Service der einfach nur prüft ob die APIs + Hosts + Webinterface des HA Monitoring erreichbar ist und wenn nicht, fängt der kleine Junge an zu schreien:
Und noch paar kleinere Hosts mit 2C 4Gb Ram wo dann standalone noch ein Docker Icinga2 in K3S läuft.
Isaac: Und?
Bzgl. Unattended Upgrades konnte ich nichts finden, es scheint nicht installiert zu sein.
Hatte ich zunächst glatt überlesen…
Aber nachdem nun ein Wochenende seit dem obigen Beitrag vergangen ist, wurde die Liste durch Wirken des verantwortlichen/verantwortungsbewussten Administrators inzwischen um eine Größenordnung reduziert, oder?
Der verantwortungsbewusste Admin hat versucht sein bestes zu tun. Er wusste nur noch nicht genau, wie man dort das richtig angeht. Ein debsecan | grep "remotely exploitable, high urgency" | head hat zumindest keine Ausgabe ergeben. Die Ausgabe zeigt nur low urgency oder gar keine Anzeige bei den CVEs.
Btw. heute nach 5 Wochen habe ich das erste mal updates bekommen und diese installiert.
Ich leiste mir tatsächlich den Luxus dass einer der vServer nur Monitoring und Logsammelstelle ist.
so soll es auch sein, und da brauchst auch nur das monitoren worauf Du auch einen Einfluß hast;
sprich Deine anderen vServer ...
das mit "Als Schlussfolgerung würde ich dann aber nichts mehr im Monitoring haben" ist natürlich quatsch;
einen Webserver z.B. würdest korrekterweise ohne DNS prüfen;
zumal die Schlußfolgerung wenn es nicht funktioniert meist auch falsch ist;
Alles anzeigenso soll es auch sein, und da brauchst auch nur das monitoren worauf Du auch einen Einfluß hast;
sprich Deine anderen vServer ...
das mit "Als Schlussfolgerung würde ich dann aber nichts mehr im Monitoring haben" ist natürlich quatsch;
einen Webserver z.B. würdest korrekterweise ohne DNS prüfen;
zumal die Schlußfolgerung wenn es nicht funktioniert meist auch falsch ist;
Das erinnert mich gerade an den Spruch: "Freude ist nur ein Mangel an Information" ->
"Freude ist nur ein Mangel an Information"
Diesen Spruch muss ich mir unbedingt merken. Der ist so dermaßen gut.
ist jetzt die Frage wie Du es verstanden hast, mehr als einen vServer sollt ma schon haben, wenn ma ein Monitoring veranstalten will;
is sonst wie eine Straßenbahnlinie mit nur einer einzigen Haltestelle
Zwei Gedanken dazu:
Benutzt jemand OpenSSL? Da gibbet wohl einen neuen CVE zum Thema BufferOverflow
Benutzt jemand OpenSSL? Da gibbet wohl einen neuen CVE zum Thema BufferOverflow
Was zum Teufel ist SM2? Verwendet man den überhaupt irgendwo?
In der Realität wohl kein erneutes Heartbleed.
Was zum Teufel ist SM2? Verwendet man den überhaupt irgendwo?
üblicherweise in china (SM steht für "schnorchel mode").
Benutzt jemand OpenSSL? Da gibbet wohl einen neuen CVE zum Thema BufferOverflow
Ja, heute um 04:30h hat das Monitoring zuerst wegen CVE-2021-35368 (modsecurity-crs) angeschlagen, ein paar Stunden später, gerade als der zugehörige Backport angestoßen wurde, kamen dann CVE-2021-3711/CVE-2021-3712 (openssl) dazu. Glücklicherweise ging das ob des guten Timings in einem Aufwasch und in ca. 20 Minuten war alles ausgerollt (und beinahe hätte auch der Neustart aller Dienste glatt funktioniert… Instanzen einer gewissen Datenbank sind momentan aus irgendeinem Grunde etwas "restartresistent"). Mit der Zeit bekommt man dadurch aber ein wenig Übung.
Benutzt jemand OpenSSL?
die Frage ist hoffentlich nur rethorisch;
wüßte jetzt nicht dass Apache, NGINX, ... f. des SSL-Zeug eine Eigenentwicklung haben,
und nicht auf OpenSSL-Bibliotheken zurückgreifen;
wüßte jetzt nicht dass Apache, NGINX, ... f. des SSL-Zeug eine Eigenentwicklung haben,
und nicht auf OpenSSL-Bibliotheken zurückgreifen;
Es gibt durchaus alternative SSL-Implementationen (LibreSSL, wolfSSL, …) und dementsprechend auch immer wieder Ansätze, diese mit Apache2/Nginx zu kombinieren.
Es gibt durchaus alternative SSL-Implementationen (LibreSSL, wolfSSL, …) und dementsprechend auch immer wieder Ansätze, diese mit Apache2/Nginx zu kombinieren.
und werden diese in einer Linux Distri auch tatsächlich integriert od. ist hier doch bei allen der Platzhirsch OpenSSL da nicht wegzubringen?
(wenn mich nicht alles täuscht war ja nach dem Heartbleed-Debakel des LibreSSL als Fork von OpenSSL hervorgegangen ...)
und werden diese in einer Linux Distri auch tatsächlich integriert od. ist hier doch bei allen der Platzhirsch OpenSSL da nicht wegzubringen?
Beide Alternativen werden von allen größeren Linux-Distributionen nicht direkt unterstützt. LibreSSL ist "bei OpenBSD angesiedelt" und wolfSSL ist primär ein kommerzielles Produkt. In beiden Fällen sollte schon ein konkreter "business case" vorliegen, um die Integration in eine eigene Linux-Umgebung vorzunehmen/zu beauftragen (Stichwort Zertifizierungen, kommerzieller Support, …). Bislang hat sich meines Wissens niemand gefunden, der eine frei verfügbare Integration aufgrund abweichender APIs/erforderlicher Tests in eine Linux-Distribution stemmen wollte/konnte (vgl. den Versuch von Alpine Linux). Und die Distributionen selbst können – zumal OpenSSL ja seit vielen Jahren macht, was es soll – kein Interesse haben, mehrere Alternativen parallel zu warten. Schon die API-Änderungen bei OpenSSL in der jüngsten Vergangenheit haben Distributionen mangels verfügbarer "Arbeitskräfte" teilweise vor große Herausforderungen gestellt, was man auch an fehlenden offiziellen v1.1.1*-Backports für immer noch unterstützte Releases (Bsp.: Debian Stretch) sehen kann.
m_ueberall fundiert und um es auf den Punkt zu bringen, das war nicht die letzte Geschichte bei OpenSSL,
und verwenden tut es quasi jeder ...
Mir fällt in diesem Zusammenhang immer das ein:
eine Agglomeration von Bugs ohne Ende?
Bugs bekommst du nur in der Pro Version mitgeliefert.