1. Kommentar von prego | Datum: 16.April 2008

also bei den windows rechnern die ich betreue, hab ich ueberall automatische updates ueber wsus bla eingestellt. alles andere waere amoklauf IMHO… gleiches gilt fuer virenscanner unter windwows

bei den linux-servern die ich betreue, meist debian, hole ich neue paketlisten via cron und ueberpruefe dann via nagios z.B. check_debian_packages nach neuen updates… linux wuerde ich _nie_ automatisch updaten lassen

alles andere an programmen waere fuer mich individuell ueberlegt…

2. Kommentar von Olaf | Datum: 16.April 2008

Die Alternative zu automatischen Updates ist ein 24/7 verfügbares Team das permanent monitored und bei bedarf umgehend reagiert.
Alles eine Kostenfrage oder?

3. Kommentar von Otmanix | Datum: 16.April 2008

Windows wird bei uns nach schlechten Erfahrungen mit WSUS-Automatik nur nach manueller Kontrolle im WSUS freigegeben, ähnlich bei UX mit den jeweiligen Tools…

4. Kommentar von Michael | Datum: 16.April 2008

Bei der Betreuung von Windows-Clients sollte meiner Meinung nach die Freigabe von Updates ueber WSUS erfolgen. Bei Signatur- oder Modulupdates fuer Virenscanner bin ich weniger pessimistisch, habe mit TrendMicro-Produkten beispielsweise noch nie schlechte Erfahrungen gemacht. Klar, ein vorheriger Test ist selbst bei solchen Dingen das Optimum, allerdings an dieser Stelle ein ACK in Richtung Olaf - dafuer hat man in der Regel keine freien Kapazitaeten.

5. Kommentar von Andreas | Datum: 16.April 2008

Updates nach einem funktionalen Test in der QS-Umebung sind ok, im schlimmsten Fall hat man Rollback (z.B. via RedHat-Network) oder Backup.

6. Kommentar von mika | Datum: 16.April 2008

Wenn wir vom Unternehmensbetrieb und Produktiv-Kisten reden:

Windows: Updates nach manueller Freigabe

Linux: Security-Updates hängen im Monitoring; Dist-Upgrades nur selten vor stable+0.1

7. Kommentar von martin | Datum: 17.April 2008

Auf keinen Fall. Die meisten Sicherheitsupdates sind für den eigenen Anwendungsfall überhaupt nicht relevant, da lohnt es sich nicht, wegen eines Tags Zeitgewinn die Betriebssicherheit zu gefährden.

Wenn die einzige Verteidigungsline darin besteht, daß man Sicherheitsupdates zeitnah installiert (oder ein dafür abgeordnetes Team 24/7 auf Rufbereitschaft hält), stimmt IMHO das ganze Konzept nicht.

8. Kommentar von Patrick | Datum: 17.April 2008

Windowsupdates automatisch. Allerdings sitzen wir sozusagen davor, das kann man ja schoen auf Mittwoch und Donnerstag in der zweiten Woche des Monats planen (ausserdem sitzen wir in Thailand und die meisten Kundenserver in Deutschland, so dass 3 Uhr Morgens eine gute Autoupdatezeit ist und die Server in Problemfaellen am deutschen Morgen wieder sauber laufen.

Gecheckt wird das per Nagios. Alles einfach.

Debianupdates lasse ich nur manuell fahren, nachdem uns das eben dieses Nagios fuer die Windowsueberwachung zerschossen hatte :D _Das_ allerdings kann man ja im laufenden Betrieb einspielen.

9. Kommentar von Timo Zimmermann | Datum: 17.April 2008

Nachdem mir die automatischen Windows Updates die XP Installation auf meinem Notebook komplett zerlegt haben ist das automatische Updaten aus.

Auf meinem Fileserver mit Debian übernimmt ein cron-job das regelmäßige updaten und es lief bisher immer problemlos (angefangen bei Sarge)

Produktivsysteme betreue ich zum Glück nicht ;)

10. Kommentar von cycloon | Datum: 17.April 2008

Im Prinzip ist es doch eine Abwägung zwischen Sicherheit und Fehlerrisiko der Updates. Gerade bei Windows-Clients immer Autoupdates. Debian ist ganz nett mit autoapt. Da kann man dann schön kontrolliert in Wartungsfenstern was einspielen.

Ansonsten stehe ich auf dem Standpunkt: Lieber zerschiesst sich ein (ansonsten schlecht gewartetes) System mit relativ geringer Wahrscheinlichkeit durch Auto-Updates als wenn die Kiste erfolgreich angegriffen wird.

11. Kommentar von wesselch | Datum: 17.April 2008

Never fuck as running horse.
Hinter einer FW würde ich niemals bei irgendeinem System die Updates automatisch einspielen lassen.
Meine Kunden würden mir den Kopf abreißen, wenn ich automatische Updates zuließe und danach deren Anwendungen nicht mehr funzen, weil es zu einer Unverträglichkeit gekommen ist.
Updates werden immer nur nach vorherigen Test und Fullbackup der Systeme eingespielt. Dabei ist es egal um welche Art von Systemen es sich handelt. Und die FW sind redundant ausgelegt, so daß ich jeweils ein in einer Tiefphase ausser Betrieb nehmen und das Update installieren kann.
Nochmal: Never fuck a running horse.

wesselch

12. Kommentar von Stefan Funke | Datum: 17.April 2008

Zeitnah nach Review und Tests aber händisch.

13. Kommentar von jd | Datum: 17.April 2008

die linux systeme haben nen cron laufen der sich meldet wenn es nen update gibt … windows hab ich nicht unter den fingern …

da 98% der server aus nem fai kommen, ist der auch auf allen systemen.

14. Kommentar von Jens | Datum: 17.April 2008

Kommt aufs System an. Bei Windows Clients eher ja, bei allem was Unix/Linuxaehnlich ist eher nicht. Erstrecht nicht bei wichtigen Produktivsystemen. Nur Betatests mach ich das schonmal automatisch, da ists ja eh sinnvoll. Normalerweise lasse ich die Patches aber maximal automatisch downloaden. Installation erfolgt aber haendisch.
Ein automatisches SmartDefense Update stell ich mir sehr spassig vor.

15. Kommentar von Sil53r Surf3r | Datum: 17.April 2008

Windows-Arbeitsplätze: WSUS nach Freigabe. Bei Servern werden anstehende Updates nach Dringlichkeit händisch eingespielt, ansonsten in regelmäßigen Abständen halbautomatisch. Der Vorgang wird von einem Admin angestoßen und während des gesamten Ablaufs überwacht. Dist-Upgrades werden ausschließlich händisch ausgeführt.

Um Deine Fragen aus meiner Sicht zu beantworten: Dreimal “nein”. Es ist überhaupt keine gute Idee; Vorsicht ist besser als Backups rückspielen zu müssen.

@martin: 100% ack

16. Kommentar von cycloon | Datum: 17.April 2008

Nur um das nochmal in den richtigen Kontext zu stellen. Es gibt nun mal Server um die sich keiner kümmern (= zahlen) will. Meist in kleineren Unternehmen. Dort würde ich ein Autoupdate bevorzugen als irgendwann hinzukommen und ein Debian 2.0 vorzufinden.

17. Kommentar von WWW-KR | Datum: 17.April 2008

Erfahrungen sollten prägen! Autoupdate? Vielleicht zuhause auf einer Spielkonsole oder dem Drittrechner.

18. Kommentar von Sil53r Surf3r | Datum: 18.April 2008

@cycloon: Stattdessen ein vom Autoupdate zerschossenes System? Auch dort würde ich keines installieren. Sondern ein SLA, das die Verantwortung für die Serversicherheit eindeutig in den Bereich des Unternehmens transferiert. In der Projektdokumentation findet sich ein Addendum, das die Vorgehensweise zur Aktualisierung hinreichend genau umreißt. You get what you pay for.

19. Kommentar von cycloon | Datum: 18.April 2008

Je nach Bereich eben. Es gibt so Dinge wie Fax-Server die alle paar Wochen mal benutzt werden. Ausserdem ist die Frage, wie hoch die Wahrscheinlichkeit bei automatischen Security-Updates ist. An manchen Stellen sehe ich lieber ein System was sich nach drei Jahren mal abschiesst, als eines was drei nen Remote Exploit hat.

20. Pingback von datenklause.de » Blog Archive » Updates auf Produktions-Servern | Datum: 18.April 2008

[...] Ende der Vernunft wird gerade über automatische Updates diskutiert. Da gestern und vorgestern Updates auf den Mailservern stattfanden, gibts hier auch ein paar Worte [...]

21. Kommentar von Alex | Datum: 18.April 2008

Beim “zu Hause” Rechner automatische Updates von Windows, Debian und Ubuntu manuell. Bei den Servern gibt apticron erstmal per E-Mail Bescheid. Daraufhin kurz schauen ob es schlechte Erfahrungen gibt. Wenn nicht, dann auf Testinstanz installieren und Betrieb überprüfen. Sobald erfolgreich, geht es auf die Produktivsysteme (eventuell schon vorher falls nötig die Konfig-Dateien anpassen und schon einmal per SCP bereitstellen).

22. Kommentar von Bernd Eckenfels | Datum: 20.April 2008

Auf dem Desktop hatte ich noch keine Probleme mit automatischen Updates. Aber man kann das für Enterprise Desktops oder Servern natürlich mit einem eigenen Server machen der nur aprovte Updates enthaelt. Aber zuviel QA Arbeit würde ich mir da nicht machen.

23. Kommentar von Sascha Schmidt | Datum: 25.April 2008

Die Überlegung die hier angestellt werden sind wirklich ok. Jedoch gibt es einige Faktoren die nicht ausreichend beleuchtet werden. Und zwar sind es die Ressourcen die nicht da sind und der schmale Grad der zwischen Betriebssicherheit und Sicherheit des Systems besteht.

Ich habe beispielsweise weniger Bauchschmerzen ein Windows-System automatisch updaten zu lassen als ein Linux-Server. Die Updates bei Windows laufen schon durch eine recht zuverlässige Kontrolle. Ist halt der Vorteil bei einem kommerz. OS. Bei Linux laufen die Updates meist durch weniger zuverlässige Checks.

Trotzdem hat man natürlich das Ziel vor Augen, daß ein OS immer aktuell bzw. “sicher” sein sollte.

Es wandert eine Menge Zeit in die Realisierung einer solchen Lösung… Dabei sollte man jedoch _niemals_ die oben genannten Punkte (auch von den vorherigen Posts) niemals aus den Augen verlieren. Letztendlich sticht meiner Meinung nach die Aktualsierung. Jedenfalls wenn die Server hinter einer ordentlich gepflegten Firewall stehen…

My 2 cents…
Sascha