Nochmal Fragestunde, diesmal gebe ich den Bedenkenträger. Thema: Automatische Updates. Also irgendwas, das nach Sicherheits-Updates guckt, sie herunterlädt und automatisch installiert. Ist das eine gute Idee?
Ich hab dabei Bauchschmerzen, selbst bei einzelnen Systemen wo man vorher alles am Test-System getestet und abgenommen hat. An automatische Updates bei mehreren Systemen mag ich garnicht denken, da hab ich immer den GAU vor Augen, wo man morgens zur Arbeit kommt und nichts mehr geht. Bin ich jetzt ein Feigling und Übervorsichtig?
also bei den windows rechnern die ich betreue, hab ich ueberall automatische updates ueber wsus bla eingestellt. alles andere waere amoklauf IMHO… gleiches gilt fuer virenscanner unter windwows
bei den linux-servern die ich betreue, meist debian, hole ich neue paketlisten via cron und ueberpruefe dann via nagios z.B. check_debian_packages nach neuen updates… linux wuerde ich _nie_ automatisch updaten lassen
alles andere an programmen waere fuer mich individuell ueberlegt…
Die Alternative zu automatischen Updates ist ein 24/7 verfügbares Team das permanent monitored und bei bedarf umgehend reagiert.
Alles eine Kostenfrage oder?
Windows wird bei uns nach schlechten Erfahrungen mit WSUS-Automatik nur nach manueller Kontrolle im WSUS freigegeben, ähnlich bei UX mit den jeweiligen Tools…
Bei der Betreuung von Windows-Clients sollte meiner Meinung nach die Freigabe von Updates ueber WSUS erfolgen. Bei Signatur- oder Modulupdates fuer Virenscanner bin ich weniger pessimistisch, habe mit TrendMicro-Produkten beispielsweise noch nie schlechte Erfahrungen gemacht. Klar, ein vorheriger Test ist selbst bei solchen Dingen das Optimum, allerdings an dieser Stelle ein ACK in Richtung Olaf – dafuer hat man in der Regel keine freien Kapazitaeten.
Updates nach einem funktionalen Test in der QS-Umebung sind ok, im schlimmsten Fall hat man Rollback (z.B. via RedHat-Network) oder Backup.
Wenn wir vom Unternehmensbetrieb und Produktiv-Kisten reden:
Windows: Updates nach manueller Freigabe
Linux: Security-Updates hängen im Monitoring; Dist-Upgrades nur selten vor stable+0.1
Auf keinen Fall. Die meisten Sicherheitsupdates sind für den eigenen Anwendungsfall überhaupt nicht relevant, da lohnt es sich nicht, wegen eines Tags Zeitgewinn die Betriebssicherheit zu gefährden.
Wenn die einzige Verteidigungsline darin besteht, daß man Sicherheitsupdates zeitnah installiert (oder ein dafür abgeordnetes Team 24/7 auf Rufbereitschaft hält), stimmt IMHO das ganze Konzept nicht.
Windowsupdates automatisch. Allerdings sitzen wir sozusagen davor, das kann man ja schoen auf Mittwoch und Donnerstag in der zweiten Woche des Monats planen (ausserdem sitzen wir in Thailand und die meisten Kundenserver in Deutschland, so dass 3 Uhr Morgens eine gute Autoupdatezeit ist und die Server in Problemfaellen am deutschen Morgen wieder sauber laufen.
Gecheckt wird das per Nagios. Alles einfach.
Debianupdates lasse ich nur manuell fahren, nachdem uns das eben dieses Nagios fuer die Windowsueberwachung zerschossen hatte :D _Das_ allerdings kann man ja im laufenden Betrieb einspielen.
Nachdem mir die automatischen Windows Updates die XP Installation auf meinem Notebook komplett zerlegt haben ist das automatische Updaten aus.
Auf meinem Fileserver mit Debian übernimmt ein cron-job das regelmäßige updaten und es lief bisher immer problemlos (angefangen bei Sarge)
Produktivsysteme betreue ich zum Glück nicht ;)
Im Prinzip ist es doch eine Abwägung zwischen Sicherheit und Fehlerrisiko der Updates. Gerade bei Windows-Clients immer Autoupdates. Debian ist ganz nett mit autoapt. Da kann man dann schön kontrolliert in Wartungsfenstern was einspielen.
Ansonsten stehe ich auf dem Standpunkt: Lieber zerschiesst sich ein (ansonsten schlecht gewartetes) System mit relativ geringer Wahrscheinlichkeit durch Auto-Updates als wenn die Kiste erfolgreich angegriffen wird.
Never fuck as running horse.
Hinter einer FW würde ich niemals bei irgendeinem System die Updates automatisch einspielen lassen.
Meine Kunden würden mir den Kopf abreißen, wenn ich automatische Updates zuließe und danach deren Anwendungen nicht mehr funzen, weil es zu einer Unverträglichkeit gekommen ist.
Updates werden immer nur nach vorherigen Test und Fullbackup der Systeme eingespielt. Dabei ist es egal um welche Art von Systemen es sich handelt. Und die FW sind redundant ausgelegt, so daß ich jeweils ein in einer Tiefphase ausser Betrieb nehmen und das Update installieren kann.
Nochmal: Never fuck a running horse.
wesselch
Zeitnah nach Review und Tests aber händisch.
die linux systeme haben nen cron laufen der sich meldet wenn es nen update gibt … windows hab ich nicht unter den fingern …
da 98% der server aus nem fai kommen, ist der auch auf allen systemen.
Kommt aufs System an. Bei Windows Clients eher ja, bei allem was Unix/Linuxaehnlich ist eher nicht. Erstrecht nicht bei wichtigen Produktivsystemen. Nur Betatests mach ich das schonmal automatisch, da ists ja eh sinnvoll. Normalerweise lasse ich die Patches aber maximal automatisch downloaden. Installation erfolgt aber haendisch.
Ein automatisches SmartDefense Update stell ich mir sehr spassig vor.
Windows-Arbeitsplätze: WSUS nach Freigabe. Bei Servern werden anstehende Updates nach Dringlichkeit händisch eingespielt, ansonsten in regelmäßigen Abständen halbautomatisch. Der Vorgang wird von einem Admin angestoßen und während des gesamten Ablaufs überwacht. Dist-Upgrades werden ausschließlich händisch ausgeführt.
Um Deine Fragen aus meiner Sicht zu beantworten: Dreimal “nein”. Es ist überhaupt keine gute Idee; Vorsicht ist besser als Backups rückspielen zu müssen.
@martin: 100% ack
Nur um das nochmal in den richtigen Kontext zu stellen. Es gibt nun mal Server um die sich keiner kümmern (= zahlen) will. Meist in kleineren Unternehmen. Dort würde ich ein Autoupdate bevorzugen als irgendwann hinzukommen und ein Debian 2.0 vorzufinden.
Erfahrungen sollten prägen! Autoupdate? Vielleicht zuhause auf einer Spielkonsole oder dem Drittrechner.
@cycloon: Stattdessen ein vom Autoupdate zerschossenes System? Auch dort würde ich keines installieren. Sondern ein SLA, das die Verantwortung für die Serversicherheit eindeutig in den Bereich des Unternehmens transferiert. In der Projektdokumentation findet sich ein Addendum, das die Vorgehensweise zur Aktualisierung hinreichend genau umreißt. You get what you pay for.
Je nach Bereich eben. Es gibt so Dinge wie Fax-Server die alle paar Wochen mal benutzt werden. Ausserdem ist die Frage, wie hoch die Wahrscheinlichkeit bei automatischen Security-Updates ist. An manchen Stellen sehe ich lieber ein System was sich nach drei Jahren mal abschiesst, als eines was drei nen Remote Exploit hat.
Beim “zu Hause” Rechner automatische Updates von Windows, Debian und Ubuntu manuell. Bei den Servern gibt apticron erstmal per E-Mail Bescheid. Daraufhin kurz schauen ob es schlechte Erfahrungen gibt. Wenn nicht, dann auf Testinstanz installieren und Betrieb überprüfen. Sobald erfolgreich, geht es auf die Produktivsysteme (eventuell schon vorher falls nötig die Konfig-Dateien anpassen und schon einmal per SCP bereitstellen).
Auf dem Desktop hatte ich noch keine Probleme mit automatischen Updates. Aber man kann das für Enterprise Desktops oder Servern natürlich mit einem eigenen Server machen der nur aprovte Updates enthaelt. Aber zuviel QA Arbeit würde ich mir da nicht machen.
Die Überlegung die hier angestellt werden sind wirklich ok. Jedoch gibt es einige Faktoren die nicht ausreichend beleuchtet werden. Und zwar sind es die Ressourcen die nicht da sind und der schmale Grad der zwischen Betriebssicherheit und Sicherheit des Systems besteht.
Ich habe beispielsweise weniger Bauchschmerzen ein Windows-System automatisch updaten zu lassen als ein Linux-Server. Die Updates bei Windows laufen schon durch eine recht zuverlässige Kontrolle. Ist halt der Vorteil bei einem kommerz. OS. Bei Linux laufen die Updates meist durch weniger zuverlässige Checks.
Trotzdem hat man natürlich das Ziel vor Augen, daß ein OS immer aktuell bzw. “sicher” sein sollte.
Es wandert eine Menge Zeit in die Realisierung einer solchen Lösung… Dabei sollte man jedoch _niemals_ die oben genannten Punkte (auch von den vorherigen Posts) niemals aus den Augen verlieren. Letztendlich sticht meiner Meinung nach die Aktualsierung. Jedenfalls wenn die Server hinter einer ordentlich gepflegten Firewall stehen…
My 2 cents…
Sascha