[FUG-BR] politica de atualização e afins

Luiz Morte morte em chsti.com
Sexta Fevereiro 9 14:31:51 BRST 2007 

Aristeu Gil Alves Jr escreveu:
> Em 09/02/07, Luiz Morte<morte at chsti.com> escreveu:
>   
>> No meu caso, faço a atualização do ports automática e sempre acompanho
>> por e-mails as possíveis atualizações.
>>     
>
> Oi Luiz,
>
> Vc se associa na lista específica dos softwares, nas listas de bugs de
> software (bugtraq, full disclosure, etc) ou em alguma lista do
> FreeBSD? Estou me referindo agora aos sw portados.
>   
Em lista dos softwares, apenas aos principais, como no meu caso, qmail,
dentre outros.

bugtraq eu já acompanhei mais, mas o tempo é complicado :)

Sempre que possível, entro em listas de segurança "genéricas" que ajudam
bastante. Quando sei de algo,
procuro atualizar ASAP.

O duro é quando sai algum furo de segurança, mas não esta atualizado no
ports. Esse é o pior dos mundos.

>> Toda atualização faço via portupgrade, mas sempre manualmente. No meu
>> entender, existem softwares que não
>> tem problema algum, mas tem alguns que são o "core" do servidor e que
>> deveria ser feitos inclusive com testes em
>> outra máquina.
>>     
>
> Vcs seguem alguma padronização de workflow para atualização?
>   
A minha idéia é chegar nesse nível, mas ainda faltam algumas etapas :)

Uma dica legal de se fazer, por exemplo, é ter uma máquina virtual
espelho da que você tem em produção.
Com isso você faz testes muito próximo do real e atualiza com mais
segurança.

Na prática eu uso um pouco de bom censo. Softwares que são "periféricos"
e que sei que não geram problemas
na atualização, faço sem problemas. Outros, procuro ver dependências e o
impacto.

Os principais, faço apenas com testes.
>>> Alguém sabe se o "freebsd-update server" está disponível além do
>>> FreeBSD Security Team?
>>>
>>>       
>> Ainda não testei, mas já estou ficando curioso :)
>>     
>
> Estou louco para ter acesso a este servidor. Na real, é apenas uma
> ferramenta para construir uma base, que é compartilhada via http, mas
> imagina, fica uma boa forma de atualizar uma grande base de
> servidores. Seria possivel não apenas se ater ao sistema base, como é
> a ideia original, mas à toda instalação, incluindo sw portados.
>
> Vc poderia fazer perfis de instalação, e usa-lo em um worflow para
> atualização: atualiza servidor de teste -> ok -> build para o freebsd
> server -> atualiza o restante das maquinas...
> Sem falar na possibilidade de customizar o kernel internamente.
>   
Interessante. Vou procurar mais a respeito.

[]s,
Luiz Morte.

Mais detalhes sobre a lista de discussão freebsd