image

Samba dicht lek waardoor client code als root kon uitvoeren

woensdag 24 mei 2017, 16:31 door Redactie, 32 reacties
Laatst bijgewerkt: 24-05-2017, 17:28

Er is een beveiligingsupdate voor Samba verschenen die een kwetsbaarheid verhelpt waardoor een ingelogde aanvaller willekeurige code met rootrechten op de Samba-server had kunnen uitvoeren. Het beveiligingslek is aanwezig in Samba versie 3.5.0 en nieuwer.

Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windowsmachines met Unixmachines via zowel lokale netwerken als het internet laat communiceren. Volgens de omschrijving kon een kwaadaardige ingelogde client een shared library naar een gedeelde schrijfbare share uploaden. Deze library werd vervolgens met rootrechten door de server uitgevoerd, aldus het Nationaal Cyber Security Center. Het beveiligingslek is gepatcht in Samba 4.6.4, 4.5.10 en 4.4.14. Ook Red Hat en FreeBSD hebben updates uitgebracht.

Reacties (32)
24-05-2017, 17:21 door karma4
Hoezo wannacry... zou deze ook bij NSA in het arsenaal zitten.
Hoe gaan al die iot devices een update krijgen?
24-05-2017, 18:59 door Anoniem
is bij mij vanmiddag al gepatcht!
yay voor open source!

~dodo
24-05-2017, 21:06 door karma4
Door Anoniem: is bij mij vanmiddag al gepatcht!
yay voor open source!

~dodo
Dappere dodo het gaat er niet om hoe snel jij de patch bij jou thuis kan aanbrengen.
Het gaat er om hoe snel alle machines bijgewerkt kunnen zijn.
Het gaat er om hoeveel misbruik er van gemaakt is (en zou kunnen) voordat de fout gevonden is.
Het gaat er om dat er geen nieuwe fouten bij gemaakt worden die je nu nog niet weet.

Bij wannacry was de fix a twee maanden beschikbaar en uitgerold bij wie volgde voordat het geemmer begon.
Dan bleek de worm in XP niet eens te werken. Een te oud systeem waarvoor geen interesse meer voor was.
24-05-2017, 21:52 door [Account Verwijderd] - Bijgewerkt: 24-05-2017, 22:33
[Verwijderd]
24-05-2017, 22:11 door Anoniem
Door 4amrak:
1) hoe langer het duurt voordat een enkel individu de patch kan kijgen bepaald mede de totale patch tijd van alle systemen. dus hoe vlugger, hoe beter. het afnemen van de te patchen systemen zal een exponentiele curve volgen waarvan de halfwaarde tijd direct gekoppeld is aan de tijd die het kost patches te krijgen en door te voeren.
Even afgezien zoals gemeld alle IOT of NASsen die niet meer ondersteund worden en gewoon blijven draaien. Gebruikers die het ooit eens geinstalleerd hebben, maar er nooit meer naar om kijken. Juist het punt wat aangehaald wordt.

kortom, het enige echte zinnige wat te doen staat is patches ASAP ter beschikking stellen en ASAP doorvoeren.
Nee... Het is nu een change inschieten en deze testen en inplannen in een beschikbaar change window. Die niet ergens moet spoed aangevraagd worden.

dus ik zeg hulde voor het tempo!


btw het illustreert wel een verschil in de verschillende soorten systemen hun geschiktheid patches snel zonder veel risico door te voeren. dat staat los van OSS, ansich (denk IoT), maar wel is het zo dat veel OSS systemen, waarbij wel updates moegelijk zijn (<= een voorwaarde dus), weer vlugger en risico lozer patchen op een runnend systeem door kunnen voeren. Dat is een game changer voor security vind ik.
OS staat hier helemaal los van. Je moet nog steeds je complete tests uitvoeren. Je past iets aan. Waarbij een 3de partij software primaire functionaliteit bied aan clients, dus moet je alles door testen.

Waarop je nu niet kunt plannen, en dus vanalles moet gaan aanpassen. Bedrijven zitten hierop niet te wachten. En niets is risicoloos, regel 1 van change management. Er is altijd een risico. Dat is geen regenen om je tests aan te passen.

Game changer.... Je kunt er niet op plannen, dus is niet voorspelbaar. Dus.... Security technisch niet gewenst. Want of je wacht nu maar, of release schema's van applicaties moeten aangepast worden (je weet wel, waar het bedrijf zijn geld mee verdient). Wat denk je dat het dan wint? Je wacht maar tot het volgende eerst volgende mogelijkheid.

Waarbij je nu ook nog eens afhankelijk bent van eventuele NAS leveranciers, die nu deze patch eerst zelf moeten testen. Voordat jij hem kan testen.
24-05-2017, 22:30 door Anoniem
Weet iemand wanner SONOS een update op hun luispreker system uitvoert?
25-05-2017, 08:39 door karma4
Door 4amrak: .......
btw het illustreert wel een verschil in de verschillende soorten systemen en hun geschiktheid patches snel zonder veel risico door te voeren. dat staat los van OSS, ansich (denk IoT), maar wel is het zo dat veel OSS systemen, waarbij wel updates mogelijk zijn (<= een voorwaarde dus), weer vlugger en risico lozer patches op een runnend systeem door kunnen voeren. Dat is een game changer voor security vind ik.
Ik weet niet in welke wreld jij leeft.. Je ziet een patch en beweert zonder onderzoek / test dat het risicoloos doorgevoerd kan worden. Elke verandering / update is per definitie met een risico verbonden. Dat is standaard in elke organisatie inclusief de wetenschappelijke wereld.
Je had het over CERN, dus: https://cern.service-now.com/service-portal/ssb.do?area=IT&&tab=transitions
OSS kijk dan eens series naar: http://openlab.cern/resources/press_release/cern-and-leading-ict-companies-collaborate-through-cern-openlab-tackle "Huawei, Intel, Oracle, and Siemens are all partner companies for the new phase of CERN openlab. Brocade, Cisco, IDT, Rackspace, and Seagate are contributors, while Yandex is an associate member."
Dat soort bedrijven doen het gratis en voor niets, dacht het niet. Wetenschap is gewoon big business.
25-05-2017, 09:14 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 09:23 door [Account Verwijderd] - Bijgewerkt: 25-05-2017, 09:36
[Verwijderd]
25-05-2017, 10:39 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 10:48 door [Account Verwijderd] - Bijgewerkt: 25-05-2017, 10:49
[Verwijderd]
25-05-2017, 11:04 door [Account Verwijderd] - Bijgewerkt: 25-05-2017, 11:08
[Verwijderd]
25-05-2017, 12:02 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 12:19 door Anoniem
Voor alle devices waar de leverancier geen updates meer van ondersteund, maar waar je wel de smb.conf kan aanpassen:
https://forums.freenas.org/index.php?threads/ugly-mitigation-for-remote-code-execution-vulnerability-in-samba.54791/

En daar staat:

Tested "nt pipe support = no" on FreeNAS (smb.conf) configured as AD member server. It does not affect DCERPC over SMB2. Server stayed joined to domain. wbinfo -t succeeded. Null session connections don't work (IPC$ share). This is because the setting nukes ncacn_np support. Guest access to the server is not affected.
Conclusion: it appears to be a safe parameter when Samba is configured in "standalone" and "ADS" roles, but you will lose the ability to enumerate shares on the server. You will also lose the ability to modify permissions within the share through the Windows File Explorer (because this is apparently also done over a named pipe).
P.S. setting all samba shares as "read only" also mitigates the problem.
25-05-2017, 12:20 door karma4 - Bijgewerkt: 25-05-2017, 13:00
Door 4amrak:
nein dat beweer ik niet. ik beweer dat er systemen en fabrikanten zijn die wel snel patchen kunnen en dat je er van uit kunt gaan bij hen dat je die vlekkeloos kunt installeren zonder down time en issues. die systemen en fabrikanten hebben een betere kwaliteits controle en systeem architectuur misschien?
Je beweerde eerst dat elke patch zo geïnstalleerd kon worden en in je antwoord hier zeg je dat weer. De fabrikant kun je vertrouwen, je hoeft zelf niet na te denken. Ik he genoeg ervaringen waar dat beschaamd is en dat gaat niet over kleine fabrikanten. Er is een verschil in geloof en de echte werkelijkheid.


juist => risico in kaart brengen en dan afwegen en als je er dan achter komt na een tijdje dat de ene fabrikant met systeem steeds een groter risico met zich mee brengt dan een alternatief, dan schakel je over naar de andere fabrikant. so we did...
Fabrikant georiënteerd met een ersoonlijke mening niet op het business proces als geheel. Het lijkt meer de inkoper houding.


Je bent weer met 'ik kan ook google gebruiken argumenten' bezig nadat je mijn punt niet goed op je in hebt laten werken.
..
ja CERN is big buisness met veel (hardware) fabrikanten. maar google nu ook eens welke (in aantallen pleaze) software stacks ze draaien...

ik heb het niet over gratis gehad; ik heb het over OSS, Open, met (on)betaalde (indirecte) support van fabrikanten.
....
Onbetaalde support door fabrikanten bestaat niet. De rekening gaat ergens heen, als onderdeel van het aanbestedingscontract of een voort wat hoort wat constructie. Je zegt dat je het niet over gratis hebt en gratis support door fabrikanten in één zin. Hoe erger kronkelig kun je je zelf tegenspreken.

De verwijzing naar rocket science is aardig. Een klassiek voorbeeld van uitbesteding onder het mom van wetenschap.



Kijk eens anders naar het LOFAR project in groningen, jij met je big data shwung dan. Wanneer denk je dat dat plannetje gevormd werd en hoe lang later pas fabrikanten ingezet?
Oude koek werd lang geleden al gepromoot (eerste versies uit 1960). Kijk naar de sites https://nl.wikipedia.org/wiki/LOFAR
http://www.lofar.org/about-lofar/about-lofar en je ziet het hele budgetteringsverhaal en de uitbesteding.
Het is big data uit de oude doos met streaming processing.

De huidige big-data setting is veel meer gegroeid uit de marketing met statistiek waarbij de sociale menselijke gegevens opgepakt worden. Als je dat onderscheid niet eens door hebt met andere context andere belevingswerelden dan ben je gewoon geblokkeerd. Je komt met reacties niet verder dan dat het om Linux gaat, niet om het geheel.
Met de hoeveelheid verschillende zaken die je aanhaalt geef je aan dat je er niet echt deel van uitmaakt. In de wetenschappelijke wereld mag je toch informatie open en eerlijk delen.
Sorry ik kan niets delen mijn wereld bevat te veel persoonlijke gegevensverwerkingen. Juist daar mag een en ander verbeterd worden zonder dat "OS Linux is alles" geschreeuw.
Ah snap dat je gek bent op Oracle http://www.oracle.com/us/corporate/press/301264 "Oracle WebLogic Server Selected by CERN to Manage HR and Administrative Applications"

Even terug naar het topic.
7 jaar een ernstige fout in open source Samba SMB en iedereen kon het zien maar niemand keek er naar. Dan ineens als iemand een fix gaat leveren dan moet het in zo kort mogelijke tijd uitgerold worden. Ik vind dat een topprestatie van kortzichtigheid. Inmiddels zal het her en der in allerlei embedded systemen voorkomen. Durf je nog met de auto weg, hoe staat het met de pacemaker, wat met een trein.. als hij rijdt?
Een prachtige prestatie van blindheid.
25-05-2017, 14:43 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 18:22 door Anoniem
Door 4amrak:

Ik weet niet in welke wreld jij leeft..

ach je weet zo veel niet :).
Gelukkig niet. Ik heb niet alle wijsheid (gelukkig niet). Ik heb wel een hoop ervaring in beheer en change management.
Daar kan ik wel uit spreken. En dan zie je dat de praktijk vaak heel anders is dan de theorie.

Je ziet een patch en beweert zonder onderzoek / test dat het risicoloos doorgevoerd kan worden
nein dat beweer ik niet. ik beweer dat er systemen en fabrikanten zijn die wel snel patchen kunnen en dat je er van uit kunt gaan bij hen dat je die vlekkeloos kunt installeren zonder down time en issues. die systemen en fabrikanten hebben een betere kwaliteits controle en systeem architectuur misschien?[/quote]Meestal leveren OS leveranciers een OS met bepaalde services. Dit kunnen database, webserver of iets dergelijks zijn. Daarop draai je weer je eigenlijk applicaties, waarop het bedrijf, zijn bedrijfs processen heeft lopen.
Je kunt ongeacht je OS leverancier er niet op vertrouwen dat je bedrijfs applicaties geen impact hebben op een update van je OS leverancier. Hoe mooi de architectuur of wat dan ook mag zijn.
Belangrijker is, hoevaak, je iets moet aanpassen, en hoevaak je controle hebt, over wanneer je dit kunt uitvoeren.

juist => risico in kaart brengen en dan afwegen en als je er dan achter komt na een tijdje dat de ene fabrikant met systeem steeds een groter risico met zich mee brengt dan een alternatief, dan schakel je over naar de andere fabrikant. so we did...
Mooi voor jullie.

Risico is ook dat nu in eens spoedchanges moet hebben, je kunt dat 1 of 2 keer hebben. Maar daar heb je gewoon pech. Als jij niet kan plannen, is dat niet mijn plannings probleem.


Door Moira:
Door karma4:
Door 4amrak: .......
btw het illustreert wel een verschil in de verschillende soorten systemen en hun geschiktheid patches snel zonder veel risico door te voeren. dat staat los van OSS, ansich (denk IoT), maar wel is het zo dat veel OSS systemen, waarbij wel updates mogelijk zijn (<= een voorwaarde dus), weer vlugger en risico lozer patches op een runnend systeem door kunnen voeren. Dat is een game changer voor security vind ik.
Ik weet niet in welke wreld jij leeft.. Je ziet een patch en beweert zonder onderzoek / test dat het risicoloos doorgevoerd kan worden. Elke verandering / update is per definitie met een risico verbonden. Dat is standaard in elke organisatie inclusief de wetenschappelijke wereld.

Blijkbaar ben jij te stupide om te beseffen dat 4amrak alleen maar stelt dat in een systeem (laten we het L noemen) wat een goede architectuur heeft, met veel ontkoppeling tussen onderdelen en een goed werkend, snel en robuust updatemechanisme, updates per definitie sneller en risicolozer doorgevoerd kunnen worden dan op een systeem (laten we het W noemen) wat een brakke architectuur heeft, met veel onnodig van elkaar afhankelijk gemaakte onderdelen (zodat bij wijzigingen van het ene onderdeel het andere mee moet, etc., resulterend in grote, heel grote updates en veel reboots), in combinatie met een niet erg robuust en traag updatemechanisme.

Voor een change proces maakt dit niet uit, en is niet van belang. Of een server nu moet rebooten of alleen de services even weg is. Er is impact, dus moet het geplanned worden in een change window.

Daarnaast, er vind een wijzing plaats, dus moet je je applicaties hier tegen testen. Juist Business applicaties moet je goed door testen hierop. En daar heeft je standaard L / M leverancier weinig over te zetten, tenzij je alles van 1 leverancier afneemt. Dat is juist de kracht van 1 leverancier.

Daarnaast, veel reboot? Mijn MS patches installeren bijna altijd met 1 reboot. Een enkele keer een extra reboot. Maar die kun je tegenwoordig op je handen tellen. Daarnaast, het is een change windows, dus tussen 22:00 en 04:00 mag er gewoon impact zijn Daarna wordt de productie omgeving weer opgestart. Of jij nu 5 minuten nodig hebt, of 2 uur. Maakt niet uit. Daar is een change Window voor.
traag update mechanisme.... Windows Update heeft vroeger wat traagheid gehad. Maar in een bedrijfs omgeving, gebruikt je standaard al geen Windows Updates, maar WSUS, SCCM of een andere tool voor centraal beheer. Traag is dus dan ook niet aan de orde.
25-05-2017, 23:05 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 23:11 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 23:21 door [Account Verwijderd]
[Verwijderd]
25-05-2017, 23:48 door [Account Verwijderd] - Bijgewerkt: 26-05-2017, 00:00
[Verwijderd]
26-05-2017, 09:49 door Anoniem
Door 4amrak:

Meestal leveren OS leveranciers een OS met bepaalde services. Dit kunnen database, webserver of iets dergelijks zijn. Daarop draai je weer je eigenlijk applicaties, waarop het bedrijf, zijn bedrijfs processen heeft lopen.
Je kunt ongeacht je OS leverancier er niet op vertrouwen dat je bedrijfs applicaties geen impact hebben op een update van je OS leverancier. Hoe mooi de architectuur of wat dan ook mag zijn.
Belangrijker is, hoevaak, je iets moet aanpassen, en hoevaak je controle hebt, over wanneer je dit kunt uitvoeren.

ik heb inmiddels 20j andere PRAKTIJK ervaringen: draai 'yum update -y' elke dag zonder issues ook op kritische systemen. dat is heel lang al het gemak zonder issues en continue up-to-date vwb security hoor :). geen enkel brakke bedrijfs app die daar last van gehad heeft!

echt waar het kan ECHT anders ook al snap je misschien nog niet hoe, toch is het zo...

Mooi dat je 20 jaar praktijk ervaring hebt... Maar duidelijk niet in een Enterprise omgeving met dit soort acties. Dit is totally not done, en gaat tegen alle processen en certificeringen in (ISO, ITIL). Dingen veranderen zonder documentatie of approvals en buiten change windows. Alleen de gedachte al dat mensen zo denken. Dit zegt iets over de kwaliteit en de denk wijze van iemand. Totaal onverantwoordelijk.

Bij menig bedrijf is dit meteen een officiële waarschuwing.

En 20 jaar praktijk ervaring..... Ik heb meer personen dat horen zetten. Daarna hebben we wel een maand ellende gehad, wat breed in het nieuws is uitgemeten. Gewoon iemand die even dacht dit kan ik wel doen.


Door Moira: Natuurlijk maakt dat wel wat uit! Het is het verschil tussen een L-change plannen die zonder problemen met een minuutje klaar is, versus een W-change die de hele dag kost, na alle voorbereiding toch nog misgaat, en het hele systeem een of meerdere keren wil rebooten! Goed gereedschap is het halve werk. Of in dit geval bijna het hele werk.
Je denkt weer vanuit de techniek. Je voert een change uit, dus

Ga toch lekker W-changes plannen met je brakke Trabant en sta dagenlang in de garage. Ik rijd ondertussen lekker verder in het zonnetje met mijn Mercedes L-klasse!
Beide auto's hebben gewoon onderhoud nodig op afgesproken tijdstippen. Sommige kun je alleen beter plannen dan andere. Iets waar planning altijd blij mee is. Want dan kunnen ze om die dag heen plannen. Zo heb je geen klanten die ontevreden zijn dat de auto onderhoud nodig heeft.
En die dag staat de auto in de garage, en kosten ze dus geld.....

Of het moet je broodwinning zijn natuurlijk, die ellenlange vergaderingen over de te plannen W-changes, al die problemen waar rekening mee moet worden gehouden, al die dingen die misgaan. Als je daar met een fijn uurtarief je geld mee kan verdienen... Een consument of zakelijke gebruiker heeft wel wat beters te doen.
De meeste W changes zijn gewoon goed voorbereid. Het zijn juist de L changes waar we het meest over moeten praten. Die impact is veel groter en wordt vaak onderschat. Beheerders die juist denken zoals jij spreekt. Die duidelijk denken alleen maar vanuit de techniek, en daarom met oog kleppen denken. Het valt allemaal weel mee. Nee... Zo werkt het niet in de echte wereld.
Er vind een wijziging plaatst op een systeem, dus moet het systeem plat en is er dus directe impact voor het bedrijf of fabriek
Jij voert je wijzing door, en daarna start de applicatie weer op en moet het test plan uitgevoerd worden of alles weer goed werkt. De systemen zijn officieel pas weer beschikbaar aan het eind van de change windows, en dan wordt het final test plan uitgevoerd.
Jouw wijzing van misschien 5 minuten, kost het bedrijf uren. Dit scheelt natuurlijk wel per change, maar zit de wereld wel in elkaar. Dit wil je niet even ad hoc uitvoeren, dus zijn er change windows die al een jaar van te voren bekend zijn. Zodat iedereen weet wanneer de fabriek even mag stoppen of wanneer bedrijfs applicaties plat mogen gaan.

Voor de L changes, zijn het huist de beheerders die veel te gemakkelijk denken, waardoor de change afgewezen wordt.
De W changes, zijn beter voorbereid, mede omdat deze veel meer ervaring hebben in changes en de voorbereidingen hiervoor. En (wat jij graag wilt horen) ze draaien vaak KA en niet BA (lees vaak dus Windows draait ook zeker een groot gedeelte van BA). Kantoor automatisering is minder kritiek, en dus minder risico voor een bedrijf.
Windows wordt gewoon iedere maand gepatched, iets wat nodig is, maar ook alles is hiervoor uitgewerkt. Voor Linux, kunnen we niet plannen, dus wordt meestal opgespaard en 1 keer per kwartaal gedaan.


Het probleem is juist vaak dat men denkt vanuit de techniek. En Techniek is alleen maar ondersteunend.
Mijn OS is beter dan Jouw OS want.....
Ik heb een Phd en jij lekker niet.
Waar werk jij?

Beetje oogkleppen denken en vooral niet zien dat ieder OS zijn goede en slechte eigenschappen heeft.
Iedere update een risico is.
De beste techniek niet de beste oplossing hoeft te zijn voor een probleem.

Dat men vooral het andere OS als een probleem ziet, Maar spreek nooit iets verkeerd over mijn OS, Maar nooit naar zich zelf eens kijkt, want daar is een hoop op te verbeteren.

En Theorie en praktijk liggen vaak heel ver uit elkaar. Dat is mijn ervaring..... Maar zodra je daarover begint, ben je een troll of OS Fan.
26-05-2017, 15:24 door [Account Verwijderd]
[Verwijderd]
27-05-2017, 09:03 door Anoniem
Door Moira:
Door Anoniem:
Door Moira: Natuurlijk maakt dat wel wat uit! Het is het verschil tussen een L-change plannen die zonder problemen met een minuutje klaar is, versus een W-change die de hele dag kost, na alle voorbereiding toch nog misgaat, en het hele systeem een of meerdere keren wil rebooten! Goed gereedschap is het halve werk. Of in dit geval bijna het hele werk.
Je denkt weer vanuit de techniek. Je voert een change uit, dus

Natuurlijk denk ik vanuit de techniek! Dat is waar het uiteindelijk om gaat: het beste gereedschap kiezen. Hoe jij als updateschuiver je updates inplant, dat is totaal niet interessant!
Dat is inderdaad vanuit de techniek. Op jouw doos draait een dienst. En het draait om die dienst, en niet die doos. Of jij 1 of 10 dozen hebt draaien, of jij 1 minuut of 5 uur nodig hebt voor jouw updates. De dienst is uit de lucht, of krijgt onderhoud en de kans op verstoringen is aanwezig.

Hoe mitigeer jij die? En zorg jij dat op het einde van jouw change, de omgeving goed draait.

Door Moira:

Geweldig maar dat deel van het werk is hier niet erg relevant. Ga lekker plannetjes maken voor je W-changes, waarmee je overduidelijk je geld verdient!
Nee..... Aan de W changes heb ik het minste werk, die hebben ervaring als er ergens weer eens een systeem uitlicht, hoe de gebruikers dit ervaren. Immers de meest calls komen eerst bij hun uit, en daarna mogen hun gaan uitzoeken wel systeem (networking, Linux, Windows) niet goed werkt. De L changes moet ik het vaakst terug zetten, omdat die beheerders alleen maar denken vanuit de techniek ik krijg altijd de opmerkingen: Mijn leverancier heeft dit al getest, onze patches zijn veel stabieler. Tot dat ik ze vraag, heeft jouw leverancier ze ook getest tegen onze systemen? Bijvoorbeeld onze Legacy Unix, Legacy Windows, onze VMS? Daarna zie je ze meestal terug lopen.

Door Anoniem: Jouw wijzing van misschien 5 minuten, kost het bedrijf uren. Dit scheelt natuurlijk wel per change, maar zit de wereld wel in elkaar. Dit wil je niet even ad hoc uitvoeren, dus zijn er change windows die al een jaar van te voren bekend zijn. Zodat iedereen weet wanneer de fabriek even mag stoppen of wanneer bedrijfs applicaties plat mogen gaan.

Ik hoef me gelukkig niet met dat soort laaggeschoold grunt work bezig te houden :-)
Fijn voor jouw. Je opmerking zegt wel weer iets.

Door Anoniem:
In jouw omgeving zitten er wellicht slecht L-change doorvoerders. Bij technologietoppers als Google, Amazon, Twitter, NASA, Cern, etc. hebben ze er meer verstand van. Misschien moet je daar eens gaan navragen hoe je je L-beheerders kan bijschaven.
Om een gemiddelde multinational of overheid, of energie leverancier, of telecombedrijf te vergelijken met dit soort highend ICT bedrijven. Tja.... Je opmerking zegt wel weer iets.

Door Anoniem: De W changes, zijn beter voorbereid, mede omdat deze veel meer ervaring hebben in changes en de voorbereidingen hiervoor.

Dat geloof ik onmiddellijk want W change doorvoerders hebben natuurlijk veel, veel, heel veel meer ervaring met het doorvoeren van patches voor al die W problemen!
Problemen kan ik op 1 hand tellen. De onverwachte issues uit L changes zijn veel groter. Omdat ze toch ergens iets vergeten waren, of meer deden dat ze vertelde.

Door Anoniem: En (wat jij graag wilt horen) ze draaien vaak KA en niet BA (lees vaak dus Windows draait ook zeker een groot gedeelte van BA). Kantoor automatisering is minder kritiek, en dus minder risico voor een bedrijf.
Windows wordt gewoon iedere maand gepatched, iets wat nodig is, maar ook alles is hiervoor uitgewerkt. Voor Linux, kunnen we niet plannen, dus wordt meestal opgespaard en 1 keer per kwartaal gedaan.

Jullie knoeiers kunnen niet met Linux omgaan blijkt maar weer eens.
Opmerking zegt eigenlijk ook al weer genoeg.

De fabriek heeft voorspelbaarheid nodig, en blijkbaar kan Linux dat niet leveren (iets met beste gereedschap). Dus vinden ze het te lastig. Mede omdat ze vaak de impact verkeerd inschatten (Nee Linux beheerder je kunt niet even MySQL updaten zonder dit met de ontwikkelaars te bespreken, zodat hun dit ook kunnen testen).
Ik zou inderdaad wel graag meer beheerders willen die net even boven de techniek denken. Wat is werkelijk de impact van de change voor de omgeving. Niet zomaar blind updates installeren, eerst een goede impact analyse maken (en nee dat is niet een diff van de sources, of welke commando's je moet uitvoeren, want dat zijn de antwoorden die ik dan terug krijg)
De techniek beheren ze perfect, daar heb ik totaal niet over te twijfelen. Techniek is alleen niet alles, en daar schoort het aan.

Misschien heb jij er geen last van, maar dat wil niet zeggen dat andere dit niet hebben. En ik kom bij heel wat grote en kleine bedrijven binnen. Er wordt veel te vaak in techniek gedacht.....
27-05-2017, 11:47 door [Account Verwijderd]
[Verwijderd]
27-05-2017, 13:30 door [Account Verwijderd] - Bijgewerkt: 27-05-2017, 13:34
[Verwijderd]
28-05-2017, 17:35 door karma4
Door 4amrak:
Door Anoniem:
bla bla bla.... toch is het zo :). ga jij maar lekker theorien in je post met wat wel en niet kan en zo, ik lig op het strand en alles gaat als een zonnetje... gisteren weer live zonder issues de networkmanager update binnen... geen glitch, iedreeen gaat door...
btw lees wat beter de posts en je weet waar mijn centjes vandaan komen. adios!
btw 2, procedures en de illusie dat die altijd gevolgd worden of waterdicht zijn is ook theorie hoor!
Nu lig ik echt in een deuk. Ik ben echt die anoniempjes niet. Laat 4amrak zich kennen als https://en.wikipedia.org/wiki/NetworkManager een uitvoerend systeembeheerder op OS niveau in een niet professioneel gecontroleerde omgeving waar hij zelf wat hobbied.

Moira had net geconstateerd dat de beheerders in de L wereld het grootste probleem zijn. Laat dat nu hetgeen zijn wat ik constant loop te posten maar de L heren zelf ontkennen.
28-05-2017, 22:58 door [Account Verwijderd]
[Verwijderd]
29-05-2017, 00:14 door [Account Verwijderd] - Bijgewerkt: 29-05-2017, 00:18
[Verwijderd]
29-05-2017, 19:32 door karma4
Door Rinjani:

Tjeezus, jou moet je nog steeds alles uitleggen? Hij bedoelt natuurlijk een update voor de Linux NetworkManager daemon [1]. Ik las ergens dat hij een PhD heeft? Dan zal hij geen systeembeheerder werk doen (waarschijnlijk).

[1] https://en.m.wikipedia.org/wiki/NetworkManager.
Hoeft je niet uit te leggen hoor. Ik heb het wel door wat voor spelletje er gespeeld wordt.
Nu nog de argeloze meegluurders,
29-05-2017, 22:20 door [Account Verwijderd]
[Verwijderd]
30-05-2017, 18:21 door [Account Verwijderd] - Bijgewerkt: 30-05-2017, 19:09
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.