Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Livepatch voor Linux Disto's
29-04-2022, 11:54 door Anoniem, 7 reacties
Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Reacties (7)
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.
Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.
Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .
Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .
Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .
Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.
Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .
https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/
Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Door Anoniem: Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen?
Tragedie Linux
https://en.wikipedia.org/wiki/Tragedy_of_the_commons
Door Anoniem:
Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.
Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.
Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .
Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .
Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .
Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.
Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .
https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/
Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Eens met de uitleg hierboven. Het is tegenwoordig zeer gebruikelijk dat servers een reboot krijgen. Herstarten van menig serverpark duurt ook maar paar seconde waar de oude mainframes je koffie kon zetten in de tussentijd.Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.
Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.
Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .
Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .
Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .
Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.
Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .
https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/
Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Livepatching is op papier leuk maar de kans bestaat dat je bij een volgende reboot toch voor onverwachte verassingen komt te staan terwijl je die bij regulier onderhoud veel sneller had kunnen herkennen. De mogelijkheid hebben kan nuttig zijn in sommige gevallen maar ik zou er niet constant op varen.
Gratis is niet altijd beter zeker bij een kritisch onderdeel als kernel support wil je niet dat je support later kan zeggen sorry valt niet onder S.L.A. omdat je een niet ondersteunde service hebt gebruikt.
Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Ik zou het maar gewoon betalen. Zelf heb ik livepatch ook (als consument), maar ik neem aan dat het toch in uw voordeel is hiertoe over te gaan? Regel het gewoon vandaag nog.Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Door Anoniem:
Livepatching is op papier leuk maar de kans bestaat dat je bij een volgende reboot toch voor onverwachte verassingen komt te staan terwijl je die bij regulier onderhoud veel sneller had kunnen herkennen. De mogelijkheid hebben kan nuttig zijn in sommige gevallen maar ik zou er niet constant op varen.
Gratis is niet altijd beter zeker bij een kritisch onderdeel als kernel support wil je niet dat je support later kan zeggen sorry valt niet onder S.L.A. omdat je een niet ondersteunde service hebt gebruikt.
Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.
Door Anoniem:
Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.
Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.
Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .
Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .
Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .
Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.
Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .
https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/
Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Eens met de uitleg hierboven. Het is tegenwoordig zeer gebruikelijk dat servers een reboot krijgen. Herstarten van menig serverpark duurt ook maar paar seconde waar de oude mainframes je koffie kon zetten in de tussentijd.Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Hm - niet dat ik zo weet.
Dwz, wel andere die het kunnen (Oracle Linux bijvoorbeeld, en Redhat, en Suse) - voor zo ver ik weet of zag met een heel snelle google geen gratis versie.
Het hele concept komt nogal fragiel op me over ook - indrukwekkend dat het (vaak) kan, maar best tricky.
Overigens , ook al ben je Nederlander , het is of hobbyisme, of nogal onverantwoord wat je wilt .
Je hebt iets wat ZO ENORM KRITISCH is voor je (bedrijf) dat je absoluut geen downtime wilt en zelfs life een kernel wilt patchen - maar toch gebruik je geen gesupporte distributie ervoor .
Dat gaat natuurlijk niet samen - als het zo belangrijk is, moet je support ook geregeld hebben,, en dat kost nou eenmaal geld - livepatch is maar één onderdeel .
Misschien dat je het als hobbyist "gaaf" vindt om mee te spelen - dat kan . Maar als je het werkelijk _nodig_ hebt moet je gewoon allerlei kosten voor lief nemen.
Persoonlijk ben ik geen fan van single point of failures in de vorm van individuele systemen die "nooit" down mogen .
Ook al zijn ze dan erg hardware redundant , Tier hoog DC,UPS dit, en hot swappable dit en dat, en live patching zus en zo .
Het is een niche waarin de klassieke (IBM) Mainframes de indrukwekkende top zijn - maar conceptueel zie ik veel liever clusters waarin je ieder lid apart kunt downbrengen en de _service_ beschikbaar blijft .
https://en.wikipedia.org/wiki/Ksplice
https://en.wikipedia.org/wiki/KGraft
https://en.wikipedia.org/wiki/Kpatch
https://en.wikipedia.org/wiki/KernelCare
https://tuxcare.com/live-patching-services/
Overigens - voor hobby gebruik (3 machines) is de Ubuntu service gratis
https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-patch-linux-kernel-without-reboot
Livepatching is op papier leuk maar de kans bestaat dat je bij een volgende reboot toch voor onverwachte verassingen komt te staan terwijl je die bij regulier onderhoud veel sneller had kunnen herkennen. De mogelijkheid hebben kan nuttig zijn in sommige gevallen maar ik zou er niet constant op varen.
Gratis is niet altijd beter zeker bij een kritisch onderdeel als kernel support wil je niet dat je support later kan zeggen sorry valt niet onder S.L.A. omdat je een niet ondersteunde service hebt gebruikt.
Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.
Wat zou er eventueel mis kunnen gaan bij het gebruik van LivePatch?
Route bij ons:
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.
Snapshot server hierna dupliceer de server. Voer de patch uit kijk naar enige complicaties en afwijkingen en beslis of uitgave in productie mogelijk is of expedite nodig is naar enige vendor. Voer patch uit maak snapshot na patching bewaar vorige snapshot tot volgende onderhouds moment. Alle acties gelogd in logboek en afgetekend door verantwoordelijke engineer en manager.
Livepatching heeft in deze context betrekking op het host OS. Niet op VM's (guest OS).
Door Anoniem: Als bedrijf heb je bij Ubuntu de mogelijkheid om gebruik te maken maken voor Livepatch om kritieke kernelbeveiligingsupdates te installeren zonder de systeem opnieuw op te starten, door de actieve kernel rechtstreeks te patchen.
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Maar als bedrijf dien je hier voor te betalen bij Ubuntu. Zijn er andere Linux distos waarbij dit al standaar zo is en waarvoor je niet hoeft te betalen (ben immers een Nederlander en als het gratis kan alleen maar fijn)?
Er is niks mis met af en toe een reboot van een server, als het goed is heb je redundancy en zullen de meeste mensen/applicaies er geen last van hebben. Waarom een reboot, nou heel simpel je controleerd meteen of alle afhankelijkheden nog in orde zijn b.v. of je al je moutpoints e.d. kunt bereiken. Ik heb het maar al te vaak megemaakt dat er ergens in de infrastructuur iets veranderd was of configs aangepast zonder deze afdoende te verifieeren. Zou niet moeten maar het gebeurd wel in de praktijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
