Apticron: Vašem serveru treba dogradnja!
Treba li sistemac svakodnevno provjeravati svoje servere dok je na godišnjem odmoru? Treba li redovito instalirati nove verzije paketa, s ispravljenim greškama i sigurnosnim zakrpama? Pristalice stare škole reći će vam: Ako radi, ne diraj!
Dogradnja preko mreže može biti rizična, što ako novi paket nešto poremeti? S druge strane, u vrijeme kad se inzistira na sigurnosti, softver bi trebalo što prije zakrpati, da se smanji rizik od napada koji su ionako češći i opasniji za vrijeme praznika. Sistemac bi trebao odvagati što mu predstavlja manji rizik, ostaviti nezakrpan server koji radi ili riskirati s instalacijom novih paketa?
Idealno rješenje bilo bi čitati vijesti o otkrivenim ranjivostima pa instalirati nove pakete samo kad ispravljaju kritične pogreške. To znači da bi sistemac na odmoru trebao svaki dan pratiti novosti i reagirati prema potrebi. No, kakav je to onda odmor? :)
Pronašli smo zgodan paket koji sistemcu može olakšati život. Apticron je skripta koja se pokreće iz crona, u repozitoriju potraži nove verzije instaliranih paketa i izlista njihove razlike. Sistemac će dobiti mail s informacijama o tome što bi trebalo uraditi.
Apticron dolazi u istoimenom paketu:
# apt-get install apticron
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
apt-listchanges iso-codes lsb-release python-apt python-apt-common
Ako nemate instaliran paket apt-listchanges i on će biti instaliran. Kao što mu ime govori, to je program koji će pronaći razlike između starog i novog paketa.
lsb_release je naredba koja će vam izlistati informacije o instaliranoj verziji OS-a:
# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 6.0.5 (squeeze)
Release: 6.0.5
Codename: squeeze
Pri tome je LSB akronim za Linux standard base, izraz koji se odnosi na nastojanje da se standardiziraju različite distribucije Linuxa. Ako dobijete pritužbu: "No LSB modules are available", možete je zanemariti, ona samo kaže da nema instaliranih paketa koji su napravljeni prema zajedničkoj LSB specifikaciji.
Apticron je zapravo shell skripta koja se poziva iz /etc/cron.daily. Možete je, naravno, i sami pokrenuti kad god vam padne na pamet.
Konfiguraciju podesite u slijedećim datotekama:
/etc/apticron/apticron.conf
/etc/apt/listchanges.conf
/etc/apt/apt.conf.d/20listchanges
U apticron.conf na primjer možete promijeniti mail adresu primatelja izvještaja. Po defaultu je to root.
Tu birate kakav izvještaj želite: da li želite vidjeti razlike u odnosu na zadnju dogradnju ili samo razlike od zadnjeg pokretanja apticrona, kako bi mail bio što kraći.
# DIFF_ONLY="1"
Ako otkomentirate ovaj redak, dobit ćete kraći mail, s razlikama od prošlog maila. To je zgodno ako vas prethoni mailovi nisu nagnali da napravite upgrade, pa ne želite ponovo čitati popis paketa niste dogradili.
# NOTIFY_HOLDS="0"
Ovo otkomentirajte ako ne želite obavijesti o novim verzijama paketa koje ste iz nekog razloga "zadržali" na instaliranoj verziji. To se radi, na primjer, kad koristite aplikaciju koja traži točno određenu verziju paketa o kojima ovisi.
# CUSTOM_SUBJECT=""
Ovdje može zadati drugačiji naslov maila. Ako na primjer i vaš nadređeni želi biti upoznat s vašim radom, staviti neki naslov koji će mu bit razumljiviji.
Ako nema novih paketa, skripta vas neće gnjaviti, ako ima, dobit ćete mail koji će izgledati otprilike ovako:
apticron report [Wen, 19 Jul 2012 8:42:01 -0800]
========================================================================
apticron has detected that some packages need upgrading on:
server.domena.hr
[ 161.53.x.x ]
The following packages are currently pending an upgrade:
The following packages are currently pending an upgrade:
isc-dhcp-client 4.1.1-P1-15+squeeze4
isc-dhcp-common 4.1.1-P1-15+
========================================================================
Package Details:
Reading changelogs...
--- Changes for isc-dhcp (isc-dhcp-client isc-dhcp-common) ---
isc-dhcp (4.1.1-P1-15+squeeze4) squeeze-security; urgency=high
* Non-maintainer upload by the Security Team.
* Backport upstream changes for the following security issues:
- CVE-2012-3954: memory leaks in dhcpv6 mode
- CVE-2012-3571: DoS via malformed client ids
Iz opisa se vidi da se radi o ispravcima sigurnosnih propusta i da se preporučuje hitna instalacija novih paketa.
Ako vam se čini da vam apticron može pojednostavniti život i omogućiti vam da se bolje odmorite dok ste na godišnjem, isprobajte ga!
- Logirajte se za dodavanje komentara
- Inačica za ispis
- PDF version
Komentari
cron-apt
http://sistemac.carnet.hr/node/67