推 rickieyang: 有對外嗎?有可能加防火牆或是設定 iptables rule 因 11/12 01:52
→ rickieyang: 應? 11/12 01:52
→ rickieyang: 先把新的系統建起來,再請他們慢慢移過去 11/12 01:53
→ rickieyang: 系統工程師的權利不包含隨意更新系統,除非你能確保 11/12 01:54
→ rickieyang: 不影響既有的功能跟其他人的工作 11/12 01:54
→ rickieyang: 講白一點,公司要的是產出,被攻擊當然會影響產出, 11/12 01:55
→ rickieyang: 但是如果更新也會,哪跟被攻擊有什麼不同? 11/12 01:55
→ da21510: 我是支持更新的 11/12 07:43
→ da21510: 但剛更新我自己的Server 11/12 07:43
→ da21510: 然後等等要跑一趟機房了 11/12 07:43
→ da21510: 現在啥都不能幹 11/12 07:43
→ da21510: 給你參考一下 11/12 07:43
→ da21510: 如果要更 11/12 07:52
→ da21510: 把change log什麼之類的全看清楚 11/12 07:52
→ da21510: 然後請假睡到飽 11/12 07:52
→ da21510: 隔天再更 11/12 07:52
→ da21510: 之前我還是小白的時候沒看清楚把php從5.6更到7 …… 11/12 07:52
→ da21510: 然後剛剛是整晚沒睡 11/12 07:52
→ da21510: 腦還沒想好 手已經敲下去了 11/12 07:52
→ da21510: 敲完馬上後悔 11/12 07:52
推 Bencrie: 那叫升級吧。更新不是只修漏洞跟bug? 11/12 08:39
推 rickieyang: 樓上說的應該是 patch, 事實上很多時候修 bug 跟漏洞 11/12 08:49
→ rickieyang: 的方式是要你更新版本 11/12 08:49
→ kenwufederer: 可能我說得部分不夠清楚,這邊只是針對小版號更新 11/12 08:55
→ kenwufederer: 但無論大小更新,都是從測試環境開始部署 11/12 08:56
→ kenwufederer: 也跟1F說得,採取先建後拆,但問題是研發認為不需要 11/12 08:57
→ kenwufederer: ChangLog部分也會先看是否有影響功能面 11/12 08:59
→ kenwufederer: VM不只一台,通常都是更新一週後沒問題才執行下一台 11/12 09:00
→ kenwufederer: 不過我不認同你說得隨意更動系統 11/12 09:00
→ kenwufederer: 如果是隨意更動,那當然是我的責任 11/12 09:01
→ kenwufederer: 可是要如何創造雙贏的局面,讓研發了解嚴重性? 11/12 09:01
→ kenwufederer: 我認為系統不能分內外網而有所不同 11/12 09:02
→ kenwufederer: 許多異常行為往往是內部人員造成的 11/12 09:02
→ kenwufederer: 不過看來大家都認為更新是有必要性的吧? 11/12 09:04
推 rickieyang: 更新有其必要性,也一定會遇到阻力跟問題,這是資訊人 11/12 09:13
→ rickieyang: 員存在的價值,如果沒必要,都不更新,或是不會有問題 11/12 09:13
→ rickieyang: ,找個工讀生打打指令,那還要資訊人員幹嘛? 11/12 09:13
→ kenwufederer: 問題是他們認為我們就是打打指令就好… 11/12 10:25
推 guezt: 看主管支不支持 如果主管不認同 那也沒辦法做下去 11/12 10:25
→ kenwufederer: 漏洞更新根本不重要…好吧,我了解你的意思 11/12 10:25
→ guezt: 另外還在維護中的版本 套件應該都是小更新 不致於造成影響 11/12 10:26
→ kenwufederer: 我會盡力說服他們看看的… 11/12 10:26
→ kenwufederer: g大想法沒錯,但研發可不是這麼想… 11/12 10:27
→ kenwufederer: 他們只覺得我用得好好的,幹嘛更新還有配合測試而已 11/12 10:27
推 guezt: 金融相關產業有一堆稽核法規要你更新 其他就自主管制了 11/12 10:31
→ guezt: 先搞定你主管 再讓主管去搞定研發 11/12 10:32
推 Bencrie: 再怎麼更新版本也不會像 distro upgrade 那樣升版吧 XD 11/12 12:26
→ noonee: 對於重要長期使用的 server 不要太常更新大版本比較好 11/12 12:42
→ noonee: 需要更新的只是安全性更新吧? 11/12 12:43
→ noonee: 以debian 來說 只需要做security update 就好 11/12 12:43
→ noonee: 另外不要小看大版本的更新 尤其是gcc 總是讓我被迫在本地 11/12 12:44
→ noonee: 自己裝gcc 來應付問題 11/12 12:44
→ noonee: 另外 為了配合大家各自不同的使用環境 可以試試看用 11/12 12:45
→ noonee: module 11/12 12:45
→ noonee: 如果真的只是安全更新 軟體的大版本號都不會變吧? 11/12 12:47
→ kenwufederer: 主要是推動小版號更新,大版本都是先建後拆進行 11/12 12:51
→ kenwufederer: 我再努力看看,感謝大家回答 11/12 12:52
→ rexsony: 當然是離職囉,這種鳥公司。還想救? 11/12 13:30
→ kenwufederer: 有人情壓力,只能再溝通看看… 11/12 15:23
推 dou0228: 真實情況是,一堆 RD 根本也不知道 CentOS 5/6/7 差別在 11/12 15:44
→ dou0228: 哪,當然,程式碼也沒有抽離開系統,通通用 sys default 11/12 15:45
→ dou0228: 當遇到系統要升級時,就一推 456 說不升級 11/12 15:45
推 holishing: 評估把舊環境放在容器裡可行嗎? 11/12 18:53
噓 lspci: 風險評估先 好嗎? 11/12 18:55
→ rexsony: 這種跟電信業很像,尤其是MD要它動CDR簡直是要死給你看 11/12 23:37
→ rexsony: 但是在工作經驗當中,通常都是先建後拆. 11/12 23:38
→ rexsony: 如果有非升級不可的理由,要換新系統都是這個做法 11/12 23:38
→ rexsony: 若是單純只是弱掃問題,就iptables DROP掉它 xD 11/12 23:39
→ rexsony: 其實我碰過rehat 6.7搭tomcat ver7版本有弱掃問題 11/12 23:40
→ rexsony: 就是一直升到tomcat 7版本最後一版,再有問題就是大家下來 11/12 23:41
→ rexsony: 先在Labs測tomcat 8的相容性再做升版SOP跟rollback準備 11/12 23:41
→ rexsony: 基本上主機如果沒有對外的話,更新的理由就還好了 11/12 23:42
→ rexsony: 除非這台主機有對外服務,那安全性的東西就是要一直升 11/12 23:43
→ iflyinsky: 雖然覺得更新是一種必然,卻也會有推動不了的時候。往 11/13 00:16
→ iflyinsky: 往在同行發生過類似的事件,才會意識到其重要性。如果 11/13 00:16
→ iflyinsky: 系統工程師是資安的最後防線,那就看良心與遮羞費是否 11/13 00:16
→ iflyinsky: 可以重過天平的另一端。 11/13 00:16
推 chang505: docker 處理 11/13 00:51
→ chang505: 直接上 centos7 裝 docker-ce docker-compose 11/13 00:52
→ chang505: 全部包成 container 就沒有套件版本相容問題 11/13 00:52
→ chang505: 如果沒辦法 就讓舊機器不能對外 外面加一層新機器做防護 11/13 00:53
推 soem: 推iflyinsky板友,這工作真的要擇善固執點 11/13 01:00
推 pizzahut: 我公司的也是這樣子,手上甚至還有RHEL3...不過這個需要 11/13 11:49
→ pizzahut: 太多單位配合,加上重心又不在這款產品上,沒有辦法做 11/13 11:50
→ pizzahut: 甚至有些程式原本是在32bit環境下開發,CentOS7只有64bi 11/13 11:51
→ pizzahut: bit,轉過去不能保證一定不會有問題 11/13 11:51
→ kenduest: 一般 security update 可以,但是换整個大版本要評估 11/13 11:57
推 pizzahut: 我覺得真要做,讓其他單位了的話提出完整的企劃比較好 11/13 11:59
推 pizzahut: 說錯,真要做的話提出企劃讓其他單位瞭解比較好 11/13 13:33
推 chang0206: 有辦法可以把整個OS包成docker喔? 11/13 13:49
→ kenwufederer: 改用container,其實更需要RD的配合… 11/13 14:14
→ kenwufederer: 我的想法是,如果不制定一個良好的更新流程 11/13 14:17
→ kenwufederer: 只會越欠越多,我覺得作假不是我想做的事情 11/13 14:18
→ kenwufederer: 雖然ISMS只是一張紙,但我還是想照著做 11/13 14:18
→ kenwufederer: 來這裡問,只是想知道是不是很多公司都不管這件事情 11/13 14:20
→ kenwufederer: 之前有考過ISO 27001,但發現主導很多阻力 11/13 14:22
→ kenwufederer: 但看完各位的推文,我相信我堅持更新應該是對的 11/13 14:23
→ kenwufederer: 謝謝各位的回答 11/13 14:23
推 Hurricaneger: 不要太熱血,時間拿來修問題,不更新其實不會怎樣。 11/13 23:02
→ holishing: 拿來應付上級自己也不重視的機器不用太...? 11/14 21:57
→ brli7848: 上級不重視,出事下級背,讚 11/14 23:43
→ kenwufederer: 所以才想要改變一下公司的想法… 11/15 00:40
推 ViewMoon: 新版本又不是一定沒其它問題 11/16 14:16
推 TWLAB: 要玩就先備份再更新 11/17 09:59
→ kenwufederer: 所以不更新不測試會比較好嗎? 11/18 22:21
推 dou0228: RD 願意幫忙就沒問題,不願意你就準備背鍋。 11/19 10:20
推 onionys: 更新後的系統是否可靠,我覺得要有嚴謹的測試報告才能說 11/19 11:50
→ onionys: 服保守牌的疑慮 11/19 11:50
推 onionys: 感覺要先建立測試機制和項目 11/19 11:52
推 onionys: 測得越嚴謹說信心越強 11/19 11:55
→ onionys: 自動選字讓我失去打字的信心了... 11/19 11:56
→ dave01: 先承報告上去 告知可能風險 若不更新 發生列表中的風險 11/23 11:12
→ dave01: 責任不該由系統管理員全擔 11/23 11:12
→ kenwufederer: 樓上的方式試過,但出問題必須證明是因為這個漏洞 11/24 00:55
→ kenwufederer: 而且會被說不負責任 11/24 00:56