Нет, просто люди не очень парились с обновлением ядра по поводу каждой пятой CVE'шки. А ребут может быть не только от ядра, но и от трудноперезапускаемых штук, вроде dbus. Или dockerd.
Я и говорю, люди не путали мейнфрейм с коммодити сервером и не выставляли ценные машины голой жопой в интернет. Что делало все эти CVEшки неактуальными.
Внедрение dbus и docker'а у меня вызывает только брезгливое раздражение. Как впрочем и systemd. Система, выстроенная на г-не и палках обязана развалиться, и когда это произойдет, я буду пить и веселиться.
Сейчас даже есть понятие "lateral move" - как только какая-то второстепенная машинка оказывается скомпрометирована, тут же можно оглянуться в поисках машин с аптаймом в 20 лет, которые "не голой жопой и интернете" и у которых "скажи NULL и проходи" авторизация.
Вместо этого используется zero trust модель, где бэкап-сервер - такой же вектор атаки на СУБД, как и компьютер школьника где-то там в составе ботнета.
no subject
Два года без ремонта? Что-то не верю. Это, может быть, только в рабочие часы? Как EDD или там IRS.
no subject
7000 дней - это 20 лет :)
Аптайм два года - это скучно, такое легко образуется в дата-центрах. Вот 20 лет - это уже поколения админов.
Но пост не об этом, а об апдейтах ядра и патчах.
no subject
no subject
no subject
Нет, просто люди не очень парились с обновлением ядра по поводу каждой пятой CVE'шки. А ребут может быть не только от ядра, но и от трудноперезапускаемых штук, вроде dbus. Или dockerd.
no subject
Внедрение dbus и docker'а у меня вызывает только брезгливое раздражение. Как впрочем и systemd. Система, выстроенная на г-не и палках обязана развалиться, и когда это произойдет, я буду пить и веселиться.
no subject
"Наружу голой жопой" - это из 2000ых.
Сейчас даже есть понятие "lateral move" - как только какая-то второстепенная машинка оказывается скомпрометирована, тут же можно оглянуться в поисках машин с аптаймом в 20 лет, которые "не голой жопой и интернете" и у которых "скажи NULL и проходи" авторизация.
Вместо этого используется zero trust модель, где бэкап-сервер - такой же вектор атаки на СУБД, как и компьютер школьника где-то там в составе ботнета.
no subject