anoniem Geplaatst: 24 mei 2004 Delen Geplaatst: 24 mei 2004 hallo Ik heb een script gevonden om automatisch updates binnen te halen [code:1:40297762c0]#!/bin/sh echo echo "*** DOING AN UPDATE ***" echo apt-get update echo echo "*** DOING A CHECK ***" echo apt-get check echo echo "*** DOING AN UPGRADE ***" echo apt-get upgrade -y echo echo "*** DOING A DIST UPGRADE ***" echo apt-get dist-upgrade -y[/code:1:40297762c0] volgens de site moet ik een cron job openen om het script automatisch te starten[code:1:40297762c0]crontab -e[/code:1:40297762c0] en dan dit naar een vi editor copyeren[code:1:40297762c0] 46 4 * * * /root/bin/update.sh 2> &1 > /var/log/update.out[/code:1:40297762c0] moet ik het script nu opslaan als update.sh in /root/bin ? of gaat alles goed als ik de stappen gewoon volg zoals bescheven? het is [url=http://www.linux-bsd-central.com/howto/aptget.html]hier[/url] na te lezen Quote Link naar reactie
anoniem Geplaatst: 24 mei 2004 Auteur Delen Geplaatst: 24 mei 2004 [quote:c84720e147]moet ik het script nu opslaan als update.sh in /root/bin ?[/quote:c84720e147] Klopt! :) Quote Link naar reactie
anoniem Geplaatst: 24 mei 2004 Auteur Delen Geplaatst: 24 mei 2004 gelukt, :D met enige hulp van [url=http://htmlbasix.com/crontab.shtml]deze[/url] site. ik ben benieuwd morgenochtend.. :P Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 8) gelukt ik had output in /var/log heerlijk, al slapende worden ge-update :P Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 Ja, lekker veilig he? (not!) Als de server wordt gekraakt en er hacked packages in de repository gezet worden, dat wordt jouw computer mooi automatisch gehacked. Fijn he? Dat automatisch updaten... Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 Als je manueel update kan je evengoed gehackte packages binnensleuren van een gehackte server, dus ik zie het verschil niet. Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 [quote:5c42f03ca2="Bamboe"]Als je manueel update kan je evengoed gehackte packages binnensleuren van een gehackte server, dus ik zie het verschil niet.[/quote:5c42f03ca2] Dat is bullshit, ik controleer packages voordat ze op een server gaan. Bovendien kun je altijd timestamps controleren (kudos to de slackware changelog), en met gnupg verifieren of packages goed zijn (MD5 won't do the job). Bovendien kies ik er ook vaak voor om gewoon de oude versie te blijven gebruiken, en er zelf handmatig een fix over te gooien en de boel opnieuw te compileren. (Door zelf te fixen zie ik wat er veranderd). Dit doe ik met name met SSH, Apache e.d. Nooit en te nimmer klakkeloos updates installeren. Het beste kun je gewoon tot de volgende release alleen security updates installeren, en ze zelf vantervoren goed controleren... Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 Hallo, we hebben het hier gewoon over een werkstation hoor. Hoe groot is in hemelsnaam de kans dat een Fedora mirror gekraakt wordt, de packages inclusief MD5sums aangepast worden, dit precies de mirror is die jij gebruikt en dat mocht je een compromised pakket binnen halen er ook daadwerkelijk iets mis gaat? Als je gewoon een firewall draait en je leest elke dag even een OSS newssite (waar het zeker staat als er een Fedora mirror gekraakt is) zou ik me nergens druk om maken. Wat je op noemt is echt over done. Wil jij BTW zeggen dat als je Libranet update of even een package installeert alle stappen die jij noemt afloopt? Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 Daniel, als jij op die manier elk linux systeem dat je beheert update, is dat ofwel een teken dat je a) extreem paranoia bent, of b) je studie filosofie zodanig saai is en zodanig weinig tijd van je vergt dat je elke dag uren over hebt om je met beveiliginsupdates bezig te houden. Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 ik snap ook het probleem niet. Voor mij blijft alles hobby matig, en met elke nieuwe ontdekking geniet ik volop. Of ik nu handmatig alles doe of via een script blijft hetzelfde. Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 en iemand die zijn systeem dag en n8 aan heeft? vindt je dat ook gevaarlijk? ik heb mijn systeem dag en n8 aan, vandaar dit script. 8) 8) Quote Link naar reactie
anoniem Geplaatst: 25 mei 2004 Auteur Delen Geplaatst: 25 mei 2004 Tuurlijk is dat niet gevaarlijk, als je de boel maar goed beveiligd. Overigens maakt het voor dit script niet zoveel uit of je PC dag en nacht aanstaat hoor. Je kunt namelijk de tijd waarop cron de daily jobs gaat uitvoeren instellen. Meestal staat dat standaard op een tijdstip na middernacht, omdat servers dan een lage load hebben en er dus processorcycles over zijn om wat andere dingen te doen. Maar als je bijvoorbeeld weet dat je computer altijd om 18:00 even idle is, omdat je dan aan het eten bent en je PC niet uit zet dan kun je ook instellen dat de jobs om 18:00 moeten worden afgehandeld. Quote Link naar reactie
anoniem Geplaatst: 26 mei 2004 Auteur Delen Geplaatst: 26 mei 2004 [quote:7b41032f18="Bamboe"]Daniel, als jij op die manier elk linux systeem dat je beheert update, is dat ofwel een teken dat je a) extreem paranoia bent, of b) je studie filosofie zodanig saai is en zodanig weinig tijd van je vergt dat je elke dag uren over hebt om je met beveiliginsupdates bezig te houden.[/quote:7b41032f18] False. Installeer op een server alleen wat absoluut noodzakelijk is. Als je de mailinglists goed doorleest zit in de software die fundamenteel is voor een server (apache, openssl, openssh, glibc/libc) slechts een keer in de paar maanden kwetsbaar is. Quote Link naar reactie
anoniem Geplaatst: 26 mei 2004 Auteur Delen Geplaatst: 26 mei 2004 False. Het gaat hier over een werkstation en niet over een server. Bovendien werd de opmerking gemaakt over de computers die jij beheert en dat zijn ook niet alleen servers. Quote Link naar reactie
anoniem Geplaatst: 26 mei 2004 Auteur Delen Geplaatst: 26 mei 2004 [quote:9c4be52f61="Marcel de Reus"]False. Het gaat hier over een werkstation en niet over een server. Bovendien werd de opmerking gemaakt over de computers die jij beheert en dat zijn ook niet alleen servers.[/quote:9c4be52f61] In grote delen volg ik hetzelfde beleid voor de rest, maar leun ik iets meer op GnuPG (Pat tekent alles). Quote Link naar reactie
anoniem Geplaatst: 26 mei 2004 Auteur Delen Geplaatst: 26 mei 2004 Patrick wel ja ;) Maar je hebt ook een tijdje Libranet gebruikt en voor zover mij bekend zijn die packages niet gesigned dus hoe pak je het daar dan aan. OT: Ik zag overigens in de Changelog dat je patch voor Slack over de random seed uiteindelijk toch is toegevoegd: top! Quote Link naar reactie
anoniem Geplaatst: 27 mei 2004 Auteur Delen Geplaatst: 27 mei 2004 [quote:a5c8940b4e="Marcel de Reus"]Patrick wel ja ;) Maar je hebt ook een tijdje Libranet gebruikt en voor zover mij bekend zijn die packages niet gesigned dus hoe pak je het daar dan aan. [/quote:a5c8940b4e] Nope, en dat vind ik niet echt geweldig... Ik geloof dat men wel GPG support aan APT wil toevoegen, maar zoals het nu staat is de situatie niet echt geweldig. Vooral als je bedenkt dat de Debian servers al een keer gekraakt zijn. [quote:a5c8940b4e] OT: Ik zag overigens in de Changelog dat je patch voor Slack over de random seed uiteindelijk toch is toegevoegd: top![/quote:a5c8940b4e] Yep :). Quote Link naar reactie
anoniem Geplaatst: 30 mei 2004 Auteur Delen Geplaatst: 30 mei 2004 in eerste instantie werkte het script niet. Ik heb de regel: [code:1:1bf43bb490] 46 4 * * * /root/bin/update.sh 2> &1 > /var/log/update.out[/code:1:1bf43bb490] verandert in:[code:1:1bf43bb490] 46 4 * * * /bin/update.sh 2> &1 > /var/log/update.out[/code:1:1bf43bb490] dit werkt wel. Ik had dus nu wel output in /var/log/update.out heb nu zelf een script gebouwd dat automatisch apt-get clean uitvoerdt. geinig allemaal 8) Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen