CEA DSM Irfu Mises à jour de sécurité… … et la pratique F.SCHAER.

Présentation au sujet: "CEA DSM Irfu Mises à jour de sécurité… … et la pratique F.SCHAER."— Transcription de la présentation:

1 CEA DSM Irfu Mises à jour de sécurité… … et la pratique F.SCHAER

2 CEA DSM Irfu Quelles mises à jour ? CERTA : http://www.certa.ssi.gouv.frhttp://www.certa.ssi.gouv.fr US-CERT : http://web.nvd.nist.govhttp://web.nvd.nist.gov MAJ Kernels… mais pas seulement.

3 CEA DSM Irfu Quelles précautions (dans l’idéal)? RPMs signés Vérification des md5sum Tests complets sur machines hors prod Tests de reboot (kernel…) Redémarrage des services –Est-ce automatiquement fait par MAJ rpm ?? Tests de fonctionnalité ? –Ex.: Mise à jour apr dans GRIF -> DHCP inutilisables, réinstallations machines impossible

4 CEA DSM Irfu Quelle provenance ? Sources RPM de confiance. Pas de DAG/rpmforge/YYY –Quelle confiance accorder aux repositories? Distribution –Répertoire « Security » Sources recompilées –À partir des sources.srpm (distribution) ou.tar.gz –Eventuellement avec un SPEC extérieur inspecté

5 CEA DSM Irfu Pourquoi recompiler ? Patches possibles –(2010) Maui : fix pour crashes –(>2008) Kernel Support KVM (virtio) Fix de trous de sécurité non backportés –cf : https://bugzilla.redhat.com/show_bug.cgi?id=CVE- 2009-2698https://bugzilla.redhat.com/show_bug.cgi?id=CVE- 2009-2698 –Résolu en 2006 dans le kernel, backporté chez redhat après CVE en 2009…Résolu en 2006 –(>2006) Nagios/nrpe/nagios-plugins : utilisateur créé (« nagios ») non-système. Patches pour fonctionnement SELinux

6 CEA DSM Irfu Pourquoi recompiler ? (2) Versions (récentes) indisponibles dans l’OS –Nagios/nrpe/nagios-plugins –SQUID/httpd –Nagiosgraph (mais bon nagiosgraph…) –MPI x64 (2006/2007) RPMs locaux –Plugins nagios grille –Outils de monitoring non packagés (cciss, multitail, eclipse BIRT,…)

7 CEA DSM Irfu Et dans la pratique ? En général, mises à jour après avis CVE Test et gestion des MAJ OS par OS (quattor + rpm = …) Un fichier de config par MAJ –Revert possible –« Niveau » de MAJ possible –Pour N OS, 2 architectures, 2xN templates à créer ET tester Nouveaux paquets + nouvelles dépendances = délais Limitation du nombre d’OS sur le site ?

8 CEA DSM Irfu Et dans la pratique ? Temps de déploiement : ~1 semaine –Attente de backports SL –MAJ de RPMs standard habituellement rapide et sans conséquence opérationelle –MAIS Gestion des reboot toujours inacceptable Comment éviter la downtime ???...?????? –BLOQUANTS : CE ? SE et pools ? Serveurs NFS ? –GENANTS : WMS ? Serveurs de machines virtuelles ? –TRES DERANGEANTS : WN ? (perte de production, jobs longs) »Migration de jobs ? Job suspend/(reboot)/resume ? Rsync journaliers : pas de vérification des md5 Quattor ignore les signatures

9 CEA DSM Irfu Questions en suspens Quelle confiance accorder aux serveurs SL CERN/FNAL/ETICS ? –Un serveur compromis = toute la grille ? –Miroirs Français ? (openbsd ? netbsd ?) SI repositories Français –Qui les gère, et comment ? –Serveur de clefs GPG ? –Tests de déploiement préalables ? –Compatibilité apt ? Yum ?

10 CEA DSM Irfu Questions en suspens Recompilation –Quelle infrastructure de compilation ? Actuellement (GRIF/IRFU), scripts maison qui présupposent: –Une machine installée par architecture supportée –Un compte local –Une clef SSH –Parfois sudo, pour installer des dépendances de compilation ETICS… beeerk. Koji (fedora) ? http://en.wikipedia.org/wiki/List_of_build_automation_software ?http://en.wikipedia.org/wiki/List_of_build_automation_software http://en.wikipedia.org/wiki/Continuous_integration#Software?http://en.wikipedia.org/wiki/Continuous_integration#Software