CEA DSM Irfu Mises à jour de sécurité… … et la pratique F.SCHAER
CEA DSM Irfu Quelles mises à jour ? CERTA : US-CERT : MAJ Kernels… mais pas seulement.
CEA DSM Irfu Quelles précautions (dans l’idéal)? RPMs signés Vérification des md5sum Tests complets sur machines hors prod Tests de reboot (kernel…) Redémarrage des services –Est-ce automatiquement fait par MAJ rpm ?? Tests de fonctionnalité ? –Ex.: Mise à jour apr dans GRIF -> DHCP inutilisables, réinstallations machines impossible
CEA DSM Irfu Quelle provenance ? Sources RPM de confiance. Pas de DAG/rpmforge/YYY –Quelle confiance accorder aux repositories? Distribution –Répertoire « Security » Sources recompilées –À partir des sources.srpm (distribution) ou.tar.gz –Eventuellement avec un SPEC extérieur inspecté
CEA DSM Irfu Pourquoi recompiler ? Patches possibles –(2010) Maui : fix pour crashes –(>2008) Kernel Support KVM (virtio) Fix de trous de sécurité non backportés –cf : https://bugzilla.redhat.com/show_bug.cgi?id=CVE –Résolu en 2006 dans le kernel, backporté chez redhat après CVE en 2009…Résolu en 2006 –(>2006) Nagios/nrpe/nagios-plugins : utilisateur créé (« nagios ») non-système. Patches pour fonctionnement SELinux
CEA DSM Irfu Pourquoi recompiler ? (2) Versions (récentes) indisponibles dans l’OS –Nagios/nrpe/nagios-plugins –SQUID/httpd –Nagiosgraph (mais bon nagiosgraph…) –MPI x64 (2006/2007) RPMs locaux –Plugins nagios grille –Outils de monitoring non packagés (cciss, multitail, eclipse BIRT,…)
CEA DSM Irfu Et dans la pratique ? En général, mises à jour après avis CVE Test et gestion des MAJ OS par OS (quattor + rpm = …) Un fichier de config par MAJ –Revert possible –« Niveau » de MAJ possible –Pour N OS, 2 architectures, 2xN templates à créer ET tester Nouveaux paquets + nouvelles dépendances = délais Limitation du nombre d’OS sur le site ?
CEA DSM Irfu Et dans la pratique ? Temps de déploiement : ~1 semaine –Attente de backports SL –MAJ de RPMs standard habituellement rapide et sans conséquence opérationelle –MAIS Gestion des reboot toujours inacceptable Comment éviter la downtime ???...?????? –BLOQUANTS : CE ? SE et pools ? Serveurs NFS ? –GENANTS : WMS ? Serveurs de machines virtuelles ? –TRES DERANGEANTS : WN ? (perte de production, jobs longs) »Migration de jobs ? Job suspend/(reboot)/resume ? Rsync journaliers : pas de vérification des md5 Quattor ignore les signatures
CEA DSM Irfu Questions en suspens Quelle confiance accorder aux serveurs SL CERN/FNAL/ETICS ? –Un serveur compromis = toute la grille ? –Miroirs Français ? (openbsd ? netbsd ?) SI repositories Français –Qui les gère, et comment ? –Serveur de clefs GPG ? –Tests de déploiement préalables ? –Compatibilité apt ? Yum ?
CEA DSM Irfu Questions en suspens Recompilation –Quelle infrastructure de compilation ? Actuellement (GRIF/IRFU), scripts maison qui présupposent: –Une machine installée par architecture supportée –Un compte local –Une clef SSH –Parfois sudo, pour installer des dépendances de compilation ETICS… beeerk. Koji (fedora) ? ?