Как отключить автообновление?

[WarMan28]

Ребят, подскажите как отключить автообновление? на сервере не хочется чтобы автоматом обновлялось.
ТС не появлялся на Форуме более трех месяцев по состоянию на 30/01/2020 (последняя явка: 24/07/2019). Модератором раздела принято решение закрыть тему.
--zg_nico

[AlexBKost]

WarMan28, дружище, ты ничего не путаешь? Какое автообновление, на каком сервере?

[EvangelionDeath]

WarMan28, так, давай сначала. Что имеем: какая ОС стоит, чего там настроено. У нас на серверах сообщается о том, что надо бы обновить, но сама система без указания не обновляется ибо... ибо очень дорогой "простой" без предупреждения

[ALiEN]

Код: [Выделить]

dpkg -l | grep unattended

[Sly_tom_cat]

Сервер в интернет выставлен (белый ip)?
Если выставлен, то без обновлений взломают в ближайшие пол года с вероятностью близкой к 1.

[ALiEN]

Sly_tom_cat,

(Нажмите, чтобы показать/скрыть)

серьёзно? 

[EvangelionDeath]

Sly_tom_cat, не надо быть таким пессимистом)

Код: (bash) [Выделить]

> uname -a
FreeBSD XXXXXX 8.3-RELEASE-p1 FreeBSD 8.3-RELEASE-p1 #1: Thu May 17 13:26:24 UTC 2012     root@DXXXXXXXX:/usr/obj/usr/src/sys/Z  i386
При правильной настройке - взлом займет десятилетия... за это время и ос и железо несколько раз морально устареют (как минимум отключить стандартные порты ssh и запретить логин по паролю)

[Sly_tom_cat]

Я не пессимист, а хорошо информированый оптимист.

[EvangelionDeath]

Я не пессимист, а хорошо информированый оптимист.

Не, тут именно пессиместические нотки.
Факт:
- в 90% (а то % и выше) обновление безопасности выходит уже после обнаружения уязвимости.
- новая версия ПО может быть несовместима по синтаксису, формату с прошлой
Итого: автообновление ПО чревато даунтаймом в несколько часов (при самих оптимистических прогнозах). и если это просто сервер, то еще можно распетлять, а если это узловой маршрутизатор...
- обновление ядра все же требует перезагрузки всей системы
В сухом остатке:
- лучше закрывать все возможные "дыры" на этапе настройки ПО, а не надеятся на исправления

"и тут всплывает картина перехода с PHP <= 7.0 к 7.1, или с postgres 8.X к 9.Х, c apahe2.4 (ряд можно продолжать)"

Никто не спорит, что обновлятся надо, но єто должно делаться "под чутким руководством" "с рукой на пульсе"

[Sly_tom_cat]

А вот мои наблюдения:
За последние пару лет вылезло немало дыр класса "удаленное исполнение кода". Там и в Апаче и во многих других вещах находили про CMS-ки - вообще лучше промолчать.....

За это же время вылезали достаточно регулярно и дыры класса "локальное повышение привилегий".

Надеюсь не нужно объяснять как сложить эти два класса дыр и что из этого проистекает....

И даже если вы получите по одному (любому из озвученных) классу багов обновление чуть позже чем о нем станет публично известно, то шансы получить систему с одновременно с двумя классами уязвимостей - не так высоки. А вот если вы не обновляете систему в течении многих месяцев шансы поиметь в системе сразу оба класса проблем значительно повышаются....

Я годика полтора тому назад брал VPS-ку в Канаде(с штатовским IP) побаловаться на пару месяцев, ох как было интересно логи наблюдать - 80, 22, 443 порты обдалбливали со всего света (и штаты, и Китай, и Израиль и всякие Уругваи с Зимбабве) причем набор средств довольно широкий, но в основном все довольно старые уязвимости пытались поюзать. На 22 порту, например, очень регулярно пароль рута подобрать пытались... Хотя я конечно не все то понял, чем тот сервер отыметь пытались.

Собственно на основе всего вышеописанного я и высказываю свой оптимистичный прогноз

[EvangelionDeath]

Sly_tom_cat, скажу даже больше. "китайские дузья" подобрали таки пароль к вдс и майнили там. у ок. ничего там небыло, кроме ts сервера. переустановл систему, сменил порта, закрыл ссш на 22, запретил логин по паролю, установил fail2ban (apache + mysql - не юзаются от слова вообще, хоть и запущены, надо будет и их отрубить).... и усе, китайские друзья через 3е сток забили =( Там банальный brutforce... и надо майнить хД