КОНСАЛТИНГ | IT-АУТСОРСИНГ | РЕШЕНИЯ | КЕЙСЫ
❌ Windows и Linux ломают регулярно — и жертвами становятся даже сами создатели: Canonical, Red Hat и другие. Вот лишь несколько случаев за последние дни:
Ubuntu лежит больше 12 часов. Миллионы не могут скачать систему — хакеры требуют переговоров с Canonical
https://www.securitylab.ru/news/572265.php
Red Hat оказалась в центре атаки на цепочку поставок через npm
Red Hat оказалась в центре атаки на цепочку поставок через npm
✅ И это — только то, что попало в новости.
Проблемы стандартны и обычны:
1. архитектурные ошибки при разработке
2. гигантское количество не нужного встроено в софт с сотнями тысяч строк кода
3. отсутствие регулярного аудита кода
Но даже при всех архитектурных проблемах — часть вины лежит на тех, кто эксплуатирует системы. Не обновляют ни ОС, ни софт: боятся что-то сломать или уже сами не понимают, что у них там работает и зачем.
Решение простое: использовать системы с выверенной архитектурой, минимумом лишнего кода и регулярным аудитом. FreeBSD именно такая — 30 лет без архитектурных компромиссов.
Обновить FreeBSD и весь софт в клетках — одна команда. А если боитесь что-то сломать — ZFS-снимок делается за секунду:
1. Снимок перед любыми изменениями
Хост (вся система рекурсивно):
zfs snapshot -r zroot@before-updateОдна клетка через Bastille:
bastille zfs web snapshot update_soft или zfs snapshot zroot/bastille/jails/zbx@update_softПосмотреть снимки:
bastille list snapshot или zfs list -t snapshot2. Обновление FreeBSD и пакетов в клетках
# Патчи базовой системы хоста
freebsd-update fetch && freebsd-update install# Пакеты хоста
pkg update && pkg upgrade -y# Пакеты во всех клетках
bastille cmd ALL pkg update && bastille cmd ALL pkg upgrade -y# Перезагрузить если обновилось ядро
shutdown -r now3. Откат при проблемах в клетке
Откат клетки:
bastille zfs web rollback update_softЗагрузиться со снимка (boot environment)
Если используете bectl (Boot Environments — стандарт для ZFS на FreeBSD):
# Создать boot environment из снимка
bectl create -e default before-update# Посмотреть список
bectl list# Активировать и перезагрузиться
bectl activate before-update
shutdown -r nowВ загрузчике (bootloader) также можно выбрать нужный BE вручную через меню — клавиша 7 → Boot Environments.
Удалить старый снимок когда всё ок
# Хост
zfs destroy -r zroot@before-update # Клетка
bastille zfs web destroy before_soft или zfs destroy zroot/bastille/jails/zbx@before-updateСопровождайте системы, следите за новостями на securitylab.ru и свежими портами на freshports.org. Безопасность — это процесс, а не состояние.
Ссылки
Комментарии