Je crois savoir qu’un utilisateur n’est pas censé se connecter sur la machine. Il me semble que c’est très fortement déconseillé.
Mais du coup je me pose la question parce que j’attends depuis que j’ai reçu la Jeedom Atlas: quand est ce que cette Atlas met à jour ses packages ? Pour l’instant elle ne l’a jamais fait.
Dans le lot il y a des mises à jour apache, ma Jeedom Atlas est directement accessible sur internet puisque les DNS Jeedom ne marchent plus dans ma situation, et donc je n’aime pas l’idée que ce type de dépendances ne soient pas parfaitement à jour.
Est ce que c’est déclenché à un moment, ou ça n’arrivera jamais ? Merci !
Je fais suite à mon message et suite à l’échange que j’ai eu avec le Support Jeedom (très sympa au passage) :
Question Comment se fait la MàJ de l’OS Armbian ? (automatique ou manuel ou il ne faut rien faire)
Réponse du support (merci Denis !) : « Il ne faut rien faire »
Donc pas de soucis à se faire sur les mises à jour de l’OS.
Au passage, je suis satisfait à 100% par la box Atlas. Je recommande cette version de Box.
Perso très content aussi de la BOX ATLAS.
Mais la réponse ne veut rien dire pour moi.
Il ne faut rien faire : ça veut dire que c’est fait en automatique ou que les MàJ ne se font pas ???
Ca veut dire qu’actuellement la Jeedom Atlas est non maintenue au niveau OS depuis plusieurs mois, alors qu’elle est exposée à Internet.
Dans mon cas en direct puisque le service DNS ne fonctionne plus dans ma situation.
Ce sera un point négatif (très négatif même) relevé dans mon test long terme.
Bonjour,
Je suis assez étonné de ta conclusion (qui me semble hâtive) , tu n’as aucune mise à jour de sécurité en attente ca veut donc bien dire que l’os est mis a jour ? Juste nous ne passons pas la mise à jour dès quelle arrive on préfère tester sur nos box de test et pousser ensuite la mise à jour si celle-ci est bien validé et ne casse rien. A moins que tu préfères un systeme de mise à jour tous les jours quitte a casser jeedom ?
Parce que ça fait 3 mois que je fais des upgrades d’OS, en l’absence de réponse.
Je ne vais pas laisser une machine dont le port 443 est exposé sur internet sans mise à jour. Je pensais que le plugin Atlas gérait les mises à jour, mais pour le moment il ne s’est rien passé, à ma connaissance, depuis septembre.
Au mois de décembre, en l’absence de réponse, j’ai mis à jour ma box par moi même même si ça va à l’encontre des directives dans la documentation. Mais honnêtement ça ne me dérange pas, ayant passé des années en DIY à faire mes mises à jour de sécurité immédiatement, et mes mises à jour de maintenance au moins une fois par mois.
Je te conseil fortement de pas les faire toi même, on a deja eu des cas ou la box était morte suite a un update OS, c’est pas pour rien qu’on test pendant des mois les mise à jour avant de le faire sur vos boxs.
Et d’un point de vue sécurité je lis les bulletin de sécurité tous les matins pour savoir si ya des trucs qui touche jeedom et sont vraiment grave, si c’est le cas la maj vous est poussé dans la journée (c’est deja arrivé), dans le cas contraire on préfère préserver la stabilité du systeme si il n’y aucun risque.
En tous cas je ne trouve pas ça rassurant de ne pas voir et savoir si des mises à jour sont étudiées, poussées, pas poussées volontairement, si la mise à jour a eu lieu, laquelle, quand.
Je sais que la majorité des utilisateurs s’en moquent probablement un peu, ils prennent une box et ils ne veulent pas ou ne savent pas s’en occuper. Mais moi je n’aime pas avoir un truc qui tourne chez moi et exposé sur internet sans savoir qu’il est correctement mis à jour.
Est ce qu’il y a des moyens de tracer tout ça sur sa box ? dans la partie OS, plugin, ou ailleurs, je ne sais pas trop ?
Non pour l’instant non, on fait nous comme deja dit une étude tous les matins des bulletin de sécurité et on pousse en urgence si vous etes concerné, on ne prend vraiment pas la sécurité a la légère comme tu le laisse entendre (c’est pas pour rien qu’une grosse partie du budget jeedom est alloué a un organisme qui fait des analyse de sécurité, crois moi on aimerait s’en passer).
Donc je le dit et redis : chaque mise à jour est étudiée, poussé si nécessaire et si pas de soucis et sinon non. Mais effectivement pour le moment vous ne pouvez pas le voir, je n’avais rien prévu de nouveau la dessus (le temps d’analyse de chaque faille est deja assez considérable pour que je ne me rajoute pas de la charge en plus). Mais je note que tu le demandes, si on voit que c’est une demande importante de la communauté dans ce cas on fera peut etre quelques chose avec des logs (que personne va comprendre mais bon)
En fait je fais un apt-get update. Déjà, si j’ai un diff, ça m’angoisse un peu.
Après ça se comprend de ne pas mettre à jour sur la dernière version de php par exemple, s’il y a besoin de valider. Mais voir du mariadb qui traine, ou du apache, ça, honnêtement, ça me fait plutôt peur.
Par contre je me suis peut etre mal exprimé. Je ne dis pas qu’il n’y a pas d’effort réalisé sur la sécurisation de jeedom. Je le vois bien, et c’est même accentué sur les nouvelles versions.
Mais j’avais un noyau d’écart avec armbian, j’ai environ +75 paquets mis à jour depuis ma dernière vérif. Ca inquiète un peu, même si je m’y connectais à ce moment là que pour reconfigurer mon renouvellement de certificat.
Le noyaux faut surtout pas le mettre a jour, le notre est particulier si tu recupere celui d’armbian tu vas tout planter.
Attention a bien distinguer mise à jour et mise à jour de securité, exemple la les derniere cve apache concerne des fonctions qui ne sont pas active dans jeedom (on en active le moins possible) donc il n’y a aucun raison de mettre a jour si ce n’est aimer le risque.
Idem pour mariadb le risque est quasi nul car tout passe par pdo qui est en mode secure, il ne laissera donc pas passer les requetes d’attaque, en plus jeedom ne permet pas de faire des requetes non prévu (hormis sur la page database mais la la sécurité est accru donc c’est que la personne a eu un accès a jeedom avant).
Tu sais toute l’équipe a du jeedom (dont une grosse partie sur atlas) on ne laissera pas un systeme non sur chez nous.
Petite suggestion : vous pourriez créer votre propre repo APT pour pousser uniquement les mises à jour que vous avez validé… ça éviterai les accidents.
C’est ce qu’on avait fait sur la Smart, ça marché très mal, avait un coût de maintenance énormément et posé de nombreux soucis. Au final aussi bien vous que nous étions tous perdant, nous n’avons donc pas renouveler sur l’Atlas
