no way to compare when less than two revisions
Differences
This shows you the differences between two versions of the page.
— | aankondigingen:2018:cve-2017-5754-meltdown [2024/03/07 17:08] (current) – created - external edit 127.0.0.1 | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ~~META: | ||
+ | title = C2018D02: Meltdown | ||
+ | ~~ | ||
+ | ====== C2018D02: Meltdown ====== | ||
+ | |||
+ | ====== Voorstel klantcommunicatie ====== | ||
+ | ===== Aankondigingen ===== | ||
+ | ==== Onderwerp: onderhoud linux systemen NPO Hosting ==== | ||
+ | Beste Klant/ | ||
+ | |||
+ | zoals u in het nieuws heeft kunnen lezen zijn er onlangs twee | ||
+ | beveiligingsproblemen aan het licht gekomen, genaamd " | ||
+ | " | ||
+ | mogelijkheid bestaat dat een kwaadwillende gegevens kan lezen die | ||
+ | normaal gesproken niet beschikbaar zijn. Denk aan database credentials | ||
+ | of aan andere passwords. Op ons platform zijn op dit moment al | ||
+ | maatregelen actief om misbruik moeilijker te maken, maar vanwege de | ||
+ | ernst van de problemen zullen we op korte termijn extra maatregelen | ||
+ | nemen. Te weten: | ||
+ | * Alle servers in de clusters worden gepatched. Hier is een herstart voor nodig, wat in bepaalde gevallen een onderbreking van de dienstverlening zal veroorzaken. Zie voor de planning hieronder | ||
+ | * We maken het moeilijker om willekeurige (kwaadwillende) code uit te voeren die in temp of data directories is geplaatst, door executie vanaf deze plaatsen te verhinderen. | ||
+ | * Het ''/ | ||
+ | |||
+ | Impact: | ||
+ | Het herstarten van servers heeft impact in de webhosting omgeving ("het | ||
+ | appcluster" | ||
+ | andere omgevingen kunnen we door middel van loadbalancing en het sturen | ||
+ | van verkeer het herstarten van een losse server zonder impact opvangen, | ||
+ | maar in de hosting omgeving is dat helaas niet in alle gevallen | ||
+ | mogelijk. (denk bijvoorbeeld aan databases die niet dubbel uitgevoerd | ||
+ | zijn) | ||
+ | Het testcluster wordt 's avonds niet of nauwelijks gebruikt, daarom | ||
+ | zullen we servers van deze omgeving in de avond herstarten. Dit heeft | ||
+ | tot gevolg dat de diensten in het testcluster ongeveer een uur niet | ||
+ | beschikbaar zullen zijn. | ||
+ | Het appcluster wordt de klok rond gebruikt, maar 's nachts is het | ||
+ | rustiger dan overdag, hier kiezen we dus een moment in de nacht. | ||
+ | Het herstarten van servers wordt zodanig uitgevoerd dat veel diensten | ||
+ | in het geheel geen onderbreking zullen ondervinden, | ||
+ | met name databases 2x een korte (<< 1 min) onderbreking en sommige, | ||
+ | met name java gebaseerde diensten 2x een wat langere onderbreking (5-10 | ||
+ | min) omdat java vaak wat meer tijd nodig heeft om weer op te starten. | ||
+ | |||
+ | In de media zijn berichten te lezen dat de patch voor Meltdown tot | ||
+ | 30% vertraging kan opleveren. Hier zullen wij uiteraard op | ||
+ | monitoren, maar vanwege de opzet van onze clusters verwachten we dat | ||
+ | niet merkbaar gaat zijn in de dienstverlening. We beschikken over | ||
+ | voldoende reservecapaciteit om dit aan te kunnen. | ||
+ | |||
+ | Het verhinderen van het uitvoeren van code vanuit temp of data | ||
+ | directories is op dit moment al actief in het testcluster en wordt na de | ||
+ | herstart van de appcluster servers ook daar actief. | ||
+ | |||
+ | Het disablen van het ''/ | ||
+ | negatieve impact hebben, omdat gebruikers die via ssh inloggen geen | ||
+ | password hebben en '' | ||
+ | manier tussen deze gebruikers te switchen. | ||
+ | |||
+ | Omdat er in deze periode ook nog een aantal andere wijzigingen gepland | ||
+ | waren volgt hier een compleet overzicht van de geplande acties voor deze | ||
+ | en volgende week: | ||
+ | ^ datum ^ tijd ^ actie ^ impact ^ | ||
+ | | 9 jan | 8:00 - 12:00 | herstart nameserver instanties tbv versie update | geen | | ||
+ | | 9 jan | 8:00 - 12:00 | herstart mailserver instanties tbv versie update | geen | | ||
+ | | 10 jan | 8:00 - 12:00 | herstart oude applicatieserver (apache/ | ||
+ | | 10 jan | 8:00 - 17:00 | OS upgrade testcluster | geen | | ||
+ | | 11 jan | 8:00 - 12:00 | disablen ''/ | ||
+ | | 11 jan | 8:00 - 12:00 | herstart nginx webserver instanties tbv versie update | geen | | ||
+ | | 11 jan | 8:00 - 17:00 | OS upgrade mail relays, dns servers en ondersteunende omgevingen | geen | | ||
+ | | 11 jan | 20:00 - 24:00 | herstart servers testcluster ivm Meltdown/ | ||
+ | | 12--16 jan | 8:00 - 17:00 | herstart servers mail relays, dns servers en ondersteunende omgevingen ivm Meltdown/ | ||
+ | | 17 jan | 8:00 - 17:00 | OS upgrade webhosting omgeving (appcluster) | geen | | ||
+ | | 18 jan | 1:00 - 5:00 | herstart servers appcluster | ||
+ | | 18 jan | 8:00 - 17:00 | OS upgrade streaming omgeving | geen | | ||
+ | | 22--26 jan | 8:00 - 17:00 | herstart servers streaming omgeving ivm Meltdown/ | ||