Решил проапгрейдить свежеустановленный трикс 2.8.0.3 (т.е. последний).

Yum update/upgrade предложил освежить 200+ пакетов. Перекрестился и согласился.
Первый заход был неудачен. На каком-то этапе было выдано что-то похожее на содержимое регистров процессора, и система перестала отзываться.

После рестарта, во второй заход обновилось все и без проблем. Повторно рестартнулся, все похоже в норме.

Веб-интерфейс работает. В поведении система не отличается от доапдейтовой. Но все равно как-то стремно ставить в продакшн такую систему. Год назад подобный апдейт отправил на тот свет трикс, после чего я старался не экспериментировать с yum update.

Что скажете? Рефрешите ли вы свои системы, или после установки заливаете эпоксидкой?

я свои прошивки тестирую под нагрузкой минимум месяц, т.е. чтоб не менее 20 тыс. звонков в сутки и аптайм - месяц

Вопрос все-же в другом. Стоит ли средствами yum-а обновлять пакеты, или нет. Будет ли от этого надежнее и безопаснее.

смотря в чем надежность меряется.
В любом случае, если до апдейта система работала нормально и без сбоев длительное время, то после обновления система априори менее надежна, пока не проработает столько же времени, сколько и старая.
безопасность на 99% зависит от настроек, на 0.5% зависит от реализации алгоритмов в системе.

switch, а как же обновления безопасности?
Вообще, это хороший вопрос. Если мне не изменяет память, в Elastix была возможность обновить системные пакеты через web-интерфейс. Есть ли это в trixbox?
Кстати, yum upgrade как-то убил мне Elastix (не боевой, к счастью).

wing, вы когда ставите обновления безопасности, вы точно знаете за что они отвечают и какую именно актуальную для вас проблему безопасности исправляют?
Какова стоимость защиты вашей информации, стоимость самой информации?
Сколько будет стоить простой компании из-за нарушений работы в следствии установки обновлений безопасности?
Сколько ваших voip серверов находится в публичном интернете?
Какова вероятность атаки на VoIP изнутри частной сети, если в этой сети есть вещи поважнее болтовни сотрудников?

PS: в штатном интерфейсе триксбокса есть обновлялка.
В нашей сборке - нет, так как обновляется прошивками и пакетами обновлений.

Про безопасность.
Де факто, обновления в бранче продукта предназначены для латания дыр безопасности. Вы не станете отрицать, что работающих эксплойтов для * 1.4.2 больше, чем для 1.4.30.

Про стоимость информации тоже вряд ли стоит говорить в привычном контексте.
Это не пресловутые номера кредитных карт. Это - тонны голосового трафика, который прокачают за ваш счет.

Сколько серверов находятся в публичном интернете.
У меня на всех серверах сидят как локальные пользователи, так и те, кто подключаются удаленно с динамических адресов.

zepps, покажите мне эти эксплойты!
И расскажите про них буквально в двух словах.
Если вы не следите за этим, а тупо обновляете, то это аналогично американской вере в бога: просто ходить в церковь.
Я вот не припоминаю "горячих" эксплойтов, позволяющих получить полный доступ к системе через астериск, чтобы слить трафик. Все, что на слуху эксплойты для DDOS атак, но ее и без эксплойтов можно замутить.
В общем самое надежное - предупредить чем расхлебывать последствия. Анализировать сетевую активность и принимать выводы. Тестировать конфигурации на безопасность.

Тонны трафика в 99.9% случаев - кривая настройка криворукого админа. Я вообще строго отрицательно отношусь выводом астериска в паблик инет. Все внешнее общение с сервисами локальной сети - строго через VPN.

В случае использования астериска только в рамках локальной сети простой по вине неправильного обновления принесет больше убытков.

Судя по вашим словам выходит, что команда Digium зазря трудится денно и ношно, выпуская релизы безопасности.

У меня слишком много разного рода систем (и астериск лишь малая его часть), чтобы мониторить все официальные и 0day бюллетени и попытаться следить за всеми ними, чтобы в голове смоделировать, можно ли будет крякнуть мой *, или быть может, пронесет.

Поэтому я и поднимаю вопрос о том, что если апдейтить yum-ом безопасно, то я его буду апдейтить хоть по крону.

По поводу VPN-ов.
То что вы не выносите * в паблик, похоже, следствие того, что вы таки боитесь хака. И думаете, что надежно защититесь от него непробиваемой стеной VPN-а. Но зачем долбиться в стену, если можно войти в дверь? Не нужно быть читателем журнала xakep, для того чтобы знать, что 90% атак инициируются изнутри. И голос за ваш/наш будут сливать уже по самым криптостойким алгоритмам.

zepps, вы мои посты читаете вообще?
Зачем вы говорите мне то, что я уже рассказывал?

С помощью какого апдейта защитите свой сервер от злоумышленника, который приволок в контору свой мини-сервер с астером и с помощью своего пароля слил пусть маленький, но трафик?

С помощью какого апдейта вы защититесь от скомпрометированной пары логин/пароль?

По поводу VPN: использование VPN это минимально необходимое средство обеспечения безопасности географически распределенной сети.

Касательно безопасности вообще: информационная безопасность это многофакторная проблема, которую априори нельзя решить на 100%.

PS: Для информации: вирусные заражения моего рабочего компьютера происходят в среднем раз в полгода и длятся от одного до 12 часов, при этом я не пользуюсь антивирусами, а WinXP уже работает четыре года без переустановки.