Hallo zusammen,
mal eine allgemeine Frage. Da sich bei mir inzwischen ein umfangreicher Gerätezoo angesammelt hat und es irgendwie für alles Updates gibt wollte ich mal fragen wie ihr das handhabt.
Einerseits gilt bekanntlich "Never touch a running systen", andererseits will ich auch auf der sicheren Seite sein.
Mein Beispiel:
- Dell T20 mit ESXi -> BIOS-Updates und ESXi-Updates werden gemacht
- Fritzbox 7590 -> Firmware-Updates werden gemacht
- VM mit debian -> Updates werden gemacht
- FHEM -> Updates sporadisch
- tasmota-devices -> Updates nie ( läuft ja)
- Homematic-devices -> Updates nie (wie geht das?)
- OpenWRT-Router -> sporadisch
Über normale Clients (egal welches OS) sollten wir nicht diskutieren, die sollten immer aktuell sein.
Also ich versuche immer nah am aktuellen Stand dran zu bleiben.
Aber immer eins nach dem anderen, damit man die Fehler zuordnen kann.
Gesendet von meinem SM-G930F mit Tapatalk
Genau.
Immer nur 1 Change auf einmal und vorher Backup anlegen.
- Bei Sicherheitsupdates empfehlen wir "keine Kompromisse ", was manchmal schwer umzusetzen ist.
- Bei Funktionsupdates sollte man den Nutzen für sein Anwendungsfeld prüfen.
- Fehlerkorrekturen muss man ebenso prüfen, ob notwendig bezogen auf die Anwendung.
Soweit die Theorie.
Gruß Helmut
OpenWRT würde ich - gerade auch aus Sicherheitsaspekten - immer aktuell halten. Tasmota ist unproblematisch. Ich habe TasmoAdmin in einem Docker Container laufen, das sind 2 Mausklicks und alle Devices sind auf dem neuesten Stand.
Prinzipiell würde ich immer alles möglichst aktuell halten. Man weiß nie welche Lücken gefixt wurden wenn man nicht alle ChangeLogs liest...
Auch sollte man nach Bedrohungszenarien vorgehen.
Ein Frontsystem (Router) sollte/muß sofort upgedatet werden. Teoretisch könnte man bei Updates gucken, ob eventuelle Sicherheitslücken einen selber betreffen, aber meistens bekommt man diese Info nicht, also ist Update besser. Alternativ ist man aus dem Netz praktisch ungeschützt.
Genau so ist es mit aus dem Netz erreichbare Geräte, auch wenn sie kein Portforwarding haben, aber selber "Tunnel" öffnen. z.B. NAS Systeme (Synology QNAP etx.)
Auch Zentrale Infrastruktur, wie eben OpenWRT, WLAN-Acesspointss u.Ä. sollten aktuell sein.
Ansonsten versuche ich auch, Schaden dadurch zu minimieren, das eben Geräte nicht im Gleichen Netz sind (Seperation). Wenn die Sensoren in einem eigenen Netz, kann man sich mit Updates Zeit lassen und andere testen lassen ...