どのサービスを再起動すべきかを正確に把握しようとすると、openssl のパッチ適用Heartbleed に対抗。少なくとも 1 つの投稿で再起動について言及されています。
sshd、apache、nginx、postfix、dovecot、courier、pure-ftpd、bind、mysql
- 実行中のサービスのうち、openssl に依存しているものを確認するために実行できるコマンドはありますか?
- サービスを再起動する必要がないように、パッチがアクティブかどうかを確認するために apache/nginx に対して実行するコマンドはありますか?
- ダウンタイムをスケジュールして、すべてのサーバーを完全に再起動するべきでしょうか?
編集:この郵便受けlsof -n | grep ssl | grep DEL削除対象としてマークされた古いバージョンのOpenSSLをまだ使用しているプロセスを表示するには、次の使用法をお勧めします。
答え1
多くのプログラムで使用されるライブラリの主要な脆弱性を軽減する場合の一般的なルールは次のとおりです。サーバーを再起動することは、影響を受けるすべてのプログラムを再起動し、古い(脆弱な)コードを使用していないことを確認する最も簡単な方法です。。
システムの再起動を恐れる必要はありません (いずれにせよ、パッチをインストールするときは、かなり定期的に行う必要があります)。サーバーを定期的に再起動すると、問題なく復帰することが確実になります。また、適切なフォールト トレランスのために環境を設計すれば、再起動しても停止にはなりません。(さらに言えば、環境がフォールト トレランスでない場合でも、停止時間はおそらく 10 分です。Heartbleed で話題になっているセキュリティ問題の規模を考えれば、停止時間はごくわずかです...)
何らかの理由で再起動できない場合は、lsofOpenSSL ライブラリを使用している実行中のプログラムを特定するために、次を使用できます。sudo lsof -n | grep ssl
古い(削除された)ライブラリを使用しているものを検索するには、 を実行しますsudo lsof -n | grep ssl | grep DEL。
影響を受ける各プログラムは、そのプログラムに適した手順を使用して再起動する必要があります。