Ich versuche herauszufinden, welche Dienste nach dem Neustart neu gestartet werden sollen.OpenSSL patchengegen Heartbleed. Mindestens ein Beitrag erwähnt den Neustart:
sshd, Apache, Nginx, Postfix, Dovecot, Courier, Pure-FTP, Bind, MySQL
- Gibt es einen Befehl, mit dem man sehen kann, welche laufenden Dienste von OpenSSL abhängig sind?
- Gibt es einen Befehl, der gegen Apache/Nginx ausgeführt werden kann, um zu sehen, ob der Patch aktiv ist, sodass der Dienst nicht neu gestartet werden muss?
- Sollten wir einfach Ausfallzeiten einplanen und alle Server komplett neu starten?
BEARBEITEN:Dieser Beitragschlägt vor, Folgendes zu verwenden: lsof -n | grep ssl | grep DELum Prozesse anzuzeigen, die noch die alte Version von OpenSSL verwenden und zum Löschen markiert sind
Antwort1
Als allgemeine Regel gilt beim Beheben einer schwerwiegenden Sicherheitslücke in einer Bibliothek, die von vielen Programmen verwendet wird:Ein Neustart Ihres Servers ist der einfachste Weg, um sicherzustellen, dass Sie alle betroffenen Programme neu gestartet haben und dass nichts den alten (anfälligen) Code verwendet..
Sie sollten keine Angst davor haben, Ihre Systeme neu zu starten (Sie sollten dies ohnehin ziemlich regelmäßig tun, wenn Sie Patches installieren!) – regelmäßige Neustarts Ihrer Server bedeuten, dass Sie sicher sein können, dass sie ohne Probleme wieder hochfahren, und wenn Sie Ihre Umgebung auf eine angemessene Fehlertoleranz auslegen, bedeutet ein Neustart keinen Ausfall. (Selbst wenn Ihre Umgebung NICHT fehlertolerant ist, sprechen wir hier von vielleicht 10 Minuten – ein winziger Ausfall angesichts des Ausmaßes des Sicherheitsproblems, über das wir bei Heartbleed sprechen …)
Wenn ein Neustart aus irgendeinem Grund nicht möglich ist, können Sie Folgendes verwenden, lsofum zu ermitteln, welche Programme ausgeführt werden, die die OpenSSL-Bibliothek verwenden:sudo lsof -n | grep ssl
Um solche zu finden, die die ALTE (gelöschte) Bibliothek verwenden, können Sie Folgendes tun sudo lsof -n | grep ssl | grep DEL.
Jedes betroffene Programm muss mit dem für das Programm geeigneten Verfahren neu gestartet werden.