Intentando averiguar exactamente qué servicios deben reiniciarse despuésparcheando opensslcontra Heartbleed. Al menos una publicación menciona reiniciar:
sshd, apache, nginx, postfix, palomar, mensajería, ftpd puro, enlazar, mysql
- ¿Existe algún comando que se pueda ejecutar para ver qué servicios en ejecución dependen de openssl?
- ¿Existe algún comando para ejecutar en Apache/nginx para ver si el parche está activo para que no sea necesario reiniciar el servicio?
- ¿Deberíamos simplemente programar el tiempo de inactividad y reiniciar todos los servidores por completo?
EDITAR:Esta publicaciónsugiere usar: lsof -n | grep ssl | grep DELpara mostrar procesos que aún usan la versión anterior de OpenSSL marcados para su eliminación
Respuesta1
Como regla general al mitigar una vulnerabilidad importante en una biblioteca que utilizan muchos programas:reiniciar su servidor es la forma más fácil de asegurarse de haber reiniciado todos los programas afectados y de que nada esté usando el código antiguo (vulnerable).
No debe temer reiniciar sus sistemas (¡de todos modos debería hacerlo con bastante regularidad cuando instale parches!). Reiniciar regularmente sus servidores significa que puede estar seguro de que volverán a funcionar sin problemas, y si diseña su entorno para detectar fallas adecuadas La tolerancia a un reinicio no significa una interrupción. (De hecho, incluso si su entorno NO ES tolerante a fallas, estamos hablando de tal vez 10 minutos: una pequeña interrupción considerando la escala del problema de seguridad del que estamos hablando con heartbleed...)
Si por alguna razón no puede reiniciar, puede utilizarlo lsofpara determinar qué programas se están ejecutando y cuáles utilizan la biblioteca OpenSSL:sudo lsof -n | grep ssl
Para buscar algunos que utilicen la biblioteca ANTIGUA (eliminada), puede hacer sudo lsof -n | grep ssl | grep DEL.
Cada programa afectado deberá reiniciarse utilizando cualquier procedimiento apropiado para ese programa.