Пытаюсь выяснить, какие именно службы следует перезапустить послеисправление opensslпротив Heartbleed. По крайней мере один пост упоминает перезапуск:
sshd, apache, nginx, postfix, dovecot, courier, pure-ftpd, bind, mysql
- Есть ли команда, которую можно запустить, чтобы увидеть, какие запущенные службы зависят от openssl?
- Есть ли команда, которую можно запустить на Apache/NGINX, чтобы проверить, активен ли патч, и не перезапускать службу?
- Может быть, нам просто запланировать время простоя и полностью перезагрузить каждый сервер?
РЕДАКТИРОВАТЬ:Эта почтапредлагает использовать: lsof -n | grep ssl | grep DELдля отображения процессов, все еще использующих старую версию OpenSSL, отмеченных для удаления
решение1
Общее правило при устранении серьезной уязвимости в библиотеке, используемой многими программами:Перезагрузка сервера — самый простой способ убедиться, что вы перезапустили все затронутые программы и что ни одна из них не использует старый (уязвимый) код..
Вам не следует бояться перезагрузки ваших систем (вам в любом случае следует делать это довольно регулярно, когда вы устанавливаете исправления!) — регулярная перезагрузка ваших серверов означает, что вы можете быть уверены, что они восстановятся без проблем, и если вы спроектируете свою среду с учетом надлежащей отказоустойчивости, перезагрузка не означает простоя. (Если на то пошло, даже если ваша среда НЕ отказоустойчива, мы говорим, может быть, о 10 минутах — крошечный простой, учитывая масштаб проблемы безопасности, о которой мы говорим в heartbleed...)
Если по какой-то причине вы не можете перезагрузить компьютер, вы можете использовать команду lsofдля определения запущенных программ, использующих библиотеку OpenSSL:sudo lsof -n | grep ssl
Чтобы найти те, которые используют СТАРУЮ (удалённую) библиотеку, вы можете сделать sudo lsof -n | grep ssl | grep DEL.
Каждую затронутую программу необходимо перезапустить, используя подходящую для нее процедуру.