試圖弄清楚之後應該重新啟動哪些服務修補 openssl對抗Heartbleed。至少一篇文章提到重新啟動:
sshd、apache、nginx、postfix、dovecot、courier、pure-ftpd、bind、mysql
- 有沒有可以運行的命令來查看哪些正在運行的服務依賴 openssl?
- 是否有一個命令可以針對 apache/nginx 運行來查看補丁是否處於活動狀態,以便不需要重新啟動服務?
- 我們是否應該安排停機時間並完全重新啟動每台伺服器?
編輯:這個帖子建議使用:lsof -n | grep ssl | grep DEL顯示仍在使用標記為刪除的舊版 OpenSSL 的進程
答案1
作為緩解許多程式使用的庫中的主要漏洞的一般規則:重新啟動伺服器是確保重新啟動每個受影響的程式並且沒有任何內容使用舊的(易受攻擊的)程式碼的最簡單方法。
您不應該擔心重新啟動系統(無論如何,當您安裝補丁時,您應該經常這樣做!) - 定期重新啟動伺服器意味著您可以確信它們會毫無問題地恢復,並且如果您為適當的故障設計了環境容忍重啟並不意味著中斷。 (就此而言,即使您的環境不具有容錯能力,我們討論的時間也可能是 10 分鐘 - 考慮到我們正在談論的安全問題的規模,這只是一個微小的中斷…)
如果您由於某些原因無法重新啟動,您可以使用以下方法lsof來確定正在執行哪些程式正在使用 OpenSSL 程式庫:sudo lsof -n | grep ssl
若要尋找使用 OLD(已刪除)庫的庫,您可以執行以下操作sudo lsof -n | grep ssl | grep DEL:
每個受影響的程序都需要使用適合該程序的任何程序來重新啟動。