[Frage] automatische Security Update's

E

eLgino

Guest
moin, ...


Ich suche ein Tool das automatisch die Security Update's installiert ohne denn "Rechner" neu zu booten und weder denn Kernel neu zu compilen (nicht wirklich sehr effektiv).

Ich meine zu glauben hier schon denn namen des Tools wo gelesen zu haben, durch die SuFu finde ich zur zeit leider nichts.
 
ah ich glaub schon, danke

eine feine sache (c) Coca Cola Company
 
Aha.. Du willst also eine Kernel-Sicherheitluecke entfernen, indem Du weder den Kernel neu kompilierst, noch einen nicht mehr betroffenen Kernel durch einen Neustart zu laden?

Die Logik dahinter wirst Du uns sicher auch noch erklaeren.
 
Das System, das bei freebsd-update dahinter steht ist im Grunde
ziemlich einfach. Die Autoren haben ein Programm geschrieben,
das die Dateien einer Standard-Release-Installation mit der einer
(durch die Sources) neu gebauten Version vergleicht. Die
Unterschiede werden registriert und gefiltert (manche Unterschiede
in den Dateien können vernachlässigt werden) und freebsd-update
überschreibt dann die betroffenen Dateien der Standardinstallation,
um die Sicherheitsupdates zu installieren.

Am einfachsten kann man sich das mit dem Windowsupdate vorstellen, dieses funktioniert ja auch ohne Neukompilierung (wie
auch ohne Sources :o) und behebt dennoch wichtige Systemkernfehler.

Eine sehr gute Erläuterung von den Autoren selbst befindet sich unter:
http://www.daemonology.net/freebsd-update/binup.html

Ich benutze das Programm selbst auch.
Die Grenzen liegen jedoch in der Beschränkung in der Variation.
(wenn man Systemdatei angepasst hat, können diese nicht
erneuert werden)
Gebenfalls müssen einige Ports neukompiliert&installiert werden.

vielleicht hilft das, ansonsten siehe link!
mfg jo
 
Korrektur, es können auch modifizierte Systeme upgedatet werden, jedoch muß man dann Parameter mit angeben, die angeben welche "Update Linie" gefahren werden soll.

Mich stört an dem System jedoch, dass man nie weiss auf welchem Patch Stand man sich befindet verglichen mit der Security Branch. Da sieht man dann z.B. schön bla-p12. Das war der Punkt wo ich es wieder weggeschmissen habe.

Zudem meine ich, dass nicht unbedingt für alles einen Patch gibt (kann mich jetzt auch irren, keine Lust nachzulesen :-)

Gruß, incmc
 
Zudem meine ich, dass diese updates nicht den Kernel betreffen. Wie soll das gehen? Jeder hat seinen eigenen Kernel und evtl. gibt es daher bei dem einem was zu patchen, bei dem anderen aber nicht, weil er dieses Feature gar nicht drin hat.
Bei Windows gibt es einen Standardkernel... da ist das einfacher.

Weiterhin müsstest du selbst dann den Kernel neu laden, also neu booten, damit das aktiv wird. Das geht auch bei Win nicht anders...

Gruß, incmc
 
kp, ob und wie es funktioniert, ich hab nur keinen bock denn server immer neu zu starten wenn eine neue sicherheitslücke entdeckt wird, da kann ich ja gleich eine WinCE box laufen lassen wär das gleiche
 
Windows startet auch nicht immer neu, nur wenn es sein muß :-) Ok, ausser W98 / ME, hehe.

Gruß, incmc
 
Man muss auch nicht für jeden dahergelaufenen patch das ganze System oder den Kernel kompilieren, nur wenn es auch so in der Beschreibung steht.
Handelt es sich um third-party software, muss man nur den Dienst neu starten (und gerade bei der installierten Software, je nach Menge, gibt es meist mehr zu patchen als am Kernel selbst).

Und wenn man den Kernel neu übersetzen muss, dann macht man dies eben und startet eben schnell durch. Wen interessiert das? Wenn die Kiste keine 60 Sekunden offline sein darf, dann macht man mit nur einer Büchse so oder so was falsch.
Zumal man auch einen cronjob anwerfen könnte der die Kiste dann irgendwann in der Nacht neu startet...

Ich sehe nun nicht wirklich das Problem. Ausser man ist uptime Fanatiker, aber dann kann einem so oder so nicht mehr geholfen werden.
 
Original geschrieben von eLgino
kp, ob und wie es funktioniert, ich hab nur keinen bock denn server immer neu zu starten wenn eine neue sicherheitslücke entdeckt wird, da kann ich ja gleich eine WinCE box laufen lassen wär das gleiche
Zum Vergrößern anklicken....
Jau, dann ist ja die fett krasse Uptime auf "uptimes.net" im Arsch!!!11!
 
Original geschrieben von Doomshammer
Jau, dann ist ja die fett krasse Uptime auf "uptimes.net" im Arsch!!!11!
Zum Vergrößern anklicken....

na du kleiner 31337-h4xx0ß, du bist peinlich

... und soviel ich weiss kann zB. 'Debian' denn kernel (auch einen neuen) neu laden ohne neu zu booten ...
 
Zuletzt bearbeitet von einem Moderator:
So, jetzt halten alle mal den Ball wieder flach.

@eLigno
Wo ist das Problem "rebbot" einzugeben und gerade mal 1 Minute zu "warten"? Ich sehe es leider nicht wirklich. Und wie oft musst Du den Kernel patchen und rebooten?
Wenn es Du soviel Wert darauf legst, und ein Debian das wirklich kann, dann solltest Du Debian nutzen.
 
*lol* tolle antwort, wirklich ...

wenn man mal die news durchforstet eigentlich schon sehr oft, und es nervt wie gesagt eben und man hockt ja auch nicht immer daheim und hat dennoch einiges an serverdiensten am laufen.
 
@eLigno
Wird das nun Deine eigene Muppetshow oder kommst Du jetzt wieder auf einen normalen Level zurück?

Ich habe schon x-mal von remote meinen Server neu gebaut (und nicht nur den Kernel), ohne Probleme. Sicher wäre es nett müsste man nicht rebooten, aber es ist auch nicht wirklich lästig.
Du sprichst von einigen Serverdiensten, was ist denn so wichtig das es nicht 1 Minute weg sein kann? Nochmals, wenn es so wichtig ist, dann solltest Du über ein failover nachdenken, Maschine und Leitung. Ansonsten ist die Minute zu vernachlässigen.
Ich sehe das Problem immer noch nicht, ausser das "haben haben haben" von einem Feature was man nicht wirklich braucht evtl. ganz nett wäre und der Aussage das "Debian" das kann. Dann, nochmals, nimm doch Debian, wenn Dir dies so wichtig ist.
 
@eLgino
von eLgino
... und soviel ich weiss kann zB. 'Debian' denn kernel (auch einen neuen) neu laden ohne neu zu booten...
Zum Vergrößern anklicken....
Hast du dazu (Internet-)Quellen zur Hand? Würde mich mal interessieren wie das gemacht wird.
 
Zuletzt bearbeitet:
ja aber FreeBSD ist das System meiner wahl nicht Debian wird es auch nie werden ... ich schrieb auch nicht das ich es unbedingt jetzt haben will weil debian es (angeblich) kann sondern das es eben debian kann und FreeBSD noch nicht, hätte ja sein können das FreeBSD es eben doch kann.

@Feanor, nein leider nicht ... ein Debian-User aus der umgebung meinte das das möglich wäre (ich selbst hab Debian ja nur einmal zum antesten installiert gehabt, aber gleich wieder runtergeschmissn)
 
@eLigno
Nun, dann hat sich das doch alles erledigt, oder? ;-)
Es geht so nicht (und würde mich interessieren wie das bei Debian geht wenn der Kernel ein Loch hat und Teile davon ausgetauscht werden sollen und der dann ohne reboot rennt), und dann musste doch nen reboot machen und damit (erstmal) leben.
Ich denke es gibt schlimmeres als ab und an die Kiste mal neu durchzustarten...
 
Ja, auch bei Debian funzt das afaik nicht, ohne reboot. Ansonsten wuerde mich interessieren, wie das angestellt wird.
 
Das funktioniert auch mit Debian nicht (denn Debian ist auch nur eine Linux-Distribution) - zumindest nicht auf x86-Maschinen.
Du solltest Deine Quellen erstmal verifizieren bevor Du hier Halbwissen verbreitest.
Und Deine Kinderkagge, magst Du mir bitte das naechste mal per PN senden, da sie hier im Forum OT ist und nichts zu suchen hat.
 
@incmc
Kernelupdates mit dem Tool funktionieren nur mit dem Generic-Kernel.
Das meinte ich mit der schlechten Variation.
(wenn du z.B. Multiprozessorenunterstützung brauchst und 4.x fährst,
dann funktionieren das Tool nicht, oder du nimmst den Generic und hast
kein smp...)
Klar ist bei Kernelupdates ein Reboot nötig, hab nichts anderes behauptet :)
Der Vergleich mit Windows bezog sich darauf, dass das da auch ohne
Neukomplimierung geht. (gleiches Prinzip des Dateiüberschreibens)

Danke für den Hinweis mit den evtl. fehlenden Sicherheitsupdates, ich werde
das mal prüfen.
mfg jo
 
Original geschrieben von Doomshammer
Das funktioniert auch mit Debian nicht (denn Debian ist auch nur eine Linux-Distribution) - zumindest nicht auf x86-Maschinen.
Du solltest Deine Quellen erstmal verifizieren bevor Du hier Halbwissen verbreitest.
Und Deine Kinderkagge, magst Du mir bitte das naechste mal per PN senden, da sie hier im Forum OT ist und nichts zu suchen hat.
Zum Vergrößern anklicken....

Ich weiss das 'Debian' 'nur' eine Linux Distribution ist.

Mit dir zu 'schreiben' hat keinen sinn, du schreibst ich soll meine 'kinderkagge' (was für ein hoch intelligenter dialekt) per PN schreiben, wieso fängst du nicht damit an (nein ich schreib das nicht per PN, da ich das von dir sehr unintelligent finde was du hier abziehst)

Man beachte auch das die ganze sache eigentlich schon abgeschlossen war/ist, dennoch wolltest/willst du mich indirekt beschimpfen.

Fragen, Beschwerden, Anregungen per PN.

wiederschaun, hab besseres zu tun als solche blöden kommentare zu lesen und zu beantworten.
 
Zumindest weisz ich, dass man einen Linux- o. BSD-Kernel auf einer x86 Maschine nicht ohne einen Reboot in den Speicher laden kann - was auf anderen Systemarchitekturen durchaus moeglich ist.

Ueber meine Intelligenz brauchst Du Dir auch keine Sorgen zu machen, die ist naemlich, im Gegensatz zu Deiner korrekten Rechtschreibung vorhanden.

Du magst Dir bitte das naechste mal eine grosse Tuete Clue aneignen, bevor Du mich vollwimmerst.
 
jo komm kauf dir umlaute

bezüglich intelligenz: wer ist hier nun off-topic?

ich sags nochmal: du bist peinlich

wiederschaun, und nun per PN! oder bist du zu dumm?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben