[Fwd: trable s openssl nrpe2 openssh ...]
Dan Lukes
dan at obluda.cz
Thu Mar 16 11:15:22 CET 2006
Roland napsal/wrote, On 03/16/06 10:40:
> ale precejen je to produkcni server zakaznika, ktery do upgrade na 6.0
> zatim nechce jit
Tomu ja docela rozumim. Navic, prosty upgrade by to patrne nevyresil -
i tam by byla pritomna verze systemova a verze z portu a nejspis by se
verze neshodovaly.
>> Uplne nejlepsi by bylo jednu z verzi proste odstranit. V pripade, z eby
>> odstranovana verze byla ta systemova, tak to vyzaduje trochu zkusenosti
>> a drzosti. Takze bych doporucil zvazit, proc je nainstalovana ta verze z
>> portu, a pokud se zjisti, ze to nema zadny rozumny duvod, tak bych
>> odstranil tu.
>
> Mno jo, odstranit ... systemova verze je muj jediny funkcni pristup,
> takze do toho asi nepujdu. Jde nejak, sebesloziteji vysledovat, co
> vlastne ta binarka otvira za knihovny? Priznam se, ze ac spravce, zrovna
> tahle oblast mi moc blizka neni ... :(
Pokud jde o "staticky definovane" dynamicke knihovny, tak
ldd /usr/sbin/sshd
rekne, jake knihovny aktualne pouzije, pokud se spusti.
Aplikace ale jeste muze (pripad sshd to ale pokdu vim neni) pouzit
dalsi knihovny za behu (volanim dlopen() ) - a takove uz lze patrne
zjistit jen studiem zdrojovych kodu. Nastesti, to neni tak caste.
> Mno jo, odstranit ... systemova verze je muj jediny funkcni pristup,
Proto take navrhuji odstranit tu verzi z portu - ledaze se vi, ze neco
potrebuje prave tuhle novou.
Nicmene "jediny funkcni pristup" zni dramaticteji, nez to ve
skutecnosti je.
Napriklad je mozne si sshd prelozit (take) staticky a tuto verzi
nasadit na nejaky jiny port (jeste lepsi je mozna ji nakonfigurovat na
nejaky vhodny port do inetd). Pokud kvuli cachrum s knihovnami selze
"hlavni" sshd, zbude stale jeste to zalozni, ktere, jelikoz slinkovane
staticky, by nemelo byt na cachry s knihovnami citlive.
Vyhoda umisteni do inetd je v tom, ze i kdyby nahodou z nejakeho duvodu
chciplo, nastartuje se znovu.
Popravde receno, tento "nouzovy pristup" mam nakonfigurovany (jen to
sshd nemam prelozene staticky ale bezne) na nekolika dulezitejsich
strojich aniz bych se tam hrabal v knihovnach - proste jen pro jistotu,
kdyby hlavni sshd, ktere bezi standalone, havarovalo. Jen jsem tam
omezil, ze na "nouzovem" portu se smeji prihlasit jen clenove wheel a
nikdo jiny ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list