[Fwd: trable s openssl nrpe2 openssh ...]

Dan Lukes dan at obluda.cz
Thu Mar 16 11:15:22 CET 2006


Roland napsal/wrote, On 03/16/06 10:40:
> ale precejen je to produkcni server zakaznika, ktery do upgrade na 6.0
> zatim nechce jit

	Tomu ja docela rozumim. Navic, prosty upgrade by to patrne nevyresil - 
i tam by byla pritomna verze systemova a verze z portu a nejspis by se 
verze neshodovaly.

>> 	Uplne nejlepsi by bylo jednu z verzi proste odstranit. V pripade, z eby 
>> odstranovana verze byla ta systemova, tak to vyzaduje trochu zkusenosti 
>> a drzosti. Takze bych doporucil zvazit, proc je nainstalovana ta verze z 
>> portu, a pokud se zjisti, ze to nema zadny rozumny duvod, tak bych 
>> odstranil tu.
> 
> Mno jo, odstranit ... systemova verze je muj jediny funkcni pristup,
> takze do toho asi nepujdu. Jde nejak, sebesloziteji vysledovat, co
> vlastne ta binarka otvira za knihovny? Priznam se, ze ac spravce, zrovna
> tahle oblast mi moc blizka neni ... :(

	Pokud jde o "staticky definovane" dynamicke knihovny, tak
ldd /usr/sbin/sshd
	rekne, jake knihovny aktualne pouzije, pokud se spusti.

	Aplikace ale jeste muze (pripad sshd to ale pokdu vim neni) pouzit 
dalsi knihovny za behu (volanim dlopen() ) - a takove uz lze patrne 
zjistit jen studiem zdrojovych kodu. Nastesti, to neni tak caste.

 > Mno jo, odstranit ... systemova verze je muj jediny funkcni pristup,

	Proto take navrhuji odstranit tu verzi z portu - ledaze se vi, ze neco 
potrebuje prave tuhle novou.

	Nicmene "jediny funkcni pristup" zni dramaticteji, nez to ve 
skutecnosti je.

	Napriklad je mozne si sshd prelozit (take) staticky a tuto verzi 
nasadit na nejaky jiny port (jeste lepsi je mozna ji nakonfigurovat na 
nejaky vhodny port do inetd). Pokud kvuli cachrum s knihovnami selze 
"hlavni" sshd, zbude stale jeste to zalozni, ktere, jelikoz slinkovane 
staticky, by nemelo byt na cachry s knihovnami citlive.

	Vyhoda umisteni do inetd je v tom, ze i kdyby nahodou z nejakeho duvodu 
chciplo, nastartuje se znovu.

	Popravde receno, tento "nouzovy pristup" mam nakonfigurovany (jen to 
sshd nemam prelozene staticky ale bezne) na nekolika dulezitejsich 
strojich aniz bych se tam hrabal v knihovnach - proste jen pro jistotu, 
kdyby hlavni sshd, ktere bezi standalone, havarovalo. Jen jsem tam 
omezil, ze na "nouzovem" portu se smeji prihlasit jen clenove wheel a 
nikdo jiny ...

							Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list