Aka je logika cislovania verzii p123 ?

[Dan Lukes]

On 14.4.2025 12:55, Marián Černý wrote:
>> Situace, je userland jine verze nez kernel je v podstate chyba
> 
> Podľa mňa je to vlastnosť binárnych updatov pomocou freebsd-update.

Ano, ale dle meho nazoru je to ten druh vlastnosti, ktery obvykle 
oznacuji terminem "chyba" ;-)

Ale souhlasim, ze je to chyba, kterou muze administrator udelat vedome, 
s tim, ze jeji dusledky zvazil a shledal nepodstatnymi.

> keď sa neaktualizuje kernel tak viem, že nemusím rebootovať.

Takhle jednoducha logika to neni. Mozna nemusis restartovat system, ael 
mel bys restartovat jazdou utilitu, ktera byla aktualizaci zasazena.

Neni uplne samozrejme identifikovat ktere to jsou, a i kdyby se to 
povedlo, restartovat "init" je v podstate nemozne a v pripade 
aktualizace nekterych knihoven, treba libc je kompletni restart taky 
snazsi a jistejsi nez selektivni restart komponent.

A cim slozitejsi analyza co se zmenilo, co je treba vymenit a co je 
treba (ne)restartovat, tim vetsi sance na chybne rozhodnuti.

A pres dvacet let zkusenosti s provozovanim tohoto systemu me naucilo, 
ze problemy vznikle z tohoto druhu chyb se obvykle mimoradne obtizne ladi.

Takze ja si to radsi zaktualizuju do konzistentniho stavu a zrestartuju.

Nakonec, cela tato diskuse vznikla proto, ze nejaka utilita nereaguje 
spravne na situaci kdy system neni v konzistentnim stavu. To naznacuje, 
ze moje obavy nejsou jen akademicke.

> Takto to ale predtým nikdy nebolo, je to novinka (že budú aktualizovať kernel iba pri zmene kernel modulu).

Ano, je to prvni krok pri naprave chyby, ktera je ve freebsd-update od 
doby co vzniknul. Dokud to bylo "jen riziko" tak se tim nidko zabyvat 
nechtel. Ted, kdyz se problem realne projevil vyresili tu cast, ktera se 
aktualne projevila.

Je jen otazkou casu, kdy dojde pri nejake uprave ke spatnemu vyhodnoceni 
jake casti systemu se zmena dotyka a po neuplnem upgrade vznikne system 
nefunkcni.

Spravuju ze sve postele FreeBSD na mistech, kam to mam nekolik hodin 
letu. Takove riziko si proste nemuzu dovolit, obzvlast, kdyz se mu da 
pom,erne snadno vyhnout ti, ze system upgraduju zasadne do 
konzistentniho stavu - a jelikoz tohle freebsd-update neumi, upgraduju 
ho jinym, spolehlivejsim, zpusobem.

Ale tim v zadnem pripade nechci tvrdit, ze kdo to nedela stejne je 
nezodpovedny hazarder. Pokud ma nekdo vsechna zva FreeBSD v dosahu par 
desitek minut jizdy autem, tak vyhody "usetreneho restartu" snadno 
prevazi rizika plynouciho z nekonzistentniho upgrade.

On 14.4.2025 13:33, Jozef Drahovsky (for freebsd) wrote:
> Otázka:  Akým všemožným spôsobom je možné zvonku zistiť verziu FreeBSD, cez Apache Http Https, SSL, SSH, SMTP a podobne, a ktorá verzia z "kru" sa zisti?

Kazdy sitovy server co na stroji bezi muze, ale take nemusi, tuto 
informaci poskytnout. Pokud ji poskytuje, je implementacni zalezitost co 
presne a jak poskytuje.

A nektere scanery mohou typ systemu s vetsi co mensi presnosti detekovat 
i na zaklade drobnych odchylek v implementaci sitoveho stacku a tedy 
nemusi bty zavisle na konkretnim bezocom serveru - ale zase jsou zavisle 
na konkretnim druhu detekce a analyzy zjistenych vlastnosti.

Na polozenou otazku tak neexistuje obecna odpoved.

> Existuje viacero organizácii, ktoré skenujú IP priestor na Slovensku ... Potom posielajú mailom hlásenia, že tá a tá organizácia nemá zvládnutú internetovú bezpečnosť. 

Hlaseni komu ? Pokud tomu, koho se to tyka, tak je na nem aby vyhodnotil 
zda emaily upozornuji na realne existujici problem, nebo jestli je to 
false-positive.

Pokud se nektery ze zdroju techto upozorneni dlouhodobe ukazuje jako 
neuzitecny, cimz myslim, ze mezi informacemi, ktere zasila vyrazne 
prevazuji informace neuzitecne, pak nejsnazsim resenim je upozorenni z 
takoveho zdroje ignorovsat. Pripadne identifikovat adresy, ze kterych 
sve testy provadi a pro tyhle sit na vstupu uzavrit.

Nemam za efektivni snazit se system "papirove" prizpusobovat temto 
testerum "aby jim to vyslo hezky". Trochu jina situace je pokud jsou 
jejich vysledky verejne dostupne. Ale ani v tomhle pripade bych se 
nepokousel "predsirat, ze jsme hodny" a proste bych jim ty jejich 
adresni rozsahy zablokoval - a bylo by po testech.

Just my $0.02

Dan