biztonsági frissités miatt alaprendszer foltozás

Fórumok

Alapszituáció:

http://security.freebsd.org/advisories/FreeBSD-SA-xx:yy.libc.asc alapján a jómunkásember a következő instrukcióval találkozik:

"c) Recompile the operating system as described in
and reboot the
system."

Ez természetesen kivitelezhető, de nagyszámú (pl. 100+) rendszerre ezt nem érzem életképes megoldásnak.
Ráadásul a rendszerek eléggé vegyesek (5.4-RELEASE - 6.2-RELEASE között minden van, i386 es amd64 is vegyesen és a legtöbbhöz tartozik még további 1-5db közötti jail.

Eddig a következő megoldást alkalmaztam ilyen esetben:

Kikeresgélem, hogy az src-tree pontosan melyik része érintett és csak azt forditom újra. Még ez is meglehetősen melóigényes (ld. SA 08:01 és SA 08:02) és könnyen elképzelhető, hogy valamit kifelejtek és az a hibás kóddal marad. Továbbá nem vagyok meggyőződve róla, hogy statikus függőségek nincsenek pl. a ports-tree irányába.

Van valakinek fájdalommentes(ebb) megoldása erre?

Hozzászólások

1) a ports tree miatt ne aggodj, nagyon nagyon nagyon nagyon keves statikusan linkelt cucc lehet benne

2) Ha tobb verziod van vegyesen akkor igy is ugy is mindegyikhez ujra kell perditened a full libc -t. Viszont ha van 3-4 darab released osszesen akkor
csak 1x kell perditened. DESTDIR=/tmp/libc install -al benyomod az uj libc-t a /tmp/libc be majd betarolod es minden gepen kitarolod a / -ba. A megfelelo releasehes persze.
Teljesen fajdalommentes es gyors. Csak legyen egy listad a gepekrol aztan 1 egyszeru for looppal vegigmesz a hostokon ami besshzik es kitarolja az uj libc-t majd ujraindotod a gepet mivel a libc-hez minden linkel.

Ezt a megoldást is kipróbáltam és kétségtelen előnyei ellenére van néhány gyenge pontja:
- Egy "make world" után gyakorlatilag minden frissül a mester rendszeren, amit utána fel kell pakolni, tehát rengeteg adatot kell feltölteni. Mondjuk ez még a legkisebb probléma.
- Ha valami elromlik/elrontok a mester rendszeren, akkor ezt sikeresen felmásolja az ember egy halom rendszerre, ahol tömeges problémát okoz (ha tényleg csak végigmentem egy scripttel, akkor ráadásul egyszerre).
- Rettenetesen kell a verzióra és az architektúrára figyelni, nem lehet hibázni, mert pillanatok alatt lehet tömeges hibát csinálni.

Értem én, hogy libc frissités esetén elég az /usr/src/lib/libc, de ez egyértelműen nincs beleirva a biztonsági értesitőbe.

Pont az az eset problémás, amikor az SA leirás "make world"-öt ir és csak a javitófolt vizsgálatával derithető ki, hogy mely részek igényelnek valóban frissitést.

Némi kutakodással találtam egy `freebsd-update` nevű kiegészitőt, amivel bármennyire is triviáls, eddig nem találkoztam. Lehet, hogy ez lesz a megoldás a problámára.