Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung

To: debian-user-german@lists.debian.org
Subject: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
Date: Wed, 17 Dec 2003 22:58:06 +0100
Message-id: <[🔎] 20031217215806.GD12652@server.linau.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20031217210050.GB469@philipp-ist.net>
References: <[🔎] 20031217210050.GB469@philipp-ist.net>

Hallo Philipp,

Philipp Gruemmer, 17.12.2003 (d.m.y):

> Ich habe mich gerade mit ein paar patches rumgeschlagen und bin
> dabei auf eine Frage gestoßen die ich irgendwie noch nicht
> beantworten konnte. 
> 
> 'Wie werden patches auf servern eingespielt?'

Kommt immer drauf an, was das fuer Patches sind...;-)

> Ich bin bisher immer nur auf patches gestoßen, mit denen der
> code einer software gepatched wurde. Danach mußte neu übersetzt
> und installiert werden. Dafür muss man aber ja nunmal die alte
> Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte-
> Version zu starten. Das kanns ja auf produktivsystemen irgendwie
> nicht sein oder? 

Naja, Du wirst mit einem einzigen Server pro Dienst nie 100%
Verfuegbarkeit garantieren koennen...

> Wie wird denn z.B. der Apache gepatched wenn ein security Problem 
> gefixt werden muss? 

Wenn Du die "paketierte Binaerversion" verwendest und mit apt-get ein
Update oder besser: das aktualisierte (gepatchte) Paket von
security.debian.org einspielst, dann wird der laufende Apache nur kurz
abgeschaltet, bevor der "neue" seinen Dienst aufnimmt.

> Oder gar der Kernel? Man kann ja nicht mal 
> eben den Server vom Netz nehmen, die alte Version patchen, 
> kompilieren, installieren und den server wieder starten.

Das Patchen und Kompilieren geht ja auch nebenbei - oder idealerweise
auf einem anderen Rechner, was mit dem kernel-package ja auch kein
Problem ist. Ein installierter Compiler ist auf einem exponierten
Server aus sicherheitstechnischer Sicht auch nicht die beste Idee...

Klar ist aber, dass der Server nach dem Einspielen eines neuen Kernels
zumindest fuer die Dauer des Reboots vom Netz muss.

> Kann mir das mal jemand erklären oder mich in die richtige
> Richtung schubsen? 
> Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? 
> Was wird dann gepatched? Die binaries? Gar der Speicher?

Nein, nur die Bianaries - wenn es ueberhaupt derartige Patches gibt,
die in einem Binary an einer bestimmten Stelle ein paar Nullen und
Einsen gegen Einsen und Nullen vertauschen...;-)

Ich bin aber der Ansicht, dass man nur ein komplettes Binary gegen ein
anderes austauschen kann...
Handelt es sich dabei um ein "Daemon-Binary", so muss man im Anschluss
den entsprechenden Dienst neustarten, damit auch der Arbeitsspeicher
das neue Binary einlesen kann.

Gruss,
Christian
-- 
Wie man sein Kind nicht nennen sollte: 
  Max Imum

Attachment: pgpzd5vmNOR_0.pgp
Description: PGP signature

Reply to:

References:
- [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
  - From: Philipp Gruemmer <philipp@philipp-ist.net>

Prev by Date: Re: ohne X
Next by Date: Re: Mutt und verschiedene IMAP accounts
Previous by thread: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Next by thread: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Index(es):
- Date
- Thread