Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung

To: debian-user-german@lists.debian.org
Subject: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
From: Dieter Franzke <lists@eyenovation.de>
Date: Thu, 18 Dec 2003 07:44:01 +0100
Message-id: <[🔎] 20031218064401.GA1928@musicman.proxy501.no-ip.com>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20031217210050.GB469@philipp-ist.net>
References: <[🔎] 20031217210050.GB469@philipp-ist.net>

Hi,


* Philipp Gruemmer <philipp@philipp-ist.net> [031217 22:00]:
> N'abend,
> 
> Ich habe mich gerade mit ein paar patches rumgeschlagen und bin
> dabei auf eine Frage gestoßen die ich irgendwie noch nicht
> beantworten konnte. 
> 
> 'Wie werden patches auf servern eingespielt?'
> 
> oder:
> 
> Ich bin bisher immer nur auf patches gestoßen, mit denen der
> code einer software gepatched wurde. Danach mußte neu übersetzt
> und installiert werden. Dafür muss man aber ja nunmal die alte
> Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte-
> Version zu starten. Das kanns ja auf produktivsystemen irgendwie
> nicht sein oder? 
> 
> Wie wird denn z.B. der Apache gepatched wenn ein security Problem 
> gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal 
> eben den Server vom Netz nehmen, die alte Version patchen, 
> kompilieren, installieren und den server wieder starten.
> Kann mir das mal jemand erklären oder mich in die richtige
> Richtung schubsen? 
> Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? 
> Was wird dann gepatched? Die binaries? Gar der Speicher?
> 
> Ich bin kein Programmierer, kann aber ohne
> Probleme Software kompilieren und installieren. Zur Not kann ich
> auch mal ein bisschen im code rumschnipseln wenn was nicht
> läuft. Das ist aber auch alles. Entschuldigt deswegen bitte
> falls die Frage etwas holperig gestellt ist, aber das waren die
> einzigen Sätze die mir zur Umschreibung einfielen. ;)

meine webserver laufen unter BSD in jails.
Damit ist das ganz einfach:
1. neues jail anlegen, alles patchen, Daten reinkopieren.
2. Nameserver auf neues jail einstellen.
3. altes jail (original webserver) patchen, Dienste starten
4. Nameserver wieder zurücksetzen

Dieses Konzept eignet sich auch hervorragend zum Testen von solchen Sachen....

Bevor mir irgendwelche Sachen produktiv laufen sollen, werden sie unter Realbedingungen im jail getestet.

Davon unabhängig, sollte man gerade im Produktivbetrieb ein zweites baugleiches System haben, auf dem Sachen kompiliert werden.
Die ganzen Sourcen und Entwicklertools inkl. make etc haben auf einem Produktivsystem
eh nichts zu suchen. Auf Zweitsystem patchen und dann binary auf dem Original installieren...

ciao

dieter

Reply to:

Follow-Ups:
- Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
  - From: Andreas Pakulat <apaku@gmx.de>

References:
- [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
  - From: Philipp Gruemmer <philipp@philipp-ist.net>

Prev by Date: Re: x query IP klappt nicht (host unwilling)
Next by Date: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Previous by thread: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Next by thread: Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Index(es):
- Date
- Thread