Hi,
* Philipp Gruemmer <[EMAIL PROTECTED]> [031217 22:00]: > N'abend, > > Ich habe mich gerade mit ein paar patches rumgeschlagen und bin > dabei auf eine Frage gesto�en die ich irgendwie noch nicht > beantworten konnte. > > 'Wie werden patches auf servern eingespielt?' > > oder: > > Ich bin bisher immer nur auf patches gesto�en, mit denen der > code einer software gepatched wurde. Danach mu�te neu �bersetzt > und installiert werden. Daf�r muss man aber ja nunmal die alte > Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- > Version zu starten. Das kanns ja auf produktivsystemen irgendwie > nicht sein oder? > > Wie wird denn z.B. der Apache gepatched wenn ein security Problem > gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal > eben den Server vom Netz nehmen, die alte Version patchen, > kompilieren, installieren und den server wieder starten. > Kann mir das mal jemand erkl�ren oder mich in die richtige > Richtung schubsen? > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > Was wird dann gepatched? Die binaries? Gar der Speicher? > > Ich bin kein Programmierer, kann aber ohne > Probleme Software kompilieren und installieren. Zur Not kann ich > auch mal ein bisschen im code rumschnipseln wenn was nicht > l�uft. Das ist aber auch alles. Entschuldigt deswegen bitte > falls die Frage etwas holperig gestellt ist, aber das waren die > einzigen S�tze die mir zur Umschreibung einfielen. ;) meine webserver laufen unter BSD in jails. Damit ist das ganz einfach: 1. neues jail anlegen, alles patchen, Daten reinkopieren. 2. Nameserver auf neues jail einstellen. 3. altes jail (original webserver) patchen, Dienste starten 4. Nameserver wieder zur�cksetzen Dieses Konzept eignet sich auch hervorragend zum Testen von solchen Sachen.... Bevor mir irgendwelche Sachen produktiv laufen sollen, werden sie unter Realbedingungen im jail getestet. Davon unabh�ngig, sollte man gerade im Produktivbetrieb ein zweites baugleiches System haben, auf dem Sachen kompiliert werden. Die ganzen Sourcen und Entwicklertools inkl. make etc haben auf einem Produktivsystem eh nichts zu suchen. Auf Zweitsystem patchen und dann binary auf dem Original installieren... ciao dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
