On 14.4.2025 12:55, Marián Černý wrote:
Situace, je userland jine verze nez kernel je v podstate chyba
Podľa mňa je to vlastnosť binárnych updatov pomocou freebsd-update.
Ano, ale dle meho nazoru je to ten druh vlastnosti, ktery obvykle
oznacuji terminem "chyba" ;-)
Ale souhlasim, ze je to chyba, kterou muze administrator udelat vedome,
s tim, ze jeji dusledky zvazil a shledal nepodstatnymi.
keď sa neaktualizuje kernel tak viem, že nemusím rebootovať.
Takhle jednoducha logika to neni. Mozna nemusis restartovat system, ael
mel bys restartovat jazdou utilitu, ktera byla aktualizaci zasazena.
Neni uplne samozrejme identifikovat ktere to jsou, a i kdyby se to
povedlo, restartovat "init" je v podstate nemozne a v pripade
aktualizace nekterych knihoven, treba libc je kompletni restart taky
snazsi a jistejsi nez selektivni restart komponent.
A cim slozitejsi analyza co se zmenilo, co je treba vymenit a co je
treba (ne)restartovat, tim vetsi sance na chybne rozhodnuti.
A pres dvacet let zkusenosti s provozovanim tohoto systemu me naucilo,
ze problemy vznikle z tohoto druhu chyb se obvykle mimoradne obtizne ladi.
Takze ja si to radsi zaktualizuju do konzistentniho stavu a zrestartuju.
Nakonec, cela tato diskuse vznikla proto, ze nejaka utilita nereaguje
spravne na situaci kdy system neni v konzistentnim stavu. To naznacuje,
ze moje obavy nejsou jen akademicke.
Takto to ale predtým nikdy nebolo, je to novinka (že budú aktualizovať kernel
iba pri zmene kernel modulu).
Ano, je to prvni krok pri naprave chyby, ktera je ve freebsd-update od
doby co vzniknul. Dokud to bylo "jen riziko" tak se tim nidko zabyvat
nechtel. Ted, kdyz se problem realne projevil vyresili tu cast, ktera se
aktualne projevila.
Je jen otazkou casu, kdy dojde pri nejake uprave ke spatnemu vyhodnoceni
jake casti systemu se zmena dotyka a po neuplnem upgrade vznikne system
nefunkcni.
Spravuju ze sve postele FreeBSD na mistech, kam to mam nekolik hodin
letu. Takove riziko si proste nemuzu dovolit, obzvlast, kdyz se mu da
pom,erne snadno vyhnout ti, ze system upgraduju zasadne do
konzistentniho stavu - a jelikoz tohle freebsd-update neumi, upgraduju
ho jinym, spolehlivejsim, zpusobem.
Ale tim v zadnem pripade nechci tvrdit, ze kdo to nedela stejne je
nezodpovedny hazarder. Pokud ma nekdo vsechna zva FreeBSD v dosahu par
desitek minut jizdy autem, tak vyhody "usetreneho restartu" snadno
prevazi rizika plynouciho z nekonzistentniho upgrade.
On 14.4.2025 13:33, Jozef Drahovsky (for freebsd) wrote:
Otázka: Akým všemožným spôsobom je možné zvonku zistiť verziu FreeBSD, cez Apache Http
Https, SSL, SSH, SMTP a podobne, a ktorá verzia z "kru" sa zisti?
Kazdy sitovy server co na stroji bezi muze, ale take nemusi, tuto
informaci poskytnout. Pokud ji poskytuje, je implementacni zalezitost co
presne a jak poskytuje.
A nektere scanery mohou typ systemu s vetsi co mensi presnosti detekovat
i na zaklade drobnych odchylek v implementaci sitoveho stacku a tedy
nemusi bty zavisle na konkretnim bezocom serveru - ale zase jsou zavisle
na konkretnim druhu detekce a analyzy zjistenych vlastnosti.
Na polozenou otazku tak neexistuje obecna odpoved.
Existuje viacero organizácii, ktoré skenujú IP priestor na Slovensku ... Potom posielajú mailom hlásenia, že tá a tá organizácia nemá zvládnutú internetovú bezpečnosť.
Hlaseni komu ? Pokud tomu, koho se to tyka, tak je na nem aby vyhodnotil
zda emaily upozornuji na realne existujici problem, nebo jestli je to
false-positive.
Pokud se nektery ze zdroju techto upozorneni dlouhodobe ukazuje jako
neuzitecny, cimz myslim, ze mezi informacemi, ktere zasila vyrazne
prevazuji informace neuzitecne, pak nejsnazsim resenim je upozorenni z
takoveho zdroje ignorovsat. Pripadne identifikovat adresy, ze kterych
sve testy provadi a pro tyhle sit na vstupu uzavrit.
Nemam za efektivni snazit se system "papirove" prizpusobovat temto
testerum "aby jim to vyslo hezky". Trochu jina situace je pokud jsou
jejich vysledky verejne dostupne. Ale ani v tomhle pripade bych se
nepokousel "predsirat, ze jsme hodny" a proste bych jim ty jejich
adresni rozsahy zablokoval - a bylo by po testech.
Just my $0.02
Dan
