Heartbleed, какие конкретные службы должны быть перезапущены?

Попытка выяснить, какие именно службы должны быть перезапущены после исправления openssl против Heartbleed. По крайней мере один пост упоминает перезапуск:

sshd, apache, nginx, postfix, dovecot, курьер, pure-ftpd, bind, mysql

  • Есть ли команда, которую можно запустить, чтобы увидеть, какие запущенные сервисы зависят от openssl?
  • Есть ли команда для запуска apache/nginx, чтобы увидеть, активен ли патч, поэтому не нужно перезапускать сервис?
  • Должны ли мы просто запланировать время простоя и полностью перезагрузить каждый сервер?

РЕДАКТИРОВАТЬ: Этот пост предлагает использовать: lsof -n | grep ssl | grep DEL отображать процессы, все еще использующие старую версию OpenSSL, помеченную для удаления

1 ответ

Как правило, при устранении основной уязвимости в библиотеке, которая используется многими программами: перезагрузка сервера - это самый простой способ убедиться, что вы перезапустили каждую уязвимую программу и что ничто не использует старый (уязвимый) код.

Вы не должны бояться перезагрузки ваших систем (вы все равно должны делать это регулярно, когда вы устанавливаете исправления!) - регулярная перезагрузка серверов означает, что вы можете быть уверены, что они вернутся без проблем, и если вы спроектируете свою среду для правильной ошибки допуск перезагрузки не означает сбоя. (В этом отношении, даже если ваша среда не отказоустойчива, мы говорим, может быть, 10 минут - небольшой перерыв, учитывая масштаб проблемы безопасности, о которой мы говорим с сердечным кровотечением...)


Если по какой-либо причине вы не можете перезагрузиться, вы можете использовать lsof чтобы определить, какие программы работают, которые используют библиотеку OpenSSL: sudo lsof -n | grep ssl

Чтобы найти те, которые используют старую (удаленную) библиотеку, вы можете сделать sudo lsof -n | grep ssl | grep DEL,

Каждую уязвимую программу необходимо будет перезапустить, используя любую процедуру, подходящую для этой программы.

Другие вопросы по тегам