mam nainstalovane FreeBSD 4.9 RELEASE a chcem vediet ako na bezpecnostne updaty systemu a jadra. zaujima ma najrychlejsi a co najmenej rizikovy sposob, povedzme ze sa jedna o produkcne nasadenie. v handbooku som nic konkretne k tomu nenasiel, mozno som nieco prehliadol. zatial si to predstavujem nasledovne (podla prekladu knihy Absolute FreeBSD...):
1) skopirujem a editujem standart-supfile, riadok
*default release=cvs tag=RELENG_4_9
+ dalsie potrebne veci (server, zoznam src-*, povedzme ze chcem src-all)
2) stiahnem/updatujem zdrojaky:
# cvsup supfile
3) necham zostavit:
# cd /usr/src
# make buildworld
4) obdobne zostavenie a nainstalovanie jadra:
# make buildkernel
# make installkernel
5) v jednouzivatelskom rezime nainstalujem zostaveny system:
# cd /usr/src
# make installworld
6) zmeny v /etc a /dev ...
ale teraz zistujem, ze by som asi upgradoval cely system. akym sposobom zazaplatujem bezpecnostne diery (povedzme chybu v sshd) a bugy bez kompilacie celeho systemu?
momentalne mam na serveroch Slackware, upozornenia na bezpecnostne updaty su posielane s linkami na stiahnutie opravenych balickov, staci ich stiahnut a prikazom "upgradepkg balik.tgz" updatovat, bez potreby kompilacie inych casti, alebo dokonca celeho systemu.
mozete prosim uviest aspon nejaku linku, kde by bola tato problematika rozobrana, aby som mohol slack a freebsd porovnat z tohto pohladu?
clanok sa mi velmi pacil a tesim sa na pokracovanie.
make buildworld && make installworld zajisti instalalci vsech binarek ktere jsou soucasti systemu (/bin /sbin /usr/bin /usr/sbin ...), ze zdrojovych kodu umystenych v /usr/src/... takze pokud tam mate cerstve zdrojaky, napriklad po `make update`, tak mate "zaplatovane" napriklad i /usr/sbin/sshd
bez nutnosti kompilace celeho systemu, je cesta sice delsi ale zato mene pohodlna:
1, najit si nekde (nebo si sam vytvorit distribuci stable binarek)
2, odtud stahnout vsechny soubory z adresare bin, vsechny soubory z adresare crypto, mateli zajem o aktualni man, tak vsechny soubory z adresare manpages a konecne pokud se nespokojite s generickym kernelem, take src/ssys* a src/install.sh. doporucuji stahnout do oddelenych adresaru, protoze kazdy obsahuje soubory se stejnym jmenem (minimalne install.sh a CHECKSUM.MD5).
3, spustit prislusny install.sh pro kazdou skupinu.
4, obnovit ze zalohy /usr/src/sys/i386/conf/MYKERNEL, zkompilovat kernel
5, obnovit ze zalohy /etc/*...
6, restartovat.
body 4 az 6 musite pochopitelne delat i pri make installworld.
K te rizikovosti je treba dodat, ze upgrade/update provadime nejprve na testovacim stroji se stejnou HW i SW konfiguraci. Na produkcni stroj se vrhneme teprve v pripade, ze na testovacim stroji probehly planovane operace podle predpokladu.
hmm a kedze sa tam spomina jednouzivatelsky rezim, nie je to nieco, co vyzaduje fyzicky pristup k serveru?
hadal by som, ze sa s tym jednouzivatelskym rezimom sa mylim a update na dialku nie je problem.
upgrade /z vlastni zkusenosti/ jde delat i na dalku, jen je treba si dat vetsi pozor. doporucuji pred restartem restartovat sshd a zkusit si prihlasit. nede mezi verzi 4.6 a 4.8 je pridan do master.passwd uzivatel sshd a bez nej sshcko nenabehne, je pak celkem obtizne, nekomu v zahranici vysvetlovat jak se prihlasi v jednouzivatelskym modu a jak pomoci vi neco jineho zedituje... o mount -w / ani nemluve
