Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
On Fre, Dez 19, 2003 at 08:58:44 +0100, Peter Kuechler wrote: > > Doch, wie sonst? > > Naja, wenn man seinen Kernel so weit wie es geht Modular übersetzt, > dann ist die Wahrscheinlichkeit, das der Patch nur ein Modul > betrifft recht hoch. Ein Modul kann man unter den meisten Umständen > auch ohne Neustart tauschen. Kein Neustart also, ok. Aber die daemons müssen doch trotz allem neu gestartet werden oder nicht? Sonst sind ja die ollen ungepatchten Dinger nach wie vor im RAM. > > > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > > > > Nein, das ist nicht OS390 hier. > > Stimmt. > Aber es soll für Linux auch kommen (nächster Entwicklerkernel?) Na dann wird's ja mal wieder spannend ;) Stelle ich mir (als nicht-Entwickler) schwierig vor, Speicherstellen exakt zu lokalisieren um diese in Eintracht mit dem restlichen System zu modifizieren. Vor allen wenn man zum Beispiel Abhängigkeiten zwischen einzelnen Modulen/Diensten beachten muss. Gruß, Philipp -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Hallo, Am Fr, den 19.12.2003 schrieb Peter Kuechler um 08:58: > Am Donnerstag, 18. Dezember 2003 18:14 schrieb Sven Hartge: > > > > > > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > > > > Nein, das ist nicht OS390 hier. > > Stimmt. > Aber es soll für Linux auch kommen (nächster Entwicklerkernel?) > Seit wann wird das geplant? Kennst du den Namen dieses Features? Oder meinst du einfach nur "kexec". Das läuft aber auch auf den Neustart der gesamten Software raus. mfg. Johannes -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Am Donnerstag, 18. Dezember 2003 18:14 schrieb Sven Hartge: > Philipp Gruemmer <[EMAIL PROTECTED]> wrote: > > Ich bin bisher immer nur auf patches gestoßen, mit denen der > > code einer software gepatched wurde. Danach mußte neu übersetzt > > und installiert werden. Dafür muss man aber ja nunmal die alte > > Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- > > Version zu starten. Das kanns ja auf produktivsystemen irgendwie > > nicht sein oder? > > Doch, wie sonst? Dann ist der Apache halt einmal für 5 Sekunden > nicht erreichbar. Da HTTP eh stateless ist, kein großer Verlust. > > > Wie wird denn z.B. der Apache gepatched wenn ein security > > Problem gefixt werden muss? Oder gar der Kernel? Man kann ja > > nicht mal eben den Server vom Netz nehmen, die alte Version > > patchen, kompilieren, installieren und den server wieder > > starten. > > Doch, wie sonst? Naja, wenn man seinen Kernel so weit wie es geht Modular übersetzt, dann ist die Wahrscheinlichkeit, das der Patch nur ein Modul betrifft recht hoch. Ein Modul kann man unter den meisten Umständen auch ohne Neustart tauschen. > > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > > Nein, das ist nicht OS390 hier. Stimmt. Aber es soll für Linux auch kommen (nächster Entwicklerkernel?) -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main Tel.: 069-2577-1301 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Philipp Gruemmer <[EMAIL PROTECTED]> wrote: > Ich bin bisher immer nur auf patches gestoßen, mit denen der code > einer software gepatched wurde. Danach mußte neu übersetzt und > installiert werden. Dafür muss man aber ja nunmal die alte Version > kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- Version zu > starten. Das kanns ja auf produktivsystemen irgendwie nicht sein oder? Doch, wie sonst? Dann ist der Apache halt einmal für 5 Sekunden nicht erreichbar. Da HTTP eh stateless ist, kein großer Verlust. > Wie wird denn z.B. der Apache gepatched wenn ein security Problem > gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal eben > den Server vom Netz nehmen, die alte Version patchen, kompilieren, > installieren und den server wieder starten. Doch, wie sonst? > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? Nein, das ist nicht OS390 hier. S° -- BOFH excuse #410: Electrical conduits in machine room are melting. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Hallo, Am Mi, den 17.12.2003 schrieb Philipp Gruemmer um 22:00: > N'abend, > [...] > 'Wie werden patches auf servern eingespielt?' > > oder: [...] > Gruß, Philipp > Im allgemeinen müssen Server immer neugestartet werden. Soviel ich weis ist es möglich die ausführbare Datei neu zu überschreiben während eine diese gerade ausgeführt wird. Die alten Daten werden dann jedoch im aus dem Cache (oder auch vom Dateisystem, da die neuen Daten eine neue I-Node bekommen) genommen und nicht die neuen. D.h. um die Auswirkungen des Patches mitzubekommen _musst_ du das Programm neustarten. Alternativ gibt es die Möglichkeit, wie sie z.B. Rootkits benötigen den Kernel oder Server im laufenden Betrieb zu verändern. Dies machen jedoch meines wissens _nur_ Rootkits oder dergleichen. Der Grund ist, das es zu gefährlich ist. Rootkits können es sich ohne Probleme leisten den Kernel zum abstuz zu bringen (der Einbruch fällt dann halt auf. [siehe aktuelle Begenheit]). Am besten wäre es, wenn Software die Möglichkeit unterstützen würde seine Verbindungsdaten oder andere Zustandsdaten zu sichern und dann an eine neue Instanz zu übergeben. Ich weis jedoch nicht ob es soetwas gibt oder überhaupt realisierbar ist. Wäre jedoch meiner Meinung nach äußerst nützlich. Zum Beispiel habe ich bei Samba das Problem auf allen Clients (hauptsächlich Win98) die Programme neuzustarten, wenn ich meinen Server neu starten muss. mfg. Johannes -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
On 18.Dec 2003 - 07:44:01, Dieter Franzke wrote: > Hi, > > > * Philipp Gruemmer <[EMAIL PROTECTED]> [031217 22:00]: > > N'abend, > > > > Ich habe mich gerade mit ein paar patches rumgeschlagen und bin > > dabei auf eine Frage gestoßen die ich irgendwie noch nicht > > beantworten konnte. > > > > 'Wie werden patches auf servern eingespielt?' > > > > oder: > > > > Ich bin bisher immer nur auf patches gestoßen, mit denen der > > code einer software gepatched wurde. Danach mußte neu übersetzt > > und installiert werden. Dafür muss man aber ja nunmal die alte > > Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- > > Version zu starten. Das kanns ja auf produktivsystemen irgendwie > > nicht sein oder? > > > > Wie wird denn z.B. der Apache gepatched wenn ein security Problem > > gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal > > eben den Server vom Netz nehmen, die alte Version patchen, > > kompilieren, installieren und den server wieder starten. > > Kann mir das mal jemand erklären oder mich in die richtige > > Richtung schubsen? > > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > > Was wird dann gepatched? Die binaries? Gar der Speicher? > > > > Ich bin kein Programmierer, kann aber ohne > > Probleme Software kompilieren und installieren. Zur Not kann ich > > auch mal ein bisschen im code rumschnipseln wenn was nicht > > läuft. Das ist aber auch alles. Entschuldigt deswegen bitte > > falls die Frage etwas holperig gestellt ist, aber das waren die > > einzigen Sätze die mir zur Umschreibung einfielen. ;) > > meine webserver laufen unter BSD in jails. > Damit ist das ganz einfach: > 1. neues jail anlegen, alles patchen, Daten reinkopieren. > 2. Nameserver auf neues jail einstellen. > 3. altes jail (original webserver) patchen, Dienste starten > 4. Nameserver wieder zurücksetzen Ok fuer nen Webserver der nur ausliefert geht das. Was ist aber mit den logs die in der Zeit geschrieben werden? Nur mal so Interesse halber. Auch bei Servern die Daten annehmen (ftp, cvs, rsync...) duerfte das schwierig werden. Fuer einen einfachen Patch waere mir das zviel Aufwand, zumal man trotzdem Downtimes hat. Andreas -- Whitehead's Law: The obvious answer is always overlooked. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
On Wed, Dec 17, 2003, some people wrote: ['ne Menge interessantes] Vielen Dank an alle! Hätte nicht gedacht, dass es tatsächlich so läuft, dass der Dienst gestoppt wird. Naja, Speicher patchen wäre ja auch etwas _sehr_ aufwendig. Prima, wieder eine Wissenslücke 'gepatched'. Jetzt muss ich ja dann eigentlich laut thread nur noch den Erinnerungsdienst neu starten und das Wissen dürfte Verfügbar sein. [EMAIL PROTECTED]:/etc/init.d/brain restart ...carrier lost -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Hi, * Philipp Gruemmer <[EMAIL PROTECTED]> [031217 22:00]: > N'abend, > > Ich habe mich gerade mit ein paar patches rumgeschlagen und bin > dabei auf eine Frage gestoßen die ich irgendwie noch nicht > beantworten konnte. > > 'Wie werden patches auf servern eingespielt?' > > oder: > > Ich bin bisher immer nur auf patches gestoßen, mit denen der > code einer software gepatched wurde. Danach mußte neu übersetzt > und installiert werden. Dafür muss man aber ja nunmal die alte > Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- > Version zu starten. Das kanns ja auf produktivsystemen irgendwie > nicht sein oder? > > Wie wird denn z.B. der Apache gepatched wenn ein security Problem > gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal > eben den Server vom Netz nehmen, die alte Version patchen, > kompilieren, installieren und den server wieder starten. > Kann mir das mal jemand erklären oder mich in die richtige > Richtung schubsen? > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > Was wird dann gepatched? Die binaries? Gar der Speicher? > > Ich bin kein Programmierer, kann aber ohne > Probleme Software kompilieren und installieren. Zur Not kann ich > auch mal ein bisschen im code rumschnipseln wenn was nicht > läuft. Das ist aber auch alles. Entschuldigt deswegen bitte > falls die Frage etwas holperig gestellt ist, aber das waren die > einzigen Sätze die mir zur Umschreibung einfielen. ;) meine webserver laufen unter BSD in jails. Damit ist das ganz einfach: 1. neues jail anlegen, alles patchen, Daten reinkopieren. 2. Nameserver auf neues jail einstellen. 3. altes jail (original webserver) patchen, Dienste starten 4. Nameserver wieder zurücksetzen Dieses Konzept eignet sich auch hervorragend zum Testen von solchen Sachen Bevor mir irgendwelche Sachen produktiv laufen sollen, werden sie unter Realbedingungen im jail getestet. Davon unabhängig, sollte man gerade im Produktivbetrieb ein zweites baugleiches System haben, auf dem Sachen kompiliert werden. Die ganzen Sourcen und Entwicklertools inkl. make etc haben auf einem Produktivsystem eh nichts zu suchen. Auf Zweitsystem patchen und dann binary auf dem Original installieren... ciao dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Philipp Gruemmer <[EMAIL PROTECTED]> wrote: > Ich habe mich gerade mit ein paar patches rumgeschlagen und bin > dabei auf eine Frage gestoßen die ich irgendwie noch nicht > beantworten konnte. > > 'Wie werden patches auf servern eingespielt?' Zum Beispiel mit apt-get install > oder: > > Ich bin bisher immer nur auf patches gestoßen, mit denen der > code einer software gepatched wurde. Danach mußte neu übersetzt > und installiert werden. Machen die debianer gerne, sie packen das dann in ein .deb paket ;-) > Dafür muss man aber ja nunmal die alte > Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- > Version zu starten. Das kanns ja auf produktivsystemen irgendwie > nicht sein oder? BSP: Auf meinem Woody läuft KDE. Dieses Jahr wurde irgendwann mal per apt-get upgrade von den security Servern ein großer Teil von KDE aktualisiert. Und das bei laufendem Betrieb! Okay, ich glaube man musste dann den XServer neu starten, kann mich nicht mehr genau erinnern. > Wie wird denn z.B. der Apache gepatched wenn ein security Problem > gefixt werden muss? Genauso. > Oder gar der Kernel? Auch so. apt-cache search kernel-image Im Falle eines 2.4.18-bf2.4 kernel: apt-get install kernel-image-2.4.18-bf2.4 installiert die aktuelle Version. ,[ siehe auch: ] | To: [EMAIL PROTECTED] | From: Andreas Janssen <[EMAIL PROTECTED]> | Subject: Re: wie entsteht der Kernel bei Erstinstallation? | Date: Sat, 13 Dec 2003 09:34:05 +0100 | Message-ID: <[EMAIL PROTECTED]> ` > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? Ja, siehe oben. (Ich spreche hier für debian, denke aber das, dass mit RPM-Basierten System auch so geht) > Was wird dann gepatched? Die binaries? Gar der Speicher? Die Binaries. Den Dienst muss man dann meist neu Starten. Wie Apache restartet wird, weiss ich aber nicht. su -c "/etc/init.d/inetd restart" oder vielleicht su -c "/etc/init.d/httpd restart" ..so irgendwie. > Ich bin kein Programmierer, kann aber ohne > Probleme Software kompilieren und installieren. Siehste, der Eine so, der Andere So ;-) Ich bin extra zu debian gewechselt, weil ich eben keinen Bock mehr auf kompilieren hatte. Die Paketvielfalt ist klasse. Neben all dem, kann man natürlich auch Apache oder alles ander als Selbst kompilierte Sourcen einsetzen, dann muss man natürlich auch die patches kompilieren. Ich würde mich aber immer für die Paket-Variante entscheiden. Bei Servern macht man keine Experimente. Heino -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Philipp Gruemmer schrieb: N'abend, Ich habe mich gerade mit ein paar patches rumgeschlagen und bin dabei auf eine Frage gestoßen die ich irgendwie noch nicht beantworten konnte. 'Wie werden patches auf servern eingespielt?' oder: Ich bin bisher immer nur auf patches gestoßen, mit denen der code einer software gepatched wurde. Danach mußte neu übersetzt und installiert werden. Dafür muss man aber ja nunmal die alte Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- Version zu starten. Das kanns ja auf produktivsystemen irgendwie nicht sein oder? ist aber so. Wenn Du einen Patch einspielst, egal, ob das Binary gepatcht wird oder Du die Sourcen überstzen musst, es ist _immer_ ein restart des entsprechenden Dienstes notwendig. Wie wird denn z.B. der Apache gepatched wenn ein security Problem gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal eben den Server vom Netz nehmen, die alte Version patchen, kompilieren, installieren und den server wieder starten. Kann mir das mal jemand erklären oder mich in die richtige Richtung schubsen? Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? Was wird dann gepatched? Die binaries? Gar der Speicher? Ich bin kein Programmierer, kann aber ohne Probleme Software kompilieren und installieren. Zur Not kann ich auch mal ein bisschen im code rumschnipseln wenn was nicht läuft. Das ist aber auch alles. Entschuldigt deswegen bitte falls die Frage etwas holperig gestellt ist, aber das waren die einzigen Sätze die mir zur Umschreibung einfielen. ;) Gruß, Philipp -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Hallo Philipp, Philipp Gruemmer, 17.12.2003 (d.m.y): > Ich habe mich gerade mit ein paar patches rumgeschlagen und bin > dabei auf eine Frage gestoßen die ich irgendwie noch nicht > beantworten konnte. > > 'Wie werden patches auf servern eingespielt?' Kommt immer drauf an, was das fuer Patches sind...;-) > Ich bin bisher immer nur auf patches gestoßen, mit denen der > code einer software gepatched wurde. Danach mußte neu übersetzt > und installiert werden. Dafür muss man aber ja nunmal die alte > Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- > Version zu starten. Das kanns ja auf produktivsystemen irgendwie > nicht sein oder? Naja, Du wirst mit einem einzigen Server pro Dienst nie 100% Verfuegbarkeit garantieren koennen... > Wie wird denn z.B. der Apache gepatched wenn ein security Problem > gefixt werden muss? Wenn Du die "paketierte Binaerversion" verwendest und mit apt-get ein Update oder besser: das aktualisierte (gepatchte) Paket von security.debian.org einspielst, dann wird der laufende Apache nur kurz abgeschaltet, bevor der "neue" seinen Dienst aufnimmt. > Oder gar der Kernel? Man kann ja nicht mal > eben den Server vom Netz nehmen, die alte Version patchen, > kompilieren, installieren und den server wieder starten. Das Patchen und Kompilieren geht ja auch nebenbei - oder idealerweise auf einem anderen Rechner, was mit dem kernel-package ja auch kein Problem ist. Ein installierter Compiler ist auf einem exponierten Server aus sicherheitstechnischer Sicht auch nicht die beste Idee... Klar ist aber, dass der Server nach dem Einspielen eines neuen Kernels zumindest fuer die Dauer des Reboots vom Netz muss. > Kann mir das mal jemand erklären oder mich in die richtige > Richtung schubsen? > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > Was wird dann gepatched? Die binaries? Gar der Speicher? Nein, nur die Bianaries - wenn es ueberhaupt derartige Patches gibt, die in einem Binary an einer bestimmten Stelle ein paar Nullen und Einsen gegen Einsen und Nullen vertauschen...;-) Ich bin aber der Ansicht, dass man nur ein komplettes Binary gegen ein anderes austauschen kann... Handelt es sich dabei um ein "Daemon-Binary", so muss man im Anschluss den entsprechenden Dienst neustarten, damit auch der Arbeitsspeicher das neue Binary einlesen kann. Gruss, Christian -- Wie man sein Kind nicht nennen sollte: Max Imum pgp0.pgp Description: PGP signature
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Moin Philipp Gruemmer wrote: Ich bin bisher immer nur auf patches gestoßen, mit denen der code einer software gepatched wurde. Danach mußte neu übersetzt und installiert werden. Dafür muss man aber ja nunmal die alte Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- Version zu starten. Das kanns ja auf produktivsystemen irgendwie nicht sein oder? Wieso nicht? Auf allen Systemen/Servern muss es auch mal 'ne Downtime geben können. Möglichst nur eine geplante, aber auch bei einem Stromausfall, nicht funktionierender Notstromversorgung etc. darf die Welt nicht zusammenbrechen. ;-) Wenn das alles nicht sein kann/darf, gibt es ein Failover-System. Auch nutzbar zum Patchen eines Servers... -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
Philipp Gruemmer wrote: N'abend, Ich habe mich gerade mit ein paar patches rumgeschlagen und bin dabei auf eine Frage gestoßen die ich irgendwie noch nicht beantworten konnte. 'Wie werden patches auf servern eingespielt?' Sourcen patchen, entsprechende Software neu starten. Es wird nichts im Speicher gepatcht oder so... Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
* Philipp Gruemmer wrote: [...] > Man kann ja nicht mal eben den Server vom Netz nehmen, die alte > Version patchen, kompilieren, installieren und den server wieder > starten. Das halte ich fuer etwas uebertrieben. Wenn es ein Loch in einem Dienst gibt, dann beendet man maximal diesen, und startet ihn wieder wenn das Update eingespielt ist. Es geht nicht ohne gewisse Downtimes, wenn so ein Update absehbar ist dann plant man es eben zu Zeiten zu denen der Dienst vergleichsweise wenig verwendet wird. > Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? > Was wird dann gepatched? Die binaries? Gar der Speicher? Theoretisch ginge das wohl, in der Praxis ist mir soetwas aber bisher nicht begegnet. Das Binary zu patchen wuerde in dem Fall aber nicht reichen, da das Programm bereits im Speicher ist. Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
[slightly OT] Patchen im laufenden Betrieb ohne neukompilierung
N'abend, Ich habe mich gerade mit ein paar patches rumgeschlagen und bin dabei auf eine Frage gestoßen die ich irgendwie noch nicht beantworten konnte. 'Wie werden patches auf servern eingespielt?' oder: Ich bin bisher immer nur auf patches gestoßen, mit denen der code einer software gepatched wurde. Danach mußte neu übersetzt und installiert werden. Dafür muss man aber ja nunmal die alte Version kurzzeitig 'abklemmen' um daraufhin die neue -gepatchte- Version zu starten. Das kanns ja auf produktivsystemen irgendwie nicht sein oder? Wie wird denn z.B. der Apache gepatched wenn ein security Problem gefixt werden muss? Oder gar der Kernel? Man kann ja nicht mal eben den Server vom Netz nehmen, die alte Version patchen, kompilieren, installieren und den server wieder starten. Kann mir das mal jemand erklären oder mich in die richtige Richtung schubsen? Gibt es 'binary patches' die tasks im laufenden Betrieb patchen? Was wird dann gepatched? Die binaries? Gar der Speicher? Ich bin kein Programmierer, kann aber ohne Probleme Software kompilieren und installieren. Zur Not kann ich auch mal ein bisschen im code rumschnipseln wenn was nicht läuft. Das ist aber auch alles. Entschuldigt deswegen bitte falls die Frage etwas holperig gestellt ist, aber das waren die einzigen Sätze die mir zur Umschreibung einfielen. ;) Gruß, Philipp -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
