Sikkerhetsproblemer av å ikke restarte etter kerneloppgradering

[AlecTBM]

I "Hva er din oppetid? V.2" tråden så ble det det starta en litt off-topic diskusjon ang sikkerhet og ikke restarte maskinen.

 

Startet med et svar til Smif:

espen@firewall:~$ 01:59:23 up 679 days, 8:00, 1 user, load average: 0.19, 0.26, 0.12

En firewall.

 

Korreksjon: En firewall som ikke har fått oppgradert kernel på 679 dager, A.K.A. galskap.

 

Deretter kommer jeg med mine alltid smarte og 100% uttenkte svar:

Joda, den kan ha fått oppgradert kjernen, men han har ikke kunnet tatt i bruk nye egenskaper før en restart

 

Fikk svar av jpsalvesen:

Om man legger på en sikkerhetsfiks på kjernen og ikke booter etterpå, er man sårbar eller ei?

 

(retorisk spørsmål, stavet ut for klarhetens skyld)

(For å ikke ødelegge morroa, drit i den derre retoriske delen)

 

Også brøt cyclo inn og ødela morroa, men siden dette kan være en artig diskusjon så tenkte jeg å følge tipset til vår smarte moderator cyclo om å starte en egen tråd.

 

Så for dere diskutere

Endret 29. oktober 2009 av AlecTBM

[JohndoeMAKT]

Et saklig svar og grunnen til at mange enterprice-nivå systemer kan ha oppetid på flere år er Ksplice og tilsvarende systemer som kan oppdatere kernel live.

 

Men jeg tviler på at det er så mange som skriver i uptime-tråden som gjør det.

[Sokkalf™]

Hovedgrunnen til at enterprise-systemer har en oppetid på flere år, er at de ikke bruker linuxbokser som firewalls, men dyre systemer fra Cisco o.l som kan oppdateres "i fart" uten problemer. Selve serverene står ofte bak flere lag med firewalls, webservere bak reverse proxies etc.

[jpsalvesen]

Da skal jeg forklare litt:

 

I Linux kan ikke kernel for tiden aktiveres uten å boote systemet. Så selv om du laster ned den nyeste kernel, så vil du bruke den sårbare kernelen inntil du booter.

 

Det kan være akseptabelt å kjøre sårbar kode i et sikkert miljø bak div firewalls etc, men på en firewall er det absolutt ikke bra å kjøre sårbar kode - enten det er tjenester eller kernel vi snakker om.

 

I det minste bør du titte gjennom changelog'en til kernelen for å se etter om du er sårbar for svakhetene/bug'ene den fikser før du bestemmer deg om du vil boote eller ei.

 

Cyclo: Jeg tok det i den andre tråden for at flest mulig folk skal få muligheten til å lære litt om sikkerhet. Linux blir mindre sikkert jo lavere nivået på administratorene er.

[Blårens]

Vil si at oppetid på 2 år nesten er sabotasje, men så er vel ikke den gjennomsnittlige bruker så sinnsykt utsatt for hacking da?

[jpsalvesen]

Det er mye probes som blir avslørt dersom du logger hva som kommer inn fra det store internettet. Script kiddies, spamfolk etc scanner automatisert rundt på jakt etter sårbare systemer.

 

Men såklart, som privatperson er du ikke spesielt utsatt for de store stygge gutta som har både peil og motivasjon til bryte seg inn.

[TheMaister]

Joda, den kan ha fått oppgradert kjernen, men han har ikke kunnet tatt i bruk nye egenskaper før en restart

 

Om man legger på en sikkerhetsfiks på kjernen og ikke booter etterpå, er man sårbar eller ei?

 

(retorisk spørsmål, stavet ut for klarhetens skyld)

 

Normalt vil den gamle kernelkoden kjøre selv om ny kode ligger på harddisken. Med ksplice eller no er det mulig å oppdatere kernelen "on-the-fly".

[jpsalvesen]

Har hørt om ksplice og vet hva det gjør. Så ja, det er mulig. Men siden du er den eneste som har nevnt det, så tipper jeg de andre ikke visste (eller brød seg) om at de må boote eller bruke ksplice for å fullføre oppgradering av kernel. Men jeg har tatt feil før

[JohndoeMAKT]

Post #2 nevner Ksplice.