[GTER] Re: Qmail - Cluster

Lao DanTong danton at inexo.com.br
Wed Feb 2 14:42:27 -02 2005


On Wed, 2 Feb 2005, Fernando Lima wrote:

> At 20:32 01/02/05, you wrote:
>
> Quem falou de aplicar patchs ao kernel ?
>
> No exemplo em questão temos um servidor com um kernel 2.4.17. Isto significa 
> que se um hacker do mal ;-)) conseguir uma conta shell na máquina o controle 
> do servidor irá trocar de mãos.

na conta 'root' voce quer dizer. bem, todo kernel modular tem esse 
potencial de vulnerabilidade, porisso em sistemas críticos usa-se kernel 
monolítico.

mas se o cara malvado já tem acesso à conta root, a casa já desabou e não 
há reboot que resolva, certo?

> Como faço para trocar o kernel de um S.O. sem um boot ?

com módulos, você pode estender a funcionalidade do kernel do linux sem 
boot (veja modprobe, insmod). há uns poucos sistemas em que você pode 
trocar praticamente tudo sem boot, acho que o hurd é assim.

> Expandindo a discussão. Eu considero uma boa prática de administração de 
> sistemas dar um refresh no servidor regularmente, isso pode ser mensalmente, 
> trimestralmente ou uma variação disso. Você pode aproveitar essa parada 
> programada para instalar novos kernels, ver se o script do novo serviço está 
> funcionando no boot, etc, etc, etc e tal... Risco ? Claro. A questão é que 
> prefiro riscos controlados que supresas desagradáveis no meio do Carnaval ;-)

acho que não existem regras universais aqui. essa coisa de reboots 
programados, não fazem muito sentido para mim, a não ser que realmente 
haja modificações para fazer, que não possam ser feitas com o sistema a 
quente. eu não gosto de desligar computadores, a gente nunca sabe se eles 
vão ligar de novo depois ;-)

outra coisa, atualização de kernel do linux ou dos *BSD dificilmente é 
assunto de vida-ou-morte, de modo que dá para conviver com um kernel 
antigo sem corer grandes riscos. atualização da userland é outra história, 
mas dificilmente precisa rebootar nesse caso.

o que me irrita é esse negócio de regrinhas mágicas como essa de rebootar 
periodicamente sem saber exatamente por que se está fazendo isso. é muito 
irracional ou muito burocrático para o meu gosto.


More information about the gter mailing list