[GTER] Re: Qmail - Cluster
Lao DanTong
danton at inexo.com.br
Wed Feb 2 14:42:27 -02 2005
On Wed, 2 Feb 2005, Fernando Lima wrote:
> At 20:32 01/02/05, you wrote:
>
> Quem falou de aplicar patchs ao kernel ?
>
> No exemplo em questão temos um servidor com um kernel 2.4.17. Isto significa
> que se um hacker do mal ;-)) conseguir uma conta shell na máquina o controle
> do servidor irá trocar de mãos.
na conta 'root' voce quer dizer. bem, todo kernel modular tem esse
potencial de vulnerabilidade, porisso em sistemas críticos usa-se kernel
monolítico.
mas se o cara malvado já tem acesso à conta root, a casa já desabou e não
há reboot que resolva, certo?
> Como faço para trocar o kernel de um S.O. sem um boot ?
com módulos, você pode estender a funcionalidade do kernel do linux sem
boot (veja modprobe, insmod). há uns poucos sistemas em que você pode
trocar praticamente tudo sem boot, acho que o hurd é assim.
> Expandindo a discussão. Eu considero uma boa prática de administração de
> sistemas dar um refresh no servidor regularmente, isso pode ser mensalmente,
> trimestralmente ou uma variação disso. Você pode aproveitar essa parada
> programada para instalar novos kernels, ver se o script do novo serviço está
> funcionando no boot, etc, etc, etc e tal... Risco ? Claro. A questão é que
> prefiro riscos controlados que supresas desagradáveis no meio do Carnaval ;-)
acho que não existem regras universais aqui. essa coisa de reboots
programados, não fazem muito sentido para mim, a não ser que realmente
haja modificações para fazer, que não possam ser feitas com o sistema a
quente. eu não gosto de desligar computadores, a gente nunca sabe se eles
vão ligar de novo depois ;-)
outra coisa, atualização de kernel do linux ou dos *BSD dificilmente é
assunto de vida-ou-morte, de modo que dá para conviver com um kernel
antigo sem corer grandes riscos. atualização da userland é outra história,
mas dificilmente precisa rebootar nesse caso.
o que me irrita é esse negócio de regrinhas mágicas como essa de rebootar
periodicamente sem saber exatamente por que se está fazendo isso. é muito
irracional ou muito burocrático para o meu gosto.
More information about the gter
mailing list