Устранение уязвимости Bash, unixman, 01-Окт-14, 12:57 [смотреть все]Коллеги, в связи с уязвимостью в bash, стала задача обновить его на продакшн вэб сервере, т.к. Bash является шеллом по умолчанию. На сервере FreeBSD версии 7.2-RELEASE-p4, досталось всё это мне от предыдущего админа, и т.к. с этим сервером работать не приходилось лично мне до сего дня, то не могу в данный момент сказать насколько там Bash актуален, т.е. зависим ли nginx от Bash, если не зависим тогда вероятно можно было бы с bash сменить шелл по умолчанию. Коллеги, с FreeBSD работал немного, с принципами портов и пакетов знаком, но времени крайне мало чтобы решать тонкие моменты, т.к. параллельно и другие есть задачи, поэтому нужна ваша помощь. Каким максимально быстрым/правильным/безопастным путем решить эту задачу, можно ли решить эту задачу без обновления всей системы ? Спасибо!
|
- Устранение уязвимости Bash, aurved, 22:09 , 01-Окт-14 (1)
ну так как bash по-умолчанию в FreeBSD не инсталлируется и не предлагается в качестве шелла по-умолчанию, то думаю можно его снести на хрен, предварительно конечно всем пользователям у которых он в качестве шелла поставив что-то другое. Ну а если очень хочется bash, ну можно наверно скачать исходники и патчи с сайта проекта и самому собрать, из портов я думаю его уже не получится новый получить-собрать, 7-ка уже не актуальна.
- Устранение уязвимости Bash, unixman, 10:44 , 02-Окт-14 (2)
> ну так как bash по-умолчанию в FreeBSD не инсталлируется и не предлагается > в качестве шелла по-умолчанию, то думаю можно его снести на хрен, > предварительно конечно всем пользователям у которых он в качестве шелла поставив > что-то другое. > Ну а если очень хочется bash, ну можно наверно скачать исходники и > патчи с сайта проекта и самому собрать, из портов я думаю > его уже не получится новый получить-собрать, 7-ка уже не актуальна.Да, так и сделаю, перключу на tcsh, на текущий момент дефаулт шелл это Bash, видимо предыдущий админ его любил. $ echo $SHELL /usr/local/bin/bash $ bash --version GNU bash, version 4.1.7(0)-release (i386-portbld-freebsd7.2)
Думаю, забэкапить конфиги и данные, и затем на тестовом хосте проинсталлить FreeBSD 10 версию (или Debian,хотя субъективно кажется что BSD стабильнее, $ uptime 677 days), и адаптировать на нее вэб сервер, так думаю будет наверно по надежнее. В любом случае спасибо за отклик и ваше время!
|