xig

Erstellt: 24.06.2011 16:25

Regelmässig gibt es Updates welche Sicherheitslücken stopfen.
Da Dateien und Bibliotheken welche in Gebrauch sind im Speicher bleiben, auch wenn sie schon längst gelöscht sind, bleiben die Sicherheitslücken jedoch bestehen, auch wenn die Dateien oder Biblitotheken schon lange nichtmehr auf der Festplatte existieren.

Hinweise dazu liefert "lsof", "lsof" zeigt Dateien in Benutzung an. Dateien mit neuer Inode sind markiert mit "(path inode=<Inode-Nummer>)", gelöschte Dateien mit "(deleted)" oder "DEL".

Entsprechend filtert man mit einem Regex:

# lsof | grep -Ei "(del|inode=)"

(Hier ein paar Beispieleinträge, welche darauf Hinweisen, dass man zum Beispiel Apache2 mal neu starten sollte.)

apache2    3237 www-data   11w      REG                9,3        0    8028776 /var/run/apache2/ssl_mutex (deleted)
apache2    3237 www-data  mem       REG                9,3             7918453 /usr/lib/libapr-1.so.0.2.12 (path inode=7915038)
apache2    3237 www-data  DEL       REG                0,9          1361867607 /dev/zero

Debian liefert dazu sogar ein Analysetool, "checkrestart", im Paket "debian-goodies".

Die Benutzung ist äusserst simpel und liefert auch direkt einen Tipp:

# checkrestart
Found 1 processes using old versions of upgraded files
(1 distinct program)
(1 distinct packages)

Of these, 1 seem to contain init scripts which can be used to restart them:
The following packages seem to have init scripts that could be used
to restart them:
snmpd:
        1902    /usr/sbin/snmpd

These are the init scripts:
/etc/init.d/snmpd restart

Soweit, viel Erfolg!

Tagged: Debian Linux Regex Security