Применение обновлений безопасности — важный момент в сопровождении программного обеспечения, особенно такого как операционная система. Для FreeBSD этот процесс не был простым в течение долгого времени. На исходный код нужно было накладывать патчи, перестраивать код в двоичные файлы, а затем эти двоичные файлы требовалось переустановить.
Теперь это давно не так, и FreeBSD включает программу с простым
названием freebsd-update. Эта программа
предоставляет две различные функции. Во-первых, она позволяет
применить к базовой системе FreeBSD обновления безопасности и критические
исправления в двоичном виде, без необходимости сборки и установки.
Во-вторых, программа поддерживает обновление системы со сменой
старшего или младшего номера версии.
Двоичные обновления доступны для всех архитектур и версий, поддерживаемых группой безопасности; тем не менее, для работы некоторых из возможностей, таких как смена версии операционной системы FreeBSD, требуется последняя версия freebsd-update(8) и по крайней мере FreeBSD 6.3. Перед обновлением до новой версии следует ознакомиться с объявлением о выпуске текущей версии, так как там может содержаться важная информация, применимая к версии, на которую намечен переход. С соответствующими объявлениями можно ознакомиться, перейдя по следующей ссылке: http://www.FreeBSD.org/releases/.
Если имеется задание crontab, запускающее
freebsd-update, то перед началом выполнения
следующих действий его обязательно нужно выключить.
Некоторые пользователи могут пожелать изменить конфигурационный файл для лучшего контроля над процессом обновления. Все параметры подробно задокументированы, но для некоторых из них может понадобиться дополнительное разъяснение:
Данный параметр определяет, какие части FreeBSD будут обновлены.
По умолчанию обновляется исходный код (src), вся базовая система
(world) и ядро (kernel). Компоненты те же самые, что и во время
установки; в частности, добавление "world/games" позволяет
обновить игры. Использование "src/bin" позволяет обновить
исходный код в src/bin.
Лучшим вариантом будет оставить всё как есть, поскольку изменение этого перечня с целью добавления особых пунктов потребует от пользователя указания подряд всех пунктов, которые пользователь захочет обновить. Это может привести к негативным последствиям из-за возможной рассинхронизации между исходными текстами и двоичными файлами.
Добавьте сюда пути к каталогам (например, /bin или /sbin), которые вы хотели бы
оставить нетронутыми в процессе обновления. Этот параметр можно
использовать для предотвращения перезаписывания локальных
изменений программой freebsd-update.
Обновлять конфигурационные файлы в указанных каталогах, только
если они не содержат изменений. При наличии каких-либо изменений
со стороны пользователя автоматическое обновление таких файлов
отменяется. Есть другой параметр
KeepModifiedMetadata, который предписывает
команде freebsd-update сохранять изменения во
время процесса слияния.
Список каталогов с конфигурационными файлами, для которых
freebsd-update попытается выполнить слияние.
Процесс слияния файла представляет собой набор изменений
в формате diff(1), похож на mergemaster(8), но с
меньшим количеством параметров: результат слияния принимается,
открывается редактор или freebsd-update
прекращает свою работу. В случае сомнений сделайте резервную
копию /etc и просто
согласитесь со всеми изменениями. Для получения подробной
информации по команде mergemaster смотрите
Раздел 22.6.11.1, «mergemaster».
Этот каталог предназначен для размещения патчей и временных файлов. В случае, когда пользователь выполняет обновление со сменой версии, в этом месте должен иметь по крайней мере гигабайт дискового пространства.
Если выставлено значение yes, то
freebsd-update будет исходить из того, что
список Components является полным, и не будет
пытаться выполнить изменения за пределами этого списка.
В действительности freebsd-update попытается
обновить все файлы, которые принадлежат списку
Components.
Обновления безопасности хранятся на удалённой машине и могут быть загружены и установлены с использованием следующей команды:
# freebsd-update fetch
# freebsd-update installЕсли были установлены обновления ядра, то после этого
нужно перезагрузить систему. Если все пошло хорошо, система
должна быть с установленными исправлениями, и
freebsd-update можно запускать в качестве ночного
задания cron(8). Для этого достаточно добавить следующую
запись в /etc/crontab:
Эта запись означает, что freebsd-update будет
запускаться ежедневно. В данном случае, в соответствии с аргументом
cron freebsd-update ограничится
проверкой доступных обновлений. В случае наличия обновлений они
будут автоматически загружены и сохранены на локальном диске.
Пользователю root будет отправлено
соответствующее письмо, так что эти обновления можно будет
установить самостоятельно.
На случай, если что-то пошло не так, в
freebsd-update предусмотрен механизм возврата
последнего набора изменений с использованием следующей команды:
# freebsd-update rollbackЕсли после завершения всех действий было изменено ядро или какой-либо из его модулей, система должна быть перезагружена. Это позволит FreeBSD загрузить новые двоичные файлы в память.
Команда freebsd-update работает только
с ядром GENERIC. Если в
GENERIC присутствуют изменения или
используется собственная конфигурация ядра,
freebsd-update завершится неудачно.
Этот процесс удаляет старые объектные файлы и библиотеки, что
может нарушить работу большинства сторонних приложений. Все
установленные порты рекомендуется либо удалить и переустановить
заново, либо обновить с использованием программы ports-mgmt/portupgrade. Большинство
пользователей предпочтут выполнить тестовое построение, запустив для
этого следующую команду:
# portupgrade -afЭто позволит убедиться в том, что всё будет переустановлено
правильно. Обратите внимание, что если переменной окружения
BATCH присвоить значение yes,
то на все вопросы в течение этого процесса будет возвращаться
ответ yes, что позволит исключить необходимость
ручного вмешательства в процесс построения.
Обновления со сменой старшей и младшей версий можно выполнить,
указав значение версии, на которую будет произведен переход, в
качестве аргумента команды freebsd-update.
Так, например, можно выполнить обновление до версии
FreeBSD 6.3:
# freebsd-update -r 6.3-RELEASE upgradeПосле своего запуска freebsd-update
анализирует содержимое конфигурационного файла и собирает
необходимую для проведения обновления информацию о текущей
установленной системе. На экран будет выдан перечень компонентов,
которые удалось и не удалось обнаружить установленными.
Например:
Следующим шагом freebsd-update попытается
загрузить по сети файлы, необходимые для выполнения обновления.
В некоторых случаях может потребоваться ответить на вопросы
относительно того, что и как устанавливать.
После того, как все изменения были загружены, они будут
применены. Этот процесс может занять определённое время, в
зависимости от производительности и текущей загруженности
компьютера. Затем будет выполнено слияние конфигурационных файлов
— эта часть процесса требует от пользователя определённого
вмешательства, так как для файла можно выполнить слияние
автоматически, а можно открыть текстовый редактор для слияния
вручную. Результат успешного слияния будет показан на экране.
Неудачное или пропущенное слияние вызовет преждевременное завершение
программы. Можно подготовить резервную копию каталога /etc для таких важных файлов как
master.passwd и group и
выполнить их слияние вручную позднее.
На данном этапе система еще не модифицирована, и все изменения и слияния происходят в отдельном каталоге. Теперь, когда все изменения успешно применены, все конфигурационные файлы слиты и кажется, что процесс должен пройти плавно, пользователь должен установить изменения.
После завершения этого процесса, изменения могут быть установлены на диск с помощью следующей команды.
# freebsd-update installВ первую очередь изменения будут применены к ядру и его модулям. После этого компьютер должен быть перезагружен. Следующая команда выполнит перезагрузку компьютера, после чего будет загружено новое ядро:
# shutdown -r nowПосле перезагрузки нужно повторно запустить команду
freebsd-update. Команда прочитает, на каком
этапе она находится, и перейдёт к удалению старых объектных файлов
и совместно используемых библиотек. Чтобы перейти к этому этапу,
выполните следующую команду:
# freebsd-update installКоличество этапов установки обновлений может быть два вместо трёх и зависит от того, были ли изменены номера версий каких-либо совместно используемых библиотек.
Теперь понадобится пересобрать и переустановить всё стороннее
программное обеспечение. Это необходимая операция, так как
установленное программное обеспечение может зависеть от библиотек,
которые были удалены в процессе смены версии операционной системы.
Для автоматизации этого процесса можно воспользоваться командой
ports-mgmt/portupgrade.
Начать можно со следующих команд:
# portupgrade -f ruby
# rm /var/db/pkg/pkgdb.db
# portupgrade -f ruby18-bdb
# rm /var/db/pkg/pkgdb.db /usr/ports/INDEX-*.db
# portupgrade -afПосле этого завершите процесс обновления последним запуском
freebsd-update. Выполните следующую команду,
чтобы убедиться, что ничего не забыто в процессе обновления:
# freebsd-update installПерезагрузите компьютер с новой версией FreeBSD. На этом процесс завершён.
Утилита freebsd-update может быть
использована для проверки состояния установленной версии FreeBSD
относительно известной хорошей копии. Оценивается текущая версия
системных утилит, библиотек и конфигурационных файлов. Для того,
чтобы начать сравнение, выполните следующую команду:
# freebsd-update IDS >> outfile.idsНе смотря на то, что команда называется
IDS, это ни в коей мере не должно являться
заменой системе обнаружения вторжений, такой как security/snort. Поскольку
freebsd-update сохраняет свои данные на
диске, возможность подмены становится очевидной. И хотя эта
возможность может быть уменьшена при использовании настройки
kern.securelevel, а также используя для
записи данных freebsd-update файловую
систему, которая в остальное время смонтирована только на
чтение, лучшим решением будет сравнить систему относительно
эталона на физически защищенном носителе, таком как
DVD или внешний USB диск
с включённой защитой от записи.
Теперь запустится проверка системы, в результате которой будет
выведен список файлов с их контрольными суммами в sha256(1) с
известным значением для файла из релиза и значением для текущего
в системе. Результат выводится слишком быстро для наглядного
сравнения и вскоре заполняет консольный буфер. По этой причине в
данном примере вывод перенаправлен в файл
outfile.ids.
Эти строки также очень длинные, но зато такой формат вывода удобен для разбора. Так, для получения списка всех отличающихся от релиза файлов достаточно выполнить такую команду:
# cat outfile.ids | awk '{ print $1 }' | more
/etc/master.passwd
/etc/motd
/etc/passwd
/etc/pf.confВывод специально обрезан, на самом деле файлов намного больше.
Некоторые из них изменены в ходе нормальной работы: так, файл
/etc/passwd был изменён после заведения
пользователей в системе. В некоторых случаях могут быть и другие
файлы, такие как модули ядра, которые могли измениться вследствие
обновления через freebsd-update. Для
исключения из проверки конкретных файлов и каталогов укажите их
в качестве значения параметра IDSIgnorePaths
в /etc/freebsd-update.conf.
Эта система может использоваться как часть более сложной процедуры обновления, в отличие от описанного выше способа.
Этот, и другие документы, могут быть скачаны с http://ftp.FreeBSD.org/pub/FreeBSD/doc/.
По вопросам, связанным с FreeBSD, прочитайте
документацию прежде чем писать в
<questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите в рассылку
<doc@FreeBSD.org>.