Was ist mit 'freebsd-update IDS' los?

S

SolarCatcher

Well-Known Member
Gestern hatte ich ein kleines Problem beim letzten Upgrade eines Servers von 14.0 auf 14.1. Daraufhin checkte ich per freebsd-update IDS, ob alles korrekt installiert wurde. Da hagelte es hunderte von Meldungen, wegen angeblicher fehlerhafter Dateirechte und auch einige Checksum-Fehler, inkl. bei Kernel und wenigen Kernel-Modulen. Das gefiel mir gar nicht.

Mit ZFS ging ich zurück zum vorhergehenden Boot Environment und machte den Upgrade erneut. Diesmal lief alles problemlos durch, die Meldungen von freebsd-update IDS blieben aber bestehen. Ich schaute dann, wie es auf meinen anderen FreeBSD-Systemen aussah: Überall dasselbe Bild; alle 14.1-Systeme zeigten massenhaft Probleme.

Seltsamerweise habe ich dazu weder im FreeBSD-Bugzilla noch via Google irgendwelche Hinweise gefunden. Wann hat denn freebsd-update IDS aufgehört sinnvolle Ergebnisse zu liefern? In der Vergangenheit hatte ich das ganz gelegentlich verwendet und schien noch alles prima.

Hinweis, für wer's nicht kennt: der IDS command bei freebsd-update soll laut Man-Page folgendes machen:
IDS Compare the system against a "known good" index of the installed release.
Zum Vergrößern anklicken....
 
Ich habe das Problem auch, direkt seit dem ersten Tag und eigentlich bei jedem Upgrade. So schlimm wie beim Upgrade auf 14.1 war es noch nie. Bislang habe ich die Berechtigungen immer händisch angepasst. Bei der Masse ist mir das aber zu viel. In einer ruhigen Minute (vermutlich im Jahr 2032) wollte ich ein Script basteln, das die Berechtigungen wie von IDS gewünscht anpasst.
 
Ich hätte erwartet, dass freebsd-update immer dieselbe Datengrundlage verwendet. Sowohl für's Updaten/Upgraden als auch für's Checken per IDS Befehl. Daher bin ich mir nicht im klaren, wer hier eigentlich "Recht hat": Update oder IDS? Warum sollte IDS besser "wissen", welche Berechtigungen eine Datei haben sollte.

Insbesondere frage ich mich das bei Dateien, bei denen IDS behauptet, dass (auch) die Checksumme nicht stimme: Wenn auf all meinen Systemen freebsd-update den Kernel mit einer bestimmten Checksumme installiert, woher stammt dann die Checksumme, die IDS erwartet? Und warum sollte ich auf jene vertrauen?
 
Ich vermute (bin mir aber sicher, dass sich hier Leute tummeln, die das wissen), dass freebsd-update IDS gegen eine Neuinstallation prüft und beim Upgrade die Berechtigungen nicht korrekt gesetzt werden.
 
Columbo0815 schrieb:
Ich vermute (bin mir aber sicher, dass sich hier Leute tummeln, die das wissen), dass freebsd-update IDS gegen eine Neuinstallation prüft und beim Upgrade die Berechtigungen nicht korrekt gesetzt werden.
Zum Vergrößern anklicken....

This.

Ich hab ein 14.1 in einer VM installiert, das auch als 14.1 frisch installiert wurde und nur die Updates seit 14.1 Release nachgezogen. Da passt IDS und gibt nur die üblichen Verdächtigen raus (passwd/shells/group...).
 
zwar benutze ich freebsd-update quasi seit der ersten Stunde, aber auf die Idee ein IDS zu versuchen, bin ich bisher noch nicht gekommen.
freebsd-update ist ein "einfaches" Shell-Script, man kann nachlesen, was es macht, ist mir aber nun zu viel.
Es hat eine config (die meist ignoriert wird und auch getrost ignoriert werden darf), in welcher man diverse Berechtigungen anpassen kann, also etwa auch dem Script erlauben, Symlinks zu überschreiben oder Dateiberechtigungen an zu passen.
Per Default verhält sich hier freebsd-update recht konservativ, wie sich das in meinen Augen auch so gehört.

Mein aktuelles System habe ich irgendwann in finsterer Vergangenheit mal versucht, an hardenedbsd an zu lehnen.
Aus praktischen Gründen heraus, habe ich seither zwar einige dieser Vorgaben wieder verworfen, aber grundsätzlich ist es doch cool, wenn freebsd-update funktioniert und meine alten Einstellungen hinsichtlich diverser Rechte bei behält und nicht überschreibt?
Wenn alles funktioniert, ist doch alles gut.
Dass IDS dann meckert, ist normal und gut, verlangt aber nicht unbedingt irgendwelche Aktionen von mir, zumindest, begreife ich das so.
 
@Columbo0815 @medV2 Vielen Dank, dann verstehe ich das ein bisschen besser.

@pit234a "IDS" steht normalerweise für "Intrusion Detection System". Dazu passt, dass die Man-Page sagt, dass Dein System mit einem "known-good" Zustand abgeglichen wird. Wenn dann lauter false-positive Warnhinweise kommen, dass Rechte nicht stimmen und vor allem, dass Checksums nicht mit dem "known-good" übereinstimmen, hat diese Funktion kaum noch einen Wert für mich.

Mein Kernel entspricht also nicht dem, was freebsd-update eigentlich erwartet!? Und was soll ich dann mit dieser Info machen, außer besorgt zu sein, dass entweder das Update nicht richtig durchgegangen ist (z.B. noch alte Dateien rumliegen) oder dass jemand meinen Kernel manipuliert hat.

Es geht hier meist nicht um Ordner und Dateien, die man selbst angelegt oder editiert hat (die gibt es auch, aber die kennt man, so was wie /etc/group). Es sind Systemdateien und da verstehe ich nicht, warum freebsd-update diesen nicht z.B. die Rechte erteilt, die der IDS command als "known-good" kennt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben