[이현철]님이 남기신 글:

>-----------------------------------------
>답변자가 기본적으로 참고할 내용입니다.
>- 배포판(옵션)    : 
>- 커널버전(옵션)
  : 
>- 데몬버전(예:apache
 1.3.27) : 
>- 데몬설치유형(RPM/컴파일/기타)
 : 
>-----------------------------------------
>*스팸필터링:한글
 4자(8개 문자) 이상 없으면 스팸페이지로 이동합니다.
>
>오랜만에..인사
 드립니다..
>산이님.
>
>다름이 아니라. 요 몇칠전부터.. freebsd를 만지게 되다
보니.
>아직 초짜라서 너무 모르는것이 많아서요...  
>기술적인 것보다..개념적인것들을
 몰라서요..
>
>
>1.  요즘 갑자기 맡게 된.. freebsd두대가 있습니다.
>여기서는 A서버 라고 명칭하겠습니다.
 
># uname -a
>FreeBSD  4.7-RELEASE-p28 FreeBSD 4.7-RELEASE-p28 #48: Tue May 22 14:21:25 MDT 2007 
 /usr/home/dradford/work/os/freebsd4/sys/compile/VKERN  i386
>
>위 처럼.. 4.7 버젼입니다..
>
>다른 한대는 B라고 명칭하겠습니다.

># uname -a
>FreeBSD  4.11-RELEASE FreeBSD 4.11-RELEASE #0: Tue Jun 21 01:50:14 JST 2005 
/usr/src/sys/compile/GENERIC  i386
>
>
>위 두대를 비교 해보면.. 
>둘다..서포트가
 끝난것으로 알고 있습니다.. 4.11경우에도..4점대
 마지막 버젼으로 2005년1월달 릴리즈해서..지금은
 서포트를 안해주는것으로
 알고있습니다..(맞나?)

>
>그런데..여기서
 제가 궁금한것은 A서버를  잘보면..
>4.7-RELEASE-p28 FreeBSD 4.7-RELEASE-p28 #48: Tue May 22 14:21:25 MDT 2007  

>형태로 4.7-RELEASE-p28 특히 p-28 부분이랑 2007 년도를 보면.. 
4.7경우에는 2002년도 릴리즈 된것으로 알고있는데.
>위 내용을 보면 .패치가  작년에도 이루어 진것
같은데..요.(제가
 잘못 알고 있는지..?)
>
>결국 하나는 4.7 버젼이고 하나는 4.11버젼이지만..
 4.7버젼이.. 더 보안적으로 안정적으로 볼수 있다는 생각이
드는데요... (맞습니까?)
>4.11을 업데이트 하려고 해도 여기저기 찾아 보고 해도 ..
업데이트가 끝났다고.. 버젼업하라는 말 밖에 없는데.. 

>
>실은 A서버랑 B서버랑.. 각각 기존 담당자가 틀렸는데 통합해서
제가 다 맡다보니.. 그런데..위 내용으로만.. 보면..A서버 
유지보수를 잘 한 느낌인데.. 패치가 아직 되는지요..?  

>

A 서버는 4.7 을 설치하고 보안패치(p 다음 숫자)를 꾸준히
했네요.
반면 B 서버는 4.11 RELEASE 버전을 설치하고 한번도 보안패이를
하지 않았군요.

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/

에서 예전 파일을 다운로드 하여 4.7 과 4.11 의 마지막
보안패치가 몇인지 확인해 보세요.

FreeBSD-SA-06:24.libarchive.asc 이파일을 열어보면

2006-09-30 19:58:07 UTC (RELENG_4_11, 4.11-RELEASE-p25)

로 되어 있네요.

>
>2.위 내용과 이어지는 내용입니다만...

>요즘..DNS 캐시 포이즈닝 다중 취약점 문제가 이슈가 되어서..
먼저 B서버 4.11에서 bind를 업데이트 하려고 ports사용해서
업데이를 했습니다..
>
># cd /usr/ports/dns/bind9
># make install
>이렇게 업데이를 실행 해봤습니다..
>그리고 확인 해보니.bind9-9.3.1으로
 버젼업 되더군요..
>그런데..실제 bind9-9.3.1 버젼은 옛날 버젼으로 알고
있습니다.
>http://www.isc.org 에서
찾아보면..9.5p 라든지 9.4-2 가 최신버젼인데요.

>제 생각으로는 4.11버젼에서 서포트했던..ports가
 9.3.1이 마지막이 아닌가 하는 생각인데요..  맞습니까?    혹시
맞다면.. 결국 ports를 사용해서 bind버젼업은 힘들다는
결론인데요..소스를
 다운받아서.컴파일
 하는것이 가장 좋은 방법일까요..?
>
>그래도 혹시나 해서 
>Ports를 업데이타 했습니다..
>4.11 의 packages도 인터넷 상에 존재할것 같지 않았서
말이죠.
>cvsup를 인스톨해서 
>#cd /usr/ports/net/cvsup-without-gui
># make install 
>#cd /usr/ports
>#make update
>
>위 내용대로 csvup를 통해 ports를 업데이트 후에 make update 실행을
했습니다.
>이후에  bind95형태이 최신버젼의 ports가 있어서.. make install를
했더니.
>pkg_install 이 제대로 안되더 군요.. 여기저기 찾아보니.

>4.11는 서포트가 끝났다고..버전업
 하라는 말 밖에 없든데.요.
>역시 무리일까요..?
>
>아래는 작업 한  과정입니다.
>-----------------------------------
># pwd
>/usr/ports/dns/bind95
># cd /usr/ports/dns/bind95/
># make install
>===>  Vulnerability check disabled, database not found
>===>  Found saved configuration for bind95-9.5.0.2
>===>  Extracting for bind95-base-9.5.0.2
>=> MD5 Checksum OK for bind-9.5.0-P2.tar.gz.
>=> MD5 Checksum OK for bind-9.5.0-P2.tar.gz.asc.
>===>   bind95-base-9.5.0.2 depends on file: /usr/local/sbin/pkg_info - not
found
>===>    Verifying install for /usr/local/sbin/pkg_info in
/usr/ports/ports-mgmt/pkg_install
>===>  Building for pkg_install-20080530
>===> lib
>cc -O -pipe   -W -Wall -Wstrict-prototypes -Wmissing-prototypes -Wpointer-arith
-Wno-uninitialized -Wreturn-type -Wcast-qual -Wwrite-strings -Wswitch -Wshadow
-Wnon-const-format -Wno-format-extra-args  -c match.c -o match.o
>match.c: In function `matchinstalled':
>match.c:101: warning: passing arg 3 of `fts_open' from incompatible pointer
type
>match.c: In function `matchallbyorigin':
>match.c:303: syntax error before `struct'
>match.c:304: `store' undeclared (first use in this function)
>match.c:304: (Each undeclared identifier is reported only once
>match.c:304: for each function it appears in.)
>*** Error code 1
>
>Stop in
/usr/ports/ports-mgmt/pkg_install/work/pkg_install-20080530/lib.
>*** Error code 1
>
>죄송합니다..질문이
 너무 길어졌습니다..

>끝으로.. 하나 더 여쭈어 보겠습니다.
>
>위처럼.. 서포트가 안되는 4.xx 버젼을   버젼업 하려면..어떤
식으로 하는것이 바람직한가요..
  다 지우고 새로 까는것이 좋은지요..?
>

4.xx 버전은 STABLE 가 아닌 RELEASE 버전에 마지막 보안패치(p)까지
 해 놓으시길 바랍니다.

그리고 해당 RELEASE ports 에 bind 최신 버전이 없으면 이와 같이
ports 만 업데이트 해서 설치하면 되는 경우가 있고 의존성
문제로 설치가 안되는 경우가 있습니다. 대부분 후자의 경우가
많음

최신의 bind 버전을 사용하려면 굳지 ports 시스템을 따르지
않아도 됩니다. 직접 bind 버전을 받아서 FreeBSD 주의사항
읽어보고 직접 빌드해서
사용할 수 도 있습니다.

그외에 4.xx 버전을 6.xx 버전으로 껑충 뛰은 방법이 있기는 한데
실패할 확률이 높아 보입니다.

보통 4.x -> 5.x  로 순차적으로 업데이트하고 이상없으면 6.x 로
가는 방법을 택합니다.

그런데 굳지 이렇게 어렵게 업데이트 하지 않고 그냥 최근 6.x
버전을 설치하는 편이 더 나을 지도 모르겠네요.

설치, 설정된 어플리케이션이
 그리 복지하지 않고 많지 않는다면요.


>보통 리눅스는 예를 들어서 레드햇 7점대 경우에 kernel-2.4.20의
옛날 버젼이라도 커널 2.4.36의 최신을 가지고 와서 컴파일
하면..  커널버젼은 최신을 유지를 할수있는데요..(물론
 여타 라이브러라든지
 어쩔수 없지만) 보안상으로만이라도
 안정적으로 유지할수있는데요..

>
>freebsd는 커널이라는 개념이 어떻게 이루어 지는지요..  질문이
이상하네요.  최신 버젼을 유지하려면..어떻게
 관리하는것이 바람직한지..조언을
 좀 부탁드립니다..

>

FreeBSD 는 혼자서 독학하기 상당히 어려운 운영체제입니다.

물론 한번 배워놓으면 리눅스보다 더 쉽고 관리하기 편합니다.

FreeBSD 커널은 크게 RELEASE 버전과 STABLE 버전이 있는데 STABLE
리눅스의 개발버전이라고
 생각하면 됩니다. stable 안정버전은 결코아닙니다.

STABLE 버전은 처름 RELEASE 버전에 각종 실험적인 각종 업데이트
버전들이 주욱 들어가기 때문에 안정성은 고려하지 않은
버전입니다. 그러나 어느 패치해서 주욱 안정화되었다 싶으면
이 STABLE 버전을 다음 RELEASE 버전으로 바뀝니다.

그리고 뒤이 p 가 붙은 커널은 보안패치(patch)를
 위미합니다.

제 생각에는 현재 4.x 버전의 마지막 보안패치까지 진행하고 bind
외 특별한 문제가 없다면 현재 4.xx-RELEASE-pxx 버전을 사용해도
됩니다.

다만 4.7-RELEASE 버전은 4.11-RELEASE 버전으로 업데이트 해주는게
좋습니다. 물론 4.11 보안패치도 해야하고요.

bind 문제에 맘이 걸리면 직접 소스 빌드하든지 아니면 6.x 대로
새로 설치하십시오.




>기술적인 면보다.. 아직 프리bsd의 자체를 이해 하지
못하다보니.. 단편으로 웹에서 정보만으로  어렵기만
더하네요....ㅋㅋ

>
>긴 내용 읽어 주셔서 감사합니다.. 좋은 하루 되세요..


========================================