Der ultimative Leitfaden für Linux Patch Management

Systemadministratoren, die in Unternehmensumgebungen arbeiten, wissen, dass das Patchen praktisch ein Vollzeitjob ist. Denken Sie nur an den Aufwand, der mit dem Patchen eines einzigen Systems verbunden ist: Ein Systemadministrator muss feststellen, ob ein Patch verfügbar ist, Ausfallzeiten oder Unterbrechungen einplanen, den Patch herunterladen, den Patch auf dem System verteilen und sicherstellen, dass der vorherige Zustand wiederhergestellt wird. 

Das ist ein ziemlicher Prozess, und das nur für einen einzigen Rechner. In einer Unternehmensumgebung müssen Hunderte von Servern verwaltet werden, was bedeutet, dass die Aufgabe des Patchens zu einer ganztägigen Aufgabe wird. Außerdem besteht ein erhebliches Risiko, dass ein Neustart fehlschlägt, sobald ein Patch installiert ist.

Aus diesem Grund müssen Systemadministratoren das Patching aus der Perspektive des Patch-Managements betrachten. In unserem ultimativen Leitfaden für die Linux-Patch-Verwaltung erklären wir , wie Systemadministratoren Zeit gewinnen und Patches mithilfe von Automatisierungstools organisieren können und was Sysadmins tun können, um die Risiken rund um das Patching besser zu verwalten, und erklären, warum Live-Patching ein revolutionäres Tool für das Patching in Unternehmen ist.

Warum unterscheidet sich das Patch-Management vom Patching?

Administratoren könnten Linux-Systeme einfach manuell patchen, indem sie von Rechner zu Rechner oder Knotenpunkt zu Knotenpunkt gehen, um den Patch durchzuführen. Dabei besteht jedoch die Gefahr menschlicher Fehler, und es kann schwierig sein, den Patch zurückzunehmen, wenn es Probleme gibt.

Wenn ein Patch schief geht, kann das zu langen Ausfallzeiten führen, und das manuelle Patchen kann auch unglaublich zeitaufwändig sein. 

Die Patch-Verwaltung ist für Administratoren von Vorteil, da der gesamte Prozess automatisiert wird. Die Integration eines Patch-Management-Systems in Ihren Arbeitsablauf bedeutet, dass Sie Updates automatisch erkennen, herunterladen und dann auf allen Servern verteilen. 

Sysadmins können die Automatisierung noch einen Schritt weiter treiben, indem sie Live-Patching einsetzen, wodurch der Neustart, der normalerweise nach einer Linux-Aktualisierung erforderlich ist, entfällt. In diesem Abschnitt wird Live-Patching erläutert.

Warum ist Patch-Management wichtig?

Nicht gepatchte Webserver für die Öffentlichkeit sind ein kritisches Problem für die Cybersicherheit, aber die Cybersicherheit ist nicht der einzige Grund, Linux zu patchen. Durch Patches werden auch Fehler behoben und neue Funktionen hinzugefügt. Umfangreiche Aktualisierungen können ein Betriebssystem um wichtige Funktionen erweitern und sind möglicherweise erforderlich, um die Anwendungskompatibilität langfristig zu erhalten.

Wenn Patches nicht angewendet werden, stapeln sie sich. Je länger Administratoren mit dem Patchen eines Systems warten, desto mehr Patching-Aktivitäten sind erforderlich, um das System auf den neuesten Stand zu bringen. Das erhöht die Zeit, die es braucht, um einen Linux-Server vollständig zu patchen, und erhöht das Risiko, dass etwas schief geht. 

Hotfixes, die von den Anbietern und Entwicklern der Distributionen zur Verfügung gestellt werden, sind die wichtigsten Patches, die sofort angewendet werden sollten. Hotfixes beheben kritische Probleme innerhalb des Betriebssystems und haben aus gutem Grund Priorität.

Wie oft sollte die Patch-Verwaltung durchgeführt werden?

Patching ist keine gelegentliche Aufgabe. Die Patch-Verwaltung erfordert von den Systemadministratoren eine ununterbrochene, kontinuierliche Tätigkeit an fast jedem Tag des Jahres. Dennoch müssen einige Patches sofort eingespielt werden, während andere Patches vor der Bereitstellung einen umfangreicheren Testprozess durchlaufen können.

Wenn ein wichtiger Sicherheits-Patch veröffentlicht wird, ist es wichtig, dass die Administratoren den Patch so schnell wie möglich testen und verteilen. 

Zero-Day-Schwachstellen sind eine echte Bedrohung für Unternehmen und ihre digitalen Ressourcen. Wenn eine Zero-Day-Schwachstelle bekannt wird, entwickeln Angreifer schnell Exploits, um ungepatchte Systeme auszunutzen. Ungepatchte Sicherheitslücken sind ein gängiger Weg für Angreifer, um in Unternehmenssysteme einzudringen - und sind die häufigsten Angriffsvektoren, die von Ransomware-Gruppen genutzt werden.

Um das Risiko einer Datenpanne zu verringern, sollten Unternehmen Sicherheits-Patches schnell einsetzen, sobald sie veröffentlicht werden.

Bei Funktionsaktualisierungen und weniger kritischen Sicherheitskorrekturen sollte das Patching nach gründlichen Tests in einer Staging-Umgebung durchgeführt werden. Staging-Umgebungen sollten eine Nachbildung der Produktionsumgebung sein, um sicherzustellen, dass die Tests 1:1 übereinstimmen, da sonst Fehler zu Ausfallzeiten in der Produktion führen können. Auch wenn Tests wichtig sind, gilt als Faustregel, dass Patches innerhalb von 30 Tagen nach ihrer Bereitstellung durch den Hersteller angewendet werden sollten.

In einer großen Unternehmensumgebung werden oft täglich neue Updates veröffentlicht, was eine ständige Prüfung und Bereitstellung bedeutet. Jeden Tag manuell nach neuen Patches zu suchen, ist mühsam, und hier kommt die Automatisierung des Patch-Managements ins Spiel.

Häufige Probleme, die beim Patching auftreten können

Patching ist eine wichtige Tätigkeit, die jedoch einige Fallstricke birgt. Es lohnt sich, bei der Entwicklung Ihrer Linux-Patch-Management-Strategie (die wir im nächsten Abschnitt erörtern werden) einige der häufigsten Fallstricke zu beachten:

Unterbrechung durch Reboots: Wenn Sie kein Live-Patching verwenden, müssen Sie sich der Auswirkungen von Reboots auf Ihren Betrieb bewusst sein. Das bedeutet, dass Sie Wartungsfenster einplanen oder im Falle von Hochverfügbarkeit sicherstellen müssen, dass Sie nur zu Zeiten patchen, in denen Ihr Hochverfügbarkeitssystem nicht bereits überlastet ist.

Gepatchte Rechner kehren nicht in ihren vorherigen Zustand zurückAuch beim Neustart des Rechners besteht die Gefahr, dass er nicht immer einfach startet und dort weitermacht, wo er aufgehört hat, und Sie müssen darauf vorbereitet sein, ihn in den vorherigen Zustand zurückzuversetzen.

Keine Personalressourcen mehrSelbst bei den besten Plänen können Sie feststellen, dass die schiere Menge an Updates und Patches überwältigend werden kann. Es ist wichtig, Prioritäten zu setzen und die Automatisierung so weit wie möglich zu nutzen.

Große Änderungen an der Software: Seien Sie vorsichtig bei großen Aktualisierungen, die bestehende Funktionen zerstören können. Selbst wenn eine Aktualisierung gründlich getestet wurde, ist Vorsicht geboten: Je größer die Aktualisierung ist, desto mehr Aufmerksamkeit und Sorgfalt sollten Sie bei der Verteilung der Aktualisierung im Unternehmen walten lassen.

Updates können fehlerhaft sein: Mit Ausnahme von kritischen Sicherheitspatches sollten Sie Aktualisierungen immer testen, bevor Sie sie bereitstellen - aber selbst nach strengen Tests besteht das Risiko, dass sich eine Aktualisierung auf Dauer als fehlerhaft erweist.

Patches wirken sich auf die Ressourcennutzung aus: In manchen Fällen kann ein Patch so viele neue Funktionen hinzufügen und die Funktionsweise eines Systems verändern, dass das System am Ende viel mehr Ressourcen für alltägliche Aufgaben verbraucht. Dies kann während des Testens unbemerkt bleiben und zu einer Verlangsamung Ihres Betriebs führen.

Um einige der häufigen Probleme zu vermeiden, die beim Patching auftreten können, sollten Sie eine Linux-Patch-Management-Strategie entwickeln und die bewährten Verfahren für das Patch-Management befolgen.

Was sind Linux-Patch-Management-Strategien?

Die Patch-Automatisierung ist ein wichtiges Instrument, doch bevor man mit dem Patchen beginnt, sollte man über die Patch-Management-Strategie sprechen. 

Im Gegensatz zu Closed-Source-Betriebssystemen wie Windows kann das Patchen von Linux etwas unberechenbarer und komplexer sein. Open Source hat seine Vorteile, aber ein Nachteil ist, dass ein Betriebssystem betrieben wird, bei dem Änderungen von verschiedenen Mitwirkenden vorgenommen werden. Schon eine einzige inkompatible Änderung kann sich auf Ihr gesamtes Unternehmen auswirken.

Um den Aufwand und die Probleme einer schlechten Patch-Verwaltung zu verringern, finden Sie hier einige Strategien und bewährte Verfahren, die Sie in Ihre Verfahren integrieren können:

Erstellen Sie eine Patch-Management-Richtlinie: Diese Richtlinie sollte alle Schritte umfassen, einschließlich Qualitätssicherungs-Tests, Häufigkeit der Patches, Rollback-Verfahren und wer die Änderungen am Betriebssystem abzeichnet.

Verwenden Sie Scan-Tools, um Schwachstellen zu finden: Egal, ob es sich um öffentliche Server oder interne Hosts handelt, auf denen Unternehmensanwendungen laufen, Schwachstellen-Scans finden ungepatchte Systeme und helfen dabei, gängige Angriffe zu vermeiden.

Verwenden Sie Berichte, um fehlgeschlagene Patches zu identifizieren: Woher wissen Sie, dass ein Patch erfolgreich installiert wurde? Eine gute Lösung für die Patch-Verwaltung bietet ein zentrales Dashboard, das Berichte über erfolgreiche und fehlgeschlagene Patch-Installationen anzeigt, so dass die Administratoren einen Patch überprüfen und bei Bedarf manuell anwenden können.

Bereitstellung von Patches, sobald die Tests abgeschlossen sind: Tests sind vor der Bereitstellung wichtig, aber sobald die Tests grünes Licht für die Bereitstellung geben, sollten die Patches in der gesamten Umgebung installiert werden.

Dokumentieren Sie Veränderungen in der Umwelt: Normalerweise erfolgt die Dokumentation in Form einer Änderungskontrolle, bei der autorisierte Mitarbeiter die Aktualisierungen der Umgebung abzeichnen. Dieser Schritt ist wichtig für die Überprüfung von Ausfallzeiten und die Durchführung einer Ursachenanalyse. Er ist auch aus Gründen der Rechnungsprüfung und der Einhaltung von Vorschriften wichtig.

Die obige Liste gibt Ihnen einen Vorsprung bei Ihrer Patch-Management-Strategie. Bei der Anwendung dieser Strategie sollten Sie auch bewährte Patching-Verfahren berücksichtigen.

Bewährte Patching-Praktiken

Die Organisation SysAdmin, Audit, Network, and Security (SANS) ist eine gute Quelle für beste Praktiken für die Patch-Verwaltung. Die SANS-Best-Practice-Richtlinien geben Administratoren einen Fahrplan für die Implementierung einer Unternehmensrichtlinie, die das Risiko im gesamten Unternehmen dokumentiert, prüft und bewertet, um zu bestimmen, wann und wie Patches bereitgestellt werden sollten. Die acht SANS-Best-Practice-Empfehlungen sind:

Inventarisieren Sie Ihre Umgebung: Um ein umfassendes Patching durchzuführen, müssen Sie wissen, was gepatcht werden muss. Daher sollten Sie eine geprüfte Liste aller Linux-Systeme im Netzwerk erstellen.

Ordnen Sie jedem Server Risikostufen zu: Anhand der Risikostufen können die Administratoren erkennen, welche Server am wichtigsten sind und vorrangig behandelt werden sollten. Alle Systeme sollten gepatcht werden, aber durch die Konzentration auf die wichtigsten Server wird das Risiko, dass sie gefährdet werden, während Tests und andere Patching-Aufgaben durchgeführt werden, verringert.

Konsolidierung von Patch-Management-Software in einer Lösung: Automatisierungswerkzeuge sind nützlich, aber zu viele verschiedene Werkzeuge, die Änderungen an der Umgebung vornehmen, können zu Fehlern und möglichen Wettlaufsituationen führen.

Prüfen Sie die Patch-Ankündigungen der Hersteller regelmäßig: Automatisierungs-Tools laden Aktualisierungen automatisch herunter, aber Administratoren sollten dennoch aufmerksam bleiben, um zu erfahren, wann neue Patches verfügbar sind, insbesondere kritische Patches.

Risiken von Patch-Fehlern vermindern: Es ist nicht ungewöhnlich, dass Administratoren Aktualisierungen aufgrund eines Problems mit Ausnahmen stoppen. Wenn dies geschieht, sollten die Server nach Möglichkeit gesperrt werden, um das Potenzial für Angriffe zu begrenzen.

Patches immer zuerst im Staging testen: Eine Staging-Umgebung sollte die Produktionsumgebung nachbilden, damit Patches getestet werden können und das Risiko von Ausfallzeiten verringert wird.

Flicken Sie die Systeme so schnell wie möglich: Je länger ein Server nicht gepatcht wird, desto größer ist das Risiko, dass er durch eine bekannte Schwachstelle gefährdet wird.

Automatisierungstools verwenden: Automatisierungstools nehmen den Administratoren einen Großteil der Arbeit ab und stellen automatisch Patches bereit, sobald sie verfügbar sind.

Lesen Sie dazu: Schnellere Patch-Verwaltung für mehr Compliance

Wie funktioniert die automatisierte Linux-Patch-Management-Software?

Die automatisierte Patch-Verwaltung erfolgt auf mehreren Ebenen, und das Scannen auf Sicherheitslücken ist eine davon. Um zu vermeiden, dass die nächste Datenpanne in die Schlagzeilen gerät, müssen Unternehmen jedes Gerät auf Sicherheitslücken überprüfen. 

Schwachstellen-Scans stellen fest, ob Patches fehlen, so dass die Administratoren diese so schnell wie möglich installieren können. Es gibt einige gute Schwachstellen-Scanner, die diesen ersten Schritt sehr viel effizienter und bequemer machen. Diese Scanner sind:

• Qualys
• Nessus
• Schnell7

Nach Abschluss des Scans ist es an der Zeit, dass die Tools zur Patch-Verwaltung die Arbeit übernehmen. Es gibt mehrere Tools auf dem Markt, die das Patchen für Administratoren wesentlich bequemer machen. 

Bessere Tools berichten über erfolgreiche und fehlgeschlagene Patches, so dass Administratoren wissen, wann auch manuelle Aktualisierungen erforderlich sind. Tools für die Patch-Verwaltung liefern daher ein umfassendes Update über den aktuellen Zustand der Cybersicherheit in der Unternehmensumgebung. Für die Verwaltung von Patches stehen unter anderem folgende Tools zur Verfügung

• Yum - verwendet in Red Hat Enterprise Linux (RHEL)
• Ansible
• Marionette
• SaltStack
• Chefkoch
• Weltraumspaziergang

Der Hauptvorteil der oben genannten Tools liegt in der besseren Organisation, da sie Updates herunterladen und die Ergebnisse dann an die Administratoren weiterleiten. In diesem Prozess kann das richtige Tool die Desorganisation minimieren, die bei der Patch-Verwaltung in einer großen Umgebung auftreten kann. 

Administratoren können außerdem Patches planen, ihre eigenen Verteilungsrichtlinien festlegen, Updates testen und vor der Verteilung genehmigen.

Wie passt Live Patching in ein Patch Management Framework?

Patch-Management-Tools bieten Administratoren eine bessere Organisation, aber Neustarts sind immer noch ein großes Problem. Der Neustart eines kritischen Linux-Servers bedeutet für das Unternehmen eine Ausfallzeit, und diese Ausfallzeit muss irgendwie bewältigt werden. 

Dies könnte die Hochverfügbarkeit einschließen (obwohl das Patchen immer noch die Leistung beeinträchtigen würde) oder durch die Planung von Wartungsfenstern und die Planung von Patches während der Nebenzeiten. Das bedeutet, dass Patches verschoben werden können, bis es gerade passt, wodurch ungepatchte Server länger anfällig bleiben. Live-Patching verbessert den gesamten Prozess, da der Neustart entfällt.

Die Abschaffung von Neustarts ist auch in anderer Hinsicht hilfreich - unter anderem durch die Verringerung der mit einem Neustart verbundenen Risiken. Was ist, wenn das System nicht neu gestartet werden kann? Und was, wenn es mehrere kritische Server gibt, die gleichzeitig gepatcht und neu gebootet werden müssen?

Ein Systemadministrator hat möglicherweise mehrere kritische Server, die das gesamte Unternehmen versorgen und die alle dringend gepatcht werden müssen, um eine Schwachstelle zu beheben, und es besteht das Risiko, dass mehrere kritische Server nicht reibungslos neu gestartet werden können. Mit Live-Patching wird dieses Risiko ausgeschaltet.

Funktioniert KernelCare zusammen mit Patch-Management-Tools?

KernelCare ist ein Linux-Live-Patching-Tool, das sich in bestehende Patch-Management-Lösungen integrieren lässt. Patches werden weiterhin über das Patch-Management-Tool geplant, getestet, heruntergeladen und bereitgestellt. KernelCare fügt jedoch Live-Patching-Funktionen hinzu und macht einen Neustart überflüssig.

KernelCare Live-Patching funktioniert in vier einfachen Schritten:

1. Zuweisung von Kernel-Speicher und Laden von neuem, sicherem Code in den Speicher.
2. Frieren Sie vorübergehend alle Prozesse im abgesicherten Modus ein.
3. Ändern Sie Funktionen und springen Sie zu neuem sicheren Code, der die Schwachstelle schließt.
4. Hebt das Einfrieren von Prozessen auf und nimmt die Aktivität wieder auf.

Der Clou ist, dass Sie den Rechner, auf dem der Patch installiert werden soll, nicht neu starten müssen, um den Patch anzuwenden. Mit KernelCare Live-Patching wird aktualisierter Code nahtlos ohne Eingreifen des Systemadministrators und ohne jegliche Unterbrechung angewendet.

Wenn Sie eines der bereits erwähnten Patching-Tools verwenden (z. B. Ansible, Puppet, Chef, SaltStack), können Sie KernelCare mit denselben Tools bereitstellen - Sie müssen KernelCare nicht manuell auf jedem Server installieren. Mit diesen Tools können Administratoren:

1. Verteilen Sie das KernelCare-Agentenpaket (nur erforderlich, wenn die Server keinen Internetzugang haben)
2. Verteilen Sie die Konfigurationsdatei des KernelCare-Agenten /etc/sysconfig/kcare/kcare.conf
3. Umgebungsvariablen festlegen
4. Installieren Sie den KernelCare-Agenten entweder von lokalen oder entfernten Download-Servern
5. Registrieren Sie KernelCare mit schlüsselbasierten oder IP-basierten Lizenzen

Neben der einfachen Verteilung und Integration in aktuelle Patch-Verteilungsanwendungen sendet KernelCare auch einen "Safe Kernel"-Bericht an alle Schwachstellen-Scanner, die Ihre Server auf Schwachstellen untersuchen. 

Mit KernelCare werden Ihre Linux-Server automatisch gepatcht, ohne dass ein Neustart erforderlich ist, und Schwachstellen-Scanner melden, dass Ihre Server aktualisiert und mit aktuellen Schwachstellen-Patches versehen sind.

Wie können Sie Ihre Linux-Systeme manuell patchen?

Selbst wenn Patch-Automatisierung und Live-Patching vorhanden sind, sind gelegentlich manuelle Aktualisierungen erforderlich. Nach einer fehlgeschlagenen Aktualisierung müssen die Administratoren das System möglicherweise manuell patchen. Manuelle Aktualisierungen können auch in einer Testumgebung erforderlich sein. Die Befehle zum Aktualisieren von Linux hängen von der jeweiligen Distribution ab, aber hier sind die Befehle für einige gängige Distributionen.

Für Debian-basierte Distributionen (z.B. Debian, Ubuntu, Mint) zeigen die folgenden Befehle verfügbare Patches und Update-Pakete und das Betriebssystem an:

sudo apt-get update

sudo apt-get upgrade 

sudo apt-get dist-upgrade

Bei Red Hat Linux-Distributionen (z. B. RedHat, CentOS, Oracle) suchen die folgenden Befehle nach Updates und patchen das System:

yum check-update

yum aktualisieren

Für SUSE-basiertes Linux (z. B. Suse Linux Enterprise, OpenSuse) suchen die folgenden Befehle nach Updates und patchen das System:

zypper check-update

zypper update

Umgang mit auslaufendem Linux

In manchen Serverräumen gibt es einen Elefanten. Es handelt sich dabei um nicht mehr unterstützte oder auslaufende Betriebssysteme, die selbst die besten Patch-Management-Strategien schnell zum Scheitern bringen können.

Ein nicht unterstütztes Betriebssystem erhält keine Patches mehr für neu entdeckte Sicherheitslücken. Ohne Patch gibt es keine Möglichkeit, Systeme vor kritischen Schwachstellen zu schützen - selbst wenn automatische Patches vorhanden sind. Die Entwicklung eines eigenen Patches ist eine schwierige und teure Lösung.

Warum verwenden Unternehmen veraltete Betriebssysteme? Es kann auf reine Vernachlässigung durch das Systemadministratorenteam zurückzuführen sein, wenn die erforderlichen Maßnahmen für ein Upgrade auf eine unterstützte Version nie ergriffen wurden. In den meisten Fällen ist es jedoch eine praktische Angelegenheit - z. B. eine bestimmte Software, die auf dem neueren Betriebssystem einfach nicht funktioniert, oder starker Druck auf das Systemadministratorenteam, so dass das Upgrade nicht durchgeführt werden konnte.

Glücklicherweise gibt es eine Möglichkeit, Ihre Patch-Management-Strategien auch auf auslaufende Betriebssysteme anzuwenden. Sie könnten einen erweiterten Supportplan des Linux-Anbieters abonnieren, der allerdings teuer sein kann und nicht benötigte Funktionen enthält. 

TuxCare's Angebot an Erweiterte Lifecycle-Support-Dienstleistungen für Linux-Distributionen, die nicht mehr offiziell unterstützt werden, ist eine kostengünstige Alternative. Es bietet bis zu 4 Jahre Sicherheitsupdates für eine Reihe von nicht unterstützten Linux-Distributionen sowie Programmiersprachen wie PHP und Python.

Schlussfolgerung

Konsistentes Patching ist wichtig, aber schwer zu bewerkstelligen. Reboots sind hinderlich, und begrenzte Ressourcen können die Patching-Bemühungen beeinträchtigen. Die Linux-Patch-Verwaltung ist jedoch das Herzstück der Sicherheit von Computerumgebungen in Unternehmen. 

Die richtige Patch-Verwaltung erfordert einen strategischen Ansatz, der sich an den bewährten Verfahren für die Patch-Verwaltung orientiert, aber auch die besten Tools einsetzt, die es für diese Aufgabe gibt.

Die Integration von KernelCare in die Patch-Verwaltung verringert das Risiko, verbessert die Sicherheit Ihrer Linux-Server und bietet den Administratoren mehr Komfort. KernelCare arbeitet außerdem nahtlos mit Ihrem aktuellen Patching-Prozess zusammen, um Updates ohne Neustart einzuführen.

Wir haben Kunden mit Servern, die seit über sechs Jahren nicht mehr neu gebootet wurden. Dank KernelCare halten über 300.000 unterstützte Server in großen Rechenzentren auf der ganzen Welt ihren SOC-2-Konformitätsstatus mit unserem Live-Patching-Framework aufrecht. 

Versuchen Sie KernelCare um Ihre Linux-Patch-Management-Strategie einzuhalten und Ihren Administratoren eine Menge Overhead und zeitraubende Prozesse abzunehmen.

Zusammenfassung

Artikel Name

Linux Patch-Verwaltung: Der ultimative Leitfaden 📕.

Beschreibung

In diesem Leitfaden zur Linux-Patch-Verwaltung erklären wir, wie Systemadministratoren mithilfe von Automatisierungstools Zeit sparen und Patches organisieren können

Autor

Joao Correia

Name des Herausgebers

TuxCare

Logo des Herausgebers