ClickCease Gestion des correctifs pour Linux : Le guide ultime ? ???

Vérifier le statut des CVE. En savoir plus.

Table des matières

Rejoignez notre bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Suivez-nous sur les réseaux sociaux

TuxCare Blog

Le guide ultime de la gestion des correctifs pour Linux

par Joao Correia

25 juillet 2024 - Évangéliste technique

Les administrateurs système qui travaillent dans des environnements d'entreprise savent que l'application de correctifs est pratiquement un travail à temps plein. Considérez les efforts nécessaires pour corriger un seul système : un administrateur système doit déterminer qu'un correctif est disponible, prévoir un temps d'arrêt ou une interruption, télécharger le correctif, le déployer sur le système et s'assurer qu'il retrouve son état antérieur. 

C'est tout un processus, et ce pour une seule machine. Dans un environnement d'entreprise, il y a des centaines de serveurs à gérer, ce qui signifie que le travail d'application des correctifs devient une responsabilité qui dure toute la journée. Il y a également un risque important de redémarrage raté après l'installation d'un correctif.

C'est pourquoi les administrateurs système doivent envisager les correctifs sous l'angle de la gestion des correctifs. Dans notre guide ultime de la gestion des correctifs Linux, nous expliquons comment les administrateurs système peuvent gagner du temps et organiser les correctifs à l'aide d'outils d'automatisation, ce que les administrateurs système peuvent faire pour mieux gérer les risques liés à la gestion des correctifs, et pourquoi le live patching est un outil qui change la donne pour les entreprises, et nous expliquons pourquoi le live patching est un outil qui change la donne pour les correctifs d'entreprise..

 

Pourquoi la gestion des correctifs diffère-t-elle de l'application des correctifs ?

 

Les administrateurs pourraient simplement patcher les systèmes Linux manuellement, en allant de machine en machine ou de nœud en nœud pour patcher. Cependant, il y a un risque d'erreur humaine et il peut être difficile de revenir en arrière en cas de problème.

Lorsqu'un correctif ne fonctionne pas correctement, il peut entraîner de longs temps d'arrêt, tandis que l'application manuelle d'un correctif peut également prendre énormément de temps. 

La gestion des correctifs permet aux administrateurs d'automatiser l'ensemble du processus. L'intégration d'un système de gestion des correctifs dans votre flux de travail vous permettra de détecter automatiquement les mises à jour, de les télécharger et de les déployer sur tous les serveurs. 

Les administrateurs système peuvent pousser l'automatisation un peu plus loin en déployant des correctifs en direct, ce qui élimine le processus de redémarrage généralement nécessaire après une mise à jour de Linux. Cette section aborde la question des correctifs en direct.

 

Pourquoi la gestion des correctifs est-elle importante ?

 

Les serveurs web publics non patchés constituent un problème critique pour la cybersécurité, mais la cybersécurité n'est pas la seule raison pour laquelle il faut patcher Linux. Les correctifs permettent également de remédier aux bogues et d'ajouter de nouvelles fonctionnalités. Les mises à jour importantes peuvent ajouter des fonctionnalités significatives à un système d'exploitation et peuvent être nécessaires pour maintenir la compatibilité des applications à long terme.

Lorsque les correctifs ne sont pas appliqués, ils s'accumulent. Plus les administrateurs attendent pour appliquer les correctifs à un système, plus ils devront le faire pour le mettre à jour. Cela augmente le temps nécessaire pour patcher complètement un serveur Linux et augmente le risque que quelque chose se passe mal. 

Les correctifs disponibles auprès des fournisseurs et des développeurs de distributions sont les plus importants à appliquer et doivent être appliqués immédiatement. Les correctifs s'attaquent aux problèmes critiques du système d'exploitation et sont prioritaires pour de bonnes raisons.

 

Quelle est la fréquence des opérations de gestion des correctifs ?

 

L'application de correctifs n'est pas une tâche occasionnelle. La gestion des correctifs exige une activité continue et ininterrompue de la part des administrateurs système presque tous les jours de l'année. Néanmoins, certains correctifs doivent être appliqués immédiatement, tandis que d'autres peuvent faire l'objet d'un processus de test plus approfondi avant d'être déployés.

Lorsqu'un correctif de sécurité critique est publié, il est important que les administrateurs le testent et le déploient dès que possible. 

Les vulnérabilités de type "jour zéro" constituent une menace réelle pour les organisations et leurs actifs numériques. Lorsqu'une telle vulnérabilité est annoncée, les acteurs de la menace créent rapidement des exploits pour tirer parti des systèmes non corrigés. Les vulnérabilités non corrigées sont un moyen courant pour les attaquants de s'introduire dans les systèmes d'entreprise. et sont les vecteurs d'attaque les plus courants utilisés par les groupes de ransomware..

Pour réduire le risque de violation des données, les organisations devraient déployer rapidement les correctifs de sécurité dès leur publication.

Pour les mises à jour de fonctionnalités et les correctifs de sécurité moins critiques, les correctifs doivent être effectués après des tests approfondis dans un environnement d'essai. Cet environnement doit être une réplique de l'environnement de production afin d'assurer une correspondance 1:1 lors des tests, faute de quoi des erreurs pourraient entraîner des interruptions de la production. Même si les tests sont importants, une bonne règle de base consiste à appliquer les correctifs dans les 30 jours suivant leur mise à disposition par les fournisseurs.

Dans un environnement de grande entreprise, de nouvelles mises à jour sont souvent publiées quotidiennement, ce qui implique des tests et des déploiements constants. Il est fastidieux de vérifier manuellement la présence de nouveaux correctifs chaque jour, et c'est là que l'automatisation de la gestion des correctifs entre en jeu.

 

Problèmes courants rencontrés lors du rapiéçage

 

L'application de correctifs est une activité essentielle, mais elle comporte quelques pièges. Il est utile de garder à l'esprit certains des pièges les plus courants de la gestion des correctifs lorsque vous élaborez votre stratégie de gestion des correctifs pour Linux (que nous aborderons dans la section suivante) :

 

Perturbations causées par les redémarragesSi vous n'utilisez pas le live patching, vous devez être conscient des effets que les redémarrages auront sur vos opérations. Cela signifie qu'il faut programmer des fenêtres de maintenance ou, dans le cas de la haute disponibilité, s'assurer que les correctifs ne sont appliqués que pendant les périodes creuses, lorsque le système de haute disponibilité n'est pas déjà surchargé.

Les machines patchées ne reviendront pas à leur état antérieur: De même, en redémarrant la machine, vous courez le risque qu'elle ne démarre pas toujours simplement et ne reprenne pas là où elle s'était arrêtée, et vous devez être prêt à la soigner pour qu'elle revienne à son état antérieur. L'un des moyens d'atténuer ces risques est le durcissement de Linux, qui consiste à configurer le système pour minimiser les vulnérabilités et garantir la stabilité avant et après l'application des correctifs. En mettant en œuvre les meilleures pratiques en matière de sécurité et en optimisant le système, les administrateurs peuvent réduire les risques de défaillances inattendues après une mise à jour.

Manque de ressources humainesMême avec les meilleures intentions du monde, le volume des mises à jour et des correctifs peut s'avérer écrasant. Il est essentiel d'établir des priorités et de recourir autant que possible à l'automatisation.

Changements importants apportés aux logicielsLa prudence est de mise : attention aux mises à jour importantes qui peuvent perturber les fonctionnalités existantes. Même lorsqu'une mise à jour a été testée de manière approfondie, la prudence reste de mise : plus la mise à jour est importante, plus il convient d'être attentif et prudent lors de sa diffusion dans l'entreprise.

Les mises à jour peuvent être boguéesLes mises à jour doivent être testées avant d'être déployées : à l'exception des correctifs de sécurité critiques, vous devez toujours tester les mises à jour avant de les déployer - mais, même après des tests rigoureux, il existe un risque qu'une mise à jour s'avère boguée à long terme.

Les correctifs ont un impact sur l'utilisation des ressourcesDans certains cas, un correctif peut ajouter tellement de nouvelles fonctionnalités et modifier le mode de fonctionnement d'un système que celui-ci finit par consommer beaucoup plus de ressources pour les tâches quotidiennes. Ce phénomène peut ne pas être révélé lors des tests et entraîner un ralentissement de vos activités.

 

Pour éviter certains des problèmes courants que vous pouvez rencontrer lors de l'application de correctifs, vous devez élaborer une stratégie de gestion des correctifs pour Linux et suivre les meilleures pratiques en la matière.

 

Quelles sont les stratégies de gestion des correctifs pour Linux ?

 

L'automatisation des correctifs est un outil essentiel, mais avant de se lancer dans les correctifs, il convient de parler de la stratégie de gestion des correctifs. 

Contrairement aux systèmes d'exploitation à source fermée comme Windows, les correctifs Linux peuvent être un peu plus imprévisibles et complexes. L'open source a ses avantages, mais l'un de ses inconvénients est l'utilisation d'un système d'exploitation dans lequel les modifications sont apportées par divers contributeurs. Une seule modification incompatible peut affecter l'ensemble de votre organisation.

Afin d'alléger la charge de travail et les problèmes liés à une mauvaise gestion des correctifs, voici quelques stratégies et meilleures pratiques à intégrer dans vos procédures :

 

Créer une politique de gestion des correctifs: Cette politique doit inclure toutes les étapes, y compris les tests d'assurance qualité (AQ), la fréquence des correctifs, les procédures de retour en arrière et les personnes qui approuvent les changements apportés au système d'exploitation.

Utiliser des outils d'analyse pour trouver des vulnérabilités: Qu'il s'agisse de serveurs publics ou d'hôtes internes exécutant des applications d'entreprise, les analyses de vulnérabilité permettent de repérer les systèmes non corrigés et d'éviter les exploits courants.

Utiliser les rapports pour identifier les correctifs qui ont échoué: Comment savoir si un correctif a été installé avec succès ? Une bonne solution de gestion des correctifs offre un tableau de bord central qui affiche des rapports sur les installations de correctifs réussies et échouées, de sorte que les administrateurs puissent examiner et appliquer manuellement un correctif si nécessaire.

Déployer les correctifs dès que les tests sont terminés: Les tests sont importants avant le déploiement, mais dès que les tests donnent le feu vert au déploiement, les correctifs doivent être installés dans l'ensemble de l'environnement.

Documenter les changements dans l'environnement: En général, la documentation est effectuée sous la forme d'un contrôle des changements où les employés autorisés signent les mises à jour de l'environnement. Cette étape est importante lors de l'examen des temps d'arrêt et de l'analyse des causes profondes. Elle est également importante pour des raisons d'audit et de conformité.

 

La liste ci-dessus vous donnera une longueur d'avance sur votre stratégie de gestion des correctifs. En appliquant cette stratégie, vous devez également tenir compte des meilleures pratiques en matière de correctifs.

 

Meilleures pratiques en matière de correctifs

 

L'organisation SysAdmin, Audit, Network, and Security (SANS) est une bonne source pour les meilleures pratiques pour la gestion des correctifs. Les recommandations de SANS donnent aux administrateurs une feuille de route sur la manière de mettre en œuvre une politique d'entreprise qui documente, audite et évalue les risques dans l'ensemble de l'organisation afin de déterminer quand et comment les correctifs doivent être déployés. Les huit recommandations de SANS en matière de bonnes pratiques sont les suivantes :

 

Inventaire de votre environnement: Pour appliquer des correctifs de manière exhaustive, vous devez savoir ce qui doit être corrigé. Vous devez donc dresser une liste vérifiée de tous les systèmes Linux du réseau.

Attribuer des niveaux de risque à chaque serveur: Les niveaux de risque indiquent aux administrateurs quels serveurs sont les plus importants et doivent être traités en priorité. Tous les systèmes doivent être corrigés, mais le fait de cibler les serveurs les plus importants réduira le risque qu'ils soient compromis pendant que les tests et les autres tâches de correction sont en cours.

Consolider les logiciels de gestion des correctifs en une seule solution: Les outils d'automatisation sont utiles, mais un trop grand nombre d'outils différents apportant des modifications à l'environnement peut entraîner des erreurs et d'éventuelles conditions de course.

Examiner les annonces de correctifs des fournisseurs régulièrement: Les outils d'automatisation téléchargent automatiquement les mises à jour, mais les administrateurs doivent rester attentifs pour savoir quand de nouveaux correctifs sont disponibles, en particulier les correctifs critiques.

Atténuer les risques de défaillance des correctifs: Il n'est pas rare que les administrateurs interrompent les mises à jour en raison d'un problème lié aux exceptions. Dans ce cas, les serveurs doivent être verrouillés, si possible, afin de limiter les possibilités d'exploitation.

Il faut toujours commencer par tester les correctifs dans la phase d'essai: Un environnement d'essai doit reproduire la production afin que les correctifs puissent être testés et que le risque d'interruption de service soit réduit.

Rattraper les systèmes le plus rapidement possible: Plus un serveur reste longtemps sans correctif, plus le risque de compromission due à une vulnérabilité connue est grand.

Utiliser des outils d'automatisation: Les outils d'automatisation déchargent les administrateurs d'une grande partie de leurs tâches et déploient automatiquement les correctifs lorsqu'ils sont disponibles.

 

Lire à ce sujet : Assurer la conformité grâce à une gestion plus rapide des correctifs

 

Comment fonctionne un logiciel de gestion automatisée des correctifs pour Linux ?

 

La gestion automatisée des correctifs s'appuie sur plusieurs couches, dont l'analyse de vulnérabilité. Pour éviter d'être la prochaine victime d'une atteinte à la protection des données, les entreprises doivent effectuer des analyses de vulnérabilité sur chaque appareil. 

Les analyses de vulnérabilité permettent d'identifier les correctifs manquants, afin que les administrateurs puissent les déployer dès que possible. Il existe quelques bons scanners de vulnérabilité qui rendent cette première étape beaucoup plus efficace et pratique. Ces scanners sont les suivants

 

 

Une fois l'analyse terminée, il est temps pour les outils de gestion des correctifs de prendre le relais. Plusieurs outils disponibles sur le marché rendent l'application des correctifs beaucoup plus pratique pour les administrateurs. 

De meilleurs outils rendent compte des succès et des échecs des correctifs, de sorte que les administrateurs sachent quand des mises à jour manuelles sont également nécessaires. Les outils de gestion des correctifs fournissent donc une mise à jour complète de l'état actuel de la cybersécurité de l'environnement de l'entreprise. Voici quelques outils disponibles pour gérer les correctifs :

 

 

Le principal avantage des outils susmentionnés est une meilleure organisation, car ils téléchargent les mises à jour et communiquent ensuite les résultats aux administrateurs. Dans ce processus, le bon outil peut minimiser la désorganisation qui peut se produire lorsque la gestion des correctifs est effectuée dans un environnement étendu. 

Les administrateurs peuvent également planifier les correctifs, choisir leurs propres politiques de déploiement, tester et approuver les mises à jour avant leur déploiement.

 

Comment le Live Patching s'intègre-t-il dans un cadre de gestion des correctifs ?

 

Les outils de gestion des correctifs offrent une meilleure organisation aux administrateurs, mais les redémarrages restent un problème majeur. Le redémarrage d'un serveur Linux critique signifie une indisponibilité de la machine pour l'organisation et cette indisponibilité doit être gérée d'une manière ou d'une autre. 

Il peut s'agir d'une haute disponibilité (bien que les correctifs affectent toujours les performances) ou de la programmation de fenêtres de maintenance et de la programmation des correctifs pendant les heures creuses. Cela signifie que les correctifs peuvent être reportés jusqu'à ce que cela soit pratique, ce qui laisse les serveurs non corrigés vulnérables plus longtemps. Les correctifs en direct améliorent l'ensemble du processus en éliminant le redémarrage.

L'élimination des redémarrages est également utile à d'autres égards, notamment en réduisant les risques inhérents au redémarrage. Que se passe-t-il si le système ne redémarre pas ? Et s'il y a plusieurs serveurs critiques qui doivent être corrigés et redémarrés simultanément ?

Un administrateur système peut avoir plusieurs serveurs critiques qui alimentent l'ensemble de l'organisation et qui ont tous besoin d'un correctif urgent pour une vulnérabilité, et il y a un risque que plusieurs serveurs critiques ne redémarrent pas en douceur. Avec le live patching, ce risque est éliminé.

 

KernelCare fonctionne-t-il avec des outils de gestion des correctifs ?

 

KernelCare est un outil de correction en direct de Linux qui s'intègre dans les solutions de gestion des correctifs existantes. Les correctifs sont toujours planifiés, testés, téléchargés et déployés à partir de l'outil de gestion des correctifs. Mais KernelCare ajoute des capacités de correction en direct et élimine les exigences de redémarrage.

KernelCare live patching fonctionne en quatre étapes simples :

 

  1. Allocation de la mémoire du noyau et chargement d'un nouveau code sécurisé dans la mémoire.
  2. Geler temporairement tous les processus en mode sans échec.
  3. Modifier les fonctions et passer à un nouveau code sécurisé, qui comble la vulnérabilité.
  4. Débloque les processus et reprend l'activité.

 

La magie réside dans le fait qu'il n'est pas nécessaire de redémarrer la machine concernée pour appliquer le correctif. Avec KernelCare live patching, le code mis à jour est appliqué de manière transparente, sans intervention de l'administrateur système et sans aucune interruption.

Si vous utilisez l'un des outils de correction mentionnés précédemment (par exemple, Ansible, Puppet, Chef, SaltStack), vous pouvez utiliser les mêmes outils pour déployer KernelCare - vous n'avez pas besoin d'installer KernelCare manuellement sur chaque serveur. Avec ces outils, les administrateurs peuvent :

 

  1. Distribuer le paquet d'agents KernelCare (nécessaire uniquement lorsque les serveurs n'ont pas d'accès à l'internet).
  2. Distribuer le fichier de configuration de l'agent KernelCare /etc/sysconfig/kcare/kcare.conf
  3. Définir les variables d'environnement
  4. Installer l'agent KernelCare à partir de serveurs de téléchargement locaux ou distants.
  5. Enregistrer KernelCare avec des licences basées sur la clé ou sur l'IP

 

En plus de faciliter la distribution et l'intégration dans les applications actuelles de déploiement de correctifs, KernelCare envoie également un rapport de "noyau sûr" à tous les scanners de vulnérabilité qui interrogent vos serveurs à la recherche de vulnérabilités. 

Avec KernelCare, vos serveurs Linux sont automatiquement corrigés sans qu'il soit nécessaire de les redémarrer, et les scanners de vulnérabilités signalent que vos serveurs sont mis à jour et qu'ils disposent des correctifs de vulnérabilités les plus récents.

 

Comment patcher manuellement vos systèmes Linux ?

 

Même lorsque l'automatisation des correctifs et les correctifs en direct sont en place, des mises à jour manuelles sont parfois nécessaires. Par exemple, après l'échec d'une mise à jour, les administrateurs peuvent être amenés à patcher manuellement le système. Des mises à jour manuelles peuvent également être nécessaires dans un environnement de test. Les commandes de mise à jour de Linux dépendent de votre distribution, mais voici les commandes de quelques distributions courantes.

 

 

Pour les distributions basées sur Debian (par exemple Debian, Ubuntu, Mint), les commandes suivantes affichent les correctifs et les paquets de mise à jour disponibles ainsi que le système d'exploitation :

sudo apt-get update

sudo apt-get upgrade 

sudo apt-get dist-upgrade

 

Pour les distributions Red Hat Linux (par exemple RedHat, CentOS, Oracle), les commandes suivantes vérifient la présence de mises à jour et de correctifs pour le système :

yum check-update

yum update

 

Pour les Linux basés sur SUSE (par exemple Suse Linux Enterprise, OpenSuse), les commandes suivantes vérifient la présence de mises à jour et de correctifs pour le système :

zypper check-update

zypper update

Gestion de la fin de vie de Linux

 

Il y a un éléphant dans certaines salles de serveurs. Il s'agit des systèmes d'exploitation non pris en charge, ou en fin de vie, qui peuvent rapidement faire échouer les meilleures stratégies de gestion des correctifs.

Un système d'exploitation non pris en charge ne reçoit plus de correctifs pour les failles de sécurité récemment découvertes. En l'absence de correctifs, il n'y a aucun moyen de protéger les systèmes contre les vulnérabilités critiques, même lorsque des correctifs automatisés sont en place. Le développement d'un correctif personnalisé est une solution difficile et coûteuse.

Pourquoi les entreprises utilisent-elles des systèmes d'exploitation en fin de vie ? Il peut s'agir d'une pure négligence de la part de l'équipe d'administrateurs système, qui n'a jamais pris les mesures nécessaires pour passer à une version prise en charge. Le plus souvent, cependant, il s'agit d'une question pratique, comme un logiciel spécifique qui ne fonctionne tout simplement pas sur le nouveau système d'exploitation, ou d'une forte pression sur l'équipe d'administrateurs système qui a empêché la mise à niveau.

Heureusement, il existe un moyen d'appliquer vos stratégies de gestion des correctifs aux systèmes d'exploitation en fin de vie. Vous pouvez souscrire à un plan d'assistance étendu auprès du fournisseur de Linux, bien que ces plans puissent être coûteux et inclure des fonctionnalités inutiles. 

La gamme de services de TuxCare services d'assistance pour le cycle de vie étendu pour les distributions Linux qui ne sont plus officiellement prises en charge est une alternative plus abordable. Elle offre jusqu'à 4 ans de mises à jour de sécurité pour un certain nombre de distributions Linux non prises en charge, ainsi que pour des langages de codage tels que PHP et Python.

 

Conclusion

 

La cohérence des correctifs est essentielle, mais difficile à obtenir. Les redémarrages sont gênants et les ressources limitées peuvent ralentir les efforts de correction. La gestion des correctifs Linux est néanmoins au cœur du maintien de la sécurité des environnements informatiques des entreprises. 

Une bonne gestion des correctifs nécessite une approche stratégique qui respecte les meilleures pratiques en matière de gestion des correctifs, mais qui utilise également les meilleurs outils disponibles pour accomplir cette tâche.

L'intégration de KernelCare dans la gestion des correctifs réduit les risques, améliore la sécurité de vos serveurs Linux et facilite la tâche des administrateurs. KernelCare fonctionne également de manière transparente avec votre processus de correction actuel pour introduire des mises à jour sans redémarrage.

Nous avons des clients dont les serveurs n'ont pas été redémarrés depuis plus de six ans. Grâce à KernelCare, plus de 300 000 serveurs pris en charge dans les principaux centres de données du monde entier conservent leur statut de conformité SOC 2 avec notre cadre de correctifs en direct. 

Essayer KernelCare pour vous aider à respecter votre stratégie de gestion des correctifs Linux et à décharger vos administrateurs d'un grand nombre de tâches et de processus fastidieux.

Résumé
Nom de l'article
Gestion des correctifs pour Linux : Le guide ultime ? ???
Description
Dans ce guide sur la gestion des correctifs Linux, nous expliquons comment les administrateurs de systèmes peuvent gagner du temps et organiser les correctifs à l'aide d'outils d'automatisation.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Prêt à moderniser votre approche de correction des vulnérabilités avec la correction automatisée et non perturbatrice de KernelCare Enterprise ? Planifiez un chat avec l'un de nos experts en sécurité Linux !

PARLEZ À UN EXPERT