ClickCease Gestion des correctifs Linux : Le guide ultime ūüďē

Le guide ultime de la gestion des correctifs pour Linux

Joao Correia

Le 20 janvier 2023 - L'équipe d'experts de TuxCare

Les administrateurs système qui travaillent dans des environnements d'entreprise savent que l'application de correctifs est pratiquement un travail à plein temps. Considérez l'effort nécessaire à l'application d'un correctif à un seul système : un administrateur système doit déterminer qu'un correctif est disponible, prévoir un temps d'arrêt ou une interruption, télécharger le correctif, déployer le correctif sur le système et s'assurer qu'il retrouve son état antérieur. 

C'est tout un processus et cela pour une seule machine. Dans l'environnement de l'entreprise, il y a des centaines de serveurs à gérer, ce qui signifie que le travail de correction devient une responsabilité qui dure toute la journée. Il existe également un risque important de redémarrage raté après l'installation d'un correctif.

C'est pourquoi les administrateurs système doivent envisager les correctifs sous l'angle de la gestion des correctifs. Dans notre guide ultime de la gestion des correctifs Linux, nous expliquons comment les administrateurs système peuvent gagner du temps et organiser les correctifs à l'aide d'outils d'automatisation, ce que les administrateurs système peuvent faire pour mieux gérer les risques liés à la gestion des correctifs, et pourquoi le live patching est un outil qui change la donne pour les entreprises, et nous expliquons pourquoi le live patching est un outil qui change la donne pour les correctifs d'entreprise..

 

Pourquoi la gestion des correctifs est-elle différente de l'application des correctifs ?

 

Les administrateurs pouvaient simplement appliquer manuellement les correctifs aux syst√®mes Linux, en allant de machine en machine ou de nŇďud en nŇďud pour le faire. Cependant, il y a un risque d'erreur humaine et il peut √™tre difficile d'annuler le patch en cas de probl√®me.

Lorsqu'un correctif ne fonctionne pas correctement, il peut entra√ģner de longues p√©riodes d'indisponibilit√©, et l'application manuelle d'un correctif peut √©galement prendre √©norm√©ment de temps.¬†

La gestion des correctifs profite aux administrateurs en automatisant l'ensemble du processus. L'intégration d'un système de gestion des correctifs dans votre flux de travail vous permettra de détecter automatiquement les mises à jour, de les télécharger, puis de les déployer sur tous les serveurs. 

Les administrateurs système peuvent pousser l'automatisation un peu plus loin en déployant des correctifs en direct, ce qui élimine le processus de redémarrage qui est généralement nécessaire après la mise à jour de Linux. Nous abordons le live patching dans cette section.

 

Pourquoi la gestion des correctifs est-elle importante ?

 

Les serveurs Web publics non patchés constituent un problème critique de cybersécurité, mais la cybersécurité n'est pas la seule raison de patcher Linux. La mise à jour permet également de corriger les bogues et d'ajouter de nouvelles fonctionnalités. Les mises à jour importantes peuvent ajouter des fonctionnalités significatives à un système d'exploitation et peuvent être nécessaires pour maintenir la compatibilité des applications à long terme.

Lorsque les correctifs ne sont pas appliqu√©s, ils s'accumulent. Plus les administrateurs attendent pour appliquer un correctif √† un syst√®me, plus l'activit√© de correction sera n√©cessaire pour mettre le syst√®me √† jour. Cela augmente le temps n√©cessaire √† la mise en place d'un correctif complet pour un serveur Linux et accro√ģt le risque que quelque chose se passe mal.¬†

Les correctifs disponibles auprès des vendeurs et des développeurs de distributions sont les correctifs les plus importants à appliquer et doivent être appliqués immédiatement. Les correctifs traitent des problèmes critiques du système d'exploitation et sont prioritaires pour une bonne raison.

 

À quelle fréquence la gestion des correctifs doit-elle être effectuée ?

 

La mise √† jour n'est pas une t√Ęche occasionnelle. La gestion des correctifs exige une activit√© continue et ininterrompue de la part des administrateurs syst√®me presque tous les jours de l'ann√©e. N√©anmoins, certains correctifs doivent √™tre appliqu√©s imm√©diatement, tandis que d'autres peuvent √™tre soumis √† un processus de test plus approfondi avant d'√™tre d√©ploy√©s.

Lorsqu'un correctif de sécurité critique est publié, il est important que les administrateurs le testent et le déploient dès que possible. 

Les vulnérabilités de type "jour zéro" constituent une menace réelle pour les organisations et leurs actifs numériques. Lorsqu'une telle vulnérabilité est annoncée, les acteurs de la menace créent rapidement des exploits pour tirer parti des systèmes non corrigés. Les vulnérabilités non corrigées sont un moyen courant pour les attaquants de s'introduire dans les systèmes d'entreprise. et sont les vecteurs d'attaque les plus courants utilisés par les groupes de ransomware..

Pour réduire le risque de violation des données, les organisations doivent déployer rapidement les correctifs de sécurité dès qu'ils sont publiés.

Pour les mises √† jour de fonctionnalit√©s et les corrections de s√©curit√© moins critiques, les correctifs doivent √™tre effectu√©s apr√®s des tests approfondis dans un environnement de test. L'environnement de test doit √™tre une r√©plique de l'environnement de production afin de garantir une correspondance parfaite lors des tests, faute de quoi des erreurs pourraient entra√ģner des interruptions de la production. M√™me si les tests sont importants, une bonne r√®gle g√©n√©rale consiste √† appliquer les correctifs dans les 30 jours suivant leur mise √† disposition par les fournisseurs.

Dans un environnement de grande entreprise, de nouvelles mises à jour sont souvent publiées quotidiennement, ce qui implique des tests et un déploiement constants. Vérifier manuellement les nouveaux correctifs chaque jour est fastidieux, et c'est là que l'automatisation de la gestion des correctifs intervient.

 

Problèmes courants que vous pouvez rencontrer lors de la pose de rustines

 

L'application de correctifs est une activité essentielle, mais elle comporte quelques pièges. Il est utile de garder à l'esprit certains des pièges les plus courants de la gestion des correctifs lorsque vous élaborez votre stratégie de gestion des correctifs Linux (que nous aborderons dans la section suivante) :

 

Perturbations causées par les reboots: si vous n'utilisez pas le live patching, vous devez être conscient des effets que les redémarrages auront sur vos opérations. Cela signifie qu'il faut planifier les fenêtres de maintenance ou, dans le cas de la haute disponibilité, veiller à n'appliquer les correctifs que pendant les heures creuses, lorsque votre système de haute disponibilité n'est pas déjà surchargé.

Les machines corrig√©es ne reviennent pas √† leur √©tat ant√©rieurDe m√™me, en red√©marrant la machine, vous courez le risque qu'elle ne se remette pas toujours en marche et reprenne l√† o√Ļ elle s'est arr√™t√©e, et vous devez √™tre pr√™t √† la soigner pour la remettre dans son √©tat pr√©c√©dent.

Manque de ressources en personnelLa gestion des mises à jour et des correctifs : même avec les meilleurs plans, vous pouvez constater que le volume des mises à jour et des correctifs peut devenir écrasant. Il est essentiel d'établir des priorités et d'utiliser l'automatisation autant que possible.

Modifications importantes du logicielIl faut faire attention aux mises à jour importantes qui peuvent casser les fonctionnalités existantes. Même lorsqu'une mise à jour a fait l'objet de tests approfondis, la prudence reste de mise : plus la mise à jour est importante, plus vous devez faire preuve d'attention et de prudence lorsque vous la diffusez dans l'entreprise.

Les mises à jour peuvent être boguéesLes mises à jour doivent être testées avant d'être déployées : à l'exception des correctifs de sécurité critiques, vous devez toujours tester les mises à jour avant de les déployer - mais, même après des tests rigoureux, il existe un risque qu'une mise à jour s'avère boguée à long terme.

Les correctifs ont un impact sur l'utilisation des ressourcesDans certains cas, un correctif peut ajouter tellement de nouvelles fonctionnalit√©s et modifier le fonctionnement d'un syst√®me que ce dernier finit par consommer beaucoup plus de ressources pour les t√Ęches quotidiennes. Cela peut ne pas √™tre r√©v√©l√© lors des tests et entra√ģner un ralentissement de vos op√©rations.

 

Pour éviter certains des problèmes courants que vous pouvez rencontrer lors de l'application de correctifs, vous devez élaborer une stratégie de gestion des correctifs pour Linux et suivre les meilleures pratiques en la matière.

 

Quelles sont les stratégies de gestion des correctifs pour Linux ?

 

L'automatisation de l'application des correctifs est un outil essentiel, mais avant de se lancer dans l'application de correctifs, il convient de parler de la stratégie de gestion des correctifs. 

Contrairement aux syst√®mes d'exploitation √† source ferm√©e comme Windows, les correctifs Linux peuvent √™tre un peu plus impr√©visibles et complexes. L'open source a ses avantages, mais l'un des inconv√©nients est d'exploiter un syst√®me d'exploitation o√Ļ les modifications sont apport√©es par divers contributeurs. Un seul changement incompatible peut affecter toute votre organisation.

Afin d'alléger les frais généraux et les tracas liés à une mauvaise gestion des correctifs, voici quelques stratégies et meilleures pratiques à intégrer dans vos procédures :

 

Créer une politique de gestion des correctifs: Cette politique doit inclure chaque étape, y compris les tests d'assurance qualité (AQ), la fréquence des correctifs, les éventuelles procédures de retour en arrière et la personne qui approuve les modifications du système d'exploitation.

Utiliser des outils d'analyse pour trouver des vuln√©rabilit√©s: Qu'il s'agisse de serveurs accessibles au public ou d'h√ītes internes ex√©cutant des applications d'entreprise, les analyses de vuln√©rabilit√© permettront de trouver les syst√®mes non corrig√©s et d'√©viter les exploits courants.

Utiliser les rapports pour identifier les correctifs qui ont échoué: Comment savoir si un patch a été installé avec succès ? Une bonne solution de gestion des correctifs offre un tableau de bord central qui affiche des rapports sur les installations de correctifs réussies et échouées, afin que les administrateurs puissent examiner et appliquer manuellement un correctif si nécessaire.

Déployer les correctifs dès que les tests sont terminés: Les tests sont importants avant le déploiement, mais dès que les tests donnent le feu vert au déploiement, les correctifs doivent être installés dans tout l'environnement.

Documenter les modifications de l'environnement: Habituellement, la documentation se fait sous la forme d'un contr√īle des changements o√Ļ les employ√©s autoris√©s signent les mises √† jour de l'environnement. Cette √©tape est importante lors de l'examen des temps d'arr√™t et de l'analyse des causes profondes. Elle est √©galement importante pour des raisons d'audit et de conformit√©.

 

La liste ci-dessus vous donnera une longueur d'avance sur votre stratégie de gestion des correctifs. En appliquant cette stratégie, vous devez également tenir compte des meilleures pratiques en matière de correctifs.

 

Meilleures pratiques en matière de correctifs

 

L'organisation SysAdmin, Audit, Network, and Security (SANS) est une bonne source pour les meilleures pratiques pour la gestion des correctifs. Les recommandations de bonnes pratiques du SANS donnent aux administrateurs une feuille de route sur la mani√®re de mettre en Ňďuvre une politique d'entreprise qui documente, audite et √©value les risques dans toute l'organisation afin de d√©terminer quand et comment les correctifs doivent √™tre d√©ploy√©s. Les huit recommandations de meilleures pratiques du SANS sont les suivantes :

 

Inventaire de votre environnement: Pour appliquer un correctif complet, vous devez savoir ce qui doit être corrigé. Vous devez donc établir une liste vérifiée de tous les systèmes Linux du réseau.

Attribuer des niveaux de risque √† chaque serveur: Les niveaux de risque indiquent aux administrateurs quels serveurs sont les plus importants et doivent √™tre class√©s par ordre de priorit√©. Tous les syst√®mes doivent √™tre corrig√©s, mais en ciblant les serveurs les plus importants, on r√©duit le risque qu'ils soient compromis pendant que les tests et les autres t√Ęches de correction sont en cours.

Consolider les logiciels de gestion des correctifs en une seule solution: Les outils d'automatisation sont b√©n√©fiques, mais un trop grand nombre d'outils diff√©rents apportant des modifications √† l'environnement peut entra√ģner des erreurs et d'√©ventuelles conditions de course.

Examinez les annonces de correctifs des fournisseurs régulièrement: Les outils d'automatisation téléchargeront les mises à jour automatiquement, mais les administrateurs doivent tout de même rester attentifs pour savoir quand de nouveaux correctifs sont disponibles, en particulier les correctifs critiques.

Réduire les risques d'échec des correctifs: Il n'est pas rare que les administrateurs interrompent les mises à jour en raison d'un problème d'exception. Lorsque cela se produit, les serveurs doivent être verrouillés, si possible, pour limiter les possibilités d'exploitation.

Toujours tester les correctifs en premier lieu dans la phase de test: Un environnement de mise en scène doit reproduire la production afin de pouvoir tester les correctifs et réduire le risque de temps d'arrêt.

Corrigez les systèmes aussi vite que possible: Plus un serveur reste longtemps sans correctif, plus le risque de compromission due à une vulnérabilité connue est grand.

Utiliser les outils d'automatisation: Les outils d'automatisation d√©chargent les administrateurs d'une grande partie de leurs t√Ęches et d√©ploient automatiquement les correctifs lorsqu'ils sont disponibles.

 

Lire la suite : Assurer la conformit√© gr√Ęce √† une gestion plus rapide des correctifs

 

Comment fonctionne un logiciel de gestion automatisée des correctifs pour Linux ?

 

La gestion automatisée des correctifs fonctionne sur plusieurs niveaux, et l'analyse de vulnérabilité en est un. Pour éviter d'être la prochaine victime d'une violation de données, les organisations doivent effectuer des analyses de vulnérabilité sur chaque appareil. 

Les analyses de vulnérabilité permettent d'identifier les correctifs manquants, afin que les administrateurs puissent les déployer dès que possible. Il existe quelques bons scanners de vulnérabilité qui rendent cette première étape beaucoup plus efficace et pratique. Ces scanners sont les suivants

 

 

Une fois l'analyse terminée, il est temps que les outils de gestion des correctifs prennent le relais. Plusieurs outils sur le marché rendent l'application de correctifs beaucoup plus pratique pour les administrateurs. 

Les meilleurs outils signalent les correctifs réussis et ceux qui ont échoué afin que les administrateurs sachent quand des mises à jour manuelles sont également nécessaires. Les outils de gestion des correctifs fournissent donc une mise à jour complète de l'état actuel de la cybersécurité de l'environnement de l'entreprise. Voici quelques outils disponibles pour gérer les correctifs :

 

 

Le principal avantage des outils ci-dessus est une meilleure organisation, car ils téléchargent les mises à jour et communiquent ensuite les résultats aux administrateurs. Dans ce processus, le bon outil peut minimiser la désorganisation qui peut se produire lorsque la gestion des correctifs est gérée dans un grand environnement. 

Les administrateurs peuvent également programmer les correctifs, choisir leurs propres politiques de déploiement, tester, puis approuver les mises à jour avant leur déploiement.

 

Comment le Live Patching s'intègre-t-il dans un cadre de gestion des correctifs ?

 

Les outils de gestion des correctifs offrent une meilleure organisation aux administrateurs, mais les redémarrages restent un problème majeur. Le redémarrage d'un serveur Linux critique signifie un temps d'arrêt de la machine pour l'organisation et ce temps d'arrêt doit être géré d'une manière ou d'une autre. 

Il peut s'agir d'une haute disponibilité (bien que l'application de correctifs affecte toujours les performances) ou de la programmation de fenêtres de maintenance et de l'application de correctifs pendant les heures creuses. Cela signifie que les correctifs peuvent être reportés au moment opportun, ce qui laisse les serveurs non corrigés vulnérables pendant plus longtemps. L'application de correctifs en direct améliore l'ensemble du processus en éliminant le processus de redémarrage.

L'élimination des redémarrages est également utile à d'autres égards, notamment pour réduire les risques inhérents aux redémarrages. Que se passe-t-il si le système ne redémarre pas ? Et s'il y a plusieurs serveurs critiques qui doivent être patchés et redémarrés simultanément ?

Un administrateur système peut avoir plusieurs serveurs critiques qui alimentent l'ensemble de l'organisation et qui ont tous besoin d'un correctif urgent pour une vulnérabilité, et il y a un risque que plusieurs serveurs critiques ne redémarrent pas correctement. Avec le correctif en direct, ce risque est éliminé.

 

KernelCare fonctionne-t-il parallèlement aux outils de gestion des correctifs ?

 

KernelCare est un outil de correction en direct de Linux qui s'intègre aux solutions de gestion des correctifs existantes. Les correctifs sont toujours planifiés, testés, téléchargés et déployés à partir de l'outil de gestion des correctifs. Mais KernelCare ajoute des fonctionnalités de correctifs en direct et élimine les exigences de redémarrage.

KernelCare live patching fonctionne en quatre étapes simples :

 

  1. Allouer la mémoire du noyau et charger un nouveau code sécurisé en mémoire.
  2. Bloquez temporairement tous les processus en mode sans échec.
  3. Modifiez les fonctions et passez au nouveau code sécurisé, qui comble la vulnérabilité.
  4. Débloque les processus et reprend l'activité.

 

La magie réside dans le fait qu'il n'est pas nécessaire de redémarrer la machine concernée pour appliquer le correctif. Avec KernelCare live patching, le code mis à jour est appliqué de manière transparente, sans intervention de l'administrateur système et sans aucune interruption.

Si vous utilisez l'un des outils de correction que j'ai mentionnés précédemment (par exemple, Ansible, Puppet, Chef, SaltStack), vous pouvez utiliser les mêmes outils pour déployer KernelCare - vous n'avez pas besoin d'installer KernelCare manuellement sur chaque serveur. Avec ces outils, les administrateurs peuvent :

 

  1. Distribuer le paquet de l'agent KernelCare (nécessaire uniquement lorsque les serveurs n'ont pas d'accès à l'internet)
  2. Distribuer le fichier de configuration de l'agent KernelCare /etc/sysconfig/kcare/kcare.conf
  3. Définir les variables d'environnement
  4. Installer l'agent KernelCare à partir de serveurs de téléchargement locaux ou distants.
  5. Enregistrer KernelCare avec des licences basées sur des clés ou des IP

 

Outre sa facilit√© de distribution et d'int√©gration dans les applications actuelles de d√©ploiement de correctifs, KernelCare envoie √©galement un rapport "noyau s√Ľr" √† tous les scanners de vuln√©rabilit√© qui interrogent vos serveurs √† la recherche de vuln√©rabilit√©s.¬†

Avec KernelCare, vos serveurs Linux sont automatiquement corrigés sans qu'il soit nécessaire de les redémarrer, et les scanners de vulnérabilité signalent que vos serveurs sont mis à jour et bénéficient des correctifs de vulnérabilité.

 

Comment patcher manuellement vos systèmes Linux ?

 

Même lorsque l'automatisation des correctifs et les correctifs en direct sont en place, des mises à jour manuelles sont parfois nécessaires. Par exemple, après l'échec d'une mise à jour, les administrateurs peuvent avoir besoin de patcher manuellement le système. Les mises à jour manuelles peuvent également être nécessaires dans un environnement de test. Les commandes de mise à jour de Linux dépendent de votre distribution, mais voici les commandes pour certaines distributions courantes.

 

 

Pour les distributions basées sur Debian (par exemple, Debian, Ubuntu, Mint), les commandes suivantes afficheront les correctifs et les paquets de mise à jour disponibles et le système d'exploitation :

sudo apt-get update

sudo apt-get upgrade 

sudo apt-get dist-upgrade

 

Pour les distributions Red Hat Linux (par exemple RedHat, CentOS, Oracle), les commandes suivantes recherchent les mises à jour et appliquent les correctifs au système :

yum check-update

yum update

 

Pour les Linux basés sur SUSE (par exemple Suse Linux Enterprise, OpenSuse), les commandes suivantes vérifient la présence de mises à jour et corrigent le système :

zypper check-update

zypper update

Gestion de la fin de vie de Linux

 

Il y a un éléphant dans certaines salles de serveurs. Il s'agit des systèmes d'exploitation non pris en charge, ou en fin de vie, qui peuvent rapidement faire échouer même les meilleures stratégies de gestion des correctifs.

Un syst√®me d'exploitation non pris en charge ne re√ßoit plus de correctifs pour les vuln√©rabilit√©s de s√©curit√© r√©cemment d√©couvertes. Sans correctif, il n'y a aucun moyen de prot√©ger les syst√®mes contre les vuln√©rabilit√©s critiques, m√™me si des correctifs automatiques sont en place. Le d√©veloppement d'un correctif personnalis√© est une solution difficile et co√Ľteuse.

Pourquoi les entreprises utilisent-elles des systèmes d'exploitation en fin de vie ? Il peut s'agir d'une pure négligence de la part de l'équipe d'administrateurs système, qui n'a jamais pris les mesures nécessaires pour passer à une version prise en charge. Le plus souvent, cependant, il s'agit d'une question pratique - par exemple, un logiciel spécifique qui ne fonctionne tout simplement pas sur le nouveau système d'exploitation, ou une forte pression sur l'équipe d'administrateurs système qui empêche la mise à niveau.

Heureusement, il existe un moyen d'appliquer vos strat√©gies de gestion des correctifs aux syst√®mes d'exploitation en fin de vie. Vous pouvez souscrire √† un plan d'assistance √©tendu aupr√®s du fournisseur de Linux, bien que ces plans puissent √™tre co√Ľteux et inclure des fonctionnalit√©s inutiles.¬†

La gamme de services de TuxCare services d'assistance pour le cycle de vie étendu pour les distributions Linux qui ne sont plus officiellement prises en charge est une alternative plus abordable. Elle fournit jusqu'à 4 ans de mises à jour de sécurité pour un certain nombre de distributions Linux non prises en charge, ainsi que pour des langages de codage tels que PHP et Python.

 

Conclusion

 

L'application coh√©rente de correctifs est essentielle, mais difficile √† r√©aliser. Les red√©marrages sont difficiles et les ressources limit√©es peuvent freiner les efforts de correction. La gestion des correctifs Linux est n√©anmoins au cŇďur du maintien de la s√©curit√© des environnements informatiques des entreprises.¬†

Pour bien g√©rer les correctifs, il faut adopter une approche strat√©gique qui respecte les meilleures pratiques de gestion des correctifs, mais qui utilise √©galement les meilleurs outils disponibles pour accomplir cette t√Ęche.

L'int√©gration de KernelCare dans la gestion des correctifs r√©duit les risques, am√©liore la s√©curit√© de vos serveurs Linux et facilite la t√Ęche des administrateurs. KernelCare s'int√®gre √©galement de mani√®re transparente √† votre processus actuel d'application des correctifs pour introduire des mises √† jour sans red√©marrage.

Nous avons des clients dont les serveurs n'ont pas √©t√© red√©marr√©s depuis plus de six ans. Gr√Ęce √† KernelCare, plus de 300 000 serveurs pris en charge dans les principaux centres de donn√©es du monde entier conservent leur statut de conformit√© SOC 2 avec notre cadre de correctifs en direct.¬†

Essayez KernelCare d√®s maintenant pour vous aider √† respecter votre strat√©gie de gestion des correctifs Linux et √† soulager vos administrateurs d'un grand nombre de t√Ęches et de processus fastidieux.

Résumé
Nom de l'article
Gestion des correctifs Linux : Le guide ultime ūüďē
Description
Dans ce guide de la gestion des correctifs Linux, nous expliquons comment les administrateurs système peuvent gagner du temps et organiser les correctifs à l'aide d'outils d'automatisation.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Prêt à moderniser votre approche de correction des vulnérabilités avec la correction automatisée et non perturbatrice de KernelCare Enterprise ? Planifiez un chat avec l'un de nos experts en sécurité Linux !

PARLEZ À UN EXPERT

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information