Le guide ultime de la gestion des correctifs pour Linux

Les administrateurs système qui travaillent dans des environnements d'entreprise savent que l'application de correctifs est pratiquement un travail à plein temps. Considérez l'effort nécessaire à l'application d'un correctif à un seul système : un administrateur système doit déterminer qu'un correctif est disponible, prévoir un temps d'arrêt ou une interruption, télécharger le correctif, déployer le correctif sur le système et s'assurer qu'il retrouve son état antérieur. 

C'est tout un processus et cela pour une seule machine. Dans l'environnement de l'entreprise, il y a des centaines de serveurs à gérer, ce qui signifie que le travail de correction devient une responsabilité qui dure toute la journée. Il existe également un risque important de redémarrage raté après l'installation d'un correctif.

C'est pourquoi les administrateurs système doivent envisager les correctifs sous l'angle de la gestion des correctifs. Dans notre guide ultime de la gestion des correctifs Linux, nous expliquons comment les administrateurs système peuvent gagner du temps et organiser les correctifs à l'aide d'outils d'automatisation, ce que les administrateurs système peuvent faire pour mieux gérer les risques liés à la gestion des correctifs, et pourquoi le live patching est un outil qui change la donne pour les entreprises, et nous expliquons pourquoi le live patching est un outil qui change la donne pour les correctifs d'entreprise..

Pourquoi la gestion des correctifs est-elle différente de l'application des correctifs ?

Les administrateurs pouvaient simplement appliquer manuellement les correctifs aux systèmes Linux, en allant de machine en machine ou de nœud en nœud pour le faire. Cependant, il y a un risque d'erreur humaine et il peut être difficile d'annuler le patch en cas de problème.

Lorsqu'un correctif ne fonctionne pas correctement, il peut entraîner de longues périodes d'indisponibilité, et l'application manuelle d'un correctif peut également prendre énormément de temps. 

La gestion des correctifs profite aux administrateurs en automatisant l'ensemble du processus. L'intégration d'un système de gestion des correctifs dans votre flux de travail vous permettra de détecter automatiquement les mises à jour, de les télécharger, puis de les déployer sur tous les serveurs. 

Les administrateurs système peuvent pousser l'automatisation un peu plus loin en déployant des correctifs en direct, ce qui élimine le processus de redémarrage qui est généralement nécessaire après la mise à jour de Linux. Nous abordons le live patching dans cette section.

Pourquoi la gestion des correctifs est-elle importante ?

Les serveurs Web publics non patchés constituent un problème critique de cybersécurité, mais la cybersécurité n'est pas la seule raison de patcher Linux. La mise à jour permet également de corriger les bogues et d'ajouter de nouvelles fonctionnalités. Les mises à jour importantes peuvent ajouter des fonctionnalités significatives à un système d'exploitation et peuvent être nécessaires pour maintenir la compatibilité des applications à long terme.

Lorsque les correctifs ne sont pas appliqués, ils s'accumulent. Plus les administrateurs attendent pour appliquer un correctif à un système, plus l'activité de correction sera nécessaire pour mettre le système à jour. Cela augmente le temps nécessaire à la mise en place d'un correctif complet pour un serveur Linux et accroît le risque que quelque chose se passe mal. 

Les correctifs disponibles auprès des vendeurs et des développeurs de distributions sont les correctifs les plus importants à appliquer et doivent être appliqués immédiatement. Les correctifs traitent des problèmes critiques du système d'exploitation et sont prioritaires pour une bonne raison.

À quelle fréquence la gestion des correctifs doit-elle être effectuée ?

La mise à jour n'est pas une tâche occasionnelle. La gestion des correctifs exige une activité continue et ininterrompue de la part des administrateurs système presque tous les jours de l'année. Néanmoins, certains correctifs doivent être appliqués immédiatement, tandis que d'autres peuvent être soumis à un processus de test plus approfondi avant d'être déployés.

Lorsqu'un correctif de sécurité critique est publié, il est important que les administrateurs le testent et le déploient dès que possible. 

Les vulnérabilités de type "jour zéro" constituent une menace réelle pour les organisations et leurs actifs numériques. Lorsqu'une telle vulnérabilité est annoncée, les acteurs de la menace créent rapidement des exploits pour tirer parti des systèmes non corrigés. Les vulnérabilités non corrigées sont un moyen courant pour les attaquants de s'introduire dans les systèmes d'entreprise. et sont les vecteurs d'attaque les plus courants utilisés par les groupes de ransomware..

Pour réduire le risque de violation des données, les organisations doivent déployer rapidement les correctifs de sécurité dès qu'ils sont publiés.

Pour les mises à jour de fonctionnalités et les corrections de sécurité moins critiques, les correctifs doivent être effectués après des tests approfondis dans un environnement de test. L'environnement de test doit être une réplique de l'environnement de production afin de garantir une correspondance parfaite lors des tests, faute de quoi des erreurs pourraient entraîner des interruptions de la production. Même si les tests sont importants, une bonne règle générale consiste à appliquer les correctifs dans les 30 jours suivant leur mise à disposition par les fournisseurs.

Dans un environnement de grande entreprise, de nouvelles mises à jour sont souvent publiées quotidiennement, ce qui implique des tests et un déploiement constants. Vérifier manuellement les nouveaux correctifs chaque jour est fastidieux, et c'est là que l'automatisation de la gestion des correctifs intervient.

Problèmes courants que vous pouvez rencontrer lors de la pose de rustines

L'application de correctifs est une activité essentielle, mais elle comporte quelques pièges. Il est utile de garder à l'esprit certains des pièges les plus courants de la gestion des correctifs lorsque vous élaborez votre stratégie de gestion des correctifs Linux (que nous aborderons dans la section suivante) :

Perturbations causées par les reboots: si vous n'utilisez pas le live patching, vous devez être conscient des effets que les redémarrages auront sur vos opérations. Cela signifie qu'il faut planifier les fenêtres de maintenance ou, dans le cas de la haute disponibilité, veiller à n'appliquer les correctifs que pendant les heures creuses, lorsque votre système de haute disponibilité n'est pas déjà surchargé.

Les machines corrigées ne reviennent pas à leur état antérieurDe même, en redémarrant la machine, vous courez le risque qu'elle ne se remette pas toujours en marche et reprenne là où elle s'est arrêtée, et vous devez être prêt à la soigner pour la remettre dans son état précédent.

Manque de ressources en personnelLa gestion des mises à jour et des correctifs : même avec les meilleurs plans, vous pouvez constater que le volume des mises à jour et des correctifs peut devenir écrasant. Il est essentiel d'établir des priorités et d'utiliser l'automatisation autant que possible.

Modifications importantes du logicielIl faut faire attention aux mises à jour importantes qui peuvent casser les fonctionnalités existantes. Même lorsqu'une mise à jour a fait l'objet de tests approfondis, la prudence reste de mise : plus la mise à jour est importante, plus vous devez faire preuve d'attention et de prudence lorsque vous la diffusez dans l'entreprise.

Les mises à jour peuvent être boguéesLes mises à jour doivent être testées avant d'être déployées : à l'exception des correctifs de sécurité critiques, vous devez toujours tester les mises à jour avant de les déployer - mais, même après des tests rigoureux, il existe un risque qu'une mise à jour s'avère boguée à long terme.

Les correctifs ont un impact sur l'utilisation des ressourcesDans certains cas, un correctif peut ajouter tellement de nouvelles fonctionnalités et modifier le fonctionnement d'un système que ce dernier finit par consommer beaucoup plus de ressources pour les tâches quotidiennes. Cela peut ne pas être révélé lors des tests et entraîner un ralentissement de vos opérations.

Pour éviter certains des problèmes courants que vous pouvez rencontrer lors de l'application de correctifs, vous devez élaborer une stratégie de gestion des correctifs pour Linux et suivre les meilleures pratiques en la matière.

Quelles sont les stratégies de gestion des correctifs pour Linux ?

L'automatisation de l'application des correctifs est un outil essentiel, mais avant de se lancer dans l'application de correctifs, il convient de parler de la stratégie de gestion des correctifs. 

Contrairement aux systèmes d'exploitation à source fermée comme Windows, les correctifs Linux peuvent être un peu plus imprévisibles et complexes. L'open source a ses avantages, mais l'un des inconvénients est d'exploiter un système d'exploitation où les modifications sont apportées par divers contributeurs. Un seul changement incompatible peut affecter toute votre organisation.

Afin d'alléger les frais généraux et les tracas liés à une mauvaise gestion des correctifs, voici quelques stratégies et meilleures pratiques à intégrer dans vos procédures :

Créer une politique de gestion des correctifs: Cette politique doit inclure chaque étape, y compris les tests d'assurance qualité (AQ), la fréquence des correctifs, les éventuelles procédures de retour en arrière et la personne qui approuve les modifications du système d'exploitation.

Utiliser des outils d'analyse pour trouver des vulnérabilités: Qu'il s'agisse de serveurs accessibles au public ou d'hôtes internes exécutant des applications d'entreprise, les analyses de vulnérabilité permettront de trouver les systèmes non corrigés et d'éviter les exploits courants.

Utiliser les rapports pour identifier les correctifs qui ont échoué: Comment savoir si un patch a été installé avec succès ? Une bonne solution de gestion des correctifs offre un tableau de bord central qui affiche des rapports sur les installations de correctifs réussies et échouées, afin que les administrateurs puissent examiner et appliquer manuellement un correctif si nécessaire.

Déployer les correctifs dès que les tests sont terminés: Les tests sont importants avant le déploiement, mais dès que les tests donnent le feu vert au déploiement, les correctifs doivent être installés dans tout l'environnement.

Documenter les modifications de l'environnement: Habituellement, la documentation se fait sous la forme d'un contrôle des changements où les employés autorisés signent les mises à jour de l'environnement. Cette étape est importante lors de l'examen des temps d'arrêt et de l'analyse des causes profondes. Elle est également importante pour des raisons d'audit et de conformité.

La liste ci-dessus vous donnera une longueur d'avance sur votre stratégie de gestion des correctifs. En appliquant cette stratégie, vous devez également tenir compte des meilleures pratiques en matière de correctifs.

Meilleures pratiques en matière de correctifs

L'organisation SysAdmin, Audit, Network, and Security (SANS) est une bonne source pour les meilleures pratiques pour la gestion des correctifs. Les recommandations de bonnes pratiques du SANS donnent aux administrateurs une feuille de route sur la manière de mettre en œuvre une politique d'entreprise qui documente, audite et évalue les risques dans toute l'organisation afin de déterminer quand et comment les correctifs doivent être déployés. Les huit recommandations de meilleures pratiques du SANS sont les suivantes :

Inventaire de votre environnement: Pour appliquer un correctif complet, vous devez savoir ce qui doit être corrigé. Vous devez donc établir une liste vérifiée de tous les systèmes Linux du réseau.

Attribuer des niveaux de risque à chaque serveur: Les niveaux de risque indiquent aux administrateurs quels serveurs sont les plus importants et doivent être classés par ordre de priorité. Tous les systèmes doivent être corrigés, mais en ciblant les serveurs les plus importants, on réduit le risque qu'ils soient compromis pendant que les tests et les autres tâches de correction sont en cours.

Consolider les logiciels de gestion des correctifs en une seule solution: Les outils d'automatisation sont bénéfiques, mais un trop grand nombre d'outils différents apportant des modifications à l'environnement peut entraîner des erreurs et d'éventuelles conditions de course.

Examinez les annonces de correctifs des fournisseurs régulièrement: Les outils d'automatisation téléchargeront les mises à jour automatiquement, mais les administrateurs doivent tout de même rester attentifs pour savoir quand de nouveaux correctifs sont disponibles, en particulier les correctifs critiques.

Réduire les risques d'échec des correctifs: Il n'est pas rare que les administrateurs interrompent les mises à jour en raison d'un problème d'exception. Lorsque cela se produit, les serveurs doivent être verrouillés, si possible, pour limiter les possibilités d'exploitation.

Toujours tester les correctifs en premier lieu dans la phase de test: Un environnement de mise en scène doit reproduire la production afin de pouvoir tester les correctifs et réduire le risque de temps d'arrêt.

Corrigez les systèmes aussi vite que possible: Plus un serveur reste longtemps sans correctif, plus le risque de compromission due à une vulnérabilité connue est grand.

Utiliser les outils d'automatisation: Les outils d'automatisation déchargent les administrateurs d'une grande partie de leurs tâches et déploient automatiquement les correctifs lorsqu'ils sont disponibles.

Lire la suite : Assurer la conformité grâce à une gestion plus rapide des correctifs

Comment fonctionne un logiciel de gestion automatisée des correctifs pour Linux ?

La gestion automatisée des correctifs fonctionne sur plusieurs niveaux, et l'analyse de vulnérabilité en est un. Pour éviter d'être la prochaine victime d'une violation de données, les organisations doivent effectuer des analyses de vulnérabilité sur chaque appareil. 

Les analyses de vulnérabilité permettent d'identifier les correctifs manquants, afin que les administrateurs puissent les déployer dès que possible. Il existe quelques bons scanners de vulnérabilité qui rendent cette première étape beaucoup plus efficace et pratique. Ces scanners sont les suivants

• Qualys
• Nessus
• Rapid7

Une fois l'analyse terminée, il est temps que les outils de gestion des correctifs prennent le relais. Plusieurs outils sur le marché rendent l'application de correctifs beaucoup plus pratique pour les administrateurs. 

Les meilleurs outils signalent les correctifs réussis et ceux qui ont échoué afin que les administrateurs sachent quand des mises à jour manuelles sont également nécessaires. Les outils de gestion des correctifs fournissent donc une mise à jour complète de l'état actuel de la cybersécurité de l'environnement de l'entreprise. Voici quelques outils disponibles pour gérer les correctifs :

• Yum - utilisé dans Red Hat Enterprise Linux (RHEL)
• Ansible
• Marionnette
• SaltStack
• Chef
• Sortie dans l'espace

Le principal avantage des outils ci-dessus est une meilleure organisation, car ils téléchargent les mises à jour et communiquent ensuite les résultats aux administrateurs. Dans ce processus, le bon outil peut minimiser la désorganisation qui peut se produire lorsque la gestion des correctifs est gérée dans un grand environnement. 

Les administrateurs peuvent également programmer les correctifs, choisir leurs propres politiques de déploiement, tester, puis approuver les mises à jour avant leur déploiement.

Comment le Live Patching s'intègre-t-il dans un cadre de gestion des correctifs ?

Les outils de gestion des correctifs offrent une meilleure organisation aux administrateurs, mais les redémarrages restent un problème majeur. Le redémarrage d'un serveur Linux critique signifie un temps d'arrêt de la machine pour l'organisation et ce temps d'arrêt doit être géré d'une manière ou d'une autre. 

Il peut s'agir d'une haute disponibilité (bien que l'application de correctifs affecte toujours les performances) ou de la programmation de fenêtres de maintenance et de l'application de correctifs pendant les heures creuses. Cela signifie que les correctifs peuvent être reportés au moment opportun, ce qui laisse les serveurs non corrigés vulnérables pendant plus longtemps. L'application de correctifs en direct améliore l'ensemble du processus en éliminant le processus de redémarrage.

L'élimination des redémarrages est également utile à d'autres égards, notamment pour réduire les risques inhérents aux redémarrages. Que se passe-t-il si le système ne redémarre pas ? Et s'il y a plusieurs serveurs critiques qui doivent être patchés et redémarrés simultanément ?

Un administrateur système peut avoir plusieurs serveurs critiques qui alimentent l'ensemble de l'organisation et qui ont tous besoin d'un correctif urgent pour une vulnérabilité, et il y a un risque que plusieurs serveurs critiques ne redémarrent pas correctement. Avec le correctif en direct, ce risque est éliminé.

KernelCare fonctionne-t-il parallèlement aux outils de gestion des correctifs ?

KernelCare est un outil de correction en direct de Linux qui s'intègre aux solutions de gestion des correctifs existantes. Les correctifs sont toujours planifiés, testés, téléchargés et déployés à partir de l'outil de gestion des correctifs. Mais KernelCare ajoute des fonctionnalités de correctifs en direct et élimine les exigences de redémarrage.

KernelCare live patching fonctionne en quatre étapes simples :

1. Allouer la mémoire du noyau et charger un nouveau code sécurisé en mémoire.
2. Bloquez temporairement tous les processus en mode sans échec.
3. Modifiez les fonctions et passez au nouveau code sécurisé, qui comble la vulnérabilité.
4. Débloque les processus et reprend l'activité.

La magie réside dans le fait qu'il n'est pas nécessaire de redémarrer la machine concernée pour appliquer le correctif. Avec KernelCare live patching, le code mis à jour est appliqué de manière transparente, sans intervention de l'administrateur système et sans aucune interruption.

Si vous utilisez l'un des outils de correction que j'ai mentionnés précédemment (par exemple, Ansible, Puppet, Chef, SaltStack), vous pouvez utiliser les mêmes outils pour déployer KernelCare - vous n'avez pas besoin d'installer KernelCare manuellement sur chaque serveur. Avec ces outils, les administrateurs peuvent :

1. Distribuer le paquet de l'agent KernelCare (nécessaire uniquement lorsque les serveurs n'ont pas d'accès à l'internet)
2. Distribuer le fichier de configuration de l'agent KernelCare /etc/sysconfig/kcare/kcare.conf
3. Définir les variables d'environnement
4. Installer l'agent KernelCare à partir de serveurs de téléchargement locaux ou distants.
5. Enregistrer KernelCare avec des licences basées sur des clés ou des IP

Outre sa facilité de distribution et d'intégration dans les applications actuelles de déploiement de correctifs, KernelCare envoie également un rapport "noyau sûr" à tous les scanners de vulnérabilité qui interrogent vos serveurs à la recherche de vulnérabilités. 

Avec KernelCare, vos serveurs Linux sont automatiquement corrigés sans qu'il soit nécessaire de les redémarrer, et les scanners de vulnérabilité signalent que vos serveurs sont mis à jour et bénéficient des correctifs de vulnérabilité.

Comment patcher manuellement vos systèmes Linux ?

Même lorsque l'automatisation des correctifs et les correctifs en direct sont en place, des mises à jour manuelles sont parfois nécessaires. Par exemple, après l'échec d'une mise à jour, les administrateurs peuvent avoir besoin de patcher manuellement le système. Les mises à jour manuelles peuvent également être nécessaires dans un environnement de test. Les commandes de mise à jour de Linux dépendent de votre distribution, mais voici les commandes pour certaines distributions courantes.

Pour les distributions basées sur Debian (par exemple, Debian, Ubuntu, Mint), les commandes suivantes afficheront les correctifs et les paquets de mise à jour disponibles et le système d'exploitation :

sudo apt-get update

sudo apt-get upgrade 

sudo apt-get dist-upgrade

Pour les distributions Red Hat Linux (par exemple RedHat, CentOS, Oracle), les commandes suivantes recherchent les mises à jour et appliquent les correctifs au système :

yum check-update

yum update

Pour les Linux basés sur SUSE (par exemple Suse Linux Enterprise, OpenSuse), les commandes suivantes vérifient la présence de mises à jour et corrigent le système :

zypper check-update

zypper update

Gestion de la fin de vie de Linux

Il y a un éléphant dans certaines salles de serveurs. Il s'agit des systèmes d'exploitation non pris en charge, ou en fin de vie, qui peuvent rapidement faire échouer même les meilleures stratégies de gestion des correctifs.

Un système d'exploitation non pris en charge ne reçoit plus de correctifs pour les vulnérabilités de sécurité récemment découvertes. Sans correctif, il n'y a aucun moyen de protéger les systèmes contre les vulnérabilités critiques, même si des correctifs automatiques sont en place. Le développement d'un correctif personnalisé est une solution difficile et coûteuse.

Pourquoi les entreprises utilisent-elles des systèmes d'exploitation en fin de vie ? Il peut s'agir d'une pure négligence de la part de l'équipe d'administrateurs système, qui n'a jamais pris les mesures nécessaires pour passer à une version prise en charge. Le plus souvent, cependant, il s'agit d'une question pratique - par exemple, un logiciel spécifique qui ne fonctionne tout simplement pas sur le nouveau système d'exploitation, ou une forte pression sur l'équipe d'administrateurs système qui empêche la mise à niveau.

Heureusement, il existe un moyen d'appliquer vos stratégies de gestion des correctifs aux systèmes d'exploitation en fin de vie. Vous pouvez souscrire à un plan d'assistance étendu auprès du fournisseur de Linux, bien que ces plans puissent être coûteux et inclure des fonctionnalités inutiles. 

La gamme de services de TuxCare services d'assistance pour le cycle de vie étendu pour les distributions Linux qui ne sont plus officiellement prises en charge est une alternative plus abordable. Elle fournit jusqu'à 4 ans de mises à jour de sécurité pour un certain nombre de distributions Linux non prises en charge, ainsi que pour des langages de codage tels que PHP et Python.

Conclusion

L'application cohérente de correctifs est essentielle, mais difficile à réaliser. Les redémarrages sont difficiles et les ressources limitées peuvent freiner les efforts de correction. La gestion des correctifs Linux est néanmoins au cœur du maintien de la sécurité des environnements informatiques des entreprises. 

Pour bien gérer les correctifs, il faut adopter une approche stratégique qui respecte les meilleures pratiques de gestion des correctifs, mais qui utilise également les meilleurs outils disponibles pour accomplir cette tâche.

L'intégration de KernelCare dans la gestion des correctifs réduit les risques, améliore la sécurité de vos serveurs Linux et facilite la tâche des administrateurs. KernelCare s'intègre également de manière transparente à votre processus actuel d'application des correctifs pour introduire des mises à jour sans redémarrage.

Nous avons des clients dont les serveurs n'ont pas été redémarrés depuis plus de six ans. Grâce à KernelCare, plus de 300 000 serveurs pris en charge dans les principaux centres de données du monde entier conservent leur statut de conformité SOC 2 avec notre cadre de correctifs en direct. 

Essayez KernelCare dès maintenant pour vous aider à respecter votre stratégie de gestion des correctifs Linux et à soulager vos administrateurs d'un grand nombre de tâches et de processus fastidieux.

Résumé

Nom de l'article

Gestion des correctifs Linux : Le guide ultime 📕

Description

Dans ce guide de la gestion des correctifs Linux, nous expliquons comment les administrateurs système peuvent gagner du temps et organiser les correctifs à l'aide d'outils d'automatisation.

Auteur

Joao Correia

Nom de l'éditeur

TuxCare

Logo de l'éditeur