技術支援
文件
登錄
聯繫我們
Linux 補丁管理終極指南
若昂·科雷亞
實施期間: 2023年1月20 日 - TuxCare專家團隊
在企業環境中工作的系統管理員知道,修補實際上是一項全職工作。考慮僅修補一個系統所涉及的工作量:系統管理員必須確定修補程式可用,計劃停機時間或中斷,下載修補程式,將修補程式部署到系統,並確保它恢復其以前的狀態。
這是一個相當漫長的過程,而且僅適用於一台機器。在企業環境中,有數百台伺服器需要管理,這意味著修補工作成為全天的責任。安裝補丁后,重新啟動失敗的風險也很大。
這就是為什麼系統管理員需要從補丁管理的角度考慮補丁的原因。在我們的 Linux 補丁管理終極指南中,我們解釋了系統 管理員如何使用自動化工具騰出時間和組織補丁, 系統管理員可以做些什麼來更好地管理補丁風險, 並解釋為什麼即時補丁是企業補丁的改變遊戲規則的工具。
為什麼補丁管理與補丁不同?
管理員可以簡單地手動修補 Linux 系統 - 從機器到機器或節點到節點進行修補。但是,存在人為錯誤的風險,如果出現任何問題,回滾補丁可能具有挑戰性。
如果補丁出錯,可能會導致長時間的停機時間,而手動修補也可能非常耗時。
補丁管理通過自動化整個過程使管理員受益。將補丁管理系統集成到您的工作流程中意味著您可以自動檢測更新,下載更新,然後將其部署到所有伺服器。
系統管理員可以通過部署即時修補來進一步實現自動化,從而消除了更新Linux後通常需要的重新啟動過程。我們將在本節中討論即時修補。
為什麼補丁管理很重要?
未打補丁的面向公眾的 Web 伺服器是網路安全的一個關鍵問題,但網路安全並不是修補 Linux 的唯一原因。修補還可以修復錯誤並添加新功能。大型更新可以向操作系統添加重要功能,並且可能需要長期保持應用程式相容性。
當補丁未應用時,它們會堆積起來。管理員等待修補系統的時間越長,使系統保持最新狀態所需的修補活動就越多。它增加了完全修補 Linux 伺服器所需的時間,並增加了出現問題的風險。
供應商和發行版開發人員提供的修補程式是要應用的最重要的修補程式,應立即應用。修補程式可解決操作系統中的關鍵問題,並且有充分的理由優先考慮。
補丁管理應該多久執行一次?
修補不是偶爾的任務。補丁管理幾乎需要系統管理員在一年中的每一天進行不間斷、持續的活動。儘管如此,某些補丁必須立即應用,而其他補丁可以在部署補丁之前進行更廣泛的測試過程。
發佈關鍵安全補丁時,管理員必須儘快測試和部署補丁。
零日漏洞對組織及其數位資產構成了真正的威脅。當宣佈零日漏洞時,威脅參與者會迅速創建漏洞利用任何未修補的系統。未修補的漏洞是攻擊者進入企業系統的常見方式, 也是 勒索軟體組織使用的最常見攻擊媒介。
為了降低數據洩露的風險,組織應在安全補丁發佈后立即快速部署。
對於功能更新和不太重要的安全修補程式,應在過渡環境中進行全面測試後進行修補。過渡環境應該是生產環境的副本,以確保在測試期間它是 1:1 匹配的,否則錯誤可能會導致生產中斷。儘管測試很重要,但一個好的經驗法則是在供應商提供補丁后的 30 天內應用補丁。
在大型企業環境中,通常每天都會發佈新的更新,這意味著要不斷進行測試和部署。每天手動檢查新補丁很乏味,這就是補丁管理自動化的用武之地。
修補時可能遇到的常見問題
修補是一項關鍵活動,但它也存在一些陷阱。在構建Linux補丁管理策略時,值得牢記一些常見的補丁管理陷阱(我們將在下一節中討論):
重新啟動導致的中斷:如果不使用即時修補,則需要瞭解重新啟動對操作的影響。這意味著安排維護時段,或者在高可用性的情況下,確保僅在高可用性系統尚未過度緊張的非高峰時間進行修補。
修補的計算機不會返回到其以前的狀態:同樣,通過重新啟動計算機,您冒著這樣的風險:它不會總是簡單地啟動並從中斷的地方繼續,您需要準備好將其恢復到以前的狀態。
人力資源不足:即使有最好的計劃,您仍然可能會發現大量的更新和補丁可能會變得不堪重負。優先考慮並盡可能利用自動化是關鍵。
軟體的重大更改:請注意可能會破壞現有功能的大型更新。即使更新已經過徹底測試,仍建議謹慎:更新越大,在整個企業中分發更新時應給予的注意和注意就越多。
更新可能有問題:除了關鍵的安全補丁外,您應該始終在部署之前測試更新 - 但是,即使經過嚴格的測試,從長遠來看,更新也可能存在錯誤的風險。
補丁會影響資源使用:在某些情況下,補丁可以添加如此多的新功能並改變系統的工作方式,以至於系統最終會消耗更多的資源來完成日常任務。這可能不會在測試期間顯示,並導致操作速度減慢。
為了避免修補時可能遇到的一些常見問題,您應該構建Linux補丁管理策略並遵循補丁管理最佳實踐。
什麼是Linux補丁管理策略?
補丁自動化是一個關鍵工具,但在開始開始修補之前,值得討論補丁管理策略。
與Windows等閉源操作系統不同,Linux補丁可能更加不可預測和複雜。開源有其優點,但一個缺點是運行由各種貢獻者進行更改的操作系統。只需一個不相容的更改就可能影響整個組織。
為了減輕補丁管理不善帶來的一些開銷和麻煩,以下是一些策略和最佳實踐,可納入您的過程:
創建補丁管理策略:此策略應包括每個步驟,包括質量保證 (QA) 測試、修補頻率、任何回滾過程以及簽署操作系統更改的人員。
使用掃描工具查找漏洞:無論是面向公眾的伺服器還是運行企業應用程式的內部主機,漏洞掃描都會找到未修補的系統,並説明避免常見的漏洞利用。
使用報告來識別失敗的補丁:您如何知道補丁已成功安裝?一個好的補丁管理解決方案提供了一個中央儀錶板,顯示有關成功和失敗的補丁安裝的報告,以便管理員可以在必要時查看和手動應用補丁。
測試完成後立即部署補丁:在部署之前進行測試很重要,但一旦測試為部署開了綠燈,就應該在整個環境中安裝補丁。
記錄對環境的更改:通常,文檔以更改控制的形式完成,授權員工在環境中簽署更新。在查看停機時間和執行根本原因分析時,此步驟非常重要。對於審核和合規性原因,這一點也很重要。
上面的清單將為您提供補丁管理策略的領先優勢。在應用該策略時,還應考慮修補最佳做法。
修補最佳實踐
系統管理員、審核、網路和安全 (SANS) 組織是 修補程式管理最佳實踐的良好來源。SANS 最佳實踐指南為管理員提供了有關如何實施公司策略的路線圖,該策略記錄、審核和評估整個組織的風險,以確定何時以及如何部署補丁。八項 SAN 最佳做法建議是:
清點您的環境:要全面修補,您知道需要修補什麼,因此您應該構建網路上所有Linux系統的審核清單。
為每台伺服器分配風險級別:風險級別告訴管理員哪些伺服器最重要且應優先考慮。所有系統都應該打補丁,但以最重要的伺服器為目標將降低它們在測試和其他修補任務進行時受到損害的風險。
將補丁管理軟體整合到一個解決方案中:自動化工具是有益的,但太多不同的工具對環境進行更改可能會導致錯誤和可能的爭用條件。
查看供應商補丁公告 定期:自動化工具將自動下載更新,但管理員仍應注意瞭解何時有新補丁可用,尤其是關鍵補丁。
降低補丁失敗的風險:管理員因出現異常問題而停止更新的情況並不少見。發生這種情況時,應盡可能鎖定伺服器,以限制利用的可能性。
始終首先在暫存中測試補丁:暫存環境應複製生產環境,以便可以測試補丁並降低停機風險。
儘快修補系統:伺服器未修補的時間越長,由於已知漏洞而導致的入侵風險就越大。
使用自動化工具:自動化工具會佔用管理員的大量開銷,並在補丁可用時自動部署補丁。
相關閱讀:通過更快的補丁管理實現合規性
自動化 Linux 補丁管理軟體如何工作?
自動補丁管理在多個層上運行,漏洞掃描就是其中之一。為了避免成為下一個有新聞價值的數據洩露事件,組織必須在每台設備上進行漏洞掃描。
漏洞掃描可 識別補丁是否缺失,以便管理員可以儘快部署補丁。有一些很好的漏洞掃描程式可用,使第一步更加高效和方便。這些掃描器是:
掃描完成後,補丁管理工具就可以接管了。市場上的幾種工具使管理員的修補更加方便。
更好的工具報告成功和失敗的補丁,以便管理員知道何時還需要手動更新。因此,補丁管理工具提供了有關企業環境當前網路安全運行狀況的全面更新。可用於管理補丁的一些工具包括:
上述工具的主要優點是改進了組織,因為它們下載更新,然後將結果報告給管理員。在此過程中,正確的工具可以最大限度地減少在大型環境中處理補丁管理時可能發生的混亂。
管理員還可以計劃修補程式、選擇自己的部署策略、測試,然後在部署之前批准更新。
即時修補如何適應補丁管理框架?
補丁管理工具為管理員提供了增強的組織功能,但重新啟動仍然是一個主要問題。重新啟動關鍵的Linux伺服器意味著組織的機器停機,並且需要以某種方式處理停機時間。
這可能包括高可用性(儘管修補仍會影響性能)或通過計劃維護時段,以及在非高峰時段安排修補。這意味著補丁可能會推遲到方便的時候,這使得未打補丁的伺服器更容易受到更長時間的侵害。即時修補通過消除重新啟動過程來改進整個過程。
消除重新啟動在其他一些方面也有説明 - 包括降低重新啟動固有的風險。如果系統不重新啟動怎麼辦?如果必須同時修補和重新啟動多個關鍵伺服器怎麼辦?
系統管理員可能擁有多個為整個組織提供動力的關鍵伺服器,這些伺服器都需要緊急修補漏洞,並且存在多個關鍵伺服器無法順利重新啟動的風險。通過即時修補,可以消除這種風險。
KernelCare 是否與補丁管理工具一起工作?
KernelCare 是一個 Linux 即時補丁工具,可整合到現有的補丁管理解決方案中。修補仍從補丁管理工具進行計劃、測試、下載和部署。但 KernelCare 增加了即時修補功能,並消除了重新啟動要求。
KernelCare 實時修補通過 四個簡單的步驟工作:
- 分配內核記憶體並將新的安全代碼載入記憶體中。
- 在安全模式下暫時凍結所有進程。
- 修改函數並跳轉到新的安全代碼,從而堵塞漏洞。
- 解凍進程並恢復活動。
神奇的是,您無需重新啟動正在修補的計算機即可應用修補程式。通過 KernelCare 實時修補,更新的代碼可以無縫應用,無需系統管理員干預,也不會造成任何中斷。
如果您正在使用我之前提到的任何修補工具(例如,Ansible,Puppet,Chef,SaltStack),那麼您可以使用相同的工具來部署KernelCare - 您不需要在每個伺服器上手動安裝KernelCare。使用這些工具,管理員可以:
- 分發 KernelCare 代理套件(僅在伺服器無法存取網路的情況下才需要)
- 分發 KernelCare 代理配置檔 /etc/sysconfig/kcare/kcare.conf
- 設置環境變數
- 從本地或遠端下載伺服器安裝 KernelCare 代理
- 使用基於金鑰或基於IP的許可證註冊 KernelCare
除了易於分發和集成到當前的補丁部署應用程式中之外,KernelCare 還會向任何輪詢伺服器漏洞的漏洞掃描程序發送「安全內核」報告。
使用 KernelCare,您的 Linux 伺服器會自動修補,而無需重新啟動,漏洞掃描程式將報告您的伺服器已更新並具有最新的漏洞補丁。
如何手動修補您的Linux系統?
即使補丁自動化和即時修補已到位,有時也需要手動更新。例如,更新失敗后,管理員可能需要手動修補系統。在測試環境中,可能還需要手動更新。更新 Linux 的命令取決於您的發行版,但以下是一些常見發行版的命令。
對於基於 Debian 的發行版(例如 Debian、Ubuntu、Mint),以下命令將顯示可用的補丁和更新包以及操作系統:
sudo apt-get update sudo apt-get upgrade sudoapt-get dist-upgrade
對於Red Hat Linux發行版(例如RedHat,CentOS,Oracle),以下命令檢查更新並修補系統:
百勝檢查更新 百勝更新
對於基於 SUSE 的 Linux(例如 Suse Linux Enterprise、OpenSuse),以下命令檢查更新並修補系統:
zypper Check-Update zypper update
處理 生命周期結束的 Linux
一些伺服器機房裡有一頭大象。它被稱為不受支援的或生命周期結束的操作系統,即使是最好的補丁管理策略,它也會迅速絆倒。
不受支援的操作系統不再為新發現的安全漏洞獲取補丁。如果沒有補丁,就無法保護系統免受關鍵漏洞的影響 - 即使有自動修補。開發自定義補丁是一個困難且昂貴的解決方案。
為什麼企業運行生命週期結束的操作系統?這可以歸結為系統管理員團隊的純粹忽視,其中從未採取過升級到受支援版本所需的操作。然而,通常情況下,這是一個實際問題 - 例如一個特定的軟體根本無法在較新的操作系統上運行,或者系統管理員團隊面臨巨大壓力,這意味著無法進行升級。
值得慶幸的是,也有一種方法可以將補丁管理策略應用於生命周期結束的操作系統。您可以從 Linux 供應商處 訂閱擴展支援 計劃,儘管這些計劃可能很昂貴並且包含不需要的功能。
TuxCare為不再受官方支援的Linux發行版提供的一系列擴展生命週期支援服務是一種更實惠的選擇。它為許多不受支援的Linux發行版以及 PHP 和 Python 等編碼語言提供長達4年的安全更新。
結論
一致的修補至關重要,但很難做到正確。重新啟動會妨礙工作,有限的資源可能會讓修補工作失望。儘管如此,Linux 補丁管理仍然是保持企業計算環境安全的核心。
正確管理補丁需要遵循補丁管理最佳實踐的戰略方法,但也要利用現有的最佳工具來完成任務。
將 KernelCare 整合到補丁管理中可降低風險,提高 Linux 伺服器的安全性,併為管理員提供便利。KernelCare 還可以與您當前的修補過程無縫協作,以引入無需重啟的更新。
我們的客戶擁有六年多未重新啟動的伺服器。得益於 KernelCare,全球主要數據中心的 300,000 多台受支援伺服器通過我們的即時修補框架保持其 SOC 2 合規性狀態。
立即試用 KernelCare,以説明您遵守 Linux 補丁管理策略,並減輕管理員的大量開銷和耗時的流程。
