【核心议题】操作系统补丁的更新策略

众多的操作系统和补丁,以及太多的补丁内容,在你的企业内部,有关补丁更新这一块的策略是什么样的,或者说是,我就是不更新,有问题了再更新的,或者说至更新安全的,关键的补丁等等,欢迎大家来说道说道。

参与16

5同行回答

galaxy1975galaxy1975  系统架构师 , 自动化运维专家
操作系统的补丁更新,最大的问题是对生产的影响较大,例如,内核的更新、glibc、openssl的更新都需要重启服务器,这就会带来业务停机(大家不要跟我讨论互联网的分布式架构,传统企业中大部分业务系统还是单机或者HA模式在跑,再说了,就算是分布式架构,你试试所有服务器都重启一遍啥感受...显示全部

操作系统的补丁更新,最大的问题是对生产的影响较大,例如,内核的更新、glibc、openssl的更新都需要重启服务器,这就会带来业务停机(大家不要跟我讨论互联网的分布式架构,传统企业中大部分业务系统还是单机或者HA模式在跑,再说了,就算是分布式架构,你试试所有服务器都重启一遍啥感受)。而一个关键的漏洞,例如脏牛、心脏滴血,都是需要更新这些包的。

就是这个原因,我们经常看到在很多客户机房里,2015、2016年的关键补丁迄今还没有进行更新,这样系统风险还是很大的,特别是对公众提供服务的服务器。

所以,近几年,LInux的内核热补丁技术开始发展,例如Oracle Linux的KSplice,Red Hat Enterprise Linux的KPatch。 这些都可以不重启便给内核的运行态进行升级。

相比来说,Oracle Linux的 KSplice年头比较长,比较稳定,并且,和其他相比的最大优势就是,ksplice还能提供针对用户态关键程序的热补丁,例如我们所说到的openssl,只有ksplice才能实现热补丁。其他的目前还不可以。

收起
IT咨询服务 · 2017-07-21
浏览2784
zsj2002zsj2002  数据库管理员 , 澳門大豐銀行
通過這次事件,我們也是重新思考的打補丁問題。由於我們有很多域外的機器,所以使用sccm去推送補丁部署上有一定麻煩,但是單純通過wsus服務器配置自動更新又無法控制客戶端的更新頻率和重啓情況,服務器倒是還好辦,如果用戶的終端機就比較麻煩。後來經過思考,決定寫了一個非常小的...显示全部

通過這次事件,我們也是重新思考的打補丁問題。由於我們有很多域外的機器,所以使用sccm去推送補丁部署上有一定麻煩,但是單純通過wsus服務器配置自動更新又無法控制客戶端的更新頻率和重啓情況,服務器倒是還好辦,如果用戶的終端機就比較麻煩。
後來經過思考,決定寫了一個非常小的程序目的就是調用winapi去運行windowsupdate,然後通過zabbix和wsus配合去監控補丁的更新情況,並且也是通過zabbix遠程發送命令下去開始執行更新。不知道最終實際效果怎麼樣,正在測試中……

收起
银行 · 2017-07-21
浏览2746
KaneKane  华为云 , 软通
个人喜欢裸奔,但是公司安全不得不注意这些问题流程如下:1.监控2.检查与评估3.风险评估与测试4.告示及时间表5.部署6.审核,评估以及验证Windows建议你使用Windows Updates Downloader,该软件能给微软的所有产品快速地打补丁,一次即可将需要的各种补丁全部载下来,而且还能让你选...显示全部

个人喜欢裸奔,但是公司安全不得不注意这些问题
流程如下:
1.监控
2.检查与评估
3.风险评估与测试
4.告示及时间表
5.部署
6.审核,评估以及验证
Windows建议你使用Windows Updates Downloader,该软件能给微软的所有产品快速地打补丁,一次即可将需要的各种补丁全部载下来,而且还能让你选择安装某个特定的补丁。
linux建议使用APT,APT使得零停机时间升级成为现实。使用Connectiva进行改装后的Debian的apt软件包管理工具,它可以对Red Hat的RPM格式进行管理。它可以为持续的安全升级提供一个非常好的机制。可以定时更新系统软件,弥补网络和系统的安全漏洞。Linux服务器运行的软件主要包括:Samba,Ftp,Telnet,Ssh,Mysql,Php,Apache,Mozilla等,这些软件,大都是开源软件,而且都在不停升级,稳定版和测试版交替出现。

收起
互联网服务 · 2017-07-17
浏览2898
  • 裸奔的风险还是比较大的。比如windows的补丁安全和关键的补丁还是需要打一打,其他的可以考虑忽略,看情况再定。这个就好比linux的更新,很多人也只是执行安全方面的额更新。否则不更新。或者针对具体问题,同一个安装摸个补丁,结合saltstack或者ansible 完成批量部署某个小补丁
    2017-07-17
  • Kane  Kane回复 powertiandi
    - -! 嗯 补丁更新的方法有很多,随便就好,补丁更新只是系统层面的,想要网络安全 人 计算机 软件 都不可少
    2017-07-17
powertiandipowertiandi  系统架构师 , 李宁(中国)体育用品有限公司
域外的服务器派发摸一个补丁实现起来不是很容易。。域内的没有问题。显示全部

域外的服务器派发摸一个补丁实现起来不是很容易。。域内的没有问题。

收起
互联网服务 · 2017-07-21
浏览2681
15305419779zxy15305419779zxy  主任 , 山东大正公司
一般会及时更新,毕竟是官方公布的,免得出现意外显示全部

一般会及时更新,毕竟是官方公布的,免得出现意外

收起
证券 · 2017-07-17
浏览2732

提问者

powertiandi
系统架构师李宁(中国)体育用品有限公司
擅长领域: 存储服务器灾备

问题来自

相关问题

相关文章

问题状态

  • 发布时间:2017-07-17
  • 关注会员:4 人
  • 问题浏览:6734
  • 最近回答:2017-07-21
  • X社区推广