众多的操作系统和补丁,以及太多的补丁内容,在你的企业内部,有关补丁更新这一块的策略是什么样的,或者说是,我就是不更新,有问题了再更新的,或者说至更新安全的,关键的补丁等等,欢迎大家来说道说道。
操作系统的补丁更新,最大的问题是对生产的影响较大,例如,内核的更新、glibc、openssl的更新都需要重启服务器,这就会带来业务停机(大家不要跟我讨论互联网的分布式架构,传统企业中大部分业务系统还是单机或者HA模式在跑,再说了,就算是分布式架构,你试试所有服务器都重启一遍啥感受)。而一个关键的漏洞,例如脏牛、心脏滴血,都是需要更新这些包的。
就是这个原因,我们经常看到在很多客户机房里,2015、2016年的关键补丁迄今还没有进行更新,这样系统风险还是很大的,特别是对公众提供服务的服务器。
所以,近几年,LInux的内核热补丁技术开始发展,例如Oracle Linux的KSplice,Red Hat Enterprise Linux的KPatch。 这些都可以不重启便给内核的运行态进行升级。
相比来说,Oracle Linux的 KSplice年头比较长,比较稳定,并且,和其他相比的最大优势就是,ksplice还能提供针对用户态关键程序的热补丁,例如我们所说到的openssl,只有ksplice才能实现热补丁。其他的目前还不可以。
收起通過這次事件,我們也是重新思考的打補丁問題。由於我們有很多域外的機器,所以使用sccm去推送補丁部署上有一定麻煩,但是單純通過wsus服務器配置自動更新又無法控制客戶端的更新頻率和重啓情況,服務器倒是還好辦,如果用戶的終端機就比較麻煩。
後來經過思考,決定寫了一個非常小的程序目的就是調用winapi去運行windowsupdate,然後通過zabbix和wsus配合去監控補丁的更新情況,並且也是通過zabbix遠程發送命令下去開始執行更新。不知道最終實際效果怎麼樣,正在測試中……
个人喜欢裸奔,但是公司安全不得不注意这些问题
流程如下:
1.监控
2.检查与评估
3.风险评估与测试
4.告示及时间表
5.部署
6.审核,评估以及验证
Windows建议你使用Windows Updates Downloader,该软件能给微软的所有产品快速地打补丁,一次即可将需要的各种补丁全部载下来,而且还能让你选择安装某个特定的补丁。
linux建议使用APT,APT使得零停机时间升级成为现实。使用Connectiva进行改装后的Debian的apt软件包管理工具,它可以对Red Hat的RPM格式进行管理。它可以为持续的安全升级提供一个非常好的机制。可以定时更新系统软件,弥补网络和系统的安全漏洞。Linux服务器运行的软件主要包括:Samba,Ftp,Telnet,Ssh,Mysql,Php,Apache,Mozilla等,这些软件,大都是开源软件,而且都在不停升级,稳定版和测试版交替出现。