Linux 补丁管理终极指南

linux补丁最佳实践、补丁管理、补丁管理工具

负责修补Linux的管理员知道，在大型企业环境中，这实际上是一项全职工作。要仅修补一个系统，管理员必须确定有可用的补丁供下载，然后将其部署到系统。在企业环境中，可能有数百台服务器需要管理，因此补丁管理工作成为一项全天候的责任，并增加了安装后重启失败的风险。管理员可以腾出时间并使用自动化工具组织补丁，而不是手动更新。

什么是补丁管理？

在进入补丁自动化之前，管理员应该了解定期给Linux打补丁的重要性。管理员可以简单地手动修补Linux系统，但这会导致人为错误，并且由于安装后的问题而回滚非常棘手。当出现错误时，人为错误可能会导致严重的长时间停机。当需要多个补丁时，手动打补丁也很耗时。

补丁管理通过自动化整个过程使管理员受益。集成补丁管理系统将自动检测更新、下载它们，然后将它们部署到所有服务器。实时修补通过消除更新Linux后所需的重新启动过程来增加这些好处。

为什么补丁管理很重要？

未修补的面向公众的Web服务器是网络安全的一个关键问题，但网络安全并不是修补Linux的唯一原因。修补程序还可以修复错误并为软件添加功能。一些补丁修复了系统上运行的驱动程序和软件的问题。大型更新为操作系统增加了功能。

管理员等待修补系统的时间越长，更新系统所需的修补程序就越多。此问题增加了完全修补Linux服务器所需的时间。供应商和发行版开发人员提供的修补程序是最重要的，因为它们修复了操作系统中的关键问题。

应该多久执行一次补丁管理？

在生产服务器上安装任何东西都应该在彻底测试之后完成。在大型企业环境中，每天都有新的更新可用，这意味着不断的测试和部署。每天手动检查新补丁很乏味，并且在补丁管理自动化可用时需要不必要的开销。

为了增加开销，补丁应仅在暂存环境中测试后部署。暂存环境应该是生产的副本，以确保在测试期间它是1:1匹配，否则错误可能会导致生产停机。尽管测试很重要，但一个好的经验法则是在供应商提供补丁后的30天内应用补丁。

对于安全补丁，管理员尽快测试和部署它们至关重要。零日漏洞是对组织及其数字资产的真正威胁。当宣布零日漏洞时，威胁参与者会迅速创建漏洞以利用未修补的系统。最近的几起数据泄露事件是对未打补丁的系统进行攻击的结果。为了降低数据泄露的风险，组织应尽快部署安全补丁。

什么是Linux补丁管理策略？

与Windows等闭源操作系统不同，Linux修补程序可能更加不可预测和复杂。开源有它的优点，但一个缺点是运行一个操作系统，它可能由不同的贡献者做出一些改变。只有一项不兼容的更改可能会影响您的整个组织。

为了减轻糟糕的补丁管理带来的一些开销和麻烦，这里有一些策略和最佳实践可以整合到您的程序中：

1.创建补丁管理策略。该政策应包括每个步骤，包括质量保证(QA)测试、修补频率、任何回滚程序以及必须签署操作系统更改的人员。

2.使用发现漏洞的扫描工具。无论是面向公众的服务器还是运行企业应用程序的内部主机，漏洞扫描都会发现未打补丁的系统以避免常见的漏洞利用。

3.使用报告来识别失败的补丁。怎么知道补丁安装成功了？一个好的补丁管理解决方案有一个中央仪表板，显示补丁安装成功和失败的报告，以便管理员可以查看并在必要时手动修补系统。

4.测试完成后立即部署补丁。在部署之前进行测试很重要，但是一旦测试为部署提供了绿灯，就应该在整个环境中安装补丁。

5.记录环境的变化。通常文档以变更控制的形式完成，授权员工签署环境更新。在查看停机时间和执行根本原因分析时，此步骤很重要。这对于审计和合规性原因也很重要。

如何手动修补Linux系统？

即使使用补丁自动化，有时也需要手动更新。更新失败后，管理员可能需要手动修补系统。在测试环境中可能需要手动更新。更新Linux的命令取决于发行版，但这里是一些常见发行版的命令。

对于基于Debian的发行版（例如Debian、Ubuntu、Mint），以下命令可让您查看可用的补丁和更新包以及操作系统：

sudo apt-get update

sudo apt-get upgrade 

sudo apt-get dist-upgrade

对于Red Hat Linux发行版（例如RedHat、CentOS、Oracle），以下命令检查系统的更新和补丁：

yum check-update

yum update

对于基于Suse的Linux（例如Suse Linux Enterprise、OpenSuse），以下命令检查更新并修补系统：

zypper check-update

zypper update

修补最佳实践

系统管理员、审计、网络和安全(SANS)组织制定了补丁管理的最佳实践。这些最佳实践为管理员提供了有关如何实施公司策略的指导，该策略记录、审核和评估整个组织的风险，以确定何时以及如何部署补丁。

八个最佳实践是：

1.清点环境。在知道需要修补什么之前，需要一份网络上所有Linux系统的审核列表。

2.为每台服务器分配风险级别。风险级别告诉管理员哪些服务器最重要，应该优先考虑。所有系统都应进行修补，但针对最重要的服务器将降低它们在测试和其他修补正在进行时受到损害的风险。

3.将补丁管理软件整合到一个解决方案中。自动化工具是有益的，但太多不同的工具对环境进行更改可能会导致错误和可能的竞争条件。

4.定期查看供应商补丁公告。自动化工具将自动下载更新，但管理员仍应了解何时有新补丁可用，尤其是关键补丁。

5.降低补丁失败的风险。由于异常问题，管理员停止更新的情况并不少见。发生这种情况时，应锁定服务器以避免利用潜力。

6.始终首先在staging中测试补丁。暂存环境应该复制生产，因此可以测试补丁并降低停机风险。

7.尽快修补系统。服务器未打补丁的时间越长，由于已知漏洞而受到威胁的风险就越大。

8.使用自动化工具。自动化工具从管理员那里承担了很多开销，并在补丁可用时自动部署补丁。

自动化Linux补丁管理软件如何工作？

为避免成为下一个具有新闻价值的数据泄露事件，组织必须对每台设备进行漏洞扫描。漏洞扫描可识别补丁是否丢失，因此管理员可以尽快部署它们。有一些很好的漏洞扫描程序可以使第一步更加高效和方便。这些扫描仪是：

Qualys

Nessus

Rapid7

扫描完成后，是时候让补丁管理工具接管了。市场上的一些工具使打补丁对管理员来说更加方便。他们报告成功和失败的补丁，以便管理员知道何时需要手动更新，并且他们可以获得有关环境当前网络安全健康状况的更新。

一些可用于管理补丁的工具包括：

Yum–used in Red Hat Enterprise Linux (RHEL)

Ansible

Puppet

SaltStack

Chef

Spacewalk

上述工具的主要优点是组织。这些工具下载更新，然后将结果报告给管理员，从而消除大型环境中补丁管理的混乱。管理员还可以安排补丁、选择自己的部署策略、测试并在部署前批准更新。

实时补丁如何适应补丁管理框架？

补丁管理工具为管理员提供了组织，但重新启动仍然是一个问题。重新启动关键的Linux服务器意味着组织需要停机，并在非高峰时间安排一段时间的补丁。这意味着补丁可以推迟到方便时，这使得未打补丁的服务器容易受到攻击。

实时修补通过消除重新启动过程来改进整个过程。重启过程会带来一系列风险。如果系统不重新启动怎么办？如果有几个关键服务器必须同时修补怎么办？您可能有几台关键服务器为需要修补的整个组织提供动力，并且存在其中几台无法正常重启的风险。通过实时修补，可以消除这种风险。

KernelCare（自动化工具）如何与补丁管理工具一起工作？

KernelCare是一个集成到当前补丁管理解决方案中的Linux实时补丁工具。修补程序仍可通过修补程序管理工具进行计划、测试、下载和部署，但KernelCare提供实时修补结果以消除重新启动要求。

以下是KernelCare实时修补的工作原理：

1.分配内核内存并将新的安全代码加载到内存中。

2.在安全模式下暂时冻结所有进程。

3.修改函数并跳转到新的安全代码，从而堵塞漏洞。

4.解冻进程并恢复活动。

如果使用任何上述修补工具（例如Ansible、Puppet、Chef、SaltStack），这些工具可用于部署KernelCare，而不是在每台服务器上手动安装。使用这些工具，管理员可以：

1.分发KernelCare代理程序包（仅对无法访问Internet的服务器必需）

2.分发KernelCare代理配置文件/etc/sysconfig/kcare/kcare.conf。

3.设置环境变量。

4.从本地或远程下载服务器安装KernelCare代理。

5.使用基于密钥或基于IP的许可证注册KernelCare。

除了易于分发和集成到当前的补丁部署应用程序中，KernelCare还向任何轮询服务器漏洞的漏洞扫描程序报告安全内核。使用KernelCare，Linux服务器会自动修补，漏洞扫描程序会报告它们是更新的和最新的。

结论

将自动化工具集成到补丁管理中可降低风险、提高Linux服务器的网络安全性并为管理员提供便利，与当前的修补过程无缝协作，以引入无需重启的更新。

原文始发于微信公众号（河南等级保护测评）：Linux 补丁管理终极指南