Es ist sehr wichtig, Ihren Server auf dem neuesten Stand zu halten. Linux und Linux-Software wird ständig aktualisiert, sowohl um Sicherheitsupdates zu erhalten als auch um Fehler zu beheben. Schnelles Patchen hilft Ihnen, nicht Opfer von Zero-Day-Fehlern zu werden.
Patch-Management
Patch-Management bezieht sich auf Ihre Praktiken zum Aktualisieren von Servern. Ein gutes Patch-Management bedeutet, dass alle Ihre Server als Reaktion auf Sicherheitspatches schnell aktualisiert werden, sowohl im Linux-Kernel und -System als auch in der von Ihnen verwendeten Software.
Sicherheit beginnt beim Systemadministrator; muss regelmäßige Sicherheits- und Update-Audits durchführen, und bleiben Sie über Sicherheitsinformationen auf dem Laufenden. Die meisten Linux-Distributionen verfügen über Sicherheits-Mailinglisten, die Sie abonnieren können.. Diese senden Ihnen Benachrichtigungen, wenn neue Patches verfügbar sind. Andere Software, die Sie verwenden, hat möglicherweise eigene Mailinglisten oder erfordert, dass Sie manuell nachfassen, So können Sie auswählen, wann ein Update erforderlich ist.
Verfügbarkeit ist wichtig, aber wenn Ihr Netzwerk fehlertolerant ist (Mit anderen Worten, hat mehr als einen Server), ein gleichzeitiger Neustart sollte kein Hindernis sein. Die meisten Patches für Benutzerbereichssoftware erfordern keinen vollständigen Systemneustart, auch wenn ein laufender Dienst aktualisiert werden muss, in der Regel muss es neu gestartet werden. für sowas wie nginx, das kann gut sein, aber bestimmte Dienste, wie MySQL, Der Neustart dauert lange, da das Herunterfahren und der Neustart ordnungsgemäß erfolgen müssen. Sie sollten möglichst vermeiden, sie neu zu starten, vor allem, wenn Sie keine Failover-Server haben.
Manuelles und regelmäßiges Update
Für viele Leute, Ein einfacher Update- und Update-Befehl erledigt die Aufgabe, den Server zu aktualisieren:
sudo apt-get update && sudo apt-get upgrade
das apt-get update Der Befehl aktualisiert die Paketliste und ruft die neuesten Informationen über die neuesten Versionen der von Ihnen installierten Pakete ab. das apt-get upgrade Der Befehl installiert neue Versionen der Software, die Sie bereits installiert haben.
Dadurch werden keine neuen Abhängigkeiten installiert und einige Systemupdates werden nicht installiert. Dafür, muss laufen:
sudo apt-get dist-upgrade
die ein viel umfassenderes Update durchführen wird. Jeder Befehl installiert alle neuen Updates und druckt eine Liste der Änderungen. Einige Dienste erfordern möglicherweise einen Neustart dieses Dienstes, um die Änderungen zu übernehmen, aber regelmäßig müssen Sie nicht das gesamte System neu starten, es sei denn dist-upgrade brauchen.
Dieses Verfahren ist einfach durchzuführen, wenn Sie nur wenige Server haben, aber das manuelle Patch-Management nimmt mehr Zeit in Anspruch, wenn Sie weitere Server hinzufügen. Canonicals eigene Landschaft Der Service ermöglicht es Ihnen, Ihre Maschinen über eine Webschnittstelle zu verwalten und zu aktualisieren, aber es ist nur kostenlos für 10 Maschinen, Danach benötigen Sie ein Abonnement für Ubuntu Advantage. Wenn Ihr Netzwerk besonders kompliziert ist, Vielleicht möchten Sie nach einem Orchestrierungsdienst wie z Marionette.
Automatische Sicherheitspatches mit unbeaufsichtigten Updates
das unattended-upgrades Das Dienstprogramm wendet automatisch bestimmte wichtige Sicherheitsupdates an. Sie können den Server automatisch neu starten, die auf eine bestimmte Zeit eingestellt werden kann, damit sie nicht mitten am Tag fällt.
Auf PC installieren unattended-upgrades von apt, auch wenn es sich möglicherweise bereits auf Ihrem System befindet.
sudo apt update
sudo apt install unattended-upgrades
Dadurch wird eine Konfigurationsdatei in /etc/apt/apt.conf.d/50unattended-upgrades, die Sie in Ihrem bevorzugten Texteditor öffnen möchten.
Stellen Sie sicher, dass die Einstellungen die nächsten sind, ohne die Zeile zu kommentieren “Sicherheit”:
Unbeaufsichtigtes Upgrade::Erlaubte-Ursprünge {
// "${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-Sicherheit";
// Erweiterte Sicherheitswartung; existiert nicht unbedingt für
// jede Version und dieses System hat es möglicherweise nicht installiert, doch wenn
// erhältlich, die Richtlinien für Updates sind so, dass unbeaufsichtigte Upgrades
// sollte auch standardmäßig von hier aus installieren.
// "${distro_id}ESM:${distro_codename}";
// "${distro_id}:${distro_codename}-Aktualisierung";
// "${distro_id}:${distro_codename}-vorgeschlagen";
// "${distro_id}:${distro_codename}-Backports";
};
Dies ermöglicht automatische Updates für Sicherheitsupdates, obwohl Sie es für alles aktivieren können, indem Sie die erste Zeile auskommentieren.
So aktivieren Sie automatische Neustarts, Heben Sie die Auskommentierung dieser Zeile auf, und ändern Sie den Wert in “wahr”:
Unbeaufsichtigtes Upgrade::Automatischer Neustart "wahr";
Um einen Zeitpunkt für den Neustart zu bestimmen, Entkommentieren Sie diese Zeile und ändern Sie den Wert auf eine beliebige Zeit.
Unbeaufsichtigtes Upgrade::Automatische-Neustart-Zeit "02:00";
Die Standardeinstellungen führen dazu, dass Ihr Server um neu gestartet wird 2 bin. wenn es Sicherheitspatches gibt, die einen Neustart erfordern, Auch wenn dies gelegentlich vorkommt und Sie nicht jeden Tag einen Neustart Ihres Servers sehen sollten. Stellen Sie sicher, dass Ihre laufenden Apps so eingestellt sind, dass sie beim Booten automatisch neu gestartet werden.
Alternative, unattended-upgrades kann konfiguriert werden zu Ihnen E-Mail-Benachrichtigungen senden fordert Sie auf, den Server bei Bedarf manuell neu zu starten, was unerwartete Neustarts vermeidet.
Kanonischer Livepatch
Canonical Livepatch ist ein Dienst, der Ihren Kernel automatisch patcht, ohne dass Ihr Server neu gestartet werden muss. Keine Kosten für bis zu drei Maschinen, danach brauchst du a Ubuntu-Vorteil Abonnement für jede Maschine.
Stellen Sie sicher, dass Ihr System auf dem neuesten Stand ist und installieren Sie Livepatch über snap:
sudo snap install Canonical-livepatch
Nächste, Sie benötigen einen Livepatch-Token von Ihrer Website. Sobald ich es habe, ausführen können:
sudo Canonical-Livepatch aktivieren TOKEN
Anschließend, Überprüfen Sie, ob es richtig funktioniert mit:
sudo Canonical-Livepatch-Status --verbose
Bitte beachten Sie, dass das standardmäßige Ubuntu-Image auf AWS derzeit nicht von Livepatch unterstützt wird, weil AWS verwendet ein eigener Kern für zusätzliche Leistung. Sie müssten zum vorherigen Kernel zurückkehren oder eine andere Version von Ubuntu installieren, wenn Sie Livepatch verwenden wollten.
