Garder votre serveur à jour est très important. Les logiciels Linux et Linux sont constamment mis à jour, à la fois pour recevoir des mises à jour de sécurité et pour corriger des bogues. L'application rapide de correctifs vous permet d'éviter d'être victime d'erreurs zero-day.
Gestion des correctifs
La gestion des correctifs fait référence à vos pratiques de mise à jour des serveurs. Une bonne gestion des correctifs signifie que tous vos serveurs se mettent à jour rapidement en réponse aux correctifs de sécurité, à la fois dans le noyau et le système Linux ainsi que dans le logiciel que vous utilisez.
La sécurité commence avec l'administrateur système; doit effectuer des audits périodiques de sécurité et de mise à jour, et restez à jour sur les informations de sécurité. La plupart des distributions Linux auront des listes de diffusion de sécurité auxquelles vous pouvez vous abonner.. Ceux-ci vous enverront des notifications chaque fois que de nouveaux correctifs seront disponibles. Les autres logiciels que vous utilisez peuvent avoir leurs propres listes de diffusion ou vous obliger à effectuer un suivi manuel, vous pouvez donc choisir quand une mise à jour est nécessaire.
La disponibilité est essentielle, mais si votre réseau est tolérant aux pannes (En d'autres termes, a plus d'un serveur), les redémarrer un en même temps ne devrait pas être un obstacle. La plupart des correctifs pour les logiciels de zone utilisateur ne nécessitent pas un redémarrage complet du système, même si un service en cours d'exécution doit être mis à jour, en général il faudra le redémarrer. pour quelque chose comme nginx, ça peut être bien, mais certains services, comme MySQL, prendre beaucoup de temps pour redémarrer car il faut s'arrêter et redémarrer correctement. Vous devez éviter de les redémarrer autant que possible, surtout si vous n'avez pas de serveurs de basculement.
Mise à jour manuelle et régulière
Pour plusieurs personnes, une simple commande de mise à jour et de mise à jour fera le travail de mise à jour du serveur:
sudo apt-get mise à jour && sudo apt-get mise à niveau
Les apt-get update La commande met à jour la liste des packages et obtient les dernières informations sur les dernières versions des packages que vous avez installés. Les apt-get upgrade La commande installera les nouvelles versions du logiciel que vous avez déjà installé.
Cela n'installera pas de nouvelles dépendances et n'installera pas certaines mises à jour du système. Pour ça, devra courir:
sudo apt-get dist-upgrade
qui effectuera une mise à jour beaucoup plus complète. L'une ou l'autre commande installera toutes les nouvelles mises à jour et imprimera une liste des modifications. Certains services peuvent nécessiter un redémarrage de ce service pour appliquer les modifications, mais régulièrement, vous n'aurez pas à redémarrer tout le système à moins que dist-upgrade il en a besoin.
Cette procédure est facile à faire si vous n'avez que quelques serveurs, mais la gestion manuelle des correctifs prend plus de temps à mesure que vous ajoutez plus de serveurs. propre à Canonical Paysage Le service vous permettra de gérer et de mettre à jour vos machines via une interface web, mais c'est seulement sans frais pour 10 Machines, après quoi vous avez besoin d'un abonnement à Ubuntu Advantage. Si votre réseau est particulièrement compliqué, vous voudrez peut-être rechercher un service d'orchestration comme Fantoche.
Correctifs de sécurité automatiques avec mises à jour sans surveillance
Les unattended-upgrades L'utilitaire appliquera automatiquement certaines mises à jour de sécurité importantes. Vous pouvez redémarrer le serveur automatiquement, qui peut être réglé à une certaine heure pour qu'il ne tombe pas au milieu de la journée.
Installer sur pc unattended-upgrades de apt, même s'il est peut-être déjà sur votre système.
sudo apt update
sudo apt install unattended-upgrades
Esto creará un archivo de configuración en /etc/apt/apt.conf.d/50unattended-upgrades, que querrá abrir en su editor de texto favorito.
Asegúrese de que la configuración sea la próxima, sin comentar la línea “Sécurité”:
Mise à niveau sans surveillance::Origines autorisées {
// "${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-sécurité";
// Maintenance de sécurité étendue; n’existe pas nécessairement pour
// chaque version et ce système peut ne pas l’avoir installé, mais si
// disponible, la stratégie pour les mises à jour est telle que les mises à niveau sans surveillance
// devrait également installer à partir d’ici par défaut.
// "${distro_id}MES:${distro_codename}";
// "${distro_id}:${distro_codename}-mises à jour";
// "${distro_id}:${distro_codename}-proposé";
// "${distro_id}:${distro_codename}-rétroportages";
};
Cela permet des mises à jour automatiques pour les mises à jour de sécurité, même si vous pouvez l'activer pour tout en décommentant la première ligne.
Pour activer les redémarrages automatiques, descomente esta línea y cambie el valor a “vrai”:
Mise à niveau sans surveillance::Redémarrage automatique "vrai";
Pour déterminer une heure de redémarrage, décommentez cette ligne et changez la valeur à l'heure que vous voulez.
Mise à niveau sans surveillance::Temps de redémarrage automatique "02:00";
Les paramètres par défaut entraîneront le redémarrage de votre serveur à 2 un m. s'il existe des correctifs de sécurité nécessitant un redémarrage, même si ce sera une chose occasionnelle et que vous ne devriez pas voir votre serveur redémarrer tous les jours. Assurez-vous que vos applications en cours d'exécution sont configurées pour redémarrer automatiquement au démarrage.
Alternativement, unattended-upgrades peut être configuré pour vous envoyer des notifications par e-mail vous disant de redémarrer manuellement le serveur si nécessaire, ce qui évitera les redémarrages inattendus.
Livepatch canonique
Canonical Livepatch est un service qui corrige automatiquement votre noyau sans nécessiter le redémarrage de votre serveur. Aucun coût pour jusqu'à trois machines, après quoi vous aurez besoin d'un Avantage Ubuntu abonnement pour chaque machine.
Assurez-vous que votre système est à jour et installez Livepatch via snap:
sudo snap installer canonical-livepatch
Ensuite, vous devrez obtenir un jeton Livepatch de votre site Web. Une fois que je l'ai, peut exécuter:
sudo canonical-livepatch activer TOKEN
Ensuite, vérifier qu'il fonctionne correctement avec:
statut sudo canonical-livepatch --verbose
Veuillez noter que l'image Ubuntu par défaut sur AWS n'est actuellement pas prise en charge par livepatch, car AWS utilise son propre noyau pour des performances supplémentaires. Vous devrez revenir au noyau précédent ou installer une version différente d'Ubuntu si vous souhaitez utiliser Livepatch.
