Mantenere aggiornato il tuo server è molto importante. Il software Linux e Linux è costantemente aggiornato, sia per ricevere aggiornamenti di sicurezza che per correggere bug. L'applicazione rapida di patch ti aiuta a evitare di diventare vittima di errori zero-day.
Gestione delle patch
La gestione delle patch si riferisce alle tue pratiche per l'aggiornamento dei server. Una buona gestione delle patch significa che tutti i tuoi server si aggiornano rapidamente in risposta alle patch di sicurezza, sia nel kernel e nel sistema Linux che nel software che stai utilizzando.
La sicurezza inizia con l'amministratore di sistema; deve eseguire controlli periodici di sicurezza e aggiornamento, e rimani aggiornato sulle informazioni di sicurezza. La maggior parte delle distribuzioni Linux avrà mailing list di sicurezza a cui puoi iscriverti.. Questi ti invieranno notifiche ogni volta che saranno disponibili nuove patch. Altri software che utilizzi potrebbero avere le proprie mailing list o richiedere il follow-up manuale, così puoi scegliere quando è necessario un aggiornamento.
Il tempo di attività è essenziale, ma se la tua rete è tollerante ai guasti (In altre parole, ha più di un server), riavviarli uno allo stesso tempo non dovrebbe essere un ostacolo. La maggior parte delle patch per il software dell'area utente non richiede un riavvio completo del sistema, anche se un servizio in esecuzione deve essere aggiornato, generalmente dovrà essere riavviato. per qualcosa come nginx, può andare bene, ma certi servizi, come MySQL, richiede molto tempo per il riavvio a causa della necessità di spegnere e riavviare correttamente. Dovresti evitare di riavviarli il più possibile, soprattutto se non hai server di failover.
Aggiornamento manuale e regolare
Per molte persone, un semplice comando update e update farà il lavoro di aggiornare il server:
sudo apt-get update && sudo apt-get upgrade
il apt-get update Il comando aggiorna l'elenco dei pacchetti e ottiene le informazioni più recenti sulle ultime versioni dei pacchetti che hai installato. il apt-get upgrade Il comando installerà nuove versioni del software che hai già installato.
Questo non installerà nuove dipendenze e non installerà alcuni aggiornamenti di sistema. Per quello, avrà bisogno di correre:
sudo apt-get dist-upgrade
che eseguirà un aggiornamento molto più completo. Entrambi i comandi installeranno tutti i nuovi aggiornamenti e stamperanno un elenco di modifiche. Alcuni servizi potrebbero richiedere il riavvio di quel servizio per applicare le modifiche, ma regolarmente non dovrai riavviare l'intero sistema a meno che dist-upgrade bisogno di essa.
Questa procedura è facile da eseguire se hai solo pochi server, ma la gestione manuale delle patch richiede più tempo man mano che si aggiungono più server. Proprio di Canonical Scenario Il servizio ti permetterà di gestire e aggiornare le tue macchine attraverso un'interfaccia web, ma è solo senza costi per 10 macchine, dopodiché è necessario un abbonamento a Ubuntu Advantage. Se la tua rete è particolarmente complicata, potresti voler cercare un servizio di orchestrazione come Fantoccio.
Patch di sicurezza automatiche con aggiornamenti non presidiati
il unattended-upgrades L'utility applicherà automaticamente alcuni importanti aggiornamenti di sicurezza. Puoi riavviare il server automaticamente, che può essere impostato su un certo tempo in modo che non cada a metà giornata.
Installa su PC unattended-upgrades a partire dal apt, anche se potrebbe essere già presente nel sistema.
sudo apt update
sudo apt install unattended-upgrades
Questo creerà un file di configurazione in /etc/apt/apt.conf.d/50unattended-upgrades, che vorrai aprire nel tuo editor di testo preferito.
Assicurati che le impostazioni siano le successive, senza commentare la riga “sicurezza”:
Aggiornamento automatico::Allowed-Origini {
// "${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-sicurezza";
// Manutenzione estesa della sicurezza; non esiste necessariamente per
// ogni versione e questo sistema potrebbe non averlo installato, ma se
// a disposizione, la politica per gli aggiornamenti è tale che gli aggiornamenti non presidiati
// dovrebbe anche essere installato da qui per impostazione predefinita.
// "${distro_id}MES:${distro_codename}";
// "${distro_id}:${distro_codename}-aggiornamenti";
// "${distro_id}:${distro_codename}-proposto";
// "${distro_id}:${distro_codename}-backport";
};
Ciò abilita gli aggiornamenti automatici per gli aggiornamenti di sicurezza, anche se puoi attivarlo per tutto decommentando la prima riga.
Per abilitare i riavvii automatici, Rimuovere il commento da questa riga e modificare il valore in “vero”:
Aggiornamento automatico::Riavvio automatico "vero";
Per determinare un'ora per ripartire, decommenta questa riga e cambia il valore in qualsiasi momento tu voglia.
Aggiornamento automatico::Tempo di riavvio automatico "02:00";
Le impostazioni predefinite faranno riavviare il tuo server alle 2 sono. se sono presenti patch di sicurezza che richiedono un riavvio, anche se questa sarà una cosa occasionale e non dovresti vedere il tuo server riavviarsi ogni giorno. Assicurati che le app in esecuzione siano impostate per il riavvio automatico all'avvio.
In alternativa, unattended-upgrades può essere configurato per inviarti notifiche e-mail dicendoti di riavviare manualmente il server quando necessario, che eviterà riavvii imprevisti.
Canonical Livepatch
Canonical Livepatch è un servizio che aggiorna automaticamente il tuo kernel senza richiedere il riavvio del server. Nessun costo per un massimo di tre macchine, dopo di che avrai bisogno di un Vantaggio Ubuntu abbonamento per ogni macchina.
Assicurati che il tuo sistema sia aggiornato e installa Livepatch tramite snap:
sudo snap install canonical-livepatch
Prossimo, dovrai ottenere un token Livepatch dal tuo sito web. Una volta che ce l'ho, può eseguire:
sudo canonical-livepatch enable TOKEN
Successivamente, verificare che funzioni correttamente con:
sudo canonical-livepatch status --verbose
Tieni presente che l'immagine Ubuntu predefinita su AWS non è attualmente supportata da livepatch, perché AWS usa il suo stesso nucleo per prestazioni extra. Dovresti tornare al kernel precedente o installare una versione diversa di Ubuntu se volessi usare Livepatch.
