Cómo asegurarse de que sus servidores Ubuntu estén siempre parcheados

Contenidos

Mantener su servidor actualizado es muy importante. El software Linux y Linux se actualiza constantemente, tanto para recibir actualizaciones de seguridad como para corregir errores. La aplicación rápida de parches le ayuda a evitar ser víctima de errores de día cero.

Administración de parches

La administración de parches se refiere a sus prácticas para actualizar servidores. Una buena administración de parches significa que todos sus servidores se actualizan rápidamente en respuesta a los parches de seguridad, tanto en el kernel y el sistema de Linux como en el software que está usando.

La seguridad comienza con el administrador del sistema; debe realizar auditorías periódicas de seguridad y actualización, y mantenerse actualizado sobre la información de seguridad. La mayoría de las distribuciones de Linux tendrán listas de correo de seguridad a las que puede suscribirse. Estos le enviarán notificaciones cada vez que haya nuevos parches disponibles. Otro software que use puede tener sus propias listas de correo o requerir que realice un seguimiento manualmente, para que pueda elegir cuándo se necesita una actualización.

El tiempo de actividad es esencial, pero si su red es tolerante a fallas (dicho de otra forma, tiene más de un servidor), reiniciarlos uno al mismo tiempo no debería ser un obstáculo. La mayoría de los parches para el software del área de usuario no requerirán que reinicie todo el sistema, aún cuando si un servicio en ejecución necesita actualizarse, de forma general tendrá que reiniciarse. Para algo como nginx, eso puede estar bien, pero ciertos servicios, como MySQL, tardan mucho en reiniciarse debido a que deben apagarse y reiniciarse correctamente. Debe evitar reiniciarlos tanto como sea factible, especialmente si no tiene servidores de conmutación por error.

Actualización manual y regular

Para muchas personas, un simple comando de actualización y actualización hará el trabajo de actualizar el servidor:

sudo apt-get update && sudo apt-get upgrade

los apt-get update El comando actualiza la lista de paquetes y obtiene la información más reciente sobre las versiones más recientes de los paquetes que ha instalado. los apt-get upgrade El comando instalará nuevas versiones del software que ya ha instalado.

Esto no instalará nuevas dependencias y no instalará algunas actualizaciones del sistema. Para eso, necesitará ejecutar:

sudo apt-get dist-upgrade

que realizará una actualización mucho más completa. Cualquiera de los dos comandos instalará todas las actualizaciones nuevas e imprimirá una lista de los cambios. Algunos servicios pueden requerir un reinicio de ese servicio para aplicar cambios, pero regularmente no tendrá que reiniciar todo el sistema a menos que dist-upgrade lo necesita.

Este procedimiento es fácil de realizar si solo tiene unos pocos servidores, pero la administración manual de parches necesita más tiempo a medida que agrega más servidores. Propio de Canonical Paisaje El servicio le permitirá administrar y actualizar sus máquinas a través de una interfaz web, pero solo es sin costes para 10 máquinas, después de lo cual necesita una suscripción a Ubuntu Advantage. Si su red es concretamente complicada, es factible que desee buscar un servicio de orquestación como Marioneta.

Parches de seguridad automáticos con actualizaciones desatendidas

los unattended-upgrades La utilidad aplicará automáticamente ciertas actualizaciones de seguridad importantes. Puede reiniciar el servidor automáticamente, que se puede configurar a una hora determinada para que no se caiga a la mitad del día.

Instalar en pc unattended-upgrades de apt, aún cuando puede que ya esté en su sistema.

sudo apt update
sudo apt install unattended-upgrades

Esto creará un archivo de configuración en /etc/apt/apt.conf.d/50unattended-upgrades, que querrá abrir en su editor de texto favorito.

Asegúrese de que la configuración sea la próxima, sin comentar la línea «seguridad»:

Unattended-Upgrade::Allowed-Origins {
 //      "${distro_id}:${distro_codename}";
         "${distro_id}:${distro_codename}-security";
         // Extended Security Maintenance; doesn't necessarily exist for
         // every release and this system may not have it installed, but if
         // available, the policy for updates is such that unattended-upgrades
         // should also install from here by default.
 //      "${distro_id}ESM:${distro_codename}";
 //      "${distro_id}:${distro_codename}-updates";
 //      "${distro_id}:${distro_codename}-proposed";
 //      "${distro_id}:${distro_codename}-backports";
 };

Esto activa las actualizaciones automáticas para las actualizaciones de seguridad, aún cuando puede activarlo para todo descomentando la primera línea.

Para activar los reinicios automáticos, descomente esta línea y cambie el valor a «verdadero»:

Unattended-Upgrade::Automatic-Reboot "true";

Para determinar una hora para reiniciar, descomente esta línea y cambie el valor a la hora que desee.

Unattended-Upgrade::Automatic-Reboot-Time "02:00";

La configuración predeterminada hará que su servidor se reinicie a las 2 a.m. si hay parches de seguridad que requieren un reinicio, aún cuando esto será algo ocasional y no debería ver que su servidor se reinicia todos los días. Asegúrese de que sus aplicaciones en ejecución estén configuradas para reiniciarse automáticamente al arrancar.

Alternativamente, unattended-upgrades se puede configurar para enviarle notificaciones por correo electrónico diciéndole que reinicie manualmente el servidor cuando sea necesario, lo que evitará reinicios inesperados.

Livepatch canónico

Canonical Livepatch es un servicio que parchea automáticamente su kernel sin requerir que su servidor se reinicie. No tiene costo para hasta tres máquinas, después de lo cual necesitará una Ventaja de Ubuntu suscripción para cada máquina.

Asegúrese de que su sistema esté actualizado e instale Livepatch a través de snap:

sudo snap install canonical-livepatch

A continuación, deberá obtener un token de Livepatch desde su sitio web. Una vez que lo tenga, puede ejecutar:

sudo canonical-livepatch enable TOKEN

Posteriormente, verifique que esté funcionando correctamente con:

sudo canonical-livepatch status --verbose

Tenga en cuenta que la imagen predeterminada de Ubuntu en AWS no es compatible en este momento con livepatch, debido a que AWS utiliza su propio núcleo para un rendimiento extra. Tendría que volver al kernel anterior o instalar una versión distinto de Ubuntu si quisiera utilizar Livepatch.

Suscribite a nuestro Newsletter

No te enviaremos correo SPAM. Lo odiamos tanto como tú.