Manter seu servidor atualizado é muito importante. O software Linux e Linux é constantemente atualizado, tanto para receber atualizações de segurança quanto para corrigir bugs. A correção rápida ajuda você a evitar se tornar uma vítima de erros de dia zero.
Gerenciamento de patches
O gerenciamento de patches se refere às suas práticas para atualizar servidores. Um bom gerenciamento de patches significa que todos os seus servidores são atualizados rapidamente em resposta aos patches de segurança, tanto no kernel e sistema Linux quanto no software que você está usando.
A segurança começa com o administrador do sistema; deve realizar auditorias periódicas de segurança e atualização, e mantenha-se atualizado sobre as informações de segurança. A maioria das distribuições do Linux terá listas de discussão de segurança nas quais você pode se inscrever.. Eles enviarão notificações sempre que novos patches estiverem disponíveis. Outro software que você usa pode ter suas próprias listas de discussão ou exigir que você faça um acompanhamento manual, então você pode escolher quando uma atualização é necessária.
O tempo de atividade é essencial, mas se sua rede é tolerante a falhas (Em outras palavras, tem mais de um servidor), reiniciá-los um ao mesmo tempo não deve ser um obstáculo. A maioria dos patches para o software da área do usuário não requer uma reinicialização completa do sistema, mesmo se um serviço em execução precisar ser atualizado, geralmente terá que ser reiniciado. Para algo como nginx, isso pode ser bom, mas certos serviços, como MySQL, demoram muito para reiniciar devido a ter que desligar e reiniciar corretamente. Você deve evitar reiniciá-los tanto quanto possível, especialmente se você não tiver servidores de failover.
Atualização manual e regular
Para muitas pessoas, um simples comando de atualização e atualização fará o trabalho de atualização do servidor:
sudo apt-get update && sudo apt-get upgrade
a apt-get update O comando atualiza a lista de pacotes e obtém as últimas informações sobre as últimas versões dos pacotes que você instalou. a apt-get upgrade O comando irá instalar novas versões do software que você já instalou.
Isso não instalará novas dependências e não instalará algumas atualizações do sistema. Para isso, vai precisar correr:
sudo apt-get dist-upgrade
que fará uma atualização muito mais completa. Qualquer um dos comandos irá instalar todas as novas atualizações e imprimir uma lista de mudanças. Alguns serviços podem exigir a reinicialização desse serviço para aplicar as alterações, mas regularmente você não terá que reiniciar todo o sistema a menos que dist-upgrade o precisa.
Este procedimento é fácil de fazer se você tiver apenas alguns servidores, mas o gerenciamento manual de patches leva mais tempo à medida que você adiciona mais servidores. Própria da Canonical Cenário O serviço permitirá que você gerencie e atualize suas máquinas por meio de uma interface da web, mas é apenas sem custos para 10 máquinas, após o qual você precisa de uma assinatura do Ubuntu Advantage. Se sua rede é particularmente complicada, você pode querer procurar um serviço de orquestração como Fantoche.
Patches de segurança automáticos com atualizações autônomas
a unattended-upgrades O utilitário aplicará automaticamente certas atualizações de segurança importantes. Você pode reiniciar o servidor automaticamente, que se puede configurar a una hora determinada para que no se caiga a la mitad del día.
Instalar no pc unattended-upgrades a partir de apt, aún cuando puede que ya esté en su sistema.
sudo apt update
sudo apt install unattended-upgrades
Esto creará un archivo de configuración en /etc/apt/apt.conf.d/50unattended-upgrades, que querrá abrir en su editor de texto favorito.
Asegúrese de que la configuración sea la próxima, sin comentar la línea “segurança”:
Unattended-Upgrade::Allowed-Origins { // "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; // Extended Security Maintenance; doesn't necessarily exist for // cada versão e este sistema pode não tê-lo instalado, mas se // acessível, a política de atualizações é tal que atualizações autônomas // também deve instalar aqui por padrão. // "${distro_id}ESM:${distro_codename}"; // "${distro_id}:${distro_codename}-atualizações"; // "${distro_id}:${distro_codename}-proposto"; // "${distro_id}:${distro_codename}-backports"; };
Isso permite atualizações automáticas para atualizações de segurança, mesmo que você possa ativá-lo para tudo, removendo o comentário da primeira linha.
Para habilitar reinicializações automáticas, descomente esta línea y cambie el valor a “verdade”:
Unattended-Upgrade::Reinicialização automática "verdade";
Para determinar uma hora para reiniciar, descomente esta linha e mude o valor para o horário que você quiser.
Unattended-Upgrade::Tempo de reinicialização automática "02:00";
As configurações padrão farão com que o seu servidor reinicie às 2 sou. se houver patches de segurança que exigem uma reinicialização, mesmo que isso seja uma coisa ocasional e você não deva ver o seu servidor reiniciar todos os dias. Certifique-se de que seus aplicativos em execução estejam configurados para reiniciar automaticamente na inicialização.
alternativamente, unattended-upgrades pode ser configurado para enviar notificações por e-mail para você dizendo para você reiniciar manualmente o servidor quando necessário, o que evitará reinicializações inesperadas.
Livepatch canônico
Canonical Livepatch é um serviço que corrige automaticamente o seu kernel sem exigir que o servidor reinicie. Sem custo para até três máquinas, depois do qual você precisará de um Ubuntu Advantage assinatura para cada máquina.
Certifique-se de que seu sistema está atualizado e instale o Livepatch via snap:
sudo snap install canonical-livepatch
A seguir, você precisará obter um token Livepatch do seu site. Assim que eu tiver, pode executar:
sudo canonical-livepatch ativar TOKEN
Subseqüentemente, verifique se está funcionando corretamente com:
sudo canonical-livepatch status --verbose
Observe que a imagem padrão do Ubuntu no AWS não é atualmente compatível com o livepatch, porque a AWS usa seu próprio núcleo para desempenho extra. Você teria que reverter para o kernel anterior ou instalar uma versão diferente do Ubuntu se quisesse usar o Livepatch.
