Я только научился управлять сервером и запустил свой первый VPS. Как вы можете подумать, это "персональный" обучающий сервер, который не работает ни для одной компании.

Я продолжаю слышать о "исправлении безопасности" и много разговоров о том, как трудно, чтобы некоторые люди не делали этого, предпочитая другие аспекты безопасности.

Я не могу не думать, что я делаю что-то не так, просто активируя брандмауэр и блокируя все порты, кроме тех, которые я использую, и просто инициируя " apt-get update && apt-get upgrade -y && apt-get dist-upgrade -y "каждый сейчас и потом. (Примечание: у меня есть «дистрибутив GNU/Linux дистрибутива»)

Я знаю, насколько невежественным я сейчас звучу, но разве это не "исправление"? Если нет, то, пожалуйста, объясните концепцию "исправлений безопасности", цели, которые мы хотим достичь с помощью исправлений, некоторые методы исправлений в качестве примеров и некоторые трудности, с которыми сталкиваются системные администраторы в качестве примеров.

Примечание. Чтобы ограничить сферу этого вопроса, я специально спрашиваю о концепции и практике "исправлений безопасности", а не о более широком "усилении защиты систем".

3 ответа3

4

Сам патчинг - это просто модификация системы для определенной цели (например, игровой патч для увеличения или уменьшения сложности). Это может быть чем-то таким же тривиальным, как замена нескольких строк в скрипте на замену целых программных компонентов. Мнение Википедии немного отличается:

Патч - это часть программного обеспечения, предназначенная для обновления компьютерной программы или поддерживающих ее данных, для ее исправления или улучшения. [1] Это включает исправление уязвимостей безопасности [1] и других ошибок, с такими исправлениями, обычно называемыми исправлениями или исправлениями ошибок, [2] и улучшение удобства использования или производительности. Несмотря на то, что предназначенные для устранения проблем, плохо разработанные патчи могут иногда создавать новые проблемы (см. Регрессии программного обеспечения)

https://en.wikipedia.org/wiki/Patch_%28computing%29

Что касается исправлений безопасности, это обычно делается на уровне программного обеспечения. Разработчик исправляет уязвимости своего программного обеспечения, новая версия входит в экосистему программного обеспечения, где:

  • Packagers и др. Готовят его для своих дистрибутивов, и в конечном итоге он возвращается к пользователю (обычно загружается через менеджер пакетов).
  • Загружается с сайта разработчика.
  • Он поставляется на носителе (или был когда-то давно).
  • Поставщик продукта, для которого он является компонентом, выпускает обновление любым из указанных выше способов.

В патчах, ориентированных на безопасность, цели довольно очевидны: безопасность. Другими словами, меньше подвигов для врага. Под врагом я имею в виду людей и вредоносное ПО. Как отмечено в комментарии Class Stack, скользящий релиз - ужасная идея для безопасности. С новыми функциями, приходят новые ошибки. Лучшее качество лучше сохранить для некритического использования (т. Е. Для домашнего игрового ПК, а не для сервера вашей компании). Поэтому я настоятельно рекомендую вам использовать ветку Debian Stable (я предполагаю, что вы используете какой-то дистрибутив, основанный на Testing/Sid). Ветви Debian работают так (слишком упрощенно):

  • Стабильный - был в Тестировании целую вечность, и с тех пор не было обнаружено никаких ошибок.
  • Тестирование - материал от Сида, который был протестирован и исправлен. Кажется, все работает, но никаких гарантий нет.
  • Сид - новомодные вещи, которые едва выползли из экспериментальной фазы. Это работает, но ожидайте неожиданного.

Что касается выполнения обновлений, я рекомендую следующее:

  • Всегда делайте apt-get update перед установкой нового программного обеспечения.
  • Проверьте доступные обновления, прежде чем делать их. Обновлять не нужно, если нет обновлений для системы безопасности или вам не нужна последняя версия программного обеспечения.
  • Вам не нужно делать dist-upgrade, если вы не обновляете всю систему до новой версии, например, wheezy до jessie. Вы не должны вводить эту команду слегка.

Что касается вашего текущего дистрибутива, если вы решите перейти на стабильный (что вам нужно), вам придется переустановить систему. Не пытайтесь все перепутать, откатиться или что-то в этом роде. Установка Debian довольно быстрая и безболезненная, даже с компакт-диска с установщиком.

Надеюсь, этот очень упрощенный обзор поможет вам понять основы. Я предлагаю вам прочитать больше на https://www.debian.org, поскольку объем этого вопроса может продолжать расти.

2

Поддерживать персональную систему в актуальном состоянии относительно легко: как вы говорите, обычно достаточно регулярно выполнять полное обновление системы через менеджер пакетов. (Обратите внимание, что многие люди не делают этого, однако.) Реальные проблемы возникают при большой производственной установке.

В корпоративном мире вы можете управлять сотнями компьютеров, а не только одним или двумя. На некоторых из этих систем установлено стороннее программное обеспечение, которое недоступно в репозиториях, и вы также можете компилировать собственное программное обеспечение, которое аналогично недоступно в репозиториях. Все это усложняет задачу определения того, какое программное обеспечение установлено в ваших системах, есть ли какие-либо уязвимости безопасности в известном установленном программном обеспечении и как распространять обновления по всему автопарку.

Кроме того, каждое обновление - это изменение, а изменение несет в себе риск. Хотя небольшое время простоя на вашем VPS вполне устраивает, в компании плохое обновление может стоить миллионы долларов. Таким образом, каждое обновление должно быть сначала проверено, чтобы убедиться, что все работает.

Давайте добавим к этому еще один уровень: исправления безопасности входят только в версию программного обеспечения, которую вы не можете запустить, потому что какое-то другое критически важное для бизнеса программное обеспечение не поддерживает новую версию. Теперь вы должны попытаться сделать бэкпорт для исправления безопасности в программном обеспечении, которое вы на самом деле не знаете (опасно!) в то же время заставляя поставщика обновлять свое программное обеспечение (что они, вероятно, сделают через 10 лет), предполагая, что они все еще существуют и уже не обанкротились.

Короче говоря, умножение масштаба и штрафов делает это намного более серьезной проблемой.

-1

Обновление Software или OS (операционной системы) - это обновление или исправление уязвимостей или ошибок. Это может повысить производительность системы или исправить такие ошибки, которые делают систему устойчивой от атак.

Некоторые плохо разработанные исправления могут иногда создавать новые проблемы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .