近期的勒索病毒事件可谓是影响广,规模大,是近年来为数不多的重大病毒事件之一。虽然事件在慢慢淡出人们的视野,但带给我们的思考却非常深远。软件不是我们编写的,我们决定不了代码的质量和成熟度,但是我们可以从运维的一个层面考虑问题:那就是补丁管理。
上周的社区交流活动“从勒索病毒事件探讨未来企业信息自动化建设之补丁管理”,获得了社区会员的广泛参与,大家积极讨论了目前在补丁管理这一块的企业现状和管理方式,深入讨论了企业如何更进一步在补丁管理方面加强:补丁更新的工具选择,补丁的更新基线,策略,周期以及在更新中的异常处理。现由社区专家董志卫整理活动中社区会员分享的干货知识点,并补充分享。(本次活动主要涉及OS补丁管理相关工组,至于业务系统补丁管理工作,后期再针对讨论。)
董志卫,精通Linux和AIX系统,深刻理解操作系统的内涵,对OraclRAC、WAS、Tivoli等技术也十分熟悉,具有丰富的运维实践经验。
.概念补丁是什么,来自百科的解释:
补丁是指衣服、被褥上为遮掩破洞而钉补上的小布块。现在也指对于大型软件系统(如微软操作系统)在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。就像衣服烂了就要打补丁一样,人编写程序不可能十全十美的,所以软件也免不了会出现BUG,而补丁是专门修复这些BUG做的因为原来发布的软件存在缺陷,发现之后另外编制一个小程序使其完善,这种小程序俗称补丁。
2.补丁更新现状补丁在系统软件运行的工作当中如此的重要,是不是我们现在的企业在实际运行中都能够严格的及时更新补丁呢?下面我们介绍一下目前有关补丁更新方面的主要的几类情况:
裸奔或者说几乎是裸奔
偶尔更新一次或者遇到重大补丁问题集中更新一次
只是更新与安全有关的补丁
更新内核补丁
更新所有的补丁
上面的是简单的分类,至于在企业内部真正执行的情况也不是完全按照一个标准和分类去执行的。企业的管理员大多数认为为系统打安全补丁还是需要的,是应该做到的工作;而对内核或系统升级,则一般是在有业务需求的时候才进行的。不过,即使仅仅是给系统打安全补丁,也没有那么简单,无论是Linux、Windows还是Unix,都有仅仅是打安全补丁就造成系统重启不正常的情况出现过。再到了系统需要升级的情况,也往往不仅仅是OS或应用升级那么简单。
.更新策略企业要提高IT架构的效率、安全性和对业务的贡献率,就必须首先解决补丁升级过程中的诸多问题。这些问题的解决都指向一点:制定并实施理想的补丁管理策略.
这里引用几个社区会员有关补丁更新的策略与考虑:
会员A:
.监控
2.检查与评估
.风险评估与测试
4.告示及时间表
5.部署
6.审核,评估以及验证
Windows建议你使用WindowsUpdatsDownloadr,该软件能给微软的所有产品快速地打补丁,一次即可将需要的各种补丁全部载下来,而且还能让你选择安装某个特定的补丁。
linux建议使用APT,APT使得零停机时间升级成为现实。使用Connctiva进行改装后的Dbian的apt软件包管理工具,它可以对RdHat的RPM格式进行管理。它可以为持续的安全升级提供一个非常好的机制。可以定时更新系统软件,弥补网络和系统的安全漏洞。Linux服务器运行的软件主要包括:Samba,Ftp,Tlnt,Ssh,Mysql,Php,Apach,Mozilla等,这些软件,大都是开源软件,而且都在不停升级,稳定版和测试版交替出现
会员B:
通过这次事件,我们也是重新思考的打补丁问题。由于我们有很多域外的机器,所以使用sccm去推送补丁部署上有一定麻烦,但是单纯通过wsus服务器配置自动更新又无法控制客户端的更新频率和重启情况,服务器倒是还好办,如果用户的终端机就比较麻烦。
后来经过思考,决定写了一个非常小的程序目的就是调用winapi去运行windowsupdat,然后通过zabbix和wsus配合去监控补丁的更新情况,并且也是通过zabbix远程发送命令下去开始执行更新。不知道最终实际效果怎么样,正在测试中。
会员C:
操作系统的补丁更新,最大的问题是对生产的影响较大,例如,内核的更新、glibc、opnssl的更新都需要重启服务器,这就会带来业务停机(大家不要跟我讨论互联网的分布式架构,传统企业中大部分业务系统还是单机或者HA模式在跑,再说了,就算是分布式架构,你试试所有服务器都重启一遍啥感受)。而一个关键的漏洞,例如脏牛、心脏滴血,都是需要更新这些包的。
就是这个原因,我们经常看到在很多客户机房里,、年的关键补丁迄今还没有进行更新,这样系统风险还是很大的,特别是对公众提供服务的服务器。
所以,近几年,LInux的内核热补丁技术开始发展,例如OraclLinux的KSplic,RdHatEntrprisLinux的KPatch。这些都可以不重启便给内核的运行态进行升级。
相比来说,OraclLinux的KSplic年头比较长,比较稳定,并且,和其他相比的最大优势就是,ksplic还能提供针对用户态关键程序的热补丁,例如我们所说到的opnssl,只有ksplic才能实现热补丁。其他的目前还不可以。
针对以上情况和会员的实际工作当中的补丁管理策略,基本上可以得到一下几个方面的内容:
()补丁是否需要安装
这个问题不能一概而论,尤其是对内提供服务,安全措施相对完善,系统和应用几乎不变的情况看下,不联外网的环境或者更新一次风险很大的老系统,不更新不升级不失为一种稳妥的办法,其他环境还是建议进行相关升级。
(2)更新的方式选择
对于大企业和小企业,补丁更新的方式是基本上认为是完全不同的,小企业由于没有技术储备,企业可能选择云的方式或者少量设备的场景,为了稳妥起见,打开自动升级定期更新就好,然而对于大企业来说这种方式往往是不可接受的,大企业都选择性的进行更新,更新选择更为细致和贴合企业需求。
()更新的频率
更新周期的大多回收补丁更新的周期和业务场景的限制,有一定规模的企业在业务是否繁忙,是否需要重启,更新时间窗口,每次更新内容大小,以及重要更新重要程度几个方面做参考制定最适合企业自身的策略。
(4)更新工具的选择
对自动化程度要求较高的企业大多对会选择自成型产品或工具配合系统独有的补丁安装工具,批量灵活部署补丁,对于中小企业大多会采用一款产品进行综合的补丁管理,但是时候由于产品兼容性或灵活性的方面会选择,到2种工具配合完成综合部署。
比如很多中小企业选择使用60作为补丁管理工具来管理windows服务器,简单高效。
(5)基础设施支持
对于打补丁异常问题,大企业往往有比较完善的基础平台环境支撑,能够在应用高可用,设备冗余和者恢复重建方面相对其他企业做的充分,从而消除和减小由于异常所带来的影响。
每个企业的情况都有自己的特点,根据实际情况进行相关策略的设定和执行,但是可以参考同类行业的执行标准和相应的补丁管理流程。
4.工具选择针对企业当中众多的操作系统版本,补丁管理工具的选择是否合适再很大程度上影响着补丁管理和更新的效果,那么下面我们就针对目前市场上主流的补丁更新解决方案进行一个梳理。
这里我们按操作系统来进行梳理,其中包括了商业产品或系统独有的补丁更新方法。
同时我们在这里也介绍一些商业和开源产品:sccm,60,ibmndpointmt,KPatch,KSplic,ansibl,puppt,也有配合脚本完成的补丁更新等我们的会员在补丁管理方面分享了很多工具,并且突出强调了在补丁管理当中应该北京哪里治疗白癜风效果最好北京白癜风治疗最新方法
转载请注明:http://www.wangguoqiangq.com/sglbwh/2046.html
