Come Rendere Sicuro il Vostro Ubuntu Server Sono Sempre Patchato

0
76

Mantenere il vostro server aggiornato è molto importante. Linux software è costantemente patch, sia per ricevere gli aggiornamenti di sicurezza nonché correzioni di bug. Rapidamente l’applicazione di patch consente di evitare di cadere vittima del giorno zero bug.

La Gestione Delle Patch

La gestione delle Patch si riferisce alle pratiche per l’aggiornamento dei server. Buona la gestione delle patch significa che tutti i server sono aggiornati rapidamente in risposta alle patch di sicurezza, sia nel kernel di Linux e del sistema così come il software che si sta utilizzando.

La sicurezza inizia con il sysadmin; si dovrebbe essere in esecuzione di periodici di sicurezza e di aggiornamento degli audit e di mantenere aggiornato su informazioni di sicurezza. La maggior parte delle distribuzioni Linux hanno liste di sicurezza è possibile iscriversi. Questi manderemo delle notifiche ogni volta che la nuova patch sono disponibili. Altri software che si utilizza può avere una propria mailing list o richiedere manualmente tenere traccia, in modo da poter decidere quando è necessario un aggiornamento.

Uptime è importante, ma se la rete è in fault-tolerant (cioè, si dispone di più server), riavviando di volta in volta, dovrebbe essere nessun problema. La maggior parte delle patch per userland software non richiede il riavvio di tutto il sistema, anche se un servizio in esecuzione ha bisogno di un aggiornamento, di solito deve essere riavviato. Per qualcosa come nginx che possono essere belle, ma alcuni servizi, come MySQL, prendere un lungo periodo di tempo per riavviare perché devono essere arrestato e riavviato normalmente. Si dovrebbe evitare il riavvio, per quanto possibile, soprattutto se non si hanno i server di failover.

Regolare Aggiornamento Manuale

Per molte persone, un semplice aggiornamento e potenziamento di comando farà il lavoro di aggiornamento del server:

sudo apt-get update && sudo apt-get upgrade

Apt-get update comando aggiorna la lista dei pacchetti, e raccoglie le informazioni più recenti sulle versioni più recenti dei pacchetti installati. Apt-get upgrade comando installa le nuove versioni del software è già stato installato.

Questo non è possibile installare nuove dipendenze, e non è possibile installare alcuni aggiornamenti di sistema. Per questo, avrete bisogno di eseguire:

sudo apt-get dist-upgrade

esecuzione di un molto più approfondita di aggiornamento. Comando installerà tutti i nuovi aggiornamenti e stampare un elenco di ciò che è cambiato. Alcuni servizi richiedono un riavvio del servizio per applicare le modifiche, ma non è di solito necessario riavviare l’intero sistema, a meno che il dist-upgrade richiede.

Questo processo è facile da fare se si hanno solo un paio di server, ma il manuale di gestione delle patch richiede più tempo in quanto è possibile aggiungere più server. Canonical proprio Paesaggio servizio ti permetterà di gestire e aggiornare le macchine attraverso un’interfaccia web, ma è gratuito solo per 10 macchine, dopo che esso richiede una Ubuntu Vantaggio di sottoscrizione. Se la rete è particolarmente complicato, si potrebbe desiderare di guardare in un’orchestrazione di servizio come Marionette.

Automatico le Patch di Sicurezza con unattended-upgrades

L’unattended-upgrades utilità di applicare automaticamente alcuni importanti aggiornamenti di sicurezza. È possibile riavviare il server automaticamente, che può essere configurato per un certo tempo in modo da non andare giù nel mezzo del giorno.

Installazione unattended-upgrades da apt, anche se potrebbe essere già sul vostro sistema.

sudo apt update
sudo apt install unattended-upgrades

Questo creerà un file di configurazione in /etc/apt/apt.conf.d/50unattended-gli aggiornamenti che si desidera aprire nel vostro editor di testo preferito.

Assicurarsi che la configurazione è la seguente, con la “sicurezza” riga commentata:

Automatica-Upgrade::Ammessi-Origini {
// “${distro_id}:${distro_codename}”;
“${distro_id}:${distro_codename}-sicurezza”;
// Extended Security di Manutenzione; non necessariamente esistere per
// ogni scatto, e questo sistema non è installato, ma se
// disponibili, i criteri per gli aggiornamenti è tale che unattended-upgrades
// dovrebbe installare anche da qui per impostazione predefinita.
// “${distro_id}ESM:${distro_codename}”;
// “${distro_id}:${distro_codename}-aggiornamenti”;
// “${distro_id}:${distro_codename}-proposta”;
// “${distro_id}:${distro_codename}-backports”;
};

Attiva gli aggiornamenti automatici per gli aggiornamenti di sicurezza, anche se si può attivare per tutto togliendo la prima linea.

Per attivare in automatico al riavvio, il commento di questa linea e modificare il valore “vero”:

Automatica-Upgrade::Automatico-Reboot “true”;

Per impostare un tempo di riavviare il commento di questa linea e modificare il valore per tutto il tempo che desideri.

Automatica-Upgrade::Automatico-Reboot-Time “02:00”;

Le impostazioni di default di fare il reboot del server alle 2 di notte se ci sono le patch di sicurezza che richiedono un riavvio, anche se questa sarà una cosa occasionale, e non si dovrebbe vedere il vostro server di riavviare ogni giorno. Assicurati che il tuo le applicazioni in esecuzione sono configurati per riavviare automaticamente all’avvio.

In alternativa, unattended-upgrades può essere configurato per inviare notifiche e-mail che ti dice di riavviare manualmente il server quando necessario, per evitare riavvii improvvisi.

Canonica Livepatch

Canonica Livepatch è un servizio che automaticamente le patch del kernel senza richiedere il server per il riavvio. È gratuito per un massimo di tre macchine, dopo di che avrete bisogno di un Ubuntu Vantaggio di sottoscrizione per ogni macchina.

Assicurarsi che il sistema è aggiornato e installare Livepatch attraverso batter d’occhio:

sudo batter d’occhio installare canonica-livepatch

A quel punto, avrai bisogno di prendere un Livepatch token dal loro sito web. Una volta installato, è possibile eseguire:

sudo canonica-livepatch attivare TOKEN

Quindi, controllare il corretto funzionamento con:

sudo canonica-livepatch stato –verbose

Nota che i di default di Ubuntu immagine su AWS attualmente non supporta livepatch, perché AWS utilizza un proprio kernel per prestazioni extra. Si dovrebbe tornare al vecchio kernel o installare un’altra versione di Ubuntu, se si voleva utilizzare Livepatch.