Het houden van uw server up-to-date is erg belangrijk. Linux en Linux software wordt voortdurend voorzien, zowel voor het ontvangen van beveiligingsupdates zo goed als bug fixes. Snel toepassen van patches kunt u voorkomen dat u slachtoffer wordt van zero-day bugs.
Patch Management
Patch management verwijst naar uw practices voor het updaten van servers. Patch management betekent dat alle servers zijn bijgewerkt snel in reactie op beveiligings-patches, zowel in de Linux-kernel en het systeem en de software die u gebruikt.
Beveiliging begint met de systeembeheerder; je moet het regelmatig uitvoeren van beveiligings-en update-audits, en up to date te houden op de beveiliging van informatie. De meeste Linux distributies hebben security mailing lijsten die u zich kunt abonneren. Deze stuurt u meldingen wanneer er nieuwe patches zijn beschikbaar. Andere software die u gebruikt, kunnen hun eigen mailinglijsten of vereisen dat u handmatig bijhouden, zodat u kunt beslissen wanneer er een update nodig is.
Uptime is belangrijk, maar als uw netwerk is fout-tolerant (d.w.z. u hebt meer dan één server) opnieuw op te starten door ze een voor een moet geen probleem zijn. De meeste patches naar userland software hoeft u geen herstart van het systeem als geheel, maar als een lopende dienst moet worden bijgewerkt, zal het meestal opnieuw te worden opgestart. Voor iets als nginx dat kan fijn zijn, maar bepaalde diensten, zoals MySQL, nemen een lange tijd opnieuw op te starten, omdat ze moeten worden afgesloten en opnieuw opgestart zonder problemen. U moet voorkomen dat opnieuw zoveel mogelijk, vooral als u geen failover servers.
Regelmatige, Handmatig Upgraden
Voor veel mensen is een eenvoudige update & upgrade commando zal het werk van het actualiseren van de server:
sudo apt-get update && sudo apt-get upgrade
De apt-get update-opdracht werkt de pakket lijst, en haalt de meest recente informatie over de nieuwste versies van de pakketten die u hebt geïnstalleerd. De apt-get upgrade commando installeert nieuwe versies van software die u al hebt geïnstalleerd.
Dit zal niet het installeren van de nieuwe afhankelijkheden, en het zal niet de installatie van een aantal updates van het systeem. Voor dat, moet u het volgende uitvoeren:
sudo apt-get dist-upgrade
die zal het uitvoeren van een veel meer grondige upgrade. Beide commando installeert alle nieuwe updates en afdrukken van een lijst met wat er is veranderd. Sommige diensten vereisen een herstart van de dienst om de wijzigingen toe te passen, maar je meestal niet opnieuw op te starten het hele systeem, tenzij dist-upgrade is vereist.
Dit proces is eenvoudig te doen als je alleen maar een paar servers, maar de manual patch management meer tijd nodig als u het toevoegen van meer servers. Canonical ‘ s eigen Landschap service zal u toelaten om te beheren en updaten van uw machines via een web-interface, maar is alleen gratis voor 10 machines, waarna het vereist een Ubuntu Voordeel abonnement. Als uw netwerk is bijzonder ingewikkeld, wilt u misschien op zoek naar een orchestration service als Marionet.
Automatische Beveiliging Patches met unattended-upgrades
De unattended-upgrades van het programma zal automatisch van toepassing zijn op bepaalde belangrijke upgrades en security. Het kan een reboot van de server automatisch, die kan worden geconfigureerd voor een bepaalde tijd, dus het zal niet naar beneden in het midden van de dag.
Install unattended-upgrades van apt, hoewel het misschien al op uw systeem.
sudo apt update
sudo apt-install unattended-upgrades
Dit zal het maken van een configuratie bestand in de /etc/apt/apt.conf.d/50unattended-upgrades, die je wilt openen in je favoriete tekst-editor.
Zorg ervoor dat de configuratie is als volgt, met de “veiligheid” – regel uitgecommentarieerd:
Zonder Toezicht-Upgrade::Allowed-De Oorsprong {
// “${distro_id}:${distro_codename}”;
“${distro_id}:${distro_codename}-beveiliging”;
// Extended Security Onderhoud; hoeft niet per se te bestaan voor
// elke release en dit systeem niet hebben geïnstalleerd, maar als
// beschikbaar is, wordt het beleid voor updates is zodanig dat zonder toezicht-upgrades
// moet ook installeren vanaf hier standaard.
// “${distro_id}ESM:${distro_codename}”;
// “${distro_id}:${distro_codename}-updates’;
// “${distro_id}:${distro_codename}-voorgestelde”;
// “${distro_id}:${distro_codename}-backports”;
};
Deze schakelt u automatische updates voor security updates, maar je kunt inschakelen voor alles door voeg de eerste lijn.
Als u automatische herstart, verwijder deze regel en verander de waarde naar “de ware”:
Zonder toezicht-Upgrade::Automatisch opnieuw opstarten “true”;
Een in te stellen tijd te rebooten, verwijder deze regel en verander de waarde naar welke tijd je wilt.
Zonder Toezicht-Upgrade::Automatisch-Reboot-Tijd “02:00”;
De standaard instellingen zullen maken van uw server herstarten om 2 UUR als er security patches die een reboot, maar dit zal een incidentele zaak, en je moet het niet zien van uw server herstarten van elke dag. Zorg ervoor dat uw actieve toepassingen worden geconfigureerd om automatisch te starten bij het booten.
U kunt ook zonder toezicht-upgrades kunnen worden geconfigureerd voor het verzenden van je email meldingen te vertellen dat u handmatig start de server opnieuw wanneer het nodig is, die zal voorkomen dat onverwachte reboots.
Canonieke Livepatch
Canonieke Livepatch is een service die automatisch patches aan de kernel zonder dat uw server opnieuw op te starten. Het is gratis voor maximaal drie machines zijn, na dat je nodig hebt een Ubuntu Voordeel abonnement voor elke machine.
Zorg ervoor dat uw systeem up-to-date en installeren Livepatch door middel van snap:
sudo snap installeren canonical-livepatch
Volgende, je nodig hebt om te grijpen een Livepatch token van hun website. Zodra je het hebt, u kunt uitvoeren:
sudo canonical-livepatch inschakelen TOKEN
Dan, controleer of het goed werkt met:
sudo canonical-livepatch status –verbose
Merk op dat de standaard Ubuntu beeld op AWS biedt momenteel geen ondersteuning voor livepatch, omdat AWS maakt gebruik van een eigen kernel voor extra prestaties. U zou hebben om terug te keren naar de oude kernel of installeer een andere versie van Ubuntu als je wilt gebruik maken van Livepatch.