Maintenir votre serveur à jour est très important. Les logiciels Linux et Linux sont constamment corrigés, à la fois pour recevoir des mises à jour de sécurité ainsi que des corrections de bogues. L'application rapide des correctifs vous permet d'éviter d'être victime de bugs zero-day.
Gestion des correctifs
La gestion des correctifs fait référence à vos pratiques de mise à jour les serveurs. Une bonne gestion des correctifs signifie que tous vos serveurs sont mis à jour rapidement en réponse aux correctifs de sécurité, à la fois dans le noyau et le système Linux ainsi que dans les logiciels que vous utilisez.
La sécurité commence avec l'administrateur système ; vous devez effectuer des audits de sécurité et de mise à jour réguliers et vous tenir au courant des informations de sécurité. La plupart des distributions Linux auront des listes de diffusion de sécurité auxquelles vous pouvez vous abonner. Ceux-ci vous enverront des notifications chaque fois que de nouveaux correctifs seront disponibles. D'autres logiciels que vous utilisez peuvent avoir leurs propres listes de diffusion ou vous obliger à effectuer un suivi manuel, afin que vous puissiez décider quand une mise à jour est nécessaire.
La disponibilité est importante, mais si votre réseau est tolérant aux pannes (c'est-à-dire que vous avez plusieurs serveurs), les redémarrer un à la fois ne devrait pas poser de problème. La plupart des correctifs pour les logiciels utilisateur ne vous obligeront pas à redémarrer l'ensemble du système, mais si un service en cours d'exécution doit être mis à jour, il devra généralement être redémarré. Pour quelque chose comme nginx, cela peut aller, mais certains services, comme MySQL, prennent beaucoup de temps à redémarrer car ils doivent être arrêtés et redémarrés correctement. Vous devez éviter de les redémarrer autant que possible, surtout si vous n'avez pas de serveurs de basculement.
Mise à niveau régulière et manuelle
Pour de nombreuses personnes, une simple mise à jour & La commande upgrade fera le travail de mise à jour du serveur :
sudo apt-get update && publicité sudo apt-get upgrade
La commande apt-get update met à jour la liste des packages et récupère les dernières informations sur les dernières versions des packages que vous avez installés. La commande apt-get upgrade installe les nouvelles versions des logiciels que vous avez déjà installés.
Cela n'installera pas de nouvelles dépendances et n'installera pas certaines mises à jour du système. Pour cela, vous devrez exécuter :
sudo apt-get dist-upgrade
qui effectuera une mise à niveau beaucoup plus approfondie. L'une ou l'autre commande installera toutes les nouvelles mises à jour et imprimera une liste de ce qui a changé. Certains services peuvent nécessiter un redémarrage de ce service pour appliquer les modifications, mais vous n'aurez généralement pas besoin de redémarrer l'ensemble du système, sauf si la mise à niveau de dist l'exige.
Ce processus est facile à réaliser si vous n'avez que quelques serveurs, mais la gestion manuelle des correctifs nécessite plus de temps à mesure que vous ajoutez plus de serveurs. Le service Landscape de Canonical vous permettra de gérer et de mettre à jour vos machines via une interface Web, mais il n'est gratuit que pour 10 machines, après quoi il nécessite un abonnement Ubuntu Advantage. Si votre réseau est particulièrement compliqué, vous pouvez envisager un service d'orchestration comme Puppet.
Correctifs de sécurité automatiques avec mises à niveau sans surveillance
< p>L'utilitaire de mise à niveau sans surveillance appliquera automatiquement certaines mises à niveau de sécurité importantes. Il peut redémarrer le serveur automatiquement, ce qui peut être configuré à une certaine heure afin qu'il ne tombe pas en panne au milieu de la journée.
Installez les mises à niveau sans surveillance à partir d'apt, même si cela peut déjà être le cas. sur votre système.
sudo apt update sudo apt install unattended-upgrades Advertisement
Cela créera un fichier de configuration dans /etc/apt/apt.conf.d/50unattended-upgrades, que vous ; vous voudrez l'ouvrir dans votre éditeur de texte préféré.
Assurez-vous que la configuration est la suivante, avec le “security” ligne non commentée :
Unattended-Upgrade::Allowed-Origins { //”${distro_id}:${distro_codename}” ; “${distro_id}:${distro_codename}-security” ; //Maintenance de sécurité étendue ; n'existe pas nécessairement pour //chaque version et ce système peut ne pas l'avoir installé, mais si //disponible, la politique de mise à jour est telle que les mises à jour sans surveillance //doivent également être installées à partir d'ici par défaut. //”${distro_id}ESM:${distro_codename}” ; //”${distro_id}:${distro_codename}-mises à jour” ; //”${distro_id}:${distro_codename}-proposed” ; //”${distro_id}:${distro_codename}-backports” ; } ;
Cela active les mises à jour automatiques pour les mises à jour de sécurité, bien que vous puissiez les activer pour tout en décommentant la première ligne.
Pour activer les redémarrages automatiques, décommentez cette ligne et remplacez la valeur par “ ;true”:
Unattended-Upgrade::Automatic-Reboot “true”;
Pour définir une heure de redémarrage, décommentez cette ligne et modifiez la valeur à l'heure que vous souhaitez.
Unattended-Upgrade::Automatic-Reboot-Time “02:00”;
Les paramètres par défaut feront redémarrer votre serveur à 2 heures du matin s'il existe des correctifs de sécurité nécessitant un redémarrage, bien que ce soit une chose occasionnelle, et vous ne devriez pas voir votre serveur redémarrer tous les jours. Assurez-vous que vos applications en cours d'exécution sont configurées pour redémarrer automatiquement au démarrage.
Publicité
Alternativement, les mises à niveau sans surveillance peuvent être configurées pour vous envoyer des notifications par e-mail vous demandant de redémarrer manuellement le serveur lorsque cela est nécessaire, ce qui empêchera les redémarrages inattendus.
Canonical Livepatch
Canonical Livepatch est un service qui corrige automatiquement votre noyau sans avoir à redémarrer votre serveur. C'est gratuit pour un maximum de trois machines, après quoi vous aurez besoin d'un abonnement Ubuntu Advantage pour chaque machine.
Assurez-vous que votre système est à jour et installez Livepatch via snap :< /p> sudo snap install canonical-livepatch
Ensuite, vous devrez récupérer un jeton Livepatch sur leur site Web. Une fois que vous l'avez, vous pouvez exécuter :
sudo canonical-livepatch enable TOKEN
Ensuite, vérifiez qu'il fonctionne correctement avec :
sudo canonical-livepatch status –verbose
Notez que le L'image Ubuntu par défaut sur AWS ne prend actuellement pas en charge livepatch, car AWS utilise son propre noyau pour des performances supplémentaires. Vous devrez revenir à l'ancien noyau ou installer une version différente d'Ubuntu si vous souhaitez utiliser Livepatch.