Как убедиться, что ваши серверы Ubuntu всегда исправлены — CloudSavvy IT

Поддержание вашего сервера в актуальном состоянии очень важно. Программное обеспечение для Linux и Linux постоянно обновляется как для получения обновлений безопасности, так и для исправления ошибок. Быстрое применение патчей поможет вам не стать жертвой ошибок нулевого дня.

Управление патчами

Управление исправлениями относится к вашей практике обновления серверов. Хорошее управление исправлениями означает, что все ваши серверы быстро обновляются в ответ на исправления безопасности, как в ядре и системе Linux, так и в используемом вами программном обеспечении.

Безопасность начинается с системного администратора; Вы должны регулярно проводить проверки безопасности и обновлений, а также регулярно обновлять информацию о безопасности. Большинство дистрибутивов Linux будут иметь списки рассылки по безопасности, на которые вы можете подписаться. Они будут отправлять вам уведомления при появлении новых исправлений. Другое программное обеспечение, которое вы используете, может иметь свои собственные списки рассылки или требовать, чтобы вы отслеживали вручную, чтобы вы могли решить, когда потребуется обновление.

Время работы важно, но если ваша сеть отказоустойчива (т. Е. У вас более одного сервера), перезапуск по одному за раз не должен быть проблемой. Большинство исправлений для пользовательского программного обеспечения не требуют перезапуска всей системы, хотя, если работающий сервис требует обновления, его обычно нужно перезапускать. Для чего-то вроде nginx это может быть хорошо, но некоторые службы, такие как MySQL, требуют много времени для перезапуска, потому что они должны быть закрыты и перезагружены изящно. Не следует перезапускать их как можно чаще, особенно если у вас нет отказоустойчивых серверов.

Регулярное, ручное обновление

Для многих людей простая команда update & upgrade выполнит работу по обновлению сервера:

sudo apt-get update && sudo apt-get upgrade

apt-get update Команда обновляет список пакетов и извлекает самую свежую информацию о последних версиях установленных вами пакетов. apt-get upgrade Команда установит новые версии программного обеспечения, которое вы уже установили.

Это не установит новые зависимости и не установит некоторые системные обновления. Для этого вам нужно запустить:

sudo apt-get dist-upgrade

который будет выполнять гораздо более тщательное обновление. Любая команда установит все новые обновления и распечатает список изменений. Некоторые службы могут потребовать перезапуска этой службы, чтобы применить изменения, но обычно вам не нужно перезагружать всю систему, если только dist-upgrade требует этого.

Этот процесс легко выполнить, если у вас всего несколько серверов, но ручное управление исправлениями требует больше времени при добавлении большего количества серверов. Собственный Canonical Пейзаж Сервис позволит вам управлять и обновлять ваши машины через веб-интерфейс, но он бесплатен только для 10 машин, после чего требуется подписка на Ubuntu Advantage. Если ваша сеть особенно сложна, вы можете посмотреть на сервис оркестровки, такой как Кукольный,

Автоматические патчи безопасности с автоматическим обновлением

unattended-upgrades Утилита автоматически применяет определенные важные обновления безопасности. Он может автоматически перезагружать сервер, который можно настроить на определенное время, чтобы он не выключился в середине дня.

устанавливать unattended-upgrades от aptхотя это может быть уже в вашей системе.

sudo apt update
sudo apt install unattended-upgrades

Это создаст файл конфигурации в /etc/apt/apt.conf.d/50unattended-upgrades, который вы хотите открыть в своем любимом текстовом редакторе.

Убедитесь, что конфигурация следующая, строка «безопасность» не закомментирована:

Unattended-Upgrade::Allowed-Origins {
 //      "${distro_id}:${distro_codename}";
         "${distro_id}:${distro_codename}-security";
         // Extended Security Maintenance; doesn't necessarily exist for
         // every release and this system may not have it installed, but if
         // available, the policy for updates is such that unattended-upgrades
         // should also install from here by default.
 //      "${distro_id}ESM:${distro_codename}";
 //      "${distro_id}:${distro_codename}-updates";
 //      "${distro_id}:${distro_codename}-proposed";
 //      "${distro_id}:${distro_codename}-backports";
 };

Это включает автоматические обновления для обновлений безопасности, хотя вы можете включить его для всего, раскомментировав первую строку.

Чтобы включить автоматическую перезагрузку, раскомментируйте эту строку и измените значение на «true»:

Unattended-Upgrade::Automatic-Reboot "true";

Чтобы установить время для перезагрузки, раскомментируйте эту строку и измените значение на любое другое время.

Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Настройки по умолчанию приведут к перезагрузке вашего сервера в 2 часа ночи, если есть исправления безопасности, требующие перезагрузки, хотя это будет случайным явлением, и вы не должны видеть перезагрузку вашего сервера каждый день. Убедитесь, что запущенные приложения настроены на автоматический перезапуск при загрузке.

С другой стороны, unattended-upgrades можно настроить на отправлять вам уведомления по электронной почте говорит вам, чтобы вручную перезагрузить сервер, когда это необходимо, что предотвратит неожиданные перезагрузки.

Канонический Livepatch

Canonical Livepatch — это сервис, который автоматически исправляет ядро, не требуя перезагрузки сервера. Это бесплатно для трех машин, после чего вам понадобится Ubuntu Advantage подписка на каждую машину.

Убедитесь, что ваша система обновлена ​​и установите Livepatch через snap:

sudo snap install canonical-livepatch

Далее вам нужно получить токен Livepatch с их сайта, Как только вы это сделаете, вы можете запустить:

sudo canonical-livepatch enable TOKEN

Затем проверьте, что он работает правильно с:

sudo canonical-livepatch status --verbose

Обратите внимание, что образ Ubuntu по умолчанию на AWS в настоящее время не поддерживает livepatch, поскольку AWS использует их собственное ядро для дополнительной производительности. Вам придется вернуться к старому ядру или установить другую версию Ubuntu, если вы хотите использовать Livepatch.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.