Немає нічого особливого у виправлення Ubuntu проти Windows, RHEL, CentOS, SuSE, debian тощо.
Основний стан розуму ви повинні бути в при проектуванні процедури патча, щоб припустити , що - то буде ламатися.
Деякі основні вказівки, які я, як правило, використовую під час проектування налаштування патчу:
- Завжди використовуйте локальну систему, щоб внутрішньо централізувати свою мережу, звідки встановлені виправлення
Це може включати використання WSUS або дзеркал <your_os_here>
внутрішньої машини управління патчем. Переважно той, який може здійснювати централізований запит та повідомляти про стан патчів, встановлених на ваших окремих машинах.
- Попередньо встановіть установки - коли це можливо - на машинах.
Коли це можливо, у разі виходу патчів центральний сервер копіює їх на окремі машини. Це дійсно просто економія часу, так що вам не доведеться чекати, коли вони завантажуються та встановлюються, вам просто потрібно розпочати встановлення під час вікна патчу.
- Отримайте вікно відключення для встановлення патчів, можливо, вам доведеться перезавантажити, і щось, ймовірно, зламається. Переконайтеся, що власники пакетів цих систем знають, що розгортаються патчі. Будьте готові до того, що "це" не працює.
Відповідно до моєї базової теорії, що патчі порушують речі, переконайтеся, що у вас є вікно відключення, щоб застосувати патчі досить довго, щоб усунути критичні проблеми та, можливо, відкотити патч назад. Вам не потрібно, щоб люди сиділи там на тестуванні після виправлень. Особисто я дуже покладаюся на мої системи моніторингу, щоб дати мені знати, що все працює на мінімальному рівні, на якому ми можемо піти. Але також будьте готові до невеликих нагальних питань, які потрібно викликати, коли люди приступають до роботи. У вас завжди повинен бути хтось, хто готовий відповісти на телефон - краще не той хлопець, який був до 3 ранку, виправляючи коробки.
- максимально автоматизувати
Як і все, що стосується ІТ, сценарію, сценарію, а потім сценарій ще трохи. Сценарій завантаження пакета, запуск установки, дзеркало. В основному ви хочете перетворити патч-вікна в завдання дитячого сидіння, яке просто потребує людини там, якщо щось зламається.
- Майте кілька вікон щомісяця
Це дає вам можливість не виправляти деякі сервери, якщо з будь-якої причини вони не можуть бути зафіксовані в "призначену ніч". Якщо ви не можете зробити їх у ніч 1, вимагайте, щоб вони були безкоштовними в ніч 2. Також дозволяють вам зберігати кількість серверів, зафіксованих одночасно.
Найголовніше бути в курсі патчів! Якщо ви не знайдете себе, вам доведеться робити дуже великі 10-годинні виправлення вікон просто для того, щоб повернутися до місця, де вас наздогнали. Представляємо ще більше моментів, де все може піти не так, і зробити пошук того, який патч спричинив і видавати набагато складніше.
Інша частина цієї проблеми полягає в тому, щоб не відставати від патчів - це добре, але патчі випускаються майже щодня. Скільки запланованих відключень потрібно зробити, якщо кожен день є новий виправлення безпеки?
Виправлення сервера один раз на місяць або один раз на другий місяць - IMHO - дуже досяжна і прийнятна мета. Більше того, і добре, що ви постійно будете виправляти сервери, набагато менше, і ви починаєте потрапляти в ситуації, коли у вас є сотні патчів, які потрібно застосувати на одному сервері.
На скільки вікон потрібно на місяць? Це залежить від вашого оточення. Скільки у вас серверів? Який необхідний час для ваших охоронців?
Менше середовище, розміром 9x5, можливо, може піти з одного вікна виправлення на місяць. Для великих магазинів 24x7 може знадобитися два. Дуже великим розміром 24x7x365 може знадобитися прокатне вікно щотижня, щоб кожен тиждень виправляли різний набір серверів.
Знайдіть частоту, яка працює для вас та вашого оточення.
Одне, що потрібно пам’ятати, - це те, що на сьогоднішній день на 100% неможливо досягти мети - не дозволяйте вашому відділу безпеки сказати інше. Робіть все можливе, не відставайте занадто далеко.