Sho*_*vas 4 linux redhat centos
我订阅了 CentOS-announce 邮件列表,并阅读了各种严重性标签的定义,例如严重、重要、中等、低、错误修复等,但我仍然不清楚真正需要做什么什么可以等待(因为我需要证明中断我们的常规工作以获取更新的合理性)。
到目前为止,我已尝试尽快在我们的生产环境中应用关键更新。
应用这些更新的正常时间表是什么?它们发生得如此频繁,显然我们无法快速应用它们,因为它们需要进行测试以确保它们没有破坏我们的系统。
就上下文而言,我们主要运行一个网站,系统上没有额外的用户,所以我通常不会像担心远程漏洞那样担心“本地漏洞”。但我觉得我对如何最好地应用这些更新仍然一无所知。
谢谢,
Mic*_*ton 10
我为不同的客户管理许多不同的网站,这通常是我所做的。
首先,安全更新的首要任务应该是Web 应用程序本身。绝大多数攻击将针对您的网站和运行它的代码,这需要确保安全。如果您使用现成的 Web 应用程序,这是我什至会考虑自动更新的地方,但在任何情况下,我都不会让 WordPress 或 Drupal 之类的安全更新在测试之前超过 24 小时,而且很可能推出它。
如果您的 Web 应用程序是自定义构建的,请确保您的开发人员始终关注安全问题,无论您可以这样做到什么程度。在这种情况下,您的组织应该进行 DevOps,以确保 Web 开发人员和 IT 能够很好地合作并及时解决问题。
在那之后,我考虑的下一个关键更新是那些“病毒式传播”并且您在国家新闻中听到的更新,例如 Heartbleed、POODLE 等,以及关键路径中任何内容的更新,例如 nginx 和 PHP Drupal 和 WordPress 网站。我会尽快应用这些更新。我也在上游软件包的邮件列表中(例如,我订阅了 openssl-announce),以便我尽快收到有关真正重要事情的通知。
接下来,我每月对每个面向公众的服务器(Web 前端、负载平衡器等)和每个支持服务器(数据库等)应用更新。这包括任何剩余的安全和错误修复更新。在许多组织中,这是全面每季度完成一次,但我认为公共网站,尤其是那些从事电子商务的网站,不应让其腐烂太久。我几乎总是在星期二微软补丁之后的周末这样做,这几乎总是有足够的时间听到微软更新的坏消息(虽然我主要运行 Linux 系统,但有一个周末更容易更新所有内容)。
最后,我坐下来,放松一下,等着看有什么突破。尽管您尽最大努力测试更新,但最终还是会出错。看你的监控系统。如果没有被监控的东西坏了,修复它,然后开始监控它。准备回滚(yum history undo很有帮助)。