Como ter certeza de que seus servidores Ubuntu estão sempre corrigidos

Manter seu servidor atualizado é muito importante. O software Linux e Linux está constantemente sendo corrigido, tanto para receber atualizações de segurança quanto para correções de bugs. A aplicação rápida de patches ajuda a evitar ser vítima de bugs de dia zero.

Gerenciamento de patches

O gerenciamento de patches se refere às suas práticas para atualizar servidores. Um bom gerenciamento de patches significa que todos os seus servidores são atualizados rapidamente em resposta aos patches de segurança, tanto no kernel Linux e no sistema quanto no software que você está usando.

A segurança começa com o sysadmin; você deve realizar auditorias regulares de segurança e atualização, e se manter atualizado sobre as informações de segurança. A maioria das distribuições do Linux terá listas de discussão de segurança nas quais você pode se inscrever. Eles enviarão notificações sempre que novos patches estiverem disponíveis. Outro software que você usa pode ter suas próprias listas de e-mail ou exigir que você acompanhe manualmente, para que possa decidir quando uma atualização é necessária.

O tempo de atividade é importante, mas se sua rede for tolerante a falhas (ou seja, você tem mais de um servidor), reiniciá-los um por vez não deve ser problema. A maioria dos patches para o software do usuário não exigirá que você reinicie todo o sistema, embora, se um serviço em execução precisar de atualização, geralmente será necessário reiniciá-lo. Para algo como o nginx, isso pode ser bom, mas certos serviços, como o MySQL, demoram muito para reiniciar porque precisam ser encerrados e reinicializados normalmente. Você deve evitar reiniciá-los tanto quanto possível, especialmente se você não tiver servidores de failover.

Atualização manual regular

Para muitas pessoas, um simples update & O comando de atualização fará o trabalho de atualização do servidor:

 sudo apt-get update & & sudo apt-get upgrade 

Publicidade

O comando apt-get update atualiza a lista de pacotes e busca as informações mais recentes sobre as versões mais recentes dos pacotes que você instalou. O comando apt-get upgrade instalará novas versões do software que você já instalou.

Isso não instalará novas dependências e não instalará algumas atualizações do sistema. Para isso, você precisará executar:

 sudo apt-get dist-upgrade 

que fará uma atualização muito mais completa. Qualquer um dos comandos instalará todas as novas atualizações e imprimirá uma lista do que foi alterado. Alguns serviços podem exigir a reinicialização desse serviço para aplicar as alterações, mas normalmente você não precisará reiniciar todo o sistema, a menos que o dist-upgrade exija.

Este processo é fácil de fazer se você tiver apenas alguns servidores, mas o gerenciamento de patch manual requer mais tempo à medida que você adiciona mais servidores. O serviço Landscape da Canonical permite que você gerencie e atualize suas máquinas por meio de uma interface web, mas só é gratuito para 10 máquinas, após o que é necessária uma assinatura do Ubuntu Advantage. Se sua rede for particularmente complicada, convém procurar um serviço de orquestração como o Puppet.

Patches de segurança automáticos com atualizações autônomas

O utilitário unattended-upgrades aplicará automaticamente certas atualizações de segurança importantes. Ele pode reinicializar o servidor automaticamente, que pode ser configurado para um determinado horário para que não caia no meio do dia.

Instale atualizações autônomas do apt, embora já possa estar em seu sistema.

 sudo apt update sudo apt install unattended-upgrades 

Publicidade

Isso criará um arquivo de configuração em /etc/apt/apt. conf.d/50unattended-upgrades, que você deseja abrir em seu editor de texto favorito.

Certifique-se de que a configuração seja a seguinte, com a “ segurança ” linha não comentada:

 Atualização automática :: Origens permitidas {// "$: $"; "$: $ - segurança"; // Manutenção de segurança estendida; não existe necessariamente para // todas as versões e este sistema pode não tê-lo instalado, mas se // disponível, a política para atualizações é tal que as atualizações // autônomas também devem ser instaladas daqui por padrão. // "$ ESM: $"; // "$: $ - atualizações"; // "$: $ - proposto"; // "$: $ - backports"; };

Isso ativa as atualizações automáticas para atualizações de segurança, embora você possa ativá-las para tudo descomentando a primeira linha.

Para ativar as reinicializações automáticas, descomente esta linha e altere o valor para “ true ”:

 Unattended-Upgrade :: Automatic-Reboot "true"; 

Para definir uma hora para reinicializar, descomente esta linha e altere o valor para a hora que desejar.

 Unattended-Upgrade :: Automatic-Reboot-Time "02:00"; 

As configurações padrão farão com que seu servidor reinicie às 2h da manhã se houver patches de segurança que requeiram uma reinicialização, embora isso seja ocasional e você não deva ver o seu servidor reiniciando todos os dias. Certifique-se de que seus aplicativos em execução estejam configurados para reiniciar automaticamente na inicialização.

Publicidade

Como alternativa, as atualizações autônomas podem ser configuradas para enviar notificações por e-mail solicitando que você reinicie manualmente o servidor quando for necessário, o que evitará reinicializações inesperadas.

Livepatch canônico

Canonical Livepatch é um serviço que corrige automaticamente o seu kernel sem exigir que o servidor reinicie. É gratuito para até três máquinas, após o qual você precisará de uma assinatura Ubuntu Advantage para cada máquina.

Certifique-se de que seu sistema está atualizado e instale o Livepatch através de um piscar de olhos:

 sudo snap install canonical-livepatch 

Em seguida, você &’ precisará obter um token Livepatch do site deles. Depois de obtê-lo, você pode executar:

 sudo canonical-livepatch ativar TOKEN 

Em seguida, verifique se ele está funcionando corretamente com:

 sudo canonical-livepatch status --verbose 

Observe que a imagem padrão do Ubuntu na AWS atualmente não oferece suporte ao livepatch, porque a AWS usa seu próprio kernel para desempenho extra. Você teria que reverter para o kernel antigo ou instalar uma versão diferente do Ubuntu se quisesse usar o Livepatch.