“Yama” güvenlik ne demektir ve neden bu zor?

0

Bir sunucuyu yönetmeyi öğrendim ve ilk VPS'imi çalıştırdım. Tahmin edebileceğiniz gibi, herhangi bir şirket için çalışan, "kişisel" bir eğitim sunucusu.

“Güvenlik düzeltme eki” hakkında bir şeyler duymaya devam ediyorum ve bazı insanların bunu yapmamanın ne kadar zor olduğu hakkında konuşup güvenlikten başka yönleri tercih ediyorum.

Yardım edemiyorum ama sadece bir güvenlik duvarını aktif hale getirerek ve tüm portları engellemekten başka bir şey yaptığımı ve kullanmaya başladığımı düşünmeye başlıyorum " apt-get update && apt-get upgrade -y && apt-get dist-upgrade -y "Her şimdi ve sonra. (Not:" GNU / Linux dağıtımı "yayınını yayınladım)

Şimdi ne kadar cahil olduğumu biliyorum ama bu "yama" değil mi? Olmazsa, lütfen "güvenlik düzeltme eki" kavramını, düzeltme ekinden elde etmek istediğimiz hedefleri, örnek olarak düzeltme eklerini ve sistem yöneticileri tarafından örnek olarak karşılaşılan bazı zorlukları açıklayın.

Not: Bu sorunun kapsamını sınırlandırmak için, özellikle "daha geniş" sistemlerin sertleştirilmesi "değil," güvenlik yaması "kavramı ve uygulamasından söz ediyorum.

linux  security 
Mars
kaynak
1
Güvenli bir sunucu istiyorsanız, disto geçişi seçiminiz büyük olasılıkla çok kötü bir fikirdir. Çünkü birçok yeni özellik içeren her zaman en son sürümleri alırsınız. Bu, piyasaya sürülecek sürümlerin profesyonel kullanım için pek iyi bir seçim olmasının tek nedeni değil. Diğer bir husus, verimlilik ve verimlilik açısından güvenilen takım zincirlerinin güvenilirliğidir. Gerçekten bir şeyler öğrenmek istiyorsanız, sürtünme / güvenlik konusuna odaklanan bir dağıtıma geçmenizi öneririm.
Run CMD
(Güvenlik) yamasındaki 'zorluklar' genellikle, üçüncü taraf bir yazılımı çalıştıran ve kullanan, bir üretim sunucunuz (ya da MANY sunucuları) olana kadar görünmeye başlamaz. Şirketinizin bağlı olduğu bir LOB uygulaması çalıştırdığınızı hayal edin. İşletim sistemi veya sunucudaki başka bir yazılım için yeni bir güvenlik yaması var. Uygularsanız, LOB uygulaması yamanın bazı nedenlerden dolayı yaptığı değişikliklerle uyumlu değildir ve çalışmayı durdurur. Şimdi çalışanlarınız orada oturuyorlar, baş parmakları titriyorlar çünkü işlerini yapmak için ihtiyaçları olan uygulamayı yeni aldınız. Kolay ses mi? :)
Ƭᴇcʜιᴇ007

Yanıtlar:

2

Kişisel bir sistemi güncel tutmak nispeten kolaydır: dediğiniz gibi, genellikle sistemin paket yöneticisi aracılığıyla düzenli olarak tam bir yükseltme yapması yeterlidir. (Ancak birçok insanın bunu yapmadığını unutmayın.) Asıl sorun, büyük bir üretim kurulumunda ortaya çıkmaktadır.

İş dünyasında, bir veya iki yerine yüzlerce bilgisayarı yönetiyor olabilirsiniz. Depolarda bulunmayan bu sistemlerin bazılarına yüklenmiş üçüncü taraf yazılımlarınız var ve aynı şekilde depolarda bulunmayan kendi yazılımınızı da derliyor olabilirsiniz. Bunlar, sisteminizde hangi yazılımların yüklü olduğunu, bilinen yüklü yazılımda herhangi bir güvenlik açığı olup olmadığını ve filo genelinde güncellemeleri nasıl zorlayacağınızı bilmek için bir araya gelir.

Ayrıca, her güncelleme bir değişikliktir ve değişiklik risk getirir. VPS'nizde biraz aksama süresi iyi olsa da, kötü bir güncelleme milyonlarca dolara mal olabilir. Bu nedenle, her güncellemenin hepsinin hala çalıştığından emin olmak için ilk önce test edilmesi gerekir.

Başka bir katman ekleyelim: Güvenlik düzeltmeleri yalnızca çalışamayacağınız bir yazılım sürümüne gider, çünkü iş açısından kritik bazı diğer yazılımlar yeni sürümü desteklemez. Şimdi hala bilmediğiniz (tehlikeli!) Bir güvenlik yazılımını (muhtemelen 10 yıl içinde yapacakları) yazılımını güncellemek için bir satıcıyı harcayarak (10 yıl içinde yapacakları) bir güvenlik düzeltmesini denemelisiniz. ve şimdi iflas etmedi.

Kısacası, ölçeği ve cezaları çarpmak onu çok daha fazla bir sorun haline getiriyor.

Xiong Chiamiov
kaynak
Bu harika! Teknoloji alanlarında çalışmayan biri için işleri gerçekten perspektif içine sokuyor. Az önce kaynağından derlediğim ve unuttuğum kendi bilgisayarımda (VPS bile) bir yazılımım olduğunu anladım; gerçekten modası geçmiş, lol! Sadece sildim. Ne yazık ki, çalışanların bilgisayarlarından "işleri silemezsin".
Mars
4

Yamayı kendisi sadece bir sistemi belirli bir amaç için değiştiriyor (yani zorluğu arttırmak veya azaltmak için bir oyun yaması). Bu, tüm yazılım bileşenlerini değiştirmek için bir komut dosyasındaki birkaç satırı değiştirmek kadar önemsiz olabilir. Wikipedia'nın görüşü biraz farklılık gösteriyor:

Yama, bir bilgisayar programını ya da destekleyici verilerini güncellemek, düzeltmek ya da iyileştirmek için tasarlanmış bir yazılım parçasıdır. [1] Bu, güvenlik açıklarının [1] ve diğer hataların düzeltilmesini ve genellikle hata düzeltmeleri veya hata düzeltmeleri olarak adlandırılan yamalar, [2] ve kullanılabilirlik veya performansın iyileştirilmesini içerir. Sorunları çözme amaçlı olsa da, kötü tasarlanmış yamalar bazen yeni sorunlar ortaya çıkarabilir (bkz. Yazılım regresyonları).

https://en.wikipedia.org/wiki/Patch_%28computing%29

Güvenlik düzeltme eki ile ilgili olarak, bu normalde bir yazılım düzeyinde yapılır. Geliştirici, yazılımın güvenlik açıklarını giderir; yeni sürüm, yazılım ekosistemine girdiği yer:

  • Paketleyiciler ve diğerleri dağıtımları için hazırlar ve sonunda kullanıcıya geri döner (genellikle bir paket yöneticisi tarafından indirilir).
  • Geliştiricinin web sitesinden indirilir.
  • Depolama ortamına gönderilir (ya da bir zamanlar öyleydi).
  • Bileşen olduğu ürünün satıcısı, yukarıdaki yöntemlerden herhangi biriyle güncellemeyi serbest bırakır.

Güvenlik odaklı yamada, hedefler açıktır: güvenlik. Başka bir deyişle, düşman için daha az istismarı. Düşman olarak insanları kastediyorum ve Kötü amaçlı yazılım. Sınıf Yığınının yorumunda da belirtildiği gibi, yuvarlanan bir sürüm güvenlik için korkunç bir fikirdir. Yeni özelliklerle yeni hatalar gelsin. Kanama kenarı kritik olmayan kullanım için daha iyi korunur (örneğin, ev sunucunuz, şirket sunucunuz değil). Bu nedenle Debian Stable şubesine gitmenizi şiddetle tavsiye ederim (Test / Sid’e dayalı bir dağıtım kullandığınızı düşünüyorum). Debian'ın şubeleri şu şekilde çalışır (aşırı basitleştirilmiş):

  • Kararlı - Uzun süredir Testler yapıldı ve sonsuza dek hata bulunmadı.
  • Test Etme - Sid den test edilmiş ve düzeltilmiş malzemeler. Her şey çalışıyor gibi görünüyor ama hiçbir garantisi yok.
  • Sid - Deneysel aşamadan zorlukla taranan yeni çıkmış şeyler. Çalışıyor, ancak beklenmedik bekliyoruz.

Güncellemelerin gerçekleştirilmesine gelince, şunları öneriyorum:

  • Her zaman bir apt-get update yeni yazılım kurulumlarından önce.
  • Mevcut yükseltmeleri kontrol etmeden önce kontrol edin. Güvenlik güncelleştirmeleri olmadıkça veya bir yazılımın en son sürümüne ihtiyacınız olmadıkça yükseltme yapmanız gerekmez.
  • Tüm sistemi yeni bir sürüme yükseltmediğiniz sürece, örneğin jessie'den wheezy'ye kadar yükseltme yapmanıza gerek yoktur. Bu komutu hafifçe vermemelisiniz.

Mevcut dağıtımınızla ilgili olarak, Kararlı olarak değişmeye karar verirseniz (ki bu gerekir), sisteminizi yeniden kurmanız gerekir. Bir şeyi karıştırmaya, geriye ya da öyle bir şey karıştırmaya çalışmayın. Bir Debian kurulumu, net kurulum CD'sinden bile hızlı ve acısızdır.

Umarım bu aşırı basitleştirilmiş genel bakış, temel bir anlayışla size yardımcı olur. Daha fazla okumanı öneririm https://www.debian.org bu sorunun kapsamı büyümeye devam edebileceğinden.

nonzyro
kaynak
-1

Bir yama Software veya bir OS (İşletim Sistemi) tam olarak bir güvenlik açığı veya hata için bir güncelleme veya düzeltmedir. Bu, sistemin performansını artırabilir veya sistemi saldırılara karşı stabil hale getiren bu tür hataları giderebilir.

Bazı kötü tasarlanmış yamalar bazen yeni sorunlar doğurabilir.

Mongrel
kaynak
Kutu down voter yanlışım varsa düzelt.
Mongrel
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.