19.7 C
Munich
Friday, September 18, 2020

Cách đảm bảo máy chủ Ubuntu của bạn luôn được vá – CloudSavvy IT

Must read

Nỗ lực cấp cơ sở để chống lại thông tin sai lệch trong đại dịch

Trong thời kỳ đỉnh điểm của đại dịch COVID-19 chết người, với thông tin sai lệch tràn ngập khắp mọi phương tiện truyền thông,...

Ngân hàng Canada có thể giữ lãi suất thấp cho đến năm 2023, các chuyên gia nói

những hình ảnh đẹpTiền giấy Canada được nhìn thấy ở đây trong hình ảnh này. Thống...

Volocopter bắt đầu bán trước cho các chuyến bay taxi hàng không đầu tiên – với thời gian chờ 2-3 năm – TechCrunch

Nếu câu thần chú về công nghệ có khuôn mặt buồn bã của bạn là “chúng tôi đã được hứa hẹn với những chiếc...

Giữ cho máy chủ của bạn cập nhật là rất quan trọng. Phần mềm Linux và Linux liên tục được vá, cả hai để nhận các bản cập nhật bảo mật cũng như sửa lỗi. Nhanh chóng áp dụng các bản vá giúp bạn tránh trở thành nạn nhân của các lỗi không có ngày.

Quản lý bản vá

Quản lý bản vá đề cập đến thực tiễn của bạn để cập nhật máy chủ. Quản lý bản vá tốt có nghĩa là tất cả các máy chủ của bạn được cập nhật nhanh chóng để đáp ứng với các bản vá bảo mật, cả trong nhân và hệ thống Linux cũng như phần mềm bạn sử dụng.

An ninh bắt đầu với sysadmin; bạn nên thực hiện bảo mật thường xuyên và cập nhật kiểm toán và cập nhật thông tin bảo mật. Hầu hết các bản phân phối Linux sẽ có danh sách gửi thư bảo mật mà bạn có thể đăng ký. Chúng sẽ gửi cho bạn thông báo bất cứ khi nào có bản vá mới. Các phần mềm khác bạn sử dụng có thể có danh sách gửi thư của riêng họ hoặc yêu cầu bạn theo dõi thủ công, do đó bạn có thể quyết định khi nào cần cập nhật.

Thời gian hoạt động rất quan trọng, nhưng nếu mạng của bạn có khả năng chịu lỗi (nghĩa là bạn có nhiều máy chủ), thì việc khởi động lại chúng cùng một lúc sẽ không có vấn đề gì. Hầu hết các bản vá cho phần mềm người dùng won won đều yêu cầu bạn khởi động lại toàn bộ hệ thống, mặc dù nếu một dịch vụ đang chạy cần cập nhật, nó thường sẽ phải được khởi động lại. Đối với một cái gì đó như nginx có thể tốt, nhưng một số dịch vụ nhất định, như MySQL, phải mất một thời gian dài để khởi động lại vì chúng phải được tắt và khởi động lại một cách duyên dáng. Bạn nên tránh khởi động lại chúng càng nhiều càng tốt, đặc biệt là nếu bạn không có máy chủ chuyển đổi dự phòng.

Nâng cấp thường xuyên, thủ công

Đối với nhiều người, lệnh cập nhật & nâng cấp đơn giản sẽ thực hiện công việc cập nhật máy chủ:

sudo apt-get update && sudo apt-get upgrade

Các apt-get update lệnh cập nhật danh sách gói và lấy thông tin mới nhất về các phiên bản mới nhất của gói bạn đã cài đặt. Các apt-get upgrade lệnh sẽ cài đặt các phiên bản mới của phần mềm bạn đã cài đặt.

Điều này đã giành được cài đặt phụ thuộc mới, và nó đã giành được một số bản cập nhật hệ thống. Đối với điều đó, bạn sẽ cần phải chạy:

sudo apt-get dist-upgrade

sẽ thực hiện nâng cấp kỹ lưỡng hơn nhiều. Một trong hai lệnh sẽ cài đặt tất cả các bản cập nhật mới và in ra một danh sách những gì đã thay đổi. Một số dịch vụ có thể yêu cầu khởi động lại dịch vụ đó để áp dụng các thay đổi, nhưng bạn đã giành chiến thắng thường phải khởi động lại toàn bộ hệ thống trừ khi dist-upgrade đòi hỏi nó

Quá trình này rất dễ thực hiện nếu bạn chỉ có một vài máy chủ, nhưng quản lý bản vá thủ công đòi hỏi nhiều thời gian hơn khi bạn thêm nhiều máy chủ. Canonical Phong cảnh dịch vụ sẽ cho phép bạn quản lý và cập nhật máy của mình thông qua giao diện web nhưng chỉ miễn phí cho 10 máy, sau đó nó yêu cầu đăng ký Ubuntu Advantage. Nếu mạng của bạn đặc biệt phức tạp, bạn có thể muốn xem xét một dịch vụ điều phối như Con rối.

Bản vá bảo mật tự động với các nâng cấp không giám sát

Các unattended-upgrades tiện ích sẽ tự động áp dụng một số nâng cấp bảo mật quan trọng. Nó có thể tự động khởi động lại máy chủ, có thể được cấu hình trong một thời gian nhất định để nó giành chiến thắng vào giữa ngày.

Tải về unattended-upgrades từ apt, mặc dù nó có thể đã có trên hệ thống của bạn.

sudo apt update
sudo apt install unattended-upgrades

Điều này sẽ tạo ra một tập tin cấu hình trong /etc/apt/apt.conf.d/50unattended-upgrades, mà bạn sẽ muốn mở trong trình soạn thảo văn bản yêu thích của bạn.

Hãy chắc chắn rằng cấu hình như sau, với dòng bảo mật của Google không bị lỗi:

Unattended-Upgrade::Allowed-Origins {
 //      "${distro_id}:${distro_codename}";
         "${distro_id}:${distro_codename}-security";
         // Extended Security Maintenance; doesn't necessarily exist for
         // every release and this system may not have it installed, but if
         // available, the policy for updates is such that unattended-upgrades
         // should also install from here by default.
 //      "${distro_id}ESM:${distro_codename}";
 //      "${distro_id}:${distro_codename}-updates";
 //      "${distro_id}:${distro_codename}-proposed";
 //      "${distro_id}:${distro_codename}-backports";
 };

Điều này bật cập nhật tự động cho các cập nhật bảo mật, mặc dù bạn có thể bật nó cho mọi thứ bằng cách bỏ dòng đầu tiên.

Để bật tự động khởi động lại, bỏ ghi chú dòng này và thay đổi giá trị thành Chế độ thực sự:

Unattended-Upgrade::Automatic-Reboot "true";

Để đặt thời gian khởi động lại, hãy bỏ dòng này và thay đổi giá trị thành bất cứ lúc nào bạn thích.

Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Cài đặt mặc định sẽ khiến máy chủ của bạn khởi động lại vào lúc 2 giờ sáng nếu có các bản vá bảo mật yêu cầu khởi động lại, mặc dù đây sẽ là một điều không thường xuyên và bạn không nên thấy máy chủ của mình khởi động lại mỗi ngày. Đảm bảo các ứng dụng đang chạy của bạn được cấu hình để tự động khởi động lại khi khởi động.

Ngoài ra, unattended-upgrades có thể được cấu hình để gửi cho bạn thông báo qua email yêu cầu bạn tự khởi động lại máy chủ khi cần, điều này sẽ ngăn việc khởi động lại không mong muốn.

Canonp Livepatch

Canonical Livepatch là một dịch vụ tự động vá nhân của bạn mà không yêu cầu máy chủ của bạn khởi động lại. Nó miễn phí cho tối đa ba máy, sau đó bạn sẽ cần một Ưu điểm của Ubuntu đăng ký cho mỗi máy.

Đảm bảo hệ thống của bạn được cập nhật và cài đặt Livepatch thông qua snap:

sudo snap install canonical-livepatch

Tiếp theo, bạn sẽ cần lấy mã thông báo Livepatch từ trang web của họ. Khi bạn đã có nó, bạn có thể chạy:

sudo canonical-livepatch enable TOKEN

Sau đó, kiểm tra xem nó có chạy đúng không:

sudo canonical-livepatch status --verbose

Lưu ý rằng hình ảnh Ubuntu mặc định trên AWS hiện không hỗ trợ livepatch, vì AWS sử dụng hạt nhân của riêng họ cho hiệu suất cao hơn. Bạn sẽ phải hoàn nguyên về kernel cũ hoặc cài đặt phiên bản Ubuntu khác nếu bạn muốn sử dụng Livepatch.

- Advertisement -

More articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -

Latest article

Nỗ lực cấp cơ sở để chống lại thông tin sai lệch trong đại dịch

Trong thời kỳ đỉnh điểm của đại dịch COVID-19 chết người, với thông tin sai lệch tràn ngập khắp mọi phương tiện truyền thông,...

Ngân hàng Canada có thể giữ lãi suất thấp cho đến năm 2023, các chuyên gia nói

những hình ảnh đẹpTiền giấy Canada được nhìn thấy ở đây trong hình ảnh này. Thống...

Volocopter bắt đầu bán trước cho các chuyến bay taxi hàng không đầu tiên – với thời gian chờ 2-3 năm – TechCrunch

Nếu câu thần chú về công nghệ có khuôn mặt buồn bã của bạn là “chúng tôi đã được hứa hẹn với những chiếc...

Kiểm soát thần kinh 911 Đánh giá: Thuốc bổ sung giảm đau thần kinh

Nerve Control 911 là sản phẩm bổ sung làm dịu thần kinh tiên tiến của PhytAge Labs tận dụng các thành phần tự nhiên...