Como garantir que os servidores do Ubuntu sejam sempre atualizados com patches

Manter seu servidor atualizado é muito importante. O software Linux e Linux é constantemente atualizado, tanto para receber atualizações de segurança quanto para corrigir bugs. A correção rápida ajuda a evitar ser vítima de bugs de dia zero.

índice

  1. gerenciamento de patches
  2. Atualização periódica e manual
  3. Patches de segurança automáticos com atualizações autônomas
  4. livepatch canônico

gerenciamento de patches

O gerenciamento de patches refere-se às suas práticas de atualização de servidores. Um bom gerenciamento de patches significa que todos os seus servidores são atualizados rapidamente em resposta aos patches de segurança, tanto no kernel quanto no sistema Linux e no software que você está usando.

A segurança começa com o administrador do sistema; Você deve realizar verificações e atualizações de segurança regulares e manter-se atualizado sobre as informações de segurança. A maioria das distribuições Linux terá listas de discussão de segurança nas quais você pode se inscrever. Eles enviarão notificações sempre que novos patches estiverem disponíveis. Outros softwares que você usa podem ter suas próprias listas de e-mail ou exigir que você as monitore manualmente, para que você possa decidir quando uma atualização é necessária.

O tempo de atividade é importante, mas se sua rede for tolerante a falhas (ou seja, você tiver mais de um servidor), reiniciá-los um de cada vez não deve ser um problema. A maioria dos patches para software de área de usuário não requer uma reinicialização de todo o sistema, embora, se um serviço em execução precisar de uma atualização, uma reinicialização geralmente será necessária. Para algo como o nginx, pode ser bom, mas alguns serviços, como o MySQL, demoram muito para reiniciar porque precisam ser desligados e reiniciados corretamente. Você deve evitar ao máximo reinicializá-los, especialmente se não tiver servidores de failover.

Atualização periódica e manual

Para muitas pessoas, um simples comando de atualização e atualização fará o trabalho de atualizar o servidor:

 sudo apt-get update && sudo apt-get upgrade

O comando apt-get update atualiza a lista de pacotes e recupera as informações mais recentes sobre as versões mais recentes dos pacotes instalados. O comando apt-get upgrade instalará novas versões do software que você já instalou.

Isso não instalará novas dependências e não instalará nenhuma atualização do sistema. Para isso, você precisa executar:

 sudo apt-get dist-upgrade

do que realizar uma atualização muito mais completa. Ambos os comandos instalarão novas atualizações e imprimirão uma lista do que foi alterado. Alguns serviços podem exigir uma reinicialização desse serviço para aplicar as alterações, mas uma reinicialização completa do sistema geralmente não é necessária, a menos que seja exigido por dist-upgrade .

Esse processo é fácil de fazer se você tiver apenas alguns servidores, mas o gerenciamento manual de patches demora mais à medida que você adiciona mais servidores. O serviço Landscape da Canonical permitirá que você gerencie e atualize suas máquinas através de uma interface web, mas é gratuito apenas para 10 máquinas, após o que requer uma assinatura do Ubuntu Advantage. Se sua rede for particularmente complicada, você pode procurar um serviço de orquestração como o Puppet.

Patches de segurança automáticos com atualizações autônomas

O utilitário unattended-upgrades aplicará automaticamente algumas atualizações de segurança importantes. Ele pode reiniciar automaticamente o servidor, que pode ser definido em um determinado horário para que não falhe no meio do dia.

Instale unattended-upgrades do apt , mesmo que já esteja em seu sistema.

 sudo apt update sudo apt install unattended-upgrades

Isso criará um arquivo de configuração em /etc/apt/apt.conf.d/50unattended-upgrades , que você desejará abrir em seu editor de texto favorito.

Certifique-se de que sua configuração seja a seguinte, sem comentar a linha "segurança":

 Unattended-Upgrade::Allowed-Origins { // "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; // Manutenção de segurança estendida; não existe necessariamente para // todas as versões e este sistema pode não tê-lo instalado, mas // se estiver disponível, a política para atualizações é tal que atualizações autônomas // também devem ser instaladas daqui por padrão. // "${distro_id}ESM:${distro_codename}"; // "${distro_id}:${distro_codename}-updates"; // "${distro_id}:${distro_codename}-proposed"; // "${distro_id}:${distro_codename}-backports"; };

Isso ativa as atualizações automáticas para atualizações de segurança, embora você possa ativá-lo para tudo descomentando a primeira linha.

Para habilitar as reinicializações automáticas, descomente esta linha e altere o valor para "true":

 Unattended-Upgrade::Automatic-Reboot "true";

Para definir um horário para a reinicialização, descomente esta linha e altere o valor sempre que desejar.

 Atualização autônoma::Automatic-Reboot-Time "02:00";

A configuração padrão fará com que seu servidor seja reinicializado às 2 da manhã se houver algum patch de segurança que exija uma reinicialização, embora isso seja uma coisa ocasional e você não deve ver seu servidor reiniciando todos os dias. Certifique-se de que os aplicativos em execução estejam configurados para reiniciar automaticamente na inicialização.

Como alternativa, unattended-upgrades podem ser configuradas para enviar notificações por e-mail informando para reiniciar manualmente o servidor quando necessário, evitando assim reinicializações inesperadas.

livepatch canônico

Canonical Livepatch é um serviço que atualiza automaticamente seu kernel sem a necessidade de reiniciar o servidor. É gratuito para até três máquinas, após o que você precisará de uma assinatura do Ubuntu Advantage para cada máquina.

Certifique-se de que seu sistema esteja atualizado e instale o Livepatch via snap :

 sudo snap install canonical-livepatch

Você precisará obter um token Livepatch do seu site. Depois de tê-lo, você pode executar:

 sudo canonical-livepatch habilitar TOKEN

Portanto, verifique se funciona corretamente com:

 sudo canonical-livepatch status --verbose

Observe que a imagem padrão do Ubuntu na AWS atualmente não oferece suporte ao livepatch, pois a AWS usa seu próprio kernel para obter desempenho adicional. Você teria que voltar ao kernel anterior ou instalar uma versão diferente do Ubuntu se quisesse usar o Livepatch.

  • SolarWinds corrige vulnerabilidade crítica do Serv-U explorada na natureza
  • Como instalar o Windows 3.1 em um iPad

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Deixe uma resposta Cancelar resposta

Qual é a versão mais recente do Ubuntu?

Lançamentos e suporte

Versão Nome de código Lançar
17.10 Porco-da-terra astuto 19 de outubro de 2017
18.04 LTS castor biônico 26 de abril de 2018
18.10 choco cósmico 18 de outubro de 2018
19.04 dingo de discoteca 18 de abril de 2019

Quando o Ubuntu 22.04 LTS será lançado?

Em 23 de abril de 2022, a Canonical lançou o Ubuntu 22.04 LTS , a versão LTS mais recente do Ubuntu . Esta versão com suporte de longo prazo terá suporte público por 5 anos, até abril de 2027 e até 2032 como opção paga. A atualização pode ser feita a partir do Ubuntu 20.04 LTS e Ubuntu 21.10.

Como atualizar o Ubuntu a partir do terminal?

Nós explicamos como você pode fazer isso.

  1. Abrir Terminal (Control + Alt + T)
  2. Digite (sem aspas) "sudo apt-get update" e aperte enter.
  3. Agora repita com "sudo apt-get upgrade"
  4. Quando a instalação terminar, reinicie o seu PC.

Como atualizar o terminal Ubuntu 20.04?

Vá para Software e atualizações :

  1. Software e Atualizações . E na guia Atualizações , certifique-se de que Notifique-me sobre uma nova versão do Ubuntu esteja definido como:
  2. Software e Atualizações .
  3. Atualizador de software.
  4. Notas de lançamento.
  5. do-release-upgrade.
  6. Atualização de distribuição.
  7. Melhoria.
  8. Atualização de Distribuição.
Ir arriba