- 1. Atnaujinkite paketus ir įdiekite neprižiūrimus naujinimus „Ubuntu 17.10“
- 2. Redaguokite konfigūracijos katalogą „Ubuntu 17.10“
- 3. Nustatykite naujinimo tipą „Ubuntu 17.10“
- 4. „Ubuntu 17.10“ sukonfigūruokite juodojo sąrašo paketus
- 5. Papildoma konfigūracija Ubuntu 17.10
- 6. Įgalinti automatinius atnaujinimus „Ubuntu 17.10“
- 7. Patikrinkite žurnalus dėl neprižiūrimų naujinimų 17.10
Šiomis atakų dienomis tinklo lygmeniu turime labiau pabrėžti, kaip svarbu atnaujinti operacinę sistemą su naujausiais gamintojo išduotais saugos pataisomis.
Yra įvairių tipų atnaujinimai, tvarkyklės, programos, sistema, tačiau vienas iš svarbiausių ir subtiliausių yra saugos naujiniai. Nors „Linux“ yra išvardyta kaip viena saugiausių operacinių sistemų, ji iš tikrųjų yra, tai neatmeta galimybės, kad ji bus linkusi į tam tikro tipo atakas.
Kai paleidžiamas naujas operacinės sistemos leidimas, kaip šiuo atveju „Ubuntu 17.10“, labiausiai rekomenduojamas kūrėjas yra atnaujinti sistemą saugumo lygiu per ateinančias 30 dienų.
Šiandien mes aptarsime labai naudingą temą valdymo lygmeniu, tai yra suplanuoti automatinį „Ubuntu 17“ saugos naujinimų atsisiuntimą ir diegimą, taigi sutaupysime laiko ir būsime tikri, kad sistema visada turės naujausius atnaujinimus.
1. Atnaujinkite paketus ir įdiekite neprižiūrimus naujinimus „Ubuntu 17.10“
1 žingsnis
Pirmiausia reikia atnaujinti sistemoje įdiegtus paketus, vykdant šią komandą:
sudo apt atnaujinimas2 žingsnis
Atnaujinus sistemos paketus, mes pradedame diegti neprižiūrimus naujinimus naudodami apt komandą:
sudo apt install unattended-upgrade
2. Redaguokite konfigūracijos katalogą „Ubuntu 17.10“
Įdiegę turėsite redaguoti konfigūraciją konfigūracijos kataloge /etc/apt/apt.conf.d.
Neprižiūrimų naujinimų konfigūracija pasiekiama minėtame kataloge, todėl turime redaguoti konfigūraciją, kad nustatytume naujinimo tipą, juodojo sąrašo atnaujinimus ir sukonfigūruotume bet kokią papildomą konfigūraciją, kuri pateikiama proceso metu.
1 žingsnis
Norėdami tai padaryti, eisime į /etc/apt/apt.conf.d katalogą ir redaguosime 50 neprižiūrimų atnaujinimų konfigūracijos failą naudodami nano redaktorių:
cd /etc/apt/apt.conf.d/sudo nano 50 neprižiūrimi atnaujinimai2 žingsnis
Tai atrodys kaip failas:
3. Nustatykite naujinimo tipą „Ubuntu 17.10“
Reikės apibrėžti operacinės sistemos atnaujinimo ir (arba) atnaujinimo tipą. Neprižiūrimas naujinimų paketas teikia tam tikrus automatinius naujinimus, įskaitant visų paketų atnaujinimą ir tik saugos naujinimus. Šiuo atveju mes tik įgalinsime „Ubuntu 17.10“ saugos naujinimą.
Pirmojo bloko „Leistinos kilmės“ konfigūracijoje mes komentuosime visas eilutes ir paliksime tik saugos eilutę taip:
Unattended-Upgrade :: Allowed-Origins {// "$ {distro_id}: $ {distro_codename}"; "$ {distro_id}: $ {distro_codename} -security"; // Išplėstinė saugos priežiūra; nebūtinai egzistuoja // kiekvienam leidimui ir ši sistema gali būti neįdiegta, tačiau, jei // yra prieinama, naujinimų politika yra tokia, kad neprižiūrimi atnaujinimai // taip pat turėtų būti įdiegti iš čia pagal numatytuosius nustatymus. // "$ {distro_id} ESM: $ {distro_codename}"; // "$ {distro_id}: $ {distro_codename} -atnaujinimai"; // "$ {distro_id}: $ {distro_codename} -pasiūlyta"; // "$ {distro_id}: $ {distro_codename} -atsargos";
4. „Ubuntu 17.10“ sukonfigūruokite juodojo sąrašo paketus
Antrame bloke yra juodojo sąrašo paketo konfigūracija. Ten galime apibrėžti, kurie paketai leidžiami atnaujinti, o kurie ne. Tai naudinga, kai nenorime, kad tam tikri paketai būtų atnaujinami operacinėje sistemoje.
Šiame skyriuje, kaip pavyzdys, neleisime atnaujinti „vim“, „mysql-server“ ir „mysql-client“, šiuo atveju mūsų juodojo sąrašo konfigūracija turėtų būti panaši į šią struktūrą:
Unattended-Upgrade :: Package-Blacklist {"vim"; „mysql-server“; „mysql-client“; // "libc6"; // "libc6-dev"; // "libc6-i686"; };
5. Papildoma konfigūracija Ubuntu 17.10
Tada bus galima pridėti ir įjungti kai kurias funkcijas, teikiamas be priežiūros. Pavyzdžiui, galime nustatyti kiekvieno atnaujinimo el. Pašto pranešimą, įgalinti automatinį nepanaudotų paketų pašalinimą (apt autoremove automatically) ir, jei reikia, įgalinti automatinį perkrovimą.
1 žingsnis
Jei norite gauti el. Pašto pranešimus, nekomentuokite šios eilutės:
„Unattended-Upgrade“ :: Paštas „root“;2 žingsnis
Jei nuspręsime gauti pranešimus el. Paštu, turime užtikrinti, kad „mailx“ arba „sendmail“ paketai būtų įdiegti operacinėje sistemoje. Juos galima įdiegti naudojant šią komandą:
sudo apt install -y sendmail3 žingsnis
Norėdami įgalinti automatinį nepanaudotų paketų pašalinimą, panaikinsime šios eilutės komentarą ir pakeisime jos vertę į true:
„Unattended-Upgrade“ :: Pašalinkite nepanaudotas priklausomybes „true“;4 žingsnis
Ir jei norime automatinio perkrovimo po atnaujinimo, jei reikia, atšauksime automatinio perkrovimo komentarą ir pakeisime vertę į „true“:
„Unattended-Upgrade“ :: Automatinis perkrovimas „true“;5 žingsnis
Konfigūravus šį automatinį paleidimą, įdiegus visus naujinimo paketus, serveris bus automatiškai paleistas iš naujo. Tačiau mes galime sukonfigūruoti serverio paleidimo laiką, nekomentuodami atitinkamos konfigūracijos eilutės ir pakeisdami paleidimo iš naujo vertę taip:
„Unattended-Upgrade“ :: Automatinis perkrovimo laikas „00:00“;6 žingsnis
Pakeitimus išsaugome naudodami šį klavišų derinį:
Ctrl + O
Mes paliekame redaktorių naudodami:
„Ctrl“ + X
6. Įgalinti automatinius atnaujinimus „Ubuntu 17.10“
1 žingsnis
Norėdami įjungti automatinius paketų atnaujinimus „Ubuntu 17.10“, turime redaguoti automatinių naujinimų konfigūraciją, pasiekdami šį katalogą:
cd /etc/apt/apt.conf.d/2 žingsnis
kai prieisime, naudosime redaktorių, kad pasiektume šį failą:
sudo nano 20 automatiniai atnaujinimai3 žingsnis
Į įdiegtą failą pridėsime:
APT :: Periodinis :: Atnaujinti paketų sąrašus „1“; APT :: Periodinis :: Atsisiunčiami atnaujinami paketai „1“; APT :: Periodinis :: AutocleanInterval "3"; APT :: Periodinis :: Be priežiūros-atnaujinimas „1“;
4 žingsnis
Pakeitimus išsaugome naudodami šį klavišų derinį:
Ctrl + O
Mes paliekame redaktorių naudodami:
„Ctrl“ + X
5 žingsnis
Pridėtos arba sukonfigūruotos eilutės yra šios:
Atnaujinimo paketų sąrašai1 įgalina automatinį atnaujinimą, 0 - išjungti.
Atsisiunčiami atnaujinami paketai1 įgalina automatinio atsisiuntimo paketą, 0 - išjungti.
Automatinio valymo intervalasLeidžia įjungti savaiminio valymo paketus X dienų. Konfigūracijoje rodomi 3 dienų savaiminio valymo paketai.
Be priežiūros-atnaujinimas1 įgalina automatinį atnaujinimą, 0 - išjungti.
Šiuo metu visi saugos naujinimai bus atsisiųsti automatiškai ir įdiegti operacinėje sistemoje.
7. Patikrinkite žurnalus dėl neprižiūrimų naujinimų 17.10
Norėdami nustatyti visus atnaujintus paketus, turime patikrinti neprižiūrimus naujinimo žurnalus, esančius kataloge / bar / log / unattended-upgrades.
1 žingsnis
Galime eiti į / var / log / unattended-upgrades katalogą ir patikrinti galimus žurnalus:
cd / var / log / unattended -upgradesls -lah
2 žingsnis
Ten matome tris žurnalus:
unattended-upgrades-dpkg.logTai apima neprižiūrimus veiksmų žurnalų atnaujinimus, siekiant atnaujinti, atnaujinti ar pašalinti paketus.
unattended-upgrades.logTai neprižiūrimas žurnalo failas. Jame yra atnaujinimo / atnaujinimo paketų sąrašas, juodojo sąrašo paketų sąrašas ir neprižiūrimas klaidos pranešimas (jei yra klaida).
failą unattended-upgrades-shutdown.logNurodo išjungimo įvykius.
3 žingsnis
Norėdami patikrinti sistemos perkrovimą, galime naudoti šią komandą:
paskutinis perkrovimas
Naudodamiesi šiomis praktinėmis galimybėmis galime sukonfigūruoti pagal poreikius, kurie šiuo metu yra organizacijoje.