系統管理員指南：如何給系統打補丁？

對於系統管理員而言，打補丁的目的主要是爲了保證系統的安全，不被有心人利用一些漏洞***到本身管理的系統當中。這其中涉及到不少問題，好比漏洞的安全危害級別，如何查找和檢測漏洞，打補丁以前預估好可能產生的影響，進行充分的測試，作好相關備份等。有一些入行不久的系統管理員懼怕打補丁，懼怕會所以致使系統出現不正常，其實該打的補丁不打每每可能致使更糟糕的後果。那麼，系統管理員應如何修補軟件、系統漏洞，平穩的打補丁呢？51CTO系統頻道特別邀請了李晨光老師來給你們掃盲。

推薦專題：SA，神仙與裝機男：運維的工做到底啥樣兒？

做者簡介：李晨光（博客，新浪微博），中科院研究生畢業，IBM軟件精英講師，微軟社區精英，ChinaUnix論壇Linux欄目版主.從事網絡系統管理、存儲及信息安全10年,中國勘察設計協會信息化專家、中國計算機學會高級會員,經過微軟Microsoft、思科Cisco、CIW網絡認證、獲數據庫高級管理工程師認證,多年系統管理培訓、軟件開發管理經驗。公開發表專業學術論文四十篇，精彩博文百餘篇。 1、程序爲何會有漏洞？

程序只能嚴格按照規則作編程有要它作的事情。可是，最終編寫的程序並不老是與程序員預計讓程序完成的事情一致。下面的這個笑話能夠說明這一問題：

一我的在森林中行走，在地上發現了一盞魔燈。他本能地撿起了魔燈而且用袖子擦拭它。忽然，從瓶子裏出來了一個魔鬼。魔鬼感謝這我的使他得到了自由，並答應要知足他的三個願望。這我的欣喜若狂，他確實知道本身想要什麼。

「第一」，這我的說，「我想要十億美圓。」

魔鬼很快地晃了一下手指，滿滿的一袋子錢出現了。

這我的驚奇地睜大眼睛繼續說道：「接下來，我想要一部法拉利。」

魔鬼一晃手指，很快地在煙霧中出現了一部法拉利。

這我的繼續說：「最後，我想變得對女人有極大的誘惑力。」

魔鬼一揮手指，這我的變成了一盒巧克力。

程序執行正像這我的的最後一個願望的實現同樣。程序按照指令執行，因爲軟件漏洞結果出了問題並不老是程序員想要的，有時結果甚至是災難性的。

咱們都知道如今軟件變得更加複雜，軟件越複雜，就越難預測它在各類可能場景下的反應方式，也就越難保證其安全性，當今的操做系統和應用程序的代碼行數也愈來愈多，例如Windows xp大約有4千萬行代碼，Vista 大約5千多萬，Windows 2000有2900萬行代碼。業界一般使用這樣的一個估算方式，即每1000行代碼中大約有5~50BUG。所以理論上，從平均意義上能估計出Windows xp中大約有多少個BUG。咱們都知道***對操做系統的***都是利用系統軟件中的漏洞進行的。在過去，不少人把漏洞看做是有惡意的人可以利用的軟件或硬件的缺陷。然而在近幾年中，漏洞的定義發展成爲有惡意的人可以利用的軟硬件的缺陷及配置錯誤。

從表面上看，漏洞管理像是個簡單的工做，好比在操做系統上裝上一些經常使用的補丁修補工具，而後自動進行修補。然而在大部分組織的網絡中，漏洞管理既困難又複雜。一個典型的組織中包含定製們有不一樣的需求，不能只作簡單地保護，更不能置之不理。軟件廠商仍會發布不安全的代碼，硬件廠商也不會將安全內建在產品中，所以這些問題就留給了系統管理員來處理。

廠商經過不一樣的途徑發現一個漏洞。在理想的狀況下，廠商在發佈產品以前，會找出並解決全部的安全問題。可是代碼的複雜性，加上嚴格的開發週期，易於產生安全方面的錯誤。一般，一個獨立的/商業的安全研究組織會將漏洞告知廠商；不過在有些狀況下，廠商會與公衆同時發現漏洞，這時不用事先通知，漏洞就被公開了，就很容易被利用。 2、如何理解漏洞形成的風險？

無論一個漏洞是如何公開的，該漏洞都對一個組織形成了風險。漏洞帶來的風險大小取決於幾個因素：

1. 廠商對風險的評級
2. 組織中受影響系統的數量
3. 受影響系統的危險程度和暴露程度

好比某些大的銀行機構會採起措施，把全部的金融覈算系統都放在網絡中，而且置於獨立的防火牆以後。儘管分離重要的系統是一種很好的策略，可是有一個因素沒有考慮到：有大量的員工須要訪問這些數據。所以，實際擁有的只是一個用做日誌系統的昂貴防火牆，該防火牆容許一部分客戶端經過。固然，防火牆能夠阻止一些威脅，可是若是威脅來自一個容許通訊的通道，那麼防火牆就沒有幫助了。

正確的解決方案是把整個部門放在隔離的網絡中，不容許任何來自網絡外部的訪問。減小暴露程度雖然與漏洞無關，可是會大大下降漏洞爲企業形成的風險。 3、漏洞評估方法和步驟

在一個企業中查找出漏洞須要付出很大的努力，不能簡單地在所選的地方安裝一個漏洞掃描軟件並簡單地按下「開始」按鈕，那樣是不起做用的。由於如今的企業擁有成千上萬的服務器和主機，這些服務器和主機又經過上百個速率不一樣的網絡線路鏈接起來，所以照這個方法，咱們在指望的時間內根本沒法得到所需的覆蓋範圍。

那麼須要作什麼呢？咱們須要對漏洞進行評估。所謂漏洞評估，能夠理解成跟軍隊中的偵察差很少的行爲。偵察任務的主要目的是向前進入外國的領土，而且查找出敵軍的弱點和易***的地方。漏洞評估是幫助企業領導、安全專家及***在網絡、應用和系統中肯定安全責任的安全實踐活動。

實施漏洞評估的方法和步驟分爲：信息收集/發現，列舉，以及檢測。

1.信息收集/發現

這一步驟包括：

1. 爲查找目標擁有的全部域名而進行的whois查詢
2. 爲肯定與目標相關的IP地址範圍而經過網站（如www.arin.net）對可能的目標和IP地址進行的查詢

使用Nmap軟件，咱們可以很快肯定網絡上哪些主機是在線的。在Nmap中使用-s P（ping掃描）選項對目標網絡執行ping掃描。這能夠幫助肯定哪些主機是活動的和有效的。一旦肯定信息後，信息收集/發現的工做就完成了。如今能夠繼續進行第二步，列舉並肯定目標運行什麼操做系統和應用程序。（51CTO推薦閱讀：十條nmap實用命令行技巧）

2.列舉

列舉是用來

1. 判斷目標系統運行的操做系統
2. 獲取操做系統指紋和位於目標上的應用程序

的過程。

在肯定操做系統後，就是要肯定運行於主機上的應用程序。端口0～1023(共1024個)被稱爲熟知端口。

仍然使用Nmap。咱們用它的-sV選項來肯定什麼應用程序位於什麼端口。端口在漏洞評估中扮演了一個很關鍵的角色，由於它確保將漏洞對應到各自應用程序。若是確信有問題的主機在端口443上運行的是安全Web服務器而不是一個電子郵件服務器，那麼極可能就不會發現該主機的漏洞，從而認爲系統未來不可能被***。當信息收集工做和列舉工做完成後，如今能夠在目標系統上檢測漏洞了。

3.檢測

檢測用來肯定一個系統或應用程序是否易受***。須要注意的是，這一步並非用於肯定漏洞是否存在。檢測過程只是報告漏洞出現的可能性，而漏洞是否存在則由***測試來完成。 4、查找檢測漏洞的方法

上面介紹了檢測漏洞的執行思路，下面介紹應該如何在真實系統環境下進行漏洞檢測。這個工做一般使用漏洞評估掃描器完成。漏洞評估掃描器通常是運行漏洞評估軟件的網絡工具，或者運行在一個企業本身資產中的漏洞評估軟件。

如今漏洞修復技術比過去發生了很大變化。修復技術已經從手工修復進入了自動化過程。本文中咱們只考慮Windows系統和UNIX/Linux系統。

1．利用配置工具評估漏洞

許多組織已經在管理/配置工具上作了投資，經常利用這些工具作一些至關常規的工做，可是經過擴展這些工具來從咱們的環境中提取漏洞數據。好比賽門鐵克的產品（之前的Bind View，2005年被賽門鐵克收購），可以幫助一個組織處理大部分平常的windows活動目錄（AD）操做，也能夠發現組織中的漏洞。爲了更好地理解，下面看一個BindView的部署。

2．漏洞評估工具

一個好的工具最少要有的特徵：低的誤報率（false positives）、零漏報率(false negatives)、一個完整的檢測數據庫、對網絡流量的影響小、直觀的和可定製的報告引擎。

目前，不少漏洞掃描產品都被開發出來，不一樣的軟件掃描漏洞的功能存在必定的差別，有些掃描軟件還帶有必定的***性質，例如X-Scan、Shadow Security Scanner和流光等。

下面介紹幾個商業漏洞管理工具：

◆eEye digital Security

eEye Digital Security在漏洞研究中處於領導地位。它也開發了一套用來幫助進行漏洞管理的工具。

◆Symantec（BindView）

BindView的Compliance Manager是一個基於軟件的解決方案，容許組織對比公司標準或者行業最好的經驗來評佔資產，在大多數狀況下不須要用到代理。

◆Attachmate（NetIQ，2006年被Attachmate收購）

NetIQ的Compliance套件是一個NetIQ的安全管理器和漏洞管理工具的組合，而且把漏洞掃描、補丁管理、配置修復和報告整合在一塊兒。NetIQ漏洞管理器可以經過AutoSync技術讓用戶定義和維護配置策略模板、漏洞公告板和自動檢測。它也有能力根據這些策略評估系統。

◆StillSecure

StiIISecure是VAM的製造商，是一個安全產品的集成套件，可以執行漏洞管理、終端符合性監控，以及***防護和檢測。它也包含一個內置的工做流方案（可擴展漏洞修復工做流），這個方案可以自動地分配修復、進度安排、生命週期追蹤和修復確認，全部維護詳細的設備歷史記錄。

下面介紹幾個開源工具：

◆主機發現工具nmap

Nmap是一個免費開源的網絡搜索或安全審計工具。儘管它對單臺主機工做很是好，但被設計爲快速掃描大型網絡。

◆漏洞掃描與配置掃描nessus

Tenable Network Security的Nessus是一個漏洞掃描和配置掃描工具。Nessus項目由Renaud Deraison開始於1998年，爲了給網絡社會提供一個免費的、強大的、最新的且好用的遠程安全掃描器。Nessus是最好的免費網絡漏洞掃描器而且不管如何在Unix上運行是最好的。它持續更新（超過11000種免費插件可用）。

◆配置和補丁掃描MBSA

Microsoft Base Security Analyzer（MBSA）是一個好用的工具，爲專業人員設計以便幫助中小型企業依靠Microsft的安全建議來測定安全狀態，而且也提供特定的修復指導。創建在Windows升級代理和Microsoft升級設施基礎上，MBAS確保了和其餘Microsoft管理產品的一致性，這些產品包括Microsoft Update（MU），Windows Server Update Services（WSUS），　systems management server（SMS）和Microsoft Operarations Manager（MOM）。

51CTO推薦專題：網絡安全工具百寶箱

到目前爲止，咱們介紹了漏洞是什麼，漏洞爲企業帶來的風險，以及檢測漏洞的思路和方法。具體如何給企業中的系統打補丁，且聽下回分解。