谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

您每隔多久会在 Linux 上安装一次安全补丁?

by Canonical on 12 September 2024

定期应用补丁对于维护安全的环境至关重要,但对于确保 Linux 资产的安全性,并不存在一劳永逸的办法。那么,如何平衡更新频率和运行稳定性呢?有一些策略可通过合规且安全的方式实现安全补丁自动化,甚至适用于限制和监管最严格的环境。在确定安全补丁策略时,有必要了解 Canonical 软件更新发布时间表和安全补丁覆盖周期时间窗口等重要信息。笔者在近期主持的一场在线研讨会和安全问答活动中,解释了如何尽量减少补丁应用频率或尽量缩短未修复漏洞被利用的时间。本篇文章将概述笔者在这次网络研讨会上的主要观点,并说明确定更新计划时最重要的考虑因素。 

针对 Linux 内核的安全补丁

Ubuntu 中有两种类型的内核,这些内核有两种打包方式。两种内核类型为通用版(GA)内核和变体内核。两种打包类型为 debian 包和快照包。GA 内核是 Ubuntu LTS 发行首日所包含的内核版本。每个 Ubuntu LTS 版本都会在每年 2 月和 8 月收到一次小数点版本更新,通常会有 5 个小数点版本。Ubuntu Server 默认在该版本 Ubuntu Pro 所覆盖的生命周期内在 GA 内核上运行。Ubuntu Desktop 默认从第二个小数点版本开始将内核升级为上游内核(其被称为硬件启用(HWE)内核)的更新版本。

GA 内核的安全覆盖周期将延伸至 Ubuntu Pro 的整个生命周期。HWE 内核的安全覆盖周期将延伸至 HWE 内核的生命周期(6 个月)再加 3 个月。HWE 内核生命周期结束之后的这额外 3 个月安全覆盖周期则为用户提供了升级到下一版 HWE 内核的时间窗口。

是否需要重新启动才能安装安全补丁?

内核包更新后,Ubuntu 实例必须重新启动才能将安装补丁后的内核加载到内存中。当通用内核作为快照安装时,该快照包的更新将重新启动设备。当通用内核作为 deb 包安装时,设备不会自动重新启动,但必须重新启动才能安装安全补丁。

Ubuntu 中的其他一些软件包在更新后也需要重新启动才会生效。glibc、libc、CPU 微码和 grub 引导加载程序的任何安全更新都需要重新启动才能生效。作为服务运行的软件,例如 ssh、网络服务器,需要在安装安全补丁后重新启动服务。对于不是作为服务运行而是按照需要运行的其他软件,则不需要重新启动系统或重新启动服务即可生效。

Livepatch 服务将在内存中对所运行的内核应用高关键级的安全补丁。其不会升级已安装的内核包,因此重新启动计算机并清除其内存将导致 Livepatch 已应用的安全补丁被删除。Livepatch 提供了针对 GA 内核的 13 个月安全补丁,以及针对 HWE 内核的 9 个月安全补丁。在上述 13 个月或 9 个月时间窗口之后,内核包必须升级,且 Ubuntu 实例必须重新启动,才能享受通过 Livepatch 提供的安全保障。

安装安全补丁的 3 种方法

Canonical 提供了包括 Livepatch、Landscape、Snaps 和命令行实用程序(如 unattended-upgrade)在内的一系列工具与服务。这些工具和服务可以一起使用,也可以选择性地使用,它们在 Ubuntu 中可以提供安全补丁自动化功能。您可以灵活运用这些工具,在台式电脑、服务器和物联网设备上实现各种不同的安全补丁目标。假设没有人想要运行无维护人员确保安全或提供支持的软件,您可能会倾向于以下安全补丁应用方法之一:

  1. 尽可能延期安装安全补丁,以达到最长拖延期。
  2. 以最小的频率但按照预定义的定期执行时间表安装安全补丁。
  3. 通过减少安全补丁发布与安装之间的时间,尽量缩短系统被漏洞利用的时间窗口。

无论使用哪种方法,要注意的是,可能需要留出不定期安全维护时间窗口来修复 glibc、libc 或 CPU 微码中的安全漏洞。

Linux 安全补丁自动化

The 【安全补丁自动化时间安排的最佳做法】 深入探讨了这 3 种安全补丁应用方法实现细节背后的基本原理。

观看视频

适用于拖延者的安全补丁

启用 Livepatch 后,在 GA 内核上运行的 Ubuntu LTS 实例需要每 13 个月升级并重新启动一次。如果在 HWE 内核上运行,首次升级并重新启动必须在 13 个月后,即 5 月进行。第二次升级并重新启动必须在 6 个月后,即 11 月进行。在 5 月和 11 月的升级并重新启动之后,HWE 内核将升级到下一版 GA 内核。GA 内核需要每 13 个月升级并重新启动一次。

每次升级并重新启动之间可能会间隔数月,因此,如果以此拖延,中等及以下的内核漏洞将保持未修复状态。这样会延长中等及以下内核漏洞处于未修复状态的时间。

定期安装安全补丁

如果使用的是 GA 内核,则可以按每年一次的频率安装补丁。结合 Livepatch 针对 GA 内核的 13 个月安全覆盖周期时间窗口,每年 5 月安装安全补丁并重新启动应当可以确保计算机中内核和其他软件包的安全。

假设使用的是 HWE 内核,则不能按每年一次的频率在每年的同一月份安装安全补丁。这种方法会导致内核的安全补丁覆盖周期缺失一段时间。除了 Ubuntu LTS 发行的第三年,当第四个小数点版本发布后,使用 HWE 内核的情况下则可每年应用一次安全补丁。

每年 5 月和 9 月应用一年两次的安全补丁,无论选择什么内核,都可安心使用。这种安全补丁应用频次考虑了 Canonical 的发布时间表和内核安全覆盖周期时间窗口。如果是每年两次,即每年 5 月和 9 月的安全维护时间窗口,安全覆盖周期则不会出现中断。

针对最小漏洞的安全补丁

很显然,安全维护时间窗口越频繁越好。一个极为常用的频次是每月一次:每月升级并重新启动,根本没有机会运行过时的内核。建议每周应用一次安全补丁并重新启动,也可以每天进行。Canonical 的安全补丁发布即可用,建议在其发布之时即进行应用。以高度可用的状态运行工作负载,启用安全补丁自动化,以及每天为计算机集群进行定期升级并重新启动,从而享受最有力的安全保障。

启用安全补丁自动化的最佳做法

【安全补丁自动化时间安排的最佳做法】视频解答了所有的常见问题:

  • 有哪些补丁自动化选项可供选择?
  • 安全补丁来源是哪里,从哪里分发?
  • 安全补丁如何分发,应该如何应用?Canonical 的滚动内核策略如何针对特定的内核延长安全覆盖周期时间窗口?
  • 什么时候应该安排安全维护事件?
订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

Canonical 获得 ISO/SAE 21434 认证,强化了汽车网络安全标准

经过认证的网络安全流程有助于保护下一代互联汽车 Canonical 自豪地宣布,其安全管理系统经过全球知名认证提供商 TÜV SÜD 的广泛评估,已获得 ISO/SAE 21434 认证。这一里程碑突出了 Canonical 在为汽车行业提供可信可靠的开源解决方案方面的领导地位。它强调了 Canonical 对三大关键业务支柱的承诺:强大的网络安全、符合全球行业标准以及为自动驾驶和智能汽车构建更安全的未来。 强大的汽车网络安全 随着车辆的互联程度越来越高,未经授权的访问、远程攻击和数据泄露的风险也显著增加。ISO/SAE 21434 为在整个车辆生命周期内管理这些风险提供了详细的框架。对于原始设备制造商和一级供应商来说,合规是在竞争激烈的市场中交付产品的关键。 Canon […]

Canonical 和 Renesas 宣布将合作加速企业 AI 创新

Ubuntu 的发行商 Canonical 宣布,半导体解决方案的全球领导者 Renesas Electronics Corporation 已加入 Canonical 的硅合作伙伴计划,以提供量身定制的尖端解决方案来满足边缘计算和 AI 应用不断增长的需求。随着行业越来越多地采用 AI 驱动的解决方案,对高效、可扩展和安全维护的边缘计算平台的需求前所未有地高涨。此次合作将结合 Renesas 在嵌入式处理方面的专业知识和 Canonical 全面的物联网(IoT)软件堆栈。 可扩展的生产级解决方案 Canonical 和 Renesas 的合作旨在为原始设备制造商(OEM)和原始设计制造商 (ODM)提供可扩展的生产级解决方案,从而缩短上市时间(TTM)。Renesas […]

NIS2 合规综合指南:第 1 部 — 了解 NIS2 及其范围

欧盟 NIS2 指令呼吁加强整个欧盟的网络安全,目前已在所有成员国生效。在这个由三部分组成的博客系列中,我将解释 NIS2 是什么,并帮助您了解它是否适用于贵公司,以及如何才能符合 NIS2。 在第一部分中,我将介绍 NIS2 是什么以及其与其前身 NIS 的区别和适用性,帮助您理解并判断它是否与您的公司相关。 NIS2简介 欧盟指令 2022/2555 或《网络和信息系统指令》(以下通常称为 NIS2 或欧盟 NIS2)是一项新的欧盟法规,适用于所有欧盟成员国,其目标是实现高水平的网络安全。该法规更新了 2016 年颁布的《网络和信息系统指令》(NIS 或 NIS1),并授权成员国对在欧盟地区提供关键服务的实体采用并严格执行更严格的网络安全要求。除非您的公司被视为小型/ […]