所谓升级 成电小百

小编运维出身,虽不敢自诩水平,但日积月累,也发现了许多运维新手的坏习惯极大地削弱了网络的安全性。现杂谈一二,以期对新手有所裨益。

你喜欢 Windows 自动更新幸福倒计时吗?……应该没人会喜欢吧。这种扰民的鬼畜机制、重启的漫长过程,令人难以忍受。部分补丁还会导致兼容性问题,打上之后某个游戏就打不开了……

这就是你禁用 Windows 自动更新的理由?

许多个人用户喜欢将 Windows 自动更新关得严严实实,或许就这样把习惯带到了 Windows 服务器上。也或许运维厌恶那时长时短、捉摸不透的停机时间,索性已关了之。

可是,大哥,这是服务器啊。有人反而觉得这样更加安全:服务器,我又不在上面乱下东西、乱装软件。然而,不像大多数处在路由器 NAT 与运营商 NAT 的多重保护之下的个人电脑,服务器会对网络提供服务,无论是外网还是内网。

而这,就给入侵者提供了一条路径。对于直接向外网提供服务的机器,入侵者可能直接长驱直入;而只向内网提供服务的机器,入侵者也可能利用内网已沦陷的其他机器作为跳板,进行入侵。

Windows 自动更新只是一例,对 Linux 也是同理,对非系统软件也是如此。但根据小编的亲身观察,许多运维新手并没有更新软件的习惯(甚至手动禁用自动更新)。

拒绝更新的恶果

软件更新,除了新特性之外,更多的其实是安全性的更新。软件中的 bug 难以避免,而其中某些安全性的 bug 更是可以将整台机子置于危险之中。

不知大家还记得去年的永恒之蓝(EternalBlue)吗?利用永恒之蓝制作的勒索病毒更是全球流行,不少人为之遭殃,甚至包括一些重要部门的内网。其实,早在勒索病毒出现之前,微软就已经发布了对应漏洞的补丁。然而,大量用户因为种种原因(懒惰、抗拒、被 XX 管家屏蔽……)而没有修补,从而大量中招。

可是,时至今日,永恒之蓝依然能对不少机器造成威胁。小编在上半年检修过一台被入侵的 Windows 2008 系统的服务器,Windows 自动更新似乎从安装起就被关闭了,打开之后更新了半天。

即使是非系统软件,也可能造成关键性的问题。例如有的数据库具有提权的漏洞,可以使用低级权限的账户获得系统的 shell。假如某名入侵者通过网站漏洞,获得了这个网站的数据库账户,即使其权限不高,也可能导致整台数据库服务器的覆灭。

软件的漏洞多种多样。如 OpenSSL 的心脏出血(Heartbleed)漏洞,可能导致 SSL 密钥泄漏;部分以管理员身份运行的软件的 shell 漏洞,会导致获得管理员权限;Linux 许多内核版本的提权漏洞,能够使低级用户获取 root 权限……

阴暗之处

在软件更新方面,还有一片阴暗之处,那就是一片纯粹的内网。在纯粹的内网中,因为机器没有外网访问权限,即使开启了自动更新也无能为力。

这种情况相当多见,毕竟纯内网环境在许多敏感环境中都是必须的,因而更新问题自然有其应对之道。例如对 Windows 而言,Windows 提供了一种自动更新服务端,可以将这种服务端部署在能同时访问外网与内网的地方,它从微软获取所有补丁的副本,并向内网提供补丁服务;而对于 Linux,则可以自建更新源或者更新代理,来实现自动更新。

什么?太麻烦?的确麻烦,Windows 与 Linux 的更新源服务端需要大量硬盘空间、带宽、高可用性,即使 Linux 的更新代理也不简单。

不过要是觉得这种程度叫做麻烦……大概你的环境并不适合纯内网吧。

所以,扣扣你时常更新

无论是系统更新还是软件更新,都对安全性至关重要。所以求求你不时升个级吧!每次看到有什么系统被陈旧的漏洞攻破,心里就难受得一比。

别关 Windows 的自动更新,如果这点停机时间对你来说真的很重要,那就组建高可用集群吧,集群的成本绝对比比停机损失和安全损失低。Linux 用户,也常常 ssh 上去更新一下吧,好处绝对比坏处多。

吼不吼哇?

我们是电子科技大学百度校园菁英俱乐部。

如果你有兴趣与我们一起学习、分享知识,或与我们一起出去见见外面的世界,欢迎加入我们!

请实时关注我们的动态,同时也可以在公众号内留言。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180913G0OD8400?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券