所谓升级 成电小百

小编运维出身，虽不敢自诩水平，但日积月累，也发现了许多运维新手的坏习惯极大地削弱了网络的安全性。现杂谈一二，以期对新手有所裨益。

你喜欢 Windows 自动更新幸福倒计时吗？……应该没人会喜欢吧。这种扰民的鬼畜机制、重启的漫长过程，令人难以忍受。部分补丁还会导致兼容性问题，打上之后某个游戏就打不开了……

这就是你禁用 Windows 自动更新的理由？

许多个人用户喜欢将 Windows 自动更新关得严严实实，或许就这样把习惯带到了 Windows 服务器上。也或许运维厌恶那时长时短、捉摸不透的停机时间，索性已关了之。

可是，大哥，这是服务器啊。有人反而觉得这样更加安全：服务器，我又不在上面乱下东西、乱装软件。然而，不像大多数处在路由器 NAT 与运营商 NAT 的多重保护之下的个人电脑，服务器会对网络提供服务，无论是外网还是内网。

而这，就给入侵者提供了一条路径。对于直接向外网提供服务的机器，入侵者可能直接长驱直入；而只向内网提供服务的机器，入侵者也可能利用内网已沦陷的其他机器作为跳板，进行入侵。

Windows 自动更新只是一例，对 Linux 也是同理，对非系统软件也是如此。但根据小编的亲身观察，许多运维新手并没有更新软件的习惯（甚至手动禁用自动更新）。

拒绝更新的恶果

软件更新，除了新特性之外，更多的其实是安全性的更新。软件中的 bug 难以避免，而其中某些安全性的 bug 更是可以将整台机子置于危险之中。

不知大家还记得去年的永恒之蓝（EternalBlue）吗？利用永恒之蓝制作的勒索病毒更是全球流行，不少人为之遭殃，甚至包括一些重要部门的内网。其实，早在勒索病毒出现之前，微软就已经发布了对应漏洞的补丁。然而，大量用户因为种种原因（懒惰、抗拒、被 XX 管家屏蔽……）而没有修补，从而大量中招。

可是，时至今日，永恒之蓝依然能对不少机器造成威胁。小编在上半年检修过一台被入侵的 Windows 2008 系统的服务器，Windows 自动更新似乎从安装起就被关闭了，打开之后更新了半天。

即使是非系统软件，也可能造成关键性的问题。例如有的数据库具有提权的漏洞，可以使用低级权限的账户获得系统的 shell。假如某名入侵者通过网站漏洞，获得了这个网站的数据库账户，即使其权限不高，也可能导致整台数据库服务器的覆灭。

软件的漏洞多种多样。如 OpenSSL 的心脏出血（Heartbleed）漏洞，可能导致 SSL 密钥泄漏；部分以管理员身份运行的软件的 shell 漏洞，会导致获得管理员权限；Linux 许多内核版本的提权漏洞，能够使低级用户获取 root 权限……

阴暗之处

在软件更新方面，还有一片阴暗之处，那就是一片纯粹的内网。在纯粹的内网中，因为机器没有外网访问权限，即使开启了自动更新也无能为力。

这种情况相当多见，毕竟纯内网环境在许多敏感环境中都是必须的，因而更新问题自然有其应对之道。例如对 Windows 而言，Windows 提供了一种自动更新服务端，可以将这种服务端部署在能同时访问外网与内网的地方，它从微软获取所有补丁的副本，并向内网提供补丁服务；而对于 Linux，则可以自建更新源或者更新代理，来实现自动更新。

什么？太麻烦？的确麻烦，Windows 与 Linux 的更新源服务端需要大量硬盘空间、带宽、高可用性，即使 Linux 的更新代理也不简单。

不过要是觉得这种程度叫做麻烦……大概你的环境并不适合纯内网吧。

所以，扣扣你时常更新

无论是系统更新还是软件更新，都对安全性至关重要。所以求求你不时升个级吧！每次看到有什么系统被陈旧的漏洞攻破，心里就难受得一比。

别关 Windows 的自动更新，如果这点停机时间对你来说真的很重要，那就组建高可用集群吧，集群的成本绝对比比停机损失和安全损失低。Linux 用户，也常常 ssh 上去更新一下吧，好处绝对比坏处多。

吼不吼哇？

我们是电子科技大学百度校园菁英俱乐部。

如果你有兴趣与我们一起学习、分享知识，或与我们一起出去见见外面的世界，欢迎加入我们！

请实时关注我们的动态，同时也可以在公众号内留言。