Что делать, если НИКАКИЕ обновления, системы безопасности или другие установки никогда не устанавливались? [дубликат]
На этот вопрос уже есть ответ:
Мне нужен совет специалиста:
Наш системный администратор, который плохо знаком с Ubuntu в частности и * nix в целом, не хочет устанавливать какие-либо обновления.Он считает, что если после установки обновлений система станет нестабильной и не загружается? У него есть несколько ужасных историй из прошлой жизни в качестве системного администратора Windows.
Некоторые в нашей команде считают, что это самоубийство, поскольку отказ от установки (по крайней мере) обновлений безопасности открывает возможность для злонамеренных атак.
Было предложено запустить sudo unattended-upgrade , чтобы установить хотя бы обновления безопасности, однако даже это иногда требует перезапуска системы.
Я действительно ценю комментарии экспертов по этому поводу? Спасибо.
2 ответа
Я никогда не сталкивался с проблемой нестабильности обновлений ubuntu 12.04, если не обновлять, все будет работать нормально, но ошибки никогда не будут исправлены. Linux довольно безопасен, но, как вы сказали, нуждается в обновлениях безопасности. На linux не было никаких атак, но вы должны быть в безопасности, устанавливая антивирусное программное обеспечение снова. Я никогда не видел обновлений, которые делают LTS нестабильным, вы также можете выбрать, какие обновления устанавливать в диспетчере обновлений.
Надеюсь, это поможет.
Лично я думаю, что это трудная позиция для защиты. На компьютерах должны периодически устанавливаться обновления безопасности. Это включает обновления безопасности ядра, которые требуют перезагрузок (если вы не хотите жить с Ksplice на грани жизни).
Он должен обращать внимание на недостатки безопасности, применимые к платформе по мере их появления. В последнее время, в частности, мы видели ряд ошибок повышения привилегий (которые позволяют обычным пользователям стать пользователем root). Существуют дикие эксплойты по крайней мере для одного из них (хотя я не думаю, что это влияет на 12.04). Существует постоянный поток ошибок, исправляемых для небольших приложений, которые исправляют удаленное выполнение кода, DOS, недостатки эскалации привилегий и т. Д. Существует множество векторов атак, которые исправляются регулярно.
Это сказал; окончательное решение о том, исправлять или нет, полностью зависит от контекста. Если вы говорите о веб-сервере, ориентированном на Интернет, или о коробках конечных пользователей, то ваш системный администратор безумен. Если вы говорите о внутренней производственной системе с высокой доступностью, которая скрывается за уровнями сетевой безопасности в доверенной среде, то это немного другое, и ваш системный администратор может быть весьма прагматичным.
Т.е., если главная угроза для коробки исходит от ее собственных сотрудников, то исправление нескольких дыр в DOS действительно стоит времени простоя и риска для стабильности производства? Наверное, нет, нет.
Конечно, угрозы могут проникнуть внутрь периметра сети. Но опять же, это зависит от вашей сети, вашей компании, ваших настроек ... во многих небольших компаниях, которые, возможно, уже в значительной степени окончены. У злоумышленника уже может быть весь доступ, который ему необходим для доступа к этим ящикам с помощью паролей или ключей, хранящихся в других местах сети, или с помощью олицетворения, сниффинга и т. Д. Другими словами, исправление нескольких дыр в нескольких системах может быть похоже на построить забор после того, как лошади заперты.
Итог: машины действительно должны видеть обновления безопасности. Это не должно быть полностью неизвестным; тестовые системы могут (и должны) быть установлены и модернизированы таким же образом, как и тестовый запуск до события.
Но никогда не забывайте, что безопасность - это балансирование. Абсолютно безопасная система находится в нескольких милях под землей, без подключения, без питания и без данных. Если все, от чего вы защищаете себя, - это несколько доверенных сотрудников, то какой в этом смысл?