10 软件管理 #
10.1 去除不需要的软件包 (RPM) #
要保护 Linux 系统,重要的一步是确定 Linux 服务器的主要功能或作用。否则,就很难了解需要保护哪些方面,并且对这些 Linux 系统的保护可能是无效的。因此,请务必查看默认的软件包列表,并去除任何与您定义的安全策略不符的不需要的软件包。
一般而言,RPM 软件包包含以下各项:
在安装时写入到 RPM 数据库的软件包元数据。
软件包的文件和目录。
安装和去除之前和之后执行的脚本。
除非软件包包含以下项目,否则一般不会给系统带来任何安全风险:
任何已安装文件上的 setuid 或 setgid 位
组可写或全局可写的文件或目录
在安装时激活或默认激活的服务
假设上述三个条件均不适用,软件包只是文件集合。安装或卸装此类软件包对系统的安全价值不会产生影响。
但无论如何,将您系统中的已安装软件包限制为最少数量都会很有用。当发布安全警报和补丁时,限制最少数量将使得需要更新的软件包更少,并将简化维护工作。最好的做法是不要在生产服务器上安装开发软件包或桌面软件包(例如 X 服务器)。如果您不需要这些软件包,您也不应该安装它们,例如 Apache Web 服务器或 Samba 文件共享服务器。
Oracle 和 IBM 等许多第三方供应商需要桌面环境和开发库来运行安装程序。为防止它对生产服务器的安全产生影响,许多组织都会通过在开发实验室中创建静默安装(响应文件)来解决此问题。
此外,除非有正当的理由,否则不应安装 FTP 和 Telnet 守护程序等其他软件包。ssh
、scp
或 sftp
应该用作替代程序。
最先执行的操作中的一项操作应该是创建仅包含系统和应用程序所需 RPM 以及维护和查错目的所需 RPM 的 Linux 映像。较好的做法是从 RPM 最少列表开始,然后根据需要添加软件包。
SUSE Linux Enterprise Server 下载页面提供了预配置且随时可运行的 SLES Minimal VM 虚拟机映像。SLES Minimal VM 的占用量非常小,并且可以根据系统开发人员的具体需求对其进行自定义。Minimal VM 适合在虚拟机中使用,可用于虚拟软件设备开发。SLES Minimal VM 的主要优势在于效率和简化的管理。有关 Minimal VM 的详细信息,请参见专门的指南。如果 SLES Minimal VM 不符合您的要求,请考虑使用极简安装软件集。
要生成所有已安装软件包的列表,请使用以下命令:
#
zypper packages -i
要检索有关特定软件包的细节,请运行:
#
zypper info PACKAGE_NAME
要在删除某个软件包时检查并报告可能的冲突或依赖项,请运行:
#
zypper rm -D PACKAGE_NAME
此命令非常有用,因为在未测试的情况下就运行去除命令常常会产生大量投诉,并且需要手动寻找递归依赖项。
去除软件包时,请小心不要去除任何基本的系统软件包。这可能会使您的系统受损,无法再引导或修复。如果您对此不确定,最好是先对您的系统进行完整的备份,然后再去除任何软件包。
要最终去除一个或多个软件包,请结合 “-u” 开关(可去除所有未使用的依赖项)使用以下 zypper
命令:
#
zypper rm -u PACKAGE_NAME
10.2 修补 Linux 系统 #
构建用于进行补丁管理的基础架构是构成主动型安全 Linux 生产环境的另一个重要部分。
建议您实施书面安全策略和程序,以处理 Linux 安全更新和问题。例如,安全策略应详细指出评估、测试和发布补丁的时间范围。与网络有关的安全漏洞应具有最高优先级,并应在短时间内立即予以解决。评估阶段应发生于测试实验室内,并且初始发布应首先在开发系统中进行。
独立的安全日志文件应包含有关已接收的 Linux 安全公告、已研究和已评估的补丁、补丁的应用时间等细节。
SUSE 会发布以下三类补丁:安全、推荐和可选。我们提供了一些选项用于确保系统获得修补、保持最新且是安全的。每个系统都可以注册,然后使用附带的 YaST 工具(YaST 联机更新)通过 SUSE 更新网站来检索更新。SUSE 还创建了 Repository Mirroring Tool (RMT),它可以有效地维护可用/已发布补丁/更新/修复的本地储存库,以便系统随后可从该储存库中提取相应补丁/更新/修复,减少了互联网流量。SUSE 还提供 SUSE Manager,用于维护、修补、报告和集中管理 Linux 系统,不仅仅是 SUSE,其他分发包也提供有该工具。
10.2.1 YaST 联机更新 #
可使用 YaST 联机更新工具基于每台服务器安装重要的更新和改进。可通过包含补丁的产品特定更新目录获取 SUSE Linux Enterprise 系列的当前更新。您可以使用 YaST 并选择
组中的 来安装更新和改进。您的系统当前可用的所有新补丁(可选补丁除外)都已标记为可安装。单击 会自动安装这些补丁。10.2.2 自动联机更新 #
YaST 还可设置自动更新。选择
› 。配置每日或每周更新。有些补丁(如内核更新)需要用户交互,交互可能会导致自动更新停止。请选中 使更新过程自动进行。在这种情况下,请手动运行联机更新安装需要交互的补丁。
选中rpm
或 zypper
对其进行手动安装。
10.2.3 Repository Mirroring Tool — RMT #
适用于 SUSE Linux Enterprise 的 Repository Mirroring Tool 比联机更新进程更进一步,建立了具有储存库和注册目标的代理系统。这有助于客户在每个系统上的防火墙内集中管理软件更新,同时维护其公司安全政策和法规合规性。
RMT (https://documentation.suse.com/sles/15-SP4/html/SLES-all/book-rmt.html) 与 SUSE Customer Center (https://scc.suse.com/) 集成在一起,并提供与其同步的储存库和注册目标。这对于跟踪大型部署中的权利很有帮助。RMT 可维护 SUSE Customer Center 的所有功能,同时允许更安全的集中部署。它随每个 SUSE Linux Enterprise 订购提供,因此完全受支持。
RMT 提供了默认配置的替代配置,需要打开出站连接的防火墙,然后每个设备才能接收更新。此要求通常会违反公司安全策略,并且可能被某些组织视为对法规遵从的威胁。RMT 与 SUSE Customer Center 集成,可确保每个设备都可以接收相应的更新,而无需打开防火墙,也没有冗余带宽要求。
通过 RMT,客户还能在本地跟踪整个企业中的 SUSE Linux Enterprise 设备(即服务器、桌面或服务点终端)。现在,客户可以轻松确定帐单周期结束时有多少权利需要续约,而不必走到数据中心来手动更新电子表格。
RMT 会向 SUSE Linux Enterprise 设备告知任何可用的软件更新。每个设备随后可从 RMT 获取所需的软件更新。RMT 的引入改进了网络中的 SUSE Linux Enterprise 设备之间的交互,并简化了这些设备接收系统更新的方式。RMT 支持每个安装实例均拥有一个适用于数百个 SUSE Linux Enterprise 设备的基础架构(取决于特定的使用配置文件)。这使服务器跟踪更精确、更有效。
简单来说,适用于 SUSE Linux Enterprise 的 Repository Mirroring Tool 向客户提供:
防火墙和法规遵从保证
软件更新期间缩减的带宽用量
来自 SUSE 的完全支持(依照活动订阅)
对与 SUSE Customer Center 的现有客户接口的维护
准确的服务器授权跟踪以及对订购使用情况的有效测量
自动化的过程以便轻松计算权利总数(不再需要电子表格!)
简单的安装过程,该过程会自动与 SUSE Customer Center 同步服务器权利
10.2.4 SUSE Manager #
SUSE Manager 可自动进行 Linux 服务器管理,可让您更快且更准确地对服务器进行配置和维护。它会通过单个控制台监视每台 Linux 服务器的运行状况,以便您可以在服务器性能问题对业务产生影响之前识别出该问题。SUSE Manager 还可让您在物理、虚拟和云环境中全面管理您的 Linux 服务器的同时提高数据中心效率。SUSE Manager 为 Linux 提供全面的生命周期管理:
资产管理
置备
软件包管理
补丁管理
配置管理
重新部署
有关 SUSE Manager 的详细信息,请参见 https://www.suse.com/products/suse-manager/。