作者kenwufederer (Nash)
看板Linux
标题[闲聊] 关於 Linux 系统更新的安全看法?
时间Mon Nov 12 00:52:48 2018
公司目前用CentOS当作Server OS
但从来没有更新过…
而个人职务为系统工程师,当然不希望这样下去…
问题在於许多研发人员认为
一直都没更新也没遇过什麽资安问题
为什麽现在要更新?
更新出了问题谁负责?
为什麽要从 CentOS 6 改到 CentOS 7?
为什麽CentOS 5 EOL 就不能用了?
而我说明可以从测试环境开始更新
依序进行,却又被说没有那麽多时间配合测试
而且如何保证每个环境都相同???
就说完全一样,他们却说他们上面的程式版本不同
那只好使出手段,提到如不配合更新
本人不会负责任何系统上的资安责任
但却被针对系统工程师却不负责资讯系统安全?
觉得好笑的事情是,系统工程师却没有系统决定权
却需要负责所有系统的责任
重点是,以下这句话…
“很久没更新却又没遇过任何资安事件”
是因为 Linux 的定时安全性更新真的不重要吗?
但我个人观点是认为更新漏洞是非常重要的
定时安排并测试本来就是工作项目
不知道这边的版友对於Linux系统更新想法是?
还是如同他们想法,是我个人找研发人员麻烦…
在离职为最後手段下,有没有什麽好建议呢?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.136.32.146
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1541955172.A.D42.html
1F:推 rickieyang: 有对外吗?有可能加防火墙或是设定 iptables rule 因 11/12 01:52
2F:→ rickieyang: 应? 11/12 01:52
3F:→ rickieyang: 先把新的系统建起来,再请他们慢慢移过去 11/12 01:53
4F:→ rickieyang: 系统工程师的权利不包含随意更新系统,除非你能确保 11/12 01:54
5F:→ rickieyang: 不影响既有的功能跟其他人的工作 11/12 01:54
6F:→ rickieyang: 讲白一点,公司要的是产出,被攻击当然会影响产出, 11/12 01:55
7F:→ rickieyang: 但是如果更新也会,哪跟被攻击有什麽不同? 11/12 01:55
8F:→ da21510: 我是支持更新的 11/12 07:43
9F:→ da21510: 但刚更新我自己的Server 11/12 07:43
10F:→ da21510: 然後等等要跑一趟机房了 11/12 07:43
11F:→ da21510: 现在啥都不能干 11/12 07:43
12F:→ da21510: 给你参考一下 11/12 07:43
13F:→ da21510: 如果要更 11/12 07:52
14F:→ da21510: 把change log什麽之类的全看清楚 11/12 07:52
15F:→ da21510: 然後请假睡到饱 11/12 07:52
16F:→ da21510: 隔天再更 11/12 07:52
17F:→ da21510: 之前我还是小白的时候没看清楚把php从5.6更到7 …… 11/12 07:52
18F:→ da21510: 然後刚刚是整晚没睡 11/12 07:52
19F:→ da21510: 脑还没想好 手已经敲下去了 11/12 07:52
20F:→ da21510: 敲完马上後悔 11/12 07:52
21F:推 Bencrie: 那叫升级吧。更新不是只修漏洞跟bug? 11/12 08:39
22F:推 rickieyang: 楼上说的应该是 patch, 事实上很多时候修 bug 跟漏洞 11/12 08:49
23F:→ rickieyang: 的方式是要你更新版本 11/12 08:49
24F:→ kenwufederer: 可能我说得部分不够清楚,这边只是针对小版号更新 11/12 08:55
25F:→ kenwufederer: 但无论大小更新,都是从测试环境开始部署 11/12 08:56
26F:→ kenwufederer: 也跟1F说得,采取先建後拆,但问题是研发认为不需要 11/12 08:57
27F:→ kenwufederer: ChangLog部分也会先看是否有影响功能面 11/12 08:59
28F:→ kenwufederer: VM不只一台,通常都是更新一周後没问题才执行下一台 11/12 09:00
29F:→ kenwufederer: 不过我不认同你说得随意更动系统 11/12 09:00
30F:→ kenwufederer: 如果是随意更动,那当然是我的责任 11/12 09:01
31F:→ kenwufederer: 可是要如何创造双赢的局面,让研发了解严重性? 11/12 09:01
32F:→ kenwufederer: 我认为系统不能分内外网而有所不同 11/12 09:02
33F:→ kenwufederer: 许多异常行为往往是内部人员造成的 11/12 09:02
34F:→ kenwufederer: 不过看来大家都认为更新是有必要性的吧? 11/12 09:04
35F:推 rickieyang: 更新有其必要性,也一定会遇到阻力跟问题,这是资讯人 11/12 09:13
36F:→ rickieyang: 员存在的价值,如果没必要,都不更新,或是不会有问题 11/12 09:13
37F:→ rickieyang: ,找个工读生打打指令,那还要资讯人员干嘛? 11/12 09:13
38F:→ kenwufederer: 问题是他们认为我们就是打打指令就好… 11/12 10:25
39F:推 guezt: 看主管支不支持 如果主管不认同 那也没办法做下去 11/12 10:25
40F:→ kenwufederer: 漏洞更新根本不重要…好吧,我了解你的意思 11/12 10:25
41F:→ guezt: 另外还在维护中的版本 套件应该都是小更新 不致於造成影响 11/12 10:26
42F:→ kenwufederer: 我会尽力说服他们看看的… 11/12 10:26
43F:→ kenwufederer: g大想法没错,但研发可不是这麽想… 11/12 10:27
44F:→ kenwufederer: 他们只觉得我用得好好的,干嘛更新还有配合测试而已 11/12 10:27
45F:推 guezt: 金融相关产业有一堆稽核法规要你更新 其他就自主管制了 11/12 10:31
46F:→ guezt: 先搞定你主管 再让主管去搞定研发 11/12 10:32
47F:推 Bencrie: 再怎麽更新版本也不会像 distro upgrade 那样升版吧 XD 11/12 12:26
48F:→ noonee: 对於重要长期使用的 server 不要太常更新大版本比较好 11/12 12:42
49F:→ noonee: 需要更新的只是安全性更新吧? 11/12 12:43
50F:→ noonee: 以debian 来说 只需要做security update 就好 11/12 12:43
51F:→ noonee: 另外不要小看大版本的更新 尤其是gcc 总是让我被迫在本地 11/12 12:44
52F:→ noonee: 自己装gcc 来应付问题 11/12 12:44
53F:→ noonee: 另外 为了配合大家各自不同的使用环境 可以试试看用 11/12 12:45
54F:→ noonee: module 11/12 12:45
55F:→ noonee: 如果真的只是安全更新 软体的大版本号都不会变吧? 11/12 12:47
56F:→ kenwufederer: 主要是推动小版号更新,大版本都是先建後拆进行 11/12 12:51
57F:→ kenwufederer: 我再努力看看,感谢大家回答 11/12 12:52
58F:→ rexsony: 当然是离职罗,这种鸟公司。还想救? 11/12 13:30
59F:→ kenwufederer: 有人情压力,只能再沟通看看… 11/12 15:23
60F:推 dou0228: 真实情况是,一堆 RD 根本也不知道 CentOS 5/6/7 差别在 11/12 15:44
61F:→ dou0228: 哪,当然,程式码也没有抽离开系统,通通用 sys default 11/12 15:45
62F:→ dou0228: 当遇到系统要升级时,就一推 456 说不升级 11/12 15:45
63F:推 holishing: 评估把旧环境放在容器里可行吗? 11/12 18:53
64F:嘘 lspci: 风险评估先 好吗? 11/12 18:55
65F:→ rexsony: 这种跟电信业很像,尤其是MD要它动CDR简直是要死给你看 11/12 23:37
66F:→ rexsony: 但是在工作经验当中,通常都是先建後拆. 11/12 23:38
67F:→ rexsony: 如果有非升级不可的理由,要换新系统都是这个做法 11/12 23:38
68F:→ rexsony: 若是单纯只是弱扫问题,就iptables DROP掉它 xD 11/12 23:39
69F:→ rexsony: 其实我碰过rehat 6.7搭tomcat ver7版本有弱扫问题 11/12 23:40
70F:→ rexsony: 就是一直升到tomcat 7版本最後一版,再有问题就是大家下来 11/12 23:41
71F:→ rexsony: 先在Labs测tomcat 8的相容性再做升版SOP跟rollback准备 11/12 23:41
72F:→ rexsony: 基本上主机如果没有对外的话,更新的理由就还好了 11/12 23:42
73F:→ rexsony: 除非这台主机有对外服务,那安全性的东西就是要一直升 11/12 23:43
74F:→ iflyinsky: 虽然觉得更新是一种必然,却也会有推动不了的时候。往 11/13 00:16
75F:→ iflyinsky: 往在同行发生过类似的事件,才会意识到其重要性。如果 11/13 00:16
76F:→ iflyinsky: 系统工程师是资安的最後防线,那就看良心与遮羞费是否 11/13 00:16
77F:→ iflyinsky: 可以重过天平的另一端。 11/13 00:16
78F:推 chang505: docker 处理 11/13 00:51
79F:→ chang505: 直接上 centos7 装 docker-ce docker-compose 11/13 00:52
80F:→ chang505: 全部包成 container 就没有套件版本相容问题 11/13 00:52
81F:→ chang505: 如果没办法 就让旧机器不能对外 外面加一层新机器做防护 11/13 00:53
82F:推 soem: 推iflyinsky板友,这工作真的要择善固执点 11/13 01:00
83F:推 pizzahut: 我公司的也是这样子,手上甚至还有RHEL3...不过这个需要 11/13 11:49
84F:→ pizzahut: 太多单位配合,加上重心又不在这款产品上,没有办法做 11/13 11:50
85F:→ pizzahut: 甚至有些程式原本是在32bit环境下开发,CentOS7只有64bi 11/13 11:51
86F:→ pizzahut: bit,转过去不能保证一定不会有问题 11/13 11:51
87F:→ kenduest: 一般 security update 可以,但是换整个大版本要评估 11/13 11:57
88F:推 pizzahut: 我觉得真要做,让其他单位了的话提出完整的企划比较好 11/13 11:59
89F:推 pizzahut: 说错,真要做的话提出企划让其他单位了解比较好 11/13 13:33
90F:推 chang0206: 有办法可以把整个OS包成docker喔? 11/13 13:49
91F:→ kenwufederer: 改用container,其实更需要RD的配合… 11/13 14:14
92F:→ kenwufederer: 我的想法是,如果不制定一个良好的更新流程 11/13 14:17
93F:→ kenwufederer: 只会越欠越多,我觉得作假不是我想做的事情 11/13 14:18
94F:→ kenwufederer: 虽然ISMS只是一张纸,但我还是想照着做 11/13 14:18
95F:→ kenwufederer: 来这里问,只是想知道是不是很多公司都不管这件事情 11/13 14:20
96F:→ kenwufederer: 之前有考过ISO 27001,但发现主导很多阻力 11/13 14:22
97F:→ kenwufederer: 但看完各位的推文,我相信我坚持更新应该是对的 11/13 14:23
98F:→ kenwufederer: 谢谢各位的回答 11/13 14:23
99F:推 Hurricaneger: 不要太热血,时间拿来修问题,不更新其实不会怎样。 11/13 23:02
100F:→ holishing: 拿来应付上级自己也不重视的机器不用太...? 11/14 21:57
101F:→ brli7848: 上级不重视,出事下级背,赞 11/14 23:43
102F:→ kenwufederer: 所以才想要改变一下公司的想法… 11/15 00:40
103F:推 ViewMoon: 新版本又不是一定没其它问题 11/16 14:16
104F:推 TWLAB: 要玩就先备份再更新 11/17 09:59
105F:→ kenwufederer: 所以不更新不测试会比较好吗? 11/18 22:21
106F:推 dou0228: RD 愿意帮忙就没问题,不愿意你就准备背锅。 11/19 10:20
107F:推 onionys: 更新後的系统是否可靠,我觉得要有严谨的测试报告才能说 11/19 11:50
108F:→ onionys: 服保守牌的疑虑 11/19 11:50
109F:推 onionys: 感觉要先建立测试机制和项目 11/19 11:52
110F:推 onionys: 测得越严谨说信心越强 11/19 11:55
111F:→ onionys: 自动选字让我失去打字的信心了... 11/19 11:56
112F:→ dave01: 先承报告上去 告知可能风险 若不更新 发生列表中的风险 11/23 11:12
113F:→ dave01: 责任不该由系统管理员全担 11/23 11:12
114F:→ kenwufederer: 楼上的方式试过,但出问题必须证明是因为这个漏洞 11/24 00:55
115F:→ kenwufederer: 而且会被说不负责任 11/24 00:56