在大多數企業和公司,並沒有專門的信息安全部和安全工程師,所以安全漏洞的修復責任就落到了運維部門的工程師頭上,那麼當你拿到了一份安全評估報告後,該如何應對安全漏洞的修復呢?
首先明確風險的類型和確定等級。基本上來說,風險可以分爲網絡服務、系統、應用程序、中間件、數據庫類的;從等級上來說,還可分爲高、中、低三大類。做好這一步工作很重要,方便你理清頭緒,有的放矢,不會眉毛鬍子一把抓。着重優先解決高風險漏洞,根據安全影響的層面和客戶要求適度處理中風險漏洞,低風險的漏洞可以適當忽略。
其次,進行彙報、時間和人力協調,做好實施方案。因爲進行漏洞的修補和版本的相關升級,都會影響到生產上的應用和對內、對外的服務,因此必須跟上級領導彙報情況和可能的風險,得到領導的批准和支持。然後制定詳細方案下發各相關人員,安排合適的時間窗口,並通知各部門做好協調和配合。
最後準備預案和及時反饋。升級和打補丁過程中,也會經常出現一些小問題和意外,重要的是要準備好預案,事先對可能會出現的問題進行預估和做好解決方案,避免出差錯。另外在整個過程中,及時做好信息反饋很重要,有利於各方面的信息暢通和動作配合。
不管是安全漏洞的修復還是版本的升級,事先做好備份和應急預案,都是很重要的。牢記安全第一,防患於未然,這不僅是專業化的體現更是一種職業操守。
應用程序補丁安全升級方案示例:
前期分析
一般掃描和分析工具會列出具體的漏洞名稱和風險級,你展開每個漏洞一般也會帶有具體漏洞的信息和解決方案,下面我們再看一個圖,是綠盟給出的漏洞詳細信息圖。
注意圖中劃紅線的部分,漏洞描述中分析了哪些版本會存在此問題並在下面的解決方案中給出了補丁下載信息。一般來說,你在一個應用中間件中發現了多個漏洞,並不需要一個一個的去修補,可以考慮合適的版本升級,比如以前是7.0版,現在可升級爲7.0版本里的最高級。而如果是跨版本升級,則需要經過周密測試,一般在實際環境中不會貿然跨版本升級,這樣做的話影響面大、風險也大。升級到一定版本後,針對其他的漏洞則可以單個的去修補。因此,經協商後,方案敲定爲升級到7.0版本里的最高級,其他個別漏洞進行單一修補。
一、應用備份
備份前,檢查確認是否需要擴充相關文件系統(主要保證有足夠的空間),以便保證成功備份和軟件成功安裝。
將現有環境進行備份,主要是軟件安裝目錄及相關配置文件
tar -cvf /backup/was.20130924.tar /usr/was/WebSphere/AppServer
tar -cvf /backup/http.20130924.tar /usr/was/HttpServer
二、軟件和補丁安裝
注意WAS軟件和補丁安裝使用wasuser用戶。IHS 需要用root ;
將補丁或新版本上傳到相應的機器上,並設置正確的屬主和權限。
WS-UPDI-AixPPC64.tar.gz
WS-IHS-AixPPC64-FP0000045.pak
WS-PLG-AixPPC64-FP0000045.pak
WS-WAS-AixPPC64-FP0000045.pak
設置正確的屬主和權限
chown wasuser:wasgroup WS-UPDI-AixPPC64.tar.gz
chmod 644 WS-UPDI-AixPPC64.tar.gz
三、停止WAS和HTTP服務,應用在此期間將不能訪問和使用。
停止WAS
cd /usr/was/WebSphere/AppServer/profiles/Server1/bin
./stopServer.sh xxx -user wasadmin –password *****
./stopNode.sh -user wasadmin –password ******
su - wasuser
cd /usr/was/WebSphere/AppServer/profiles/Dmgr01/bin
./stopManager.sh -user wasadmin –password *****
停止HTTPServer
/usr/was/HttpServer/adminctl stop
/usr/was/HttpServer/apatchectl stop
四、軟件安裝
在相應的機器上安裝補丁,升級或打補丁完畢,在相應機器上啓動WAS服務和HTTP服務。
在相應主機上安裝WAS UpdateInstaller
將補丁文件拷貝到/usr/was/WebSphere/AppServer
gunzip WS-UPDI-AixPPC64.tar.gz
tar -xvf WS-UPDI-AixPPC64.tar
在主機上安裝WAS補丁(需要圖形界面進行安裝)
cd /usr/was/WebSphere/UpdateInstaller
./update.sh進行安裝,選擇目錄/usr/IBM/WebSphere,安裝相應補丁即可。
在主機上安裝HTTP補丁(需要圖形界面進行安裝)
cd /usr/was/WebSphere/UpdateInstaller
./update.sh進行安裝,選擇目錄/usr/was/HTTPServer,安裝相應補丁即可。
在主機上安裝PLUGIN補丁(需要圖形界面進行安裝)
cd /usr/was/WebSphere/UpdateInstaller
./update.sh進行安裝,選擇目錄/usr/was/HTTPServer/Plugin,安裝補丁即可。
啓動新版本服務
/usr/was/HTTPServer/bin/apachectl start
/usr/was/HTTPServer/bin/adminectl start
/usr/ was/WebSphere/AppServer/profiles/Dmgr01/bin/startDmgr.sh
/usr/ was/WebSphere/AppServer/profiles/AppServ01/bin/startNode.sh
/usr/ was/WebSphere/AppServer/profiles/AppServ01/bin/startServer.sh clserver1
五、驗證WAS服務正常
1、通過業務系統進行業務查詢,驗證WAS能夠正常提供服務。
2、測試各應用和接口是否正常。
3、系統應用檢查
測試功能和整體是否正常。
六、回退方案
如果在WAS升級之後不能正常對外提供服務,需要停止新版本的WAS和HTTP服務,通過升級之前的備份來進行恢復到原來版本級別。