關於 Linux 系統更新的安全看法？ - Linux

By Anonymous
at 2018-11-12T00:52

Table of Contents

公司目前用CentOS當作Server OS
但從來沒有更新過…

而個人職務為系統工程師，當然不希望這樣下去…
問題在於許多研發人員認為
一直都沒更新也沒遇過什麼資安問題

為什麼現在要更新？
更新出了問題誰負責？
為什麼要從 CentOS 6 改到 CentOS 7？
為什麼CentOS 5 EOL 就不能用了？

而我說明可以從測試環境開始更新
依序進行，卻又被說沒有那麼多時間配合測試
而且如何保證每個環境都相同？？？
就說完全一樣，他們卻說他們上面的程式版本不同

那只好使出手段，提到如不配合更新
本人不會負責任何系統上的資安責任
但卻被針對系統工程師卻不負責資訊系統安全？

覺得好笑的事情是，系統工程師卻沒有系統決定權
卻需要負責所有系統的責任

重點是，以下這句話…
“很久沒更新卻又沒遇過任何資安事件”
是因為 Linux 的定時安全性更新真的不重要嗎？

但我個人觀點是認為更新漏洞是非常重要的
定時安排並測試本來就是工作項目

不知道這邊的版友對於Linux系統更新想法是？
還是如同他們想法，是我個人找研發人員麻煩…

在離職為最後手段下，有沒有什麼好建議呢？

--

Tags: Linux

All Comments

By Kyle
at 2018-11-16T07:06

有對外嗎？有可能加防火牆或是設定 iptables rule 因
應？

By Ursula
at 2018-11-16T20:41

先把新的系統建起來，再請他們慢慢移過去

By Jacky
at 2018-11-18T19:20

系統工程師的權利不包含隨意更新系統，除非你能確保
不影響既有的功能跟其他人的工作

By Caitlin
at 2018-11-20T03:34

講白一點，公司要的是產出，被攻擊當然會影響產出，
但是如果更新也會，哪跟被攻擊有什麼不同？

By Delia
at 2018-11-24T18:06

我是支持更新的
但剛更新我自己的Server
然後等等要跑一趟機房了
現在啥都不能幹
給你參考一下

By Madame
at 2018-11-29T07:40

如果要更
把change log什麼之類的全看清楚
然後請假睡到飽
隔天再更
之前我還是小白的時候沒看清楚把php從5.6更到7 ……
然後剛剛是整晚沒睡
腦還沒想好手已經敲下去了
敲完馬上後悔

By Lily
at 2018-11-29T13:39

那叫升級吧。更新不是只修漏洞跟bug？

By Victoria
at 2018-12-01T13:49

樓上說的應該是 patch, 事實上很多時候修 bug 跟漏洞
的方式是要你更新版本

By Jacky
at 2018-12-04T06:18

可能我說得部分不夠清楚，這邊只是針對小版號更新

By Doris
at 2018-12-04T17:05

但無論大小更新，都是從測試環境開始部署

By Vanessa
at 2018-12-05T18:12

也跟1F說得，採取先建後拆，但問題是研發認為不需要

By Tristan Cohan
at 2018-12-07T00:02

ChangLog部分也會先看是否有影響功能面

By Bethany
at 2018-12-08T08:06

VM不只一台，通常都是更新一週後沒問題才執行下一台
不過我不認同你說得隨意更動系統

By Christine
at 2018-12-09T05:53

如果是隨意更動，那當然是我的責任
可是要如何創造雙贏的局面，讓研發了解嚴重性？

By Carol
at 2018-12-10T12:32

我認為系統不能分內外網而有所不同
許多異常行為往往是內部人員造成的

By Ina
at 2018-12-11T06:40

不過看來大家都認為更新是有必要性的吧？

By Wallis
at 2018-12-13T04:22

更新有其必要性，也一定會遇到阻力跟問題，這是資訊人
員存在的價值，如果沒必要，都不更新，或是不會有問題
，找個工讀生打打指令，那還要資訊人員幹嘛？

By Una
at 2018-12-17T06:22

問題是他們認為我們就是打打指令就好…
漏洞更新根本不重要…好吧，我了解你的意思

By Megan
at 2018-12-21T17:33

看主管支不支持如果主管不認同那也沒辦法做下去

By Jessica
at 2018-12-25T01:43

另外還在維護中的版本套件應該都是小更新不致於造成影響

By Edwina
at 2018-12-26T09:20

我會盡力說服他們看看的…

By Michael
at 2018-12-28T15:09

g大想法沒錯，但研發可不是這麼想…
他們只覺得我用得好好的，幹嘛更新還有配合測試而已

By Kyle
at 2019-01-01T23:37

金融相關產業有一堆稽核法規要你更新其他就自主管制了

By Wallis
at 2019-01-05T18:09

先搞定你主管再讓主管去搞定研發

By Kristin
at 2019-01-09T03:00

再怎麼更新版本也不會像 distro upgrade 那樣升版吧 XD

By Damian
at 2019-01-11T01:24

對於重要長期使用的 server 不要太常更新大版本比較好

By Brianna
at 2019-01-16T00:41

需要更新的只是安全性更新吧？
以debian 來說只需要做security update 就好

By Jake
at 2019-01-17T10:38

另外不要小看大版本的更新尤其是gcc 總是讓我被迫在本地
自己裝gcc 來應付問題

By Lucy
at 2019-01-18T19:27

另外為了配合大家各自不同的使用環境可以試試看用
module

By Jack
at 2019-01-20T18:21

如果真的只是安全更新軟體的大版本號都不會變吧?

By Sierra Rose
at 2019-01-22T15:22

主要是推動小版號更新，大版本都是先建後拆進行

By Bethany
at 2019-01-26T03:20

我再努力看看，感謝大家回答

By Regina
at 2019-01-26T09:34

當然是離職囉，這種鳥公司。還想救？

By Skylar Davis
at 2019-01-29T23:09

有人情壓力，只能再溝通看看…

By Michael
at 2019-01-31T05:10

真實情況是，一堆 RD 根本也不知道 CentOS 5/6/7 差別在

By Michael
at 2019-02-01T23:50

哪，當然，程式碼也沒有抽離開系統，通通用 sys default
當遇到系統要升級時，就一推 456 說不升級

By Mary
at 2019-02-06T05:39

評估把舊環境放在容器裡可行嗎?

By Ula
at 2019-02-10T07:02

風險評估先好嗎？

By Ida
at 2019-02-13T16:05

這種跟電信業很像,尤其是MD要它動CDR簡直是要死給你看

By Megan
at 2019-02-15T17:15

但是在工作經驗當中,通常都是先建後拆.
如果有非升級不可的理由,要換新系統都是這個做法

By Yedda
at 2019-02-17T12:48

若是單純只是弱掃問題,就iptables DROP掉它 xD

By Frederica
at 2019-02-18T14:52

其實我碰過rehat 6.7搭tomcat ver7版本有弱掃問題

By Lydia
at 2019-02-20T22:18

就是一直升到tomcat 7版本最後一版,再有問題就是大家下來
先在Labs測tomcat 8的相容性再做升版SOP跟rollback準備

By Joseph
at 2019-02-25T03:51

基本上主機如果沒有對外的話,更新的理由就還好了

By Sarah
at 2019-02-27T20:37

除非這台主機有對外服務,那安全性的東西就是要一直升

By Gilbert
at 2019-03-02T05:41

雖然覺得更新是一種必然，卻也會有推動不了的時候。往
往在同行發生過類似的事件，才會意識到其重要性。如果
系統工程師是資安的最後防線，那就看良心與遮羞費是否
可以重過天平的另一端。

By Sarah
at 2019-03-03T22:29

docker 處理

By Ethan
at 2019-03-08T16:49

直接上 centos7 裝 docker-ce docker-compose
全部包成 container 就沒有套件版本相容問題

By Candice
at 2019-03-08T22:47

如果沒辦法就讓舊機器不能對外外面加一層新機器做防護

By Jacob
at 2019-03-09T18:47

推iflyinsky板友，這工作真的要擇善固執點

By Todd Johnson
at 2019-03-11T06:30

我公司的也是這樣子，手上甚至還有RHEL3...不過這個需要

By Ida
at 2019-03-15T18:13

太多單位配合，加上重心又不在這款產品上，沒有辦法做

By Madame
at 2019-03-17T17:18

甚至有些程式原本是在32bit環境下開發，CentOS7只有64bi
bit，轉過去不能保證一定不會有問題

By Queena
at 2019-03-22T03:02

一般 security update 可以，但是换整個大版本要評估

By Caroline
at 2019-03-26T22:15

我覺得真要做，讓其他單位了的話提出完整的企劃比較好

By Mason
at 2019-03-28T14:43

說錯，真要做的話提出企劃讓其他單位瞭解比較好

By Zora
at 2019-04-02T10:46

有辦法可以把整個OS包成docker喔？

By Eartha
at 2019-04-05T12:50

改用container，其實更需要RD的配合…

By Eden
at 2019-04-06T04:35

我的想法是，如果不制定一個良好的更新流程

By Charlotte
at 2019-04-06T10:39

只會越欠越多，我覺得作假不是我想做的事情
雖然ISMS只是一張紙，但我還是想照著做

By Barb Cronin
at 2019-04-10T19:42

來這裡問，只是想知道是不是很多公司都不管這件事情

By Kelly
at 2019-04-13T08:11

之前有考過ISO 27001，但發現主導很多阻力

By Carolina Franco
at 2019-04-13T11:32

但看完各位的推文，我相信我堅持更新應該是對的
謝謝各位的回答

By Agatha
at 2019-04-16T11:32

不要太熱血，時間拿來修問題，不更新其實不會怎樣。

By Bethany
at 2019-04-18T12:13

拿來應付上級自己也不重視的機器不用太...?

By Ursula
at 2019-04-20T07:18

上級不重視，出事下級背，讚

By Heather
at 2019-04-20T17:07

所以才想要改變一下公司的想法…

By Zora
at 2019-04-20T21:00

新版本又不是一定沒其它問題

By Kama
at 2019-04-25T09:14

要玩就先備份再更新

By Harry
at 2019-04-28T12:46

所以不更新不測試會比較好嗎？

By Freda
at 2019-04-28T15:36

RD 願意幫忙就沒問題，不願意你就準備背鍋。

By Anonymous
at 2019-04-30T04:38

更新後的系統是否可靠，我覺得要有嚴謹的測試報告才能說
服保守牌的疑慮

By Hazel
at 2019-05-02T11:07

感覺要先建立測試機制和項目

By Faithe
at 2019-05-04T03:06

測得越嚴謹說信心越強

By Kyle
at 2019-05-06T17:34

自動選字讓我失去打字的信心了...

By Franklin
at 2019-05-10T06:10

先承報告上去告知可能風險若不更新發生列表中的風險
責任不該由系統管理員全擔

By Barb Cronin
at 2019-05-12T11:33

樓上的方式試過，但出問題必須證明是因為這個漏洞

By Olivia
at 2019-05-13T05:06

而且會被說不負責任

關於 Linux 系統更新的安全看法？ - Linux

All Comments

Related Posts

Chrome遠端 ubuntu 設定

Ubuntu18.04 無法輸入中文(iBus, fcitx)

網樂通一直安裝XBMC失敗

小白求助如何在linux上安裝ubuntu

oVirt問題請益