Linux

關於 Linux 系統更新的安全看法? - Linux

Anonymous avatarAnonymous · 2018-11-12

Table of Contents


公司目前用CentOS當作Server OS
但從來沒有更新過…

而個人職務為系統工程師,當然不希望這樣下去…
問題在於許多研發人員認為
一直都沒更新也沒遇過什麼資安問題

為什麼現在要更新?
更新出了問題誰負責?
為什麼要從 CentOS 6 改到 CentOS 7?
為什麼CentOS 5 EOL 就不能用了?

而我說明可以從測試環境開始更新
依序進行,卻又被說沒有那麼多時間配合測試
而且如何保證每個環境都相同???
就說完全一樣,他們卻說他們上面的程式版本不同

那只好使出手段,提到如不配合更新
本人不會負責任何系統上的資安責任
但卻被針對系統工程師卻不負責資訊系統安全?

覺得好笑的事情是,系統工程師卻沒有系統決定權
卻需要負責所有系統的責任

重點是,以下這句話…
“很久沒更新卻又沒遇過任何資安事件”
是因為 Linux 的定時安全性更新真的不重要嗎?

但我個人觀點是認為更新漏洞是非常重要的
定時安排並測試本來就是工作項目

不知道這邊的版友對於Linux系統更新想法是?
還是如同他們想法,是我個人找研發人員麻煩…

在離職為最後手段下,有沒有什麼好建議呢?

--
Linux

All Comments

Kyle avatarKyle2018-11-16
有對外嗎?有可能加防火牆或是設定 iptables rule 因
應?
Ursula avatarUrsula2018-11-16
先把新的系統建起來,再請他們慢慢移過去
Jacky avatarJacky2018-11-18
系統工程師的權利不包含隨意更新系統,除非你能確保
不影響既有的功能跟其他人的工作
Caitlin avatarCaitlin2018-11-20
講白一點,公司要的是產出,被攻擊當然會影響產出,
但是如果更新也會,哪跟被攻擊有什麼不同?
Delia avatarDelia2018-11-24
我是支持更新的
但剛更新我自己的Server
然後等等要跑一趟機房了
現在啥都不能幹
給你參考一下
Madame avatarMadame2018-11-29
如果要更
把change log什麼之類的全看清楚
然後請假睡到飽
隔天再更
之前我還是小白的時候沒看清楚把php從5.6更到7 ……
然後剛剛是整晚沒睡
腦還沒想好 手已經敲下去了
敲完馬上後悔
Lily avatarLily2018-11-29
那叫升級吧。更新不是只修漏洞跟bug?
Victoria avatarVictoria2018-12-01
樓上說的應該是 patch, 事實上很多時候修 bug 跟漏洞
的方式是要你更新版本
Jacky avatarJacky2018-12-04
可能我說得部分不夠清楚,這邊只是針對小版號更新
Doris avatarDoris2018-12-04
但無論大小更新,都是從測試環境開始部署
Vanessa avatarVanessa2018-12-05
也跟1F說得,採取先建後拆,但問題是研發認為不需要
Tristan Cohan avatarTristan Cohan2018-12-07
ChangLog部分也會先看是否有影響功能面
Bethany avatarBethany2018-12-08
VM不只一台,通常都是更新一週後沒問題才執行下一台
不過我不認同你說得隨意更動系統
Christine avatarChristine2018-12-09
如果是隨意更動,那當然是我的責任
可是要如何創造雙贏的局面,讓研發了解嚴重性?
Carol avatarCarol2018-12-10
我認為系統不能分內外網而有所不同
許多異常行為往往是內部人員造成的
Ina avatarIna2018-12-11
不過看來大家都認為更新是有必要性的吧?
Wallis avatarWallis2018-12-13
更新有其必要性,也一定會遇到阻力跟問題,這是資訊人
員存在的價值,如果沒必要,都不更新,或是不會有問題
,找個工讀生打打指令,那還要資訊人員幹嘛?
Una avatarUna2018-12-17
問題是他們認為我們就是打打指令就好…
漏洞更新根本不重要…好吧,我了解你的意思
Megan avatarMegan2018-12-21
看主管支不支持 如果主管不認同 那也沒辦法做下去
Jessica avatarJessica2018-12-25
另外還在維護中的版本 套件應該都是小更新 不致於造成影響
Edwina avatarEdwina2018-12-26
我會盡力說服他們看看的…
Michael avatarMichael2018-12-28
g大想法沒錯,但研發可不是這麼想…
他們只覺得我用得好好的,幹嘛更新還有配合測試而已
Kyle avatarKyle2019-01-01
金融相關產業有一堆稽核法規要你更新 其他就自主管制了
Wallis avatarWallis2019-01-05
先搞定你主管 再讓主管去搞定研發
Kristin avatarKristin2019-01-09
再怎麼更新版本也不會像 distro upgrade 那樣升版吧 XD
Damian avatarDamian2019-01-11
對於重要長期使用的 server 不要太常更新大版本比較好
Brianna avatarBrianna2019-01-16
需要更新的只是安全性更新吧?
以debian 來說 只需要做security update 就好
Jake avatarJake2019-01-17
另外不要小看大版本的更新 尤其是gcc 總是讓我被迫在本地
自己裝gcc 來應付問題
Lucy avatarLucy2019-01-18
另外 為了配合大家各自不同的使用環境 可以試試看用
module
Jack avatarJack2019-01-20
如果真的只是安全更新 軟體的大版本號都不會變吧?
Sierra Rose avatarSierra Rose2019-01-22
主要是推動小版號更新,大版本都是先建後拆進行
Bethany avatarBethany2019-01-26
我再努力看看,感謝大家回答
Regina avatarRegina2019-01-26
當然是離職囉,這種鳥公司。還想救?
Skylar Davis avatarSkylar Davis2019-01-29
有人情壓力,只能再溝通看看…
Michael avatarMichael2019-01-31
真實情況是,一堆 RD 根本也不知道 CentOS 5/6/7 差別在
Michael avatarMichael2019-02-01
哪,當然,程式碼也沒有抽離開系統,通通用 sys default
當遇到系統要升級時,就一推 456 說不升級
Mary avatarMary2019-02-06
評估把舊環境放在容器裡可行嗎?
Ula avatarUla2019-02-10
風險評估先 好嗎?
Ida avatarIda2019-02-13
這種跟電信業很像,尤其是MD要它動CDR簡直是要死給你看
Megan avatarMegan2019-02-15
但是在工作經驗當中,通常都是先建後拆.
如果有非升級不可的理由,要換新系統都是這個做法
Yedda avatarYedda2019-02-17
若是單純只是弱掃問題,就iptables DROP掉它 xD
Frederica avatarFrederica2019-02-18
其實我碰過rehat 6.7搭tomcat ver7版本有弱掃問題
Lydia avatarLydia2019-02-20
就是一直升到tomcat 7版本最後一版,再有問題就是大家下來
先在Labs測tomcat 8的相容性再做升版SOP跟rollback準備
Joseph avatarJoseph2019-02-25
基本上主機如果沒有對外的話,更新的理由就還好了
Sarah avatarSarah2019-02-27
除非這台主機有對外服務,那安全性的東西就是要一直升
Gilbert avatarGilbert2019-03-02
雖然覺得更新是一種必然,卻也會有推動不了的時候。往
往在同行發生過類似的事件,才會意識到其重要性。如果
系統工程師是資安的最後防線,那就看良心與遮羞費是否
可以重過天平的另一端。
Sarah avatarSarah2019-03-03
docker 處理
Ethan avatarEthan2019-03-08
直接上 centos7 裝 docker-ce docker-compose
全部包成 container 就沒有套件版本相容問題
Candice avatarCandice2019-03-08
如果沒辦法 就讓舊機器不能對外 外面加一層新機器做防護
Jacob avatarJacob2019-03-09
推iflyinsky板友,這工作真的要擇善固執點
Todd Johnson avatarTodd Johnson2019-03-11
我公司的也是這樣子,手上甚至還有RHEL3...不過這個需要
Ida avatarIda2019-03-15
太多單位配合,加上重心又不在這款產品上,沒有辦法做
Madame avatarMadame2019-03-17
甚至有些程式原本是在32bit環境下開發,CentOS7只有64bi
bit,轉過去不能保證一定不會有問題
Queena avatarQueena2019-03-22
一般 security update 可以,但是换整個大版本要評估
Caroline avatarCaroline2019-03-26
我覺得真要做,讓其他單位了的話提出完整的企劃比較好
Mason avatarMason2019-03-28
說錯,真要做的話提出企劃讓其他單位瞭解比較好
Zora avatarZora2019-04-02
有辦法可以把整個OS包成docker喔?
Eartha avatarEartha2019-04-05
改用container,其實更需要RD的配合…
Eden avatarEden2019-04-06
我的想法是,如果不制定一個良好的更新流程
Charlotte avatarCharlotte2019-04-06
只會越欠越多,我覺得作假不是我想做的事情
雖然ISMS只是一張紙,但我還是想照著做
Barb Cronin avatarBarb Cronin2019-04-10
來這裡問,只是想知道是不是很多公司都不管這件事情
Kelly avatarKelly2019-04-13
之前有考過ISO 27001,但發現主導很多阻力
Carolina Franco avatarCarolina Franco2019-04-13
但看完各位的推文,我相信我堅持更新應該是對的
謝謝各位的回答
Agatha avatarAgatha2019-04-16
不要太熱血,時間拿來修問題,不更新其實不會怎樣。
Bethany avatarBethany2019-04-18
拿來應付上級自己也不重視的機器不用太...?
Ursula avatarUrsula2019-04-20
上級不重視,出事下級背,讚
Heather avatarHeather2019-04-20
所以才想要改變一下公司的想法…
Zora avatarZora2019-04-20
新版本又不是一定沒其它問題
Kama avatarKama2019-04-25
要玩就先備份再更新
Harry avatarHarry2019-04-28
所以不更新不測試會比較好嗎?
Freda avatarFreda2019-04-28
RD 願意幫忙就沒問題,不願意你就準備背鍋。
Anonymous avatarAnonymous2019-04-30
更新後的系統是否可靠,我覺得要有嚴謹的測試報告才能說
服保守牌的疑慮
Hazel avatarHazel2019-05-02
感覺要先建立測試機制和項目
Faithe avatarFaithe2019-05-04
測得越嚴謹說信心越強
Kyle avatarKyle2019-05-06
自動選字讓我失去打字的信心了...
Franklin avatarFranklin2019-05-10
先承報告上去 告知可能風險 若不更新 發生列表中的風險
責任不該由系統管理員全擔
Barb Cronin avatarBarb Cronin2019-05-12
樓上的方式試過,但出問題必須證明是因為這個漏洞
Olivia avatarOlivia2019-05-13
而且會被說不負責任