阿里云控制台会不定期提示系统安全漏洞。对于阿里云ECS而言,安全漏洞需要及时处理,特别是生产环境。参考处理方法如下:
首先,查看漏洞信息,确认漏洞类型,评估影响。
一般在控制台的资源监控-安全预警里面可以看到。点开漏洞信息就可以看到漏洞的详情。
接下来,确定漏洞如何处理:
阿里云的安全预警里漏洞信息详情页通常会提示修复方法
对于Windows系统:一般通过系统更新打补丁解决,但是通常都需要重启,需要选择合适的时间执行重启。
对于Linux系统,典型的如CentOS系统:
一般通过yum升级相关的软件包即可解决。
例如:修复openssh漏洞(需要重启SSH服务):
rpm -qa|grep openssh;yum -y update openssh-clients openssh-server openssh;rpm -qa|grep openssh;service sshd status;service sshd restart;service sshd status
修复内核漏洞(需要重启ECS):
rpm -qa|grep kernel;yum -y update kernel-devel kernel-firmware kernel-headers kernel;rpm -qa|grep kernel
注意:如果是生产环境,要谨慎处理,务必先创建快照+验证,没问题再在晚上完成操作。
Linux系统的漏洞分几种:
(1)内核漏洞(这种漏洞一般需要升级内核并重启生效,小版本升级问题不大,大版本需要注意评估影响)
(2)基础软件包漏洞(bash、sudo、procps之类的通常关联性很小,直接升级问题不大;如果是glibc这样的关联大的,需谨慎升级)
(3)一般软件漏洞(openssh、ntp之类的,通常可以直接升级,但还是要看具体业务对这些依赖性强不强,如果是Hadoop等集群,需谨慎)
处理后要在控制台漏洞条目那里验证:可以逐项验证,也可以批量验证
