7主机基本安全之二linux在线自动升级课题.doc

主机基本安全之二： Linux 在线自动升级 2 为何需要进行软件升级 2 如何进行软件升级 3 各种 distributions 的自动升级机制 4 CentOS 的 yum 自动升级 5 yum 的设定文件 6 yum 的安装、升级、移除、查询等功能 7 安装套件群组的功能 10 不同版本间的升级 12 CentOS 4.2 升级到 CentOS 4.3 12 Fedora Core Release 1 升级到 CentOS 4.3 13 Debian 的 apt 自动升级：以 B2D 为例 18 APT 的设定文件 18 实际使用 APT 19 重点回顾 23 课后练习 23 主机基本安全之二： Linux 在线自动升级 在现在的 Internet 上面，Cracker 实在是太多了！这些 Cracker 会利用已经存在的系统漏洞，来进行侦测、入侵您的主机， 因此，除了未来架设防火墙之外，最重要的 Linux 日常管理工作，莫过于套件的升级了！ 不过，经由每日观察网络安全通报所告知的套件漏洞，以及等待各大 distribution 针对这些漏洞来提供 RPM 档案，以使 Client 来升级的过程中，实在是有点缓慢啊！因此， 目前就有很多在线直接更新的机制出现了！有了这些在线直接更新 RPM 的手段与方法，我们系统管理员在管理主机系统上面，可就轻松的多啰！赶紧来看看吧！ 为何需要进行软件升级 很多朋友在网络上面常常会这样留言： 『大家好，我的 Linux 好像怪怪的，因为没有办法以 root 的身份登入了』， 呵呵！几乎可以直接告诉这位朋友：『你的系统被入侵了』！嗄～真假？早上才装好，下午被入侵？ 没错啊～但～对方是如何办到的呢？ 在前一章我们不是有提到『网络联机的 port 其实是由软件所开启的』， 所以，如果该软件本身就有问题的话，那么当然你的系统就容易被攻破了！ 咦！那自由软件干嘛开发出有问题的程序啊？这是因为程序是人写出来的， 在设计之初有些奇怪的用法可能没有考虑到，或者是某些安全问题没有考虑到， 而造成程序的疏失。当这样的程序发布后，很多人会针对这些程序进行检验，如果发现问题就会回报给社群。 那么当回报后直到程序更新之前，总会有一段空窗期，这期间可能就会有些 cracker 开发出具有攻击码的程序， 如果这些攻击程序散布出来的话，那么随便一个小朋友拿到这样的程序，就能攻击你啦！ 这个问题并非仅存在于某个单一操作系统，而是所有的操作系统都存在这样的问题， 而且套件的漏洞倒不是一定是会被利用来进行入侵，有的时候，某些套件的漏洞可能导致您 Linux 主机的运行不良或者是容易产生系统当机等等的问题呢！所以，一个好的 Linux 主机， 他的套件最好是随时保持在较新的版本上面，这样还是比较好一点的啦！关于安全漏洞的通报您可以参考底下的网站： * 台湾计算机危机处理小组(TWCERT)：.tw/ * Red Hat 的官方说明：/apps/support/errata/ 所以啊，并不是有防火墙就万事 OK ！你还必须要更新你的软件才行， 通常建议你，安装 Linux 完毕后的第一项工作那就是..... 立刻进行整体软件的升级！ Tips: 事实上，自由软件的安全性还是比较好的！因为有太多人帮忙检验程序代码与更新程序代码， 并且，万一程序真的有问题，在发现问题到推出修补程序的期间是比较短的， 也就是说，攻击者可以利用的时间相对缩短，当然使用自由软件的我们就比较安全啦！ ^_^ 如何进行软件升级 还记得你是如何安装你 Linux 上面的软件吗？不就是 rpm, tarball 与 dpkg 吗？ 所以啰，你的软件如果想要升级，那就得依据当时你安装该软件的方式来进行升级啊！ 而每种方式都有其适用性： * RPM：这是目前最常见于 Linux distribution 当中的套件安装管理方式， 包括 CentOS / Fedora / SuSE / Red Hat / Mandriva 等等，都是使用这个方式来管理的； * Tarball：利用软件的官方网站所释出的原始码在您的系统上面编译与安装， 一般来说，由于软件是直接在自己的机器上面编译的，所以效能会比较好一些。 不过，升级的时候就比较麻烦，因为又得要下载新的原始码并且重新编译一次。 这种安装模式常见于某些特殊软件 (没有包含在 distribution 当中)，或者是 Gentoo 这个强调效能的 distribution； * dpkg：是 debian 这个 distribution 所使用的套件管理方式，与 RPM 很类似，都是透过预先编译的处理，可以让 end user 直接使用来升级与安装