修补Ubuntu与 Windows,RHEL,CentOS,SuSE,debian等没有什么特别之处.

在设计补丁程序时,您需要考虑的基本心态是假设某些东西会破裂.

在设计补丁程序时,我倾向于使用的一些基本指南是：

>始终使用本地系统在内部集中到安装了修补程序的网络

这可能包括使用WSUS或< your_os_here>的镜像.到内部补丁管理机器.最好能够集中查询并让您知道各个计算机上安装的修补程序的状态.

>在机器上预先安装 – 如果可能的话.

如果可能,当补丁出来时,中央服务器将它们复制到各个机器.这实际上只是节省时间,因此您无需等待他们下载和安装,您只需在补丁窗口中启动安装.

>获取中断窗口以安装补丁,您可能必须重新启动,并且可能会中断.确保这些系统的利益相关者知道正在部署补丁.准备好“这个”不起作用.

根据我的基本理论,修补程序会破坏事物,请确保您有一个中断窗口,可以应用足够长的时间来解决关键问题,并可能将修补程序回滚.你不需要让人们坐在那里测试补丁后.我个人非常依赖我的监控系统让我知道一切都在我们可以逃脱的最低水平上运作.但是,随着人们开始工作,还要准备好迎接一些小问题.你应该总是安排一个人准备好接听电话 – 最好是那个直到凌晨3点打补丁的人.

>尽可能自动化

像IT,脚本,脚本中的其他所有内容一样,然后脚本更多.脚本包下载,安装开始,镜像.基本上你想把补丁窗口变成一个婴儿坐着的任务,只需要一个人在那里以防万一.

>每月有多个窗口

这使您无法修补某些服务器,如果由于某种原因他们无法在“指定的夜晚”修补.如果你在晚上1不能这样做,要求他们在晚上2免费.还可以让你同时保持修补服务器的数量.

最重要的是要跟上补丁！如果你不这样做,你会发现你自己不得不做一个非常大的10小时补丁窗口,只是为了回到你被赶上的地步.在事情可能出错的情况下引入更多要点,并找出导致哪个补丁更难以发布.

The other part of this problem is,keeping up with patches is ‘a good thing’,but patches are released almost daily. How many scheduled outages does one have to make if there is a new security patch available every single day?

每月修补一次服务器或每隔一个月修补一次 – 恕我直言 – 这是一个非常可实现且可接受的目标.更重要的是,你将不断修补服务器,更不用说了,你开始遇到需要为每台服务器应用数百个补丁的情况.

至少你需要一个月的窗户数量？这取决于您的环境.你有多少台服务器？您的服务器所需的正常运行时间是多少？

较小的9×5环境可能会在一个月内通过一个补丁窗口逃脱.大型24×7商店可能需要两个.非常大的24x7x365每周可能需要一个滚动窗口,以便每周修补一组不同的服务器.

找到适合您和您的环境的频率.

要记住的一件事是100％最新是一个不可能达到的目标 – 不要让你的安全部门告诉你.尽你所能,不要落后太多.