Agence web » Actualités du digital » Comment vous assurer que vos serveurs Ubuntu sont toujours corrigés

Comment vous assurer que vos serveurs Ubuntu sont toujours corrigés

ParTremplin Numérique Publié le

Garder votre serveur à jour est très important. Les logiciels Linux et Linux sont constamment corrigés, à la fois pour recevoir des mises à jour de sécurité ainsi que des corrections de bugs. L'application rapide de correctifs vous aide à éviter d'être victime de bugs zero-day.

Gestion des correctifs

La gestion des correctifs fait référence à vos pratiques de mise à jour des serveurs. Une bonne gestion des correctifs signifie que tous vos serveurs sont mis à jour rapidement en réponse aux correctifs de sécurité, à la fois dans le noyau et le système Linux ainsi que dans le logiciel que vous utilisez.

La sécurité commence par l'administrateur système; vous devez effectuer régulièrement des audits de sécurité et de mise à jour et vous tenir au courant des informations de sécurité. La plupart des distributions Linux ont des listes de diffusion de sécurité auxquelles vous pouvez vous abonner. Ceux-ci vous enverront des notifications chaque fois que de nouveaux correctifs seront disponibles. Les autres logiciels que vous utilisez peuvent avoir leurs propres listes de diffusion ou vous obliger à effectuer un suivi manuel, afin que vous puissiez décider quand une mise à jour est nécessaire.

La disponibilité est importante, mais si votre réseau est tolérant aux pannes (c'est-à-dire que vous avez plusieurs serveurs), leur redémarrage un à la fois ne devrait pas poser de problème. La plupart des correctifs des logiciels utilisateur ne vous obligeront pas à redémarrer l'ensemble du système, mais si un service en cours d'exécution doit être mis à jour, il devra généralement être redémarré. Pour quelque chose comme nginx, cela peut être bien, mais certains services, comme MySQL, mettent beaucoup de temps à redémarrer car ils doivent être arrêtés et redémarrés avec élégance. Vous devez éviter de les redémarrer autant que possible, surtout si vous n'avez pas de serveurs de basculement.

Mise à niveau régulière et manuelle

Pour de nombreuses personnes, une simple commande de mise à jour et de mise à niveau fera le travail de mise à jour du serveur:

sudo apt-get update && sudo apt-get upgrade

le apt-get update La commande met à jour la liste des packages et récupère les dernières informations sur les dernières versions des packages que vous avez installés. le apt-get upgrade La commande installera les nouvelles versions des logiciels que vous avez déjà installés.

Cela n'installera pas de nouvelles dépendances et n'installera pas certaines mises à jour du système. Pour cela, vous devrez exécuter:

sudo apt-get dist-upgrade

qui effectuera une mise à niveau beaucoup plus approfondie. L'une ou l'autre commande installera toutes les nouvelles mises à jour et imprimera une liste de ce qui a changé. Certains services peuvent nécessiter un redémarrage de ce service pour appliquer les modifications, mais vous n'aurez généralement pas à redémarrer l'ensemble du système, sauf si dist-upgrade l'exige.

Ce processus est facile à faire si vous ne disposez que de quelques serveurs, mais la gestion manuelle des correctifs nécessite plus de temps lorsque vous ajoutez des serveurs. Le service Paysage de Canonical vous permettra de gérer et de mettre à jour vos machines via une interface Web, mais il n'est gratuit que pour 10 machines, après quoi il nécessite un abonnement Ubuntu Advantage. Si votre réseau est particulièrement compliqué, vous pouvez envisager un service d'orchestration comme Puppet.

Correctifs de sécurité automatiques avec mises à niveau sans assistance

le unattended-upgrades l'utilitaire appliquera automatiquement certaines mises à niveau de sécurité importantes. Il peut redémarrer le serveur automatiquement, qui peut être configuré à une certaine heure afin qu'il ne tombe pas en panne en milieu de journée.

Installer unattended-upgrades de apt, bien qu'il se trouve peut-être déjà sur votre système.

sudo apt update
sudo apt install unattended-upgrades

Cela va créer un fichier de configuration dans /etc/apt/apt.conf.d/50unattended-upgrades, que vous voudrez ouvrir dans votre éditeur de texte préféré.

Assurez-vous que la configuration est la suivante, avec la ligne «sécurité» non commentée:

Unattended-Upgrade::Allowed-Origins {
 //      "${distro_id}:${distro_codename}";
         "${distro_id}:${distro_codename}-security";
         // Extended Security Maintenance; doesn't necessarily exist for
         // every release and this system may not have it installed, but if
         // available, the policy for updates is such that unattended-upgrades
         // should also install from here by default.
 //      "${distro_id}ESM:${distro_codename}";
 //      "${distro_id}:${distro_codename}-updates";
 //      "${distro_id}:${distro_codename}-proposed";
 //      "${distro_id}:${distro_codename}-backports";
 };

Cela active les mises à jour automatiques pour les mises à jour de sécurité, mais vous pouvez l'activer pour tout en supprimant la mise en commentaire de la première ligne.

Pour activer les redémarrages automatiques, décommentez cette ligne et remplacez la valeur par «true»:

Unattended-Upgrade::Automatic-Reboot "true";

Pour définir une heure de redémarrage, décommentez cette ligne et modifiez la valeur à l'heure que vous souhaitez.

Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Les paramètres par défaut feront redémarrer votre serveur à 2 heures du matin s'il y a des correctifs de sécurité nécessitant un redémarrage, bien que ce soit une chose occasionnelle, et vous ne devriez pas voir votre serveur redémarrer tous les jours. Assurez-vous que vos applications en cours d'exécution sont configurées pour redémarrer automatiquement au démarrage.

Alternativement, unattended-upgrades peut être configuré pour vous envoyer des notifications par e-mail vous demandant de redémarrer manuellement le serveur lorsque cela est nécessaire, ce qui empêchera les redémarrages inattendus.

Livepatch canonique

Canonical Livepatch est un service qui corrige automatiquement votre noyau sans nécessiter le redémarrage de votre serveur. Il est gratuit pour un maximum de trois machines, après quoi vous aurez besoin d'un abonnement Ubuntu Advantage pour chaque machine.

Assurez-vous que votre système est à jour et installez Livepatch via snap:

sudo snap install canonical-livepatch

Ensuite, vous devrez récupérer un jeton Livepatch sur leur site Web. Une fois que vous l'avez, vous pouvez exécuter:

sudo canonical-livepatch enable TOKEN

Ensuite, vérifiez qu'il fonctionne correctement avec:

sudo canonical-livepatch status --verbose

Notez que l'image Ubuntu par défaut sur AWS ne prend pas actuellement en charge LivePatch, car AWS utilise son propre noyau pour des performances supplémentaires. Vous devrez revenir à l'ancien noyau ou installer une version différente d'Ubuntu si vous souhaitez utiliser Livepatch.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.