E D R , A S I H C RSS

FrontPage solaris_patch_manage

솔라리스 패치 관리에 대해서 한번 알아보겠습니다. 리눅스의 경우에는 워낙에 사용자층이 두텁고 또 완전 오픈소스 구조라서 커널부터 명령어까지 취약점도 자주 발견되고 또 그에따라 패치도 자주 발표됩니다. 어떻게보면 좋은거지만 관리자 입장에서는 아주 짜증나는 일이겠지요..

그런데 알고보면 솔라리스도 취약점과 그에대한 패치가 자주 나옵니다. 그런데 솔라리스 유저는 리눅스 유저만큼 패치에 대해서 민감하지 않은것 같습니다. 뭐.. 리눅스는 워낙에 exploit이 많이 발표되는터라 패치 안하면 작살나지만.. 반면에 솔라리스는 좀 덜하죠.. 그래서 침해사고도 리눅스보다는 덜 발생하는것 같습니다. 하지만 솔라리스도 가끔 치명적인 결함이 발견되곤 합니다.

그리고 패치를 할때 recommended patch를 만병통치약으로 생각하시는것 같습니다. 시스템 설치하고 recommended patch 설치하고.. 그 다음에 또 패치 하십니까? 네.. 하시는 분들 계시죠.. 빠르면 한달에 한번.. 길면 생각날때마다 한번씩..^^

그사이에 많은 취약점이 나올겁니다. 간혹 치명적인 결함도 거기에 끼어있을테구요.. 그래서 결론은 "취약점이 발생할때마다 바로바로 패치를 해주자!!" 입니다. 음.. 근데 사실 저도 그렇게 못하고 있습니다 -_-

말이 좀 길어졌는데 이만 줄이구요.. 이제 패치 관리에 대해서 알아보겠습니다.

1. Recommended Patch Cluster

서버 관리자에게 아주 유익한 놈입니다. 현재까지 발생한 문제에 대한 모든 패치를 포함하고 있습니다. 썬에서 패치가 새로 나올때마다 업데이트를 하고 있기 때문에 시스템 처음 설치후 받아서 설치를 해주면 그 순간까지 알려진 모든 문제에 대한 패치를 하게되는 겁니다.

패치 과정은 설치 스크립트에 의해서 진행이 되며 설치하려는 패치가 시스템에 필요없는 경우에는 설치하지 않고 넘어갑니다. 관리자가 일일이 해야할 일을 알아서 다 해주는거죠..

1-1. 패치 클러스터 다운로드

http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access

여기서 본인의 시스템에 맞는 패치 클러스터를 다운 받으세요.. 이렇게 받아서 서버로 다시 올리는 무식한 행동을 하고 싶지 않은 분들은 서버에서 wget을 이용해서 직접 받으셔도 됩니다.

# cd /var/tmp
# wget "ftp://sunsolve.sun.com/pub/patches/8_Recommended.zip" (sparc 사용자)
# wget "ftp://sunsolve.sun.com/pub/patches/8_x86_Recommended.zip" (x86 사용자)

1-2. 패치 클러스터 인스톨

클러스터를 설치할때는 싱글유저 모드에서 하도록 권장하고 있습니다. 이유는 패치중에 시스템에 어떤 변화가 발생하는것이 패치에 부정적인 영향을 줄 수 있기 때문입니다.

저는 IDC에 가기 귀찮아서 주로 원격으로 설치를 하는데요.. ssh하고 필수 프로세스만 남겨두고 나머지는 다 내립니다. 그리고 일반 사용자가 로그인하지 못하도록 /etc/nologin 파일을 만들어놓고 설치를 합니다.

뭐.. 아직까지는 문제가 발생한적은 없는데.. 이왕이면 전문가들이 하라는데로 싱글모드에서 하시기 바랍니다.

# unzip /var/tmp/8_*zip
# init S
# /var/tmp/8_*d/install_cluster

몇가지 질문에 예스로 대답하면 설치가 진행됩니다. 시스템 상태에 따라 설치시간은 차이가 있습니다.
설치가 끝나면 리부팅을 하셔야 합니다.

# rm -rf /var/tmp/8_*
# init 6

2. Security Alerts

위에서 패치 클러스터를 설치하였습니다. 이제 한동안은 보안 취약점에 대한 신경을 덜써도 될겁니다. 하지만 그게 오래가지는 못하겠죠..

그렇다고 몇일에 한번꼴로 클러스터를 설치 할 수도 없습니다. 그럼 이제부터 썬에서 새롭게 나오는 패치에 관한 정보를 얻을 수 있는 방법을 알아 보겠습니다.

http://sunsolve.sun.com/pub-cgi/search.pl?mode=results&origin=advanced&range=20&so=date&coll=fsalert&zone_32=category:security

주소가 좀 길죠.. 즐겨찾기에 추가해 놓으세요.. 여기서 새로운 취약점에 대한 정보를 볼 수 있고 그와 관련된 패치를 다운로드 할 수 있습니다. 그리고 아직 패치가 발표되지 않은 취약점의 경우에는 임시방편으로 취약점을 막을 수 있는 방법을 알려줍니다.

이 페이지에 자주 접속해서 본인의 서버에서 사용하는 서비스에 대한 취약점이 나올 경우에는 해당 패치를 받아서 설치를 하시면 됩니다. 취약점에 대해 설명하는 페이지의 맨 마지막에 보면 Resolution 부분에 패치가 링크되어 있습니다.
클릭하시면 해당 패치에 대한 설명이 쭉 나오는데 패치를 하기 전에 우선 해당 패치가 시스템에 설치가 되어있는지를 먼저 알아보세요.

# showrev -p | grep 12345-12

결과가 안나올 경우에는 해당 패치를 받아서 설치하세요.. 그리고 패치를 받을때 패치에 대한 설명에서 Install Requirement와 Special Note 부분을 찾아서 읽어보시기 바랍니다.

이 부분에는 해당 패치 설치 전/후에 어떤것을 해야 하는지에 대해서 나와있습니다. 보통 커널과 관련된 패치의 경우에는 리부팅을 요구하게 됩니다. 그러니 꼭 읽어보시고 설치를 하세요.

# cd /var/tmp; unzip 12345-12.zip
# patchadd 12345-12

3. Newsletter

마지막으로 썬의 뉴스레터를 받아서 보시기 바랍니다. 취약점과 패치에 관한 정보를 주기적으로 받아 볼 수 있습니다.

Patch Club Report와 Sun Alert Weekly Summary Report 이 두개만 보시면 될겁니다.

http://www.sun.com/newsletter


Valid XHTML 1.0! Valid CSS! powered by MoniWiki
last modified 2005-06-08 11:44:31
Processing time 0.0277 sec