ไม่มีอะไรพิเศษเกี่ยวกับการติดตั้ง Ubuntu กับ Windows, RHEL, CentOS, SuSE, debian เป็นต้น
สถานะพื้นฐานของความคิดที่คุณจำเป็นต้องมีเมื่อออกแบบขั้นตอนการแก้ไขคือการสมมติว่ามีบางอย่างจะพัง
แนวทางพื้นฐานบางอย่างที่ฉันมักใช้เมื่อออกแบบการตั้งค่าแพทช์คือ:
- ใช้ระบบโลคัลเสมอเพื่อรวมศูนย์ภายในเครือข่ายของคุณที่ติดตั้งแพตช์
ซึ่งอาจรวมถึงการใช้ WSUS หรือมิเรอร์ของ<your_os_here>เครื่องการจัดการโปรแกรมแก้ไขภายใน ดีกว่าที่สามารถสืบค้นจากส่วนกลางและแจ้งให้คุณทราบสถานะของแพทช์ที่ติดตั้งในเครื่องแต่ละเครื่องของคุณ
- เตรียมการติดตั้งล่วงหน้า - เมื่อเป็นไปได้ - บนเครื่อง
เมื่อเป็นไปได้เมื่อแพตช์ออกมาให้เซิร์ฟเวอร์ส่วนกลางคัดลอกมันไปยังเครื่องแต่ละเครื่อง นี่เป็นเพียงการช่วยประหยัดเวลาเพื่อให้คุณไม่ต้องรอให้พวกเขาดาวน์โหลดและติดตั้งคุณเพียงแค่ต้องเริ่มการติดตั้งในระหว่างที่มีการอัพเดท
- รับหน้าต่างดับเพื่อติดตั้งแพตช์ในคุณอาจต้องรีบูตและบางสิ่งอาจจะแตก ตรวจสอบให้แน่ใจว่าผู้มีส่วนได้เสียสำหรับระบบเหล่านั้นทราบว่ามีการติดตั้งแพตช์ เตรียมตัวให้พร้อมสำหรับ "สิ่งนี้" ไม่ทำงานสาย
เพื่อให้สอดคล้องกับทฤษฎีพื้นฐานของฉันที่แพตช์หยุดพักสิ่งต่าง ๆ ตรวจสอบให้แน่ใจว่าคุณมีหน้าต่างดับเพื่อใช้แพตช์นานพอที่จะแก้ไขปัญหาที่สำคัญและอาจย้อนแพทช์กลับ คุณไม่จำเป็นต้องมีคนนั่งอยู่ที่นั่นหลังจากการทดสอบแพทช์ โดยส่วนตัวแล้วฉันใช้ระบบการตรวจสอบอย่างหนักเพื่อให้ฉันรู้ว่าทุกอย่างทำงานได้ในระดับต่ำสุดที่เราสามารถทำได้ แต่ก็ต้องเตรียมพร้อมสำหรับปัญหาที่จู้จี้เล็กน้อยที่จะถูกเรียกเข้าไปในขณะที่ผู้คนทำงาน คุณควรมีคนกำหนดไว้ให้พร้อมรับโทรศัพท์ - ไม่ควรเป็นคนที่แต่งตัวประหลาดจนถึงตี 3 ก็ได้
เช่นเดียวกับทุกสิ่งทุกอย่างในไอทีสคริปต์สคริปต์แล้วจึงสคริปต์อีกมากมาย สคริปต์การดาวน์โหลดแพ็คเกจการติดตั้งเริ่มต้นมิเรอร์ โดยทั่วไปคุณต้องการเปลี่ยนหน้าต่างปะเป็นงานดูแลเด็กเล็กที่ต้องการแค่มนุษย์ในกรณีที่สิ่งต่าง ๆ แตกหัก
- มีหลายหน้าต่างในแต่ละเดือน
สิ่งนี้จะช่วยให้คุณไม่สามารถแพตช์เซิร์ฟเวอร์บางตัวได้ไม่ว่าจะด้วยเหตุผลใดก็ตามที่ไม่สามารถแก้ไขได้ใน "คืนที่ได้รับการแต่งตั้ง" หากคุณไม่สามารถทำได้ในคืนที่ 1 ให้กำหนดว่าพวกเขาจะว่างในคืนที่ 2 นอกจากนี้ยังช่วยให้คุณสามารถรักษาจำนวนเซิร์ฟเวอร์ที่ได้รับการแก้ไขในเวลาเดียวกัน
ที่สำคัญที่สุดคือให้ทันกับแพตช์! หากคุณไม่มีคุณจะพบว่าตัวเองต้องทำ windows patch ที่มีขนาดใหญ่มากขึ้น 10 ชั่วโมงเพื่อกลับไปยังจุดที่คุณถูกจับ แนะนำจุดที่มากขึ้นซึ่งสิ่งต่าง ๆ อาจผิดไปและทำการค้นหาว่าแพตช์ใดที่ทำให้เกิดปัญหามากขึ้น
อีกส่วนหนึ่งของปัญหานี้คือการรักษาด้วยโปรแกรมแก้ไขคือ 'สิ่งที่ดี' แต่โปรแกรมแก้ไขจะเปิดตัวเกือบทุกวัน หากมีแพตช์ความปลอดภัยใหม่ให้บริการทุกวันต้องทำอย่างไร
การติดตั้งเซิร์ฟเวอร์เดือนละครั้งหรือทุก ๆ เดือนคือ - IMHO - เป็นไปได้และเป็นเป้าหมายที่ยอมรับได้ ยิ่งไปกว่านั้นและคุณจะต้องทำการปะเซิร์ฟเวอร์ตลอดเวลาน้อยกว่าและเริ่มเข้าสู่สถานการณ์ที่คุณมีแพตช์นับร้อยที่ต้องใช้ต่อเซิร์ฟเวอร์
เท่าที่คุณต้องการ Windows กี่เดือน? ขึ้นอยู่กับสภาพแวดล้อมของคุณ คุณมีเซิร์ฟเวอร์กี่เครื่อง เวลาที่ต้องใช้ในการขึ้นลงของ severs คืออะไร?
สภาพแวดล้อมที่เล็กกว่าที่มีขนาด 9x5 อาจอยู่ห่างจากหน้าต่างปะต่อหนึ่งเดือน ร้านค้าขนาดใหญ่ 24x7 อาจต้องมีสองร้าน ขนาดใหญ่มาก 24x7x365 อาจต้องมีหน้าต่างกลิ้งทุกสัปดาห์เพื่อให้มีชุดเซิร์ฟเวอร์ที่แตกต่างกันในแต่ละสัปดาห์
ค้นหาความถี่ที่เหมาะกับคุณและสภาพแวดล้อมของคุณ
สิ่งหนึ่งที่ต้องจำไว้คือ 100% เป็นเป้าหมายที่เป็นไปไม่ได้ที่จะไปถึง - อย่าให้แผนกรักษาความปลอดภัยของคุณบอกคุณเป็นอย่างอื่น ทำอย่างดีที่สุดอย่าตกหลังไปไกลเกินไป