漏洞修复与验证
- Linux软件漏洞和Windows系统漏洞:
您可以使用“一键修复”功能进行修复,也可以根据界面提供的修复建议进行手动修复。
修复完成后,可通过“验证”功能,快速验证漏洞是否修复成功。
Windows漏洞修复需要公网访问权限。
- Web-CMS漏洞:
- 应用漏洞:
约束限制
- 目标服务器“服务器状态”为“运行中”,“Agent状态”为“在线”,“防护状态”为“防护中”。
操作风险
- 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云服务器备份(CSBS)为ECS创建备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
修复紧急度
- 高危:您必须立即修复的漏洞,攻击者利用该类型的漏洞会对主机造成较大的破坏。
- 中危:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
- 低危:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。
自动修复漏洞(漏洞视图)
仅Linux系统漏洞和Windows系统漏洞支持控制台一键自动修复漏洞。
单次最多可修复1000个服务器漏洞,如果您有超过1000的漏洞需要修复,请分批修复。
- 登录管理控制台。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 修复Linux漏洞和Windows漏洞
- 在修复对话框中勾选知晓风险后,单击“自动修复”。
- 单击漏洞名称,进入漏洞详情页面。
- 选择“历史处置记录”页签,您可以查看目标漏洞“状态”列的修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
自动修复漏洞(主机视图)
仅Linux系统漏洞和Windows系统漏洞支持控制台一键自动修复漏洞。
- 登录管理控制台。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 修复Linux漏洞和Windows漏洞。
- 修复服务器存在的所有Linux或Windows漏洞
- 在目标漏洞服务器所在行的“操作”列,单击“修复”。
您也可以选中多台服务器,并在列表上方单击“批量修复”;如果需要修复所有主机漏洞,您可以勾选批量修复对话框中的“选中全部主机”。
拥有至少一个旗舰版防护配额的主机时,支持选中全部主机操作。
- 在修复对话框中,勾选需要修复漏洞的类型并勾选知晓风险后,单击“确认”。
仅Linux系统漏洞、Windows系统漏洞支持一键自动修复,Web-CMS漏洞、应用漏洞需要您登录服务器手动修复。
- 单击服务器名称,进入服务器详情页面,查看所有漏洞修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
- 在目标漏洞服务器所在行的“操作”列,单击“修复”。
- 修复单台服务器存在的一个或多个漏洞
- 单击目标漏洞服务器名称,进入服务器详情页面。
- 在目标漏洞所在行的“操作”列,单击“修复”。
您也可以勾选所有目标漏洞,单击漏洞列表上方的“批量修复”,批量修复漏洞。
- 勾选知晓风险后,单击“自动修复”。
- 在目标漏洞行的状态列,查看漏洞的修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
- 修复服务器存在的所有Linux或Windows漏洞
手动修复系统软件漏洞
进入到漏洞的基本信息页,可根据修复建议修复主机中已经被识别出的漏洞,漏洞修复命令可参见表3。
- 不同的漏洞请根据修复建议依次进行修复。
- 若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
|
操作系统 |
修复命令 |
|---|---|
|
CentOS/Fedora /Euler/Redhat/Oracle |
yum update 软件名称 |
|
Debian/Ubuntu |
apt-get update && apt-get install 软件名称 --only-upgrade |
|
Gentoo |
请参见漏洞修复建议。 |
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
- 为需要修复漏洞的ECS主机创建镜像。
- 使用该镜像创建新的ECS主机。
- 在新启动的主机上执行漏洞修复并验证修复结果。
- 确认修复完成之后将业务切换到新主机。
- 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
- 为需要修复漏洞的ECS主机创建备份。
- 在当前主机上直接进行漏洞修复。
- 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态。
- 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。如果漏洞修复不成功可以随时释放以节省开销。
- 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
手动修复漏洞
对于Web-CMS漏洞和应用漏洞,HSS不支持一键自动修复,您可以参考漏洞详情页面的修复建议,登录服务器手动修复。
- “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启服务器,否则HSS仍可能为您推送漏洞消息。
- 不同的漏洞请根据修复建议依次进行修复。
- 若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
查看漏洞修复建议
- 登录管理控制台。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 单击目标漏洞名称,进入漏洞详情页面,查看修复建议。
参考漏洞修复方案进行漏洞修复
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
- 方案一:创建新的虚拟机执行漏洞修复
- 为需要修复漏洞的ECS主机创建镜像。
- 使用该镜像创建新的ECS主机。
- 在新启动的主机上执行漏洞修复并验证修复结果。
- 确认修复完成之后将业务切换到新主机。
- 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
- 方案二:在当前主机执行修复
- 为需要修复漏洞的ECS主机创建备份。
- 在当前主机上直接进行漏洞修复。
- 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态。
- 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。如果漏洞修复不成功可以随时释放以节省开销。
- 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
忽略漏洞
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。
忽略后,企业主机安全将不会对该漏洞告警。
- 登录管理控制台。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 在目标漏洞所在行的“操作”列,单击“忽略”。
- 在弹出的对话框中,单击“确认”。
漏洞添加白名单
如果您评估某些漏洞对您的业务不会产生影响,并且不想在漏洞列表中看到该漏洞,您可以将该漏洞加入白名单,加入白名单后,针对漏洞列表已经展示的漏洞信息会处理为忽略,不再为您上报告警,在下一次漏洞扫描任务执行时不再扫描该漏洞和呈现该漏洞信息。
- 登录管理控制台。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 将漏洞影响的所有服务器加入白名单
- 在目标漏洞所在行的“操作”列,选择。
您也可以都选多个目标漏洞,单击漏洞列表上方的“加入白名单”。
- 在弹出的对话框中,单击“确认”。
- 在目标漏洞所在行的“操作”列,选择。
- 将漏洞影响的单个或多个服务器加入白名单。
- 单击目标漏洞的名称,进入漏洞详情页面。
- 选择“受影响服务器”页签。
- 在目标服务器所在行的“操作”列,选择。
您也可以勾选多个服务器,单击服务器列表上方的“加入白名单”。
- 在弹出的对话框中,单击“确认”。
- 通过白名单规则将漏洞加入白名单。
- 在漏洞管理界面右上角,单击“漏洞策略配置”,进入漏洞策略配置页面。
- 在漏洞白名单配置区域,单击“新增规则”。
- 根据界面提示配置白名单规则,相关参数说明请参见表 漏洞白名单规则参数说明。
- 单击“确认”。
- 将漏洞影响的所有服务器加入白名单
修复验证
漏洞修复后,建议您立即进行验证。
手动验证
- 通过漏洞详情页面的“验证”,进行一键验证。
- 执行以下命令查看软件升级结果,确保软件已升级为最新版本。
表5 验证修复命令 操作系统
修复命令
CentOS/Fedora /Euler/Redhat/Oracle
rpm -qa | grep 软件名称
Debian/Ubuntu
dpkg -l | grep 软件名称
Gentoo
emerge --search 软件名称
自动验证
若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。
