漏洞修复与验证

操作风险

• 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份，详细操作请参见创建云服务器备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。
• 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。但是，如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用华为云提供的镜像源进行漏洞修复。

  为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置华为云提供的对应操作系统的镜像源，详细的配置操作请参见配置镜像源。

• 漏洞修复后建议重启服务器，否则可能仍为您推送漏洞信息。

修复紧急度

• 需尽快修复：您必须立即修复的漏洞，攻击者利用该类型的漏洞会对主机造成较大的破坏。
• 可延后修复：您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。
• 暂可不修复：该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。

漏洞显示时长

• 漏洞状态为“修复失败”或者“未处理”的漏洞会一直显示在漏洞列表中。
• 漏洞状态为“修复成功”的漏洞，修复成功后，30天后才不会在漏洞列表中显示。

控制台一键修复漏洞

仅Linux软件漏洞和Windows系统漏洞支持控制台一键漏洞修复。

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。
   图1 企业主机安全
   

3. 进入“漏洞管理”页面，单击“修复”，进入影响服务器页面，如图2所示。
   图2 修复漏洞
   

4. 在影响服务器页面，勾选影响的服务器，单击“一键修复”，修复漏洞，如图3所示。
   图3 一键修复漏洞
   

5. 在弹出的一键修复漏洞窗口中，勾选“我确定知晓如未进行创建备份，可能存在修复失败导致业务中断的风险，同时无法进行回滚”。
6. 单击“确定”，进行一键修复漏洞，修复状态处于“修复中”。

   漏洞修复完成后，若修复成功，修复状态将变更为“修复成功”。若修复失败，修复状态将变更为“修复失败”。

   

   • “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。
   • Windows系统漏洞修复重启后，您还需要在控制台单击已重启，确认主机已重启。

手动修复系统软件漏洞

根据漏洞列表右侧“解决方案”列中的修复建议修复主机中已经被识别出的漏洞，漏洞修复命令可参见表1。

• 不同的漏洞请根据修复建议依次进行修复。
• 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。

“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。

漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复：

漏洞忽略

某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。

忽略后，企业主机安全服务将不会对该漏洞告警。

修复验证

漏洞修复后，建议您立即进行验证。

手动验证

• 通过漏洞详情页面的“验证”，进行一键验证。
• 执行以下命令查看软件升级结果，确保软件已升级为最新版本。

  表2 验证修复命令

  操作系统	修复命令
  CentOS/Fedora /Euler/Redhat/Oracle	rpm -qa | grep 软件名称
  Debian/Ubuntu	dpkg -l | grep 软件名称
  Gentoo	emerge --search 软件名称
  SUSE	zypper search -dC --match-words 软件名称

• 手动执行漏洞检测查看漏洞修复结果。

自动验证

若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。