文档首页 > > 用户指南> 漏洞管理> 漏洞修复与验证

漏洞修复与验证

分享
更新时间: 2020/03/26 GMT+08:00
  • 修复主机漏洞时可能会导致主机业务中断,建议您先使用空闲主机测试漏洞修复不影响业务的正常运行,再对主机执行漏洞修复。
  • 执行漏洞修复前请先备份主机中的数据和配置信息,防止漏洞修复失败导致数据丢失,给您带来不必要的影响。
  • 在线升级漏洞时,请先在主机中配置镜像源,详细的配置操作请参见配置镜像源

修复紧急度

  • 需尽快修复:您必须立即修复的漏洞,攻击者利用该类型的漏洞会对主机造成较大的破坏。
  • 可延后修复:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
  • 暂可不修复:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。

手动修复系统软件漏洞

根据漏洞列表右侧“解决方案”列中的修复建议修复主机中已经被识别出的漏洞,漏洞修复命令可参见表1

  • 不同的漏洞请根据修复建议依次进行修复。
  • 若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
  • windows系统漏洞修复完成后需要重启。
  • Linux系统Kernel类的漏洞修复完成后需要重启。
  • 若服务器未重启,HSS仍可能为你推送漏洞消息。
表1 漏洞修复命令

操作系统

修复命令

CentOS/Fedora /Euler/Redhat/Oracle

yum update 软件名称

Debian/Ubuntu

apt-get update && apt-get install 软件名称 --only-upgrade

Gentoo、SUSE

请参见漏洞修复建议

漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:

方案一:创建新的虚拟机执行漏洞修复
  1. 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像
  2. 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器
  3. 在新启动的主机上执行漏洞修复并验证修复结果。
  4. 确认修复完成之后将业务切换到新主机。
  5. 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
方案二:在当前主机执行修复
  1. 为需要修复漏洞的ECS主机创建备份,详细操作请参见创建云服务器备份
  2. 在当前主机上直接进行漏洞修复。
  3. 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态,详细操作请参见使用备份恢复服务器
  • 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
  • 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。

漏洞忽略

某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。

忽略后,企业主机安全服务将不会对该漏洞告警。

修复验证

漏洞修复后,建议您立即进行验证。

手动验证

  • 执行以下命令查看软件升级结果,确保软件已升级为最新版本。
    表2 验证修复命令

    操作系统

    修复命令

    CentOS/Fedora /Euler/Redhat/Oracle

    rpm -qa | grep 软件名称

    Debian/Ubuntu

    dpkg -l | grep 软件名称

    Gentoo

    emerge --search 软件名称

    SUSE

    zypper search -dC --match-words 软件名称

  • 手动执行漏洞检测查看漏洞修复结果。

自动验证

若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区