漏洞修复与验证
- Linux软件漏洞和Windows系统漏洞:
您可以使用“一键修复”功能进行修复,也可以根据界面提供的修复建议进行手动修复。
修复完成后,可通过“验证”功能,快速验证漏洞是否修复成功。
Windows漏洞修复需要公网访问权限。
- Web-CMS漏洞:
操作风险
- 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云服务器备份(CSBS)为ECS创建备份,详细操作请参见创建云服务器备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
- 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。但是,如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。
为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置华为云提供的对应操作系统的镜像源,详细的配置操作请参见配置镜像源。
- 漏洞修复后建议重启服务器,否则可能仍为您推送漏洞信息。
修复紧急度
- 需尽快修复:您必须立即修复的漏洞,攻击者利用该类型的漏洞会对主机造成较大的破坏。
- 可延后修复:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
- 暂可不修复:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。
漏洞显示时长
- 漏洞状态为“修复失败”或者“未处理”的漏洞会一直显示在漏洞列表中。
- 漏洞状态为“修复成功”的漏洞,修复成功后,30天后才不会在漏洞列表中显示。
控制台一键修复漏洞
仅Linux软件漏洞和Windows系统漏洞支持控制台一键漏洞修复。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
图1 企业主机安全
- 进入“漏洞管理”页面,单击“修复”,进入影响服务器页面,如图2所示。
- 在影响服务器页面,勾选影响的服务器,单击“一键修复”,修复漏洞,如图3所示。
- 在弹出的一键修复漏洞窗口中,勾选“我确定知晓如未进行创建备份,可能存在修复失败导致业务中断的风险,同时无法进行回滚”。
- 单击“确定”,进行一键修复漏洞,修复状态处于“修复中”。
漏洞修复完成后,若修复成功,修复状态将变更为“修复成功”。若修复失败,修复状态将变更为“修复失败”。
- “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
- Windows系统漏洞修复重启后,您还需要在控制台单击已重启,确认主机已重启。
手动修复系统软件漏洞
根据漏洞列表右侧“解决方案”列中的修复建议修复主机中已经被识别出的漏洞,漏洞修复命令可参见表1。
- 不同的漏洞请根据修复建议依次进行修复。
- 若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
操作系统 |
修复命令 |
---|---|
CentOS/Fedora /Euler/Redhat/Oracle |
yum update 软件名称 |
Debian/Ubuntu |
apt-get update && apt-get install 软件名称 --only-upgrade |
Gentoo、SUSE |
请参见漏洞修复建议。 |
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
- 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。
- 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。
- 在新启动的主机上执行漏洞修复并验证修复结果。
- 确认修复完成之后将业务切换到新主机。
- 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
- 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
- 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
漏洞忽略
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。
忽略后,企业主机安全服务将不会对该漏洞告警。
修复验证
漏洞修复后,建议您立即进行验证。
手动验证
- 通过漏洞详情页面的“验证”,进行一键验证。
- 执行以下命令查看软件升级结果,确保软件已升级为最新版本。
表2 验证修复命令 操作系统
修复命令
CentOS/Fedora /Euler/Redhat/Oracle
rpm -qa | grep 软件名称
Debian/Ubuntu
dpkg -l | grep 软件名称
Gentoo
emerge --search 软件名称
SUSE
zypper search -dC --match-words 软件名称
- 手动执行漏洞检测查看漏洞修复结果。
自动验证
若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。