MR - stock.adobe.com
So verwalten und steuern Sie Patches in Linux-Umgebungen
Die Grundsätze für das Patch-Management sind plattformübergreifend gleich. Trotzdem hat Linux einige Besonderheiten, die Sie beachten sollten. Wir erklären, was wichtig ist.
Windows-Systeme sind dafür bekannt, dass sie viele Patches brauchen. Trotzdem ist die Patch-Verwaltung bei Linux teilweise komplizierter, weil das Betriebssystem einen verteilten Aufbau hat.
Das Ausrollen von Desktop-Patches von Windows ist für Administratoren zu einer Routineaufgabe geworden. Unternehmensnetzwerke umfassen jedoch zunehmend eine Mischung aus verschiedenen Desktop-Betriebssystemen. Daher ist es für alle Desktop-Administratoren – auch, wenn sie bisher exklusiv Windows nutzen – wichtig, zumindest die Grundlagen der Linux-Patch-Verwaltung zu kennen und zu wissen, wie der Prozess funktioniert.
Warum ist die Patch-Verwaltung wichtig?
Es gibt zwei wichtige Gründe dafür, Patches besondere Aufmerksamkeit zu schenken. Erstens beheben sie Fehler und tragen dazu bei, dass der Linux-Kernel effizienter arbeitet.
Der zweite und wichtigere Grund ist das Schließen bekannter Sicherheitslücken im Betriebssystem. Jedes Mal, wenn eine Schwachstelle entdeckt wird, macht sich die Hacker-Gemeinschaft an die Arbeit und versucht, einen Exploit auf der Grundlage dieser Schwachstelle zu entwickeln.
Sobald ein Patch zum Beheben einer Schwachstelle erstellt wurde, suchen Cyberkriminelle aktiv nach veralteten Systemen. Admins sollten daher so schnell wie möglich Sicherheits-Patches aufspielen, um sich vor ihnen zu schützen.
Wie oft müssen Sie Patches installieren?
Die Bedürfnisse jedes Unternehmens sind unterschiedlich. Als Faustregel gilt jedoch, dass Sie Sicherheits-Patches innerhalb von zwei Wochen nach ihrem Veröffentlichungsdatum installieren sollten, es sei denn, es gibt bereits eine Sicherheitslücke. In diesem Fall sollten Sie den Patch spätestens nach 48 Stunden installiert haben. Aktualisierungen zum Beheben von Fehlern und Einführen neuer Funktionen sind weit weniger dringlich. Sie können und sollten diese ausführlich testen, bevor Sie diese installieren.
Bewährte Praktiken beim Linux-Patching
Beim Patchen von Linux-Systemen ist es wichtig, sich an bewährte Verfahren zu halten. Hier sind acht branchenübliche Best Practices.
Identifizieren Sie die Linux-Systeme und -Versionen, die einen Patch brauchen
Im Großen und Ganzen ähneln die Best Practices für das Linux-Patching den Best Practices für das Windows-Patch-Management. Der Prozess sieht immer gleich aus: erst Scannen Sie Ihr System auf fehlende Patches, anschließend laden Sie diese herunter und zum Schluss rollen Sie die Aktualisierung aus. In der Theorie klingt das einfach, in der Praxis hakt es aber oft.
Jeder Hersteller verteilt seine eigenen Patches, die daher meistens nur für eine Distribution geeignet sind – häufig gar nur für eine Version derselben. Es ist daher sinnvoll, für das Patch-Management auf eine Software zu setzen, die für Sie den Überblick behält.
Wählen Sie ein Linux-Patching-Tool mit der richtigen Unterstützung
Eine der wichtigsten Best Practices ist der Einsatz der richtigen Patch-Software. Jede Linux-Distribution hat ihre eigene Methode zur Verteilung von Patches.
Red Hat beispielsweise setzt auf das Live-Kernel-Patching, für das kein Neustart erforderlich ist und nutzt dafür ein Tool namens Kpatch. Kpatch ist auf GitHub verfügbar und auch für andere Linux-Distributionen wie Fedora, Ubuntu und Debian konzipiert. Die jeweiligen Linux-Distributionsanbieter unterstützen Kpatch jedoch ihrerseits nicht unbedingt. GitHub warnt Administratoren, dass sie Kpatch mit Vorsicht verwenden sollten. Die Website weist darauf hin, dass Kernel-Abstürze, spontane Neustarts und Datenverluste auftreten können.
Es gibt zwei Möglichkeiten, diese Probleme zu vermeiden. Die erste ist, nur native Tools zu verwenden. Das bedeutet aber, dass Sie so viele Tools pflegen müssen, wie Sie Distributionen im Unternehmen haben. Alternativ können Sie ein seriöses Patch-Management-Tool eines Drittanbieters verwenden, beispielsweise Automox, ManageEngine Endpoint Central oder GFI LanGuard.
Einer der größten Vorteile zusätzlicher Software ist, dass es den Scan der Geräte automatisiert. Sie lädt auch, so gewünscht, Patches automatisch herunter und verteilt sie.
Viele Patch-Management-Tools von Drittanbietern sind Außerdem für den Einsatz in plattformübergreifenden Umgebungen konzipiert. Einige der Tools unterstützen nicht nur die verschiedenen Linux-Distributionen, sondern können auch Windows- und macOS-Systeme patchen. Das erleichtert Ihnen die Arbeit erheblich und verbessert die Netzwerksicherheit.
Anwendungs-Patches sind genauso wichtig wie Betriebssystempatches
Obwohl sich viele Patch-Management-Bemühungen zu Recht auf das Patchen der Betriebssysteme konzentrieren, ist es genauso wichtig, Anwendungen mit den neuesten Patches auf dem neuesten Stand zu halten. Wenn es einem Angreifer gelingt, eine Anwendung zu kompromittieren, hat er Zugriff auf alle Betriebssystemfunktionen, auf welche die Anwendung Zugriff hatte.
Daher ist es wichtig, Software in den Patching-Prozess miteinzubeziehen, um ihre Sicherheitslücken zu schließen. Dies gilt sowohl für kommerzielle und Open-Source-Anwendungen als auch für solche, die intern entwickelt wurden.
Eine große Unternehmensumgebung kann Hunderte, wenn nicht Tausende von Anwendungen umfassen. In der Regel ist es nicht praktikabel, selbst manuell nach Updates zu suchen. Eine Möglichkeit, diesen Aufwand zu verringern und gleichzeitig Zeit zu sparen, ist eine Patch-Managementsoftware, die mit den von Ihrem Unternehmen verwendeten Anwendungen funktioniert. Sie sollte in der Lage sein, ein automatisches Patch-Management für Ihre Linux-Rechner und die meisten darauf installierten Anwendungen durchzuführen. Es ist fast unmöglich, ein automatisiertes Patch-Management-Tool zu finden, das mit jeder Anwendung kompatibel ist. Am Ende bleibt also wahrscheinlich ein kleiner Rest, den Sie manuell patchen müssen.
Testen und prüfen Sie Linux-Patches immer, bevor Sie sie verteilen
Unabhängig davon, welche Lösung Sie letztendlich wählen, ist es wichtig, dass es einen reglementierten Prozess zum Testen von Patches gibt. Dies bedeutet in der Regel, dass Patches auf einige wenige Test-Linux-Systeme gespielt werden, um sicherzustellen, dass sie keine Probleme verursachen. Das verhindert, dass Sie einen fehlerhaften Patch installieren, der auf allen Linux-Desktops im Unternehmen Fehler generiert.
Diese Tests sind eine Schlüsselkomponente eines guten Patch-Management-Plans. Sie müssen außerdem überprüfen, ob die Patches installiert wurden, und Systeme identifizieren, die nicht auf dem neuesten Stand sind. Die meisten Linux-Patch-Management-Tools von Drittanbietern verfügen von Haus aus über eine Berichtsfunktion.
Entwickeln Sie eine Patch-Management-Richtlinie für Ihre Linux-Umgebung
Wenn es um das Patchen von Linux-Rechnern geht, ist eine der wichtigsten Maßnahmen das Implementieren einer Richtlinie, die den Prozess regelt. Sie sollten diese Richtlinie natürlich an Ihren konkreten Bedürfnissen ausrichten; es gibt jedoch einige Grundsätze, die so gut wie immer gelten.
Einer davon ist, dass es einen Zeitplan für den gesamten Arbeitsablauf im Zusammenhang mit dem Patch-Management-Prozess geben muss. Er hängt im Allgemeinen von der Patch-Kategorie ab. So sollten beispielsweise Sicherheits-Patches, die hochgefährliche Schwachstellen beheben, so schnell wie möglich bereitgestellt werden, während weniger kritische Patches vor der Bereitstellung in der Produktion über einen längeren Zeitraum hinweg getestet werden.
Halten Sie sich über Patch-Ankündigungen auf dem Laufenden
Ein wichtiger Bestandteil der Patch-Verwaltung ist es, die Ankündigungen der relevanten Anbieter aktiv zu verfolgen. Zwar lädt die Patch-Verwaltungssoftware die neuesten Patches oft automatisch herunter, aber sie liefert den Administratoren nicht immer die Informationen, die sie benötigen, zum Beispiel die genauen Angaben zu Sicherheitslücken und neuen Funktionen.
Am einfachsten können Sie sich über Patch-Ankündigungen informieren, indem Sie dieses Forum besuchen, das Patch-Ankündigungen für eine Vielzahl von Linux-Distributionen enthält.
Den Patch-Erfolg überwachen
Das Wichtigste, was ein Unternehmen tun kann, um die Risiken bei der Patch-Verwaltung zu minimieren, ist das gründliche Testen von Patches. Eine weitere Fehlerquelle, die Sie ausschließen sollten, sind Fehler bei der Installation. Sie sollten ihre Patch-Verwaltungssoftware so konfigurieren, dass sie Sie bei fehlgeschlagenen Patch-Installationen informiert, damit Sie korrigierend eingreifen können.
Patches so schnell wie möglich einspielen
Sie sollten stets das Risiko eines unzureichend getesteten Patches gegen das Risiko einer bestehenden Schwachstelle abwägen. Feature-Patches können Sie beispielsweise ausgiebig testen und sich viel Zeit bis zur Installation lassen.
Sicherheitspatches hingegen sollten Sie sehr viel schneller ausrollen. Viele Experten empfehlen, Sicherheits-Patches innerhalb von zwei Wochen zu installieren, es sei denn, es gibt einen Exploit für eine bestimmte Schwachstelle. In diesem Fall sollten Sie nicht mehr als zwei Tage verstreichen lassen.
Linux-Patching-Probleme
Selbst nach gründlichen Tests kann es vorkommen, dass ein Patch Probleme in Ihrer Produktionsumgebung verursacht. Das reicht von Abstürzen bestimmter Workloads hin zur hartnäckigen Weigerung, sich überhaupt installieren zu lassen.
Sie benötigen daher eine Strategie, wie Sie mit solchen Problemen umgehen. Sie sollten immer die Möglichkeit haben, Ihr System wieder zurückzusetzen, um einen fehlerhaften Patch zu entfernen. Das gilt auch dafür, dass Sie Systeme aus einem Backup in den Zustand vor dem Patch wiederherstellen können müssen, wenn das Rollback eines Patches fehlschlägt.
