套件主机基本安全之二linux在线自动升级

主机基本安全之二 Li nux在线自动升级.............................................................................................2

为何需要进行软件升级. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

如何进行软件升级. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

各种distrib utions的自动升级机制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

CentO S的yum 自动升级. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5yum的设定文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6yum的安装、升级、 移除、查询等功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

安装套件群组的功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

不同版本间的升级. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

CentOS 4.2升级到CentOS 4.3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Fedora Core Releas e 1升级到CentOS 4.3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

Debian的apt 自动升级 以 B 2D为例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

A PT的设定文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

实际使用A PT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

重点回顾. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

课后练习. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

主机基本安全之二 Lin ux在线自动升级

在现在的 Internet上面 Cracker实在是太多了这些Cracker会利用已经存在的系统漏洞来进行侦测、入侵您的主机 因此除了未来架设防火墙之外最重要的Linux 日常管理工作莫过于套件的升级了 不过经由每日观察网络安全通报所告知的套件漏洞以及等待各大distribution针对这些漏洞来提供RPM档案以使Client来升级的过程中实在是有点缓慢啊 因此 目前就有很多在线直接更新的机制出现了有了这些在线直接更新RPM的手段与方法我们系统管理员在管理主机系统上面可就轻松的多啰赶紧来看看吧

为何需要进行软件升级

很多朋友在网络上面常常会这样留言 『大家好我的Linux好像怪怪的 因为没有办法以 root的身份登入了』 呵呵几乎可以直接告诉这位朋友 『你的系统被入侵了』嗄真假早上才装好 下午被入侵 没错啊但对方是如何办到的呢

在前一章我们不是有提到『网络联机的 port其实是由软件所开启的』 所以如果该软件本身就有问题的话那么当然你的系统就容易被攻破了 咦那自由软件干嘛开发出有问题的程序啊这是因为程序是人写出来的 在设计之初有些奇怪的用法可能没有考虑到或者是某些安全问题没有考虑到 而造成程序的疏失。 当这样的程序发布后很多人会针对这些程序进行检验如果发现问题就会回报给社群。 那么当回报后直到程序更新之前 总会有一段空窗期这期间可能就会有些cracker开发出具有攻击码的程序如果这些攻击程序散布出来的话那么随便一个小朋友拿到这样的程序就能攻击你啦这个问题并非仅存在于某个单一操作系统而是所有的操作系统都存在这样的问题 而且套件的漏洞倒不是一定是会被利用来进行入侵有的时候某些套件的漏洞可能导致您Linux主机的运行不良或者是容易产生系统当机等等的问题呢所以一个好的Linux 主机 他的套件最好是随时保持在较新的版本上面这样还是比较好一点的啦关于安全漏洞的通报您可以参考底下的网站

* 台湾计算机危机处理小组(TWC ERT) 

*Red Hat的官方说明

所以啊并不是有防火墙就万事OK你还必须要更新你的软件才行 通常建议你安装Linux完毕后的第一项工作那就是. . . . .立刻进行整体软件的升级

Tip s:

事实上 自由软件的安全性还是比较好的 因为有太多人帮忙检验程序代码与更新程序

代码 并且万一程序真的有问题在发现问题到推出修补程序的期间是比较短的 也就是说攻击者可以利用的时间相对缩短 当然使用自由软件的我们就比较安全啦 ^_^如何进行软件升级

还记得你是如何安装你Linux上面的软件吗不就是rpm, tarball 与 dpk g吗 所以啰你的软件如果想要升级那就得依据当时你安装该软件的方式来进行升级啊 而每种方式都有其适用性

*RPM这是目前最常见于Linux distribution 当中的套件安装管理方式 包括CentOS/Fedora/SuSE/Red Hat/Mandriva等等都是使用这个方式来管理的

*Tarball 利用软件的官方网站所释出的原始码在您的系统上面编译与安装 一般来说 由于软件是直接在自己的机器上面编译的所以效能会比较好一些。 不过升级的时候就比较麻烦 因为又得要下载新的原始码并且重新编译一次。 这种安装模式常见于某些特殊软件 (没有包含在distribution 当中)  或者是Gentoo这个强调效能的dis tribution

*dpkg是debian这个distribution所使用的套件管理方式与RPM很类似都是透过预先编译的处理可以让end user直接使用来升级与安装。

举例来说如果你的系统是CentOS 我们知道他使用的是RPM类型的套件管理模式那如果你想要安装B2D的软件怎办要注意 B2D是使用 debian 的dpkg来管理套件的两者并不相同啊要互相安装太难了 所以说要升级的话得先了解到你系统上的套件安装与管理的方法才行。

不过有个特殊案例那就是旧版本的Linux(例如Red Hat 9) 的软件升级该如何是好由于旧版本的软件支持度本来就比较差 商业公司或者是社群也没有这么多心力放在旧版本的支持上 所以你这个时候可以选择 (1)升级到较新的版本例如CentOS 4.3或者是SuSE 10等等或者是(2)利用Tarball来自行升级核心与软件。不过 比较建议升级到新版本啦因为要自行以手动方式由 Tarball安装到最新的版本实在是很费时费力而且还得要常常查阅官方网站所推出的最新消息 漏过一则都可能发生无法预期的状况。

但不管怎么说单纯使用 RPM/Tarball /dpkg的方式来安装与升级软件时 你都必须要由原版光盘或者是由官方网站下载可安装的套件档案 然后再手动来实际安装到你的系统上。 如此一来你还是得要盯着官方网站提供的信息才能够在第一时间进行升级

的动作。 唉 怎么这么麻烦

我们都晓得在Windows 的环境下他有提供一个Live update的项目可以自动的在线升级 甚至很多的防毒软件与防木马软件也都有推出实时的在线更新如此一来可以让您的软件维持在最新版的状况 真是好啊咦那我们的Linux是否有这样的功能如果有的话那么系统自动进行软件升级 不就可以轻松又快乐了没错确实是这样的所以就让我们来谈一谈Linux的在线升级机制吧

各种distributions的自动升级机制

在Linux最常见的套件安装方式 RPM/Tarball /dpkg 当中 Tarball 由于取得的是原始码 所以要用 Tarball来作在线自动更新是不太可能进行的所以仅能用 RPM或dpkg这两种套件管理的方式来进行在线更新了。

但RPM与 dpkg不是有所谓的相依属性吗 这倒不需要担心吶 因为我们的RPM与dpkg套件档案都有一些套件的基本信息并同时记录了套件的相依属性(记得使用rpm -q 的查询吗)  所以当分析这些基本信息并使用一些机制将这些相依信息记录下来后再透过一些额外的网络功能就能够自动的分析你的系统与修补套件之间的差异 并可进一步帮你分析所需要升级与相依属性的套件就可达成自动升级的理想啦

由于各家distributions在管理系统上都有自己独特的想法所以在分析RPM或dpkg套件与方式上面就有所不同 也就有底下这些不同的在线升级机制啦

*yum

CentOS 与 Fedora所常用的自动升级机制透过FTP或WWW来进行在线升级以及在线直接安装套件

*up2date

这是Red Hat所使用的自动升级机制 需要注册才能使用并且依据付费与否而管制其流量

*apt

最早由 debian这个distribution所发展现在B 2D也是使用apt 同时由于apt 的可移植性 所以只要你的 RPM可以使用apt来管理的话就可以自行建立apt服务器来提供其它使用者进行在线安装与升级。

*you

所谓的Yast Online Update (YOU)是由 SuSE所自行开发出来的在线安装升级方式 经过注册取得一组账号密码后就能够使用 you 的机制来进行在线升级。不过如果是免费的版本 则仅有60天的试用期

*urpmi 

这个则是Mandriva所提供的在线升级机制

讲了这些升级机制并且与 dis tribution作了对应你就该了解到 『每个dis tribution可以使用的在线升级机制都不相同』的啊所以请参考你的dis tribution所提供的文件来进行在线升级的设定喔 否则就得要自行手动下载安装了 @_@

底下鸟哥以 CentOS 4.3提供的yum在线升级架构来进行说明 同时亦简单的介绍一下B 2D这个distribution 的APT来说明说明 ^_^那为什么不选择其它的版本来介绍呢 就如同局域网络那个章节里面的dis tribution选择提到的 越稳定的版本就不容易发生程序臭虫不断升级的情况就比较不会发生所以鸟哥这里再次的说明一下 如果要做为主机服务器之用的话尽量选择较稳定且支持较多的版本例如CentOS,SuSE,Red Hat,B2D及debian等distribution啊

Cen tO S的yum 自动升级

我们知道CentO S主要是以RPM来作为套件的管理机制那么 RPM本身就有一些表头数据记录了这个套件本身的信息 包括了相依属性之类的讯息等等 yum这个咚咚就是藉由分析这些RPM套件的表头数据并且将这些表头数据事先记录下来 当使用者要求升级或者是安装的时候 yum就会透过分析这些表头数据来决定下载的档案这些下载的档案当然包括了相依属性的套件了所以说 yum 已经主动克服了套件之间的属性相依问题啰很棒吧

那么 yum是如何动作的呢基本上是这样的

*先由设定档判断yum server所在处

*连接到yum server后先下载新的RPM档案的表头数据

*分析比较使用者所欲安装/升级的档案并提供使用者确认

*下载使用者选择的档案到系统中的/var/cache/yum并进行实际安装

所以说找到合适的yum server是挺重要的一件事啊

yum的设定文件

基本上在你一安装完CentOS之后 系统就主动的帮你建立好CentOS的yum server 设定了 他的设定档在

*/etc/yum.conf

*/etc/yum.repos.d/CentOS-Base.repo

其中 那个 yum.conf是主要设定档 可以设定一些环境参数之类的 至于CentOS-Base.repo则是主要的yum server选择的数据你可以直接修改CentOS-Base.repo 这个档案即可。 另外台湾地区的CentOS镜像站台 (mirror)可以选择义守大学的FTP 网站 例如底下的连结

*

截至目前为止(2006/09/xx) 最新的 C entO S是4.4版所以上头这个连结你可以进入

4.4那个目录 就能够看到很多 CentO S提供的各项套件数据了。其中比较重要的两个目录是 『 o s』 以及『 update 』 分别是基础套件以及修补过后的套件啦 既然知道了台湾地区的 FTP 网站后 自然就不需要连接到美国去下载档案 那么联机下载的速度当然就会比较快啦不过你就得要自行修改修改设定档了

不过CentOS官方网站则是建议使用国码来作为镜相网站的选择依据 如此一来在大版本相同的环境下(4.3 ->4.4)咱们的CentOS是可以自动升级到不同版本中的 所以鸟哥的设定档是改成这个样子的

主要是将mirrorlist那个变量的最后面加上国码『&c c=tw』就可以了如果未来有较新的版本时 那么你的yum就能够自动升级啰 另外除了 [base] 与 [update]之外其实CentOS还提供很多的额外套件 这包括了 addons,extras,centosplus,contrib等等这些数据你也可以加入到设定档当中 来帮助你容易安装某些非正规支持的套件数据啊^^

另外最要注意的是在设定档当中所指定的镜像站台 (mirror)离你越近越好 而且频宽越大越好 这样你就可以比较方便快速的下载啊而且你必须已经成功的连结到该镜像站台才行 否则在执行yum时会发生某些问题喔另外你必须是root的身份才能使用 yum啊 也就是说

*你必须使用root的身份来执行yum

*设定档内指定的镜像站台必须能与你进行网络连接

*镜像站台频宽越大越好所以选择离你越近的镜像站越好yum的安装、升级、移除、查询等功能yum可不止能够在线自动升级而已他还可以作查询、套件群组的安装、整体版本的升级等等好用的哩 先来谈论一下yum这个client端的指令用法吧

yum真是个很好用的东西他可以直接查询是否有某些特殊的套件 你可以利用『 yum search"一些关键词" 』或者是『 yum list 』列出所有的套件名称 然后再以正规表示法取得关键词或者是『 yum list "套件名称" 』 就能够知道该套件的用途 最后再决定要不要安装啊上面的范例一就是在找出磁盘阵列的管理软件 如果确定要安装时那就可以这样处理