我搜索了一下,没有找到任何关于修补和系统更新问题的内容。我得到的指导原则是服务器需要安装必要的补丁。如果我有一台 VM 主机,那么这是否是需要修补和更新的额外一层 - 即使使用裸机虚拟机管理程序?而不是拥有一台金属服务器?(即根据我的指导原则,需要做更多的工作、测试和文档)。
类型 1/裸机虚拟机管理程序多久更新一次?这重要吗?它是一个额外的软件层,这是否会带来更多的复杂性和风险(安全性和可靠性)?(例如 99% 无错误的软件 x 99% 无错误的软件 = 98% 无错误的系统)?
(我的实际经验是使用 VMWare Workstation 和 Server 以及 VirtualBox。)
答案1
是的,像 VMware 这样的产品有时需要打补丁(更新是累积),但补丁发布频率低于主线操作系统,潜在攻击媒介较小 -你的虚拟机管理程序不应该是公开可访问的。
我将使用 VMware ESXi 版本 5.0(而不是 5.1)作为示例...
ESXi 5.0 有以下更新计划:
从 2011 年 9 月至今,十ESXi 5.0 产品的更新。其中,六以安全为重点的更新是否已纳入更新包中,其描述如下:
“ESXi NFS 流量解析漏洞”-CVE-2012-2448。
这些安全漏洞是真实存在的,因为它们有时与一般的 Linux 安全漏洞相似,但我认为大多数组织不太容易受到这些风险的影响。不过,评估这种风险取决于工程师。您的用户是否愿意花大量时间停机来修复漏洞利用?
“ncpmount 和 mount.cifs 使用的 GNU C 库(又名 glibc 或 libc6)2.11.1 及更早版本中 misc/mntent_r.c 中的 encode_name 宏无法正确处理挂载点名称中的换行符,这允许本地用户通过精心设计的挂载请求导致拒绝服务(mtab 损坏),或者可能修改挂载选项并获得特权。”
也许?也许不是。
我跑VMware 的更新管理器,但只有在我受到错误影响或需要功能增强时才会更新。在集群设置中运行时,修补很容易,并且不会对正在运行的 VM 造成停机。如果没有其他紧迫原因,我会努力每季度更新一次。单个主机将需要完全重启,因为补丁是以单片映像的形式提供的。
附注:每当我继承 VMware ESXi 设置或在我不经常管理的系统上工作时,我经常会看到运行的主机绝不是否应用了任何 VMware 补丁。那是错的!!但我可以看到,一旦系统启动并运行,管理员就可能会犯这样的错误。
答案2
如果您是“裸机”主机虚拟化的新手,那么这个问题就很好了。采用这种方式需要的思维方式与使用虚拟机管理程序(在传统操作系统上作为服务/应用程序运行)的方法不同。
根据我的经验,可以说 ESX 和 HyperV 需要较少的补丁总体而言比传统操作系统少。这没有意味着它们根本不需要修补,或者无论“需要”与否,应用某些补丁都不会带来好处,但这意味着对主机进行修补时中断服务的频率应该更低,并且更受您的控制。虚拟机管理程序操作系统和其他操作系统一样,也存在潜在的安全风险,虽然您可以将这种风险的暴露程度降至最低(例如,只将虚拟机管理程序管理暴露在从受感染的服务器逻辑上无法访问的隔离 VLAN 上),但假装根本没有风险是愚蠢的。
因此,如果您有 4 台非虚拟服务器,并且将它们全部移动到同一个单独的虚拟化主机,那么您确实会增加因需要修补主机系统(或处理硬件问题等)而可能导致的中断量。
虽然我认为发生这种风险的可能性是相对地低(我说的是修补虚拟主机和需要重新启动的修补之间的区别,你必须对独立系统进行这种修补反正),其影响力之大是无可否认的。
那么我们为什么要这么做呢?
虚拟化的真正好处在于能够设置多个主机并配置这些主机协同工作,当一个主机出现故障或您希望在主机系统上安排补丁时,可以将客户机从一台主机移动到另一台主机。
使用这种方法,我成功地依次修补了 5 个 ESX 主机毫无干扰到在其上运行的 40 个虚拟服务器。这只是一个规模经济问题 - 一旦您拥有足够多的潜在虚拟客户机,就值得构建这种复杂的设置并使用 @ewwhite 在其回答中提到的工具进行管理,降低您所担心的风险的回报很快就会到来。
答案3
虚拟服务器需要与物理服务器相同的维护和补丁,裸机虚拟机管理程序需要更新,以确保安全,也为了修复错误和提高性能。您拥有的服务器越多,您需要做的工作就越多,以保持它们的最新状态,无论它们是物理的还是虚拟的。
答案4
根据以上答案,似乎:虚拟化服务器在安全性和可靠性方面引入了更多的复杂性和风险,但需要权衡这些与通过虚拟化服务器减少停机时间的好处。
如果您的环境需要审计、测试和文档,则必须将虚拟化环境增加的工作量所带来的成本效益与您拥有的服务器和系统人员数量考虑在内。在我们的环境中,我们没有足够的人员/时间来维护虚拟化环境的审计线索。在我们的业务流程中,我们可以停机一段时间,但我们不能缺少审计线索和文档。