好的,与上述内容相比,本节应该相对简短、简单和直接,但同样重要。
在全新安装之后,您应该做的第一件事是查看勘误通知,网址为 http://redhat.com/apps/errata/,并应用所有相关的更新。才一年旧?实际上这已经很久了,并且不够新,不足以安全。只有几个月或几周?也要检查一下。一两天?有备无患。在开发和发布周期的预发布阶段,很可能已经发布了安全更新。如果您无法执行此步骤,请禁用任何可公开访问的服务,直到您可以执行此步骤为止。
Linux 发行版不是静态实体。随着需求的出现,它们会使用新的、已修补的软件包进行更新。这些更新与原始安装同样重要。甚至更重要,因为它们是修复程序。有时这些更新是错误修复,但通常它们是安全修复,因为发现了一些漏洞。 这种 “漏洞” 会立即被黑客社区知晓,他们会迅速大规模地利用它们。一旦漏洞被知晓,通过它进入就非常简单,并且会有很多人在寻找它。 Linux 开发人员也同样迅速地提供修复程序。有时在漏洞被知晓的当天就会提供!
保持您发行版中所有已安装软件包为最新版本是维护安全系统您可以采取的最重要的步骤之一。 无论如何强调保持所有已安装的软件包更新的重要性都不为过——不仅仅是您使用的那些。 如果这很麻烦,请考虑卸载任何未使用的软件包。 实际上,无论如何这都是一个好主意。
但是从哪里及时获取这些信息呢? 有许多网站提供最新的安全新闻。 还有许多专门讨论此主题的邮件列表。 实际上,Red Hat 有一个 “watch” 列表,专门用于此目的,网址为 https://listman.redhat.com/mailman/listinfo/redhat-watch-list。 顺便说一句,这是一个非常低容量的列表。 这是了解影响您发行版的问题的绝佳方法,并且强烈推荐。 http://linuxsecurity.com 是一个提供仅限 Linux 问题的优秀网站。 他们还提供每周新闻通讯:http://www.linuxsecurity.com/general/newsletter.html。
Red Hat 还提供了 up2date 实用程序,用于自动保持您的系统更新 ;-)。 有关详细信息,请参阅手册页。
这不是一次性过程——这是一个持续的过程。 保持最新很重要。 所以请关注那些安全通知。 并立即订阅该安全邮件列表! 如果您有有线调制解调器、DSL 或其他全时连接,那么没有理由不虔诚地执行此操作。 所有发行版都使这变得足够容易!
最后一点注意事项:每次安装新软件包时,也有可能安装了新的或修订的配置。 这意味着如果此软件包是某种服务器,则可能会因更新而启用它。 这是不良习惯,但可能会发生,因此请务必运行 netstat 或类似命令,以验证您的系统在任何更新或系统更改后是否处于您想要的状态。 实际上,即使没有此类更改,也要定期执行此操作。