AIX系統(tǒng)下軟件修復(fù)升級(jí)經(jīng)驗(yàn)

■ 北京 井超 張和

編者按： 基于漏洞利用的網(wǎng)絡(luò)攻擊頻現(xiàn)，漏洞排查和掃描也成為單位網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)，筆者單位進(jìn)行了AIX系統(tǒng)下軟件修復(fù)升級(jí)，并進(jìn)行了經(jīng)驗(yàn)總結(jié)。

利用漏洞進(jìn)行攻擊的網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，商業(yè)銀行也存在外部利用漏洞攻擊的風(fēng)險(xiǎn)。

進(jìn)行漏洞掃描也成為銀行科技部門的例行工作，漏洞掃描報(bào)告中存在大量AIX系統(tǒng)軟件版本漏洞，由于大部分AIX系統(tǒng)在銀行內(nèi)部都承擔(dān)了重要的生產(chǎn)運(yùn)行任務(wù)，如何安全穩(wěn)定地修復(fù)并升級(jí)這些系統(tǒng)軟件漏洞也成為科技人員不得不面對(duì)的問(wèn)題。

AIX下安裝軟件一般使用installp進(jìn)行，會(huì)出現(xiàn)界面共選擇。有些選項(xiàng)需要注意，是否僅做預(yù)覽安裝，如果選擇了“是”，則僅僅檢查安裝條件而不進(jìn)行實(shí)際安裝動(dòng)作。在是否接受協(xié)議選項(xiàng)中，默認(rèn)“否”，在安裝軟件需要有協(xié)議時(shí)就不會(huì)安裝成功。另外還有一個(gè)選項(xiàng)表示在有協(xié)議時(shí)僅做預(yù)覽，默認(rèn)“否”，建議也選擇“否”。

smit(ty)進(jìn)去后可查看、安裝、卸載軟件。軟件的三種狀態(tài)：

Apply：軟件處于應(yīng)用狀態(tài)，但未被提交（Commit）；

Commit：軟件已經(jīng)提交；

Reject：軟件被從系統(tǒng)中刪除。

系統(tǒng)安裝或升級(jí)文件集時(shí)，文件集在系統(tǒng)中有apply和commit兩 種 狀 態(tài)，由“commit software updates”選項(xiàng)控制，yes（默認(rèn)值）就是commit狀態(tài)，no為apply狀態(tài)。apply的文件集可以reject掉（smit reject），也即回退到安裝前的狀態(tài)，也可以 commit（smit commit），而commit的文件集則無(wú)法回退。

在進(jìn)行漏洞修復(fù)過(guò)程中，針對(duì)AIX系統(tǒng)，建議優(yōu)先使用smit mksysb命令對(duì)操作系統(tǒng)進(jìn)行備份，備份位置可以是磁帶、光盤或是文件系統(tǒng)。進(jìn)行備份后再執(zhí)行系統(tǒng)漏洞修復(fù)工作，若出現(xiàn)異常情況時(shí)可進(jìn)行系統(tǒng)級(jí)恢復(fù)。

在操作系統(tǒng)備份完成后，可 使 用“smit install”命令進(jìn)行漏洞修復(fù)軟件安裝，安裝過(guò)程中有兩個(gè)步驟必不可少：

1.預(yù)覽安裝。在預(yù)覽安裝選項(xiàng)上，選擇“yes”，然后接受license許可，進(jìn)行模擬安裝，驗(yàn)證升級(jí)包是否可以安裝到本系統(tǒng)。

2.在預(yù)覽安裝通過(guò)后，執(zhí)行apply方式的軟件安裝。也就是在軟件狀態(tài)的選項(xiàng)上選擇apply方式。然后接受軟件許可，將軟件以apply狀態(tài)安裝到本系統(tǒng)。

在執(zhí)行過(guò)以上步驟后，進(jìn)行軟件升級(jí)后的業(yè)務(wù)驗(yàn)證，經(jīng)過(guò)驗(yàn)證無(wú)誤后，系統(tǒng)管理員可以使用smit commit方式將apply狀態(tài)的軟件變?yōu)檎教峤粻顟B(tài)。若在業(yè)務(wù)驗(yàn)證過(guò)程中出現(xiàn)錯(cuò)誤，業(yè)務(wù)無(wú)法正常運(yùn)行，即需要我們將已a(bǔ)pply應(yīng)用的軟件進(jìn)行回退處理，執(zhí)行“smit reject”命令后，選擇要reject的軟件進(jìn)行回退，軟件版本則恢復(fù)為未升級(jí)前的狀態(tài)。