■ 北京 井超 張和

編者按： 基于漏洞利用的網(wǎng)絡(luò)攻擊頻現(xiàn)，漏洞排查和掃描也成為單位網(wǎng)絡(luò)安全防護(hù)的重點，筆者單位進(jìn)行了AIX系統(tǒng)下軟件修復(fù)升級，并進(jìn)行了經(jīng)驗總結(jié)。

利用漏洞進(jìn)行攻擊的網(wǎng)絡(luò)安全事件時有發(fā)生，商業(yè)銀行也存在外部利用漏洞攻擊的風(fēng)險。

進(jìn)行漏洞掃描也成為銀行科技部門的例行工作，漏洞掃描報告中存在大量AIX系統(tǒng)軟件版本漏洞，由于大部分AIX系統(tǒng)在銀行內(nèi)部都承擔(dān)了重要的生產(chǎn)運(yùn)行任務(wù)，如何安全穩(wěn)定地修復(fù)并升級這些系統(tǒng)軟件漏洞也成為科技人員不得不面對的問題。

AIX下安裝軟件一般使用installp進(jìn)行，會出現(xiàn)界面共選擇。有些選項需要注意，是否僅做預(yù)覽安裝，如果選擇了“是”，則僅僅檢查安裝條件而不進(jìn)行實際安裝動作。在是否接受協(xié)議選項中，默認(rèn)“否”，在安裝軟件需要有協(xié)議時就不會安裝成功。另外還有一個選項表示在有協(xié)議時僅做預(yù)覽，默認(rèn)“否”，建議也選擇“否”。

smit(ty)進(jìn)去后可查看、安裝、卸載軟件。軟件的三種狀態(tài)：

Apply：軟件處于應(yīng)用狀態(tài)，但未被提交（Commit）；

Commit：軟件已經(jīng)提交；

Reject：軟件被從系統(tǒng)中刪除。

系統(tǒng)安裝或升級文件集時，文件集在系統(tǒng)中有apply和commit兩 種 狀 態(tài)，由“commit software updates”選項控制，yes（默認(rèn)值）就是commit狀態(tài)，no為apply狀態(tài)。apply的文件集可以reject掉（smit reject），也即回退到安裝前的狀態(tài)，也可以 commit（smit commit），而commit的文件集則無法回退。

在進(jìn)行漏洞修復(fù)過程中，針對AIX系統(tǒng)，建議優(yōu)先使用smit mksysb命令對操作系統(tǒng)進(jìn)行備份，備份位置可以是磁帶、光盤或是文件系統(tǒng)。進(jìn)行備份后再執(zhí)行系統(tǒng)漏洞修復(fù)工作，若出現(xiàn)異常情況時可進(jìn)行系統(tǒng)級恢復(fù)。

在操作系統(tǒng)備份完成后，可 使 用“smit install”命令進(jìn)行漏洞修復(fù)軟件安裝，安裝過程中有兩個步驟必不可少：

1.預(yù)覽安裝。在預(yù)覽安裝選項上，選擇“yes”，然后接受license許可，進(jìn)行模擬安裝，驗證升級包是否可以安裝到本系統(tǒng)。

2.在預(yù)覽安裝通過后，執(zhí)行apply方式的軟件安裝。也就是在軟件狀態(tài)的選項上選擇apply方式。然后接受軟件許可，將軟件以apply狀態(tài)安裝到本系統(tǒng)。

在執(zhí)行過以上步驟后，進(jìn)行軟件升級后的業(yè)務(wù)驗證，經(jīng)過驗證無誤后，系統(tǒng)管理員可以使用smit commit方式將apply狀態(tài)的軟件變?yōu)檎教峤粻顟B(tài)。若在業(yè)務(wù)驗證過程中出現(xiàn)錯誤，業(yè)務(wù)無法正常運(yùn)行，即需要我們將已a(bǔ)pply應(yīng)用的軟件進(jìn)行回退處理，執(zhí)行“smit reject”命令后，選擇要reject的軟件進(jìn)行回退，軟件版本則恢復(fù)為未升級前的狀態(tài)。