使用Yassp工具包安装安全的Solaris系统 （三）

7、补丁 
系统在安装时会自动安装推荐补丁包，但是它并不包含所有的安全补丁。定期检查最新的补丁， 

安装了最新安全补丁的系统要比没有安装的系统可靠的多。 
补丁通常有标准补丁（Standard patches）、推荐补丁（Recommended patches）、安全补丁（ 

Security patches）、2000年补丁（Y2K patches），patch clusters是以上补丁的集成包。单点 

补丁（Point patches）是针对特定问题的补丁。 

通过下列方法，了解已知的漏洞及相应的补丁程序： 
1． 订阅相关组织及公司(如CERT/First、SUN、Bugtraq)的邮件列表。 
2． 订阅有关漏洞及补丁的邮件列表，如Security Portal(Solaris Digest)、 

SecurityFocus(Sunr的部分)或者SANS。 
3． 定期使用工具，检查服务器上安装的补丁是否与Sun发布的最新补丁列表相一致。 
4． 一至两月检查一次Sun推荐的补丁包，需要注意的是安装推荐补丁包时，如果对内核打补丁可 

能会导致一些应用的不正常。 
5． 某些第三方的应用的补丁也需要加以关注。 

注：安装补丁可能会改动Yassp的配置，因此在安装完补丁重启系统后，要仔细检查是否启动了不 

需要的进程。 

针对补丁的工具 
* GetApplyPatch和CheckPatches是两个管理Solaris补丁的Bshell的脚本工具。 
1．CheckPatches使用showrev命令查看已经安装的补丁，并与Solaris的补丁报告相比较，列出需 

要安装的推荐及安全补丁。补丁报告SolarisX.PatchReport通常在当前目录下，也可以使用-f参 

数通过FTP下载最新的补丁报告 
>./CheckPatches -f 
2．GetApplyPatch:用来获得并安装最新的补丁，使用补丁号码作为执行脚本时的参数。运行时， 

会提示是否下载，显示补丁的README文件，安装补丁后，删除安装目录。使用'-b'参数以"batch 

mode"运行，则不做提示。 
>./GetApplyPatch 108875-07 
CheckPatches.cron是一个自动运行的脚本，并将结果mail给管理员。 
3．同时使用这两个脚本文件，获得需要的补丁并进行安装。 
>./CheckPatches | ./GetApplyPatch 
GetApplyPatch.cron可以用来自动执行，取得补丁并进行安装，但是关键任务的服务器上不推荐 

使用它。 
4．其它的特点： 
* 带有man帮助文件 
* 支持Solaris Intel及Sparc,通过测试 
* 可以设置ftp代理 
* CheckPatches可以忽略无需安装的补丁。比如，在Solaris8 x86系统中，运行CheckPatches后 

，提示需要下面的补丁： 
109897-03 SunOS 5.8_x86: USB patch 
109952-01 SunOS 5.8_x86: jserver buffer overflow 
110417-02 SunOS 5.8_x86: ATOK12 patch 
对于这些补丁，我们并不想安装。创建Solaris8_x86.PatchReport.Except，在文件中加入上面三 

行，在次运行CheckPatches脚本时会将它们忽略。 
* 也可以对CheckPatches的命令输出做过滤，如： 
./CheckPatches | egrep -v "109897|109952|110417" 
* Sunsolve提供的Patchdiag工具，与最新的Patchdiag.xref一起，可以检查系统缺少哪些补丁， 

然后下载并安装这些补丁。 
* 使用SecurityFocus的vulnerability calculator工具，运行下面的命令 

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	系统 安全 安装 工具 使用 补丁 文件 可以 运行 需要