华为云首页用户手册

安全云脑 SECMASTER-修复漏洞:手动修复系统软件漏洞

时间：2024-05-23 11:01:20

安全云脑 SECMASTER 漏洞管理

手动修复系统软件漏洞

对于Web-CMS漏洞、应用漏洞，不支持一键自动修复，您可以参考漏洞详情页面的修复建议，登录服务器手动修复。

漏洞修复命令

进入到漏洞的基本信息页，可根据修复建议修复已经被识别出的漏洞，漏洞修复命令可参见表2。

“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。
不同的漏洞请根据修复建议依次进行修复。
如果同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。

表2 漏洞修复命令
操作系统	修复命令
CentOS/Fedora /Euler/Redhat/Oracle	yum update 软件名称
Debian/Ubuntu	apt-get update && apt-get install 软件名称 --only-upgrade
Gentoo	请参见漏洞修复建议。

漏洞修复方案
漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复：
- 方案一：创建新的虚拟机执行漏洞修复
  1. 为需要修复漏洞的ECS主机创建镜像，详细操作请参见通过云服务器创建整机镜像。
  2. 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。
  3. 在新启动的主机上执行漏洞修复并验证修复结果。
  4. 确认修复完成之后将业务切换到新主机。
  5. 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。
- 方案二：在当前主机执行修复
  1. 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。
  2. 在当前主机上直接进行漏洞修复。
  3. 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。
- 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
- 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。