更新Linux操作系统的新安装

Question

在我看来，当您安装一个新的Linux操作系统时，似乎存在某种“争用条件”(这适用于每个操作系统，但我只将这个问题限制在Linux上)。当您下载操作系统进行新安装时，映像通常是过时的.在有滚动发布策略的操作系统中，下载的映像并不太老，但在其他情况下，它可能会过时几个月。在进行安全安装之前，您需要更新它，这通常意味着您需要连接到internet。此时，当您在更新完成之前连接到internet时，操作系统可能会在短时间内(通常是分钟或小时)受到攻击。

• 对于普通Linux操作系统来说，这是我们应该担心的事情吗？我假设在此过程中不存在可远程攻击的漏洞，除非Linux发行版在默认情况下确实被破坏，并且默认运行不安全的服务。
• 在连接到互联网之前，仅仅阻止所有传入的连接就足够了吗？即: 1)安装；2)设置防火墙以拒绝所有传入连接；3)运行更新。
• 有什么最佳做法可以避免这个问题吗？理论上，我知道您可以从另一台机器下载更新，然后脱机安装，但这似乎很麻烦(您首先需要了解应该下载哪些包，为此您可能需要在VM中测试新的安装，等等)。

Answer 1

在系统完全更新之前，确保系统在受控环境中运行是一个好主意。确保系统没有运行任何接受传入连接的服务，并且在系统更新之前，系统不会向任何服务器(更新服务器除外)进行任何传出连接。更好的是，如果系统位于硬件防火墙之后，则阻止来自外部主机的任何传入连接到达系统。在这样一个受控制的环境中，对于试图利用尚未更新的系统中的漏洞进行攻击的攻击者来说，机会之窗非常小。

实际上，Windows XP系统已经在类似的受控环境中运行了多年，并没有受到破坏，即使是通过Windows自2014年以来就已经结束了生命。

Answer 2

在安装服务器集群时，我们也遇到了同样的情况，为了避免此类安全问题，我们的过程如下：

• 设置具有不同VLAN(内部、外部)的两个端口组的交换机
• 只安装内部网络的节点(服务器的第一个网卡)
• 设置防火墙规则以阻止所有传入通信量。
• 用各自的外部IP设置服务器的第二个网卡
• 测试防火墙规则是否正常工作(连接配置了外部IP块的IP的笔记本电脑，在服务器的外部IP上运行端口扫描)
• 将外部开关端口组连接到internet，安装更新