■ 北京 井超 張和

編者按： 基于漏洞利用的網絡攻擊頻現(xiàn)，漏洞排查和掃描也成為單位網絡安全防護的重點，筆者單位進行了AIX系統(tǒng)下軟件修復升級，并進行了經驗總結。

利用漏洞進行攻擊的網絡安全事件時有發(fā)生，商業(yè)銀行也存在外部利用漏洞攻擊的風險。

進行漏洞掃描也成為銀行科技部門的例行工作，漏洞掃描報告中存在大量AIX系統(tǒng)軟件版本漏洞，由于大部分AIX系統(tǒng)在銀行內部都承擔了重要的生產運行任務，如何安全穩(wěn)定地修復并升級這些系統(tǒng)軟件漏洞也成為科技人員不得不面對的問題。

AIX下安裝軟件一般使用installp進行，會出現(xiàn)界面共選擇。有些選項需要注意，是否僅做預覽安裝，如果選擇了“是”，則僅僅檢查安裝條件而不進行實際安裝動作。在是否接受協(xié)議選項中，默認“否”，在安裝軟件需要有協(xié)議時就不會安裝成功。另外還有一個選項表示在有協(xié)議時僅做預覽，默認“否”，建議也選擇“否”。

smit(ty)進去后可查看、安裝、卸載軟件。軟件的三種狀態(tài)：

Apply：軟件處于應用狀態(tài)，但未被提交（Commit）；

Commit：軟件已經提交；

Reject：軟件被從系統(tǒng)中刪除。

系統(tǒng)安裝或升級文件集時，文件集在系統(tǒng)中有apply和commit兩 種 狀 態(tài)，由“commit software updates”選項控制，yes（默認值）就是commit狀態(tài)，no為apply狀態(tài)。apply的文件集可以reject掉（smit reject），也即回退到安裝前的狀態(tài)，也可以 commit（smit commit），而commit的文件集則無法回退。

在進行漏洞修復過程中，針對AIX系統(tǒng)，建議優(yōu)先使用smit mksysb命令對操作系統(tǒng)進行備份，備份位置可以是磁帶、光盤或是文件系統(tǒng)。進行備份后再執(zhí)行系統(tǒng)漏洞修復工作，若出現(xiàn)異常情況時可進行系統(tǒng)級恢復。

在操作系統(tǒng)備份完成后，可 使 用“smit install”命令進行漏洞修復軟件安裝，安裝過程中有兩個步驟必不可少：

1.預覽安裝。在預覽安裝選項上，選擇“yes”，然后接受license許可，進行模擬安裝，驗證升級包是否可以安裝到本系統(tǒng)。

2.在預覽安裝通過后，執(zhí)行apply方式的軟件安裝。也就是在軟件狀態(tài)的選項上選擇apply方式。然后接受軟件許可，將軟件以apply狀態(tài)安裝到本系統(tǒng)。

在執(zhí)行過以上步驟后，進行軟件升級后的業(yè)務驗證，經過驗證無誤后，系統(tǒng)管理員可以使用smit commit方式將apply狀態(tài)的軟件變?yōu)檎教峤粻顟B(tài)。若在業(yè)務驗證過程中出現(xiàn)錯誤，業(yè)務無法正常運行，即需要我們將已apply應用的軟件進行回退處理，執(zhí)行“smit reject”命令后，選擇要reject的軟件進行回退，軟件版本則恢復為未升級前的狀態(tài)。