给Solaris打补丁 保护系统安全

一、solaris补丁介绍 

1.1补丁的种类及文件名 
    solaris的补丁分为两类，一类是Point补丁，另一类是Cluster补丁。 

a)Point补丁程序: 
      这类补丁仅仅是针对某一问题或缺陷而发布的单个补丁程序，solaris7、solaris8、solairs9的Patch一般为.zip文件solaris2.6一般为.tar.Z或.tar.gz文件，它有如下编号方式：
patch base code-revision num  (如110668-04)
前面部分是这个补丁的主版本号（base code），后面部分是此补丁的修订号。两者合起来构成此补丁的Patch-ID。如上例编号为110668-04的补丁，110668为主版本号，04是修订号。此补丁是在110668-03的基础上做了新的修复。有一点需要指出，补丁版本号为110668的一系列补丁都是针对 /usr/sbin/in.telnetd 这一文件的不同问题的修复，110668-04发布以后，sun将不再提供110668-04以前的补丁，如110668-03等。 

b) Cluster补丁程序:  
    cluster补丁仅仅是一系列point补丁的重新包装,并带有自动程序。Cluster补丁的命名方式如下：
version_Recommended 
如：9_x86_Recommended.zip是针对Solaris 9 for X86的补丁集。 
    8_Recommended.zip是针对Solaris 8 for Sparc 的补丁集。 
    每个Cluster补丁都对应一个CLUSTER_README文件，详细描述了该Cluster包含的补丁，以及的或注意事项。 

1.2 关于补丁的其他信息 
    sun公司对每一版本的solaris都维护了一份Patch Reports，该Patch Reports包含了对应版本solaris所有补丁的描述。Patch Reports每月更新两次，可以从如下地址得到： 
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access&nav=patchpage 

    另外sun还维护了一份Sun Alert Patch Report，该文档按产品分类，并且随时更新。从这里可以找到所有sun产品的更新文档及相应补丁，当然也包括的solaris的Sun Alert 文档、Patch ID、简要说明等。Sun Alert Patch Report从这里可以得到： 
http://sunsolve.sun.com/pub-cgi/show.pl?target=sunalert_patches 
相应的solaris部分可从如下链接得到： 
http://sunsolve.sun.com/pub-cgi/show.pl?target=sunalert_patches#Solaris 
表格按时间排序，从Category表格中可以知道此问题属于安全缺陷修复还是应用优化。 

二、补丁的下载 
    Cluster补丁可以从如下网址下载：
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access&nav=patchpage 
同样可以使用FTP协议下载，在sunsolve.sun.com的/pacthroot/clusters可以找到所有的Cluster补丁。下载后为一个_Recommended.zip文件。该压缩文件包含一份CLUSTER_README文件，建议前阅读此文件。 
    Point补丁由于其分散性不易下载与管理，可以使用Sun Alert Patch Report或Patch Reports来查看补丁情况，这两份文档相应的Patch ID及对应下载地址。另外sun网站提供的Patch Finder 功能也可以使我们在知道Patch ID的情况下很方便的找到该补丁，连接如下： 
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access&nav=patchpage 
同样，利用ftp协议从sunsolve.sun.com的/patchroot/all_unsigned目录下也可以下载指定Patch。 
    Sun公司建议所有下载的补丁都放到/var/tmp目录下（这也是通常的做法）,如此将不会导致补丁时出现的任何permission/ownership的问题。

三、solaris补丁的和删除 

3.1 /var/sadm/patch目录 
    在/var/sadm/patch目录下，记录了已的补丁。 
    如: # ls /var/sadm/patch  
    107558-05 107594-04 107630-01 107663-01 107683-01  
    107696-01 107817-01 107582-01 107612-06 107640-03 
    建议不要对此目录做任何修改，此目录被破坏后将不能或删除任何补丁。 

3.2 管理solaris补丁 
    Solaris提供了两个命令来管理补丁，patchadd和patchrm。这两个命令是在Solaris 2.6版本开始提供的，在2.6以前的版本中，每个补丁包中都提供了一个installpatch 程序和一个backoutpatch 程序来完成补丁的和卸载。
    patchadd用来解压缩后的补丁程序。patchadd通过调用pkgadd 命令来补丁。补丁前，我们需要将补丁解压到/var/tmp下。补丁如下命令： 
    # cd /var/tmp 
    # patchadd 110668-04 
    Checking installed patches... 
    Verifying sufficient filesystem capacity (dry run method) 
    Installing patch packages... 
     
    如果当前目录下有110668-04目录，patchadd将此补丁。补丁后，会备份原文件，以便在以后删除此补丁。如果使用patchadd -d 选项补丁，将不备份源文件，这意味着你将不能在以后删除此补丁。使用patchadd -p 选项可以检验已的patch，例如： 
    # patchadd -p 
    Patch: 106793-01 Obsoletes: Requires: Incompatibles: 
    Packages: SUNWhea 
    . . . 
    同样，solaris提供了另一命令来查看已的patch： 
    # showrev -p 
    Patch: 106793-01 Obsoletes: Requires: Incompatibles: 
    Packages: SUNWhea 
    . . . 
    patchrm 如果因为某种情况你想卸载某一补丁，你可以使用patchrm命令来完成。此命令通过调用 pkgadd来恢复补丁前的文件备份来卸载补丁。使用Patch-ID作为patchrm的参数就可以卸载补丁： 
    # patchrm 106793-01 
    Checking installed packages and patches... 
    Backing out patch 106793-01... 
    Patch 106793-01 has been backed out. 
    这里需要说明一下，在如下三种情况下，补丁将不能卸载： 
    1).在patch时,用patchadd -d命令指定patchadd不备份被更新的文件。这样的patch无法删除。 
    2).另一patch需要此patch，即存在dependence(关联性), 如一定要删掉该patch,先删掉另一patch。 
    3).要删的patch已被另一更新的patch废弃了。如110668-04补丁后，如果以前过110668-03，则110668-03将被110668-04废弃，110668-03将无法删除。 

3.3 Cluster补丁的 
    Cluster补丁为单个补丁的集合，下载解压后，可以通过执行./install_Cluster脚本来完成补丁集的。执行./install_Cluster后，脚本将检查当前目录下的patch_order文件，此文件标明了Patch的顺序，./install_Cluster将按照patch_order文件给出的顺序来patch。如果没有patch_order文件，则假定当前目录下所有以1开始的目录名均为需要的补丁目录，并且假定这些目录的名称次序作为Patch的次序。因此你可以通过修改patch_order文件来决定或不某Patch。 

3.4 Patch时的注意事项 
    由于在Patch时需要更新文件，故此Solaris官方推荐在补丁时进入单用户模式。在某些重要器上可能带来不便，因此你完全可以在多用户模式下通过停止相关进程来完成Patch的。 
    Sun推出的Patch并不是每个都一定要的，因此需要在patch前仔细阅读README来确定是否需要此补丁。另外，某些补丁具有依赖性，需要先另一补丁才能完成此补丁的，这些都会在README中标明。总之，补丁之前强烈建议你阅读相应的README（每个Patch都提供单独的README文件）。 

3.5 PATCH过程中出现的问题 
    在补丁的过程中，经常出现一些错误提示。例如： 
    Installation of 123456-11 failed. Return code 2 
    通过Return code我们可以知道错误类型。需要注意的是，Return code 2说明此补丁已被，Return code 8说明此补丁要修复的软件没有被。因此，2和8是完全可以被忽略的错误提示。下表说明了各个Return code对应的错误类型。 
Exit code Meaning  
0 No error  
1 Usage error  
2 Attempt to apply a patch that's already been applied  
3 Effective UID is not root  
4 Attempt to save original files failed  
5 pkgadd failed  
6 Patch is obsoleted  
7 Invalid package directory  
8 Attempting to patch a package that is not installed  
9 Cannot access /usr/sbin/pkgadd (client problem)  
10 Package validation errors  
11 Error adding patch to root template  
12 Patch script terminated due to signal  
13 Symbolic link included in patch  
14 NOT USED  
15 The prepatch script had a return code other than 0. 17 Mismatch of the -d option between a previous patch install and the current one.  
18 Not enough space in the file systems that are targets of the patch.  
19 $SOFTINFO/INST_RELEASE file not found  
20 A direct instance patch was required but not found  
21 The required patches have not been installed on the manager  
22 A progressive instance patch was required but not found < tr>;  
23 A restricted patch is already applied to the package  
24 An incompatible patch is applied  
25 A required patch is not applied  
26 The user specified backout data can't be found  
27 The relative directory supplied can't be found  
28 A pkginfo file is corrupt or missing  
29 Bad patch ID format  
30 Dryrun failure(s)  
31 Path given for -C option is invalid  
32 Must be running Solaris 2.6 or greater  
33 Bad formatted patch file or patch file not found  
34 The appropriate kernel jumbo patch needs to be installed 
35 Later revision already installed