ITPub博客

首页 > Linux操作系统 > Linux操作系统 > Oracle Critical Patch Update Advisory Best Practice之二

Oracle Critical Patch Update Advisory Best Practice之二

原创 Linux操作系统 作者:coolyl 时间:2019-07-11 11:45:07 0 删除 编辑
我们先来看看评估规划:
在IT环境中实施CPU类似于执行任何其他一套补丁,为了确保能够成功的实施,关键在于是否有正确的改革管理制度和正确的流程。

评估:在计划的初始阶段,首先应该评估CPU实施中的安全程度,并和管理层以及相关的部分交流其重要性以便获得必要的批准。此外,按照系统的重要程度区分打补丁的优先级次序也是非常重要的。下列准则应遵循:
  1. 应该列出一份在您的IT企业环境中的Oracle产品清单,包括产品的版本。
  2. 审 查CPU的Advisory以评估补丁的危险程度并提取一份执行总结计划以便获得必要的批准。对于CPU中每个新修复的漏洞的补丁 ,Oracle提供CVSS数据表明要安装这个安全漏洞补丁的先决条件,以及针对目标系统影响成功的攻击方面保密性,完整性和可用性。Metalink上 的文档394487.1提供了一个详细的解释在CPU实施中如何CVSS评级。
  3. 审查CPU提供的更新说明,以确定环境或系统需要应用的补丁和任何满足先决条件必须应用的补丁。
计划:和主要参与者进行讨论和计划实施CPU是非常重要的。因为这将确保CPU实施顺利执行。同样重要的是,以评估风险和建立的相应的应急计划。下列准则应确保相同的:
  1. 从metalink上下载需要的补丁至目标系统可以只读访问的存储系统上。
  2. 做一个所有环境的完全备份,并制定一个有效地回退还原计划以便应付意外出现的失败。
  3. 确保测试环境和生产环境尽可能的一致,特别是在产品的补丁集上要完全一样,这样才能在非生产环境中更加有效地测试CPU。
批 准:实施CPU中计划很重要的一步是提前获得停机的时间。Oracle为CPU中补丁的每个产品都提供了一个高水平大纲的执行摘要。这个执行摘要中对每个 CPU中的补丁提供了一个通俗易懂的英文解释,可用于简单管理以便获得初步批准。确保所有受影响的成员用户都提前知道计划的停机时间。挑选一个对您的业务 和用户群影响最小的时间停机是非常重要的。

接下来我们来看看测试部署:
Oracle建议在应用CPU到生产系统之前在测试环境中彻底的测试部署每一个CPU。对于有很多生产应用和系统的大的组织,最初阶段的生产推出可考虑测试过程的一个额外的组件。但是这不能取代在测试环境中的测试过程。
为了有效的进行生产环境的测试,确保测试环境能够尽可能的模拟生产环境,CPU依赖于补丁设定的级别,一次性补丁应用的环境。确保这些补丁级别,一次性补丁适用于测试环境的和用于生产环境的一模一样。如果有必要,在测试CPU之前从生产环境中复原出测试环境。
Oracle补丁使用Oracle通用安装程序(OUI)来检测冲突和加入新的记录。因此,Oracle的补丁主要程度上依赖于OUI清单的准确性和完整性。
在应用一个CPU到测试环境之前,Oracle建议运行所需要的功能测试,以确保测试环境的预期。这能够帮助隔离任何预先存在的问题或CPU说明的问题。
如果在应用CPU的时候遇到任何冲突,如果冲突没有在文档中提及可以忽略不计,那么必须停止补丁并且提交冲突报告给Oracle的售后寻求支持。
如果在补丁的过程中没有任何错误,那么可以通过opatch命令来检查OraInventory目录确认CPU补丁已经成功应用。在此之后还必须运行所需要的测试以确保和之前的环境的功能一样。这个部署后的验证任务是同样重要的,目的是避免在之后的生产环境中遇到任何意外或者风险。

我们再来看看生产部署:
在生产环境上部署CPU有以下有几个小技巧提示:
  • 在关闭系统准备补丁之前先确保计划停机的公告包含了所有的目标系统。停机时间的要求可能因为CPU和环境的不同而不同。如果有大量的生产系统需要更新,请准备改善的估计时间来更多的了解某一特定的CPU。
  • 确保你有一个完整的生产环境的数据备份和应急任何意外失败的恢复战略计划。
  • 通过Opatch或者OUI命令来检查OUI Inventory的准确性和完整性。如果选择在CPU补丁的时候忽略OUI Inventory,那么补丁冲突讲无法被检测到,并且可能会覆盖之前的补丁。
  • 可以使用如下的命令来预先检测潜在的补丁冲突:                                       opatch apply -silent -no_bug_superset -report    -report选项可以在不应用补丁的前提下检测任何的冲突。
  • 当使用Opatch应用补丁的时候,它能够回滚任何目前存在环境中的子补丁集。默认的情况下,在每个子补丁集回滚之后,要求重新链接需要的二进制或者lib库。例如,如果一个补丁取代了5个补丁,那么在回滚操作中会要重新链接5次。这个重新链接会需要额外的时间。因此,opatch提供了-norelink选项来避免在回滚的时候重新链接。如果使用这个选项,那么你需要手工使用makefile命令来重新链接。
  • 在关闭生产系统之前,运行所有需要的测试或者健康检查以验证生产环境的完整性和健康状态。
  • 从集中的存储位置复制所需要的补丁到目标系统的本地存储区域。由于补丁的时候可能会写入补丁的存储区域,所以Oracle用户或者组必须要对本地存储补丁的区域有写入权限。
  • 仔细检查CPU的实效性或者更新的说明来了解这些补丁之间的依赖性和顺序性。
  • 遵循补丁应用程序的指示,包括任何实施前或者实施后需要采取的步骤。
  • 检查补丁程序的输出日志,确保没有任何错误。
  • 如果存在任何错误或者失败,请查看已经的问题文档或者查询metalink看是否是一个已知问题并且提供了相应的解决方案方法。
  • 遵循补丁检查步骤检查确保补丁成功安装。
  • 一旦CPU成功应用之后,请验证环境功能是否正常。按照之前测试环境中运行过的检查列表和功能测试来确定是否没有问题。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/3704/viewspace-594781/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2001-12-17

  • 博文量
    142
  • 访问量
    107215