V tomto krátkom článku sú popísané pravidlá, ako často aktualizovať systém arkime a jeho súčasti.

Operačný systém

Na servery Offline-arkime je operačný systém Ubuntu. Tento operačný systém má vo svojich životných cykloch definované doby trvania podpory. Nami využívaný systém má štandardne podporu 5 rokov od vydania verzie. Je potrebné zabezpečiť, aby bežiaci operačný systém bol v tomto definovanom časovom rozmedzí podpory. Pred koncom podpory, je nutné aktualizovať operačný systém na novú verziu, ktorá je podporovaná. Informácie o cykloch vydania operačného systému Ubuntu nájdete tu.

Arkime

Služba Arkime sa minimálne aktualizuje pri každom vydaní novej hlavnej verzie (napr. z 4.x na 5.x), alebo pridaním zaujímavej funkcie v rámci hlavnej verzie. Informácie o verziách a funkciách nájdete na GitHube Arkime. V popise jednotlivých verziách nájdete aj informácie o podporovaných operačných systémoch. Inštrukcie na aktualizovanie jednotlivých verzií nájdete tu. Pred aktualizáciou je vhodné vypnúť všetky služby Arkime.

Elasticsearch

Aktualizovanie Elasticsearchu závisí od verzie Arkime, kvôli zabezpečeniu kompatibility. Na stránke Arkime FAQ sa nachádzajú informácie k jednotlivým verziám Arkime a ich kompatibilite s verziami Elasticsearchu. Elasticsearch sa aktualizuje pomocou apt správcu balíčkov. Pred aktualizáciou Elasticsearchu je potrebné vypnúť službu arkimecapture a následne samotný Elasticsearch. Po úspešnej aktualizácií sa zapnú služby v spätnom poradí ako boli vypnuté.

Suricata

Balíčky Suricaty sa tiež aktualizujú pomocou správcu balíčkov apt. Je vhodné aby nasadená verzia Suricaty bola aktualizovaná minimálne pri vydaní novej hlavnej verzie Suricaty. Aktualizovanie signatúr Suricaty by malo byť zabezpečené cron službou automaticky na týždennej báze. V prípade potreby ide signatúry aktualizovať manuálne pomocou nasledujúceho príkazu.

sudo suricata-update

Ostatné balíčky

Ostatné balíčky je taktiež potrebné pravidelne aktualizovať z dôvodov bezpečnosti, kompatibility a uchovania aktuálnosti systému. Takáto aktualizácia by sa mala robiť pravidelne aspoň raz za 2 mesiace. Vykonáva sa nasledujúcimi príkazmi.

sudo apt update
sudo apt upgrade

Pozor! Pri tejto aktualizácií môže dojsť aj k aktualizácií Elasticsearchu, čo môže spôsobiť nekompatibilitu. Pred vykonaním apt upgrade, je potrebné skontrolovať balíčky ktoré sa budú aktualizovať, či sa tam nenachádza elasticsearch. Použite príkaz sudo apt list –upgradable. Ak sa v zozname nachádza elasticsearch, je potrebné použiť nasledujúci príkaz. Zabezpečí to, že počas aktualizácie sa balíček elasticsearch vynechá a jeho verzia bude nezmenená.

sudo apt-mark hold elasticsearch

Po zadaní tohto príkazu je možné vykonať aktualizáciu.

Pre vylistovanie takto zadržaných balíčkov.

sudo apt-mark showhold

Pre spätné uvoľnenie balíčka na aktualizáciu je možné použiť nasledovný príkaz.

sudo apt-mark unhold elasticsearch

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *