ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

กล่าวนำ

โปรแกรม up2date เป็นโปรแกรมที่ทำหน้าที่ตรวจสอบ ดาวน์โหลด และติดตั้ง patch จากเซิร์ฟเวอร์ของ Red Hat โดยสามารถทำงานได้ทั้งแบบ GUI และแบบ command line ผู้ดูแลระบบทุกคนควรใช้งาน service นี้ เพื่อให้ระบบสามารถติดตั้ง patch สำหรับโปรแกรมที่มีช่องโหว่ หรือบั้กได้ง่าย และสะดวก รวมทั้งสามารถติดตั้งซอฟต์แวร์เวอร์ชันใหม ่แทนเวอร์ชันเดิมที่มีอยู่ในเครื่องได้อีกด้วย

เมื่อรันคำสั่ง up2date ในครั้งแรก โปรแกรมจะแจ้งให้ลงทะเบียนการใช้งานก่อน โดยให้รันคำสั่ง rhn_register ซึ่งผู้ดูแลระบบจะต้องกรอกข้อมูลอี-เมล์ (ควรใช้อี-เมล์ที่ตรวจสอบได้เร็วเพราะหากมี patch ออกมาใหม่ Red Hat จะส่งข้อมูลมายังอี-เมล์นี้) และที่อยู่ ถ้าไม่พบปัญหาใดภายหลังจากการกรอกข้อมูลแล้ว ผู้ดูแลระบบก็จะสามารถเรียกใช้งาน up2date ได้ทันที

หมายเหตุ: การลงทะเบียนต้องใช้การเชื่อมต่อกับอินเทอร์เน็ต ดังนั้นผู้ดูแลระบบควรปิด network service ทุกตัวก่อนทำการลงทะเบียน เพื่อป้องกันการถูกบุกรุก หรือสแกนจากผู้ไม่ประสงค์ดี

หากได้ติดตั้ง XWindow ไว้แล้ว และรันคำสั่ง up2date ก็จะปรากฏหน้าจอที่เป็น GUI ซึ่งจะใช้งานง่าย แต่ต้องการการตอบกลับจากผู้ใช้งานด้วย (interactive) ดังรูปที่ 1

รูปที่ 1 แสดง GUI ของโปรแกรม Up2Date

โปรแกรม up2date ที่ใช้ GUI ดังรูปนี้ ไม่เหมาะสำหรับระบบที่ออนไลน์ 24 ชั่วโมง เพราะการ update patch นั้นควรจะกระทำได้ทันทีโดยไม่ต้องมีการ response จากผู้ดูแลระบบ และ Red Hat Linux ที่ติดตั้งเป็นเซิร์ฟเวอร์มักจะไม่นิยมติดตั้ง XWindow มาด้วย

โปรแกรม up2date มีออปชันให้สามารถสั่งงานผ่าน command line ได้ โดยใช้คำสั่ง up2date -u เพื่อให้ up2date ทำการ update โปรแกรมที่เกี่ยวข้องให้โดยอัตโนมัติ หรือใช้คำสั่ง up2date -l เพื่อให้ up2date แสดงรายการโปรแกรมที่จะ update ในระบบ

ผู้ดูแลระบบสามารถตั้งค่า cron ให้รันโปรแกรม up2date เป็นระยะเวลาที่สม่ำเสมอ เช่น ทุกๆ วัน โดยสามารถตรวจสอบผลการ update ได้โดยดูจากไฟล์ล็อกที่ /var/log/up2date

ผู้ดูแลระบบสามารถปรับแต่งค่าการทำงานของโปรแกรม up2date ได้ เช่น เลือกว่าไม่ให้ทำการ update บาง package เป็นกรณีพิเศษ หรือใส่ค่า proxy username, password ในกรณีที่การเชื่อมต่ออินเทอร์เน็ตกระทำผ่าน proxy server โดยการแก้ไข configuration ต่างๆ นั้นสามารถกระทำได้โดย

• สำหรับระบบที่ติดตั้ง XWindow ให้รันคำสั่ง /usr/sbin/up2date-config
• ระบบที่ไม่ได้ติดตั้ง XWindow จะต้องเข้าไปแก้ไขไฟล์ configuration เอง ที่ /etc/sysconfig/rhn/up2date

อย่างไรก็ตามการรันโปรแกรม up2date อย่างสม่ำเสมอก็ไม่ได้เป็นการรับประกันว่าระบบจะมีความปลอดภัย 100% เสมอไป เพราะอย่างน้อยก็มีช่องว่างของเวลาระหว่างการสร้าง patch เพื่อแก้ไขช่องโหว่ ซึ่งบางครั้งใช้เวลานานกว่าที่บรรดาแฮ็กเกอร์ใช้ในการพัฒนา exploit เสียอีก ดังนั้นผู้ดูแลระบบจำเป็นต้องตั้งเครื่องมืออื่นๆ ที่จำเป็นในการเฝ้าระวังการโจมตีที่จะเกิดขึ้น และจำเป็นต้องติดตามข่าวสารที่เกี่ยวข้องกับความปลอดภัยคอมพิวเตอร์ โดยเฉพาะที่เกี่ยวข้องกับซอฟต์แวร์ที่ใช้อยู่ในระบบของตนด้วย