AIX系統下軟件修復升級經驗

■ 北京 井超 張和

編者按： 基于漏洞利用的網絡攻擊頻現，漏洞排查和掃描也成為單位網絡安全防護的重點，筆者單位進行了AIX系統下軟件修復升級，并進行了經驗總結。

利用漏洞進行攻擊的網絡安全事件時有發生，商業銀行也存在外部利用漏洞攻擊的風險。

進行漏洞掃描也成為銀行科技部門的例行工作，漏洞掃描報告中存在大量AIX系統軟件版本漏洞，由于大部分AIX系統在銀行內部都承擔了重要的生產運行任務，如何安全穩定地修復并升級這些系統軟件漏洞也成為科技人員不得不面對的問題。

AIX下安裝軟件一般使用installp進行，會出現界面共選擇。有些選項需要注意，是否僅做預覽安裝，如果選擇了“是”，則僅僅檢查安裝條件而不進行實際安裝動作。在是否接受協議選項中，默認“否”，在安裝軟件需要有協議時就不會安裝成功。另外還有一個選項表示在有協議時僅做預覽，默認“否”，建議也選擇“否”。

smit(ty)進去后可查看、安裝、卸載軟件。軟件的三種狀態：

Apply：軟件處于應用狀態，但未被提交（Commit）；

Commit：軟件已經提交；

Reject：軟件被從系統中刪除。

系統安裝或升級文件集時，文件集在系統中有apply和commit兩 種 狀 態，由“commit software updates”選項控制，yes（默認值）就是commit狀態，no為apply狀態。apply的文件集可以reject掉（smit reject），也即回退到安裝前的狀態，也可以 commit（smit commit），而commit的文件集則無法回退。

在進行漏洞修復過程中，針對AIX系統，建議優先使用smit mksysb命令對操作系統進行備份，備份位置可以是磁帶、光盤或是文件系統。進行備份后再執行系統漏洞修復工作，若出現異常情況時可進行系統級恢復。

在操作系統備份完成后，可 使 用“smit install”命令進行漏洞修復軟件安裝，安裝過程中有兩個步驟必不可少：

1.預覽安裝。在預覽安裝選項上，選擇“yes”，然后接受license許可，進行模擬安裝，驗證升級包是否可以安裝到本系統。

2.在預覽安裝通過后，執行apply方式的軟件安裝。也就是在軟件狀態的選項上選擇apply方式。然后接受軟件許可，將軟件以apply狀態安裝到本系統。

在執行過以上步驟后，進行軟件升級后的業務驗證，經過驗證無誤后，系統管理員可以使用smit commit方式將apply狀態的軟件變為正式提交狀態。若在業務驗證過程中出現錯誤，業務無法正常運行，即需要我們將已apply應用的軟件進行回退處理，執行“smit reject”命令后，選擇要reject的軟件進行回退，軟件版本則恢復為未升級前的狀態。