AIX系统下软件修复升级经验

■ 北京 井超 张和

编者按： 基于漏洞利用的网络攻击频现，漏洞排查和扫描也成为单位网络安全防护的重点，笔者单位进行了AIX系统下软件修复升级，并进行了经验总结。

利用漏洞进行攻击的网络安全事件时有发生，商业银行也存在外部利用漏洞攻击的风险。

进行漏洞扫描也成为银行科技部门的例行工作，漏洞扫描报告中存在大量AIX系统软件版本漏洞，由于大部分AIX系统在银行内部都承担了重要的生产运行任务，如何安全稳定地修复并升级这些系统软件漏洞也成为科技人员不得不面对的问题。

AIX下安装软件一般使用installp进行，会出现界面共选择。有些选项需要注意，是否仅做预览安装，如果选择了“是”，则仅仅检查安装条件而不进行实际安装动作。在是否接受协议选项中，默认“否”，在安装软件需要有协议时就不会安装成功。另外还有一个选项表示在有协议时仅做预览，默认“否”，建议也选择“否”。

smit(ty)进去后可查看、安装、卸载软件。软件的三种状态：

Apply：软件处于应用状态，但未被提交（Commit）；

Commit：软件已经提交；

Reject：软件被从系统中删除。

系统安装或升级文件集时，文件集在系统中有apply和commit两 种 状 态，由“commit software updates”选项控制，yes（默认值）就是commit状态，no为apply状态。apply的文件集可以reject掉（smit reject），也即回退到安装前的状态，也可以 commit（smit commit），而commit的文件集则无法回退。

在进行漏洞修复过程中，针对AIX系统，建议优先使用smit mksysb命令对操作系统进行备份，备份位置可以是磁带、光盘或是文件系统。进行备份后再执行系统漏洞修复工作，若出现异常情况时可进行系统级恢复。

在操作系统备份完成后，可 使 用“smit install”命令进行漏洞修复软件安装，安装过程中有两个步骤必不可少：

1.预览安装。在预览安装选项上，选择“yes”，然后接受license许可，进行模拟安装，验证升级包是否可以安装到本系统。

2.在预览安装通过后，执行apply方式的软件安装。也就是在软件状态的选项上选择apply方式。然后接受软件许可，将软件以apply状态安装到本系统。

在执行过以上步骤后，进行软件升级后的业务验证，经过验证无误后，系统管理员可以使用smit commit方式将apply状态的软件变为正式提交状态。若在业务验证过程中出现错误，业务无法正常运行，即需要我们将已apply应用的软件进行回退处理，执行“smit reject”命令后，选择要reject的软件进行回退，软件版本则恢复为未升级前的状态。