Обновите до последнего кота / JRE или палка с тем, что обеспечивается LTS?

Свяжитесь с поставщиками / разработчиками приложений, которые отвечают за приложения, работающие в Tomcat. Хотя репозиторий Ubuntu, вероятно, лучший выбор ... Поставщики могут (и часто имеют) иметь определенные требования к версии Java.

И если вы являетесь разработчиком всех веб-приложений в своем экземпляре tomcat, ответственность за этот выбор лежит на вас руки.

Никогда не используйте критически важные инструменты, поскольку они распространяются с вашим дистрибутивом Linux. Они часто отстают на несколько версий и могут быть настроены не так, как вы ожидаете. Например, Python всегда устанавливает дополнительные пакеты в каталог, называемый site-packages, за исключением дистрибутивов Debian и Ubuntu.

Есть два подхода к этим критически важным компонентам, то есть к вещам, которые критически важны для вашего бизнеса и для цель, которая у вас есть для данного сервера. Первый более или менее ручной, но его можно автоматизировать с помощью сценария bash. В этом варианте вы загружаете пакет из того, что дистрибутив называется «восходящий поток». Это означает, что вы получаете JDK с сайта Oracle, Tomcat с сайта Apache и так далее. Это также означает, что вы получаете отправителя ' s, который, вероятно, является архивом. Даже в тех случаях, когда восходящий поток предоставляет .deb, вы не сможете его использовать, если он указывает зависимости, которые вы не хотите извлекать из Ubuntu, но хотите контролировать себя. В случае Oracle Java я просто заархивировал zxvf tarball, переместил полученный каталог в / opt и добавил записи в /etc/bash.bashrc для JAVA_HOME и переменной PATH. То же самое с большинством инструментов Apache, таких как Tomcat. В идеале не загружайте (или свертывайте) пакеты с внешнего Интернет-сайта, а загрузите их один раз и поместите на внутренний http-сервер для развертывания на своих серверах.

Другой вариант - создать собственное локальное репо в формате Debian и добавьте в него свои критически важные пакеты. Затем добавьте это в свои источники и настройте предпочтение выше, чем репо LTS, чтобы ваш пакет переопределял LTS. Для этого вам нужно загрузить архивы и создать свои собственные пакеты .deb, включая определение зависимостей, чтобы втягивались ваши собственные пакеты зависимостей. Это предпочтительнее для большой установки, скажем, более 50 серверов, но в противном случае это не будет чтобы сэкономить много усилий, помимо хорошо написанного сценария bash.

Теперь, когда появится обновление безопасности, возьмите копию нового tarball, поместите ее на свой http-сервер и измените сценарий bash (или создайте новый .deb) , затем запустите сценарий bash удаленно на всех серверах через ssh (или используйте SaltStack или Ansible, чтобы помочь с этим).

Я бы не рекомендовал всегда использовать последнюю второстепенную версию. Когда выходит новая версия, вы всегда должны читать примечания к выпуску, решать, нужны ли вам изменения или нет, запускать внутренние тесты на тестовом сервере, и только потом обновлять. Если изменения небольшие или окажут минимальное влияние на вас, можно отставать на несколько версий. Важно то, что вы контролируете весь процесс, принимаете решения и взвешиваете все «за» и «против» ВАШЕЙ ситуации, а затем продолжаете и обновляете свой график. Иногда угроза требует обновления прямо сейчас, а иногда нет; прочтите примечания к выпуску, чтобы понять, WHA

Не забывайте, вы не используете Ubuntu или Centos. Вы используете Linux. Ubuntu и Centos могут облегчить некоторые задачи, особенно при настройке нового сервера, но, по сути, 99% или более вашей системы - это стандартный Linux, и он бесконечно податлив.

Важно то, что вы контролируете весь процесс, принимаете решения и взвешиваете все «за» и «против» ВАШЕЙ ситуации, а затем продолжаете и обновляете свой график. Иногда угроза требует обновления прямо сейчас, а иногда нет; прочтите примечания к выпуску, чтобы понять, WHA

Не забывайте, вы не используете Ubuntu или Centos. Вы используете Linux. Ubuntu и Centos могут облегчить некоторые задачи, особенно при настройке нового сервера, но, по сути, 99% или более вашей системы - это стандартный Linux, и он бесконечно податлив.

Важно то, что вы контролируете весь процесс, принимаете решения и взвешиваете все «за» и «против» ВАШЕЙ ситуации, а затем продолжаете и обновляете свой график. Иногда угроза требует обновления прямо сейчас, а иногда нет; прочтите примечания к выпуску, чтобы понять, WHA

Не забывайте, вы не используете Ubuntu или Centos. Вы используете Linux. Ubuntu и Centos могут облегчить некоторые задачи, особенно при настройке нового сервера, но, по сути, 99% или более вашей системы - это стандартный Linux, и он бесконечно податлив.

вы не используете Ubuntu или Centos. Вы используете Linux. Ubuntu и Centos могут облегчить некоторые задачи, особенно при настройке нового сервера, но, по сути, 99% или более вашей системы - это стандартный Linux, и он бесконечно податлив.

вы не используете Ubuntu или Centos. Вы используете Linux. Ubuntu и Centos могут облегчить некоторые задачи, особенно при настройке нового сервера, но, по сути, 99% или более вашей системы - это стандартный Linux, и он бесконечно податлив.

Оставайтесь с тем, что поставляет Ubuntu, предполагая, что он по-прежнему предоставляет обновления безопасности. Если срок службы подошел к концу, перейдите на более новую установку.

Обновление: я не могу комментировать, поэтому я опровергаю ответ г-на Диллона. Версии программного обеспечения, предлагаемые поставщиками Linux, например Ubuntu, могут быть более ранними, но они хорошо протестированы и доказали свою надежность по сравнению со свежими выпусками от разработчиков программного обеспечения. Создание собственного стека приложений, его тестирование и развертывание является дорогостоящим и ненужным.

Читая ответы, я думаю, что две важные вещи отсутствуют и важны.

1. Ни один из открытых поставщиков Linux не проводит тщательную проверку совместимости с таким программным обеспечением, как Tomcat, оно слишком узкое и разнообразное. Я думаю, что только Red Hat делает это с JBoss для всего своего стека и гарантирует работу только в том случае, если вы используете их корпоративную поддержку и версию.

2. Большинство приложений, которые работают на Tomcat, созданы на заказ, в противном случае они уже предоставляют свой собственный внутренний сервер приложений в качестве рекомендация (например, Jira, Confluence, Jenkins). И для большинства приложений, сделанных на заказ, единственный выход - протестировать его.

Чтобы ответить на вопрос.

Обычно использование последней дополнительной версии имеет смысл, но в пределах разумного. Поэтому выполняйте обновление только тогда, когда вы видите ошибку, которая влияет на вас или связана с безопасностью в вашем домене (если она исправляет ошибку безопасности, например, в апплетах, вам не нужно обновляться). Вы также можете сделать это непосредственно из дистрибутива Linux, для Oracle JDK и Tomcat есть репозитории PPA, которые предоставляют последние версии вне цикла обновления Ubuntu.

Сказав, что, в зависимости от того, что делает ваше приложение, также может быть незначительное обновление. ломать вещи. Особенно когда вы переходите к отражению и генерации байтового кода, вы должны быть осторожны (это также относится к таким библиотекам, как Hibernate). У нас произошел сбой при обновлении младшей версии Sun JDK, потому что у библиотеки были проблемы с новым байтовым кодом.

Но для этого нужны тесты. Поэтому просто убедитесь, что ваши разработчики и среды сборки используют ту же версию, что и у вас на сервере,