Когда обновление ядра происходит от крупного поставщика, можно обычно предполагать, что оно будет включать патчи безопасности. Иногда те патчи применяются, делают Вас, иногда они не делают. При решении, установить ли то обновление или отложив его, действительно необходимо посмотреть на информацию о версии от поставщика для определения точно, что изменилось. Только затем можете Вы начинать решать то, что делает или что не относится к Вам.
В общем случае я всегда рекомендую автоматические обновления, выполненные равномерно. С этой целью необходимо принять следующие меры.
Предоставленный, то, как Вы проходите процесс получения расписания как этот setup/approved/whatever, будет зависеть от Вашей организации. В любом случае удостоверьтесь, что опубликовали свое расписание так, чтобы все пользователи знали, что ожидать, и придерживаться его. Публикация расписания и затем не после него еще хуже, чем не наличие того вообще.
Как Вы идете об установке, и перезагрузка систем ваше дело, однако я рекомендую, чтобы она была максимально автоматизирована. Тем путем Вы не должны будете волноваться об упущении сделать обновление, и если пользователь жалуется, что можно всегда указывать назад и говорить им, "Нет, я не видел, что Вы работали над системой. Это - постоянное окно, что Вы знаете, что перезагрузки могут произойти автоматически".
Просто будьте осторожны, как Вы представляете потребность, и как Вы реагируете на пользователей, когда это происходит. Последняя вещь, которую Вы хотите, состоит в том, чтобы появиться BOFH-esque.
Я разобрался. Решение состоит в том, чтобы установить «user = root» в файле конфигурации Supervisor проекта. В документации сказано: «Если supervisord работает от имени пользователя root, эта учетная запись пользователя UNIX будет использоваться в качестве учетной записи, которая запускает программу». Таким образом, такой способ настройки пользователя эквивалентен запуску скрипта вручную с помощью команды «sudo».
You shouldn't be running your gunicorn server as root, just think if someone found an exploit in your code can do anything to the server.
Put the pidfile in /tmp or /var/tmp and run as a non privileged user.