Как часто я должен Обновить наш Сервер Linux?
Я не знаю, является ли то, что вы смотрели на плату за них, но диапазон Самородков CBT превосходными видео на диапазоне тем системного администрирования окон, помог мне через мой MCSE. Они действительно предлагают диапазон бесплатных видео, а также оплаченный.
Я работаю склонный - получают обновление-qq; склонный - получают обновление-duyq ежедневно. Это проверит на обновления, но не сделает их автоматически.
Затем я могу выполнить обновления вручную, в то время как я смотрю и могу исправить что-либо, что могло бы пойти не так, как надо.
Помимо проблем безопасности обслуживания исправленной системы, я нахожу, что, если я оставляю его слишком долго между патчами, я заканчиваю с целым набором пакетов, которые хотят быть обновленными, и это пугает меня намного больше, чем просто обновление один или два каждую неделю или около этого. Поэтому я склонен выполнять свои обновления еженедельно, или если они - высокий приоритет, ежедневно. Это имеет добавленное преимущество знания, какой пакет повредил Вашу систему (т.е. если Вы только обновляете пару за один раз),
Я всегда обновляю менее критические системы сначала. Я также имею в распоряжении "план отката" в случае, если я не могу зафиксировать систему. (так как большинство наших серверов является виртуальным, этот план отката обычно состоит из взятия снимка перед обновлением, что я могу вернуться к при необходимости),
Однако я думаю, что обновление повредило что-то только несколько раз за прошлые 4 года, и это было в очень специализированной системе - таким образом, Вы не должны быть СЛИШКОМ параноиками :)
-
1Я очень упорно работаю для касания каждого сервера каждые 30 дней. Я имею 80 + серверы в этой точке. Я делаю их в пакетах функциональной группой или операционной системой. – Thomas Denton 18 May 2009 в 20:13
-
2У нас есть сценарий крона, который выполняет эквивалент для наших полей SLES/OpenSuSE ночью; когда это находит, что этому нужны пакеты, это отправляет билет очереди системного администрирования в нашей системе заявки на устранение неисправности. (Это отслеживает которые it' s отправленный прежде в файле в/tmp так, чтобы это doesn' t массово рассылают очередь.) – Karl Katzke 7 June 2009 в 01:23
-
3Debian имеет два пакета, apticron и способный к крону, которые делают подобную вещь и посылают Вам по электронной почте, если существуют какие-либо доступные обновления. IME, apticron имеет преимущество путем пользования электронной почтой Вам журнала изменений, таким образом, Вы видите то, что изменилось. – David Pashley 7 June 2009 в 01:28
Вдобавок к предыдущим ответам - пара более конкретно вещей Debian: необходимо Подписаться на debian-security-announce и debian-объявить и / или проверить страницу Debian Security.
Принятие Вас выполняет стабильную версию Debian, большинство патчей будет безопасностью или ошибкой, связанной, который должен означать, что не будет слишком многих существенных изменений между версиями никакого данного пакета. Согласно debian патчи политики патча должны были также быть в тестировании в течение некоторого времени прежде чем быть перемещенным в стабильное ответвление специалистом по обслуживанию. Очевидно, Это не остановит поломки при исправлении, но должно предотвратить их в большинстве случаев.
Было бы благоразумно гарантировать, чтобы Ваше тестирование разъединило, сохранен до даты и любых пакетов, которые имеют ошибки, влияющие на Вас, и Ваши серверы должны быть усовершенствованы. Все пакеты, которые имеют консультации безопасности против них, должны быть обновлены, как только Вы знаете, что патч стабилен.
Debian обычно является очень стабильная ОС, и не один Вы должны быть чрезмерно обеспокоены поломками на однако всегда чтении, что будет обновленным перед ним, обновляются, и внимательно наблюдайте за чем-либо, что кажется странным. Я использую VCS на своем/etc/dir также, чтобы гарантировать, что любые изменения файла конфигурации видны с 'командой' разности мерзавца.
Я делаю пробный прогон (сначала) для наблюдения то, что будет обновленным. Иногда, библиотеки (позволяет, звонят, это libfoo для этого примера) изменяют их API, который повреждает программы, которые мы записали / установил нас. Если некоторая критическая библиотека обновляется, я захватываю источник и пытаюсь восстановить наш материал против нее до обновления.
Я также проверяю, чтобы видеть, что мы не переходим к промежуточной версии некоторых услуг общего пользования, т.е. апачу, и т.д. Я остался бы год позади и не встретился бы со случайной поломкой, если обновление не очень важно.
Если Вы - системный администратор, необходимо вытягивать каналы RSS от сайтов как Secunia, который должен сообщить путь заранее, если дистрибутив будет продвижением некоторых патчей.
Просто вслепую никогда никогда не обновляйте / обновление. К сожалению, задача знания, что повреждается падения на Вас, не Ваш диспетчер пакетов дистрибутива, особенно если Ваши системы поддерживают программистов.
Где я работаю, у нас есть довольно обширный процесс, который включает программное обеспечение использования под названием PatchLink для уведомления нас относительно самых важных связанных с безопасностью обновлений, и мы применяем их после тестирования на пакете основанием пакета. У нас есть тысячи серверов все же.
Если у Вас только есть два сервера, процесс должен быть намного более простым. Хотя я не думаю, делая "Кв. - добираются, обновление/обновление" является Вашим лучшим выбором.
Я контролировал бы патчи для программного обеспечения, которое Вы запускаете и принимаете решения на основе мер в тех выпусках на том, когда обновить.
Так как у Вас есть тестовый сервер, очевидно, всегда тестируйте обновление прежде, чем применить их.
Мне нравится способный к крону автоматизировать этот процесс, но поскольку @dinomite указанный по другому вопросу относительно обновлений, настраивая его конкретно для автоматизации связанных с безопасностью обновлений очень умная мысль - можно затем вручную обновить то, в чем Вы нуждаетесь. Я использовал способный к крону для всех обновлений, но на самом деле изменил это на основе его ответа. Если Вам нравится он, необходимо, вероятно, проголосовать за его ответ, а не этого.
В том же направлении как способные к крону необходимо смотреть на пакет необслуживаемых обновлений http://packages.debian.org/lenny/unattended-upgrades.
Его очень легкое для конфигурирования и позволит Вам загрузить обновления системы защиты и примененный автоматически, но оставить другие обновления для обновления руководства (или по Вашему усмотрению обновляют все!).
Чиновник Серверное руководство Ubuntu, имеет довольно подробный раздел, покрывающий использование пакета необслуживаемых обновлений https://help.ubuntu.com/9.04/serverguide/C/automatic-updates.html
Примечание: в зависимости от Вашего уровня осторожности/паранойи можно сделать прокручивающееся обновление на группе тестовых серверов сначала, затем если нет проблем, позволяют производственным полям обновлять, хотя я лично не столкнулся ни с какой проблемой с обновлениями системы защиты, разрушающими опустошение до сих пор (удар по древесине)...
Существует также опция конфигурации отправить Вам по почте результаты каждого обновления системы защиты также, однажды его прикладное. Кроме того, если было какое-либо диалоговое окно или интерактивные подсказки, которые были представлены во время обновления, которым будет нужна ручная тонкая настройка системным администратором, она упомянет их также.
Помимо материала, который упоминается, необходимо использовать некоторый контрольный инструмент (Nagios или безотносительно плаваний лодка) для предупреждения Вас обновлений.
До, как часто идет: Как только существует доступное обновление!
Я лично отключаю автоматические обновления и не выполняю никаких регулярных действий обновление пакетов на серверах в моих средах, если: (a) нет важных рекомендаций CERT для одного из пакетов в моей системе; (б) Мне нужно обновить отдельные пакеты по определенным причинам; (c) ОС или пакеты подходят к концу, они больше не будут поддерживаться, и нам необходимо продолжать поддержку. Я считаю, что обновление без знания того, что меняется или почему оставляет слишком много места для чего-то сломанного. Я занимаюсь подобными вещами уже 14 лет, и это хорошо работает.
Ручные обновления лучше всего, как упоминалось здесь, в том смысле, что вы можете видеть, что происходит. Однако для очень большого количества серверов это может стать непрактичным. Пробный запуск - это стандартная практика, на самом деле, большинство менеджеров пакетов спросят вас, прежде чем продолжить.
Регулярное обновление, как правило, является лучшим, хотя это может быть своего рода балансирующим действием. Частые обновления означают меньшее количество ошибок за один раз и меньше ошибок сразу. Если что-то пойдет не так, осталось меньше кандидатов для проверки. Пакеты также немного лучше обновляются более мелкими шагами, как правило, когда программист обновляет, который они рассматривают, переходя от последней версии к следующей, могут ли они уделять какое-либо внимание помимо последней версии, может варьироваться, хотя это, как правило, имеет значение в основном для программного обеспечения, которое быстро развивается.
Не все обновления не нарушают работу. Вы захотите остерегаться этого. Некоторые из них перезапускают службы, что приводит к простоям.
В идеальной настройке у вас может быть следующее:
- Средство удобного переключения серверов (A / B или тик-так). Это означает, что вы обновляете один, пока он находится на стенде, а затем просто переключаете трафик с текущего на новый. Это может быть сложнее для таких служб, как базы данных.
- Возможность тестировать обновления. У вас должны быть тестовые серверы, которые практически являются клонами производственной среды (но без подключения к каким-либо производственным службам). Это позволит вам сначала протестировать обновления.
- Хорошая стратегия резервного копирования, инкрементное - идеальное решение. Никогда не знаешь. Всегда лучше перестраховаться, чем сожалеть.
- Знайте, в какое время больше всего активности и какой уровень простоя допустим.
- Знайте, как откатить обновление или конкретный пакет.
- Имейте свой собственный пакет. зеркала, поэтому обновления на всех серверах согласованы и предсказуемы. Это первый шаг к созданию достойной автоматической системы, которой можно доверять. Это означает, что вы можете обновить зеркало, запустить обновление на одной или нескольких тестовых машинах, а затем, если все в порядке, пусть оно отключится автоматически. Я прекрасно провел время, умело управляя примерно 800 машинами EPOS.
- Хороший уровень согласованности, чтобы вы могли знать, что если что-то здесь будет работать, то будет работать и там.
Некоторые из них могут быть излишними. степени для небольших настроек, но следует иметь в виду.
Вообще говоря, обновления обычно относительно безболезненны для серверных дистрибутивов. Это потому, что они почти всегда придерживаются только исправлений ошибок и обновлений безопасности. Однако у вас могут возникнуть проблемы, если люди сделали странные вещи с системой или вы добавили дополнительные источники пакетов.
Хотя это довольно редко, они иногда делают ошибки и нарушают совместимость между второстепенными версиями пакетов.