Удостоверьтесь, что Вы проверяете свои установленные порты на уязвимые пакеты время от времени: portaudit - FDA
Я не уверен, что существует определенный "BSD путь", чтобы сделать этот тип материала. Все это сводится к знанию, что обновляется и тестирующей - универсальный материал системного администратора. К счастью, freebsd-обновление и portsnap делают "знание что" довольно тривиальным.
Но, так как Вы попросили специфические особенности, назад когда я пас большое количество машин FreeBSD, они были всеми узлами в кластере. Автономные машины не были бы всем, что отличающийся от этого, но я предполагаю, что Вы могли сделать это неопределенно 'devops' как для Ваших услуг по производству. В конце, всегда хорошая идея иметь отдельные тестовые и продуктивные среды.
В кластерной ситуации:
Очевидно, это было и в случае системы и в случае обновления портов, но процедура была достаточно подобным обновлением просто пакеты или система.
Если это сделано с двумя машинами, Вы могли бы иметь каждого сменяющегося как являющийся производством или подготовкой, или просто обновить производство от подготовки.
Можно отследить изменения от журналов cvs и проверить, получили ли Вы определенные обновления в/usr/src/UPDATING и/usr/ports/UPDATING, оба из которых автоматически обновляются от cvsup.
Если Вы не будете использовать cvsup (и в эти дни существует меньше причины для), то необходимо будет просто найти некоторый другой способ отследить то, что обновляет Вас, хотят. Вы могли отправить список по почте изменений, которые freebsd-обновление хочет внести в себя и следить за страницей опечаток безопасности.
Философия обновления OpenBSD
Это - мой подход для обновления OpenBSD
Оставайтесь в курсе выпусков/патчей безопасности для:
Процедуры обновления:
a. Следуйте соответствующим спискам рассылки - я смотрю squish.net ежедневные обзоры, а также общее направление, показанное в списках рассылки Tech и Misc.
b. Следуйте за связанными с Unix веб-сайтами/списками рассылки объявления безопасности.
c. Поддержите локальную копию CVS использования cvsync
d. Создайте Стабильные версии из вышеупомянутого
Когда обновления системы защиты публикуются, мы оцениваем фактическую проблему безопасности с профилем машин с той версией ОС/уязвимости. Если уязвимость релевантна, что мы проходим "ту же процедуру обновления версии".
Более трудно отслеживать обновления системы защиты для портов/пакетов, но если достаточно очень важно быть на нашей инфраструктуре затем, достаточно важно отслеживать прочь подобным образом для БАЗИРОВАНИЯ.
Войдите в список рассылки для определенного приложения (это - наша обязанность следить восходящих изменений, независимых от проекта OpenBSD.)
Войдите в списки рассылки безопасности, находится как CERT, который публикует результаты уязвимостей на приложениях и т.д.
Очевидно, создайте и протестируйте свою процедуру установки по отдельному оборудованию (или VM) прежде, чем сделать его на Ваших производственных машинах. К счастью, для нас, мы имеем избыточные хосты ко многим вещам и можем поэтому развернуть с минимальным временем простоя сервисов. Поскольку OpenBSD поддерживает широкий диапазон аппаратных средств, мы можем оборудование класса сервера развертывания для наших основных машин и рабочие столы более низкого уровня как наши избыточные хосты (или мы просто создаем временное поле для заполнения для основной машины во время цикла обновления.)
Наши процедуры обновления в большой степени зависят от использования системы портов/пакетов для неосновного программного обеспечения. Два хоста, где мы устанавливаем программное обеспечение из источника, являются болью для обновления между обновлениями версии ОС.
Для ОСНОВНОЙ ОС мы продолжаем иметь успех только с установкой новых двоичных файлов по старым. Предпочтительно, мы копируем всю ОС и Конфигурацию приложения / файлы данных, формат и переустанавливаем исправленную ОС и переустанавливаем пакеты (сохраняющий исходные данные)
В наших развернутых хостах OpenBSD (30 +), и опыт, создавая резервную копию конфигурации и данных не является трудным. Для наших брандмауэров все данные находятся в конфигурационных файлах и файлах журнала.
Для Портов/Пакетов - где изменения просты, мы изменяем наш собственный порт и создаем пакет из этого. Наличие обновленного порта упрощает процесс выше.
Между версиями ОС мы устанавливаем все из эскиза.
Я уверен, что существует достаточно документации там для процесса, но по существу мы создаем ссылочную машину с той же конфигурацией как система, которая будет "заменена". Пройдите те же тесты, требуемые прежде, чем развернуть хост.
Мы копируем конфигурацию от ссылочного хоста и устанавливаем OpenBSD на производственном узле, восстанавливая "проверенную" конфигурацию ontop его (снова выполнение той же валидации впоследствии.)
Для OpenBSD, по крайней мере:
Если нет никакой проблемы безопасности или затрудняющей функциональность ошибки, то оставьте его в покое. Проверяйте на обновления, возможно, каждые 3-6 месяцев, таким образом, Вы не становитесь слишком далекими позади, но иначе оставляете вещи в покое.
Если это не, повредился, не фиксируйте его.
Я предпочитаю использовать portupgrade
для обновления портов, и делают это только при необходимости, например, когда уязвимость найдена в порте, или новая функциональность требуется.
Что касается обновления системы, я обычно восстанавливаю из источников с make buildworld
. У меня никогда не было проблем с этим подходом.