Как обновить программное обеспечение, установленное из источника?
Одна из проблем будет сохранять компьютеры безопасными от аппаратной и программной перспективы.
В зависимости от степени контроля Ваши аппаратные средства будут иметь, я ожидал бы, что должна будет быть различная степень физической безопасности для Ваших машин. Некоторые вопросы спросить были бы:
- Будет камера видеонаблюдения?
- Действительно ли место является достаточно небольшим, и имейте вполне достаточный контроль?
- Есть ли какие-либо мертвые зоны?
Если аппаратные средства подвергаются риску воровства, может стать необходимо физически заблокировать вниз аппаратные средства с блокировками и защищенным от сокращения проводным соединением для привязки их к мебели.
С точки зрения безопасности программного обеспечения снова существуют некоторые вопросы для рассмотрения:
- Машины с внешней стороны, позволил соединяться с LAN?
- Будут съемными устройствами хранения, позволенными соединяться с машинами?
Если машины или устройства хранения с внешней стороны позволяются на локальную сеть, это может быть благоприятной почвой для вирусов и червей. Это, вероятно, была бы хорошая идея иметь актуальное антивирусное программное обеспечение (с автоматическим обновлением) на всех машинах и брандмауэрах с разумными настройками для того, чтобы только позволить определенным портам передавать.
Не говоря уже о потребности в безопасности от внешнего мира, т.е. Интернете. Это - что-то, что не может быть проигнорировано, но вероятно могло быть выполнено при наличии исходящего брандмауэра направления, который могут пройти все системы.
Продукты безопасности, которыми можно централизованно управлять, вероятно, пригодятся при работе с больше, чем несколькими машинами. Рассмотрение работы собирается стоить денег (и да, Ваше время также стоит денег также), таким образом вкладывание капитал в некоторую систему с централизованным управлением, вероятно, сделает Вашу жизнь намного легче.
Если системы запускают Windows, я думаю, что настройками Windows Firewall могут управлять Объекты Групповой политики на Active Directory. Я знаю, что существуют продукты корпоративной безопасности, которые позволяют центральное управление защитного программного обеспечения, но снова, эти два предложения могут быть дорогими в зависимости от масштаба машин в сети. Снова, взвесьте расходы и доходы.
Кроме того, один дополнительный риск рассмотреть в безопасности является опасностью распространить вирусы и червей через LAN. Это может стать ответственностью, если люди жалуются, что их машины были заражены и вызванные проблемы. Возможно, наличие покровителей подписывается, отказ обошел бы это, но я не адвокат, таким образом, это была бы хорошая идея консультироваться с адвокатом юридической консультации.
Вы правы думать, что это не оптимальный маршрут. Этот маршрут требует многих ручных шагов, и очень подвержен ошибкам, и не масштабируется хорошо.
При работе с дистрибутивами Linux необходимо придерживаться управления пакетом как можно больше.
Преимущества использования управления пакетом:
- Поддержка зависимости
- Легкая установка/удаление
- Материально-технические ресурсы программного обеспечения
- Поддержка обновления/Снижения, включая обработку конфигурационных файлов
- Исходный пакет в основном документирует Ваш процесс сборки и автоматизировал его для Вас, после того как он записан.
- Подписание пакета
- и т.д.
Когда Вы начинаете работать из источника только, Вы освобождаете все эти замечательные особенности, и вещи начинают становиться грязными довольно быстро.
Для решения определенной проблемы необходимо проверить репозиторий бэкпортов человечности, возможно, у них есть обновленная версия для NGinx, который можно использовать.
Если бы у них нет подходящей версии, то лучшее решение состояло бы в том, чтобы создать бэкпортированный пакет человечности самостоятельно. Действительно не случается так, что трудно, и это - меньше работы, чем компиляция его из источника вручную каждый раз. Бэкпортирование требует, в основном, беря исходный пакет от человечности, заменяя старый upsteam tar.gz файл с последним, который Вы хотите, и восстановление пакета.
Можно использовать это руководство, чтобы помочь Вам бэкпортировать пакет.
Я нашел это довольно удобным для установленной другой версии в отдельных местоположениях и просто символьной ссылке на версию, как которая Вы хотите использовать:
lrwxr-xr-x 1 root wheel 7B Jun 7 18:26 /usr/local/foo -> foo-1.0
drwxr-xr-x 2 root wheel 512B Jun 7 18:26 /usr/local/foo-1.0
drwxr-xr-x 2 root wheel 512B Jun 7 18:26 /usr/local/foo-1.1
Преимущества:
- минимизированное сервисное время простоя во время обновления
- легкий откат
- можно все еще использовать тот же o' путь, как
/usr/local/foo/bin/bar
Конечно, все еще необходимо повторно применить любые изменения конфигурации, которые Вы сделали к предыдущей версии, но для которого можно использовать некоторую систему управления версиями (RCS/SVN/GIT) или инструмент управления конфигурацией как Bcfg2.
И, конечно, это подходит только для небольшого количества или меньшего количества хостов.
-
1Это - то, что я делаю в нескольких случаях где, создавая пакеты isn' t подходящий ответ, кроме я обычно использую/, выбирают вместо/usr/local. – freiheit 7 June 2009 в 21:27
Если Вы собираетесь быть установкой этого на единственной машине, то, делая ее из источника каждый раз является проблемой лучший способ. Если Вы собираетесь быть установкой этого на нескольких машинах, и Вы хотите удостовериться, что это последовательно, вероятно, стоит изучить, как сделать пакеты Debian. Вы могли, вероятно, использовать упаковку в Ubuntu как основа.
Нет отличного способа. Причина, что эффективное управление пакетом было создано, состояла в том, чтобы решить эту самую проблему. Обновление и удаление скомпилированных в источник вещей трудны.
Я соглашаюсь с Tom и David.
Если это - одноразовый случай, то перекомпиляция из источника является, вероятно, Вашим лучшим выбором. Если это находится на массиве машин, пора определенно переместиться в поддерживаемое управление пакетом.
я боюсь, что это - единственный путь. если у Вас есть больше серверов для поддержания - считают наличие отдельной тестовой средой, где Вы компилируете и возможно результат пакета Вашей компиляции.
это немного стандартизирует Ваши установки и упростит развертывание на многих серверах. также Вам не будет нужен gcc на производственных машинах [который многие рассмотрят как преимущество безопасности].