Ich habe ein paar Produktions-Fedora- und Debian-Webserver, die unsere Sites hosten, sowie User-Shell-Konten (die für Git-VCS-Arbeit, einige Screen + IRSI-Sitzungen usw. verwendet werden).
Gelegentlich kommt ein neues Kernel-Update in yum
/ in die Pipeline apt-get
und ich habe mich gefragt, ob die meisten Fixes schwerwiegend genug sind, um einen Neustart zu rechtfertigen, oder ob ich die Fixes ohne Neustart anwenden kann.
Unser Hauptentwicklungsserver hat derzeit 213 Tage Betriebszeit, und ich war mir nicht sicher, ob es unsicher war, einen so älteren Kernel auszuführen.
Antworten:
Es ist nichts Besonderes, eine lange Betriebszeit zu haben. Es ist im Allgemeinen besser, ein sicheres System zu haben. Alle Systeme müssen irgendwann aktualisiert werden. Sie wenden wahrscheinlich bereits Updates an. Planen Sie Ausfälle, wenn Sie diese Updates anwenden? Sie sollten wahrscheinlich nur für den Fall, dass etwas schief geht. Ein Neustart sollte eigentlich nicht so lange dauern.
Wenn Ihr System so anfällig für Ausfälle ist, sollten Sie wahrscheinlich über eine Art Cluster-Setup nachdenken, damit Sie ein einzelnes Mitglied des Clusters aktualisieren, ohne alles herunterzufahren.
Wenn Sie sich bei einem bestimmten Update nicht sicher sind, ist es wahrscheinlich sicherer, einen Neustart zu planen und es anzuwenden (vorzugsweise nach dem Testen auf einem anderen ähnlichen System).
Wenn Sie wissen möchten, ob das Update wichtig ist, nehmen Sie sich Zeit, um den Sicherheitshinweis zu lesen, und folgen Sie den Links zurück zum CVE oder zu den Posts / Listen / Blogs, in denen das Problem beschrieben wird. Dies sollte Ihnen bei der Entscheidung helfen, ob das Update in Ihrem Fall direkt angewendet wird.
Auch wenn Sie der Meinung sind, dass dies nicht zutrifft, sollten Sie Ihr System eventuell aktualisieren. Sicherheit ist ein mehrschichtiger Ansatz. Sie sollten davon ausgehen, dass diese anderen Ebenen zu einem bestimmten Zeitpunkt möglicherweise nicht funktionieren. Außerdem vergessen Sie möglicherweise, dass Sie ein anfälliges System haben, da Sie ein Update übersprungen haben, wenn Sie die Konfiguration zu einem späteren Zeitpunkt ändern.
Wie auch immer, wenn Sie das Update auf Debian-basierten Systemen ignorieren oder eine Weile warten möchten, können Sie das Paket zurückstellen. Ich persönlich mag es, alle Kernelpakete für alle Fälle in den Griff zu bekommen.
CLI-Methode zum Sperren eines Pakets auf Debian-basierten Systemen.
quelle
Die meisten Updates erfordern keinen Neustart, aber Kernel-Updates (Sie können den laufenden Kernel nicht wirklich ersetzen, ohne neu zu starten).
Eine Sache, die ich entdeckt habe, ist, dass, wenn Ihr Server lange ohne Neustart ausgeführt wurde, es wahrscheinlicher ist, dass Sie beim Neustart Festplattenprüfungen (fsck) durchführen möchten. Dies kann die Zeit für die Wiederherstellung erheblich verlängern wieder einsatzbereit. Am besten antizipieren und planen.
Ich habe auch festgestellt, dass Konfigurationsänderungen manchmal übersehen werden und erst nach einem Neustart bemerkt werden (z. B. Hinzufügen neuer IP-Adressen / Iptables-Regeln usw.). Dies erhöht auch das "Risiko von Ausfallzeiten" beim seltenen Neustart.
Am besten planen Sie einige Ausfallzeiten ein, wenn Sie einen Neustart durchführen - oder wenn dies keine wünschenswerte Option ist, richten Sie Ihre Server in Clustern ein, damit bei Bedarf ein Neustart durchgeführt werden kann.
quelle
Wenn Sie nur Sicherheitsupdates und keinen komplett neuen Kernel benötigen, ist Ksplice möglicherweise für Sie von Interesse - Sie können bestimmte Kernelupdates auf einen laufenden Kernel patchen.
quelle
Es gibt keine einfache Antwort darauf, einige Kernel-Upgrades sind nicht wirklich sicherheitsrelevant, und einige können Sicherheitsprobleme beheben, die Sie nicht betreffen, während andere Sie möglicherweise betreffen.
Am besten melden Sie sich bei den entsprechenden Sicherheits-Mailinglisten wie ubuntus Sicherheitsankündigung an, damit Sie sehen können, wann Sicherheits-Patches herauskommen und wie sie sich auf Sie auswirken können.
Ich würde auch Apticron oder ähnliches in Betracht ziehen , um die Details und Änderungsprotokolle aller anderen Paketaktualisierungen zu erhalten.
quelle
Dies ist eine Funktion des Updates - wenn es ein priv behebt. Wenn eine Eskalation zu Root-Zugriff führt, möchten Sie diesen möglicherweise anwenden.
quelle
Falls Sie nicht neu starten, sollten Sie sicherstellen, dass der neue Kernel nicht der Standardkernel ist, der beim Booten gestartet wird.
Das letzte, was Sie wollen, ist ein nicht getesteter Kernel, der nach einem ungeplanten Neustart für die Produktion verwendet wird.
quelle
Wenn Sie den Kernel installieren und nicht neu starten, stellen Sie sicher, dass dies nicht die Standardeinstellung ist. Sie wissen nicht, ob oder in welchem Zustand Ihr Server wieder verfügbar sein wird. Stellen Sie daher sicher, dass er getestet wurde.
Trotzdem finde ich es gut, sich daran zu gewöhnen, Maschinen möglichst regelmäßig neu zu starten. Viele Hardware- und Softwarefehler treten nur bei einem Neustart auf. Informieren Sie sich besser über die Fehler, wenn Sie einen Neustart planen, als während eines ungeplanten Ausfalls.
quelle
Beachten Sie, dass einige der Debian-Kernel-Aktualisierungen (na ja, sehr zu empfehlen) erfordern, dass Sie ASAP neu starten, nachdem Sie sie angewendet haben.
Dies ist der Fall, wenn der Unterschied nicht ausreicht, um eine Änderung des Modulverzeichnisses zu rechtfertigen, die Module sich jedoch unterscheiden können.
Sie werden von Debian gewarnt, wenn Sie solche Kernelpakete installieren.
quelle