Automatisches „Yum Update“, um den Server sicher zu halten - Vor- und Nachteile?

8

Ich denke darüber nach, yum -qy updateauf einigen Maschinen, die nicht regelmäßig gewartet werden, einen Cronjob hinzuzufügen , der regelmäßig ausgeführt wird. Ziel wäre es, die Maschinen in Bezug auf Sicherheitspatches, die sonst zu spät angewendet würden, auf dem neuesten Stand zu halten. Ich verwende nur die CentOS-Basis-Repositorys.

Fragen:

  • Nach Ihrer Erfahrung - wie "sicher" wäre dieser Ansatz? Sollte ich gelegentlich mit fehlgeschlagenen Updates rechnen? Wie oft würde dieser Ansatz ungefähr einen Neustart erfordern?
  • Vor- / Nachteile oder andere Fallstricke bei diesem Ansatz?
  • Wie halten Sie Ihre Maschinen mithilfe der Automatisierung auf dem neuesten Stand?
linux centos yum knorv
quelle
2
Ersetzen Sie yum -qy durch: / usr / bin / yum -R 120 -e 0 -d 0 -y Update yum AND / usr / bin / yum -R 10 -e 0 -d 0 -y Update
Adam Benayoun
Adam: Danke für deinen Vorschlag. Können Sie erklären, warum das besser ist?
Knorv
1
Zuerst aktualisieren Sie yum, dann aktualisieren Sie die Pakete. Das -R bedeutet, dass es eine maximale Wartezeit für Befehle gibt, was bedeutet, dass es keine Zeitüberschreitung gibt, wenn ich recht habe. -e und -d sind nur Fehler- / Debug-Level
Adam Benayoun
Ich bin mir nicht sicher über "-R [Zeit in Minuten]" - "legt die maximale Zeit fest, die yum warten wird, bevor ein Befehl ausgeführt wird - es wird im Laufe der Zeit zufällig ausgewählt". Es scheint, als würde yum rand () * Minuten warten, bevor ein Befehl ausgegeben wird? Ist das gut? :-)
Knorv

Antworten:

6

Es hängt davon ab, ob

Nach meiner Erfahrung mit CentOS ist es ziemlich sicher, da Sie nur die CentOS-Basis-Repositorys verwenden.

Sollten Sie ab und zu mit fehlgeschlagenen Updates rechnen ... ja ... auf dem gleichen Niveau, auf dem Sie hin und wieder mit einer ausgefallenen Festplatte oder einer ausgefallenen CPU rechnen sollten. Sie können nie zu viele Backups haben. :-)

Das Schöne an automatisierten Updates ist, dass Sie schneller gepatcht (und damit sicherer) werden als manuell.

Manuelle Patches scheinen immer von so vielen anderen Dingen abgeschoben oder als "niedrige Priorität" angesehen zu werden. Wenn Sie also in den manuellen Modus wechseln, planen Sie die Zeit auf Ihrem Kalender, um dies zu tun.

Ich habe viele Maschinen für automatische Yum-Udpates (über Cron-Jobs) konfiguriert und hatte selten ein Problem. Tatsächlich kann ich mich nicht erinnern, jemals ein Problem mit den BASE-Repositorys gehabt zu haben. Jedes Problem, an das ich denken kann (meiner Erfahrung nach auf den ersten Blick), war schon immer eine Situation von Drittanbietern.

Davon abgesehen ... Ich habe mehrere Maschinen, für die ich die Updates manuell durchführe. Dinge wie Datenbankserver und andere EXTREM kritische Systeme Ich mag einen "praktischen" Ansatz.

Die Art und Weise, wie ich es persönlich herausgefunden habe, war wie folgt: Ich denke an das "Was wäre wenn" -Szenario und versuche dann zu überlegen, wie lange es dauern würde, ein Backup wiederherzustellen oder wiederherzustellen und was (wenn überhaupt) verloren gehen würde .

Bei mehreren Webservern ... oder Servern, deren Inhalt sich nicht wesentlich ändert ... führe ich eine automatische Aktualisierung durch, da die Zeit zum Wiederherstellen / Wiederherstellen minimal ist.

Bei kritischen Datenbankservern usw. plane ich einmal pro Woche Zeit ein, um sie zu überprüfen und manuell zu patchen ... da die Zeit für die Wiederherstellung / Wiederherstellung zeitaufwändiger ist.

Abhängig davon, welche Server SIE in Ihrem Netzwerk haben und wie Ihr Sicherungs- / Wiederherstellungsplan implementiert ist, können Ihre Entscheidungen unterschiedlich sein.

Hoffe das hilft.

KPWINC
quelle
6

Pro : Ihr Server ist immer auf dem neuesten Patch-Level, normalerweise sogar gegen 0-Tage-Exploits.

Con : Jeder Code, der auf Ihrem Server ausgeführt wird und Funktionen verwendet, die in späteren Versionen entfernt wurden, alle Konfigurationsdateien, die die Syntax ändern, und alle neuen Sicherheitsfunktionen, die die Ausführung von Code verhindern, der ausgenutzt werden kann, können dazu führen, dass auf diesem Server ausgeführte Dinge ohne Sie beschädigt werden Wissen darüber, bis Sie jemand mit einem Problem anruft.

Best Practice: Lassen Sie sich vom Server eine E-Mail senden, wenn diese aktualisiert werden muss. Sichern oder wissen, wie Updates zurückgesetzt werden.

Karl Katzke
quelle
+1 - Ich würde dringend empfehlen, sich bei der Centos-Mailingliste anzumelden. Sie leisten hervorragende Arbeit, um Benachrichtigungen über Patches und Prioritäten zu senden, bevor sie in die Repositorys verschoben werden.
Adam Benayoun
3
Per Definition gibt es keine Patches gegen 0-Tage-Exploits. Ein 0-Tage-Exploit ist ein Exploit, für den es noch keinen Patch gibt.
MarkR
Ich betrachte 0-Tage als den Tag, an dem sie entdeckt / ausgenutzt / angekündigt werden, und Redhat behebt normalerweise schwerwiegende Sicherheitslücken innerhalb weniger Stunden - was zufällig immer noch während des Tages ist, an dem sie entdeckt wurden.
Karl Katzke
2

Zusätzlich zu dem, was die meisten Leute hier gesagt haben, würde ich dringend empfehlen, sich bei der Centos-Mailingliste anzumelden. Sie posten immer E-Mails über Patches und ihre Prioritäten, bevor sie sie in die Repositories verschieben. Es ist nützlich, im Voraus zu wissen, welche Pakete aktualisiert werden müssen.

Mein Setup ermöglicht es yum, das System einmal am Tag automatisch zu aktualisieren. Ich sende mir eine E-Mail mit den installierten oder aktualisierten Paketen direkt danach. Ich erhalte auch E-Mails, wenn Sie einen Konflikt haben und manuell eingreifen müssen (alle 4 Stunden).

Bis jetzt läuft alles reibungslos (seit über 4 Jahren). Das einzige Mal, dass ich überrascht wurde, war, als yum den regulären Kernel aktualisierte (ich habe meinen Server virtualisiert) und den Grub änderte und den regulären Kernel standardmäßig 2 Wochen lang pushe Später während der Wartung wurde mein System neu gestartet und alle meine virtuellen Server waren für einige Minuten weg, bis ich manuell eingreifen musste.

Davon abgesehen hatte ich eigentlich keine Probleme.

Adam Benayoun
quelle
1

Solange Sie keine benutzerdefinierten Pakete haben und nur die Basis-Repositorys von CentOS verwenden, sollte dies ziemlich sicher sein.

Ein besserer Weg, dies zu erreichen, wäre die Verwendung von yum-updatesd mit do_update = yesset.

dlu
quelle
1
Der yum-updatesd-Dienst ist für eine Unternehmensumgebung nicht ausgereift genug, und der Dienst kann unnötigen Overhead verursachen. Ich würde verwenden: / usr / bin / yum -R 120 -e 0 -d 0 -y Update yum UND / usr / bin / yum -R 10 -e 0 -d 0 -y Update
Adam Benayoun
0

Ich nehme an, solange Sie automatisierte Backups haben, wäre dies keine allzu große Sorge, solange Sie mit Ausfallzeiten des Servers leben können.

Ich habe das nicht versucht; Ich würde es nicht persönlich wollen, da das Risiko besteht, dass etwas kaputt geht oder ein ungewöhnliches, obskures Problem aufgrund eines Upstream-Fixes auftritt. Es ist noch schlimmer, wenn dies ein Server ist, der selten Aufmerksamkeit erhält. Wenn also etwas schief geht, wissen Sie möglicherweise nichts darüber.

Wenn Sie mit dem betreffenden Server leben können, der für einen bestimmten Zeitraum ausfällt, wenn / wenn etwas kaputt geht, und Sie einen Reaktionsplan haben, um das System auf den vorherigen Zustand zurückzusetzen, sowie ein System, das Ihnen Aktualisierungen per Protokoll oder E-Mail sendet Wenn Sie berichten, wann und was aktualisiert wurde (damit Sie wissen, dass es nicht feststeckt oder auf eine Antwort auf etwas wartet, das eine Intervention erfordert), können Sie es ausprobieren. Wenn es ein kritischer Server oder etwas Wichtiges ist ... würde ich es nicht riskieren wollen.

Meine Server gehören dir aber nicht :-)

Bart Silverstrim
quelle