Çekirdek güncellemesinden sonra Linux'u yeniden başlatmak önemli mi?

Sitelerimizi barındıran birkaç üretim Fedora ve Debian web sunucumun yanı sıra kullanıcı kabuğu hesapları (git vcs çalışması, bazı ekran + irssi oturumları vb. İçin kullanılır) var.

Bazen yeni bir çekirdek güncellemesi yum/ içinde boru hattından aşağı inecek apt-getve düzeltmelerin çoğunun bir yeniden başlatma gerektirecek kadar şiddetli olup olmadığını veya düzeltmeleri sans yeniden başlatmayı uygulayıp uygulayamayacağımı merak ediyordum.

Ana geliştirme sunucumuz şu anda 213 günlük çalışma süresine sahiptir ve bu kadar eski bir çekirdeği çalıştırmanın güvenli olup olmadığından emin değildim.

Uzun bir çalışma süresine sahip olmak için gerçekten özel bir şey yoktur. Güvenli bir sisteme sahip olmak genellikle daha iyidir. Tüm sistemler bir noktada güncellemelere ihtiyaç duyar. Muhtemelen zaten güncellemeler uyguluyorsunuz, bu güncellemeleri uygularken kesintiler planlıyor musunuz? Muhtemelen bir şeylerin yanlış gitmesi durumunda. Yeniden başlatma o kadar çok zaman olmamalı.

Sisteminiz kesintilere karşı çok hassassa, muhtemelen bir tür kümeleme kurulumunu düşünmelisiniz, böylece her şeyi indirmeden kümenin tek bir üyesini güncellersiniz.

Belirli bir güncellemeden emin değilseniz, yeniden başlatmayı zamanlamak ve uygulamak daha güvenlidir (tercihen başka bir benzer sistemde test ettikten sonra).

Güncellemenin önemli olup olmadığını öğrenmekle ilgileniyorsanız, güvenlik bildirimini okumak için zaman ayırın ve CVE'ye veya sorunu açıklayan gönderilere / listelere / bloglara giden bağlantıları izleyin . Bu, güncellemenin durumunuzda doğrudan uygulanıp uygulanmayacağına karar vermenize yardımcı olacaktır.

Uygulandığını düşünmeseniz bile, sisteminizi eninde sonunda güncellemeyi düşünmelisiniz. Güvenlik katmanlı bir yaklaşımdır. Belirli bir zamanda bu diğer katmanların başarısız olabileceğini varsaymalısınız. Ayrıca, savunmasız bir sisteminiz olduğunu unutabilirsiniz, çünkü yapılandırmayı daha sonraki bir zamanda değiştirdiğinizde bir güncellemeyi atladınız.

Her neyse, Debian tabanlı sistemlerde güncellemeyi göz ardı etmek veya bir süre beklemek isterseniz, paketi beklemeye alabilirsiniz. Ben şahsen bütün çekirdek paketlerini bekletmek istiyorum.

Debian tabanlı sistemlerde bir pakette bekletme ayarlamak için CLI yöntemi.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

Çoğu güncelleme yeniden başlatma gerektirmez, ancak Çekirdek güncellemeleri gerektirir (yeniden başlatmadan çalışan çekirdeği gerçekten değiştiremezsiniz).

Keşfettiğim bir şey, sunucunuz yeniden başlatılmadan uzun bir süredir çalışıyorsa, yeniden başlattığınızda disk denetimleri (fsck) yapmak daha olasıdır ve bu, geri almak için gereken süreye önemli ölçüde katkıda bulunabilir. tekrar çalışıyor. Bunu tahmin etmek ve planlamak en iyisidir.

Ayrıca, yapılandırma değişikliklerinin bazen gözden kaçabileceğini ve yeniden başlatılıncaya kadar (yeni IP adresleri / iptables kuralları ekleme gibi) fark edilmeyeceğini keşfettim.

Yeniden başlatma sırasında bir kesinti süresi planlamak en iyisidir - veya bu istenen bir seçenek değilse, sunucularınızı kümeler halinde ayarlayın, böylece gerekirse yeniden başlatmalar yapılabilir.

Tamamen yeni bir çekirdeğe değil, sadece güvenlik güncellemelerine ihtiyacınız varsa, Ksplice ile ilgilenebilirsiniz - belirli çekirdek güncellemelerini çalışan bir çekirdeğe eklemenizi sağlar.

Bunun basit bir cevabı yoktur, bazı çekirdek yükseltmeleri gerçekten güvenlikle ilgili değildir ve bazıları sizi etkilemeyen güvenlik sorunlarını düzeltirken, diğerleri sizi etkileyebilir.

En iyi yaklaşım imo, güvenlik yamalarının ne zaman ortaya çıktığını ve sizi nasıl etkileyebileceklerini görebilmeniz için ubuntu'nun güvenlik duyurusu gibi ilgili güvenlik posta listelerine kaydolmaktır .

Ayrıca diğer paket güncellemelerinin ayrıntılarını ve changelog'larını almak için apticron veya benzerlerini düşünürüm .

Bu bir özelliğin düzeltilmesi durumunda güncellemenin bir işlevidir. Kök erişimiyle sonuçlanan bir artış olduğunda, bunu uygulamak isteyebilirsiniz.

Eğer halinde değil yeniden başlatma, yeni çekirdek Açılışta başlatmak için varsayılan biri değil emin olmalıdır.

İstediğiniz son şey, planlanmamış bir yeniden başlatmadan sonra üretim için kullanılan denenmemiş bir çekirdek.

Mibus belirtildiği gibi sen çekirdeği yüklemek ve eğer yok yeniden başlatma, varsayılan olmadığına emin olun. Sunucunuzun geri gelip gelmeyeceğini veya hangi durumda geleceğini bilmiyorsunuz, bu yüzden test edildiğinden emin olun.

Bununla birlikte, mümkün olduğunda oldukça düzenli bir şekilde makineleri yeniden başlatma alışkanlığına girmenin iyi olduğunu düşünüyorum. Birçok donanım ve yazılım hatası sadece bir yeniden başlatma sırasında kendini gösterecektir ve planlanmamış bir kesinti yerine yeniden başlatma planladığınızda bunları bulmak daha iyidir.

Debian çekirdek güncellemelerinin bazılarının, uyguladıktan sonra ASAP'yi yeniden başlatmanızı gerektirdiğini (iyi, şiddetle tavsiye etmeniz) unutmayın.

Bu, farkın bir modül dizini değişikliğini garanti etmek için yeterli olmadığı, ancak modüller farklı olabileceği durumdur.

Bu tür çekirdek paketleri yüklediğinizde Debian tarafından uyarılırsınız.