Ubuntu üretimi güncelleniyor dos ve yapılmaması gerekenler

Sık sık üretim web / db / tools kutularına giriş yapıyorum ve tipik mesajı görüyorum:

30 paket güncellenebilir. 16 güncelleme güvenlik güncellemesidir.

Benim sorum şu, üretiminizdeki Ubuntu kutularınızla ilgili güncellemeleri nasıl yapıyorsunuz? Bu güncellemeleri otomatik hale getiriyor musunuz? Arıza süresini onlar için mi ayarladınız? Sorun, bir güncellemenin belki de mevcut bir yapılandırma dosyası gibi bir şeyi ne zaman kıracağını asla bilemezsiniz.

Bu sorunun diğer bir kısmı, yamaları takip etmek 'iyi bir şey', ancak yamalar neredeyse her gün serbest bırakılıyor. Her gün yeni bir güvenlik yaması mevcutsa, kaç tane planlanmış kesinti yapılmalıdır?

Güncellemelerinizi nasıl yöneteceğinize dair yanıtlar üzerine bir konu çok yararlı olacağını düşünüyorum.

Ubuntu'yu Windows, RHEL, CentOS, SuSE, debian vb.

Eğer yama işlemini tasarlarken olması gerekir aklın temel devlet şey görevine çıkacak olacaktır bölünürler.

Yama kurulumu tasarlarken kullanmaya meyilli olduğum temel kurallardan bazıları:

• Her zaman yerel olarak, yamaları yüklü olduğu ağınıza dahili olarak merkezileştirmek için yerel bir sistem kullanın.

Bu, WSUS kullanımını veya <your_os_here>dahili bir yama yönetim makinesinin aynalarını içerebilir . Merkezi olarak sorgulayabilen ve bireysel makinelerinizde kurulu olan yamaların durumunu size bildiren, tercih edilebilir olanı.

• Makinelerde kurulumları önceden yapın - mümkünse -.

Mümkünse, yamalar ortaya çıktığında, merkezi sunucunun bunları ayrı makinelere kopyalamasını isteyin. Bu gerçekten sadece bir zaman kazandırıcıdır, bu yüzden indirmelerini ve kurulmasını beklemenize gerek kalmaz, sadece yama pencerenizdeki kurulumu başlatmanız gerekir.

• Düzeltme eklerini yüklemek için bir kesinti penceresi açın, yeniden başlatmanız gerekebilir ve muhtemelen bir şey bozulur. Bu sistemler için paydaşların konuşlandırılmakta olan yamalar olduğunu bildiklerinden emin olun. "Bu" çağrıları işe yaramazsa hazırlıklı olun.

Temel yamaları kırma teorimine uygun olarak, kritik sorunları gidermek için yeterince uzun yamalar uygulayacak bir kesinti penceresine sahip olduğunuzdan emin olun ve muhtemelen yamayı geri alın. Gerektirmeden yamalar sonra orada oturan insanların test edilmesine gerek yoktur. Şahsen, her şeyin kaçabileceğimiz en düşük düzeyde çalıştığını bilmeme izin vermek için izleme sistemlerime çok güveniyorum. Ancak, insanlar işe giderken çağrılması gereken az miktarda dürtme sorununa da hazırlıklı olun. Her zaman birisini telefona cevap vermeye hazır olması gerekir - tercihen saat 3'e kadar kutuları kutlayan adamlar değil.

• mümkün olduğunca otomatikleştir

BT'deki her şey gibi, komut dosyası, komut dosyası, sonra biraz daha komut dosyası. Komut dosyası indirme komutunu yükleyin, kurulum başlar, ayna. Temelde yama pencerelerini, işlerin kırılması durumunda orada sadece bir insana ihtiyaç duyan bir bebek bakıcılığı ödevine dönüştürmek istiyorsunuz.

• Her ay birden fazla pencereniz olsun

Bu, eğer herhangi bir nedenden ötürü "atanan gece" üzerine yamaları mümkün değilse, bazı sunucuları yama yapmamanızı sağlar. Bunları 1. gecede yapamazsanız, 2. gecede ücretsiz olmalarını isteyin. Ayrıca, sunucu sayısını aynı anda aklınızda tutmanızı sağlar.

En önemlisi yamaları takip et! Kendinizi bulamazsanız, sadece yakalandığınız noktaya geri dönmek için 10+ saatlik yama pencereleri yapmak zorunda kalmayacaksınız. İşlerin yanlış gidebileceği noktalara daha çok giriş yapmak ve hangi yamayı bu kadar zorlaştırdığını ve ortaya koyduğunu bulmak.

Bu sorunun diğer bir kısmı, yamaları takip etmek 'iyi bir şey', ancak yamalar neredeyse her gün serbest bırakılıyor. Her gün yeni bir güvenlik yaması mevcutsa, kaç tane planlanmış kesinti yapılmalıdır?

Bir sunucuyu ayda bir kez veya diğer ayda bir kez yamalamak - IMHO - çok ulaşılabilir ve kabul edilebilir bir amaçtır. Bundan da öte, sürekli olarak sunucu ekliyor olacaksınız, çok daha az ve sunucu başına uygulanması gereken yüzlerce ekin olduğu durumlara girmeye başlayacaksınız.

Ayda kaç pencereye ihtiyacınız var? Bu, çevrenize bağlı. Kaç tane sunucunuz var? Seversiniz için gerekli olan süre nedir?

9x5 olan daha küçük ortamlar muhtemelen ayda bir düzeltme eki penceresinden kurtulabilir. 24x7 büyük dükkanların ikisine ihtiyacı olabilir. Çok büyük 24x7x365, her hafta farklı bir sunucu seti oluşturmak için her hafta bir yuvarlama penceresine ihtiyaç duyabilir.

Sizin ve çevreniz için uygun bir frekans bulun.

Akılda tutulması gereken bir şey,% 100 güncel olduğunu ulaşmak için imkansız bir hedeftir - güvenlik departmanı size başka türlü söylemesine izin vermeyin. Elinden geleni yap, çok geride kalmayın.

Yapılacak şeyler:

1. Yedekleme al
2. Geri yüklenebilir bir yedekleme olduğundan emin olun (ancak bu ikisi genel puandır)
3. Yükseltme işlemi sırasında trafiği üretim kutusundan uzağa yönlendirmeyi deneyin.
4. Hepsi yanlış giderse, KVM, seri konsol, Yerel erişim veya uzak eller durumunda bant dışı erişim yöntemine sahip olmaya çalışın.
5. Bir sunucuda test edin, ardından güncellemeleri daha fazla sunucuya dağıtmadan önce her şeyin çalıştığından emin olun
6. Sürüm numaralarının birden fazla sunucuda aynı olmasını sağlamak için kukla kullanın. (Yükseltmeleri zorlamak için de kullanabilirsiniz)
7. Bir test sunucusunda, config dosyalarının sürümlerini yeni (yüklü olan güncelleme) sürümleriyle kıyaslayın ve hiçbir şeyin ciddi şekilde kırmayacağından emin olun. Şu anda yüklü olanlardan farklı yeni sürümleri yüklemeden önce dpkg sorma hatırlıyorum gibi görünüyor.

Kaçınılması gereken şeyler:

1. Günün ortasında, bir pazartesi sabahı saat 09: 00'da veya cuma öğleden sonra saat 17: 00'de güncellemeleri yapmak! (teşekkürler @ 3influence!)
2. MySQL'i gerçekten büyük veritabanı sunucularında yükseltme (yeniden başlatma uzun zaman alabilir)
3. Tüm sunucularınızı aynı anda yapmak (özellikle çekirdekler)
4. / Etc / network değiştirebilecek bir şey yapmak (bağlantıyı kaybedebileceğinizden)
5. Yukarıdaki her şeyi kontrol etmek için orada olmadan sensiz otomatik güncellemeler.

Başka bir nokta değerinde yapma: Windows için kullanılan ediyorsanız, Linux güncellemeleri en emin şaşıracaksınız değil kesinti veya yeniden başlatmayı gerektirir. Bazı çekirdek güncellemeleri gibi yapar. Ancak, yeniden başlatma veya kapalı kalma süresi gerektiren güncellemeler genellikle bu şekilde işaretlenir ve ayrı bir programla ele alınabilir.

Ubuntu makinelerimizde LTS sürümleri yayınlanıyor.

Tüm güncellemeleri otomatik olarak yüklüyoruz - "en iyi uygulama" olmadığından emin olun, ancak nispeten küçük bir mağazayız ve her bir hizmet için test / geliştirme / üretim ortamına sahip değiliz. LTS güncellemeleri genellikle oldukça iyi bir şekilde test edilmiştir ve yine de asgari düzeyde invazivdir.

Yeni bir sürüme yükseltme, açıkçası biraz daha fazla söz konusudur.

Ubuntu LTS sistemleri için güncellemeleri aşağıdaki şekilde ele alıyoruz:

1. Maitain, yazılımımızdaki tüm kritik yolları kontrol eden bir kabul testi paketi
2. Her sabah saat 4: 00'de gözetimsiz güvenlik güncellemeleri kurun ve hemen kabul testlerini yapın. Herhangi bir şey başarısız olursa, bir mühendis çağrı alır ve işleri düzeltmek veya saat 9'dan önce geri dönmek için çok zamana sahiptir. Bu şimdiye kadar beş yılda sadece iki kez oldu - LTS iyi test edilmiş ve kararlı.
3. Tüm altyapımızı otomatik olarak her hafta (digitalocean'da), tüm paketleri en son sürümlerinde tutan mavi / yeşil dağıtımlarla yeniden kullanıyoruz. Yeni bir dağıtım kabul testlerinde başarısız olursa, bir mühendis bu sorunu giderene kadar dağıtım bekletilir.

Bizim için bir sonraki mantıksal adım, bellek içi oturum bilgilerini ortadan kaldırmaktır; böylece müşterileri etkilemeden altyapıyı her gün, hatta günde birçok kez kolayca yeniden kullanabilir ve (2) adımını ortadan kaldırabiliriz.

Bu yaklaşım az bakım gerektirir ve bakım pencerelerini tamamen önler.

Tavsiye edeceğim bir şey, paketlerin geri alınmasıdır. Nasıl yapılacağına dair bir öneri için, bkz. Debian ile İşlemler ve Geri Alma , bazen bir şeyi kıran bir yükseltme için hızlıca bir düzeltme yapmanız gerekebilir.