Yum güncellemesi için? Ya da değil?

14

lütfen bu oldukça basit soruyu affedin.

Öncelikle ben bir sistem yöneticisi değilim ve Linux ile olan deneyimim biraz sınırlı.

Yaklaşık 3-4 ay önce, çeşitli nedenlerle bir CentOS sunucusu kurdum. Web siteleri (müşterilerimizin erişebildiği), subversion sunucusu için bir geliştirme sunucusu olarak kullanıyoruz ve iç iletişim için de bir wiki düzenliyoruz, bu yüzden bizim için oldukça önemli bir araç haline geldi. (Muhtemelen kurduğumda olacağını düşündüğümüzden daha önemli!)

Yum'un repodaki en son sürümlere yaklaşık 250 paketi güncellemek istediğini fark ettim.

Sunucu bizim için iyi çalıştığı için, bu paketleri güncelleme riskini almalı mıyım? Güvenlik riskleri, her şeyi güncellediğimde sunucunun kırılma riskinden daha ağır mı?

Her şeyin yedeğini alırken, her şeyi şimdi olduğu gibi ayarlamanın zaman alacağını ve şu anda işte çok fazla boş zamanım olmadığını belirtmeliyim!

Tavsiyenin güncellenmesi gerekiyorsa, süreci mümkün olduğunca güvenli hale getirmek için aktarılabilecek en iyi uygulamalar var mı?

Herhangi bir tavsiye için şimdiden teşekkürler.

GÜNCELLEME - Yanıtlarınız için herkese teşekkürler. Herkesi oylayacak kadar temsilci olsaydım, yapardım. ;) Sabit diski gölgede bırakmaya ve güncellemeye karar verdim. Ne yazık ki, tam veya yarı zamanlı bir sysadmin tutmak şu anda bir seçenek değil, bu yüzden ben de olabildiğince iyi ele almak zorunda kalacak!

linux  centos  update 
John McCollum
kaynak

Yanıtlar:

12

Hızlı ve kirli (yani Battlefield Yöneticisi) çözümü:

  1. Sisteminizi çevrimdışına alın (umarım yapabilirsiniz) ve 2. sabit sürücüye bir NortonGhost yedeklemesi (veya benzer bir şey) yapın.

  2. 2. sabit sürücüyü başlatın (yedeklemenizin gerçekten çalıştığından emin olmak için) ve TH sürücüsünde yum güncellemesini yapın.

  3. Her şey yolunda giderse ... tebrikler!

  4. Eğer bir şey batırırsa ... devam edin ve ORİJİNAL sürücünüzü takın ve bir "Plan B" bulun.

GÜNCELLEME:

Sadece buradaki asıl sorunun "Vaaaay'ımı güncel değil sistemimi güncelleyebilir miyim?" veya "Mükemmel derecede iyi çalışan sistemimi işten çıkarmış ve saldırıya uğraması / tehlikeye girmesi riski var mı?"

Bu sorunun cevabı ... sisteminizi yukarıdaki adımlarla yamaladığınızda ... sık sık yedekleyerek ve sık sık yama yaparak üstte kalmayı deneyin.

O zaman her iki dünyanın da en iyisini elde edersiniz. ;-)

KPWINC
kaynak
Memnuniyetim ... yedekleme / güncellemenizde bol şans. Bir yan not olarak, 200-300 güncelleme vardı ve sadece iyi oldu ben kişisel CentOS yum güncellemeler yaptık. AMA ... Ayrıca tamamen tıka basa dolu güncellemeler yaptım ve işlerin tekrar çalışması için aptal voodoo / tavuk ritüelleri (ve bir sürü komut satırı bok) yapmak zorunda kaldım. Size hızlı ve başarılı bir güncelleme diliyorum. ;-)
KPWINC
10

Evet, güncelleme.

RHEL (ve bu nedenle CentOS) sürümleri uyumsuz herhangi bir şeye güncellememeye dikkat eder, bunun yerine hata düzeltmelerini ve güvenlik düzeltmelerini destekler, bu nedenle paketlerdeki gerçek değişiklikler minimumdur ve uyumluluk sorunlarına neden olma olasılığı düşüktür.

Herhangi bir yapılandırma dosyası değiştiyse, paketler size oluşturulan bir .rpmorig veya .rpmnew dosyası hakkında bilgi verecektir. RPM'nin yapılandırmasına bağlıdır. Oluşturulanlardan herhangi biriyle ilgili uyarıları arayabilir ve eski yapılandırmanızı geri (" cp foo foo.bak; cp foo.rpmorig foo") yerleştirebilir veya .rpmnew dosyalarına bakıp yapılandırmanıza herhangi bir değişiklik ekleyebilirsiniz.

Düzenli olarak güncelleme yaparsanız sorun daha az fark edilir.

Üç ayda bir güncellenen birçok sistemimiz var (3 ayda bir); ve çok nadiren paket güncellemelerinden kaynaklanan sorunları görüyoruz (bir SAN'dan LUN'lara erişmek için garip çekirdek işleri yapan sistemler hariç)

freiheit
kaynak
Daha fazla KPWINC cevabını seviyorum. Önce yedekle. Örnek: httpd 2.2 2.4'e yükseltildi ve aniden yapılandırma dosyaları artık çalışmıyor. Panik ve geliştirici ekibi, sorun teşhis edilip düzeltilinceye kadar saatlerce boşta kalır.
Jose Manuel Gomez Alvarez
Değil potansiyel makinesi açılışı kırabilir çekirdek paketi yükseltme hakkında konuşmak için access.redhat.com/documentation/en-us/red_hat_enterprise_linux/...
Jose Manuel Gomez Alvarez
@Jose Manuel Gomez Alvarez - önce yedekleme her zaman iyidir, ancak sisteminiz http 2.2'den 2.4'e geçtiyse, bu soruya uymadı - CentOS böyle bir şey yapmaz.
freiheit
6

Evet olsa da, yükseltme işlemi zaman alacaktır ve aynı malikanede, bir şeyler ters giderse geri yüklemek zaman alacaktır, Bu sistemdeki veriler bir istismar / hack yoluyla silinirse ne kadar acı / acı olur?

CentOS taban depolarından çoğunlukla yükseltmeler yüklemek için güvenlidir, CentOS ile güncelleme sorunları yaşadığım tek zaman, bir dış deposu (DAG, RPMForge, Ect vb.) Kullanmaya başladığım / veya ihtiyaç duyduğum zamandır.

En canlı sunucuya dağıtmadan önce üzerine güncellemeler test böylece bu tür şeyleri için Kur, bir hot-swap sunucu hazır olmasıdır.

grufftech
kaynak
3

Sisteminize bakmak, güncellemek ve her şeyin tekrar çalıştığından emin olmak için birkaç saat ayırmak için gerçek bir sistem yöneticisine ihtiyacınız var gibi görünüyor. İdeal olarak, bu kişinin ayda birkaç kez gelip sizin için yapmasını istersiniz. Bir sunucu değil , bir şey unutma-yaklaşık-o zamanlar kur ve; düzenli servise ihtiyacı var.

Oyuncak
kaynak
3

Bu sistem çok önemliyse, güvenlik güncellemeleri daha da önem kazanır. Güncel olmayan bir paket bir sistem güvenliğinin aşılmasına izin veriyorsa (ne zaman?) Bu sistemin yeniden yapılandırılması için kaldırılması gerekip gerekmediğini düşünün. İdeal olarak, önce güncelleyebileceğiniz benzer bir şekilde yapılandırılmış bir test sunucunuz olur ve herhangi bir şeyin kopup kopmadığını kontrol ederdiniz.

Güncellemeleri uygularken birkaç şeyden emin olmanız gerekir:

  1. Güncelleme zamanı sistemi kullanan herkese duyurulur
  2. Her uygulamanın nasıl güncelleneceği ve test edileceği hakkında bir planınız var.
  3. Güncelleme uygulamayı bozarsa (ne zaman?) Güncellemeleri nasıl geri alabileceğinize dair bir planınız var.
  4. Ve bir şeylerin gerçekten yanlış gitmesi durumunda mevcut yedeklemeler var

İyi bir sistem yöneticisi bu tür işlerde deneyime sahip olacak ve bunların hepsini yine de yapıyor olmalı. Kuruluşunuzda varsa, o zaman sistemin yönetimini üzerlerine dökmenin zamanı gelmiş olabilir. Ya da bunu kendiniz yapmaktan çekiniyorsanız, bu tür rutin bakımı yapmak için sözleşmeli birini işe alın. Her iki durumda da, güncellemelerin gerçekleşmesi gerekiyor , çünkü kendinizi sıradan çok daha kötü bir duruma açıyorsunuz.

Scott Paketi
kaynak
3

Bu yüzden bugün, gerçek donanımda neredeyse hiç üretim sistemi çalıştırmıyorum. Onları Sanal Makinelerde çalıştırıyorum. Sonra kısa bir kesinti süresi (5 dakika) sırasında, ESX'in içinden bir anlık görüntü çalıştırıyorum veya özel bir Xen / Solaris / OpenVZ kurulumu kullanıyorsam, sunucu görüntüsünün LVM anlık görüntüsünü yapıyorum. Daha sonra orijinali geri yüklerim ve şimdi istediğim gibi bir kopyam var.

Bununla birlikte, çekirdeği ve apache'yi güncelleyerek başlayın ve sonra oradan geriye doğru çalışın. Yum'un raporladığı tam paket listesini almak zorunda değilsiniz, ancak en iyi saldırı vektörleri en erken yama yaptığınız vektörler olmalıdır.

Her zaman bir Linux sistemi hacklendiyse, bunun nedeni apache, openssh veya çekirdeğin kendisinin ayrılmamış olması.

Chris K
kaynak
2

Tam olarak bir yıl önce geldim ... CentOS kutusunda yum güncellemesini yaptım, Dell donanımında çalıştım ve önyükleme yapmayacak bir çekirdek kurdu. Kutu henüz yüklü bir şey yoktu (aksi takdirde daha temkinli olurdu). Onunla uğraşmak için çok zaman harcadım ve CentOS / Linux yeni çekirdekleriyle Dell kutusu arasında bazı uyumsuzluklar var gibi görünüyor. Güncellemelerinize çok dikkat edin. Hala yapmak için doğru bir şey olduğu gibi güncelleme öneririz, ancak bir çöp sisteminden kurtarmak için hazır olun!

Brian Knoblauch
kaynak
Harika, bir Dell kutusu olacak!
John McCollum
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.