Genel olarak konuşursak, güvenlik güncelleştirmelerinin, özellikle RedHat gibi hedeflere sahip bir dağıtım için biraz güvenli olduğu düşünülmektedir. Temel odak noktası tutarlı bir işletim ortamı yaratmaktır. Gibi muhafaza sahipleri, paketlerin sürümlerini seçmek ve uzun mesafe için onlarla sopa eğilimindedir. Ben gibi bu tür paketlerin sürümleri bakmak ne demek görmek için kernel, python, perl, ve httpd. Yaptıkları şey de yukarı akış geliştiricilerin güvenlik duvarı destekleri. Bu nedenle, Apache httpd 2.2.x'in tüm sürümleri için bir güvenlik açığı bulunursa, Apache altyapısı düzeltme ile 2.2.40 sürümünü yayımlayabilir, ancak RedHat düzeltme ekini yerel olarak yuvarlar ve düzeltme httpd-2.2.3-80ile birlikte bırakır .
Ayrıca şu anda bir RHEL5.7 sisteminden bahsettiğinizi aklınızda bulundurun, mevcut sürüm 5.9. Bazı yazılım satıcıları yalnızca belirli alt yayınları destekleyecektir. Geçenlerde bir yazılımla karşılaştım, örneğin, satıcı sadece 5.4'te çalıştığını söylüyor. İşte bu demek değildir olmayacaktır 5.9 üzerinde çalışan, ancak onlar eğer herhangi bir destek sağlamayacaktır anlamına gelebilir değil işi.
Bu kadar uzun zamandır kullanılmayan bir sistemin toplu güncellemelerini yapmakla ilgili endişeler de var. Karşılaştığım en büyük sorun aslında büyük güncellemelerle daha da kötüleşebilecek bir yapılandırma yönetimi sorunudur. Bazen bir yapılandırma dosyası değişir, ancak yönetici hizmeti hiçbir zaman yeniden başlatmaz. Bu, diskteki yapılandırmanın hiç test edilmediği ve çalışan yapılandırma artık bulunmayabileceği anlamına gelir. Bu nedenle, hizmet yeniden başlatılırsa, çekirdek güncellemelerini uyguladığınızda bir kez olur, aslında yeniden başlatılmayabilir. Ya da diğerlerinden farkı davranabilir kez o yeniden başlatır.
Benim tavsiyem, güncellemeleri yapmak, ama bu konuda akıllı olmak olacaktır.
- Bir bakım penceresi sırasında planlayın. Sunucunun yeniden başlatılmasını gerektirecek başka bir şey yoksa, birkaç çekirdek güncellemesi yapıldı ve bunları uygulamak için yeniden başlatmanız gerekecek.
- Herhangi bir şey yapmadan önce tam bir yedekleme aldığınızdan emin olun. Bu bir VM ise, aracınız ne olursa olsun tam bir yedeklemeyi tetikleyerek
/(başka bir sisteme göre), ddsürücülerden bir görüntü alarak , ne olursa olsun tam bir tetiklemeyi tetikleyebilir . Sadece ondan bir şey yapabileceğin sürece.
- Güncelleştirmeleri nasıl uygulayacağınızı planlayın . Sadece
yum update -yona bir atıp uzaklaşmak istemezsin . Yum o mu yapıyor bu iyi şeylerin hepsi için değil o bağımlılıkları göre güncellemeler uyguladığı zamanı sipariş. Bu geçmişte sorunlara neden oldu. Ben her zaman koşarım yum clean all && yum update -y yum && yum update -y glibc && yum update. Bu, potansiyel sipariş sorunlarının çoğuyla ilgilenme eğilimindedir.
Bu, yeniden platform oluşturmak için de iyi bir zaman olabilir. RHEL6'yı bir süredir kullanıyoruz. Bu sunucunun ne yaptığına bağlı olarak, paralel bir şekilde yeni bir örnek ortaya çıkarırken bunun çalışmasına izin vermek mantıklı gelebilir. Sonra bir kez kurulduktan sonra tüm verileri kopyalayabilir, hizmetleri test edebilir ve kesmeyi gerçekleştirebilirsiniz. Bu aynı zamanda, temelden, sistemin standartlaştırılmış, temiz, iyi belgelenmiş ve tüm bu caz olaylarını bilme şansı verecektir.
Ne yaparsan yap, kendini güncel bir sisteme sokmanın çok önemli olduğunu düşünüyorum. Sadece çalışmanıza ve bitmiş ürüne güvenmenizi sağlayacak şekilde yaptığınızdan emin olmanız gerekir.