EC2 bulut sunucularında çekirdek paketlerini yükseltmem gerekir mi?

18

EC2 sunucumda sudo apt-get update && sudo apt-get upgrade, yaptığımda şunu görüyorum:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Devam etmeli ve sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualbu paketlerin yükseltilmesini zorlamalı mıyım ?

kernel  amazon-ec2 
Adam Monsen
kaynak
3
Veya yapın apt-get update && apt-get upgrade && apt-get dist-upgrade. Bu, geri tutulan paketleri yükseltir.
Mark Russell

Yanıtlar:

18

Kısa cevap, evet, güvenlik yamalarıyla ilgili olarak sistemlerinizi güncel tutmanızdır.

Güvenlik yamalarını tam olarak nasıl dağıtacağınız, risk toleransınıza bağlıdır. Bu soruyu daha önce cevaplamak için kullandığım bazı seçenekler şunlardır:

  1. Yükseltmeleri üretim ortamınızı taklit eden bir dizi KG sistemine uygulayın ve değişikliklerin herhangi bir işlevselliği bozmadığından veya performans sorunlarına neden olmadığından emin olmak için tüm regresyon testlerinizi yapın. Memnun kaldığınızda, yükseltmeleri üretim sistemlerinize sunun.

  2. Bir gün bekleyin ve güncellemelerin neden olduğu sorunlara ilişkin genel bir sorun olup olmadığını görün. Her şey huzurlu görünüyorsa, üretim sistemlerinizi yükseltin.

  3. Her güvenlik düzeltme ekini en kısa sürede üretim sistemlerinize uygulayın.

Ubuntu kullanarak bu yaklaşımların üçünü de kullandım ve yıllar içinde kademeli olarak 3. seçeneğe geçtim. Güvenlik yamaları, yayınlanmadan önce yoğun bir şekilde test edilir ve mevcut işlevselliği bozmamak için büyük özen gösterilir. Ubuntu destekli görüntülerde yükseltme konusunda hiç sorun yaşamadım (bir zamanlar EC2'de Ubuntu ile Ubuntu olmayan bir çekirdek kullanırken bir yıl önce bir sorunum vardı).

Çekirdeği yükseltmenin de değişiklikleri uygulamak için yeniden başlatılmasını gerektirdiğini unutmayın.

Yukarıdaki deneyim ve öneriler yükseltme için geçerlidir içinde bir Ubuntu sürümü (örneğin, 11.04). Yeni bir Ubuntu sürümüne geçmek çok daha büyük ve riskli bir iştir ve kesinlikle üretim sistemlerinize sunmadan önce test gerektirir.

Bu konuda RightScale tarafından çevrelerindeki güvenlik yükseltmelerinin nasıl yönetileceği hakkında yayınlanan bir makale aşağıdadır:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Eric Hammond
kaynak
3
İyi cevap. Çekirdeği yükseltmenin yalnızca EBS destekli örneklerde gerçekten mümkün olduğunu unutmayın. Hala durum böyle, değil mi?
Mark Russell
3
Mark: Eskiden örnek deposu örneklerinin çekirdeklerinin yerinde yükseltilemeyeceği doğruydu, ancak paravirtualization bir süre önce serbest bırakıldığında, gerçek çekirdekler AKI'de değil AMI'de saklanabilir. Bu, örneğin çekirdeğin yerel EBS biriminde yükseltilebileceği ve aynı AKI kullanıyor olsa bile yeniden başlattıktan sonra yapıştırabileceği anlamına gelir. Bunu sadece Ubuntu 11.04 (us-east-1 ami-e2af508b) ile test ettim ve örnek deposu örneği, bir dağıtım ve yeniden başlatma işleminden sonra doğru yeni çekirdekle geldi.
Eric Hammond
2
önceki yorumuma düzeltme: "örnek yerel örnek deposu kök
Eric Hammond
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.