Vraag Hoe vaak moet ik onze Linux-server updaten?


Ik ben verantwoordelijk voor het beheer van zowel onze productieserver (mail, web, database staan ​​allemaal op één server) als onze testserver. Beide zijn gebouwd op Debian. Omdat ik echter erg nieuw ben voor systeembeheer, heb ik alleen updates geïnstalleerd, omdat ik dingen tegenkom die moeten worden bijgewerkt, zodat ik nieuwere functies kan hebben en bugfixes kan oplossen. Het is op dit moment een behoorlijk ad-hocproces en ik zou het graag minder maken.

Dus ik vraag me af hoe mensen die weten wat ze doen hiermee omgaan? Hoe vaak voer je upgrades uit op je servers? Is het upgradeproces anders tussen test en productie? Werk je altijd eerst testservers bij? En doet u een volledige update van alle software of installeert u alleen geselecteerde updates?


52
2018-05-18 15:33


oorsprong




antwoorden:


ik ren apt-get update -qq; apt-get-upgrade -duyq dagelijks. Hiermee wordt gecontroleerd op updates, maar niet automatisch.

Dan kan ik de upgrades handmatig uitvoeren terwijl ik aan het kijken ben, en kan ik alles corrigeren dat fout kan gaan.

Naast de beveiligingsproblemen van het onderhouden van een patched systeem, vind ik dat als ik het te lang laat tussen patches, Ik eindig met een hele reeks pakketten die willen worden opgewaardeerd, en dat maakt me bang meer dan alleen een of twee upgrades elke week of zo. Daarom heb ik de neiging mijn upgrades wekelijks uit te voeren, of als ze elke dag een hoge prioriteit hebben. Dit heeft het extra voordeel dat u weet welk pakket uw systeem heeft gebroken (dat wil zeggen als u slechts een paar tegelijk upgradet)

Ik upgrade altijd minder kritieke systemen als eerste. Ik heb ook een "rollback-plan" voor het geval ik het systeem niet kan repareren. (aangezien de meeste van onze servers virtueel zijn, bestaat dit routeplan gewoonlijk uit het nemen van een momentopname vóór de upgrade waar ik naar terug kan keren indien nodig)

Dat gezegd hebbende, ik denk dat een upgrade iets slechts één of twee keer in de afgelopen 4 jaar heeft gebroken, en dat was op een zeer aangepast systeem - dus je hoeft niet TE paranoïde te zijn :)


30
2018-05-18 16:01



Ik werk heel hard om elke server om de 30 dagen aan te raken. Ik heb op dit moment 80+ servers. Ik doe ze in batches per functionele groep of per besturingssysteem. - Thomas Denton
We hebben een cron-script dat het equivalent voor onze SLES / OpenSuSE-dozen elke avond uitvoert; wanneer het vindt dat het pakketten nodig heeft, dient het een ticket in voor de wachtrij voor systeembeheer in ons trouble ticket-systeem. (Het houdt bij welke het eerder heeft ingediend in een bestand in / tmp, zodat het de wachtrij niet spamt.) - Karl Katzke
Debian heeft twee pakketten, apticron en cron-apt, die hetzelfde doen en u e-mailen als er updates beschikbaar zijn. IME, apticron heeft het voordeel door je de changelog per e-mail te sturen, zodat je kunt zien wat er is veranderd. - David Pashley


Bovenop eerdere antwoorden - een paar specifiekere Debian-zaken: u moet zich abonneren op debian-security-announce en debian-announce en / of bekijk de Debian-beveiligingspagina.


11
2018-05-18 16:12





Ervan uitgaande dat u de stabiele release van Debian uitvoert, zijn de meeste patches gerelateerd aan beveiliging of bugs, wat zou moeten betekenen dat er niet te veel grote wijzigingen optreden tussen de versies van een bepaald pakket. Volgens de debian-patch moeten beleidspatches enige tijd in de test zijn geweest voordat ze door de maintainer naar de stabiele branch werden verplaatst. Vanzelfsprekend stopt dit niet bij breuken tijdens het patchen, maar zou het in de meeste gevallen moeten voorkomen.

Het zou verstandig zijn om ervoor te zorgen dat uw testversie up-to-date wordt gehouden en dat alle pakketten met bugs die u en uw servers beïnvloeden, up-to-date gehouden moeten worden. Alle pakketten met beveiligingswaarschuwingen moeten worden bijgewerkt zodra u weet dat de patch stabiel is.

Debian is meestal een erg stabiel besturingssysteem en niet iemand die je overdreven druk moet maken met breuken, maar lees altijd wat er zal worden bijgewerkt voordat het wordt bijgewerkt en let op iets dat vreemd lijkt. Ik gebruik ook VCS op mijn / etc / dir om ervoor te zorgen dat wijzigingen in het configuratiebestand zichtbaar zijn met een 'git diff'-opdracht.


6
2018-05-18 16:11





Ik doe een droge proef (eerste) om te zien wat er zal worden bijgewerkt. Soms veranderen bibliotheken (laten we het libfoo noemen voor dit voorbeeld) hun API, die programma's breekt die we zelf hebben geschreven / geïnstalleerd. Als een of andere kritieke bibliotheek is bijgewerkt, pak ik de bron en probeer ik onze spullen er opnieuw tegenaan te bouwen voorafgaand aan het bijwerken.

Ik controleer ook of we niet naar een tussenversie van een openbare dienst springen, bijv. Apache, enz. Ik blijf liever een jaar achter en kom niet zomaar in de problemen, tenzij de update kritiek is.

Als u een systeembeheerder bent, zou u RSS-feeds moeten trekken van sites zoals Secunia, wat je van tevoren moet laten weten of je distro wat patches gaat pushen.

Doe nooit, ooit blindelings een upgrade / update. Helaas, de taak om te weten wat er kapot is valt op jou, niet jouw distro pakketmanager, vooral als jouw systemen programmeurs ondersteunen.


3
2018-05-18 15:46





Waar ik werk, hebben we een vrij uitgebreid proces waarbij we PatchLink gebruiken om ons op de hoogte te stellen van de belangrijkste beveiligingsgerelateerde updates, en we passen ze toe na het testen, per pakket. We hebben echter duizenden servers.

Als u slechts twee servers hebt, moet het proces veel eenvoudiger zijn. Hoewel ik niet denk dat het doen van een "apt-get update / upgrade" de beste keuze is.

Ik zou patches monitoren voor de software die je gebruikt en beslissingen nemen op basis van de fixes in die releases over wanneer te upgraden.

Omdat u een testserver hebt, test u de update uiteraard altijd voordat u ze toepast.


2
2018-05-18 15:40





Ik hou van cron-apt om dit proces te automatiseren, maar zoals @dinomite opmerkte op een andere vraag over updates, het specifiek configureren om beveiligingsgerelateerde updates te automatiseren is een heel slim idee - u kunt vervolgens handmatig bijwerken wat u nodig hebt. Ik had cron-apt gebruikt voor alle updates, maar dit feitelijk veranderd op basis van zijn antwoord. Als je het leuk vindt, zou je waarschijnlijk moeten stem zijn antwoord op in plaats van deze.


1
2018-05-18 16:21





Op debian installeer ik cron-apt en bewerk het configuratiebestand om me te mailen als er wijzigingen zijn. op deze manier krijg ik een melding als er updates voor mijn systemen zijn en voer ik de updates handmatig uit


1
2018-05-30 19:50





In dezelfde lijn als cron-apt zou je de onbewaakt-upgrades pakket http://packages.debian.org/lenny/unattended-upgrades.

Het is zeer eenvoudig te configureren en stelt u in staat beveiligingsupdates automatisch te downloaden en toe te passen, maar laat andere updates over voor handmatige upgrades (of u kunt naar eigen inzicht alles upgraden!).

De officiële Ubuntu-servergids bevat een redelijk gedetailleerde sectie over het gebruik van het pakket voor onbeheerde upgrades https://help.ubuntu.com/9.04/serverguide/C/automatic-updates.html

Opmerking: afhankelijk van uw niveau van waarschuwing / paranoia kunt u eerst een rolling upgrade uitvoeren op een groep testservers. Als er geen problemen zijn, moet u uw productievakken bijwerken, hoewel ik persoonlijk geen problemen ondervond met beveiligingsupdates tot nu toe verwoestende ravage (klop op hout) ...

Er is ook een configuratieoptie om u de resultaten van elke beveiligingsupdate ook te mailen, zodra deze is toegepast. Als er tijdens de update dialoogvensters of interactieve prompts werden gepresenteerd, moeten deze ook handmatig worden aangepast door een systeembeheerder.


1
2018-06-06 22:15





Persoonlijk zet ik automatische updates uit en voer ik niet regelmatig updates van pakketten uit op servers in mijn omgeving, tenzij: (a) er een belangrijk CERT-advies is voor een van de pakketten op mijn systeem; (b) Ik moet individuele pakketten om specifieke redenen upgraden; (c) OS of pakketten bereiken het einde van de cyclus, ze worden niet meer ondersteund en we moeten doorgaan met ondersteuning. Mijn redenering is dat upgraden zonder te weten wat er wordt veranderd of waarom er te veel ruimte wordt gelaten voor iets dat breekt. Ik doe dit soort dingen al 14 jaar en het werkt goed.


1
2018-01-29 00:08





Naast de dingen die worden genoemd, moet je een soort van controletool gebruiken (Nagios of wat dan ook je boot drijft) om je op de hoogte te houden van updates.

Voor zover vaak gaat: zodra er een update beschikbaar is!


0
2018-06-03 20:14