我正在考虑yum -qy update在一些没有定期维护的机器上添加一个定期运行的 cronjob 。目标是让机器保持最新的安全补丁,否则这些补丁会应用得太晚。我只使用 CentOS 基本存储库。
问题:
这取决于
根据我使用 CentOS 的经验,它非常安全,因为您只使用 CentOS 基本存储库。
您是否应该期望偶尔更新失败......是的......与您应该期望偶尔发生故障的硬盘驱动器或故障的CPU相同。你永远不会有太多的备份。:-)
自动更新的好处是您可以比手动修补更快(因此更安全)。
手动补丁似乎总是被推迟或被视为许多其他事情的“低优先级”,因此如果您要进入手动模式,请在日历上安排时间来执行此操作。
我已经配置了许多机器来执行自动 yum udpates(通过 cron 作业)并且很少出现问题。事实上,我不记得 BASE 存储库有问题。我能想到的每个问题(根据我的经验)都是第 3 方的情况。
话虽如此……我确实有几台机器,我手动对其进行了更新。诸如数据库服务器和其他极其关键的系统之类的东西,我喜欢采用“动手”方法。
我个人认为它的方式是这样的......我想到了“假设”场景,然后尝试考虑从备份中重建或恢复需要多长时间以及会丢失什么(如果有的话) .
在多个 Web 服务器的情况下……或者内容变化不大的服务器……我继续进行自动更新,因为重建/恢复的时间很少。
在关键数据库服务器等的情况下......我每周安排一次时间来查看它们并手动修补它们......因为重建/恢复所花费的时间更耗时。
根据您网络中的服务器以及备份/恢复计划的实施方式,您的决定可能会有所不同。
希望这可以帮助。
优点:您的服务器始终处于最新的补丁级别,通常甚至可以抵御 0 天漏洞利用。
缺点:在您的服务器上运行的任何使用在更高版本中删除的功能的代码、任何更改语法的配置文件以及任何阻止执行可被利用的代码的新安全“功能”都可能导致在没有您的情况下在该服务器上运行的东西中断知道它,直到有人打电话给您解决问题。
最佳实践:让服务器在需要更新时向您发送电子邮件。备份或知道如何回滚更新。
| 归档时间: |
|
| 查看次数: |
6451 次 |
| 最近记录: |