lfa*_*one 20 linux kernel update
我有一些生产 Fedora 和 Debian 网络服务器,它们托管我们的站点以及用户 shell 帐户(用于 git vcs 工作、一些 screen+irssi 会话等)。
有时,新的内核更新会在yum/ 中的管道中出现apt-get,我想知道大多数修复是否严重到足以保证重新启动,或者我是否可以应用修复而无需重新启动。
我们的主要开发服务器目前有 213 天的正常运行时间,我不确定运行这么旧的内核是否不安全。
Zor*_*che 24
正常运行时间长并没有什么特别之处。通常最好有一个安全的系统。所有系统在某个时候都需要更新。您可能已经在应用更新,您是否在应用这些更新时安排中断?您可能应该以防万一出现问题。重新启动不应该花那么多时间。
如果您的系统对中断如此敏感,您可能应该考虑某种集群设置,以便您更新集群的单个成员而不会导致一切宕机。
如果您不确定某个特定更新,那么安排重新启动并应用它可能更安全(最好在另一个类似系统上测试之后)。
如果您有兴趣了解更新是否重要,请花些时间阅读安全通知,并按照链接返回CVE或描述问题的帖子/列表/博客。这应该可以帮助您确定更新是否直接适用于您的情况。
即使您认为它不适用,您仍应考虑最终更新您的系统。安全是一种分层方法。您应该假设在某个时间点其他层可能会失败。此外,您可能会忘记您有一个易受攻击的系统,因为您在稍后更改配置时跳过了更新。
无论如何,如果您想在基于 Debian 的系统上忽略或等待一段时间的更新,您可以暂停该软件包。我个人喜欢保留所有内核包以防万一。
在基于 Debian 的系统上设置一个包的 CLI 方法。
dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections
Bre*_*nt 13
大多数更新不需要重新启动,但内核更新需要(您不能在不重新启动的情况下真正替换正在运行的内核)。
我发现的一件事是,如果您的服务器在没有重新启动的情况下运行了很长时间,则更有可能在重新启动时进行磁盘检查 (fsck),这会显着增加返回所需的时间再次启动并运行。最好能预见到这一点并为此做好计划。
我还发现有时可能会错过配置更改,并且在重新启动之前不会被注意到(例如添加新的 IP 地址/iptables 规则等),这也增加了不经常重新启动时的“停机风险”。
最好在重新启动时计划一些停机时间 - 或者如果这不是一个理想的选择,请将您的服务器设置为集群,以便在必要时可以重新启动。
| 归档时间: |
|
| 查看次数: |
8972 次 |
| 最近记录: |