我最近负责了一个新的 RedHat EL5.6 服务器。很明显,在过去的 12 个月中,几乎没有关注任何类型的软件包更新。
通常我的心态是如果它没有坏掉 - 不要修复它。但是,在向 RHN 注册服务器并使用 yum-security 插件检查安全更新后,只有 1100 多个“安全”更新可用。
有没有人遇到过类似的情况?我不愿意只更新所有内容,因为我想知道正在更新的内容以及它是否有可能影响机器上运行的任何内容(这是一个生产服务器)。但是,看起来与这种做法保持一致还需要我逐行检查 1100 包勘误表。有没有更有效的解决方案?
所以我今天与一位同事进行了讨论,他说出了一些我认为很奇怪的事情,因为我正准备将安全更新应用于我们的一台生产服务器。
“你永远不应该应用内核更新。” 他的推理是你不知道它是否会破坏任何链接的模块,这可能随后导致应用程序的各个部分崩溃。如果您正在运行的任何内容都需要您构建自定义内核模块,我会买这个 - 但对于您的标准应用程序来说,这真的是一个问题吗?FWIW 有问题的盒子运行一个 apache 网络服务器和一个数据库。
我认为定期应用安全更新对于防止缺陷是必要的,并且他确定的风险被在您的生产环境中拥有最新内核的好处所抵消。
目前,我的组织在其 linux 配置中有两个 UID 为 0 的帐户 - Root 和 Root2。如果我们为 Root2 帐户设置失败登录尝试设置,并且该帐户随后被锁定,它是否也会锁定 Root 帐户?
我最初的想法是锁定 Root2 不会影响 Root,因为虽然他们共享一个 UID(并且 UID 为 0 的用户数量似乎没有限制),但他们显然可以拥有不同的密码。那是准确的吗?或者我是否遗漏/忽略了身份验证过程中的某些机制,这些机制会锁定 UID 为 0 而不是特定用户名的用户?
似乎我在配置的两个帐户的 ssh-agent 行为之间存在一些差异。
我编写了一个简单的监控脚本来检查我们正在运行的某些 VM 的可用性。我使用我的主要访问帐户进行了所有测试和调试。在此过程中,我生成了一个 SSH 密钥对,启动了 ssh-agent,并将身份添加到代理中,以允许脚本在不需要密码的情况下进行 ssh。
现在,我想以服务帐户用户身份运行此脚本。我创建了服务帐户,并生成密钥,将登录 shell 临时设置为 /bin/bash。我生成了我的密钥,删除了密码,并将身份添加到代理中。
差异似乎与外壳如何连接到代理有关。在我的用户帐户中,自从我开始测试(大约两周)以来,我没有重新启动代理。但是,当我尝试在服务帐户下运行脚本时,似乎每次都必须重新启动代理,添加身份,然后执行工作。
理想情况下,我希望代理无限期运行并让服务帐户在脚本运行时自动重新连接到它,这样我就不需要在脚本中管理进程。我查看了每个帐户的配置,没有发现任何差异。任何见解将不胜感激。
**编辑:我忘了指出代理确实持续运行,但服务帐户的 shell 进程似乎没有使用它,必须启动一个新的进程:
ovmmon 14043 0.0 0.0 53916 204 ? Ss May17 0:00 ssh-agent
ovmmon 14952 0.0 0.0 53916 204 ? Ss May17 0:00 ssh-agent