Чи важливо перезавантажити Linux після оновлення ядра?

У мене є декілька виробничих веб-серверів Fedora та Debian, які розміщують наші сайти, а також облікові записи оболонок користувачів (використовуються для роботи з gc vcs, деяких екранів + irssi сеансів тощо).

Іноді нове оновлення ядра зійде в конвеєр в yum/ apt-get, і мені було цікаво, чи більшість виправлень є досить серйозними для того, щоб вимагати перезавантаження, чи я можу застосувати виправлення без перезавантаження.

У нашого основного сервера розробки працює 213 днів безперервного часу, і я не був впевнений, чи безпечно це запуск такого старшого ядра.

Немає нічого насправді особливого в тому, щоб мати тривалий час роботи. Як правило, краще мати захищену систему. Усі системи потребують оновлення в певний момент. Ви, ймовірно, вже застосовуєте оновлення, чи плануєте виходи з ладу, коли застосовуєте ці оновлення? Ви, мабуть, повинні про всяк випадок, коли щось піде не так. Перезавантаження не повинна насправді стільки часу.

Якщо ваша система настільки чутлива до перебоїв, вам, ймовірно, варто задуматися про якесь налаштування кластеризації, щоб ви оновили одного члена кластера, не збиваючи все.

Якщо ви не впевнені в конкретному оновлення, можливо, безпечніше запланувати перезавантаження та застосувати його (бажано після тестування на іншій подібній системі).

Якщо вам цікаво дізнатися про те, чи важливе оновлення, знадобиться час, щоб прочитати повідомлення про безпеку, і перейдіть за посиланнями до CVE або до публікацій / списків / блогів, що описують проблему. Це допоможе вам вирішити, чи оновлення безпосередньо застосовується у вашому випадку.

Навіть якщо ви не вважаєте, що це застосовується, ви все одно можете подумати над оновленням системи. Безпека - це багатошаровий підхід. Ви повинні припустити, що в інші моменти ці інші шари можуть вийти з ладу. Крім того, ви можете забути, що у вас є вразлива система, оскільки ви пропустили оновлення при зміні конфігурації в якийсь пізній момент часу.

У будь-якому випадку, якщо ви хочете проігнорувати або почекати деякий час на оновлення в системах, що базуються на Debian, ви можете перевести пакет у режим очікування. Мені особисто подобається затримувати всі пакети ядра про всяк випадок.

Метод CLI для встановлення утримування пакету в системах на базі Debian.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

Більшість оновлень не потребують перезавантаження, але оновлення ядра роблять (ви не можете дійсно замінити працююче ядро ​​без перезавантаження).

Я виявив одне, що якщо ваш сервер тривалий час працює без перезавантаження, швидше за все, захочете зробити перевірку диска (fsck) при перезавантаженні, і це може значно збільшити час, необхідний для його повернення. знову і працює знову. Найкраще передбачити це і планувати це.

Я також виявив, що зміни конфігурації іноді можуть бути пропущені, і їх не помітять до перезавантаження (наприклад, додавання нових IP-адрес / правил iptables тощо). Це також додає "ризику простою" при нечастому перезавантаженні.

Найкраще планувати деякий час простою під час перезавантаження - або якщо це не бажаний варіант, встановіть ваші сервери в кластери, щоб перезавантаження можна було зробити при необхідності.

Якщо вам потрібні лише оновлення безпеки та не зовсім нове ядро, вас може зацікавити Ksplice - він дозволяє виправити певні оновлення ядра в запущене ядро.

На це немає простого відповіді, деякі оновлення ядра насправді не пов'язані із безпекою, а деякі можуть виправити проблеми із безпекою, які не впливають на вас, а інші можуть торкнутися вас.

Кращий підхід imo - це підписатись до відповідних списків розсилки безпеки, як-от повідомлення про безпеку ubuntu, щоб ви могли бачити, коли виходять патчі безпеки та як вони можуть впливати на вас.

Я також розглядаю apticron або подібне, щоб отримати подробиці та журнали змін будь-яких інших оновлень пакета.

Це функція оновлення - якщо вона фіксує приват. ескалація, що призводить до кореневого доступу, тоді ви можете застосувати його.

Якщо ви не перезавантажуєтесь, слід переконатися, що нове ядро ​​не є типовим для запуску при завантаженні.

Останнє, що вам потрібно, - це тестоване ядро, яке використовується для виробництва після запланованого перезапуску.

Як згадується mibus, якщо ви встановите ядро ​​і не перезавантажуєтесь, переконайтеся, що це не за замовчуванням. Ви не знаєте, чи буде або в якому стані ваш сервер повернеться, тому переконайтеся, що він перевірений.

Попри це, я думаю, що це добре, коли це можливо, перейти до звички перезавантажувати машини. Багато апаратних та програмних збоїв проявляться лише при перезавантаженні, і краще дізнатися про них, коли ви плануєте перезавантаження, а не під час запланованого відключення.

Зверніть увагу, що деякі оновлення ядра debian вимагають (ну, дуже рекомендую) перезавантажити ASAP після їх застосування.

Це той випадок, коли різниці недостатньо, щоб гарантувати зміну каталогів модулів, але модулі можуть відрізнятися.

Debian буде попереджено, коли ви встановлюватимете такі пакети ядра.