Як правило, безпечно запускати "апт-get update" (з точки зору стабільності) на виробничому сервері?


18

Я часто заходжу на свій сервер Ubuntu 12.04.2 (з Postgres 9.2.4, який працює з поточними даними про виробництво) і бачу щось подібне:

4 packages can be updated.
4 updates are security updates.

Це відбувається, звичайно, кожні кілька днів. Мене не цікавлять автоматичні оновлення (чим менше речей, які я можу змінити, коли я сплю, тим краще), але мені цікаво завжди підтримувати свій сервер в актуальному стані, тому моє питання таке: Коли я бачу вихід, наприклад це, чи завжди це вважається безпечним для запуску apt-get upgrade, чи є випадки, коли це може зламати речі. Я розумію, що виправлення не завжди ідеальні (звідси цитується "завжди" в заголовку), але як загальне правило, чи вважається безпечним запустити це (esp, якщо це сервер баз даних і щось, що просто обслуговує CSS-файли через Nginx )?

Відповіді:


9

Як правило, так це безпечно. Хоча для критичних пакетів (Postgres, Nginx тощо) я рекомендую прикріпити ці пакунки до певної версії, щоб вони не оновлювалися. Наприклад, Postgres оновлюється, наприклад, він перезапустить сервер баз даних, що ви хочете мати можливість планувати на час запланованого простою.

Зважаючи на це, завжди краще протестувати оновлення на етапі сервера, перш ніж просувати їх у виробництво, тож це над чим подумати над додаванням до процесу розгортання.


1
і перезавантажте, якщо є оновлення ядра. Нічого гіршого, ніж пошук вашого сервера вже не завантажується без втручання в надзвичайних ситуаціях.
Сірекс

"Я рекомендую закріпити ці пакунки до певної версії, щоб вони не оновлювалися": Як?
vcardillo

1
@vcardillo Виконайте пошук у Google за "влучним закріпленням".
EEAA

5

Схильність має легше запам'ятати команди: aptitude safe-upgradevs. aptitude full-upgrade. Це все-таки є гарною ідеєю встановити, apt-listchangesщоб ви отримали інформацію про зміни оновлених пакетів та можливість скасувати оновлення.


4

Так і ні. Більшість програм у порядку, але деякі програми можуть не надто раді оновитись.

Я бачив приклади, коли програми, які використовують java від 1.6.29 до 1.6.30, розбивають програму. Також спостерігається розрив mysql між 5.0.X 5.0.X + 1 (не пам’ятайте точні цифри тут).

Системні програми мають бути в порядку, але слід уважно прочитати примітки до випусків програм, які насправді надає ваш сервер.

Прочитайте, що nginx змінюється, спробуйте зрозуміти, чи є якісь зміни, які можуть вплинути на вашу конкретну установку. Чим досконаліше ви використовуєте додаток, тим легше його зламати.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.