Чи варто оновити пакети ядра до екземплярів EC2?

18

На моєму сервері EC2, коли я це роблю sudo apt-get update && sudo apt-get upgrade, я бачу:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Чи варто йти вперед і робити, sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualщоб змусити оновити ці пакети?

kernel  amazon-ec2 
Адам Монсен
джерело
3
Або робити apt-get update && apt-get upgrade && apt-get dist-upgrade. Це дозволить оновити пакети, що стримуються.
Марк Рассел

Відповіді:

18

Коротка відповідь - так, ви повинні постійно оновлювати свої системи щодо виправлень безпеки.

Як саме ви розкачаєте патчі безпеки, залежить від толерантності до ризику. Ось кілька варіантів, які я раніше використовував для відповіді на це питання:

  1. Застосуйте оновлення до набору систем забезпечення якості, які імітують ваше виробниче середовище та запускають усі ваші регресійні тести, щоб переконатися, що зміни не порушують функціональних можливостей або не викликають проблем з продуктивністю. Після задоволення виконайте оновлення до виробничих систем.

  2. Зачекайте день і подивіться, чи є суспільний резонанс щодо проблем, викликаних оновленнями. Якщо все здається мирним, оновіть свої виробничі системи.

  3. Застосовуйте кожен патч безпеки на своїх виробничих системах, як тільки він з’явиться.

Я використовував комбінацію всіх трьох цих підходів за допомогою Ubuntu, і поступово рухався до варіанту 3 протягом багатьох років. Патчі безпеки проходять ретельну перевірку перед випуском, і дуже обережно, щоб не порушити існуючі функції. У мене ніколи не було проблем з оновленням зображень, що підтримуються Ubuntu (хоча у мене колись виникала проблема, коли я використовував не Ubuntu ядро ​​з Ubuntu на EC2).

Зауважте, що для оновлення ядра також потрібно перезавантажити, щоб застосувати зміни.

Вищенаведений досвід та рекомендації стосуються лише оновлення у версії Ubuntu (наприклад, 11.04). Оновлення до нового випуску Ubuntu - набагато більша і ризикована задача, і, безумовно, потрібне тестування, перш ніж розгорнути його у виробничі системи.

Ось стаття на цю тему, яка щойно опублікована компанією RightScale про те, як керувати оновленнями безпеки в їх оточенні:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Ерік Хаммонд
джерело
3
Гарна відповідь. Можливо, додати зауваження, що оновлення ядра реально можливе лише у випадках, підтримуваних EBS? Це все ще так, ні?
Марк Рассел
3
Позначення: Раніше було і те, що екземпляри-сховища не могли оновити свої ядра на місці, але з часом випуску паравіртуалізації фактичні ядра можуть зберігатися в AMI, а не в AKI. Це означає, що екземпляр може модернізувати ядро ​​на локальному томі EBS і накладати його після перезавантаження, навіть якщо він використовує той же AKI. Я щойно перевірив це за допомогою Ubuntu 11.04 (us-east-1 ami-e2af508b), і екземпляр-сховище придумав правильне нове ядро ​​після дистрибутивного оновлення та перезавантаження.
Ерік Хаммонд
2
виправлення до мого попереднього коментаря: "Екземпляр може оновити ядро ​​на локальному томі кореневого екземпляра і зберігати його",
Ерік Хаммонд
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.