Aby zaktualizować? Albo nie?

proszę wybacz to raczej proste pytanie.

Po pierwsze, nie jestem administratorem systemu, a moje doświadczenie z Linuksem jest nieco ograniczone.

Około 3-4 miesiące temu stworzyłem działający serwer CentOS z różnych powodów. Używamy go jako serwera programistycznego dla stron internetowych (do których mają dostęp nasi klienci), serwera subversion, i udostępniamy tam również wiki do komunikacji wewnętrznej, więc stało się to dla nas dość ważnym narzędziem. (Prawdopodobnie ważniejsze niż się spodziewaliśmy, kiedy to skonfiguruję!)

Zwróciłem uwagę, że Yum chce zaktualizować około 250 pakietów do najnowszych wersji repo.

Ponieważ serwer działa dla nas dobrze, czy powinienem zaryzykować aktualizację tych pakietów? Czy zagrożenia bezpieczeństwa przewyższają ryzyko uszkodzenia serwera podczas aktualizacji wszystkiego?

Powinienem zaznaczyć, że chociaż mam kopie zapasowe wszystkiego, zajęłoby to trochę czasu, aby ustawić wszystko tak, jak jest teraz, i nie mam obecnie zbyt dużo wolnego czasu w pracy!

Jeśli rada ma zostać zaktualizowana, czy są jakieś najlepsze praktyki, które można by przekazać, aby proces był jak najbardziej bezpieczny?

Z góry dziękuję za wszelkie porady.

AKTUALIZACJA - Dziękujemy za odpowiedzi wszystkim. Gdybym miał wystarczającą liczbę przedstawicieli, aby głosować na wszystkich, zrobiłbym to. ;) Zdecydowałem się na upiór dysku twardego i aktualizację. Niestety zdobycie sysadmina w pełnym lub niepełnym wymiarze czasu nie jest w tej chwili opcją, więc będę musiał poradzić sobie z tym problemem najlepiej, jak potrafię!

Szybkie i brudne (np. Battlefield Administrator) rozwiązanie:

1. Przełącz swój system w tryb offline (mam nadzieję, że możesz) i wykonaj kopię zapasową NortonGhost (lub coś podobnego) na drugim dysku twardym.

2. Uruchom drugi dysk twardy (aby upewnić się, że kopia zapasowa rzeczywiście działa) i wykonaj aktualizację yum na tym dysku.

3. Jeśli to wszystko działa ... gratulacje!

4. Jeśli coś to popsunie ... śmiało, włóż napęd ORYGINALNY i wymyśl „Plan B”.

AKTUALIZACJA:

Pomyślałem, że wspomnę, że prawdziwym problemem jest tutaj: „Czy aktualizuję swój przestarzały system i ryzykuję zepsucie go?” lub „Czy pozostawiam mój doskonale działający system niezakończony i ryzykuję zhakowaniem / złamaniem zabezpieczeń?”

Odpowiedź brzmi ... kiedy system zostanie załatany zgodnie z powyższymi krokami ... spróbuj pozostać nad nim, wykonując częste kopie zapasowe ORAZ często je instalując.

Będziesz miał to, co najlepsze z obu światów. ;-)

Tak, zaktualizuj.

RHEL (i dlatego CentOS) starają się nie aktualizować wersji do niczego niezgodnego, zamiast tego przywracają poprawki i poprawki bezpieczeństwa, więc rzeczywiste zmiany w pakietach są minimalne i raczej nie powodują problemów ze zgodnością.

Jeśli jakieś pliki konfiguracyjne uległy zmianie, pakiety poinformują o utworzonym pliku .rpmorig lub .rpmnew. To zależy od konfiguracji samego RPM. Możesz poszukać ostrzeżeń o każdym z tworzonych cp foo foo.bak; cp foo.rpmorig fooplików i albo przywrócić starą konfigurację („ ”), albo spojrzeć na pliki .rpmnew i wprowadzić wszelkie zmiany w konfiguracji.

Problem jest mniej zauważalny, jeśli regularnie aktualizujesz.

Mamy wiele systemów, które są aktualizowane co kwartał (co 3 miesiące); i bardzo rzadko pojawiają się problemy z aktualizacjami pakietów. (z wyjątkiem systemów wykonujących dziwne czynności jądra w celu uzyskania dostępu do jednostek LUN z sieci SAN)

Chociaż tak, aktualizacja zajmie trochę czasu, aw tej samej posiadłości przywrócenie zajmie trochę czasu, jeśli coś pójdzie nie tak, ile by to było bólu / cierpienia, gdyby dane w tym systemie zostały usunięte poprzez exploit / hack?

W większości przypadków aktualizacje z bazowych repozytoriów CentOS są bezpieczne w instalacji. Jedyne problemy z aktualizacją CentOS występują wtedy, gdy uruchamiam / lub potrzebuję użyć zewnętrznego repozytorium (DAG, RPMForge, Ect ect ..)

Najlepsza konfiguracja dla tego rodzaju rzeczą jest, aby serwer hot-swap gotowy, więc można przetestować aktualizacje na nim przed wdrożeniem ich do serwera na żywo.

Wygląda na to, że potrzebujesz faktycznego administratora systemu, który zajmie kilka godzin, aby przejrzeć system, zaktualizować go i upewnić się, że wszystko działa ponownie. Idealnie byłoby, gdyby ta osoba przyjechała i robiła to dla ciebie kilka razy w miesiącu. Serwer nie jest czymś, co należy zainstalować i zapomnieć; potrzebuje regularnej obsługi.

Jeśli ten system jest tak ważny, aktualizacje zabezpieczeń stają się tym ważniejsze. Rozważ konsekwencje, że ten system musi zostać usunięty w celu przebudowy, jeśli (kiedy?) Nieaktualny pakiet pozwala na kompromis w systemie. Idealnie byłoby mieć skonfigurowany serwer testowy w podobny sposób, który można najpierw zaktualizować i sprawdzić, czy coś się nie psuje.

Po zastosowaniu aktualizacji musisz upewnić się o kilku rzeczach:

1. Czas aktualizacji jest podawany do wiadomości publicznej wszystkim użytkownikom systemu
2. Masz plan, jak zaktualizować i przetestować każdą aplikację
3. Masz plan, jak cofnąć aktualizacje, jeśli (kiedy?) Aktualizacja zepsuje aplikację
4. Obecne kopie zapasowe istnieją na wypadek, gdyby coś poszło naprawdę nie tak

Dobry administrator systemu miałby doświadczenie w tego rodzaju pracy i i tak powinien robić wszystkie te rzeczy. Jeśli Twoja organizacja ma taką możliwość, może to być czas na zrzucenie na nią administracji systemu. Lub jeśli denerwujesz się robieniem tego samemu, przyjrzyj się zatrudnieniu kogoś na umowę o wykonanie tego rodzaju rutynowej konserwacji. Tak czy inaczej, aktualizacje muszą się zdarzyć, ponieważ narażasz się na znacznie gorszą sytuację.

Dlatego dzisiaj prawie nigdy nie uruchamiam żadnych systemów produkcyjnych na prawdziwym sprzęcie. Uruchamiam je w maszynach wirtualnych. Następnie podczas krótkiego przestoju (5 minut) uruchamiam migawkę z poziomu samego ESX lub jeśli używam niestandardowej konfiguracji Xen / Solaris / OpenVZ, robię migawkę LVM obrazu serwera. Następnie uruchamiam kopię zapasową oryginału, a teraz mam kopię, którą mogę zrobić, jak tylko chcę.

To powiedziawszy, zacznij od aktualizacji jądra i apache, a następnie zacznij od tego momentu wstecz. Nie musisz brać pełnej listy pakietów, którą meldujesz, ale najlepsze wektory ataku powinny być tymi, które łatasz najszybciej.

Za każdym razem, gdy ktoś włamał się do systemu Linux, dzieje się tak dlatego, że zostawiłem apache, openssh lub samo jądro niezałatane.

Chciałbym tylko zaktualizować pakiety związane z bezpieczeństwem.

Dokładnie tak było rok temu… Zrobiłem mniam aktualizację na polu CentOS, działając na sprzęcie Dell i zainstalowałem jądro, które się nie uruchamia. W pudełku nie było jeszcze niczego załadowanego (w przeciwnym razie byłbym bardziej ostrożny). Spędził dużo czasu na zabawie i wydaje się, że istnieje pewna niezgodność między nowszymi jądrami CentOS / Linux a tym komputerem Dell. Bądź bardzo ostrożny ze swoimi aktualizacjami. Nadal zalecam aktualizację, ponieważ jest to właściwe, ale przygotuj się na odzyskanie z uszkodzonego systemu!