Apakah penting untuk reboot Linux setelah pembaruan kernel?

19

Saya memiliki beberapa webservers produksi Fedora dan Debian yang meng-host situs kami serta akun shell pengguna (digunakan untuk pekerjaan git vcs, beberapa sesi layar + irssi, dll).

Kadang-kadang pembaruan kernel baru akan muncul di yum/ apt-get, dan saya bertanya-tanya apakah sebagian besar perbaikan cukup parah untuk menjamin reboot, atau jika saya dapat menerapkan perbaikan sans reboot.

Server pengembangan utama kami saat ini memiliki 213 hari uptime, dan saya tidak yakin apakah itu tidak aman untuk menjalankan kernel yang lebih lama.

lfaraone
sumber
Anda harus benar-benar memisahkan hosting produksi (cukup terbuka dan kritis terhadap keamanan, harus segera mendapatkan pembaruan) dari menjalankan repositori git (mungkin hanya pengguna tepercaya tetapi harus aman) dan sesi layar umum. VM murah!
poolie

Jawaban:

24

Tidak ada yang benar-benar istimewa tentang memiliki waktu kerja yang lama. Secara umum lebih baik memiliki sistem yang aman. Semua sistem memerlukan pembaruan di beberapa titik. Anda mungkin sudah menerapkan pembaruan, apakah Anda menjadwalkan pemadaman saat Anda menerapkan pembaruan itu? Anda mungkin harus berjaga-jaga jika terjadi kesalahan. Sebuah reboot seharusnya tidak terlalu banyak waktu.

Jika sistem Anda sangat sensitif terhadap pemadaman, Anda mungkin harus memikirkan beberapa jenis pengaturan pengelompokan sehingga Anda memperbarui satu anggota cluster tanpa menjatuhkan semuanya.

Jika Anda tidak yakin tentang pembaruan tertentu, mungkin lebih aman untuk menjadwalkan reboot dan menerapkannya (sebaiknya setelah mengujinya pada sistem lain yang serupa).

Jika Anda tertarik untuk mengetahui apakah pembaruan itu penting, luangkan waktu untuk membaca pemberitahuan keamanan, dan ikuti tautan kembali ke CVE atau posting / daftar / blog yang menjelaskan masalah ini. Ini akan membantu Anda memutuskan apakah pembaruan secara langsung berlaku dalam kasus Anda.

Bahkan jika Anda merasa itu tidak berlaku, Anda tetap harus mempertimbangkan memperbarui sistem Anda pada akhirnya. Keamanan adalah pendekatan berlapis. Anda harus mengasumsikan pada suatu saat lapisan-lapisan lainnya mungkin gagal. Selain itu, Anda mungkin lupa bahwa Anda memiliki sistem yang rentan karena Anda melewatkan pembaruan ketika Anda mengubah konfigurasi pada suatu saat nanti.

Pokoknya jika Anda ingin mengabaikan atau menunggu beberapa saat pada pembaruan pada sistem berbasis Debian Anda dapat menunda paket. Saya pribadi suka menahan semua paket kernel untuk berjaga-jaga.

Metode CLI untuk menetapkan penangguhan paket pada sistem berbasis Debian.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections
Sakit kepala
sumber
1
Bukannya kita harus selalu aktif, tetapi bahwa beberapa pengguna kami memiliki sesi terbuka (yaitu IRC) yang dapat mengganggu (dari perspektif pengguna) untuk memulai kembali.
lfaraone
12

Sebagian besar pembaruan tidak memerlukan reboot, tetapi pembaruan Kernel melakukannya (Anda tidak dapat benar-benar mengganti kernel yang berjalan tanpa me-reboot).

Satu hal yang saya temukan adalah bahwa jika server Anda telah berjalan untuk waktu yang lama tanpa reboot, itu lebih cenderung ingin melakukan pemeriksaan disk (fsck) ketika Anda reboot, dan ini dapat menambah secara signifikan waktu yang diperlukan untuk kembali. dan berjalan kembali. Terbaik untuk mengantisipasi ini dan merencanakannya.

Saya juga menemukan bahwa perubahan konfigurasi kadang-kadang bisa terlewatkan, dan tidak akan diketahui sampai reboot (seperti menambahkan alamat IP baru / aturan iptables, dll) Ini juga menambah "risiko downtime" ketika reboot jarang.

Yang terbaik untuk merencanakan beberapa waktu henti ketika melakukan reboot - atau jika ini bukan opsi yang diinginkan, atur server Anda dalam kelompok sehingga reboot dapat dilakukan jika perlu.

Brent
sumber
8

Jika Anda hanya membutuhkan pembaruan keamanan dan bukan kernel yang sepenuhnya baru, Anda mungkin tertarik pada Ksplice - ini memungkinkan Anda menambal pembaruan kernel tertentu ke dalam kernel yang sedang berjalan.

Tim
sumber
Hanya Oracle Linux: |
rogerdpack
3

Tidak ada jawaban sederhana untuk ini, beberapa peningkatan kernel tidak benar-benar terkait keamanan, dan beberapa mungkin memperbaiki masalah keamanan yang tidak mempengaruhi Anda, sementara yang lain dapat mempengaruhi Anda.

Pendekatan terbaik imo adalah mendaftar ke milis keamanan yang relevan seperti keamanan-ubuntu mengumumkan sehingga Anda dapat melihat kapan patch keamanan keluar, dan bagaimana mereka dapat mempengaruhi Anda.

Saya juga akan mempertimbangkan apticron atau serupa untuk mendapatkan rincian dan daftar perubahan dari setiap pembaruan paket lainnya.

theecereceive
sumber
2

Ini adalah fungsi dari pembaruan - jika itu memperbaiki privasi. eskalasi yang menghasilkan akses root, maka Anda mungkin ingin menerapkannya.

Avery Payne
sumber
2

Jika Anda tidak melakukannya me reboot, Anda harus memastikan bahwa kernel baru bukan yang default untuk memulai saat boot.

Hal terakhir yang Anda inginkan adalah kernel yang belum diuji digunakan untuk produksi setelah restart yang tidak direncanakan.

mibus
sumber
1

Seperti yang disebutkan mibus, jika Anda menginstal kernel dan tidak me reboot, pastikan itu bukan default. Anda tidak tahu apakah atau dalam kondisi apa server Anda akan kembali, jadi pastikan sudah diuji.

Yang sedang berkata, saya pikir itu baik untuk masuk ke kebiasaan me-reboot mesin secara teratur jika memungkinkan. Banyak kegagalan perangkat keras dan perangkat lunak akan muncul dengan sendirinya hanya pada saat reboot dan lebih baik untuk mengetahuinya ketika Anda merencanakan reboot alih-alih selama pemadaman yang tidak direncanakan.

Kamil Kisiel
sumber
0

Perhatikan bahwa beberapa pembaruan kernel debian mengharuskan (well, sangat merekomendasikan) agar Anda me-reboot ASAP setelah Anda menerapkannya.

Ini adalah kasus ketika perbedaan tidak cukup memadai untuk menjamin perubahan direktori modul, tetapi modul mungkin berbeda.

Anda akan diperingatkan oleh Debian ketika Anda menginstal paket kernel tersebut.

MikeyB
sumber