Saya telah menggunakan FreeBSD selama sekitar 5 tahun - server / Desktop - dan saya cenderung mengambil kebiasaan apt-get / yum saya untuk meng-upgrade semuanya bersama saya (saya admin kotak Debian / RHEL / Cent juga - Saya tahu, saya tahu ... harus lebih cerdas tanpa memandang platform). Jadi biasanya:
portsnap fetch
portsnap update
portmanager -u
Untuk port
Terkadang diikuti oleh:
freebsd-update fetch
freebsd-update install
Untuk sistem ... dll. Kemudian bersihkan semua kekacauan setelahnya ... jika itu terjadi.
Saya sadar, ini adalah cara un-BSD yang cukup berlebihan untuk melakukan sesuatu. Apa filosofi Anda untuk kotak BSD Anda? Apakah Anda menjalankan portaudit / portversion - periksa output lalu perbarui (lakukan deinstall ... dll) setelah pertimbangan yang cermat?
Saya cukup baru di OpenBSD, saya akui. Saya melihat diri saya cvsupping pohon port, menjalankan skrip "out of date", kemudian hanya memutakhirkan port penting --- tetapi meninggalkan kernel / binari saja dan hanya memutakhirkan setiap enam bulan. Apakah Anda menambal / mengkompilasi ulang / membangun kembali kernel, binari --- mengapa?
Apa pendekatan konservatif untuk layanan kritis (cukup kritis - ini bukan bank atau rumah sakit) pada kotak BSD? Apakah Anda menggunakan pendekatan serupa pada kotak Linux Anda? Saya biasanya tidak menyentuh kernel pada server apa pun kecuali peringatan keamanan telah melanda teror ke dalam jiwa saya.
Ya, ada banyak dokumen dan buku - apa yang sebenarnya Anda lakukan? Dengan asumsi kita tahu dasar-dasarnya - apa kebijaksanaannya? Gunakan kasing / lingkungan dan skenario berbeda-beda, seperti halnya taruhan / pemangku kepentingan / pengguna. Buku dan halaman manual mencakup alat dan penggunaan, tetapi tidak memiliki aplikasi praktis. Rekomendasikan buku jika Anda tahu buku yang meliputnya!
Terima kasih sudah membaca!
Bubnoff
Kesimpulan ~ Terima kasih kepada semua orang yang meluangkan waktu untuk menjawab posting ini. Strategi saya secara keseluruhan adalah sekarang untuk mengikuti milis untuk kedua BSD dan lebih selektif / cerdas dengan memperbarui daripada yang saya lakukan di masa lalu.
FreeBSD ~ Portaudit adalah jawaban yang bagus. Dengan milis dan audit yang rajin, saya pikir ini akan berfungsi dengan baik di sini. Sangat menarik penekanan berbeda pada port antara ayat-ayat OpenBSD FreeBSD.
OpenBSD ~ Akan mengikuti milis dan menggunakan alat paket (pkg_info dan pkg_add -u) yang dianggap kritis. Peningkatan: Sepertinya Anda perlu meningkatkan setidaknya setahun sekali. Mereka mendukung rilis terbaru plus satu kembali - jadi sekarang ini 4,8 dan 4,7.
Terima kasih lagi.
Saya tidak yakin ada "cara BSD" khusus untuk melakukan hal-hal semacam ini. Semuanya bermuara pada mengetahui apa yang sedang diperbarui dan pengujian - hal-hal sysadmin generik. Untungnya, pembaruan freebsd dan portsnap membuat "mengetahui apa" cukup sepele.
Tetapi, karena Anda menanyakan secara spesifik, ketika saya menggiring sejumlah besar mesin FreeBSD, semuanya adalah node dalam sebuah cluster. Mesin mandiri tidak akan jauh berbeda dari ini, tapi saya kira Anda bisa membuat ini 'devops' samar-samar seperti untuk layanan produksi Anda. Pada akhirnya, selalu merupakan ide bagus untuk memiliki lingkungan pengujian dan produksi yang terpisah.
Dalam situasi cluster:
Jelas, ini adalah untuk kedua sistem dan pembaruan port, tetapi prosedurnya cukup mirip memperbarui hanya paket atau sistem.
Jika ini dilakukan dengan dua mesin Anda bisa masing-masing bergiliran sebagai produksi atau pementasan, atau hanya memperbarui produksi dari pementasan.
Anda dapat melacak perubahan dari log cvs dan memeriksa apakah Anda mendapatkan pembaruan spesifik di / usr / src / UPDATING dan / usr / ports / UPDATING , keduanya diperbarui secara otomatis dari cvsup .
Jika Anda tidak menggunakan cvsup (dan hari ini alasannya kurang) Anda hanya perlu menemukan cara lain untuk melacak pembaruan apa yang Anda inginkan. Anda bisa mengirim daftar perubahan yang ingin dibuat pembaruan-freebsd untuk diri Anda sendiri dan mengawasi halaman kesalahan keamanan.
sumber
Filosofi Pembaruan OpenBSD
Ini adalah pendekatan saya untuk memperbarui OpenBSD
Tetap Terkini pada rilis / patch keamanan untuk:
Prosedur Pembaruan:
MENDASARKAN
Sebuah. Ikuti milis yang relevan - Saya menonton intisari harian squish.net, serta arahan umum yang ditunjukkan pada milis Tech dan Misc.
b. Ikuti situs web / milis pengumuman keamanan terkait Unix.
c. Menyimpan salinan CVS lokal menggunakan cvsync
d. Bangun rilis STABLE dari atas
Ketika pembaruan keamanan diterbitkan, kami mengevaluasi masalah keamanan aktual dengan profil mesin dengan versi OS / kerentanan. Jika kerentanannya relevan, kita akan melalui "prosedur peningkatan versi yang sama."
Paket / Pelabuhan
Lebih sulit untuk melacak pembaruan keamanan untuk port / paket, tetapi jika cukup kritis untuk infrastruktur kami maka cukup penting untuk melacak dengan cara yang mirip dengan BASE.
Dapatkan di milis untuk aplikasi spesifik (itu adalah tanggung jawab kami untuk mengawasi perubahan hulu, terlepas dari proyek OpenBSD.)
Dapatkan di daftar distribusi duduk keamanan seperti CERT yang menerbitkan temuan kerentanan pada aplikasi dll.
Prosedur Peningkatan
Jelas membangun dan menguji prosedur instalasi Anda pada perangkat keras yang terpisah (atau VM) sebelum melakukannya pada mesin produksi Anda. Untungnya bagi kami, kami memiliki host yang berlebihan untuk banyak hal dan karena itu dapat menjalankan dengan downtime layanan yang minimal. Karena OpenBSD mendukung beragam perangkat keras, kami dapat meluncurkan peralatan kelas server untuk mesin utama kami, dan desktop kelas bawah sebagai host yang berlebihan (atau kami hanya membuat kotak sementara untuk mengisi mesin utama selama siklus pembaruan.)
Prosedur pembaruan kami sangat bergantung pada penggunaan sistem port / paket untuk perangkat lunak non-BASE. Dua host tempat kami menginstal perangkat lunak dari sumber sangat merepotkan untuk memperbarui antara pembaruan versi OS.
Pembaruan OS yang sama
Untuk OS BASE, kami terus sukses dengan hanya menginstal binari baru di atas yang lama. Lebih disukai, kami membuat cadangan semua OS dan konfigurasi Aplikasi / file data, memformat dan menginstal ulang OS yang ditambal dan menginstal ulang paket (mempertahankan data asli)
Di host OpenBSD kami yang dikerahkan (30+), dan pengalaman, membuat cadangan konfigurasi dan data tidak sulit. Untuk firewall kami, semua data ada dalam konfigurasi dan mencatat file.
Untuk Port / Paket - di mana perubahannya sederhana, kami memodifikasi port kami sendiri dan membangun paket dari itu. Memiliki port yang diperbarui menyederhanakan proses di atas.
Pembaruan OS Baru
Di antara rilis OS, kami memasang semuanya dari sketsa.
Saya yakin ada cukup dokumentasi di luar sana untuk proses ini, tetapi pada dasarnya kami membangun mesin referensi dengan konfigurasi yang sama dengan sistem yang akan "diganti." Ikuti tes yang sama yang diperlukan sebelum menggunakan host.
Kami mencadangkan konfigurasi dari host referensi dan menginstal OpenBSD pada host produksi, mengembalikan konfigurasi "terverifikasi" di atasnya (sekali lagi menjalankan tes validasi yang sama setelah itu.)
sumber
Untuk OpenBSD, setidaknya:
Faq 15, semua tentang port dan paket
sumber
Jika tidak ada masalah keamanan, atau bug yang mengganggu fungsi, biarkan saja. Periksa pembaruan mungkin setiap 3-6 bulan sehingga Anda tidak ketinggalan, tetapi jika tidak biarkan saja.
Jika tidak rusak, jangan memperbaikinya.
sumber
Saya lebih suka menggunakan
portupgrade
untuk memutakhirkan port, dan melakukan ini hanya ketika benar-benar diperlukan , misalnya ketika kerentanan ditemukan di port atau fungsionalitas baru diperlukan.Sedangkan untuk meningkatkan sistem, saya biasanya membangun kembali dari sumber dengan
make buildworld
. Saya tidak pernah memiliki masalah dengan pendekatan ini.sumber
-Os
optimisasi, sistem yang lebih kecil / lebih cepat.