Untuk memperbarui yum? Atau tidak?

tolong maafkan pertanyaan yang agak langsung ini.

Pertama, saya bukan sysadmin, dan pengalaman saya dengan Linux agak terbatas.

Sekitar 3-4 bulan yang lalu, saya mengatur server CentOS dalam pekerjaan, karena berbagai alasan. Kami menggunakannya sebagai server pengembangan untuk situs web (yang dapat diakses oleh klien kami), server subversi, dan kami juga menyelenggarakan wiki di sana untuk komunikasi internal, sehingga telah menjadi alat yang cukup penting bagi kami. (Mungkin lebih penting daripada yang kita pikirkan ketika saya mengaturnya!)

Telah menjadi perhatian saya bahwa Yum ingin memperbarui sekitar 250 paket ke versi terbaru dalam repo.

Karena server berfungsi dengan baik untuk kami, haruskah saya mengambil risiko memperbarui paket-paket ini? Apakah risiko keamanan lebih penting daripada risiko server putus saat saya memperbarui semuanya?

Saya harus menunjukkan bahwa sementara saya memiliki cadangan segalanya, akan butuh waktu untuk mengatur semuanya seperti sekarang, dan saya tidak punya banyak waktu luang di tempat kerja saat ini!

Jika sarannya adalah untuk memperbarui, apakah ada praktik terbaik yang dapat diteruskan untuk membuat proses seaman mungkin?

Terima kasih sebelumnya atas sarannya.

PEMBARUAN - Terima kasih atas tanggapan Anda, semuanya. Jika saya punya cukup tenaga untuk mendukung semua orang, saya akan melakukannya. ;) Saya telah memutuskan untuk mematikan hard drive dan memperbarui. Sayangnya, mendapatkan sysadmin penuh atau paruh waktu bukan merupakan pilihan saat ini, jadi saya hanya harus berurusan dengan masalah ini sebaik mungkin!

Solusi cepat dan kotor (mis. Administrator Medan):

1. Bawa sistem Anda offline (saya harap Anda bisa) dan lakukan backup NortonGhost (atau yang serupa) ke hard drive ke-2.

2. Boot hard drive kedua (untuk memastikan cadangan Anda benar-benar berfungsi) dan lakukan pembaruan yum pada drive ITU.

3. Jika semuanya berhasil ... selamat!

4. Jika itu mengacaukan sesuatu ... lanjutkan dan masukkan drive ASLI Anda dan datang dengan "Plan B".

MEMPERBARUI:

Saya pikir saya akan menyebutkan bahwa masalah sebenarnya di sini adalah "Apakah saya memperbarui waaaay saya dari sistem tanggal dan berisiko mengacaukannya?" atau "Apakah saya membiarkan sistem kerja saya yang sangat baik tidak ditambal dan berisiko diretas / dikompromikan?"

Jawabannya adalah ... setelah sistem Anda ditambal melalui langkah-langkah di atas ... coba dan tetap di atasnya dengan sering-sering mencadangkannya dan menambalnya.

Maka Anda akan memiliki yang terbaik dari kedua dunia. ;-)

Ya, perbarui.

RHEL (dan karenanya CentOS) berhati-hati untuk tidak memperbarui versi ke sesuatu yang tidak kompatibel, sebagai gantinya mereka mendukung perbaikan bug dan perbaikan keamanan, sehingga perubahan aktual pada paket minimal dan kemungkinan tidak menyebabkan masalah kompatibilitas.

Jika ada file konfigurasi telah berubah, paket akan memberi tahu Anda tentang file .rpmorig atau .rpmnew baru yang akan dibuat. Itu tergantung pada konfigurasi RPM itu sendiri. Anda dapat mencari peringatan tentang semua yang dibuat dan mengembalikan konfigurasi lama Anda ("cp foo foo.bak; cp foo.rpmorig foo ") atau melihat file .rpmnew baru dan memasukkan perubahan apa pun ke dalam konfigurasi Anda.

Masalahnya kurang terlihat jika Anda memperbarui secara teratur.

Kami memiliki banyak sistem yang diperbarui setiap tiga bulan (setiap 3 bulan); dan sangat jarang melihat masalah dari pembaruan paket. (kecuali pada sistem yang melakukan hal-hal kernel aneh untuk mengakses LUN dari SAN)

Sementara ya, perlu waktu untuk memutakhirkan, Dan di rumah yang sama, akan butuh waktu untuk memulihkan jika terjadi kesalahan, Berapa banyak rasa sakit / penderitaan jika data pada sistem itu dihapus melalui exploit / hack?

Sebagian besar peningkatan dari repositori dasar CentOS aman untuk dipasang, Satu-satunya waktu saya mengalami masalah pembaruan dengan CentOS adalah ketika saya memulai / atau perlu menggunakan repositori luar (DAG, RPMForge, dll. Dll.)

The Terbaik Pengaturan untuk hal semacam ini adalah untuk memiliki sebuah server hot-swappable siap, sehingga Anda dapat menguji update pada sebelum penggelaran mereka ke server hidup.

Kedengarannya seperti Anda memerlukan administrator sistem yang sebenarnya untuk mengambil beberapa jam untuk memeriksa sistem Anda, perbarui dan pastikan semuanya berjalan kembali. Idealnya, Anda akan membuat orang ini datang dan melakukan ini untuk Anda beberapa kali sebulan. Sebuah server bukanlah instalasi-sekali-dan-lupakan-itu; itu membutuhkan layanan reguler.

Jika sistem ini sangat penting, maka pembaruan keamanan menjadi semakin penting. Pertimbangkan implikasinya jika sistem itu harus diturunkan untuk membangun kembali jika (kapan?) Paket yang ketinggalan zaman memungkinkan kompromi sistem. Idealnya, Anda akan memiliki server uji yang dikonfigurasi dengan cara yang sama yang dapat Anda perbarui terlebih dahulu, dan periksa untuk melihat apakah ada yang rusak.

Ketika Anda menerapkan pembaruan, Anda perlu memastikan beberapa hal:

1. Waktu pembaruan dipublikasikan kepada semua orang yang menggunakan sistem
2. Anda memiliki rencana tentang cara memperbarui dan menguji setiap aplikasi
3. Anda memiliki rencana untuk membatalkan pembaruan jika (kapan?) Pembaruan tersebut merusak aplikasi
4. Dan cadangan saat ini ada jika terjadi kesalahan

Seorang sysadmin yang baik akan memiliki pengalaman dalam pekerjaan semacam ini, dan seharusnya melakukan semua hal itu. Jika organisasi Anda memiliki, maka ini mungkin waktu untuk membuang administrasi sistem pada mereka. Atau jika Anda gugup melakukan hal ini sendiri, maka cari orang yang dikontrak untuk melakukan pemeliharaan rutin semacam ini. Either way, pembaruan perlu terjadi, karena Anda membuka diri Anda sendiri ke situasi yang jauh lebih buruk di telepon.

Inilah sebabnya mengapa hari ini, saya hampir tidak pernah menjalankan sistem produksi pada perangkat keras nyata. Saya menjalankannya di Mesin Virtual. Kemudian selama sedikit downtime (5 menit), saya menjalankan snapshot dari dalam ESX itu sendiri, atau jika saya menggunakan pengaturan Xen / Solaris / OpenVZ khusus, saya melakukan snapshot LVM dari gambar server. Saya kemudian mem-boot kembali yang asli, dan sekarang saya memiliki salinan yang bisa saya lakukan sesuai keinginan saya.

Yang mengatakan, mulai dengan memperbarui kernel, dan apache, dan kemudian bekerja mundur dari sana. Anda tidak harus mengambil daftar paket lengkap yang dilaporkan yum, tetapi vektor serangan teratas haruslah yang paling cepat Anda tambal.

Setiap kali saya memiliki sistem Linux yang diretas, itu karena saya meninggalkan apache, openssh, atau kernel itu sendiri belum ditambal.

Saya hanya akan memperbarui paket terkait keamanan.

Saya memiliki hal yang tepat muncul sekitar setahun yang lalu ... Saya melakukan pembaruan yum pada kotak CentOS, berjalan pada perangkat keras Dell dan menginstal kernel yang tidak bisa boot. Kotak itu belum memuat apa pun (kalau tidak saya akan lebih berhati-hati). Menghabiskan banyak waktu bermain-main dengan itu dan tampaknya ada beberapa ketidakcocokan antara kernel baru CentOS / Linux dan kotak Dell. Berhati-hatilah dengan pembaruan Anda. Saya masih merekomendasikan memperbarui karena ini adalah hal yang benar untuk dilakukan, tetapi bersiaplah untuk memulihkan dari sistem yang rusak!