Secara umum, pembaruan keamanan dianggap agak aman, terutama untuk distribusi dengan tujuan seperti RedHat. Fokus inti mereka adalah menciptakan lingkungan operasi yang konsisten. Karena itu pengelola cenderung memilih versi paket dan tetap menggunakannya untuk jangka waktu yang lama. Untuk melihat apa yang saya maksud melihat versi paket seperti seperti kernel
, python
, perl
, dan httpd
. Apa yang mereka juga lakukan adalah tambalan keamanan backport dari pengembang hulu. Jadi jika kerentanan keamanan ditemukan untuk semua versi Apache httpd 2.2.x maka yayasan Apache dapat merilis versi 2.2.40 dengan perbaikan, tetapi RedHat akan menggulung tambalan secara lokal dan melepaskannya httpd-2.2.3-80
dengan perbaikan.
Juga perlu diingat bahwa Anda saat ini berbicara tentang sistem RHEL5.7, rilis saat ini adalah 5.9. Beberapa vendor perangkat lunak hanya akan mendukung subreleases tertentu. Baru-baru ini saya menemukan satu perangkat lunak, misalnya, yang menurut vendor hanya berfungsi pada 5.4. Itu tidak berarti itu tidak akan berjalan pada 5.9, tetapi itu mungkin berarti bahwa mereka tidak akan memberikan dukungan apa pun jika tidak berhasil.
Ada juga kekhawatiran dengan melakukan pembaruan massal sistem yang belum ditambal dalam waktu yang lama. Yang terbesar yang saya temui sebenarnya lebih merupakan masalah manajemen konfigurasi yang hanya dapat diperburuk oleh pembaruan besar. Terkadang file konfigurasi diubah tetapi administrator tidak pernah memulai kembali layanan. Ini berarti bahwa konfigurasi pada disk tidak pernah diuji, dan konfigurasi yang berjalan mungkin tidak ada lagi. Jadi, jika layanan restart, yang akan terjadi setelah Anda menerapkan pembaruan kernel, itu mungkin tidak benar-benar restart. Atau mungkin bertindak berbeda setelah dihidupkan ulang.
Saran saya, lakukan pembaruan, tetapi cerdaslah tentang itu.
- Rencanakan saat jendela pemeliharaan. Jika tidak ada hal lain yang diperlukan oleh server untuk memulai ulang, ada sejumlah pembaruan kernel dan Anda harus reboot untuk menerapkannya.
- Pastikan untuk mengambil cadangan penuh sebelum melakukan apa pun. Ini bisa menjadi snapshotting, jika ini adalah VM, memicu cadangan penuh pada apa pun alat Anda, tarring
/
(ke sistem lain), mengambil dd
gambar drive, apa pun. Asal itu sesuatu yang bisa Anda pulihkan.
- Rencanakan bagaimana Anda menerapkan pembaruan. Anda tidak ingin menyerah begitu
yum update -y
saja dan berjalan pergi. Untuk semua hal baik yang dilakukan yum, ia tidak memesan saat menerapkan pembaruan sesuai dengan dependensi. Ini telah menyebabkan masalah di masa lalu. Saya selalu berlari yum clean all && yum update -y yum && yum update -y glibc && yum update
. Itu cenderung menangani sebagian besar masalah pemesanan potensial.
Ini mungkin juga saat yang tepat untuk mengganti platform. Kami sudah memiliki RHEL6 cukup lama sekarang. Bergantung pada apa yang dilakukan server ini, mungkin masuk akal untuk membiarkan yang satu ini berjalan apa adanya saat Anda memunculkan instance baru secara paralel. Kemudian setelah terinstal, Anda dapat menyalin semua data, menguji layanan, dan melakukan pemotongan. Ini juga akan memberi Anda kesempatan untuk mengetahui, dari bawah ke atas, bahwa sistemnya terstandarisasi, bersih, terdokumentasi dengan baik, dan semua jazz itu.
Apa pun yang Anda lakukan, saya merasa cukup penting bagi Anda untuk menerapkan sistem saat ini. Anda hanya perlu memastikan untuk melakukannya dengan cara yang memungkinkan Anda memercayai pekerjaan Anda dan produk jadi.
Dalam pengalaman saya, RHEL tidak merusak kompatibilitas dalam pembaruan rilis yang sama.
Namun, itu tidak akan meluas ke apa pun yang telah diinstal secara eksternal ke rpm.
Anda dapat menggunakan
rpm -qf
untuk menemukan file yang Anda duga dikompilasi eksternal, jika itu mengembalikan "tidak dimiliki oleh paket apa pun" maka Anda mungkin memiliki masalah dalam upgrade Anda.Saya akan mengambil gambar server dan melakukan upgrade, saya sedikit lebih jahat daripada kebanyakan.
sumber
/etc/yum.repos.d
ada beberapa repositori aneh yang dikonfigurasi ( EPEL harus aman), instalyum-utils
dan periksa output daripackage-cleanup --orphans
(paket yang diinstal yang tidak ada dalam repositori yang dikonfigurasi).