Saya bertanggung jawab untuk mengelola server produksi kami (mail, web, database semuanya pada satu server) dan server pengujian kami. Keduanya dibangun di atas Debian. Namun karena saya sangat baru dalam administrasi sistem, saya hanya menginstal pembaruan ketika saya menemukan hal-hal yang harus diperbarui sehingga saya dapat memiliki fitur yang lebih baru dan mendapatkan perbaikan bug. Ini proses yang sangat ad hoc sekarang, dan saya ingin membuatnya kurang begitu.
Jadi saya bertanya-tanya bagaimana orang yang tahu apa yang mereka lakukan menangani ini? Seberapa sering Anda melakukan peningkatan pada server Anda? Apakah proses peningkatan berbeda antara pengujian dan produksi? Apakah Anda selalu memutakhirkan server pengujian terlebih dahulu? Dan apakah Anda melakukan pembaruan penuh dari semua perangkat lunak, atau apakah Anda hanya menginstal pembaruan yang dipilih?
Di atas jawaban sebelumnya - beberapa hal yang lebih khusus tentang Debian: Anda harus Berlangganan debian-security-announce dan debian-announce dan / atau periksa halaman Keamanan Debian .
sumber
Dengan asumsi Anda menjalankan rilis stabil Debian, sebagian besar tambalan akan terkait keamanan atau bug yang berarti bahwa tidak akan ada terlalu banyak perubahan besar antara versi paket yang diberikan. Menurut patch kebijakan debian patch juga harus dalam pengujian untuk beberapa waktu sebelum dipindahkan ke cabang stabil oleh pengelola. Jelas ini tidak akan menghentikan kerusakan saat menambal tetapi harus mencegahnya dalam banyak kasus.
Adalah bijaksana untuk memastikan bahwa server pengujian Anda selalu diperbarui dan paket apa pun yang memiliki bug yang mempengaruhi Anda dan server Anda harus selalu diperbarui. Semua paket yang memiliki nasihat keamanan terhadap mereka harus diperbarui segera setelah Anda tahu tambalannya stabil.
Debian biasanya OS yang sangat stabil dan bukan salah satu yang harus Anda khawatirkan dengan kerusakan, namun selalu baca apa yang akan diperbarui sebelum diperbarui dan perhatikan apa pun yang tampak aneh. Saya menggunakan VCS pada / etc / dir saya juga untuk memastikan bahwa perubahan file konfigurasi dapat dilihat dengan perintah 'git diff'.
sumber
Saya melakukan dry run (pertama) untuk melihat apa yang akan diperbarui. Terkadang, pustaka (sebut saja libfoo untuk contoh ini) mengubah API mereka, yang memecah sendiri program yang kami tulis / instal. Jika beberapa pustaka kritis diperbarui, saya mengambil sumber dan mencoba membangun kembali barang-barang kami sebelum memperbarui.
Saya juga memeriksa untuk melihat bahwa kami tidak melompat ke versi perantara dari beberapa layanan publik, yaitu apache, dll. Saya lebih suka tinggal satu tahun di belakang dan tidak mengalami kerusakan acak, kecuali pembaruan sangat penting.
Jika Anda seorang administrator sistem, Anda harus menarik RSS feed dari situs-situs seperti Secunia , yang seharusnya memberi tahu Anda sebelumnya jika distro Anda akan mendorong beberapa tambalan.
Jangan pernah, hanya upgrade / pembaruan secara membabi buta. Sayangnya, tugas mengetahui apa yang rusak jatuh pada Anda, bukan manajer paket distro Anda, terutama jika sistem Anda mendukung pemrogram.
sumber
Di tempat saya bekerja, kami memiliki proses yang cukup luas yang melibatkan penggunaan perangkat lunak yang disebut PatchLink untuk memberi tahu kami tentang pembaruan terkait keamanan yang paling penting, dan kami menerapkannya setelah pengujian, berdasarkan paket demi paket. Kami memiliki ribuan server.
Jika Anda hanya memiliki dua server prosesnya harus jauh lebih sederhana. Meskipun saya tidak berpikir melakukan "pembaruan apt-get / upgrade" adalah taruhan terbaik Anda.
Saya akan memantau tambalan untuk perangkat lunak yang Anda jalankan, dan membuat keputusan berdasarkan perbaikan pada rilis tersebut kapan harus memutakhirkan.
Karena Anda memiliki server uji, tentu saja selalu uji pembaruan sebelum menerapkannya.
sumber
Pembaruan manual paling baik seperti yang disebutkan di sini dalam arti bahwa Anda dapat melihat apa yang terjadi. Namun, untuk sejumlah besar server yang mungkin menjadi tidak praktis. Dry run adalah praktik standar, pada kenyataannya, sebagian besar manajer paket akan bertanya kepada Anda sebelum melanjutkan.
Memperbarui secara teratur cenderung menjadi yang terbaik meskipun itu bisa sedikit menyeimbangkan tindakan. Pembaruan yang sering berarti lebih sedikit dalam satu gerakan dan lebih sedikit kesalahan sekaligus. Jika ada kesalahan, ada lebih sedikit kandidat untuk diperiksa. Paket-paket juga sedikit lebih baik dalam memperbarui dalam langkah-langkah yang lebih kecil, seperti umumnya ketika programmer memperbarui mereka sedang mempertimbangkan untuk beralih dari versi terakhir ke berikutnya, apakah mereka akan memberikan perhatian di luar versi terakhir dapat bervariasi, meskipun ini cenderung penting sebagian besar untuk perangkat lunak yang berkembang pesat.
Tidak semua pembaruan tidak mengganggu. Anda harus berhati-hati dalam hal ini. Beberapa akan memulai kembali layanan yang mengarah ke waktu henti.
Dalam pengaturan ideal Anda mungkin memiliki yang berikut ini:
Beberapa di antaranya mungkin berlebihan hingga berbagai tingkat untuk pengaturan kecil tetapi harus diingat.
Secara umum, pembaruan biasanya relatif tidak menyakitkan untuk distro server. Ini karena mereka hampir selalu hanya menempel pada perbaikan bug dan pembaruan keamanan. Namun Anda mungkin memiliki masalah jika orang telah melakukan hal-hal aneh pada sistem atau Anda menambahkan sumber paket tambahan.
Meskipun cukup jarang, mereka kadang-kadang membuat kesalahan dan merusak kompatibilitas antara versi paket kecil.
sumber
Saya suka cron-apt untuk mengotomatiskan proses ini, tetapi seperti @dinomite menunjukkan pertanyaan lain tentang pembaruan, mengonfigurasinya secara khusus untuk mengotomatiskan pembaruan terkait keamanan adalah ide yang sangat cerdas - Anda kemudian dapat memperbarui secara manual apa yang Anda butuhkan. Saya telah menggunakan cron-apt untuk semua pembaruan tetapi sebenarnya mengubah ini berdasarkan jawabannya. Jika Anda suka, Anda mungkin harus memilih jawabannya daripada yang ini.
sumber
Pada debian saya menginstal cron-apt dan mengedit file konfigurasinya untuk mengirimi saya email jika ada perubahan. dengan cara ini saya mendapatkan pemberitahuan jika ada pembaruan untuk sistem saya dan melakukan pembaruan dengan tangan
sumber
Sepanjang baris yang sama seperti cron-apt Anda harus melihat pada paket upgrade tanpa pengawasan http://packages.debian.org/lenny/unattended-upgrades .
Sangat mudah untuk mengkonfigurasi dan akan memungkinkan Anda untuk memiliki pembaruan keamanan diunduh dan diterapkan secara otomatis tetapi meninggalkan pembaruan lain untuk peningkatan manual (atau atas kebijakan Anda, perbarui semuanya!).
Panduan Resmi Server Ubuntu, memiliki bagian yang cukup terperinci yang mencakup penggunaan paket peningkatan tanpa pengawasan https://help.ubuntu.com/9.04/serverguide/C/automatic-updates.html
Catatan: tergantung pada tingkat kehati-hatian / paranoia Anda dapat melakukan upgrade bergulir pada sekelompok server pengujian terlebih dahulu, maka jika tidak ada masalah, izinkan kotak produksi Anda untuk memperbarui, walaupun saya pribadi belum menemukan masalah dengan pembaruan keamanan menghancurkan kerusakan sejauh ini (mengetuk kayu) ...
Ada juga opsi konfigurasi untuk mengirimi Anda hasil dari setiap pembaruan keamanan juga, setelah diterapkan. Juga, jika ada dialog atau prompt interaktif yang disajikan selama pembaruan, yang akan membutuhkan penyesuaian manual oleh sysadmin, itu akan menyebutkan ini juga.
sumber
Saya pribadi mematikan pembaruan otomatis dan tidak secara teratur melakukan segala jenis pembaruan paket pada server di lingkungan saya, kecuali: (a) ada penasihat CERT yang penting untuk salah satu paket pada sistem saya; (B) Saya perlu memperbarui paket individu untuk alasan tertentu; (c) OS atau paket mencapai akhir siklus, mereka tidak akan didukung lagi dan kami harus terus memiliki dukungan. Alasan saya adalah meningkatkan tanpa mengetahui apa yang sedang diubah atau mengapa meninggalkan terlalu banyak ruang untuk sesuatu yang melanggar. Saya telah melakukan hal-hal seperti ini selama 14 tahun dan ini bekerja dengan baik.
sumber
Selain hal-hal yang disebutkan, Anda harus menggunakan beberapa jenis alat pemantauan (Nagios atau apa pun yang mengapung perahu Anda) untuk memberi tahu Anda tentang pembaruan.
Sejauh seringnya: Begitu ada pembaruan tersedia!
sumber