Haruskah saya memutakhirkan paket kernel pada instance EC2?

18

Di server EC2 saya, ketika saya melakukannya sudo apt-get update && sudo apt-get upgrade, saya melihat:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Haruskah saya teruskan dan lakukan sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualuntuk memaksa paket-paket ini ditingkatkan?

Adam Monsen
sumber
3
Atau lakukan apt-get update && apt-get upgrade && apt-get dist-upgrade. Itu akan meningkatkan paket yang ditahan.
Mark Russell

Jawaban:

18

Jawaban singkatnya adalah, ya, Anda harus memperbarui sistem Anda sehubungan dengan patch keamanan.

Bagaimana tepatnya Anda menjalankan patch keamanan tergantung pada toleransi Anda terhadap risiko. Berikut adalah beberapa opsi yang telah saya gunakan untuk menjawab pertanyaan ini di masa lalu:

  1. Terapkan pemutakhiran ke serangkaian sistem QA yang meniru lingkungan produksi Anda dan jalankan semua uji regresi Anda untuk memastikan bahwa perubahan tidak merusak fungsionalitas apa pun atau menyebabkan masalah kinerja. Setelah Anda puas, gulirkan peningkatan ke sistem produksi Anda.

  2. Tunggu sehari dan lihat apakah ada kemarahan publik tentang masalah yang disebabkan oleh pembaruan. Jika semuanya tampak damai, perbarui sistem produksi Anda.

  3. Terapkan setiap tambalan keamanan pada sistem produksi Anda segera setelah tersedia.

Saya telah menggunakan kombinasi ketiga pendekatan ini menggunakan Ubuntu, dan secara bertahap telah bergerak menuju opsi 3 selama bertahun-tahun. Patch keamanan telah diuji secara mendalam sebelum dirilis dan sangat hati-hati untuk tidak merusak fungsionalitas yang ada. Saya tidak pernah mengalami masalah dalam memutakhirkan gambar yang didukung Ubuntu (meskipun saya pernah memiliki masalah tahun lalu ketika saya menggunakan kernel non-Ubuntu dengan Ubuntu di EC2).

Perhatikan bahwa memutakhirkan kernel juga membutuhkan reboot untuk menerapkan perubahan.

Pengalaman dan rekomendasi di atas hanya berlaku untuk memutakhirkan dalam rilis Ubuntu (misalnya, 11.04). Memutakhirkan ke rilis Ubuntu baru adalah tugas yang jauh lebih besar dan lebih berisiko dan tentunya memerlukan pengujian sebelum Anda meluncurkannya ke sistem produksi Anda.

Berikut adalah artikel tentang topik ini yang baru saja diterbitkan oleh RightScale tentang cara mengelola peningkatan keamanan di lingkungan mereka:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Eric Hammond
sumber
3
Jawaban yang bagus. Mungkin menambahkan catatan bahwa memutakhirkan kernel hanya benar-benar mungkin pada instance yang didukung EBS? Itu masih terjadi, bukan?
Mark Russell
3
Mark: Dulu benar bahwa instance-store instance tidak dapat memiliki kernel mereka di-upgrade di tempat, tetapi dengan rilis paravirtualization beberapa waktu lalu, kernel sebenarnya dapat disimpan pada AMI dan bukan AKI. Ini berarti bahwa instance dapat memutakhirkan kernel pada volume EBS lokal dan membuatnya tetap setelah reboot meskipun menggunakan AKI yang sama. Saya baru saja menguji ini dengan Ubuntu 11.04 (us-east-1 ami-e2af508b) dan instance-store instance muncul dengan kernel baru yang benar setelah dist-upgrade dan reboot.
Eric Hammond
2
koreksi ke komentar saya sebelumnya: "instance dapat meng-upgrade kernel pada volume root store-instance lokal dan memilikinya tetap"
Eric Hammond