Di server EC2 saya, ketika saya melakukannya sudo apt-get update && sudo apt-get upgrade
, saya melihat:
The following packages have been kept back:
linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual
Haruskah saya teruskan dan lakukan sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual
untuk memaksa paket-paket ini ditingkatkan?
kernel
amazon-ec2
Adam Monsen
sumber
sumber
apt-get update && apt-get upgrade && apt-get dist-upgrade
. Itu akan meningkatkan paket yang ditahan.Jawaban:
Jawaban singkatnya adalah, ya, Anda harus memperbarui sistem Anda sehubungan dengan patch keamanan.
Bagaimana tepatnya Anda menjalankan patch keamanan tergantung pada toleransi Anda terhadap risiko. Berikut adalah beberapa opsi yang telah saya gunakan untuk menjawab pertanyaan ini di masa lalu:
Terapkan pemutakhiran ke serangkaian sistem QA yang meniru lingkungan produksi Anda dan jalankan semua uji regresi Anda untuk memastikan bahwa perubahan tidak merusak fungsionalitas apa pun atau menyebabkan masalah kinerja. Setelah Anda puas, gulirkan peningkatan ke sistem produksi Anda.
Tunggu sehari dan lihat apakah ada kemarahan publik tentang masalah yang disebabkan oleh pembaruan. Jika semuanya tampak damai, perbarui sistem produksi Anda.
Terapkan setiap tambalan keamanan pada sistem produksi Anda segera setelah tersedia.
Saya telah menggunakan kombinasi ketiga pendekatan ini menggunakan Ubuntu, dan secara bertahap telah bergerak menuju opsi 3 selama bertahun-tahun. Patch keamanan telah diuji secara mendalam sebelum dirilis dan sangat hati-hati untuk tidak merusak fungsionalitas yang ada. Saya tidak pernah mengalami masalah dalam memutakhirkan gambar yang didukung Ubuntu (meskipun saya pernah memiliki masalah tahun lalu ketika saya menggunakan kernel non-Ubuntu dengan Ubuntu di EC2).
Perhatikan bahwa memutakhirkan kernel juga membutuhkan reboot untuk menerapkan perubahan.
Pengalaman dan rekomendasi di atas hanya berlaku untuk memutakhirkan dalam rilis Ubuntu (misalnya, 11.04). Memutakhirkan ke rilis Ubuntu baru adalah tugas yang jauh lebih besar dan lebih berisiko dan tentunya memerlukan pengujian sebelum Anda meluncurkannya ke sistem produksi Anda.
Berikut adalah artikel tentang topik ini yang baru saja diterbitkan oleh RightScale tentang cara mengelola peningkatan keamanan di lingkungan mereka:
sumber