Jika Anda menjalankan pembaruan otomatis

Saya menjalankan server web produksi Centos. Saya ingin tahu apa praktik terbaik untuk menjalankan pembaruan. Haruskah saya mengotomatiskan ini dengan yum-cron atau yum-updatesd? Atau apakah ada bahaya pembaruan situs yang rusak sehingga akan lebih baik untuk memperbarui pada server pengujian dan kemudian menjalankan pembaruan secara manual setiap minggu?

Sebagian besar server hanya menggunakan repositori resmi tetapi beberapa memiliki repositori atom untuk modul PHP yang tidak tersedia. Apa yang terbaik dalam hal ini? dapatkah saya menetapkan yum agar hanya menggunakan Atomic untuk modul PHP? Saya tidak ingin semuanya memperbarui ke hal-hal yang berdarah di Atomic, saya akan lebih percaya Centos (atau benar-benar Red Hat) untuk menjaga server saya stabil dan aman.

Ada pro dan kontra untuk kedua cara, dan Anda benar-benar perlu bekerja melalui arsitektur sistem Anda untuk mengetahui cara mana yang terbaik untuk Anda. Rute mana pun yang Anda ambil, Anda harus memahami mengapa Anda memilih metode itu dan apa kerugiannya sehingga Anda bisa menggantinya.

Berikut beberapa hal yang perlu dipertimbangkan:

• Pembaruan keamanan harus selalu diterapkan dengan satu atau lain cara, dan lebih cepat daripada nanti. Jika server Anda tidak mendapatkan pembaruan keamanan yang diterapkan tepat waktu dengan alasan apa pun, perbaiki kebiasaan sysadmin Anda.

• Pembaruan distro biasanya baik, terutama jika berasal dari sumber resmi. Jika Anda merasa tidak nyaman menerapkannya, mungkin Anda tidak menggunakan distro terbaik untuk kebutuhan Anda. Anda harus menggunakan distro yang cocok dengan metodologi Anda. Dengan kata lain, yang bisa Anda percayai pemutakhirannya adalah demi kepentingan terbaik Anda. Jika mereka bergerak terlalu cepat atau membuat perubahan perangkat lunak yang merusak barang-barang Anda, Anda mungkin harus menggunakan distro yang berbeda.

• Pembaruan dapat merusak barang-barang Anda. Pindah ke perangkat lunak yang lebih baru dapat merusak kode Anda jika Anda menggunakan fitur-fitur usang atau hanya menulis hal-hal buruk. Anda harus mempertimbangkan arsitektur sistem yang memungkinkan Anda menguji produk Anda pada pembaruan sebelum menjalankannya pada sistem produksi.

• Jika Anda menggunakan fitur pembaruan otomatis, Anda harus selalu memiliki cara untuk memutar kembali ke konfigurasi kerja yang diketahui. Snapshots sistem penuh dapat menjadi penyelamat jika beberapa pembaruan memecah produk Anda pada sistem produksi.

Ini bukan daftar lengkap, hanya beberapa hal untuk membuat Anda berpikir. Pada akhirnya, ini bukan keputusan yang bisa dibuat orang lain untuk Anda. Anda adalah admin. Ketahui sistem Anda. Kenalilah distro Anda.

Saya setuju 100% dengan apa yang sudah dikatakan Caleb. Beberapa takikan khusus CentOS lainnya dari saya:

Distribusi didasarkan pada RedHat dan tambalannya. Tambalan tersebut diuji sangat baik dan dalam 4 tahun terakhir di mana kami telah menggunakan CentOS 5 dengan 50+ server, tidak pernah ada tambalan yang buruk.

TETAPI: Meskipun kami menerapkan semua tambalan setiap hari secara otomatis ke server yang hanya menjalankan hal-hal distribusi, kami mem-boot server produksi (setelah pembaruan glibc atau kernel) hanya setelah kami menjalankan sistem pengujian kami dalam konfigurasi itu beberapa hari.

Untuk repositori lain, kami mirror ini ke direktori pementasan. Tambalan ini diterapkan ke server uji terlebih dahulu. Jika terbukti tidak ada yang rusak, kami mengaktifkan direktori pementasan dan menyalinnya ke repositori produksi.

Penambalan otomatis memiliki efek samping yang sering ditambal komponen yang ditambal ulang - jadi jika Anda salah mengonfigurasi mereka setelah permulaan, restart akan gagal ..