Para atualizar yum? Ou não?

Solução rápida e suja (ie. Administrador de campo de batalha):

1. Leve seu sistema offline (espero que você possa) e faça um backup do NortonGhost (ou algo similar) para um segundo disco rígido.

2. Inicialize o segundo disco rígido (para ter certeza de que o seu backup realmente funciona) e faça a atualização do yum nessa unidade.

3. Se tudo funcionar ... parabéns!

4. Se ele estragar alguma coisa ... vá em frente e insira sua unidade ORIGINAL e crie um "Plano B".

ATUALIZAÇÃO:

Pensei em mencionar que a verdadeira questão aqui é: "Eu atualizo meu sistema waaaay desatualizado e arrisco a bagunçar tudo?" ou "Eu deixo meu sistema de trabalho perfeitamente bom sem correção e arrisco ter ele pirateado / comprometido?"

A resposta é ... depois de ter o seu sistema corrigido através dos passos acima ... tente manter-se atualizado fazendo o backup frequente e corrigindo-o frequentemente.

Então você terá o melhor dos dois mundos. ; -)

Sim, atualize.

O RHEL (e, portanto, o CentOS) tem o cuidado de não atualizar as versões para nada incompatível, em vez disso, corrige correções e correções de segurança, portanto as mudanças reais nos pacotes são mínimas e razoavelmente improváveis de causar problemas de compatibilidade.

Se algum arquivo de configuração foi alterado, os pacotes irão informá-lo sobre um arquivo .rpmorig ou .rpmnew que é criado. Depende da configuração do próprio RPM. Você pode procurar por avisos sobre qualquer um dos que estão sendo criados e colocar sua configuração antiga de volta (" cp foo foo.bak; cp foo.rpmorig foo ") ou olhar para os arquivos .rpmnew e incorporar quaisquer alterações em sua configuração.

O problema é menos perceptível se você atualizar regularmente.

Temos muitos sistemas que são atualizados trimestralmente (a cada 3 meses); e muito raramente ver quaisquer problemas de atualizações de pacotes. (exceto em sistemas que fazem coisas estranhas no kernel para acessar LUNs de uma SAN)

Embora sim, levaria tempo para atualizar, E no mesmo solar, levaria tempo para restaurar se algo desse errado, Quanta dor / sofrimento seria se os dados naquele sistema fossem deletados através de uma exploração / hackear?

Para a maior parte das atualizações dos repositórios de base do CentOS é seguro para instalar, A única vez que tive problemas de atualização com o CentOS é quando eu inicio / ou preciso usar um repositório externo (DAG, RPMForge, Ect ect .. )

A configuração Melhor para esse tipo de coisa é ter um servidor hot-swap pronto, para que você possa testar as atualizações nele antes de implementá-las no servidor ativo.

Parece que você precisa de um administrador de sistema real para levar algumas horas para examinar seu sistema, atualizá-lo e garantir que tudo funcione novamente. Idealmente, você teria essa pessoa vindo e fazer isso por você algumas vezes por mês. Um servidor é não uma coisa de instalar uma única vez e esquecer-de-fazer; precisa de serviço regular.

Se esse sistema é tão importante, as atualizações de segurança se tornam ainda mais importantes. Considere as implicações se esse sistema tiver que ser removido para uma reconstrução se (quando?) Um pacote desatualizado permitir um comprometimento do sistema. Idealmente, você teria um servidor de teste configurado de maneira semelhante, que você poderia atualizar primeiro e verificar se algo quebra.

Quando você aplica atualizações, precisa ter certeza de algumas coisas:

1. O tempo de atualização é divulgado para todos que usam o sistema
2. Você tem um plano sobre como atualizar e testar cada aplicativo
3. Você tem um plano de como desfazer as atualizações se (quando?) a atualização quebrar o aplicativo
4. E os backups atuais existem no caso de algo dar errado

Um bom administrador de sistema teria experiência nesse tipo de trabalho, e deveria estar fazendo todas essas coisas de qualquer maneira. Se a sua organização tiver alguma, então este pode ser o momento de eliminar a administração do sistema neles. Ou se você está nervoso de fazer isso sozinho, então procure contratar alguém contratado para fazer esse tipo de manutenção de rotina. De qualquer maneira, as atualizações precisam acontecer, já que você está se abrindo para uma situação muito pior.

É por isso que hoje quase nunca executo sistemas de produção em hardware real. Eu os executo em máquinas virtuais. Então, durante um curto período de inatividade (5 minutos), executo um instantâneo de dentro do próprio ESX ou, se estiver usando uma configuração personalizada do Xen / Solaris / OpenVZ, faço um instantâneo do LVM da imagem do servidor. Eu inicializo o backup original, e agora eu tenho uma cópia que posso fazer com o que eu quiser.

Dito isso, comece com a atualização do kernel e do apache e, em seguida, trabalhe de trás para frente a partir dele. Você não precisa pegar a lista completa de pacotes que o yum reporta, mas os principais vetores de ataque devem ser aqueles que você corrige o mais rápido possível.

Toda vez que eu tive um sistema Linux hackeado, é porque eu deixei o apache, o openssh ou o próprio kernel sem correção.

Gostaria apenas de atualizar os pacotes relacionados à segurança.

Eu tive exatamente a mesma coisa que aconteceu há um ano atrás ... Eu fiz a atualização do yum na caixa do CentOS, rodando em hardware da Dell e ele instalou um kernel que não inicializaria. A caixa ainda não tinha nada carregado (caso contrário, eu teria sido mais cauteloso). Passou muito tempo mexendo com isso e parece que há alguma incompatibilidade entre os kernels mais recentes do CentOS / Linux e aquela caixa da Dell. Seja muito cauteloso com suas atualizações. Eu ainda recomendo atualizar como é a coisa certa a fazer, mas esteja preparado para se recuperar de um sistema descartado!