“Nunca pegue atualizações do kernel” - Alguma verdade nisso?

3

Então, estou tendo uma conversa com um colega de trabalho hoje e ele deixou algo que achei estranho, já que estou me preparando para aplicar atualizações de segurança em um dos nossos servidores de produção.

"Você nunca deve aplicar atualizações do kernel." Sua linha de raciocínio é que você não sabe se vai quebrar algum dos módulos vinculados, o que poderia subsequentemente fazer com que partes do aplicativo se quebrassem. Eu compraria isso se, talvez, o que quer que você estivesse executando exigisse que você construísse módulos de kernel personalizados - mas para seus aplicativos padrão isso é realmente uma preocupação? FWIW a caixa em questão executa um servidor web e um banco de dados apache.

Eu sou da opinião de que a aplicação regular de atualizações de segurança é necessária para proteger contra falhas e que o risco que ele identificou é superado pelo benefício de ter um kernel atualizado em seu ambiente de produção.

    
por tdk2fe 17.04.2013 / 22:49

2 respostas

8

É por isso que você tem um laboratório, um ambiente de desenvolvimento ou teste ou teste que se assemelha ou representa seu ambiente de produção. Algumas máquinas carregadas com o mesmo sistema operacional, níveis de patch e aplicativos, idealmente ... para que você possa ter certeza de que todos e quaisquer patches serão compatíveis com o software que você está executando em produção.

Patches são lançados porque corrigem bugs, problemas de segurança, problemas de desempenho, etc.

A menos que você não queira consertar essas coisas ... aplique todos os seus patches. Depois de , você os executa em seu ambiente de testes para garantir que eles sejam seguros.

PS para diversão: Linus publicamente rasgou um pouco o cara porque um patch do kernel quebrava a compatibilidade com um aplicativo usermode. É aparentemente seu lema (e um princípio comum de design de SO) que os patches do kernel devem se esforçar para nunca quebrar interfaces externas.

    
por 17.04.2013 / 22:59
0

Na verdade, estamos atualizando o Kernel nos dias de hoje. Hoje, só fizemos atualizações do Kernel para 50 VMs em execução no nosso data center do Texas. Esta atualização do kernel é muito importante, pois está relacionada ao erro "leap second" em aplicativos Java. Nós temos aplicações Java rodando no Redhat 6.2 e há um problema se o segundo bissexto é introduzido (meio do ano e fim do ano), os aplicativos entram em pânico e ficam completamente sem resposta. Portanto, estamos atualizando todos os hosts Redhat / CentOS 6.2 antes do meio do ano para evitar esse erro novamente. A atualização do kernel foi lançada pela Redhat Corporation e é uma atualização muito importante. Gostaríamos de fazer isso bem antes do meio do ano, quando um segundo bissexto é introduzido.

Você testa sua atualização do kernel primeiro em um ambiente de teste e vê se ela quebra alguma coisa. Você simplesmente não executa nenhuma atualização em um ambiente de produção.

    
por 18.04.2013 / 04:11