Devo atualizar pacotes do kernel em instâncias do EC2?

18

No meu servidor EC2, quando eu faço sudo apt-get update && sudo apt-get upgrade , vejo:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Devo ir em frente e fazer sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual para forçar a atualização desses pacotes?

    
por Adam Monsen 04.10.2011 / 20:52

1 resposta

18

A resposta curta é sim, você deve manter seus sistemas atualizados em relação aos patches de segurança.

Como exatamente você implementa os patches de segurança depende da sua tolerância ao risco. Aqui estão algumas opções que usei para responder a essa pergunta no passado:

  1. Aplique as atualizações a um conjunto de sistemas de controle de qualidade que imitam seu ambiente de produção e execute todos os seus testes de regressão para garantir que as alterações não interrompam nenhuma funcionalidade nem causem problemas de desempenho. Quando estiver satisfeito, implemente as atualizações em seus sistemas de produção.

  2. Espere um dia e veja se há um clamor público sobre os problemas causados pelas atualizações. Se tudo parece pacífico, atualize seus sistemas de produção.

  3. Aplique todos os patches de segurança em seus sistemas de produção assim que estiverem disponíveis.

Eu usei uma combinação de todas essas três abordagens usando o Ubuntu e gradualmente passei para a opção 3 ao longo dos anos. Os patches de segurança são altamente testados antes de serem lançados e muito cuidado é tomado para não quebrar a funcionalidade existente. Eu nunca tive um problema ao atualizar dentro das imagens suportadas pelo Ubuntu (embora eu tenha tido um problema anos atrás quando eu estava usando um kernel não-Ubuntu com o Ubuntu no EC2).

Observe que a atualização do kernel também requer uma reinicialização para aplicar as alterações.

A experiência e as recomendações acima aplicam-se apenas à atualização dentro de uma versão do Ubuntu (por exemplo, 11.04). Atualizar para um novo lançamento do Ubuntu é uma tarefa muito maior e mais arriscada e definitivamente requer testes antes de implementá-lo em seus sistemas de produção.

Veja um artigo sobre esse tópico que acabou de ser publicado pela RightScale sobre como gerenciar atualizações de segurança em seu ambiente:

  

link

    
por Eric Hammond 04.10.2011 / 22:53