Mantendo meu servidor de produção atualizado

Navegue suas respostas
3

Eu tenho um servidor web de produção (CentOS 6.5) e eu só queria saber como manter essas atualizações atualizadas de atualizações de segurança e estáveis.

Por exemplo, é seguro interms de não quebrar nada no servidor se eu executar este comando? 

su -c '/sbin/chkconfig --level 345 yum on; /sbin/service yum start'

Isso aparentemente atualiza o servidor automaticamente todos os dias.

Como o CentOS é suportado por 10 anos, eu vou querer fazer uso disso.

    
por oshirowanen 11.01.2014 / 11:55

4 respostas

3

Como os outros expressaram, você geralmente não deseja ativar as atualizações automáticas em um servidor de produção. Em vez disso, você tem 2 alternativas.

Método 1

Se o serviço oferecido for tolerante a algumas interrupções periódicas, você poderá fazer o que chamo de "atualizações in loco". É aqui que você faz uma análise superficial das atualizações disponíveis.

Exemplo 

$ yum list updates
Loaded plugins: auto-update-debuginfo, langpacks, refresh-packagekit
Updated Packages
clutter.x86_64                                                               1.14.4-6.fc19                                                     updates
kdelibs.x86_64                                                               6:4.11.5-1.fc19                                                   updates
kdelibs-common.x86_64                                                        6:4.11.5-1.fc19                                                   updates
mutter.x86_64                                                                3.8.4-2.fc19                                                      updates
nautilus.x86_64                                                              3.8.2-2.fc19                                                      updates
nautilus-extensions.x86_64                                                   3.8.2-2.fc19                                                      updates

Depois, passo em consideração e considero cada atualização e se o serviço em execução na caixa será ou não tolerante a essa atualização. Muitas vezes, o aplicativo screen ou outros pacotes secundários receberão atualizações, geralmente seu serviço não depende diretamente deles, e por isso eu faço isso sem muita preocupação.

Outras atualizações, como o Apache, podem ser dependentes diretos e, portanto, eu escrevo muito mais. Com frequência, reviso os registros de empacotamento para ver o que mudou e também refino os changelogs dessa versão específica do pacote on-line.

Alterações nos pacotes prestes a serem atualizados: 

$ sudo yum update nautilus-extensions.x86_64 --changelog
...
...
updates/19/x86_64/other_db                                                                                                     | 5.8 MB  00:00:02     
ChangeLog for: nautilus-3.8.2-2.fc19.x86_64, nautilus-extensions-3.8.2-2.fc19.x86_64
* Mon Dec  9 07:00:00 2013 Matthias Clasen <[email protected]> - 3.8.2-2
- Fix transparency issues with the desktop background
- Fix transparency issues with editable labels
...
...
Upgrade  1 Package (+1 Dependent package)

Total download size: 2.6 M
Is this ok [y/d/N]: n
Exiting on user command
Your transaction was saved, rerun it with:
 yum load-transaction /tmp/yum_save_tx.2014-01-11.08-36.3JpVYN.yumtx

O yum plugin yum-changelog é o que facilita essa saída adicional durante uma atualização. 

$ sudo yum install yum-changelog

Método # 2

A abordagem mais apropriada para serviços intolerantes a interrupções é a configuração de uma área "temporária", que é um sistema idêntico com a mesma configuração. Você pode aplicar as atualizações lá e garantir que elas funcionem corretamente.

Quando eles forem certificados, você poderá aplicá-los com segurança ao seu sistema de produção.

    
por 11.01.2014 / 14:48
2

Esta é a questão que tenho lutado ultimamente, mas como acho que os ataques contra as vulnerabilidades comuns estão aumentando hoje em dia, decidi agendar o yum-cron para rodar em nossos servidores todo fim de semana em que o uso de aplicativos de negócios é mínimo. Caso algo aconteça, ainda há chance de se recuperar antes do pico do horário comercial. Com a distribuição da Red Hat, a situação é melhor, pois somente atualizações de segurança podem ser aplicadas automaticamente, minimizando a quantidade de pacotes instalados.

Mas de qualquer forma eu usei o yum-cron agora por alguns meses e não enfrentei nenhum problema até agora, lembre-se de usar software de monitoramento como o Nagios ou o Zabbix para ver se alguma parte do sistema não está rodando como deveria. Eu sugiro que você teste seus servidores fazendo atualizações manuais e veja se tudo corre bem.

    
por 11.01.2014 / 12:41
1

Você NUNCA SEMPRE deseja atualizar automaticamente um servidor de produção na minha opinião. Nem atualizações críticas.

Primeiro teste de que as atualizações não quebram nada em seu ambiente de teste e, em seguida, empurre-as para a produção. a verificação de atualizações pode ser feita com um software de monitoramento como o Nagios, para contornar o problema "Eu não sabia".

    
por 11.01.2014 / 12:17
0

Não é uma boa ideia colocar a opção de atualização automática em qualquer servidor de produção Linux. Por isso, é melhor instalar as atualizações manualmente, quais são realmente as necessidades.

    
por 11.01.2014 / 12:38

Tags

O que “i” e “v” indicam na saída do zypper? fdisk (modo expert) opções