18 votos

Es importante reiniciar Linux después de una actualización del kernel?

Tengo un par de la producción de Fedora y Debian servidores web que alojan nuestros sitios, así como de shell de usuario de cuentas de (utilizados para git vcs trabajo, algunos de pantalla+irssi sesiones, etc).

De vez en cuando una nueva actualización del kernel vendrá abajo de la tubería en yum/apt-get, y me preguntaba si la mayoría de las correcciones son lo suficientemente graves como para justificar un reinicio, o si puedo aplicar las correcciones sin reiniciar.

Nuestro principal servidor de desarrollo en la actualidad cuenta con 213 días de tiempo de actividad, y no estaba seguro de si era inseguro para ejecutar un kernel anterior.

14voto

Avery Payne Puntos 11379

Esta es una función de la actualización - si corrige un priv. la escalada que se traduce en el acceso root, entonces es posible que desee aplicar.

11voto

Kristof Provost Puntos 12359

La mayoría de las actualizaciones no requieren un reinicio, pero las actualizaciones de Kernel hacer (realmente no se puede reemplazar el kernel sin reiniciar).

Una cosa que he descubierto es que si el servidor ha estado funcionando durante mucho tiempo sin necesidad de reiniciar, es más probable que quieran hacer comprobaciones de disco (fsck) cuando se reinicie el sistema, y esto puede aumentar significativamente el tiempo que se tarda en volver a correr de nuevo. Mejor es prever esto y un plan para ello.

También he descubierto que los cambios de configuración puede conseguir a veces perdido, y no se dio cuenta hasta que un reinicio (tales como la adición de nuevas direcciones IP/iptables las reglas, etc) Esto también se suma a la "riesgo de tiempo de inactividad" al reiniciar con poca frecuencia.

El mejor plan para un tiempo de inactividad cuando se hace un reinicio, o si esto no es una opción deseable, establecer sus servidores hasta en grupos de manera que los reinicios se puede hacer si es necesario.

8voto

Dana the Sane Puntos 7976

Si usted sólo necesita las actualizaciones de seguridad y no un nuevo núcleo completo, usted puede estar interesado en Ksplice - permite parche ciertas actualizaciones del kernel en un núcleo en ejecución.

5voto

ExCaliburTR Puntos 1

No hay una respuesta simple a esto, algunos kernel actualizaciones no están realmente relacionados con la seguridad, y algunos pueden corregir problemas de seguridad que no le afectan a usted, mientras que otros pueden afectar a usted.

Mejor enfoque de la omi es firmar para arriba para los de seguridad pertinentes listas de correo como ubuntu security-announce , de modo que usted puede ver cuando los parches de seguridad que están saliendo a la luz, y cómo podrían afectar a usted.

También me gustaría considerar la posibilidad de apticron o similar para obtener los detalles y cambios de cualquier otro paquete de actualizaciones.

4voto

Zoredache Puntos 84524

No hay nada realmente especial acerca de tener un largo tiempo de funcionamiento. Generalmente es mejor tener un sistema seguro. Todos los sistemas necesitan actualizaciones en algún momento. Usted probablemente ya la aplicación de actualizaciones, ¿cronograma de cortes al aplicar las actualizaciones? Usted debe probablemente sólo en caso de que algo va mal. Un reinicio no que mucho tiempo realmente.

Si su sistema es tan sensible a las interrupciones del servicio, usted probablemente debería estar pensando en algún tipo de agrupación en clústeres de instalación para actualizar un único miembro del clúster sin llevar todo hacia abajo.

Si usted no está seguro acerca de una actualización en particular es probablemente más seguro para programar un reinicio y aplicarlo (preferiblemente después de las pruebas en otro sistema similar).

Si usted está interesado en aprender acerca de si la actualización es importante tomarse el tiempo para leer el aviso de seguridad y siga los enlaces de vuelta a la CVE o los postes/listas/blogs describiendo el problema. Esto debería ayudarle a decidir si la actualización se aplica en su caso.

Incluso si usted no cree que esto se aplica aún debe considerar la posibilidad de actualizar su sistema con el tiempo. La seguridad es un enfoque por capas. Usted debe asumir que en algún momento esas otras capas puede fallar. También, puede que se olvide de que usted tiene un sistema vulnerable porque se ha saltado una actualización cuando se cambia la configuración en algún momento posterior en el tiempo.

De todos modos si quieres ignorar o esperar un rato sobre actualización en sistemas basados en Debian se puede poner el paquete en espera. Personalmente me gusta poner mantiene en todos los paquetes del kernel por si acaso.

CLI método para establecer una retención de un paquete en sistemas basados en Debian.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: