49 votos

Con qué Frecuencia debo Actualizar nuestro Servidor Linux?

Soy responsable de la gestión de nuestro servidor de producción (mail, web, base de datos están en un servidor) y nuestro servidor de prueba. Ambos están construidos en Debian. Sin embargo como soy muy nuevo sistema de gobierno, no sólo se han de instalar las actualizaciones como he llegado a través de las cosas que tienen que ser actualizados para que yo pueda tener características más recientes y obtener correcciones de errores. Su bastante procedimiento ad hoc en este momento, y me gustaría hacer menos.

Así que me estoy preguntando cómo las personas que saben lo que están haciendo manejar esto? ¿Con qué frecuencia realizar actualizaciones en los servidores? Es el proceso de actualización diferente entre la prueba y la producción? ¿Siempre actualizar los servidores de prueba primero? Y hacer una actualización completa de todo el software, o solo instalar las actualizaciones seleccionadas?

13voto

Kristof Provost Puntos 12359

Puedo ejecutar apt-get update-q; apt-get upgrade-duyq diaria. Esto va a buscar actualizaciones, pero no de forma automática.

A continuación, puede ejecutar las actualizaciones manualmente, mientras que yo estoy viendo, y puede corregir cualquier cosa que pueda ir mal.

Además de los problemas de seguridad en el mantenimiento de un sistema de parcheado, me parece que si me deja demasiado tiempo entre los parches, que terminan con un montón de paquetes que desea ser actualizado, y eso me asusta mucho más que la actualización de uno o dos cada semana o así. Por lo tanto tiendo a ejecutar mis actualizaciones semanales, o si son de alta prioridad, a diario. Esto tiene la ventaja añadida de saber que paquete rompió su sistema (es decir. si sólo se está actualizando un par a la vez)

Yo siempre actualizar menos crítico de los sistemas de primera. También tengo un "plan de recuperación" en el lugar en caso de que no se puede corregir el sistema. (ya que la mayoría de nuestros servidores virtuales, este plan de recuperación generalmente consiste en tomar una instantánea antes de la actualización que me puede volver a utilizar si es necesario)

Dicho esto, creo que una actualización se ha roto algo sólo una vez o dos veces en los últimos 4 años, y eso fue un gran nivel de personalización del sistema - así que usted no tiene que ser DEMASIADO paranoico :)

6voto

Scott Gottreu Puntos 1253

Suponiendo que usted está ejecutando la versión estable de Debian, la mayoría de las manchas de seguridad o bug relacionado con lo que quiere decir que no habrá demasiados cambios importantes entre las versiones de cada paquete. De acuerdo a la debian de la política de parches los parches también han estado en pruebas durante algún tiempo antes de ser trasladado a la rama estable por el mantenedor. Obviamente, Esto no deja de roturas al aplicar parches, pero debe evitar que en la mayoría de los casos.

Sería prudente para asegurarse de que su prueba de sever se mantiene hasta la fecha y los paquetes que tienen errores que afectan a usted y a sus servidores debe ser mantenido hasta la fecha. Todos los paquetes que tengan los avisos de seguridad en contra de ellos debe ser actualizada tan pronto como usted sabe que el parche es estable.

Debian es muy estable OS y no debe estar demasiado preocupado con roturas en sin embargo siempre leer lo que va a ser actualizado antes de que se actualicen y mantener un ojo hacia fuera para cualquier cosa que parezca extraño. Yo uso VCS en mi /etc/ dir para asegurarse de que cualquier archivo de configuración, los cambios pueden ser vistos con un 'git diff' comando.

6voto

lepole Puntos 1588

En debian puedo instalar cron-apt y editar su archivo de configuración para enviarme un correo electrónico si hay algún cambio. de esta manera me avisan si hay actualizaciones para mi de los sistemas y hacer las actualizaciones a mano

2voto

WerkkreW Puntos 4212

Donde yo trabajo tenemos un muy amplio proceso que implica el uso de un software llamado PatchLink para que nos avise de las más importantes relacionados con la seguridad de las actualizaciones, y se aplica después de las pruebas, en un paquete a paquete. Tenemos miles de servidores, aunque.

Si sólo dispone de dos servidores, el proceso debe ser mucho más simple. Aunque no creo que hacer un "apt-get update/upgrade" es su mejor apuesta.

Me gustaría monitor de parches para el software que está utilizando, y tomar decisiones basadas en las revisiones de las versiones en cuando para actualizar.

Puesto que usted tiene un servidor de prueba, obviamente, siempre la prueba de la actualización antes de la aplicación.

1voto

Alotor Puntos 3438

En la parte superior de las respuestas anteriores - un par más concretamente Debian cosas: usted debe Suscribirse a debian-security-announce y debian-anunciar y / o de verificación de la Seguridad de Debian página.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: