Вопросы Теги

Должен ли я обновить пакеты ядра на экземплярах EC2?

На моем сервере EC2, когда я делаю sudo apt-get update && sudo apt-get upgrade, я вижу: 

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Должен ли я пойти дальше и сделать sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual, чтобы принудительно обновить эти пакеты?

18
задан 4 December 2015 в 07:22

1 ответ

Краткий ответ: да, вы должны поддерживать свои системы в актуальном состоянии в отношении исправлений безопасности.

То, как именно вы выпускаете исправления безопасности, зависит от вашей терпимости к риску. Вот некоторые варианты, которые я использовал для ответа на этот вопрос в прошлом:

  1. Примените обновления к набору систем обеспечения качества, которые имитируют вашу производственную среду, и выполните все ваши регрессионные тесты, чтобы сделать Убедитесь, что изменения не нарушают функциональность и не вызывают проблем с производительностью. Как только вы будете удовлетворены, разверните обновления для ваших производственных систем.

  2. Подождите день и посмотрите, есть ли публичный протест по поводу проблем, вызванных обновлениями. Если все кажется мирным, обновите свои производственные системы.

  3. Примените каждое исправление безопасности на своих производственных системах, как только оно станет доступным.

Я использовал комбинацию всех трех из этих подходов, используя Ubuntu, и постепенно перешел к варианту 3 на протяжении многих лет. Перед выпуском исправления для системы безопасности проходят тщательную проверку, поэтому особое внимание уделяется тому, чтобы не нарушить существующую функциональность. У меня никогда не было проблем с обновлением образов, поддерживаемых Ubuntu (хотя у меня однажды была проблема несколько лет назад, когда я использовал не-Ubuntu ядро ​​с Ubuntu на EC2).

Обратите внимание, что обновление ядра также требует перезагрузки, чтобы применить изменения.

Приведенные выше опыт и рекомендации применимы только к обновлению в версии Ubuntu (например, 11.04). Обновление до новой версии Ubuntu - это гораздо более масштабная и рискованная задача, которая, безусловно, требует тестирования перед развертыванием ее в производственных системах.

Вот статья об этой теме, только что опубликованная RightScale, о том, как управлять обновлениями безопасности в их среде:

http://blog.rightscale.com/2011/09 / 28 / security-patching-in-the-rightscale-universe /

0
ответ дан 4 December 2015 в 07:22

Другие вопросы по тегам:

Похожие вопросы: