На моем сервере EC2, когда я делаю sudo apt-get update && sudo apt-get upgrade
, я вижу:
The following packages have been kept back:
linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual
Должен ли я пойти дальше и сделать sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual
, чтобы принудительно обновить эти пакеты?
Краткий ответ: да, вы должны поддерживать свои системы в актуальном состоянии в отношении исправлений безопасности.
То, как именно вы выпускаете исправления безопасности, зависит от вашей терпимости к риску. Вот некоторые варианты, которые я использовал для ответа на этот вопрос в прошлом:
Примените обновления к набору систем обеспечения качества, которые имитируют вашу производственную среду, и выполните все ваши регрессионные тесты, чтобы сделать Убедитесь, что изменения не нарушают функциональность и не вызывают проблем с производительностью. Как только вы будете удовлетворены, разверните обновления для ваших производственных систем.
Подождите день и посмотрите, есть ли публичный протест по поводу проблем, вызванных обновлениями. Если все кажется мирным, обновите свои производственные системы.
Примените каждое исправление безопасности на своих производственных системах, как только оно станет доступным.
Я использовал комбинацию всех трех из этих подходов, используя Ubuntu, и постепенно перешел к варианту 3 на протяжении многих лет. Перед выпуском исправления для системы безопасности проходят тщательную проверку, поэтому особое внимание уделяется тому, чтобы не нарушить существующую функциональность. У меня никогда не было проблем с обновлением образов, поддерживаемых Ubuntu (хотя у меня однажды была проблема несколько лет назад, когда я использовал не-Ubuntu ядро с Ubuntu на EC2).
Обратите внимание, что обновление ядра также требует перезагрузки, чтобы применить изменения.
Приведенные выше опыт и рекомендации применимы только к обновлению в версии Ubuntu (например, 11.04). Обновление до новой версии Ubuntu - это гораздо более масштабная и рискованная задача, которая, безусловно, требует тестирования перед развертыванием ее в производственных системах.
Вот статья об этой теме, только что опубликованная RightScale, о том, как управлять обновлениями безопасности в их среде:
http://blog.rightscale.com/2011/09 / 28 / security-patching-in-the-rightscale-universe /
blockquote>