จำเป็นต้องรีบูท Linux หลังจากอัพเดตเคอร์เนลหรือไม่?


19

ฉันมีเว็บเซิร์ฟเวอร์ผู้ผลิต Fedora และ Debian สองสามตัวที่โฮสต์ไซต์ของเรารวมถึงบัญชีเชลล์ผู้ใช้ (ใช้สำหรับการทำงาน vcs git, หน้าจอ + เซสชัน irssi ฯลฯ )

ในบางครั้งการอัปเดตเคอร์เนลใหม่จะลงมาในyum/ apt-getและฉันสงสัยว่าการแก้ไขส่วนใหญ่จะรุนแรงพอที่จะรับประกันการรีบูตหรือถ้าฉันสามารถใช้การแก้ไขการรีบูตได้

เซิร์ฟเวอร์การพัฒนาหลักของเราในปัจจุบันมีเวลาการทำงาน 213 วันและฉันไม่แน่ใจว่ามันไม่ปลอดภัยในการใช้งานเคอร์เนลรุ่นเก่ากว่านี้หรือไม่


คุณควรแยกพื้นที่การผลิตจริง ๆ (เปิดเผยค่อนข้างปลอดภัยและมีความสำคัญต่อความปลอดภัยควรรับการอัพเดททันที) จากการเรียกใช้ repos git (อาจเป็นเพียงผู้ใช้ที่ไว้วางใจได้ แต่ต้องปลอดภัย) และเซสชันทั่วไปของหน้าจอ VMs ราคาถูก!
poolie

คำตอบ:


24

ไม่มีอะไรพิเศษจริงๆเกี่ยวกับการมีเวลาที่ยาวนาน โดยทั่วไปแล้วจะดีกว่าถ้ามีระบบที่ปลอดภัย ระบบทั้งหมดจำเป็นต้องมีการปรับปรุงในบางจุด คุณอาจกำลังใช้การอัปเดตอยู่แล้วคุณกำหนดเวลาการหยุดทำงานเมื่อคุณใช้การอัปเดตเหล่านั้นหรือไม่ คุณอาจจะควรในกรณีที่มีบางอย่างผิดปกติ การรีบูตไม่ควรใช้เวลามากขนาดนั้น

หากระบบของคุณมีความไวสูงต่อการหยุดทำงานคุณอาจต้องคิดถึงการตั้งค่าการจัดกลุ่มบางประเภทเพื่อให้คุณอัปเดตสมาชิกกลุ่มเดียวโดยไม่ทำให้ทุกอย่างพัง

หากคุณไม่แน่ใจเกี่ยวกับการอัปเดตใด ๆ โดยเฉพาะอาจจะปลอดภัยกว่าในการกำหนดเวลาการรีบู๊ตและใช้งานมัน (โดยเฉพาะอย่างยิ่งหลังจากการทดสอบบนระบบอื่นที่คล้ายคลึงกัน)

หากคุณสนใจที่จะเรียนรู้ว่าการอัปเดตนั้นสำคัญหรือไม่โปรดอ่านประกาศความปลอดภัยและติดตามลิงก์กลับไปที่CVEหรือโพสต์ / รายการ / บล็อกที่อธิบายถึงปัญหา สิ่งนี้จะช่วยให้คุณตัดสินใจได้ว่าการอัพเดทจะมีผลกับกรณีของคุณหรือไม่

แม้ว่าคุณจะไม่คิดว่าเหมาะสมคุณควรพิจารณาปรับปรุงระบบของคุณในที่สุด ความปลอดภัยเป็นวิธีการแบ่งชั้น คุณควรถือว่า ณ เวลาใดเวลาหนึ่งเลเยอร์อื่น ๆ อาจล้มเหลว นอกจากนี้คุณอาจลืมว่าคุณมีระบบที่มีช่องโหว่เพราะคุณข้ามการอัปเดตเมื่อคุณเปลี่ยนการกำหนดค่าในเวลาต่อมา

อย่างไรก็ตามถ้าคุณต้องการที่จะเพิกเฉยหรือรอสักครู่ในการปรับปรุงบนระบบที่ใช้เดเบียนคุณสามารถระงับแพ็กเกจได้ โดยส่วนตัวผมชอบที่จะวางเคอร์เนลแพ็คเกจทั้งหมดในกรณี

เมธอด CLI เพื่อตั้งค่าการพักบนแพ็กเกจบนระบบที่ใช้ Debian

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

1
ไม่ใช่ว่าเราจะต้องเปิดอยู่ตลอดเวลา แต่ผู้ใช้บางคนของเรามีช่วงเปิด (เช่น IRC) ที่น่ารำคาญ (จากมุมมองของผู้ใช้) เพื่อเริ่มต้นใหม่
lfaraone

12

การอัปเดตส่วนใหญ่ไม่ต้องการการรีบูต แต่การอัปเดตเคอร์เนลจะทำ (คุณไม่สามารถแทนที่เคอร์เนลที่กำลังรันอยู่ได้โดยไม่ต้องรีบูตเครื่อง)

สิ่งหนึ่งที่ฉันค้นพบคือถ้าเซิร์ฟเวอร์ของคุณทำงานมาเป็นเวลานานโดยไม่ต้องรีบูตเครื่องมีแนวโน้มที่จะต้องการตรวจสอบดิสก์ (fsck) เมื่อคุณรีบูตและอาจเพิ่มความสำคัญให้กับเวลาที่ใช้ในการรับกลับ ทำงานอีกครั้ง ดีที่สุดที่จะคาดการณ์สิ่งนี้และวางแผนสำหรับมัน

ฉันได้ค้นพบว่าการเปลี่ยนแปลงการกำหนดค่าบางครั้งอาจทำให้พลาดได้และจะไม่ถูกสังเกตจนกว่าจะรีบูต (เช่นการเพิ่มที่อยู่ IP ใหม่ / กฎ iptables ฯลฯ ) สิ่งนี้เพิ่มความเสี่ยง "ของการหยุดทำงาน" เมื่อรีบูตนาน ๆ

ดีที่สุดในการวางแผนสำหรับการหยุดทำงานเมื่อทำการรีบูท - หรือหากนี่ไม่ใช่ตัวเลือกที่ต้องการให้ตั้งค่าเซิร์ฟเวอร์ของคุณในกลุ่มเพื่อให้สามารถรีบูตได้ถ้าจำเป็น


8

หากคุณต้องการอัพเดตความปลอดภัยและไม่ใช่เคอร์เนลใหม่ทั้งหมดคุณอาจสนใจKspliceซึ่งช่วยให้คุณสามารถอัปเดตเคอร์เนลอัพเดตบางตัวในเคอร์เนลที่กำลังรันอยู่


Oracle Linux เท่านั้น: |
rogerdpack

3

ไม่มีคำตอบง่ายๆนี้การอัพเกรดเคอร์เนลบางตัวไม่เกี่ยวข้องกับความปลอดภัยและอาจแก้ไขปัญหาความปลอดภัยที่ไม่ส่งผลกระทบต่อคุณในขณะที่คนอื่นอาจส่งผลกระทบต่อคุณ

วิธีที่ดีที่สุดคือการลงทะเบียนรายการจดหมายข่าวความปลอดภัยที่เกี่ยวข้องเช่นประกาศความปลอดภัยของอูบุนตูเพื่อให้คุณสามารถเห็นได้ว่าจะมีการเผยแพร่ความปลอดภัยเมื่อใดและมีผลกระทบต่อคุณอย่างไร

ฉันจะพิจารณาapticronหรือคล้ายกันเพื่อรับรายละเอียดและการเปลี่ยนแปลงของการอัปเดตแพ็คเกจอื่น ๆ


2

นี่คือฟังก์ชั่นของการอัพเดท - ถ้ามันแก้ไข Priv การเพิ่มที่ส่งผลให้เกิดการเข้าถึงรูทจากนั้นคุณอาจต้องการใช้มัน


2

ในกรณีที่คุณไม่รีบูตคุณควรตรวจสอบให้แน่ใจว่าเคอร์เนลใหม่ไม่ใช่ค่าเริ่มต้นที่จะเริ่มต้นในการบูต

สิ่งสุดท้ายที่คุณต้องการคือเคอร์เนลที่ยังไม่ผ่านการทดสอบสำหรับการใช้งานจริงหลังจากการรีสตาร์ทโดยไม่ได้วางแผน


1

ตามที่กล่าวไว้ mibus ถ้าคุณติดตั้งเคอร์เนลและไม่รีบูตตรวจสอบให้แน่ใจว่าไม่ใช่ค่าเริ่มต้น คุณไม่รู้ว่าเซิร์ฟเวอร์ของคุณกำลังจะกลับมาหรืออยู่ในสถานะใดหรือไม่ดังนั้นตรวจสอบให้แน่ใจว่าได้ทำการทดสอบแล้ว

ที่ถูกกล่าวว่าฉันคิดว่ามันเป็นเรื่องดีที่จะได้รับเป็นนิสัยของการรีบูตเครื่องเป็นประจำเมื่อค่อนข้างเป็นไปได้ ความล้มเหลวของฮาร์ดแวร์และซอฟต์แวร์จำนวนมากจะปรากฏให้เห็นเฉพาะเมื่อรีบูทและควรหาข้อมูลเกี่ยวกับสิ่งเหล่านั้นเมื่อคุณวางแผนที่จะรีบู๊ตแทนที่จะเป็นช่วงที่ระบบหยุดทำงานโดยไม่ได้วางแผน


0

โปรดทราบว่าการปรับปรุงเคอร์เนลเดเบียนบางอันต้องการ (แนะนำเป็นอย่างยิ่ง) ให้คุณรีบูต ASAP หลังจากที่คุณใช้มัน

ในกรณีนี้เมื่อความแตกต่างไม่เพียงพอที่จะรับประกันการเปลี่ยนไดเรกทอรีโมดูล แต่โมดูลอาจแตกต่างกัน

คุณจะได้รับการเตือนจาก Debian เมื่อคุณติดตั้งแพคเกจเคอร์เนลดังกล่าว

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.