*** จำเป็นต้องรีสตาร์ทระบบด่วนแค่ไหนเพื่อความปลอดภัย?

เพื่อเรียนรู้การดูแลเซิร์ฟเวอร์นิดหน่อยฉันได้ติดตั้งเซิร์ฟเวอร์ Ubuntu 14.04 อย่างง่าย ๆ ที่ฉันใช้งานเว็บไซต์ส่วนตัว ฉันได้ตั้งค่าให้ติดตั้งการอัปเดตความปลอดภัยโดยอัตโนมัติ แต่ไม่ได้อัปเดตอื่น ๆ ดูเหมือนว่าจะทำงานได้ดี บางครั้งฉันได้รับข้อความเมื่อลงชื่อเข้าใช้เซิร์ฟเวอร์ (ด้วย ssh) ว่า:

*** System restart required ***

เวลานี้เกิดขึ้นฉันรีบูต Ubuntu ง่ายและทั้งหมดก็ดี ไม่เป็นไรเพราะเป็นเว็บไซต์ส่วนตัวที่เรียบง่าย สิ่งที่ฉันสงสัยเกี่ยวกับการทำงานกับเว็บเซิร์ฟเวอร์ซึ่งควรเพิ่มขึ้น 99.9999etc% ของเวลาหรือไม่ พวกเขาไม่รีสตาร์ทและเสี่ยงต่อความปลอดภัยเนื่องจากระบบไม่ได้ติดตั้งโปรแกรมปรับปรุงความปลอดภัย (ซึ่งฉันนึกไม่ออก) หรือพวกเขาจะหยุดทำงานเพื่อรับ (ซึ่งฉันไม่สามารถจินตนาการอย่างใดอย่างหนึ่ง)?

ฉันควรจัดการสิ่งนี้อย่างไรถ้านี่เป็นเซิร์ฟเวอร์การผลิตที่สำคัญมากซึ่งฉันต้องการติดตามและใช้งาน? ยินดีต้อนรับเคล็ดลับทั้งหมด!

[แก้ไข] ฉันรู้ว่าฉันสามารถทำได้cat /var/run/reboot-required.pkgsเพื่อแสดงรายการแพ็คเกจที่เป็นสาเหตุของการรีบูต คำสั่งให้ผลดังต่อไปนี้:

linux-image-3.13.0-36-generic
linux-base
dbus
linux-image-extra-3.13.0-36-generic
linux-base

แต่ฉันจะรู้ได้อย่างไรว่าการปรับปรุงเป็นเรื่องเล็กน้อยว่าฉันมีช่องโหว่ด้านความปลอดภัยที่ร้ายแรงหรือไม่ถ้าฉันไม่รีสตาร์ท?

[แก้ไข 2] โอเคตอนนี้ฉันรวมคำสั่งที่ฉันพบว่ามีประโยชน์เป็นหนึ่งเดียว:

xargs aptitude changelog < /var/run/reboot-required.pkgs | grep urgency=high

หากสิ่งนี้ไม่ส่งออกอะไรแสดงว่าไม่มีปัญหาด้านความปลอดภัยที่มีความเร่งด่วนสูง

หนึ่งคำถามสุดท้ายแม้ว่า: มีlow, mediumและhighเพียงความเป็นไปได้เร่งด่วนหรือมีใด ๆ เพิ่มเติมเช่นตัวอย่างcriticalหรือextremelyimportant?

ไม่มีคำตอบง่ายๆขึ้นอยู่กับการอัพเดตที่ทำ หากเคอร์เนลมีปัญหาด้านความปลอดภัยที่ร้ายแรงคุณควรรีสตาร์ทโดยเร็วที่สุด หากเคอร์เนลมีการแก้ไขเล็กน้อยเพียงอย่างเดียวการรีสตาร์ทอาจถูกเลื่อนออกไป

หากคุณรับประกันความพร้อมใช้งาน> 99.9% คุณจะมีระบบคลัสเตอร์เกือบทุกครั้งที่คุณสามารถรีบูตโหนดทีละตัวโดยไม่รบกวนบริการ

ดังนั้นคุณรีบูตระบบแรกและเชื่อมต่อเข้ากับคลัสเตอร์อีกครั้ง จากนั้นครั้งที่สองเป็นต้น จากนั้นบริการจะไม่สามารถใช้งานได้

addon สำหรับการแก้ปัญหาหัวข้อ

ฉันทำการตรวจสอบที่คล้ายกันสำหรับ 'ความต้องการรีบูต' สำหรับระบบการตรวจสอบ zabbix

ฉันเห็น 2 ปัญหาในโซลูชัน 'หัวข้อ':

1. ความถนัดมักจะทำงานได้ไม่ดีในสคริปต์ ฉันฆ่าไม่กี่ชั่วโมง แต่ก็ยังไม่ได้ทำงานกับ zabbix
2. หากมีการเปลี่ยนแปลงเพียง 1 รายการเท่านั้นที่มีการอัปเดตอย่างเร่งด่วนเช็คของคุณจะแสดงผลลัพธ์ที่เป็นบวกเสมอ

ตรรกะของฉันคือ:

1. ตรวจสอบการเปลี่ยนแปลงล่าสุดใน changelog สำหรับทุกแพ็คเกจที่ต้องรีบูตระบบ
2. ในฐานะที่เป็นผลผลิตแสดงเฉพาะการปรับปรุงลำดับความสำคัญสูงสุด

การใช้เอกสาร Debianฉันพบค่าที่เป็นไปได้ 5 ค่าสำหรับ 'ความเร่งด่วน' และความจริงที่ว่ามันสามารถตามด้วยอักขระ ("=") หรือเครื่องหมายอัฒภาค (":") เท่ากัน นอกจากนี้ยังสามารถมีอักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก

ดังนั้นฉันจึงจบลงด้วยการดังต่อไปนี้:

#!/bin/bash
##################################
# Zabbix monitoring script
#
# Checking urgency in changelog 
# for updates which require system restart
#
##################################
# Contact:
#  anton.lugovoi@yandex.ru
##################################
# ChangeLog:
#  20151205    initial creation
#  20151208    check uniq packages only 
##################################

case "$1" in

status)
    if [ -f /var/run/reboot-required ]; then
      echo 1
    else
      echo 0
    fi 
    ;;

urgency)
    if [ -f /var/run/reboot-required.pkgs ]; then
      while read pkg; do
        tmp=`/usr/bin/apt-get changelog $pkg | \
             /bin/grep -m1 -ioP '(?<=[Uu]rgency[=:])(low|medium|high|emergency|critical)' | \
             tr '[:upper:]' '[:lower:]'`
        if [ -n $tmp ]; then
          if   [ "$tmp" == "low" ] && \
               [ "$urgency" != "medium" ] && \
               [ "$urgency" != "high" ] && \
               [ "$urgency" != "emergency" ] && \
               [ "$urgency" != "critical" ]; then 
            urgency=low
          elif [ "$tmp" == "medium" ] && \
               [ "$urgency" != "high" ] && \
               [ "$urgency" != "emergency" ] && \
               [ "$urgency" != "critical" ]; then 
            urgency=medium
          elif [ "$tmp" == "high" ] && \
               [ "$urgency" != "emergency" ] && \
               [ "$urgency" != "critical" ]; then 
            urgency=high
          elif [ "$tmp" == "emergency" ] && \
               [ "$urgency" != "critical" ]; then 
            urgency=emergency
          elif [ "$tmp" == "critical" ]; then 
            urgency=critical
            break
          fi
        fi 
      done < <(sort -u /run/reboot-required.pkgs)
    else
      urgency=none
    fi

    case "$urgency" in
        none)      urgency=0 ;;
        low)       urgency=1 ;;
        medium)    urgency=2 ;;
        high)      urgency=3 ;;
        emergency) urgency=4 ;;
        critical)  urgency=5 ;;
        *)         urgency=42 ;;
    esac

    echo $urgency
    ;;
esac
exit 0

ผลที่ตามมา:

• reboot_required_check.sh status ผลตอบแทนที่ 1 หากจำเป็นต้องรีบูต 0 ถ้าไม่ได้
• reboot_required_check.sh urgency ส่งกลับระดับ 'เร่งด่วน' สูงสุดหรือ '0' หากไม่จำเป็นต้องรีบูต

หวังว่าจะช่วยให้ใครบางคนประหยัดเวลา;)

สิ่งที่ฉันสงสัยเกี่ยวกับการทำงานกับเว็บเซิร์ฟเวอร์ซึ่งควรเพิ่มขึ้น 99.9999etc% ของเวลาหรือไม่ พวกเขาไม่รีสตาร์ทและเสี่ยงต่อความปลอดภัยเนื่องจากระบบไม่ได้ติดตั้งโปรแกรมปรับปรุงความปลอดภัย (ซึ่งฉันนึกไม่ออก) หรือพวกเขาจะหยุดทำงานเพื่อรับ (ซึ่งฉันไม่สามารถจินตนาการอย่างใดอย่างหนึ่ง)?

เว็บเซิร์ฟเวอร์ขนาดใหญ่จะถูกรีสตาร์ทเมื่อ* ต้องการการรีสตาร์ทระบบ *เพื่อเหตุผลด้านความปลอดภัย

แต่นี่เป็นสิ่งที่โปร่งใสสำหรับผู้ใช้และไซต์ไม่เคยหยุดนิ่งเพราะเซิร์ฟเวอร์ขนาดใหญ่มักจะเรียกใช้เซิร์ฟเวอร์สองหรือสามเครื่องที่จัดเก็บไฟล์เดียวกันและแสดงเว็บไซต์เดียวกัน เซิร์ฟเวอร์แรกเป็นเซิร์ฟเวอร์หลักในขณะที่อีกสองเซิร์ฟเวอร์เป็นเซิร์ฟเวอร์รองและจะใช้เฉพาะเมื่อเซิร์ฟเวอร์หลักไม่ทำงาน