ฉันควรอัพเกรดแพ็คเกจเคอร์เนลในอินสแตนซ์ EC2 หรือไม่


18

บนเซิร์ฟเวอร์ EC2 ของฉันเมื่อฉันทำsudo apt-get update && sudo apt-get upgradeฉันเห็น:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

ฉันควรจะไปข้างหน้าและทำsudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualเพื่อบังคับให้อัพเกรดแพ็คเกจเหล่านี้หรือไม่?


3
apt-get update && apt-get upgrade && apt-get dist-upgradeหรือทำ ที่จะอัพเกรดแพ็คเกจที่ค้างอยู่
Mark Russell

คำตอบ:


18

คำตอบสั้น ๆ คือใช่คุณควรปรับปรุงระบบของคุณให้ทันสมัยด้วยแพตช์รักษาความปลอดภัย

ความปลอดภัยของคุณขึ้นอยู่กับการยอมรับความเสี่ยงของคุณ ต่อไปนี้เป็นตัวเลือกที่ฉันเคยตอบคำถามนี้ในอดีต:

  1. ใช้การอัปเกรดกับชุดของระบบควบคุมคุณภาพที่เลียนแบบสภาพแวดล้อมการผลิตของคุณและรันการทดสอบการถดถอยทั้งหมดเพื่อให้แน่ใจว่าการเปลี่ยนแปลงนั้นจะไม่ทำลายฟังก์ชันการทำงานใด ๆ หรือทำให้เกิดปัญหาประสิทธิภาพการทำงาน เมื่อคุณพอใจแล้วให้อัพเกรดการอัพเกรดเป็นระบบการผลิตของคุณ

  2. รอวันและดูว่ามีคนร้องโวยวายเกี่ยวกับปัญหาที่เกิดจากการปรับปรุง หากทุกคนดูสงบสุขอัพเกรดระบบการผลิตของคุณ

  3. ใช้โปรแกรมปรับปรุงความปลอดภัยทุกระบบกับระบบการผลิตของคุณทันทีที่มีให้ใช้งาน

ฉันใช้ทั้งสามวิธีนี้ร่วมกันโดยใช้ Ubuntu และค่อยๆเปลี่ยนไปใช้ตัวเลือก 3 เป็นเวลาหลายปี แพทช์รักษาความปลอดภัยจะถูกทดสอบอย่างหนักก่อนวางจำหน่ายและใช้ความระมัดระวังอย่างยิ่งเพื่อไม่ทำลายฟังก์ชันการทำงานที่มีอยู่ ฉันไม่เคยมีปัญหาในการอัพเกรดภายในอิมเมจที่รองรับ Ubuntu (แม้ว่าฉันเคยมีปัญหาเมื่อหลายปีก่อนเมื่อฉันใช้เคอร์เนลที่ไม่ใช่ Ubuntu กับ Ubuntu บน EC2)

โปรดทราบว่าการอัพเกรดเคอร์เนลยังต้องรีบูตเพื่อใช้การเปลี่ยนแปลง

ประสบการณ์และคำแนะนำข้างต้นนำไปใช้กับการอัปเกรดภายในรุ่นของUbuntu เท่านั้น (เช่น 11.04) การอัพเกรดเป็นUbuntu รุ่นใหม่เป็นงานที่มีขนาดใหญ่และเสี่ยงกว่าและต้องทำการทดสอบก่อนที่จะนำไปใช้กับระบบการผลิตของคุณ

ต่อไปนี้เป็นบทความในหัวข้อที่เผยแพร่โดย RightScale เกี่ยวกับวิธีจัดการการอัปเกรดความปลอดภัยในสภาพแวดล้อมของพวกเขา:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/


3
คำตอบที่ดี. อาจเพิ่มหมายเหตุว่าการอัพเกรดเคอร์เนลเป็นไปได้จริง ๆบนอินสแตนซ์ที่ได้รับการสนับสนุน EBS หรือไม่ ยังคงเป็นกรณีนี้หรือไม่?
Mark Russell

3
ทำเครื่องหมาย: มันเคยเป็นความจริงที่ว่าอินสแตนซ์ที่เก็บอินสแตนซ์ไม่สามารถอัพเกรดเมล็ดของพวกเขาได้ แต่ด้วยการเปิดตัวของ paravirtualization ในขณะที่หลังเมล็ดที่แท้จริงสามารถเก็บไว้ใน AMI และไม่ใช่ AKI ซึ่งหมายความว่าอินสแตนซ์สามารถอัพเกรดเคอร์เนลบนโวลุ่ม EBS ท้องถิ่นและให้มันติดหลังจากรีบูตแม้ว่ามันจะใช้ AKI เดียวกัน ฉันเพิ่งทดสอบกับ Ubuntu 11.04 (us-east-1 ami-e2af508b) และอินสแตนซ์ที่เก็บอินสแตนซ์เกิดขึ้นกับเคอร์เนลรุ่นใหม่ที่ถูกต้องหลังจากการอัพเกรดและรีบูต
Eric Hammond

2
การแก้ไขความคิดเห็นก่อนหน้าของฉัน: "อินสแตนซ์สามารถอัพเกรดเคอร์เนลบนไดรฟ์ข้อมูลระดับรากของอินสแตนซ์สโตร์ภายในเครื่องและติดไว้"
Eric Hammond
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.