LINUX.ORG.RU
ФорумAdmin

Идеологический подход к обновлениям


0

1

Представим картину - необходимо поднять новый сервер, скажем, на дебиане. Устанавливаем, обновляем, настраиваем и забываем. Все хорошо, все работает. Проходит год - два. За это время вышла куча обновлений разных пакетов и тут встает вопрос - как быть? Если сделать update & upgrade, то есть вероятность что что-то пойдет не так или вообще не заработает. С другой стороны постоянно находят разные уязвимости и закрывают их патчами. Допустим что имеется боевой сервер к которому нет физического доступа и который постоянно обслуживает клиентов 24/7 - что делать? Оставить как есть или выставлять руками холд на каждый пакет? Так ведь их же десятки. Или постоянно мониторить секлаб и обновлять по одному пакету? Или может выпилить из списка реп дефолтные и вписать туда какие-то другие? Вообщем дискас.

работает - не трогай.

dada ★★★★★
()

Если прям вот 24/7 и даже двухминутный даунтайм (kexec+init) невозможен, то только через кластеризацию и обновление серверов по очереди.

leave ★★★★★
()
Ответ на: комментарий от leave

В принципе плановые работы предусматриваются, и редкие ребуты по крону ночью возможны. Но все равно обновлять страшновато.

wargasm
() автор топика

Обновляться надо своевременно.

Но есть две крайности:

1. «работает - не трогай.»

2. обновления по крону каждую ночь

Забавно, что люди из первой крайности (школьник поимел твой уютненький форум через дыру двухлетней давности) часто ударяются во вторую. А после того, как секьюрити апдейт внезапно роняет сервер посреди ночи с Пт на Сб, когда они бухают с друзьями на даче, они начинают задумываться о компромиссном подходе.

Что-то ставится на холд, что-то обновляют руками, что-то обновляется автоматически. Минусы - приходится читать, думать и вообще выполнять свою работу.

kdask
()
Ответ на: комментарий от wargasm

Неплохо бы еще иметь тестовый сервер для обкатки обновлений. Ну или как минимум изучить в интернете опыт коллег.

leave ★★★★★
()

Поднимаем тестовый сервер с полным набором пакетов и конфигов существующего, накатываем туда обновления, смотрим, есть ли грабли.
Если есть, решаем как обойти. Если нет, обновляем основной сервер.

blackst0ne ★★★★★
()
Ответ на: комментарий от blackst0ne

В идеале, конечно, с таким же железом, но можно и на виртуалке.

pekmop1024 ★★★★★
()

1. Обновлять необходимый минимум, только то, что касается безопасности или не даёт работать, или точно ни на что существенное не повлияет. 2. Обновлять если не по одному, то как можно меньшими пачками - вероятность появления проблем вырастет, но их влияние и сложность починки упадёт. 3. использовать «правильный» дистрибутив, с минимумом сторонних программ - т.ч. поставщики бы сами мониторили, исправляли, тестили, и тебе рассказывали только о результатах. 4. иметь резервный сервер/бекап/план отката и т.п.

DonkeyHot ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.