Идеологический подход к обновлениям

0

1

Представим картину - необходимо поднять новый сервер, скажем, на дебиане. Устанавливаем, обновляем, настраиваем и забываем. Все хорошо, все работает. Проходит год - два. За это время вышла куча обновлений разных пакетов и тут встает вопрос - как быть? Если сделать update & upgrade, то есть вероятность что что-то пойдет не так или вообще не заработает. С другой стороны постоянно находят разные уязвимости и закрывают их патчами. Допустим что имеется боевой сервер к которому нет физического доступа и который постоянно обслуживает клиентов 24/7 - что делать? Оставить как есть или выставлять руками холд на каждый пакет? Так ведь их же десятки. Или постоянно мониторить секлаб и обновлять по одному пакету? Или может выпилить из списка реп дефолтные и вписать туда какие-то другие? Вообщем дискас.

Ссылка

←	[pptp] Modem hangup

Webacula 5.5.1

→

http://www.debian.org/security/

</thread>

~~r2d2~~
(13.03.12 13:34:11 MSK)

Ссылка

работает - не трогай.

dada ★★★★★
(13.03.12 14:22:46 MSK)

Ссылка

Если прям вот 24/7 и даже двухминутный даунтайм (kexec+init) невозможен, то только через кластеризацию и обновление серверов по очереди.

leave ★★★★★
(13.03.12 14:43:12 MSK)

Ответ на: комментарий от leave 13.03.12 14:43:12 MSK

В принципе плановые работы предусматриваются, и редкие ребуты по крону ночью возможны. Но все равно обновлять страшновато.

wargasm
(13.03.12 14:50:27 MSK) автор топика

Обновляться надо своевременно.

Но есть две крайности:

1. «работает - не трогай.»

2. обновления по крону каждую ночь

Забавно, что люди из первой крайности (школьник поимел твой уютненький форум через дыру двухлетней давности) часто ударяются во вторую. А после того, как секьюрити апдейт внезапно роняет сервер посреди ночи с Пт на Сб, когда они бухают с друзьями на даче, они начинают задумываться о компромиссном подходе.

Что-то ставится на холд, что-то обновляют руками, что-то обновляется автоматически. Минусы - приходится читать, думать и вообще выполнять свою работу.

kdask
(13.03.12 17:03:24 MSK)

Ссылка

Ответ на: комментарий от wargasm 13.03.12 14:50:27 MSK

Неплохо бы еще иметь тестовый сервер для обкатки обновлений. Ну или как минимум изучить в интернете опыт коллег.

leave ★★★★★
(13.03.12 17:53:20 MSK)

Ссылка

Поднимаем тестовый сервер с полным набором пакетов и конфигов существующего, накатываем туда обновления, смотрим, есть ли грабли.
Если есть, решаем как обойти. Если нет, обновляем основной сервер.

blackst0ne ★★★★★
(14.03.12 06:28:04 MSK)

Ответ на: комментарий от blackst0ne 14.03.12 06:28:04 MSK

В идеале, конечно, с таким же железом, но можно и на виртуалке.

pekmop1024 ★★★★★
(14.03.12 06:31:19 MSK)

Ссылка

1. Обновлять необходимый минимум, только то, что касается безопасности или не даёт работать, или точно ни на что существенное не повлияет. 2. Обновлять если не по одному, то как можно меньшими пачками - вероятность появления проблем вырастет, но их влияние и сложность починки упадёт. 3. использовать «правильный» дистрибутив, с минимумом сторонних программ - т.ч. поставщики бы сами мониторили, исправляли, тестили, и тебе рассказывали только о результатах. 4. иметь резервный сервер/бекап/план отката и т.п.

DonkeyHot ★★★★★
(14.03.12 10:34:29 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[pptp] Modem hangup

Admin

Webacula 5.5.1

→

Похожие темы