我们运行 Citrix XenServer 作为我们的虚拟化平台。目前,我们已经更新了 XenServer 服务包和修补程序,即我们正在运行 XenServer 6.2SP1,并在此基础上应用了 SP1015 更新:
在我们目前的情况下,CentOS 6.4 是 Citrix 支持的最高支持的 CentOS 版本:
XenServer 6.2.0 虚拟机用户指南(第 15 页)
由于 Citrix 没有对 CentOS 6 更高版本的官方支持,因此我不会意外地将yum update我的服务器安装到更高版本(且不受支持)的 CentOS 6,因此我需要确保配置yum为仅使用http://vault.centos.org/6.4获取基础包和更新包。
我担心的是,我现在将不再收到重要的安全更新,例如:
当我浏览时:
http://vault.centos.org/6.4/os/x86_64/Packages和 http://vault.centos.org/6.4/updates/x86_64/Packages
我可以看到最后一次内核更新的kernel-2.6.32-358.23.2.el6.x86_64.rpm日期是 2013 年 10 月 17 日 12:47。
yum如果我锁定仅使用 6.4 软件包存储库,我是否会正确假设我永远不会收到关键安全更新(内核或其他) ?
答案1
是的,您是对的:将自己锁定在特定的 CentOS 点版本上会阻止您接收修复程序,从而使您面临未来的安全漏洞。
正如在RHEL,CentOS 单点发行版与软件世界中其他大部分软件所使用的“版本”不同。例如,您永远不会看到 CentOS 6.4.1。这里所有的“4”都意味着这是迄今为止所有更新的第四次汇总。
这意味着 6.4 和 6.4 发布前一天 CentOS 6.3 的状态几乎没有什么区别,如果你刚才说的话yum update。同样,如果您的系统上装有 CentOS 6.4,包括 CentOS 6.5 发布之前所做的所有最新更新,然后执行最后一份不受限制的手册yum update将自己带到 CentOS 6.5,也将有很小的区别。
准确地说,您使用的是 CentOS 版本 6。
您可能只需要告诉 Yum 不要更新内核。这就是我们在此处租用的 CentOS 6 VPS 上配置 Xen 的方式,该 VPS 保持最新状态。 (CentOS 6.6,截至撰写本文时。)
即使这么多也可能不是真正必要的,因为现在 Xen 支持已内置到 Linux 内核中。您引用的 Citrix 文档可能只是已过时,或者落后于某些正式测试流程。
相比之下,基于开放VZ(Xen 竞争对手)必须保持特定内核版本运行,因为它已经过修补以匹配主机操作系统的内核。在我们在这里租用的另一台基于 OpenVZ 的 VPS 上,我可以通过内核版本得知我们的托管提供商在主机上运行 CentOS 5。 (2.6.18,而不是 2.6.32。)