我有几个生产用的 Fedora 和 Debian 网络服务器,用于托管我们的网站以及用户 shell 帐户(用于 git vcs 工作、一些 screen+irssi 会话等)。
yum偶尔,新的内核更新会在/中出现apt-get,我想知道大多数修复是否严重到需要重新启动,或者我是否可以在不重新启动的情况下应用修复。
我们的主要开发服务器目前已正常运行 213 天,我不确定运行这么旧的内核是否不安全。
答案1
长时间正常运行并没有什么特别之处。通常来说,拥有一个安全的系统会更好。所有系统在某个时候都需要更新。您可能已经在应用更新,在应用这些更新时您是否安排了停机?您可能应该这样做,以防万一出现问题。重启实际上不应该花那么多时间。
如果您的系统对中断非常敏感,您可能应该考虑某种集群设置,以便您更新集群的单个成员而无需关闭所有集群。
如果您不确定某个特定更新,安排重新启动并应用它可能会更安全(最好在另一个类似系统上测试它之后)。
如果您有兴趣了解更新是否重要,请花时间阅读安全通知,然后点击链接返回漏洞漏洞或描述该问题的帖子/列表/博客。这应该可以帮助您确定更新是否直接适用于您的情况。
即使您认为它不适用,您仍然应该考虑最终更新您的系统。安全是一种分层方法。您应该假设在某个时间点,其他层可能会失败。此外,您可能会忘记您的系统存在漏洞,因为您在稍后的某个时间点更改配置时跳过了更新。
无论如何,如果您想忽略或等待基于 Debian 的系统上的更新,您可以暂停软件包。我个人喜欢暂停所有内核软件包,以防万一。
在基于 Debian 的系统上设置软件包的 CLI 方法。
dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections
答案2
大多数更新不需要重新启动,但内核更新需要重新启动(如果不重新启动,就无法真正替换正在运行的内核)。
我发现,如果您的服务器已经运行了很长时间而没有重新启动,则重新启动时更有可能进行磁盘检查 (fsck),这会大大增加重新启动和运行所需的时间。最好预测这一点并做好计划。
我还发现配置更改有时会被忽略,直到重新启动才会被注意到(例如添加新的 IP 地址/iptables 规则等)这也增加了不频繁重启时的“停机风险”。
最好在重新启动时计划一些停机时间 - 或者如果这不是一个理想的选择,请在集群中设置服务器,以便在必要时重新启动。
答案3
如果你只需要安全更新而不是全新的内核,你可能会感兴趣拼接- 它允许您将某些内核更新修补到正在运行的内核中。
答案4
这是更新的功能 - 如果它修复了导致 root 访问的权限升级,那么您可能需要应用它。