更新生产版 Ubuntu 时应做和不应做的事情

Question 1

与 Windows、RHEL、CentOS、SuSE、debian 等相比，修补 Ubuntu 没有什么特别之处。

在设计补丁程序时，你需要保持的基本心态是假设一些事情将要休息。

在设计补丁设置时我倾向于使用的一些基本准则是：

始终使用本地系统将补丁集中到您的网络内部，从那里安装补丁

这可能包括使用 WSUS 或<your_os_here>内部补丁管理机器的镜像。最好是能够集中查询并让您了解安装在您个人机器上的补丁的状态的机器。

如果可能的话，在机器上预先进行安装。

如果可能的话，当补丁发布时，让中央服务器将它们复制到各个机器上。这实际上只是为了节省时间，这样您就不必等待它们下载并安装，您只需在补丁窗口期间启动安装即可。

找一个停机窗口来安装补丁，你可能不得不重新启动，而且可能会出现问题。确保这些系统的利益相关者知道正在部署补丁。为“这”不起作用的电话做好准备。

根据我的基本理论，补丁会破坏事物，请确保您有一个停机窗口，以便应用足够长的时间来排除关键问题，并可能回滚补丁。您不一定需要有人坐在那里测试补丁。就我个人而言，我非常依赖我的监控系统，它让我知道一切都在我们可以承受的最低水平上运行。但也要准备好在人们开始工作时打电话来处理一些小问题。你应该总是安排一个人随时准备接电话——最好不是那个熬夜到凌晨 3 点修补机器的人。

尽可能实现自动化

就像 IT 行业中的其他一切一样，编写脚本、编写脚本，然后再编写脚本。编写软件包下载、安装开始、镜像的脚本。基本上，你想把补丁窗口变成一个临时看护任务，只要有人在场以防万一出现问题就行。

每个月有多个窗口

这样，如果出于某种原因无法在“指定夜晚”修补某些服务器，您可以不修补这些服务器。如果您无法在第一天夜晚修补它们，则要求它们在第二天夜晚可用。还可以让您保持同时修补的服务器数量合理。

最重要的是继续更新补丁！如果不这样做，你会发现自己必须花费 10 多个小时来打补丁，才能回到你遇到的问题。这会引入更多可能出错的点，并使查找导致问题的补丁变得更加困难。

这个问题的另一部分是，及时更新补丁是“一件好事”，但补丁几乎每天都会发布。如果每天都有新的安全补丁可用，那么需要进行多少次计划停机？

每月或每隔一个月修补一次服务器 - 在我看来 - 是一个非常可实现且可接受的目标。除此之外，您还将不断修补服务器，更不用说您开始陷入需要为每个服务器应用数百个补丁的情况。

至于您每月需要多少个窗口？这取决于您的环境。您有多少台服务器？您的服务器需要多长时间正常运行？

9x5 的小型环境可能每月只需要一个补丁窗口。大型 24x7 商店可能需要两个。非常大的 24x7x365 商店可能需要每周滚动一个窗口，以便每周修补一组不同的服务器。

找到适合您和您的环境的频率。

需要记住的是，100% 更新是不可能的要达到的目标 - 不要让安全部门告诉你其他的。尽你所能，不要落后太多。

Answer

与 Windows、RHEL、CentOS、SuSE、debian 等相比，修补 Ubuntu 没有什么特别之处。