我在所有服务器上都运行 Debian Stable。Debian Stable 总是会不时获得安全和其他重要更新,其中也包括内核更新。是否必须立即更新包括内核在内的所有软件包?最常用的服务器更新策略应该是什么?
答案1
订阅Debian 安全公告邮件列表。这些邮件提供有关更新修复的漏洞类型和严重程度的信息。您可以使用这些信息来确定更新对于您的情况有多重要。
根据我的经验,Debian 稳定版的 QA 足以立即安装所有更新。只有对于内核,我才会推迟更新/重启,除非它存在重大安全问题。
答案2
这取决于您运行的环境。如果服务器绝对不需要 24/7/365 全天候运行,并且可以接受一些停机时间,请继续随意升级所有内容。
但环境越危急,就越要小心。
升级时,评估是否 a) 必要和 b) 安全执行升级始终很重要(自定义应用程序 Foo 在更新后是否仍继续运行?)。不要惊慌失措并急于立即升级所有内容,始终先在某个测试环境中测试更新。
答案3
在我们的案例中,一般来说,所有安全更新都会在到达后不久进行。
对于公共或面向客户端的服务器,请确保首先将更新的软件包应用到测试环境,以便您可以仔细检查更新是否不会影响这些服务器提供的服务 - 如果您发现问题(也许应用程序无意中使用了因安全修复而进行的修订而改变的“未定义”行为),那么您已经得到预先警告,并且可以在将更新应用到实时环境之前解决该问题。
除非其中一个更新是针对已经在广泛传播的漏洞(这些事情往往是重大新闻,所以我希望知道),否则我会稍作保留,也许会在一天后应用更改。这样可以避免成为被更新所欺骗的先驱之一,因为更新在测试中遗漏了一些重要的东西。对于我无法轻松物理访问的机器(即没有 KVMoIP 的远程 DC)上的内核和 SSHd 更新尤其如此 - 这些东西如果损坏,可能会导致机器在启动后无法重新启动或无法进行远程管理,