我最近订阅了 CentOS 邮件列表,以便及时了解任何新版本或更新。我订阅了CentOS-announce
。
我收到了很多关于错误修复和更新的电子邮件。假设更新与我相关,我应该多快尝试应用这些修复?同一天?同一周?同一个月?
理想情况下,我希望使用Yum
安装这些更新。当我收到电子邮件时,修复程序是否通常在存储库中可用?
生产 Web 服务器的实际更新计划是什么?我不确定每天让服务器离线进行更新是否合理!执行更新的停机时间有多长才合理?
答案1
对每个更新公告都采取特定行动是愚蠢的。
作为管理员,您可以根据自己的判断力和对环境具体情况的了解来确定需要更新的重要内容。
例如,如果 Apache 和 OpenSSH 已更新,并且这些服务已向公众开放,则保持它们为最新状态是有意义的。但在许多环境中,这些服务并不向全世界开放,因此更新的紧迫性要低得多。
内核怎么样?每隔一两个月就会发布一个内核。更新内核会造成干扰并导致停机。但有时这样做是有意义的。
我遇到过许多网络环境,其中关键包绝不更新;例如多年没有更新。这显然是错误的,但每天或每周更新也是错误的。
我个人喜欢按月或按季度进行评估。报告的漏洞需要一段时间才会被攻击者广泛利用。