我有一个 CMS 网站,我正在接管该网站的托管,该网站已使用 CentOS 7.9 设置。它在虚拟机上运行,我想以最少的手动干预使该虚拟机保持最新状态。
我之前曾对 Amazon Linux 2 和 Debian Stable 做过一些类似的工作,每周都会触发这些操作。yum update --security在基于 Red Hat 的 AL2 上,这些操作似乎对我来说没有产生意外的副作用。
但是我是 CentOS 新手,找不到太多关于其稳定性的文档。比如说使用yum-cron仅触发安全更新 ( yum --security update-minimal) 而无需重启。这是好的做法吗?它是否会强制一些意外升级或其他副作用?
答案1
事实上,我不会因为任何需要稳定性的东西或任何其他原因而接触 Amazon Linux 2。Amazon Linux(1 和 2)主要是为了满足 Amazon 的需求和运行 Amazon 的服务而构建的,他们只是为了方便而公开分享它。它会按照 Amazon 的时间表进行升级,而不是您的时间表。AL2 是分叉从 CentOS 7 开始,Amazon 便与该发行版分道扬镳,分道扬镳的程度往往如此之大,以至于许多为 CentOS 7 构建的软件包(如 EPEL)不再起作用。因此兼容性也消失了。
有了这些,就可以了:
当您为面向公众(或至少面向内部网)的网站切换发行版时,这是将发行版升级到最新主要版本的第二个最佳时机。(第一个最佳时机是发行版发布时。)目前,这意味着 RHEL 8.4 或 CentOS 8.4。但由于 CentOS 似乎将在年底消失,如果您没有资格获得免费的 RHEL 订阅(最多 16 台物理机或虚拟机,并且允许生产),最好切换到 Rocky Linux;这似乎是大多数人选择而不是 Alma Linux。
最后,关于自动更新,我运行了几十个面向公众的网站,它们的服务器都启用了自动更新。(不过,在 RHEL 8 上,它们的激活方式略有不同,因为 yum-cron 已经消失,只能使用软件包dnf-automatic。)我已经这样做了几年,我不记得上次出现与更新相关的问题是什么时候了。
至于 CentOS 上的安全更新:他们从未将其更新标记为安全更新,因此命令yum --security ...从未真正起作用。Rocky Linux 已经开始这样做了,因此 <distro> 8 中的等效命令(例如 `dnf --security ...)在 RHEL 或 Rocky Linux 上按预期工作。(虽然我不仅安装了安全更新,还安装了所有可用更新,并且它运行日常的。
尽管如此,我确实对所有服务器进行了监控,因此如果出现问题,我会收到通知,并可以唤醒并修复它。对于面向公众的网站,我分析了这些网站及其用途,我认为外部入侵的风险(尤其是在第 0 天或更早的时候)远高于网站因更新中的错误而崩溃的风险。这就是为什么我还配置并强制执行 SELinux。
所以我建议你去红帽企业版8.4如果你有资格获得免费订阅,并且Rocky Linux 8.4如果没有的话。(并选择正确的地区;例如,如果您的所有访问者都在欧洲,那么您就不会想从 us-east-* 提供服务。)
记得在升级前拍摄 AWS 快照。如果出现问题,您可以快速修复它或回滚到 AWS 快照。