Có quan trọng để khởi động lại Linux sau khi cập nhật kernel không?

Tôi có một vài máy chủ web Fedora và Debian sản xuất lưu trữ các trang web của chúng tôi cũng như các tài khoản shell người dùng (được sử dụng cho git vcs hoạt động, một số phiên màn hình + irssi, v.v.).

Đôi khi, một bản cập nhật kernel mới sẽ xuất hiện trong yum/ apt-getvà tôi đã tự hỏi liệu hầu hết các bản sửa lỗi có đủ nghiêm trọng để đảm bảo khởi động lại hay không, nếu tôi có thể áp dụng các bản sửa lỗi sans restart.

Máy chủ phát triển chính của chúng tôi hiện có 213 ngày hoạt động và tôi không chắc liệu có an toàn khi chạy kernel cũ hơn không.

Không có gì thực sự đặc biệt về việc có một thời gian dài. Nói chung là tốt hơn để có một hệ thống an toàn. Tất cả các hệ thống cần cập nhật tại một số điểm. Bạn có thể đã áp dụng các bản cập nhật, bạn có lên lịch ngừng hoạt động khi bạn áp dụng các bản cập nhật đó không? Bạn có lẽ chỉ nên trong trường hợp xảy ra sự cố. Một khởi động lại không nên có nhiều thời gian thực sự.

Nếu hệ thống của bạn quá nhạy cảm với việc ngừng hoạt động, có lẽ bạn nên suy nghĩ về một số loại thiết lập phân cụm để bạn cập nhật một thành viên duy nhất của cụm mà không làm mọi thứ bị hỏng.

Nếu bạn không chắc chắn về một bản cập nhật cụ thể, có thể an toàn hơn khi lên lịch khởi động lại và áp dụng nó (tốt nhất là sau khi thử nghiệm nó trên một hệ thống tương tự khác).

Nếu bạn quan tâm đến việc tìm hiểu xem bản cập nhật có quan trọng không, hãy dành thời gian để đọc thông báo bảo mật và theo các liên kết quay lại CVE hoặc các bài đăng / danh sách / blog mô tả vấn đề. Điều này sẽ giúp bạn quyết định nếu cập nhật áp dụng trực tiếp trong trường hợp của bạn.

Ngay cả khi bạn không nghĩ rằng nó áp dụng, bạn vẫn nên xem xét cập nhật hệ thống của mình. An ninh là một cách tiếp cận nhiều lớp. Bạn nên giả định tại một số thời điểm những lớp khác có thể thất bại. Ngoài ra, bạn có thể quên bạn có một hệ thống dễ bị tấn công vì bạn đã bỏ qua một bản cập nhật khi bạn thay đổi cấu hình vào một thời điểm sau đó.

Dù sao, nếu bạn muốn bỏ qua hoặc đợi một lúc để cập nhật trên các hệ thống dựa trên Debian, bạn có thể tạm dừng gói. Cá nhân tôi muốn đặt giữ trên tất cả các gói kernel chỉ trong trường hợp.

Phương pháp CLI để giữ một gói trên các hệ thống dựa trên Debian.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

Hầu hết các bản cập nhật không yêu cầu khởi động lại, nhưng các bản cập nhật Kernel thì có (bạn thực sự không thể thay thế kernel đang chạy mà không cần khởi động lại).

Một điều tôi đã phát hiện ra là nếu máy chủ của bạn đã chạy trong một thời gian dài mà không khởi động lại, thì có nhiều khả năng bạn muốn kiểm tra đĩa (fsck) khi bạn khởi động lại và điều này có thể thêm đáng kể vào thời gian cần thiết để quay lại lên và chạy lại Tốt nhất để dự đoán điều này và lập kế hoạch cho nó.

Tôi cũng đã phát hiện ra rằng các thay đổi cấu hình đôi khi có thể bị bỏ lỡ và sẽ không được chú ý cho đến khi khởi động lại (chẳng hạn như thêm các quy tắc địa chỉ IP / iptables mới, v.v.) Điều này cũng làm tăng thêm "nguy cơ ngừng hoạt động" khi khởi động lại không thường xuyên.

Tốt nhất để lập kế hoạch cho một số thời gian chết khi thực hiện khởi động lại - hoặc nếu đây không phải là một tùy chọn mong muốn, hãy thiết lập máy chủ của bạn thành cụm để có thể thực hiện khởi động lại nếu cần thiết.

Nếu bạn chỉ cần cập nhật bảo mật và không phải là kernel hoàn toàn mới, bạn có thể quan tâm đến Ksplice - nó cho phép bạn vá một số cập nhật kernel nhất định vào kernel đang chạy.

Không có câu trả lời đơn giản nào cho vấn đề này, một số nâng cấp kernel không thực sự liên quan đến bảo mật và một số có thể khắc phục các sự cố bảo mật không ảnh hưởng đến bạn, trong khi những người khác có thể ảnh hưởng đến bạn.

Cách tiếp cận tốt nhất là đăng ký vào danh sách gửi thư bảo mật có liên quan như thông báo bảo mật của ubfox để bạn có thể thấy khi nào các bản vá bảo mật xuất hiện và cách chúng có thể ảnh hưởng đến bạn.

Tôi cũng sẽ xem xét apticron hoặc tương tự để có được các chi tiết và thay đổi của bất kỳ cập nhật gói nào khác.

Đây là một chức năng của bản cập nhật - nếu nó sửa lỗi riêng tư. leo thang dẫn đến quyền truy cập root, sau đó bạn có thể muốn áp dụng nó.

Trong trường hợp bạn không khởi động lại, bạn nên đảm bảo rằng kernel mới không phải là kernel mặc định để bắt đầu khởi động.

Điều cuối cùng bạn muốn là một kernel chưa được kiểm tra đang được sử dụng để sản xuất sau khi khởi động lại không có kế hoạch.

Như mibus đã đề cập, nếu bạn cài đặt kernel và không khởi động lại, hãy đảm bảo rằng nó không phải là mặc định. Bạn không biết liệu máy chủ của mình sẽ quay trở lại trong trạng thái nào, vì vậy hãy chắc chắn rằng nó đã được thử nghiệm.

Điều đó đang được nói, tôi nghĩ rằng thật tốt khi tập thói quen khởi động lại máy một cách khá thường xuyên khi có thể. Rất nhiều lỗi phần cứng và phần mềm sẽ chỉ xuất hiện khi khởi động lại và tốt hơn là tìm hiểu về những lỗi khi bạn lên kế hoạch khởi động lại thay vì trong thời gian ngừng hoạt động ngoài dự kiến.

Hãy lưu ý rằng một số cập nhật kernel debian yêu cầu (tốt, rất khuyến khích) rằng bạn khởi động lại ASAP sau khi bạn áp dụng chúng.

Đây là trường hợp khi sự khác biệt không đủ để đảm bảo thay đổi thư mục mô-đun, nhưng các mô-đun có thể khác nhau.

Bạn sẽ được Debian cảnh báo khi bạn cài đặt các gói kernel như vậy.