Nói chung, cập nhật bảo mật nói được coi là hơi an toàn, đặc biệt đối với phân phối với các mục tiêu như RedHat. Trọng tâm cốt lõi của họ là tạo ra một môi trường hoạt động phù hợp. Vì vậy, các nhà bảo trì có xu hướng chọn các phiên bản của các gói và gắn bó với chúng trong một thời gian dài. Để xem những gì tôi có nghĩa là nhìn vào các phiên bản của gói như vậy như kernel, python, perl, và httpd. Những gì họ cũng làm là các bản vá bảo mật backport từ các nhà phát triển ngược dòng. Vì vậy, nếu tìm thấy lỗ hổng bảo mật cho tất cả các phiên bản Apache httpd 2.2.x thì nền tảng Apache có thể phát hành phiên bản 2.2.40 với bản sửa lỗi, nhưng RedHat sẽ cuộn bản vá cục bộ và phát hành bản httpd-2.2.3-80sửa lỗi.
Ngoài ra, hãy nhớ rằng bạn hiện đang nói về một hệ thống RHEL5.7, phiên bản hiện tại là 5.9. Một số nhà cung cấp phần mềm sẽ chỉ hỗ trợ các bản phát hành nhất định. Gần đây tôi đã bắt gặp một phần mềm, ví dụ, nhà cung cấp cho biết chỉ hoạt động vào ngày 5.4. Điều đó không có nghĩa là nó sẽ không chạy vào ngày 5.9, nhưng điều đó có nghĩa là họ sẽ không cung cấp bất kỳ sự hỗ trợ nào nếu nó không hoạt động.
Cũng có những lo ngại về việc thực hiện cập nhật hàng loạt hệ thống chưa được vá trong một thời gian dài như vậy. Vấn đề lớn nhất mà tôi gặp phải thực sự là vấn đề quản lý cấu hình có thể trở nên trầm trọng hơn bởi các bản cập nhật lớn. Đôi khi một tập tin cấu hình được thay đổi nhưng quản trị viên không bao giờ khởi động lại dịch vụ. Điều này có nghĩa là cấu hình trên đĩa chưa bao giờ được kiểm tra và cấu hình đang chạy có thể không còn tồn tại. Vì vậy, nếu dịch vụ được khởi động lại, điều này sẽ xảy ra khi bạn áp dụng các bản cập nhật kernel, nó có thể không thực sự khởi động lại. Hoặc nó có thể hành động khác nhau khi nó khởi động lại.
Lời khuyên của tôi, sẽ là cập nhật, nhưng hãy thông minh về nó.
- Lập kế hoạch trong một cửa sổ bảo trì. Nếu không có gì khác, máy chủ sẽ yêu cầu khởi động lại, đã có một số cập nhật kernel và bạn sẽ phải khởi động lại để áp dụng chúng.
- Hãy chắc chắn để có một bản sao lưu đầy đủ trước khi làm bất cứ điều gì. Đây có thể là snapshot, nếu đây là VM, kích hoạt sao lưu toàn bộ trên bất kỳ công cụ nào của bạn, tạo thành
/(cho hệ thống khác), chụp ddảnh các ổ đĩa, bất cứ điều gì. Chỉ cần nó là thứ gì đó bạn có thể khôi phục lại.
- Lập kế hoạch về cách bạn áp dụng các bản cập nhật. Bạn không muốn ném
yum update -yvào nó và bỏ đi. Đối với tất cả những điều tốt đẹp mà yum làm, nó không đặt hàng khi áp dụng các cập nhật theo các phụ thuộc. Điều này đã gây ra vấn đề trong quá khứ. Tôi luôn luôn chạy yum clean all && yum update -y yum && yum update -y glibc && yum update. Điều đó có xu hướng quan tâm đến hầu hết các vấn đề đặt hàng tiềm năng.
Đây cũng có thể là một thời gian tuyệt vời để phát triển lại. Chúng tôi đã có RHEL6 khá lâu rồi. Tùy thuộc vào những gì máy chủ này làm, có thể có ý nghĩa khi chỉ để máy chủ này chạy như trong khi bạn đưa ra một thể hiện mới song song. Sau khi cài đặt xong, bạn có thể sao chép tất cả dữ liệu, kiểm tra các dịch vụ và thực hiện cắt bỏ. Điều này cũng sẽ cung cấp cho bạn cơ hội để biết, từ đầu, hệ thống được chuẩn hóa, sạch sẽ, tài liệu tốt, và tất cả những gì jazz.
Bất kể bạn làm gì, tôi cảm thấy điều quan trọng là bạn phải tự mình làm quen với một hệ thống hiện tại. Bạn chỉ cần đảm bảo thực hiện theo cách cho phép bạn tin tưởng vào công việc của mình và thành phẩm.