सवाल कर्नेल अद्यतन के बाद लिनक्स को रीबूट करना महत्वपूर्ण है?


मेरे पास कुछ उत्पादन फेडोरा और डेबियन वेबसर्वर हैं जो हमारी साइट्स के साथ-साथ उपयोगकर्ता खोल खाते (गिट वीसीएस काम के लिए उपयोग किए जाते हैं, कुछ स्क्रीन + इरसी सत्र आदि) होस्ट करते हैं।

कभी-कभी एक नया कर्नेल अपडेट पाइपलाइन नीचे आ जाएगा yum/apt-get, और मैं सोच रहा था कि अधिकांश फ़िक्स रीबूट की गारंटी देने के लिए पर्याप्त गंभीर हैं, या यदि मैं फिक्स संस रीबूट लागू कर सकता हूं।

हमारे मुख्य विकास सर्वर में वर्तमान में 213 दिन अपटाइम है, और मुझे यकीन नहीं था कि ऐसा पुराना कर्नेल चलाने के लिए असुरक्षित था।


18
2018-05-19 21:03


मूल


आपको वास्तव में उत्पादन होस्टिंग (काफी हद तक उजागर और सुरक्षा-महत्वपूर्ण, तुरंत अपडेट प्राप्त करना चाहिए) गिट रेपो (शायद केवल विश्वसनीय उपयोगकर्ताओं को ही सुरक्षित होना चाहिए) और सामान्य स्क्रीन सत्रों से अलग करना चाहिए। वीएम सस्ते हैं! - poolie


जवाब:


एक लंबे समय तक होने के बारे में वास्तव में कुछ भी खास नहीं है। एक सुरक्षित प्रणाली होना आम तौर पर बेहतर होता है। सभी सिस्टम को किसी बिंदु पर अपडेट की आवश्यकता होती है। आप शायद पहले से ही अपडेट लागू कर रहे हैं, क्या आप उन अद्यतनों को लागू करते समय अनुसूची निर्धारित करते हैं? अगर आपको कुछ गलत हो जाता है तो आपको शायद चाहिए। एक रिबूट वास्तव में इतना समय नहीं होना चाहिए।

यदि आपका सिस्टम आबादी के प्रति संवेदनशील है, तो आपको शायद किसी प्रकार के क्लस्टरिंग सेटअप के बारे में सोचना चाहिए ताकि आप सब कुछ नीचे लाए बिना क्लस्टर के एक सदस्य को अपडेट कर सकें।

यदि आप किसी विशेष अपडेट के बारे में निश्चित नहीं हैं, तो संभवतः रीबूट शेड्यूल करना और इसे लागू करना सुरक्षित है (अधिमानतः इसे किसी अन्य समान सिस्टम पर परीक्षण करने के बाद)।

यदि आप इस बारे में जानने में रुचि रखते हैं कि अपडेट महत्वपूर्ण है तो सुरक्षा नोटिस पढ़ने के लिए समय निकालें, और वापस दिए गए लिंक का पालन करें CVE या मुद्दे का वर्णन करने वाली पोस्ट / सूचियां / ब्लॉग। यह आपको यह तय करने में मदद कर सकता है कि अपडेट आपके मामले में सीधे लागू होता है या नहीं।

भले ही आपको नहीं लगता कि यह लागू होता है, फिर भी आपको अंततः अपने सिस्टम को अपडेट करने पर विचार करना चाहिए। सुरक्षा एक स्तरित दृष्टिकोण है। आपको उस समय कुछ अन्य परतों में असफल होने पर मानना ​​चाहिए। साथ ही, आप भूल सकते हैं कि आपके पास एक कमजोर सिस्टम है क्योंकि आपने कुछ समय बाद कॉन्फ़िगरेशन को बदलते समय अपडेट को छोड़ दिया था।

वैसे भी यदि आप डेबियन आधारित सिस्टम पर अपडेट पर थोड़ी देर के लिए अनदेखा करना चाहते हैं या इंतजार करना चाहते हैं तो आप पैकेज को पकड़ पर रख सकते हैं। मैं व्यक्तिगत रूप से मामले में सभी कर्नेल संकुलों पर रख-रखाव करना चाहता हूं।

डेबियन-आधारित सिस्टम पर पैकेज पर होल्ड सेट करने के लिए सीएलआई विधि।

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

23
2018-05-19 21:37



ऐसा नहीं है कि हमें हमेशा चालू रहने की आवश्यकता है, बल्कि हमारे कुछ उपयोगकर्ताओं के पास खुले सत्र (यानी आईआरसी) हैं जो पुन: प्रारंभ करने के लिए परेशान (उपयोगकर्ता के परिप्रेक्ष्य से) हो सकते हैं। - lfaraone


अधिकांश अपडेट्स को रीबूट की आवश्यकता नहीं होती है, लेकिन कर्नेल अपडेट करते हैं (आप रीबूट किए बिना चल रहे कर्नेल को वास्तव में प्रतिस्थापित नहीं कर सकते हैं)।

एक चीज जो मैंने खोजी है वह यह है कि यदि आपका सर्वर रीबूट किए बिना लंबे समय तक चल रहा है, तो रीबूट करते समय डिस्क चेक (एफएसके) करना अधिक संभावना है, और यह वापस पाने के लिए महत्वपूर्ण समय में जोड़ सकता है ऊपर और फिर से चल रहा है। इसका अनुमान लगाने और इसके लिए योजना बनाने के लिए सर्वश्रेष्ठ।

मैंने यह भी पाया है कि कॉन्फ़िगरेशन परिवर्तन कभी-कभी मिस्ड हो सकते हैं, और रीबूट (जैसे नए आईपी पते / iptables नियम, आदि जोड़ना) तक ध्यान नहीं दिया जाएगा, यह बार-बार रिबूट करते समय "डाउनटाइम का जोखिम" भी जोड़ता है।

रीबूट करते समय कुछ डाउनटाइम के लिए योजना बनाना सर्वोत्तम है - या यदि यह एक वांछनीय विकल्प नहीं है, तो अपने सर्वर क्लस्टर में सेट करें ताकि यदि आवश्यक हो तो रीबूट किया जा सकता है।


11
2018-05-19 23:22





अगर आपको केवल सुरक्षा अद्यतनों की आवश्यकता है, न कि पूरी तरह से नया कर्नेल, तो आपको रुचि हो सकती है Ksplice - यह आपको कुछ कर्नेल अद्यतनों को चल रहे कर्नेल में पैच करने देता है।


8
2018-05-20 01:32





इसका कोई आसान जवाब नहीं है, कुछ कर्नेल अपग्रेड वास्तव में सुरक्षा से संबंधित नहीं हैं, और कुछ सुरक्षा समस्याओं को ठीक कर सकते हैं जो आपको प्रभावित नहीं करते हैं, जबकि अन्य आपको प्रभावित कर सकते हैं।

सर्वोत्तम दृष्टिकोण आईएमओ प्रासंगिक सुरक्षा मेलिंग सूचियों जैसे साइन अप करना है उबंटू की सुरक्षा-घोषणा ताकि आप देख सकें कि सुरक्षा पैच कब आ रहे हैं, और वे आपको कैसे प्रभावित कर सकते हैं।

मैं भी विचार करता हूं apticron या किसी अन्य पैकेज अपडेट के विवरण और चेंजलॉग प्राप्त करने के समान।


3
2018-06-21 17:40





यह अद्यतन का एक कार्य है - अगर यह एक निजी तय करता है। वृद्धि जो रूट पहुंच में परिणाम देती है, तो आप इसे लागू करना चाहेंगे।


2
2018-05-19 21:07





यदि आप घटना में नहीं रीबूट करें, आपको यह सुनिश्चित करना चाहिए कि बूट पर प्रारंभ करने के लिए नया कर्नेल डिफ़ॉल्ट नहीं है।

आखिरी चीज जो आप चाहते हैं वह एक अनचाहे कर्नेल को अनियोजित पुनरारंभ के बाद उत्पादन के लिए उपयोग किया जा रहा है।


2
2018-06-22 00:14





जैसा कि माइब्स ने उल्लेख किया है, यदि आप कर्नेल को संस्थापित करते हैं और नहीं रीबूट करें, सुनिश्चित करें कि यह डिफ़ॉल्ट नहीं है। आप नहीं जानते कि आपका सर्वर किस स्थिति में वापस आ रहा है या नहीं, इसलिए सुनिश्चित करें कि इसका परीक्षण किया गया है।

ऐसा कहा जा रहा है, मुझे लगता है कि जब संभव हो तो नियमित रूप से नियमित आधार पर मशीनों को रिबूट करने की आदत में जाना अच्छा होता है। बहुत सारे हार्डवेयर और सॉफ़्टवेयर विफलताओं को केवल रीबूट पर ही प्रकट किया जाएगा और जब आप अनियोजित आउटेज के दौरान रीबूट की योजना बना रहे हों तो उन लोगों के बारे में जानना बेहतर होगा।


1
2018-06-22 05:27





ध्यान दें कि कुछ डेबियन कर्नेल अपडेटों की आवश्यकता होती है (अच्छी तरह से, अत्यधिक अनुशंसा) कि आप उन्हें लागू करने के बाद ASAP को रीबूट करें।

यह वह मामला है जब अंतर मॉड्यूल निर्देशिका परिवर्तन को वारंट करने के लिए पर्याप्त पर्याप्त नहीं है, लेकिन मॉड्यूल भिन्न हो सकते हैं।

जब आप ऐसे कर्नेल संकुल को संस्थापित करते हैं तो आपको डेबियन द्वारा चेतावनी दी जाएगी।


0
2018-05-19 21:10