Рекомендации по обновлению ранее не обслуживаемого сервера RHEL5.7


21

Новый сервер RedHat EL5.6 недавно был передан мне под опеку. Сразу видно, что за последние 12 месяцев мало или совсем не уделялось внимания каким-либо обновлениям пакетов.

Обычно у меня склад ума, если он не сломан - не чинить. Однако после регистрации сервера в RHN, а также использования плагина yum-security для проверки обновлений безопасности, доступно чуть более 1100 обновлений «безопасности».

У кого-нибудь была похожая ситуация? Я не хочу просто обновлять все, так как мне нравится знать, что обновляется, и есть ли у него потенциал повлиять на что-либо, работающее на коробке (это рабочий сервер). Тем не менее, похоже, что выполнение этой практики потребовало бы от меня построчно проходить 1100 ошибок в посылках. Есть ли более эффективное решение?

Ответы:


21

Вообще говоря, обновления безопасности считаются в некоторой степени безопасными, особенно для распространения с такими целями, как RedHat. Их основной задачей является создание операционной среды, которая является последовательной. Таким образом, сопровождающие склонны выбирать версии пакетов и придерживаться их в течение длительного времени. Для того, чтобы увидеть , что я имею в виду взгляд на версии таких пакетов , как kernel, python, perlи httpd. То, что они также делают, - это патчи безопасности для разработчиков бэкпорта. Таким образом, если уязвимость системы безопасности обнаружена для всех версий Apache httpd 2.2.x, то Apache Foundation может выпустить версию 2.2.40 с исправлением, но RedHat выпустит исправление локально и выпустит httpd-2.2.3-80исправление.

Также имейте в виду, что вы в настоящее время говорите о системе RHEL5.7, текущая версия 5.9. Некоторые поставщики программного обеспечения поддерживают только определенные промежуточные версии. Например, недавно я наткнулся на одно программное обеспечение, которое, по словам продавца, работает только на 5.4. Это не значит, что он не будет работать на 5.9, но это может означать, что они не будут оказывать никакой поддержки, если он не работает.

Существуют также проблемы с массовыми обновлениями системы, которая не была исправлена ​​в течение столь длительного времени. Самая большая проблема, с которой я столкнулся - это проблема управления конфигурацией, которая может быть только усугублена большими обновлениями. Иногда файл конфигурации изменяется, но администратор никогда не перезапускает службу. Это означает, что конфигурация на диске никогда не тестировалась, и работающая конфигурация может больше не существовать. Поэтому, если служба перезапускается, что произойдет после того, как вы примените обновления ядра, она может не перезапуститься. Или он может действовать по-другому, после перезапуска.

Мой совет, будет делать обновления, но будьте осторожны с этим.

  • Планируйте это во время технического обслуживания. Если ничто иное не потребует перезапуска сервера, произошел ряд обновлений ядра, и вам придется перезагрузиться, чтобы применить их.
  • Убедитесь, что сделали полную резервную копию, прежде чем делать что-либо. Это может быть моментальный снимок, если это виртуальная машина, запуск полной резервной копии любого вашего инструмента, подключение /(к другой системе), получение ddобраза дисков, что угодно. Пока это что-то, из чего можно восстановить.
  • Планируйте, как вы будете применять обновления. Вы не хотите просто бросить yum update -yэто и уйти. Для всех хороших вещей, которые делает yum, он не упорядочивает, когда применяет обновления в соответствии с зависимостями. Это вызывало проблемы в прошлом. Я всегда бегаю yum clean all && yum update -y yum && yum update -y glibc && yum update. Это имеет тенденцию заботиться о большинстве потенциальных проблем заказа.

Это также может быть прекрасным временем для перепланировки. У нас был RHEL6 уже довольно давно. В зависимости от того, что делает этот сервер, возможно, имеет смысл просто позволить этому работать как есть, пока вы параллельно запускаете новый экземпляр. Затем, после установки, вы можете скопировать все данные, протестировать сервисы и выполнить вырезку. Это также даст вам возможность с самого начала узнать, что система стандартизирована, чиста, хорошо документирована и все такое прочее.

Независимо от того, что вы делаете, я чувствую, что очень важно, чтобы вы перешли на текущую систему. Вам просто нужно убедиться, что вы делаете это так, чтобы вы доверяли своей работе и готовому продукту.


Спасибо за подробный ответ и понимание некоторых соображений, о которых я не задумывался. Надеюсь, это будет последнее массовое обновление, которое мне нужно сделать. Как я упоминал в своем посте, они даже не использовали RHN (который они приобрели), поэтому получить владельцев приложений на борту, вероятно, будет сложнее, чем техническая работа :)
tdk2fe

@ tdk2fe: ​​Это всегда так. :) Честно говоря, в зависимости от того, что эта вещь работает, она должна быть довольно вонючей стабильной. Я был бы гораздо меньше озабочен тем, что приложения не работают больше, чем сервисы, которые фактически запускаются обратно.
Скотт Пак

Не беспокойтесь о RHEL 5.7 против 5.9, RHEL 5.9 - это просто RHEL 5.0 со всеми обновлениями, поставленными готовыми к установке. Там действительно нет необходимости «обновлять» внутри серии. Я бы посоветовал, по крайней мере, установить обновления безопасности и серьезно рассмотреть возможность установки остальных. Разве вы не можете настроить виртуальную машину или тестовую коробку, в которой для репликации основной машины и проверки ничего не взрывается слишком плохо?
vonbrand

1
@ Vonbrand: Да, именно так. Точечные выпуски - это, по сути, всего лишь сокращения тегов репо в определенные даты. Это не значит, что проблем не будет. Gilbc Kerfuffle от 5,3 до 5,4 является фантастическим примером.
Скотт Пак

@ tdk2fe Не говоря уже о том, что если система не обслуживалась только год, у вас все хорошо. Большинство из нас видели, как системы оставались без внимания в течение нескольких лет ...
Майкл Хэмптон

3

По моему опыту, RHEL не нарушает обратную совместимость в обновлениях того же выпуска.

это, однако, не распространяется на все, что было установлено внешне для rpm.

Вы можете использовать, rpm -qfчтобы найти файлы, которые вы подозреваете, скомпилированы как внешние, если он возвращает «не принадлежащий ни одному пакету», то у вас могут возникнуть проблемы при обновлении.

Я бы взял образ сервера и выполнил обновление, но я чуть более беспомощен, чем большинство, как бы то ни было.


Хорошая точка зрения. Проверьте, /etc/yum.repos.dне настроены ли какие-то странные репозитории ( EPEL должен быть безопасным), установите yum-utilsи проверьте вывод package-cleanup --orphans(установлены пакеты, которых нет ни в одном из настроенных репозиториев).
vonbrand
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.