Я подумываю добавить запуск cronjob yum -qy update
на регулярной основе на некоторых машинах, не требующих регулярного обслуживания. Цель состоит в том, чтобы поддерживать машины в актуальном состоянии в отношении исправлений безопасности, которые в противном случае были бы применены слишком поздно. Я использую только базовые репозитории CentOS.
Вопросы:
Это зависит
По моему опыту работы с CentOS, это довольно безопасно, поскольку вы используете только базовые репозитории CentOS.
Если вы ожидаете неудачных обновлений время от времени ... да ... на том же уровне, на котором вы должны время от времени ожидать сбой жесткого диска или отказавшего процессора. У вас никогда не может быть слишком много резервных копий. :-)
Самое приятное в автоматических обновлениях - это то, что вы получаете исправления (и, следовательно, более безопасны) быстрее, чем вручную.
Ручные исправления всегда, кажется, отодвигаются или рассматриваются как «низкий приоритет» по отношению ко многим другим вещам, поэтому, если вы собираетесь перейти в ручной режим, РАСПИСАНИЕ ВРЕМЕНИ В ВАШЕМ КАЛЕНДАРЕ, чтобы сделать это.
Я настроил много машин для автоматического обновления yum (через задание cron), и у меня редко возникали проблемы. Фактически, я не припомню, чтобы у меня когда-либо возникала проблема с репозиториями BASE. Каждая проблема, о которой я могу подумать (по моему опыту), всегда была ситуацией третьей стороны.
При этом ... У меня есть несколько машин, для которых я ВРУЧНУЮ делаю обновления. Такие вещи, как серверы баз данных и другие ЧРЕЗВЫЧАЙНО важные системы, мне нравится применять «практический» подход.
Я лично понял это примерно так ... Я думаю о сценарии «что, если», а затем пытаюсь подумать, сколько времени потребуется, чтобы восстановить или восстановить из резервной копии, и что (если что-то) будет потеряно .
В случае нескольких веб-серверов ... или серверов, содержимое которых не сильно меняется ... Я продолжаю и делаю автоматическое обновление, потому что время на перестройку / восстановление минимально.
В случае критических серверов баз данных и т. Д. Я назначаю время один раз в неделю, чтобы просматривать их и вручную исправлять их ... потому что время, затрачиваемое на восстановление / восстановление, требует больше времени.
В зависимости от того, какие серверы у ВАС есть в сети и как реализован план резервного копирования / восстановления, ваши решения могут быть разными.
Надеюсь это поможет.
Pro: Ваш сервер всегда находится на последнем уровне исправлений, обычно даже против эксплойтов нулевого дня.
Против: Любой код, работающий на вашем сервере, который использует функции, удаленные в более поздних версиях, любые файлы конфигурации, которые изменяют синтаксис, и любые новые «функции» безопасности, которые предотвращают выполнение кода, который может быть использован, могут привести к тому, что вещи, работающие на этом сервере, сломаются без вашего ведома. об этом, пока кто-нибудь не позвонит вам с проблемой.
Лучшая практика: попросите сервер отправить вам электронное письмо, когда его необходимо обновить. Создайте резервную копию или узнайте, как откатить обновления.
Вдобавок к тому, что здесь сказано большинством, я настоятельно рекомендую подписаться на список рассылки centos, они всегда отправляют электронные письма о патчах и своих приоритетах прямо перед тем, как отправить их в репозитории. Заранее полезно знать, какие пакеты нужно обновить.
Моя установка позволяет yum автоматически обновлять систему один раз в день, я заставляю yum отправлять мне письмо с установленными или обновленными пакетами сразу после этого. Я также получаю почту, когда у yum возникает конфликт и требуется ручное вмешательство (каждые 4 часа).
До сих пор все работает без сбоев (уже более 4 лет), единственный раз, когда меня застали врасплох, это когда yum обновил обычное ядро (я виртуализировал свой сервер), изменил grub и установил обычное ядро по умолчанию, 2 недели позже во время технического обслуживания моя система была перезагружена, и все мои виртуальные серверы отключились на несколько минут, пока мне не пришлось вмешаться вручную.
Кроме этого, у меня действительно не было никаких проблем.
до тех пор, пока у вас нет пользовательских пакетов и вы используете только базовые репозитории CentOS, это должно быть достаточно безопасно.
кроме того, лучший способ добиться этого - использовать yum-updatesd с участием do_update = yes
устанавливать.
Я полагаю, если у вас есть автоматические резервные копии, это не будет слишком серьезным беспокойством, если вы можете жить с простоем сервера.
Я этого не пробовал; Лично я не хотел бы этого делать, потому что существует значительный риск поломки чего-либо или появления необычной неясной проблемы из-за исправления апстрима. Еще хуже, если это сервер, который редко привлекает внимание, поэтому, если что-то идет не так, вы можете не знать об этом.
Если вы можете жить с рассматриваемым сервером, выходящим из строя в течение определенного периода времени, если / когда что-то сломается, и у вас есть план действий по восстановлению системы обратно в предыдущее состояние, а также система для отправки вам обновлений через журналы или по электронной почте сообщая, когда и что было обновлено (чтобы вы знали, что он не завис и не ждет ответа на то, что требует вмешательства), вы можете попробовать это. Если это критический сервер или что-то важное ... Я бы не хотел рисковать.
Но мои серверы не твои :-)