У нас есть критически важный производственный веб-сервер, который можно перезагрузить только рано утром в воскресенье.
Почти все критические исправления безопасности требуют перезагрузки после установки. Я опасаюсь, что исправление уязвимости безопасности выйдет во вторник, и эксплойт нулевого дня скомпрометирует сервер до того, как он получит возможность перезагрузиться через 5 дней.
Удаляется ли уязвимость после установки или после перезагрузки? Я слишком параноик? Единственный способ обойти это - кластеризация?
Если для обновления требуется перезагрузка, оно не вступит в силу до указанной перезагрузки, следовательно, требуется перезагрузка.
Ответ зависит от типа патча. Если патч может изменить реестр, и изменение может быть обнаружено сразу после, например, тогда все будет в порядке без перезагрузки. Если в патче явно указано, что ему необходимо перезагрузиться, он вступит в силу только после загрузки компьютера.
Большинство обновлений Windows Server в последнее время загружаются с необходимостью перезагрузки в 2008 и новее. У нас есть установленная политика, согласно которой обновления выпускаются в тот день, когда мы разрешили перезагрузку, поэтому это происходит последовательно. У нас вечер среды. У нас также есть набор критически важных серверов, которые мы подключаем только вручную. Поэтому пакеты развертываются и ожидают подтверждения от оператора перед установкой в подходящее время.
Это зависит. Если патч требует перезагрузки для замены файлов, которые использовались на момент применения патча (например, kernel32.dll), то он не вступит в силу до тех пор, пока не будет перезагружен.