Недавно я подписался на списки рассылки CentOS, чтобы быть в курсе любых новых выпусков или обновлений. Я подписан на CentOS-announce
.
Я получаю довольно много писем об исправлениях ошибок и обновлениях. Если предположить, что обновление актуально для меня, как быстро мне попытаться применить эти исправления? В тот же день? На той же неделе? В том же месяце?
В идеале я бы хотел использовать Yum
для установки этих обновлений. К тому времени, когда я получил письмо, исправление обычно доступно в репозиториях?
Каков реалистичный график обновлений для рабочего веб-сервера? Я не уверен, что могу оправдать ежедневное отключение сервера для выполнения обновлений! Что разумно с точки зрения времени простоя для выполнения обновлений?
Глупо предпринимать определенные действия при каждом объявлении об обновлении.
Как администратор, вы, исходя из своего суждения и знания специфики вашей среды, решаете, что важно обновить.
Например, если Apache и OpenSSH обновлены и эти службы открыты для общественности, то имеет смысл поддерживать их в актуальном состоянии. Но во многих средах эти службы недоступны для всего мира, поэтому срочность обновления намного ниже.
Как насчет ядра? Ядро выходит раз в месяц или два. Обновление навязчиво и вызывает простои. Но иногда это имеет смысл.
Я встречал много веб-сред, в которых критически важные пакеты никогда обновлено; как и в годы без обновлений. Это явно неверно, но обновляется ежедневно или еженедельно.
Я лично люблю оценивать ежемесячно или ежеквартально. Известные эксплойты требуют некоторого времени, прежде чем они станут широко использоваться злоумышленниками.