Моя операционная система - Debian 7.9.
На моем выделенном сервере размещен только веб-сайт на PHP (очевидно, 5.4) и некоторые базы данных (MySQL). Также есть программы вроде iptables, fail2banи т. д. настроить.
Недавно я сделал обновление и увидел предупреждение о том, что PHP 5.4 устарел (да, я опаздываю), и что мне нужно будет обновить его до 5.6 и, в конечном итоге, обновить Debian 7.x до 8.x.
Моя проблема:
Я не запускал PHP-код на моем веб-сайте, поэтому мне интересно, следует ли мне следовать простому руководству по обновлению PHP 5.4 до 5.6, разумно ли это (исправить проблемы безопасности) или это сломает мой сайт .
Они даже предлагают перейти на Debian 8, но я чувствую, что это вызовет больше проблем, чем что-либо еще, и у меня не так много времени, чтобы исправить все возникающие новые проблемы (и мне нужен мой веб-сайт в Интернете).
Что я должен делать? Что вы посоветуете, пожалуйста?
Вот что написано в DSA-3380 сказал:
Примечание для пользователей старого стабильного выпуска (wheezy): срок службы PHP 5.4 истек 14 сентября 2015 года. В результате больше не будет новых выпусков основной ветки разработки. Поддержка безопасности PHP 5.4 в старом стабильном выпуске Debian (wheezy) будет наилучшей, и вам настоятельно рекомендуется выполнить обновление до последней стабильной версии Debian (jessie), которая включает PHP 5.6.
Команда безопасности Debian обеспечивает «безопасность» всей вашей системы (насколько это возможно с помощью PHP) за счет резервного копирования последних исправлений безопасности при минимизации несовместимости. Теперь официальных патчей безопасности от PHP upstream больше нет. Таким образом, группе безопасности Debian теперь необходимо адаптировать обновления безопасности для более высоких версий PHP обратно к PHP 5.4. Это, вероятно, потребует дополнительного времени или вообще не выполнимо.
Поэтому они рекомендуют вам перейти на Debian "Jessie" 8 (который является текущим stable) как можно скорее. Debian "Wheezy" 7 - это oldstable и по-прежнему должны поддерживаться командой безопасности. Но обычно служба безопасности заканчивается примерно через год после stable релиз. Так как Debian "Jessie" 8 был выпущен 25 апреля 2015 г. обычный год поддержки может закончиться уже через два месяца.
После этого должен быть дополнительный период поддержки долгосрочной поддержки (LTS), в течение которого другая команда пытается поддерживать этот дистрибутив в течение другого периода времени. Согласно Вики-страница LTS, команда LTS уже взяла на себя поддержку безопасности Debian "Wheezy" 7 и будет поддерживать ее до мая 2018 года.
Так что, чтобы получить прибыль от обслуживания Debian для обеспечения безопасности всей вашей системы, вам, вероятно, следует как можно скорее перейти на Debian «Jessie» 8. Самостоятельное поддержание безопасности программного обеспечения занимает гораздо больше времени, чем обновление вашей системы раз в несколько лет, по крайней мере, по моему опыту.
@aefОтвет отличный, но я хотел бы коснуться еще двух вещей, о которых вы спрашивали.
Процесс обновления Debian довольно прост и безопасен. С настройкой и инструментами, которые вы описываете, я сомневаюсь, что вы столкнетесь с какими-либо проблемами, если только ваш PHP-код не несовместим с 5.6. Вы можете найти официальные инструкции по обновлению Debian для Wheezy до Jessie Вот.
Что касается PHP, то от 5.4 до 5.5 и от 5.4 до 5.6 довольно безопасно. Вот основные несовместимости, которые могут повлиять на обычных пользователей:
В json_decode() метод немного более строгий и больше не позволяет использовать строчные буквы true, false, и null. Но это было бы нарушением спецификации JSON, так что пока ваши JSON API совместимы, это будет нормально.
В Mcrypt для модуля теперь требуются действующие ключи и векторы инициализации.
pack() и unpack() было несколько небольших изменений, которые будут несовместимы с некоторым кодом, который его использует.
php://input теперь можно использовать повторно.
На самом деле это основные моменты, и они не затрагивают многих людей. Полный список Вот и Вот.