пожалуйста, простите за довольно простой вопрос.
Во-первых, я не системный администратор, и мой опыт работы с Linux несколько ограничен.
Около 3-4 месяцев назад я настроил сервер CentOS в работу по разным причинам. Мы используем его в качестве сервера разработки для веб-сайтов (к которым имеют доступ наши клиенты), сервера подрывной деятельности, и мы также размещаем на нем вики-сайт для внутренней коммуникации, поэтому он стал для нас довольно важным инструментом. (Вероятно, важнее, чем мы думали, когда я его настраивал!)
Я обратил внимание на то, что Yum хочет обновить около 250 пакетов до последних версий в репозитории.
Поскольку сервер у нас работает нормально, стоит ли мне рискнуть обновить эти пакеты? Перевешивают ли риски безопасности риск поломки сервера, когда я все обновляю?
Я должен отметить, что, хотя у меня есть резервные копии всего, потребуется время, чтобы все настроить так, как сейчас, а у меня сейчас мало свободного времени на работе!
Если советуем обновить, можно ли передать какие-либо передовые методы, чтобы сделать процесс максимально безопасным?
Спасибо заранее за любые советы.
ОБНОВЛЕНИЕ - Всем спасибо за ответы. Если бы у меня было достаточно репутации, чтобы проголосовать за всех, я бы сделал это. ;) Решил завести винчестер и обновить. К сожалению, на данный момент невозможно привлечь системного администратора на полную или частичную занятость, поэтому мне просто придется разобраться с этой проблемой как можно лучше!
Быстрое и грязное (например, Battlefield Administrator) решение:
Переведите свою систему в автономный режим (надеюсь, вы сможете) и сделайте резервную копию NortonGhost (или что-то подобное) на второй жесткий диск.
Загрузите второй жесткий диск (чтобы убедиться, что ваша резервная копия действительно работает) и выполните обновление yum на ЭТОМ диске.
Если все работает ... поздравляю!
Если он что-то напортачит ... вставьте ОРИГИНАЛЬНЫЙ диск и придумайте «План Б».
ОБНОВИТЬ:
Просто подумал, что упомяну, что настоящая проблема здесь в том, «Могу ли я обновить мою устаревшую систему waaaay и рисковать ее испортить?» или "Могу ли я оставить свою отлично работающую систему без исправлений и рисковать, что она будет взломана / скомпрометирована?"
Ответ таков ... как только вы исправите свою систему с помощью описанных выше шагов ... постарайтесь оставаться на вершине, часто создавая резервные копии и часто исправляя.
Тогда у вас будет лучшее из обоих миров. ;-)
Да, обновите.
RHEL (и, следовательно, CentOS) стараются не обновлять версии до чего-либо несовместимого, вместо этого они переносят исправления ошибок и исправления безопасности, поэтому фактические изменения в пакетах минимальны и вряд ли вызовут проблемы совместимости.
Если какие-либо файлы конфигурации были изменены, пакеты сообщат вам о создаваемом файле .rpmorig или .rpmnew. Это зависит от конфигурации самого RPM. Вы можете посмотреть предупреждения о любых из созданных и либо вернуть старую конфигурацию ("cp foo foo.bak; cp foo.rpmorig foo") или просмотрите файлы .rpmnew и внесите любые изменения в свою конфигурацию.
Проблема станет менее заметной, если вы будете регулярно обновляться.
У нас много систем, которые обновляются ежеквартально (каждые 3 месяца); и очень редко возникают проблемы с обновлениями пакетов. (за исключением систем, выполняющих странные действия ядра для доступа к LUN из SAN)
Хотя да, на обновление потребуется время. И в том же поместье потребуется время для восстановления, если что-то пойдет не так. Сколько боли / страданий было бы, если бы данные в этой системе были удалены с помощью эксплойта / взлома?
По большей части обновления из базовых репозиториев CentOS безопасны для установки. Единственный раз, когда у меня были проблемы с обновлением CentOS, - это когда я запускаю / или мне нужно использовать внешний репозиторий (DAG, RPMForge, Ect ect ..)
В Лучший Настройка для такого рода вещей заключается в том, чтобы иметь готовый сервер с возможностью горячей замены, чтобы вы могли протестировать обновления на нем, прежде чем развертывать их на активном сервере.
Похоже, вам нужен реальный системный администратор, который потратит пару часов, чтобы просмотреть вашу систему, обновить ее и убедиться, что все работает снова. В идеале, этот человек должен приходить и делать это за вас несколько раз в месяц. Сервер не вещь, которую нужно «установить один раз и забыть»; он нуждается в регулярном обслуживании.
Если эта система так важна, то обновления безопасности становятся еще важнее. Подумайте о последствиях, если эта система должна быть отключена для перестройки, если (когда?) Устаревший пакет допускает компрометацию системы. В идеале у вас должен быть тестовый сервер, настроенный аналогичным образом, который вы могли бы сначала обновить, и проверить, не сломается ли что-нибудь.
Когда вы все же применяете обновления, вам нужно убедиться в нескольких вещах:
Хороший системный администратор должен иметь опыт подобной работы и в любом случае должен делать все это. Если в вашей организации они есть, возможно, сейчас самое время переложить на них администрирование системы. Или, если вы нервничаете, делая это самостоятельно, подумайте о том, чтобы нанять кого-нибудь по контракту для выполнения такого рода текущих работ. В любом случае обновления необходимость произойти, поскольку вы открываете себя для гораздо худшей ситуации в будущем.
Вот почему сегодня я почти никогда не запускаю производственные системы на реальном оборудовании. Я запускаю их на виртуальных машинах. Затем во время короткого простоя (5 минут) я запускаю либо моментальный снимок из самого ESX, либо, если я использую пользовательскую установку Xen / Solaris / OpenVZ, я делаю моментальный снимок LVM образа сервера. Затем я загружаю исходную резервную копию, и теперь у меня есть копия, с которой я могу работать по своему усмотрению.
Тем не менее, начните с обновления ядра и apache, а затем работайте в обратном направлении. Вам не обязательно брать полный список пакетов, который сообщает yum, но главными векторами атак должны быть те, которые вы исправляете как можно скорее.
Каждый раз, когда у меня когда-либо была взломана система Linux, это потому, что я оставил apache, openssh или само ядро без исправлений.
Я бы просто обновил пакеты, связанные с безопасностью.
Примерно год назад у меня возникла именно эта вещь ... Я выполнил обновление yum для системы CentOS, работающей на оборудовании Dell, и установил ядро, которое не загружалось. В коробке еще ничего не было загружено (иначе я был бы осторожнее). Потратил много времени на то, чтобы возиться с ним, и кажется, что есть некоторая несовместимость между новыми ядрами CentOS / Linux и этим Dell. Будьте очень осторожны со своими обновлениями. Я по-прежнему рекомендую выполнить обновление, так как это правильно, но будьте готовы к восстановлению после поврежденной системы!