क्या कर्नेल अपडेट के बाद लिनक्स को रिबूट करना महत्वपूर्ण है?


19

मेरे पास कुछ प्रोडक्शन फेडोरा और डेबियन वेबसर्वर्स हैं जो हमारी साइटों के साथ-साथ उपयोगकर्ता शेल खातों (जीआईटी वीकेएस काम के लिए उपयोग किए गए, कुछ स्क्रीन + इरसीआई सत्र, आदि) की मेजबानी करते हैं।

कभी-कभी एक नया कर्नेल अद्यतन पाइपलाइन में yum/ के नीचे आ जाएगा apt-get, और मैं सोच रहा था कि अधिकांश फ़िक्सेस रिबूट को वारंट करने के लिए काफी गंभीर हैं, या यदि मैं फ़िक्स को रिबूट लागू कर सकता हूं।

हमारे मुख्य विकास सर्वर में वर्तमान में 213 दिनों का अपटाइम है, और मुझे यकीन नहीं था कि यह इतने पुराने कर्नेल को चलाने के लिए असुरक्षित था।


आपको वास्तव में अलग-अलग उत्पादन होस्टिंग (काफी उजागर और सुरक्षा-महत्वपूर्ण होना चाहिए, अपडेट तुरंत प्राप्त करना चाहिए) को git repos (शायद केवल विश्वसनीय उपयोगकर्ता लेकिन सुरक्षित होना चाहिए) और सामान्य स्क्रीन सत्र चलाने से। वीएम सस्ते हैं!
poolie

जवाबों:


24

लंबे समय तक रहने के बारे में वास्तव में कुछ खास नहीं है। आमतौर पर एक सुरक्षित प्रणाली होना बेहतर है। सभी प्रणालियों को कुछ बिंदु पर अपडेट की आवश्यकता होती है। आप शायद पहले से ही अपडेट लागू कर रहे हैं, क्या आप उन अपडेट को लागू करते समय आउटेज शेड्यूल करते हैं? आप शायद सिर्फ मामले में कुछ गलत हो जाना चाहिए। एक रिबूट कि वास्तव में इतना समय नहीं होना चाहिए।

यदि आपका सिस्टम आउटेज के प्रति इतना संवेदनशील है, तो आपको संभवतः किसी प्रकार के क्लस्टरिंग सेटअप के बारे में सोचना चाहिए, ताकि आप सब कुछ नीचे लाए बिना क्लस्टर के किसी एक सदस्य को अपडेट कर सकें।

यदि आप किसी विशेष अपडेट के बारे में निश्चित नहीं हैं, तो शायद रिबूट को शेड्यूल करना और इसे लागू करना सुरक्षित है (अधिमानतः किसी अन्य समान पर परीक्षण के बाद)।

यदि आप इस बारे में जानने में रुचि रखते हैं कि क्या सुरक्षा सूचना को पढ़ने के लिए अपडेट महत्वपूर्ण समय है, और सीवीई या इस समस्या का वर्णन करने वाले पदों / सूचियों / ब्लॉगों के लिंक का अनुसरण करें । यह तय करने में आपकी मदद करनी चाहिए कि अपडेट आपके मामले में सीधे लागू होता है या नहीं।

अगर आपको नहीं लगता कि यह लागू होता है, तब भी आपको अपने सिस्टम को अंततः अपडेट करने पर विचार करना चाहिए। सुरक्षा एक स्तरित दृष्टिकोण है। आपको किसी समय उन अन्य परतों को विफल करने का अनुमान लगाना चाहिए। इसके अलावा, आप भूल सकते हैं कि आपके पास एक संवेदनशील प्रणाली है क्योंकि आपने किसी अपडेट को समय के कुछ समय में कॉन्फ़िगरेशन बदलने पर छोड़ दिया था।

वैसे भी अगर आप डेबियन आधारित सिस्टम पर अपडेट पर कुछ समय के लिए नजरअंदाज करना या इंतजार करना चाहते हैं तो आप पैकेज को रोक सकते हैं। मैं व्यक्तिगत रूप से सिर्फ मामले में सभी कर्नेल पैकेज पर पकड़ रखना चाहता हूं।

डेबियन-आधारित सिस्टम पर एक पैकेज पर पकड़ बनाने के लिए सीएलआई विधि।

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

1
ऐसा नहीं है कि हमें हमेशा चालू रहने की आवश्यकता है, बल्कि यह है कि हमारे कुछ उपयोगकर्ताओं के पास खुले सत्र (यानी आईआरसी) हैं जो पुनरारंभ करने के लिए कष्टप्रद (उपयोगकर्ता के दृष्टिकोण से) हो सकते हैं।
19.10

12

अधिकांश अपडेट के लिए रिबूट की आवश्यकता नहीं होती है, लेकिन कर्नेल अपडेट करते हैं (आप रिबूट किए बिना वास्तव में रनिंग कर्नेल को प्रतिस्थापित नहीं कर सकते हैं)।

एक बात मुझे पता चली है कि यदि आपका सर्वर रिबूट के बिना लंबे समय से चल रहा है, तो रिबूट करते समय डिस्क चेक (fsck) करने की संभावना अधिक होती है, और इसे वापस लाने में लगने वाले समय में महत्वपूर्ण रूप से जोड़ सकता है ऊपर और फिर से चल रहा है। इसके बारे में अनुमान लगाने और इसके लिए योजना बनाने के लिए सर्वश्रेष्ठ है।

मैंने यह भी पता लगाया है कि कॉन्फ़िगरेशन परिवर्तन कभी-कभी छूट सकते हैं, और तब तक ध्यान नहीं दिया जाएगा जब तक कि एक रिबूट (जैसे कि नए आईपी पते / iptables नियम, आदि को जोड़ना) यह तब भी "डाउनटाइम के जोखिम" को जोड़ता है जब वह बार-बार रिबूट होता है।

रिबूट करते समय कुछ डाउनटाइम की योजना बनाने के लिए सबसे अच्छा है - या यदि यह एक वांछनीय विकल्प नहीं है, तो अपने सर्वर को क्लस्टर में सेट करें ताकि रिबूट आवश्यक हो तो किया जा सके।


8

यदि आपको बस सुरक्षा अपडेट की आवश्यकता है और पूरी तरह से नया कर्नेल नहीं है, तो आपको Ksplice में रुचि हो सकती है - यह आपको कुछ कर्नेल अपडेट को एक चालू कर्नेल में पैच करने देता है।


ओरेकल लिनक्स केवल: |
23

3

इसका कोई सरल जवाब नहीं है, कुछ कर्नेल उन्नयन वास्तव में सुरक्षा से संबंधित नहीं हैं, और कुछ सुरक्षा समस्याओं को ठीक कर सकते हैं जो आपको प्रभावित नहीं करते हैं, जबकि अन्य आपको प्रभावित कर सकते हैं।

सबसे अच्छा तरीका इमो है, जो ubuntu की सुरक्षा-घोषणा जैसी प्रासंगिक सुरक्षा मेलिंग सूचियों में साइन अप करना है ताकि आप देख सकें कि सुरक्षा पैच कब निकल रहे हैं, और वे आपको कैसे प्रभावित कर सकते हैं।

मैं किसी भी अन्य पैकेज अपडेट के विवरण और चैंज प्राप्त करने के लिए apticron या समान पर विचार करूंगा


2

यह अपडेट का एक फ़ंक्शन है - यदि यह एक निजी को ठीक करता है। एस्केलेशन जो रूट एक्सेस का परिणाम है, तो आप इसे लागू करना चाह सकते हैं।


2

इस घटना में कि आप रिबूट नहीं करते हैं , आपको यह सुनिश्चित करना चाहिए कि बूट पर शुरू करने के लिए नया कर्नेल डिफ़ॉल्ट नहीं है।

अंतिम चीज जो आप चाहते हैं, वह अनियोजित पुनरारंभ के बाद उत्पादन के लिए उपयोग किया जा रहा एक अनचाहे कर्नेल है।


1

जैसा कि उल्लेख किया गया है, यदि आप कर्नेल स्थापित करते हैं और रिबूट नहीं करते हैं , तो सुनिश्चित करें कि यह डिफ़ॉल्ट नहीं है। आपको पता नहीं है कि आपका सर्वर किस अवस्था में या किस स्थिति में वापस आने वाला है, इसलिए सुनिश्चित करें कि इसका परीक्षण किया गया है।

कहा जा रहा है, मुझे लगता है कि जब संभव हो तो नियमित रूप से मशीनों को रिबूट करने की आदत डालना अच्छा होता है। बहुत सारे हार्डवेयर और सॉफ्टवेयर विफलताएं केवल एक रिबूट पर ही प्रकट होंगी और जब आप अनियोजित आउटेज के बजाय रिबूट की योजना बना रहे हों तो उन लोगों के बारे में पता लगाना बेहतर होगा।


0

ध्यान दें कि कुछ डेबियन कर्नेल अपडेट की आवश्यकता होती है (अच्छी तरह से, अत्यधिक अनुशंसा) कि आप उन्हें लागू करने के बाद ASAP को रीबूट करें।

यह वह स्थिति है जब अंतर पर्याप्त नहीं होता है एक मॉड्यूल निर्देशिका परिवर्तन को वारंट करने के लिए, लेकिन मॉड्यूल भिन्न हो सकते हैं।

जब आप ऐसे कर्नेल पैकेज स्थापित करते हैं तो आपको डेबियन द्वारा चेतावनी दी जाएगी।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.