पहले से अनम्यूट सर्वर RHEL5.7 को अपडेट करने के लिए सर्वश्रेष्ठ अभ्यास


21

एक नया RedHat EL5.6 सर्वर हाल ही में मेरी देखभाल के तहत रखा गया है। यह तुरंत स्पष्ट है कि, पिछले 12 महीनों के लिए, किसी भी प्रकार के पैकेज अपडेट पर कोई ध्यान नहीं दिया गया है।

आमतौर पर मैं मानसिकता का हूं कि अगर यह टूटा नहीं है - इसे ठीक न करें। हालांकि, RHN के साथ सर्वर को पंजीकृत करने के बाद, और सुरक्षा अद्यतनों की जांच करने के लिए yum-security प्लगइन का उपयोग करने के बाद, केवल 1100 से अधिक "सुरक्षा" अद्यतन उपलब्ध हैं।

क्या किसी के साथ भी ऐसी ही स्थिति है? मैं बस सब कुछ अपडेट करने के लिए अनिच्छुक हूं, क्योंकि मुझे पता है कि क्या अपडेट किया जा रहा है और क्या यह बॉक्स पर चलने वाली किसी भी चीज को प्रभावित करने की क्षमता है या नहीं (यह एक उत्पादन सर्वर है)। हालाँकि, यह भी लगता है कि इस प्रथा के अनुरूप रखने के लिए मुझे 1100 पैकेज इरेटा लाइन से गुजरने की आवश्यकता होगी। क्या अधिक कुशल समाधान है?

जवाबों:


21

आम तौर पर बोलने वाले सुरक्षा अपडेट को कुछ हद तक सुरक्षित माना जाता है, खासकर रेडहैट जैसे लक्ष्यों के साथ वितरण के लिए। उनका मुख्य ध्यान एक ऑपरेटिंग वातावरण बनाना है जो सुसंगत है। जैसे कि अनुचर संकुल के संस्करणों को चुनते हैं और उनके साथ लंबी दौड़ के लिए चिपके रहते हैं। देखने के लिए मैं की तरह इस तरह के पैकेज के संस्करणों पर नज़र क्या मतलब है kernel, python, perl, और httpd। वे जो भी करते हैं वह अपस्ट्रीम डेवलपर्स से बैकपोर्ट सिक्योरिटी पैच है। इसलिए यदि Apache httpd 2.2.x के सभी संस्करणों के लिए सुरक्षा भेद्यता पाई जाती है, तो Apache नींव ठीक होने के साथ संस्करण 2.2.40 जारी कर सकती है, लेकिन RedHat पैच को स्थानीय रूप से रोल करेगा और httpd-2.2.3-80फिक्स के साथ रिलीज़ करेगा।

यह भी ध्यान रखें कि आप वर्तमान में RHEL5.7 सिस्टम के बारे में बात कर रहे हैं, वर्तमान रिलीज़ 5.9 है। कुछ सॉफ्टवेयर विक्रेता केवल कुछ उप-विवादों का समर्थन करेंगे। मैं हाल ही में सॉफ्टवेयर के एक टुकड़े पर आया हूं, उदाहरण के लिए, कि विक्रेता केवल 5.4 पर काम करता है। इसका मतलब यह नहीं है कि यह 5.9 पर नहीं चलेगा, लेकिन इसका मतलब यह हो सकता है कि अगर यह काम नहीं करता है तो वे इसे कोई समर्थन नहीं देंगे ।

ऐसी प्रणाली के बड़े पैमाने पर अपडेट करने के बारे में भी चिंता है जो इतने लंबे समय में पैच नहीं हुई है। सबसे बड़ा जो मैं भर में आया हूं वह वास्तव में एक कॉन्फ़िगरेशन प्रबंधन समस्या से अधिक है जिसे केवल बड़े अपडेट द्वारा समाप्त किया जा सकता है। कभी-कभी एक कॉन्फ़िगर फ़ाइल बदल जाती है लेकिन व्यवस्थापक कभी भी सेवा को पुनरारंभ नहीं करता है। इसका मतलब है कि डिस्क पर कॉन्फ़िगरेशन का परीक्षण कभी नहीं किया गया है, और चल रहे कॉन्फ़िगरेशन अब मौजूद नहीं हो सकते हैं। इसलिए यदि सेवा फिर से शुरू हो जाती है, जो कि कर्नेल अपडेट को लागू करने के बाद होगा, तो यह वास्तव में पुनरारंभ नहीं हो सकता है। या यह अलग कार्य कर सकते हैं एक बार वह पुन: प्रारंभ।

मेरी सलाह, अपडेट करने के लिए होगी, लेकिन इसके बारे में स्मार्ट रहें।

  • एक रखरखाव खिड़की के दौरान इसे बाहर की योजना बनाएं। यदि सर्वर को फिर से शुरू करने की आवश्यकता नहीं है, तो कई कर्नेल अपडेट किए गए हैं और आपको उन्हें लागू करने के लिए रिबूट करना होगा।
  • कुछ भी करने से पहले पूरा बैकअप ज़रूर लें। यह स्नैपशॉट हो सकता है, अगर यह एक वीएम है, जो आपके टूल का पूर्ण बैकअप ट्रिगर कर रहा है, /(किसी अन्य सिस्टम पर), ddड्राइव की एक छवि लेते हुए , जो भी हो। बस जब तक यह कुछ ऐसा है जिससे आप बहाल कर सकते हैं।
  • योजना बनाएं कि आप अपडेट कैसे लागू करते हैं। आप बस yum update -yइसे फेंकना और दूर चलना नहीं चाहते हैं । सभी अच्छी चीजों के लिए जो यम करता है वह तब निर्भर नहीं करता है जब वह निर्भरता के अनुसार अपडेट लागू करता है। इससे अतीत में समस्याएं पैदा हुई हैं। मैं हमेशा दौड़ता हूं yum clean all && yum update -y yum && yum update -y glibc && yum update। यह सबसे अधिक संभावित आदेश देने वाले मुद्दों की देखभाल करने के लिए जाता है।

यह भी प्रतिकृति के लिए एक महान समय हो सकता है। हमारे पास अभी काफी समय से RHEL6 है। यह सर्वर क्या करता है, इस पर निर्भर करते हुए, यह समझ में आ सकता है कि जब आप समानांतर में एक नया उदाहरण लाते हैं, तो इसे केवल एक ही चलने दें। फिर एक बार स्थापित होने के बाद आप सभी डेटा को कॉपी कर सकते हैं, सेवाओं का परीक्षण कर सकते हैं, और कट ओवर कर सकते हैं। यह आपको यह जानने का मौका भी देगा कि जमीन से, कि प्रणाली मानकीकृत, स्वच्छ, अच्छी तरह से प्रलेखित है, और यह सब बहुत उज्ज्वल है।

कोई फर्क नहीं पड़ता कि आप क्या करते हैं, मुझे लगता है कि यह बहुत महत्वपूर्ण है कि आप अपने आप को एक मौजूदा प्रणाली तक ले जाएं। आपको बस इसे इस तरह से करने की ज़रूरत है, जिससे आपको अपने काम और तैयार उत्पाद पर भरोसा हो।


विस्तृत उत्तर और अंतर्दृष्टि के लिए धन्यवाद, मैंने कुछ भी नहीं सोचा था। उम्मीद है कि यह आखिरी बल्क अपडेट होगा जो मुझे करने की जरूरत है। जैसा कि मैंने अपने पोस्ट में उल्लेख किया है, वे RHN का उपयोग नहीं कर रहे थे (जो उन्होंने खरीदे थे) इसलिए बोर्ड पर आवेदन मालिकों को प्राप्त करना संभवतः तकनीकी कार्य से अधिक कठिन होगा :)
tdk2fe

@ tdk2fe: ​​यह हमेशा है। :) ईमानदारी से, यह बात क्या चलता है पर निर्भर करता है, यह बहुत बदबूदार स्थिर होना चाहिए। मैं उन अनुप्रयोगों के बारे में बहुत कम चिंतित रहूंगा जो अब काम नहीं कर रहे हैं क्योंकि मैं वास्तव में बैक अप सेवा शुरू करूंगा।
स्कॉट पैक

आरएचईएल 5.7 बनाम 5.9 के बारे में बहुत चिंतित न हों, आरएचईएल 5.9 अभी तक सभी अपडेट के साथ आरएचईएल 5.0 है, जिसे इंस्टॉल करने के लिए तैयार किया गया है। श्रृंखला के अंदर वास्तव में "अपग्रेड" करने की आवश्यकता नहीं है। मैं कम से कम सुरक्षा अद्यतन स्थापित करने की सलाह दूंगा, और बाकी को लागू करने पर गंभीरता से विचार करना चाहिए। क्या आप एक वर्चुअल मशीन या एक परीक्षण बॉक्स स्थापित नहीं कर सकते हैं, जिसमें मुख्य मशीन को दोहराने और कुछ भी नहीं जांचने से बहुत बुरी तरह से विस्फोट होता है?
वॉनब्रांड

1
@vonbrand: सही, बिल्कुल। बिंदु रिलीज़ प्रभावी रूप से विशिष्ट तिथियों में रेपो के केवल टैग में कटौती करते हैं। इसका मतलब यह नहीं है कि वहाँ समस्याएं नहीं होंगी। 5.3 से 5.4 तक का गिलेबक केर्फ़फ़्ल एक शानदार उदाहरण है।
स्कॉट पैक

@ tdk2fe का उल्लेख नहीं है, अगर सिस्टम केवल एक वर्ष के लिए ही अप्राप्त था , तो आप बहुत अच्छा कर रहे हैं। हम में से अधिकांश को देखा है प्रणाली कई वर्षों के लिए ध्यान के बिना जाने के ...
माइकल हैम्पटन

3

मेरे अनुभव में आरएचईएल एक ही-रिलीज़ अपडेट में पीछे की संगतता को नहीं तोड़ता है।

हालांकि, आरपीएम के लिए बाहरी रूप से स्थापित की गई किसी भी चीज़ का विस्तार नहीं होगा।

आप rpm -qfउन फ़ाइलों को खोजने के लिए उपयोग कर सकते हैं जिन पर आपको संदेह है, बाहरी रूप से संकलित हैं, अगर यह "किसी भी पैकेज के स्वामित्व में नहीं है" तो आपके अपग्रेड में समस्याएं हो सकती हैं।

मैं सर्वर की एक छवि लेता हूं और अपग्रेड करता हूं, मैं सबसे अधिक शैतान-की-देखभाल कर सकता हूं।


अच्छी बात। जांचें कि /etc/yum.repos.dक्या कुछ अजीब रिपॉजिटरी कॉन्फ़िगर किए गए हैं ( ईपीईएल सुरक्षित होना चाहिए), स्थापित करें yum-utilsऔर package-cleanup --orphans(किसी भी कॉन्फ़िगर किए गए रिपॉजिटरी में स्थापित पैकेज नहीं) के आउटपुट की जांच करें ।
वॉनब्रांड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.