所以我今天和同事讨论了一下,他让我觉得很奇怪,因为我准备将安全更新应用到我们的一台生产服务器上。
“你不应该应用内核更新。” 他的理由是,你不知道是否会打破任何链接的模块,这可能会导致应用程序碎片。 我会买这个,如果可能无论你正在运行需要你build立自定义的内核模块 – 但对于你的标准应用程序这真的是一个问题? FWIW有问题的盒子运行一个Apache web服务器和一个数据库。
我认为定期应用安全更新对于防范漏洞是必要的,而且他认定的风险超过了在生产环境中使用最新内核的好处。
这就是为什么你有一个实验室,开发或分期或testing环境,有点类似或代表你的生产环境。 有些机器装载了相同的操作系统,补丁级别和应用程序,理想情况下…所以您可以确信,任何和所有补丁程序都将与您在生产中运行的软件兼容。
修补程序因为修复错误,安全问题,性能问题等而被释放
除非你不想解决这些问题,否则就应用所有的补丁。 通过testing环境运行后 ,确保它们安全。
PS的乐趣:Linus公开撕裂了一些老兄一个新的漏洞,因为内核补丁破坏了与用户模式应用程序的兼容性。 内核补丁显然是他的座右铭(和一个通用的操作系统devise原则)应该努力不要破坏外部接口。
其实我们现在正在做内核更新。 仅在今天,我们就在我们的德克萨斯州数据中心运行了50台虚拟机的内核更新。 这个内核更新非常重要,因为它涉及Java应用程序的“闰秒”错误。 我们有Redhat 6.2上运行的Java应用程序,如果引入了闰秒(年中和年底),应用程序发生混乱并且完全没有响应,则会出现问题。 所以,我们在今年年中之前更新所有的Redhat / CentOS 6.2主机,以避免这个错误。 内核更新由Redhat公司发布,是一个非常重要的更新。 我们希望能够在今年年中推出闰秒之前做好这件事。
你在testing环境中首先testing你的内核更新,看看它是否破坏了任何东西。 你只是不要在生产环境上运行任何更新。