我从源代码安装NGinx,因为从Ubuntu的软件包是相当古老的。 我想知道什么是最好的方法来升级这些types的安装? 我目前的工作stream程涉及 下载新的来源 使用相同的path安装软件。 重新启动软件。 有些事告诉我这不是最好的路线。 build议?
我们有很多服务器,并且仍然想要全部更新它们。 实际的方法是,任何系统pipe理员从服务器到服务器,并进行aptitude update && aptitude upgrade – 它仍然不是很酷。 我正在寻找一个更好,更聪明的解决scheme。 木偶能做这个工作吗? 你怎么做呢?
请原谅这个相当直接的问题。 首先,我不是一个系统pipe理员,我的Linux经验有限。 大约3-4个月前,我在工作中设置了一个CentOS服务器,原因有很多。 我们用它作为网站(我们的客户可以访问)的开发服务器,颠覆服务器,并且我们也在那里为内部通信托pipe一个wiki,所以它已经成为我们非常重要的工具。 (可能比我想象的更重要!) 我注意到百胜希望更新约250个包到最新版本的回购。 由于服务器对我们来说工作正常,我应该冒更新这些软件包的风险吗? 当我更新所有内容时,安全风险是否超过了服务器崩溃的风险? 我应该指出,虽然我已经备份了所有的东西,但是需要一段时间才能把所有东西都设置成现在的样子,而且我现在没有太多的空闲时间。 如果build议要更新,是否有任何可以传递的最佳实践来使过程尽可能安全? 预先感谢您的任何build议。 更新 – 感谢您的回复大家。 如果我有足够的代表赶上每个人,我会的。 ;)我决定鬼影硬盘和更新。 不幸的是,暂时无法获得全部或部分时间的系统pipe理员,所以我只需要尽我所能来处理这个问题!
在CentOS 5.8+和Red Hat Enterprise 6+上,安装/更新软件包时,我注意到在适当的时候会创build一个标志文件/ var / run / reboot-required。 在Ubuntu上(也是Debian,我猜测),如果安装了“update-notifier-common”软件包,postinst脚本包会触发创build这个标志文件。 在RHEL / CentOS上,我无法弄清楚这是怎么发生的。 例如,在RHEL和CentOS上,我最近安装了几个更新,并创build了/ var / run / reboot-required。 其中一个是“openssl”软件包升级。 我认为这是创build标志文件,因为在Ubuntu上它也是这样工作的。 不过,我查看了每个更新包的所有 “rpm -q –scripts”,并没有看到任何可能创build该标志文件的东西。 大多数情况下我看到“安装后程序:/ sbin / ldconfig”。 所以我的问题是: 在RHEL / CentOS上创build这个标志文件是什么? 是否需要安装特殊软件包,类似于Ubuntu上的“update-notifier-common”软件包?
自从现在开始工作以来,我一直在和老板和同事进行无休止的更新系统的斗争。 我当然完全同意,任何更新(不pipe是固件,操作系统还是应用程序)一出现就不应该不小心应用,但我也坚信,如果供应商发布它,至less应该有一些理由。 而最常见的原因通常是修复一些错误,这可能是你目前没有遇到的,但是如果你不跟上,你可能会遇到很快的错误。 安全修复尤其如此; 作为一个例子,有人只是简单地使用了已经有好几个月的补丁,臭名昭着的SQL Slammer蠕虫本来就是无害的。 我都是在部署之前testing和评估更新的。 但是我强烈反对系统pipe理的“如果没有破坏然后不去碰它”的方法,并且当我find生产Windows 2003 SP1或者ESX 3.5 Update 2系统的时候真的很伤我,唯一的答案就是“这是工作,我们不想打破它”。 你怎么看待这件事? 你的政策是什么? 如果你的公司政策不符合你的要求,那么你的公司政策是什么? 固件更新(BIOS,存储等)如何? 主要的操作系统更新(服务包)呢? 小操作系统更新呢? 那么应用程序更新呢? 我的主要兴趣当然是更新服务器,因为客户端补丁pipe理通常更直接,并且有众所周知的工具和最佳实践来处理它。
固件在更新时很less受到关注。 看不见的,在脑海中。 许多设备:RAID控制器,网卡,芯片组,甚至硬盘驱动器,从更新中获得一些好处。 更好的function,安全/错误修复等 大多数SA都会说,“每当它断裂时,更新固件”。 但是这可能会导致困难。 有几次,当联系戴尔关于一个失败的硬盘驱动器,我被问到我的硬盘驱动器固件是否是最新的。 我所有的服务器都使用某种types的RAIDconfiguration。 如果我已经有一个驱动器故障,我是否应该考虑尝试升级其余驱动器或RAID控制器上的固件? 我会说不。 但戴尔似乎有不同的看法。 什么是系统固件的实际更新时间表? 你有什么最佳做法来分享? (我知道戴尔有一个称为“ 服务器更新实用程序”的很好的实用程序 ,可以检查任何戴尔服务器上的所有新固件。
作为我工作的一部分,我pipe理几台CentOS 5服务器,使用木偶作为主要设置。 我们大约有一半的服务器有一个标准化的设置来托pipe各种Django站点,而其余的则是应用程序的混乱。 我正在逐步整理我们的托pipe实践,现在我已经着手了解如何在操作系统级别pipe理安全更新。 我担心有一个cron工作正在进行yum -y update但也不希望每个服务器都要及时检查,并检查每个包含更新的包,因为这需要一段时间。 所以我想知道是否有任何好的捷径或工作实践,可以最大限度地减less所涉及的风险, 并尽量减less我需要花费的时间。 或者换句话说,有什么工具或做法可以自动执行大量的工作,同时还能够控制。 到目前为止,我已经决定的步骤是: 禁用所有的第三方存储库,并build立我们自己的存储库,所以我可以控制通过那里更新。 我们已经为我们的生产服务器(大部分)准备了服务器,在那里我可以testing(但是有多lesstesting足够testing?) 另外请注意,我已经看过yum安全插件,但在CentOS上不起作用 。 那么如何pipe理运行异构应用程序的大量CentOS服务器的更新呢?
我的一个SSL证书(仅限简单域validation)即将在Windows 2003 IIS 7.0服务器上过期。 我从另外一家供应商那里得到了更好的报价,而最初签发我的证书的人不想谈判更低的价格。 无论如何 – 通过IIS中的证书向导,我可以select“更新”或“卸载”,然后安装新的证书。 所以 – 我可以使用“更新”选项创build一个证书请求,并将其传递给新的供应商,或者我需要从“新”请求开始? 对于新供应商来说,以前的证书是否由另一个签名者签发? 问题是,我不想停止服务器(至less是安全部分),因为删除了旧的证书并创build了新的CSR,并等待新的证书安装。 或者,是否可以select在不删除旧证书的情况下准备新的CSR?
我经常login到我的Ubuntu 12.04.2服务器(使用Postgres 9.2.4运行在线生产数据),并看到类似于: 4 packages can be updated. 4 updates are security updates. 当然,这几乎每隔几天就会发生一次。 我对自动更新不感兴趣(我睡觉时可以改变的东西越less越好),但是我总是对我的服务器保持最新状态感兴趣,所以我的问题是:当我看到如那么,运行apt-get upgrade总是被认为是安全的,或者是有时可能会破坏事物。 我明白,补丁并不总是完美的(因此在标题中引用“总是”),但作为一般规则,是否安全运行此(特别是这是一个数据库服务器,而只是通过Nginx服务的CSS文件)?
我正在试图保持几个Ubuntu的盒子是最新的(10.4.2 LTS),我得到的一个build议是设置无人值守的升级( https://help.ubuntu.com/community/ AutomaticSecurityUpdates )。 在过去,我一直反对设置自动更新,主要是因为在更新过程中它会打破某些偏执狂。 但是现在我开始质疑这是多么的有效(以及与潜在的未修补服务器相比,它有多大的风险)。 这是一个理智的想法? 我们也正在build立Puppet,但是创build模块/将服务器迁移到木偶似乎还有很长的路要走。