这是一个棘手的问题,我希望我能正确描述它。 我们利用Ubuntu作为各种networking上的专有networking设备的操作系统。 现在有数百个存在。 他们在Hardy LTS或Lucid LTS上大约是50/50。 所有运行桑巴,这是我们的故事真正开始的地方…
Samba在过去几年中已经发布了许多重要的错误修复,现在已经在3.6.0版本上。 Lucid软件包数据库只能达到3.4.7,其中有几个主要的漏洞已经在3.5.x版本中进行了修补。
维护这些单位的Samba版本的最佳方法是什么? 我想避免更换它们,这可能是昂贵的; 我想尽量避免运行命令行升级到发行版(也就是从哈代到Lucid),因为我们没有物理访问所有的单元,升级都是远程完成的。
我们有一个服务器来运行一个自定义的Ubuntu软件包库,但是我担心它会打破哈代。 对此的一个最佳实践的思考? 第一步,提出一个长期计划,让发行版保留在最新的LTS发行版上,但之后,如果LTS没有发行版,我们如何获得LTS发行版的最新版本…
各种面向服务器的分发的正常策略是保持固定的版本号,并将重要更新反向移植到该版本。 重要更新被定义为安全性/稳定性修正。 “长期支持”的重点在于为用户提供两件事情:
因此,我认为,你的问题在于把你的盒子升级到发行版本中的最新版本,只要它们仍然被维护。 您也可以检查软件包的发行说明,安全错误已经在升级版本中进行了修补。 他们应该是,但是有书面certificate是很好的。
如果您使用的任何发行版本已经不在支持范围内,那么您将回到第一个版本。在这种情况下,最安全的方法是将这些版本升级到受支持版本。 我知道,痛苦和昂贵,但安全和稳定是客户支付的。 即使是内部客户。 如果您不能获得所需升级的资源,我会从您的经理和备份中以书面forms(即电子邮件)获得这些资源,并将其多个副本存档,以便其中一台计算机可能发生崩溃/遭到黑客入侵缺乏升级。 谨慎的自我保护政策。
当然,你可以创build自定义的包(可能有依赖关系),并将它们发送到现场进行升级,但是你必须:
这是可能的,但需要花费大量的时间和精力,几乎无视使用LTS分布的观点。 另一件事:桑巴并不是唯一的潜在问题。 那么kernel / glibc /其他必备软件包呢?
但是,如果您将其切割,则需要一些用于升级方框的基础结构。 我知道最简单的(但并不总是可行的)就是使用分发维护者设置的那个。