我正在考虑添加一个定期运行yum -qy update的cronjob在一些没有定期维护的机器上。 目标是保持机器最新的安全补丁,否则将适用于太晚。 我只使用CentOS基础知识库。
问题:
这取决于
在我使用CentOS的经验中,它很安全,因为你只使用CentOS基础知识库。
如果您偶尔会期望更新失败的更新…是的…在相同的级别上,您应该期待一个故障的硬盘驱动器或失败的CPU。 你永远不会有太多的备份。 🙂
关于自动更新的好处是你得到补丁(因此更安全)比手动更快。
手动补丁似乎总是被推下或被认为是“低优先级”,所以如果你要去手动模式的日程安排,你的日程安排。
我已经configuration了许多机器做自动yum udpates(通过cron作业),并且很less有问题。 事实上,我不记得BASE仓库有问题。 我所能想到的每一个问题(根据我的经验来看,都是我的头顶)一直是第三方的情况。
这就是说…我有几台机器,我手动做的更新。 像数据库服务器和其他极端关键的系统,我喜欢有一个“手”的方法。
我个人认为这样的方式就是这样的…我想到了“假设”的情况,然后试着想一下,从备份中重build或恢复需要多长时间,什么(如果有的话)会丢失。
在多个Web服务器的情况下……或者内容变化不大的服务器……我继续进行自动更新,因为重build/恢复的时间很短。
在关键数据库服务器等情况下,我每周安排一次时间查看并手动修补它们,因为重build/恢复花费的时间更为耗时。
根据您在networking中拥有的服务器以及备份/恢复计划的实施方式,您的决定可能会有所不同。
希望这可以帮助。
Pro :您的服务器始终处于最新的修补程序级别,通常甚至是针对0天的漏洞。
答 :服务器上运行的任何代码都会使用在更高版本中删除的function,任何更改语法的configuration文件以及任何防止执行可被利用的代码的新安全“function”都可能导致在该服务器上运行的内容在没有您的情况下中断了解它,直到有人打电话给你一个问题。
最佳实践:让服务器在需要更新时向您发送电子邮件。 备份或知道如何回滚更新。
除了大多数人在这里说的外,我还是强烈推荐注册到centos邮件列表,他们总是在把它们推送到存储库之前发送有关补丁和优先级的电子邮件。 事先知道哪些软件包需要升级是很有用的。
我的设置是允许yum每天自动更新一次系统,我让yum给我发送一个安装了软件包的邮件。 当yum发生冲突时,我也会收到邮件,需要人工干预(每4小时)。
到目前为止,一切正常运行(4年多了),唯一一次我被抓住了防卫的时候,yum升级了常规内核(我虚拟化了我的服务器),并改变了grub,并将默认的普通内核作为默认值,2周后来在维护期间,我的系统重新启动,所有的虚拟服务器都消失了几分钟,直到我不得不手动干预。
除此之外,我真的没有任何问题。
只要你没有任何自定义的软件包,而且只使用CentOS的Base库,它应该是相当安全的。
另外,更好的方法是使用yum-updatesd和do_update = yes设置。
我想只要你有自动备份,只要你能忍受服务器的停机时间,就不用担心了。
我没有试过这个; 我不想亲自上阵,因为有一个很大的风险,就是因为上游的问题而导致某些事情发生,或者引入了一个不寻常的晦涩问题。 更糟的是,如果这是一个很less受到关注的服务器,那么如果出现问题,您可能不知道。
如果您可以在有问题的服务器停留一段时间(如果/当某些事情中断时),并且您有响应计划将系统恢复到以前的状态,以及通过日志或电子邮件向您发送更新的系统报告什么时候更新(所以你知道它不是在卡住状态或等待回复需要干预的事情),那么你可以试试看。 如果这是一个关键的服务器或重要的东西…我不想冒这个风险。
我的服务器不是你的:-)