Frage Ist es wichtig, Linux nach einem Kernel-Update neu zu starten?


Ich habe ein paar Produktion Fedora und Debian-Webserver, die unsere Websites hosten sowie Benutzer Shell-Konten (für git vcs Arbeit, einige Bildschirm + irssi Sitzungen usw.) verwendet.

Gelegentlich kommt ein neues Kernel-Update in die Pipeline yum/apt-getund ich frage mich, ob die meisten Fixes streng genug sind, um einen Neustart zu rechtfertigen, oder ob ich die Fixes ohne Neustart anwenden kann.

Unser Hauptentwicklungsserver hat derzeit eine Betriebszeit von 213 Tagen, und ich war mir nicht sicher, ob es unsicher war, einen solchen älteren Kernel zu betreiben.


18
2018-05-19 21:03


Ursprung


Sie sollten das Produktions-Hosting wirklich trennen (ziemlich exponiert und sicherheitskritisch, sollten Sie sofort Updates erhalten), indem Sie Git-Repos (wahrscheinlich nur vertrauenswürdige Benutzer, die aber sicher sein müssen) und allgemeine Bildschirmsitzungen ausführen. VMs sind billig! - poolie


Antworten:


Es ist nichts Besonderes, eine lange Betriebszeit zu haben. Generell ist es besser, ein sicheres System zu haben. Alle Systeme müssen irgendwann aktualisiert werden. Sie übernehmen wahrscheinlich bereits Updates. Planen Sie Ausfälle, wenn Sie diese Updates anwenden? Sie sollten wahrscheinlich nur für den Fall, dass etwas schief geht. Ein Neustart sollte nicht so viel Zeit in Anspruch nehmen.

Wenn Ihr System so empfindlich auf Ausfälle reagiert, sollten Sie wahrscheinlich über eine Art von Cluster-Setup nachdenken, sodass Sie ein einzelnes Mitglied des Clusters aktualisieren, ohne alles zu reduzieren.

Wenn Sie sich bei einem bestimmten Update nicht sicher sind, ist es wahrscheinlich sicherer, einen Neustart zu planen und anzuwenden (vorzugsweise nach dem Testen auf einem anderen ähnlichen System).

Wenn Sie daran interessiert sind zu erfahren, ob das Update wichtig ist, nehmen Sie sich Zeit, den Sicherheitshinweis zu lesen, und folgen Sie den Links zurück zum CVE oder die Posts / Listen / Blogs, die das Problem beschreiben. Dies sollte Ihnen helfen zu entscheiden, ob das Update in Ihrem Fall direkt anwendbar ist.

Selbst wenn Sie nicht glauben, dass es zutrifft, sollten Sie dennoch in Erwägung ziehen, Ihr System zu aktualisieren. Sicherheit ist ein mehrschichtiger Ansatz. Sie sollten zu einem Zeitpunkt annehmen, dass diese anderen Schichten ausfallen können. Sie könnten auch vergessen, dass Sie ein anfälliges System haben, weil Sie ein Update übersprungen haben, wenn Sie die Konfiguration zu einem späteren Zeitpunkt ändern.

Wenn Sie das Update auf Debian-basierten Systemen ignorieren oder warten möchten, können Sie das Paket in die Warteschleife legen. Ich persönlich halte gerne alle Kernel-Pakete für alle Fälle bereit.

CLI-Methode, um ein Paket auf Debian-basierten Systemen zu halten.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

23
2018-05-19 21:37



Es ist nicht so, dass wir immer eingeschaltet sein müssen, sondern dass einige unserer Benutzer offene Sitzungen (d. H. IRC) haben, die (aus der Sicht des Benutzers) störend sein können, um neu zu starten. - lfaraone


Die meisten Updates erfordern keinen Neustart, aber Kernel-Updates tun (Sie können den laufenden Kernel nicht ohne Neustart ersetzen).

Eine Sache, die ich entdeckt habe, ist, dass, wenn Ihr Server für lange Zeit ohne Neustart ausgeführt wurde, es wahrscheinlich ist, Festplattenprüfungen (fsck) beim Neustart zu machen, und dies kann die Zeit erheblich verlängern wieder auf und läuft. Am besten, dies vorherzusehen und dafür zu planen.

Ich habe auch entdeckt, dass Konfigurationsänderungen manchmal verpasst werden können, und bis zu einem Neustart nicht bemerkt werden (wie das Hinzufügen neuer IP-Adressen / iptables-Regeln usw.). Dies erhöht auch das "Risiko von Ausfallzeiten" beim seltenen Neustart.

Am besten planen Sie einige Ausfallzeiten bei einem Neustart - oder wenn dies keine wünschenswerte Option ist, stellen Sie Ihre Server in Clustern auf, so dass bei Bedarf Neustarts durchgeführt werden können.


11
2018-05-19 23:22





Wenn Sie nur Sicherheitsupdates und keinen komplett neuen Kernel benötigen, könnten Sie daran interessiert sein Ksplice - Sie können bestimmte Kernel-Updates in einen laufenden Kernel einpflegen.


8
2018-05-20 01:32





Es gibt keine einfache Antwort darauf, einige Kernel-Upgrades sind nicht wirklich sicherheitsbezogen, und einige können Sicherheitsprobleme beheben, die dich nicht betreffen, während andere dich betreffen können.

Der beste Ansatz ist es, sich bei den entsprechenden Sicherheitsmailinglisten zu registrieren ubuntus Sicherheitsankündigung damit Sie sehen können, wann Sicherheitspatches herauskommen und wie sie sich auf Sie auswirken könnten.

Ich würde auch darüber nachdenken Aptiron oder ähnlich, um die Details und Änderungsprotokolle anderer Paketaktualisierungen zu erhalten.


3
2018-06-21 17:40





Dies ist eine Funktion des Updates - wenn es ein priv. Eskalation, die zu Root-Zugriff führt, dann möchten Sie es möglicherweise anwenden.


2
2018-05-19 21:07





Für den Fall, dass Sie nicht Neustart, sollten Sie sicherstellen, dass der neue Kernel nicht der Standard ist, der beim Booten gestartet wird.

Das letzte, was Sie wollen, ist ein ungetesteter Kernel, der nach einem ungeplanten Neustart für die Produktion verwendet wird.


2
2018-06-22 00:14





Wie mibus erwähnt, wenn Sie den Kernel installieren und nicht Neustart, stellen Sie sicher, dass es nicht der Standard ist. Sie wissen nicht, ob oder in welchem ​​Zustand Ihr Server wiederkommt, also stellen Sie sicher, dass er getestet wurde.

Davon abgesehen ist es gut, wenn man sich daran gewöhnt, Maschinen möglichst regelmäßig neu zu starten. Viele Hardware- und Softwarefehler treten nur bei einem Neustart auf und es ist besser, wenn Sie während eines ungeplanten Ausfalls einen Neustart planen.


1
2018-06-22 05:27





Beachten Sie, dass einige der Debian-Kernel-Updates erfordern (sehr, sehr zu empfehlen), dass Sie ASAP neu starten, nachdem Sie sie anwenden.

Dies ist der Fall, wenn der Unterschied nicht ausreicht, um eine Änderung des Modulverzeichnisses zu gewährleisten, die Module jedoch abweichen können.

Sie werden von Debian gewarnt, wenn Sie solche Kernel-Pakete installieren.


0
2018-05-19 21:10