커널 업데이트 후 Linux를 재부팅해야합니까?


19

우리 사이트를 호스팅하는 몇 가지 프로덕션 Fedora 및 Debian 웹 서버와 사용자 쉘 계정 (git vcs 작업, 일부 screen + irssi 세션 등에 사용됨)이 있습니다.

간혹 새로운 커널 업데이트가 yum/에 파이프 라인을 내려갈 것입니다. apt-get대부분의 수정 프로그램이 재부팅을 보증하기에 충분히 심각한 지, 또는 수정 프로그램을 sans reboot로 적용 할 수 있는지 궁금합니다.

우리의 주요 개발 서버는 현재 213 일의 가동 시간을 가지고 있으며, 그러한 오래된 커널을 실행하는 것이 안전하지 않은지 확실하지 않았습니다.


git repos (아마도 신뢰할 수있는 사용자 만 안전해야 함)와 일반 스크린 세션을 실행하는 것과 프로덕션 호스팅 (공정하게 노출되고 보안이 중요하며 즉시 업데이트를 받아야 함)을 분리해야합니다. VM은 싸다!
poolie

답변:


24

긴 가동 시간을 갖는 데있어 특별한 점은 없습니다. 일반적으로 안전한 시스템을 사용하는 것이 좋습니다. 모든 시스템은 어느 시점에서 업데이트가 필요합니다. 이미 업데이트를 적용 중일 수 있습니다. 업데이트를 적용 할 때 중단을 예약합니까? 당신은 아마 뭔가 잘못되었을 경우를 대비해야합니다. 재부팅은 그렇게 많은 시간이 걸리지 않아야합니다.

시스템이 중단에 매우 민감한 경우, 클러스터링 설정에 대해 생각해야하므로 모든 것을 중단시키지 않고 클러스터의 단일 구성원을 업데이트해야합니다.

특정 업데이트에 대해 확실하지 않은 경우 재부팅을 예약하고 적용하는 것이 더 안전합니다 (바람직하게 다른 유사한 시스템에서 테스트 한 후).

업데이트가 중요한지 알아 보려면 보안 공지를 읽고 시간을내어 CVE 또는 해당 문제를 설명하는 게시물 / 목록 / 블로그로 돌아가십시오 . 업데이트가 사례에 직접 적용되는지 결정하는 데 도움이됩니다.

그것이 적용되지 않는다고 생각하더라도 결국 시스템 업데이트를 고려해야합니다. 보안은 계층화 된 접근 방식입니다. 특정 시점에서 다른 계층이 실패 할 수 있다고 가정해야합니다. 또한 나중에 구성을 변경할 때 업데이트를 건너 뛰었으므로 취약한 시스템이 있다는 사실을 잊어 버릴 수 있습니다.

어쨌든 데비안 기반 시스템에서 업데이트를 무시하거나 잠시 기다리려면 패키지를 보류시킬 수 있습니다. 나는 개인적으로 모든 커널 패키지를 보류하고 싶다.

데비안 기반 시스템에서 패키지를 보류하는 CLI 방법.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

1
항상 켜져 있어야 할 필요는 없지만 일부 사용자에게는 개방형 세션 (예 : IRC)이있어 다시 시작하기가 성 가실 수 있습니다.
lfaraone

12

대부분의 업데이트에는 재부팅이 필요하지 않지만 커널 업데이트에는 재부팅이 필요하지 않습니다 (재부팅하지 않고 실행중인 커널을 실제로 바꿀 수는 없습니다).

내가 찾은 것 중 하나는 서버를 재부팅하지 않고 오랫동안 실행 한 경우 재부팅 할 때 디스크 검사 (fsck)를 수행 할 가능성이 높으며 다시 찾는 데 시간이 많이 걸릴 수 있다는 것입니다 다시 작동합니다. 이것을 예상하고 계획하는 것이 가장 좋습니다.

또한 구성 변경 사항이 누락 될 수 있으며 다시 부팅 할 때까지 (예 : 새 IP 주소 / iptables 규칙 추가 등) 알 수 없다는 사실을 발견했습니다. 또한 가끔 재부팅 할 때 "다운 타임 위험"이 추가됩니다.

재부팅 할 때 다운 타임을 계획하는 것이 가장 좋습니다. 또는 이것이 바람직한 옵션이 아닌 경우 서버를 클러스터로 설정하여 필요한 경우 재부팅 할 수 있도록하십시오.


8

완전히 새로운 커널이 아닌 보안 업데이트 만 필요한 경우 Ksplice에 관심이있을 수 있습니다. 특정 커널 업데이트를 실행중인 커널에 패치 할 수 있습니다.


Oracle Linux 만 해당 : |
rogerdpack

3

이에 대한 간단한 대답은 없으며 일부 커널 업그레이드는 실제로 보안과 관련이 없으며 일부는 사용자에게 영향을 미치지 않는 보안 문제를 해결하는 반면 다른 일부는 귀하에게 영향을 줄 수 있습니다.

가장 좋은 방법은 imo가 보안 패치가 언제 나오는지, 어떻게 영향을 미치는지 알 수 있도록 우분투의 보안 공지 와 같은 관련 보안 메일 링리스트에 등록 하는 것입니다.

또한 다른 패키지 업데이트의 세부 정보 및 변경 로그를 얻으려면 apticron 또는 이와 유사한 것을 고려 하십시오.


2

이것은 개인 정보를 수정하는 경우 업데이트 기능입니다. 루트 액세스가 가능한 에스컬레이션을 적용한 후 적용 할 수 있습니다.


2

당신이하는 경우에는 하지 않는 재부팅을 새 커널이 부팅시 시작하는 기본 아니다 있는지 확인해야합니다.

마지막으로 원하는 것은 계획되지 않은 재시작 후 프로덕션에 사용되는 테스트되지 않은 커널입니다.


1

mibus가 언급했듯이 커널을 설치하고 재부팅 하지 않으면 기본값이 아닌지 확인하십시오. 서버가 어떤 상태로 돌아올 지 알 수 없으므로 테스트를 거쳐야합니다.

즉, 가능한 경우 정기적으로 컴퓨터를 재부팅하는 습관을들이는 것이 좋다고 생각합니다. 많은 하드웨어 및 소프트웨어 오류는 재부팅 할 때만 나타납니다. 계획되지 않은 중단이 아닌 재부팅을 계획 할 때이를 찾아 보는 것이 좋습니다.


0

데비안 커널 업데이트 중 일부는 적용 후 최대한 빨리 재부팅해야합니다 (권장).

차이점이 모듈 디렉토리 변경을 보증하기에 충분하지 않은 경우이지만 모듈이 다를 수 있습니다.

그러한 커널 패키지를 설치할 때 데비안에 의해 경고를받을 것입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.