이전에 유지 관리되지 않은 서버 RHEL5.7을 업데이트하기위한 모범 사례

21

새로운 RedHat EL5.6 서버가 최근에 관리되었습니다. 지난 12 개월 동안 어떤 종류의 패키지 업데이트에도 관심이 거의 없거나 전혀 없다는 것이 즉시 명백합니다.

일반적으로 나는 그것이 깨지지 않은 경우의 사고 방식입니다-고치지 마십시오. 그러나 RHN에 서버를 등록하고 yum-security 플러그인을 사용하여 보안 업데이트를 확인한 후 1100 개가 넘는 "보안"업데이트가 있습니다.

비슷한 상황이 있습니까? 업데이트되는 내용과 상자에서 실행되는 모든 항목에 영향을 줄 수 있는지 여부를 알고 싶기 때문에 모든 것을 업데이트하기를 꺼려합니다 (이것은 프로덕션 서버입니다). 그러나이 연습에 따라 유지하려면 1100 패키지 정오표를 한 줄씩 통과 해야하는 것처럼 보입니다. 더 효율적인 솔루션이 있습니까?

security  redhat  yum 
tdk2fe
소스

답변:

21

일반적으로 말하기 보안 업데이트는 특히 RedHat과 같은 목표를 가진 배포의 경우 다소 안전한 것으로 간주됩니다. 그들의 핵심 초점은 일관된 운영 환경을 만드는 것입니다. 따라서 관리자는 패키지 버전을 선택하여 장거리 운반하는 경향이 있습니다. 내가 좋아하는 같은 패키지 버전 봐 무슨 뜻인지 확인하려면 kernel, python, perl등을 httpd. 또한 업스트림 개발자의 백 포트 보안 패치도 수행합니다. 따라서 모든 버전의 Apache httpd 2.2.x에 대해 보안 취약점이 발견되면 Apache Foundation에서 수정 사항이 포함 된 버전 2.2.40을 릴리스 할 수 있지만 RedHat은 패치를 로컬로 롤링 httpd-2.2.3-80하고 수정 사항과 함께 릴리스 합니다.

또한 현재 RHEL5.7 시스템에 대해 이야기하고 있으며 현재 릴리스는 5.9입니다. 일부 소프트웨어 공급 업체는 특정 하위 릴리스 만 지원합니다. 예를 들어, 벤더는 5.4에서만 작동한다고 말하는 것과 같은 소프트웨어를 발견했습니다. 즉, 의미하지 않는다 되지 않습니다 5.9에서 실행하지만, 그들이 경우 어떤 지원도 제공하지 않습니다 것을 의미 하지 않는 일을.

또한 오랫동안 패치되지 않은 시스템의 대량 업데이트에 대한 우려도 있습니다. 내가 본 가장 큰 문제는 실제로 큰 업데이트로 인해 악화 될 수있는 구성 관리 문제입니다. 구성 파일이 변경 되더라도 관리자가 서비스를 다시 시작하지 않는 경우가 있습니다. 이는 디스크의 구성이 테스트 된 적이 없으며 실행중인 구성이 더 이상 존재하지 않을 수 있음을 의미합니다. 따라서 커널 업데이트를 적용한 후에 서비스가 다시 시작되면 실제로 다시 시작되지 않을 수 있습니다. 또는 다시 시작 하면 다르게 작동 할 수 있습니다 .

내 조언은 업데이트를하는 것이지만 현명합니다.

  • 유지 관리 기간 동안 계획하십시오. 서버를 다시 시작할 필요가없는 경우 커널 업데이트가 여러 개 있으므로 다시 부팅해야 적용됩니다.
  • 작업을 수행하기 전에 전체 백업을 수행하십시오. 이는 VM 인 경우 스냅 샷을 생성 할 수 있으며, 도구가 무엇이든, /다른 시스템 dd으로 변경하거나, 드라이브 이미지를 가져 오는 등 무엇이든 전체 백업을 트리거 할 수 있습니다 . 복원 할 수있는 한.
  • 업데이트 적용 방법 을 계획 하십시오. 당신은 yum update -y그것을 던져 버리고 싶지 않습니다 . yum이하는 모든 좋은 일 에 대해서는 의존성에 따라 업데이트를 적용 할 때 순서를 정하지 않습니다 . 이것은 과거에 문제를 일으켰습니다. 나는 항상 실행 yum clean all && yum update -y yum && yum update -y glibc && yum update합니다. 그것은 대부분의 잠재적 주문 문제를 처리하는 경향이 있습니다.

이것은 또한 리 플랫폼하기에 좋은 시간 일 수 있습니다. 우리는 지금 꽤 오랫동안 RHEL6을 가지고있었습니다. 이 서버의 기능에 따라 새 인스턴스를 병렬로 가져 오는 동안이 서버를 그대로 실행하는 것이 좋습니다. 그런 다음 설치되면 모든 데이터를 복사하고 서비스를 테스트하고 컷 오버를 수행 할 수 있습니다. 또한 처음부터 시스템이 표준화되고, 깨끗하며, 잘 문서화되어 있으며, 모든 재즈를 알 수있는 기회를 제공합니다.

당신이 무엇을하든, 나는 당신이 현재 시스템에 자신을 얻는 것이 매우 중요하다고 생각합니다. 작업과 완제품을 신뢰할 수있는 방식으로 수행해야합니다.

스캇 팩
소스
내가 생각하지 않은 일부 고려 사항에 대한 자세한 답변과 통찰력에 감사드립니다. 바라건대 이것이 내가해야 할 마지막 대량 업데이트 일 것입니다. 필자가 언급 한대로 RHN (구매 한 제품)을 사용하지 않았기 때문에 응용 프로그램 소유자를 기내에 설치하는 것이 기술 작업보다 더 어려울 것입니다. :
tdk2fe
@ tdk2fe : 항상 그렇습니다. :) 솔직히 말해서,이 일에 따라 꽤 안정적으로 작동해야합니다. 실제로 서비스를 시작하는 것보다 더 이상 작동하지 않는 응용 프로그램에 대해서는 덜 걱정합니다.
Scott Pack
RHEL 5.7 vs 5.9에 대해 너무 걱정하지 마십시오. RHEL 5.9는 RHEL 5.0에 불과하므로 설치가 완료된 이후 모든 업데이트가 제공됩니다. 시리즈 내부에서 "업그레이드"할 필요는 없습니다. 나는에 조언을 줄 적어도 보안 업데이트를 설치하고, 진지하게 적용으로 나머지를 설치하는 것이 좋습니다. 가상 머신 또는 테스트 박스를 설정하여 주 머신을 복제하고 너무 크게 폭발하는 것을 확인할 수 없습니까?
vonbrand
1
@vonbrand : 맞습니다. 포인트 릴리즈는 특정 날짜에 리포지토리의 태그 컷일뿐입니다. 그렇다고 문제가 없다는 의미 는 아닙니다 . 5.3에서 5.4까지의 gilbc 커플은 환상적인 예입니다.
Scott Pack
시스템이 경우 @ tdk2fe는 언급으로,하지 년 동안 관리되지 않는, 당신은 꽤 잘하고있어. 우리 대부분은 몇 년 동안 시스템이주의를 기울이지 않는 것을 보았습니다 ...
Michael Hampton
3

내 경험상 RHEL은 동일한 릴리스 업데이트에서 이전 버전과의 호환성을 손상시키지 않습니다.

그러나 rpm으로 외부에 설치된 것으로 확장되지는 않습니다.

rpm -qf외부에서 컴파일 된 것으로 의심되는 파일을 찾는 데 사용할 수 있습니다. "패키지가 소유하지 않은"파일을 반환하면 업그레이드에 문제가있을 수 있습니다.

나는 서버의 이미지를 가져 와서 업그레이드를 할 것입니다. 그러나 나는 대부분의 것보다 좀 더 악마 적입니다.

디짓
소스
좋은 지적. /etc/yum.repos.d이상한 저장소가 구성되어 있는지 확인하십시오 ( EPEL 이 안전해야 함 ). (구성된 저장소에없는 패키지가 설치되어 yum-utils있는) 출력을 설치 하고 확인하십시오 package-cleanup --orphans.
vonbrand
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.