프로덕션 Centos 웹 서버를 실행하고 있습니다. 업데이트 실행에 대한 모범 사례가 무엇인지 알고 싶습니다. yum-cron 또는 yum-updatesd로 이것을 자동화해야합니까? 또는 업데이트로 인해 사이트가 손상 될 위험이 있으므로 테스트 서버에서 업데이트 한 다음 매주 수동으로 업데이트를 실행하는 것이 더 낫습니까?
대부분의 서버는 공식 저장소 만 사용하지만 일부는 다른 방법으로는 사용할 수없는 PHP 모듈 용 원자 저장소를 가지고 있습니다. 이 경우 가장 좋은 것은 무엇입니까? PHP 모듈에 원자 만 사용하도록 yum을 설정할 수 있습니까? Atomic의 최첨단 기술로 모든 것이 업데이트되는 것을 원하지 않습니다. 서버를 안정적이고 안전하게 유지하기 위해 Centos (또는 실제로 Red Hat)를 신뢰합니다.
답변:
두 가지 방법 모두 장단점이 있으며 실제로 시스템 아키텍처를 통해 어떤 방법이 가장 적합한 지 알아야합니다. 어떤 경로를 선택하든, 왜 그 방법을 선택했는지와 단점을 보완하여 보상 할 수있는 방법을 이해해야 합니다.
고려해야 할 사항은 다음과 같습니다.
보안 업데이트는 항상 한 가지 방법으로 적용 해야합니다 . 어떤 이유로 든 서버에 적시에 보안 업데이트가 적용되지 않으면 sysadmin 습관을 수정하십시오.
Distro 업데이트는 일반적으로 특히 공식 소스에서 제공되는 경우 유용합니다. 당신이 그들을 적용하는 것이 불편하다고 생각되면 아마도 당신은 당신의 요구에 가장 적합한 배포판을 사용하지 않을 것입니다. 방법론과 일치하는 배포판을 사용해야합니다. 다시 말해, 업데이트가 가장 관심이 있다는 것을 신뢰할 수있는 것입니다. 그것들이 너무 빨리 움직이거나 소프트웨어를 변경하여 물건을 깨뜨리는 경우 다른 배포판을 사용해야합니다.
업데이트로 인해 문제가 발생할 수 있습니다. 더 이상 사용되지 않는 기능을 사용하거나 나쁜 내용을 쓴 경우 최신 소프트웨어로 이동하면 코드가 손상 될 수 있습니다. 프로덕션 시스템에서 업데이트를 실행하기 전에 업데이트에서 제품을 테스트 할 수있는 시스템 아키텍처를 고려해야합니다.
자동 업데이트 기능을 사용하는 경우 항상 알려진 작업 구성으로 롤백 할 수있는 방법이 있어야합니다. 일부 업데이트로 인해 프로덕션 시스템에서 제품이 손상되는 경우 전체 시스템 스냅 샷이 생명을 구할 수 있습니다.
이 목록은 완전한 목록이 아니며 몇 가지만 생각하면됩니다. 결국, 이것은 다른 사람이 당신을 위해 할 수있는 결정이 아닙니다. 당신은 관리자입니다. 시스템을 알고 있어야합니다. 당신의 배포판을 알아라.
나는 Caleb이 이미 말한 것에 100 % 동의합니다. 저에게서 CentOS 관련 노치가 더 있습니다.
배포판은 RedHat 및 해당 패치를 기반으로합니다. 이러한 패치는 매우 양호하게 테스트되었으며 지난 4 년 동안 CentOS 5를 50 개 이상의 서버와 함께 사용한 적이있는 패치는 없었습니다.
그러나 배포 패치 만 실행하는 서버에 매일 모든 패치를 자동으로 적용하지만 며칠 동안 해당 구성에서 테스트 시스템을 실행 한 후에 만 프로덕션 서버 (glibc 또는 커널 업데이트 후)를 부팅합니다.
다른 리포지토리의 경우이를 스테이징 디렉토리에 미러링합니다. 이 패치는 먼저 테스트 서버에 적용됩니다. 아무런 문제가없는 것으로 판명되면 스테이징 디렉토리를 활성화하고 프로덕션 저장소로 복사합니다.
자동 패치는 패치 된 구성 요소가 자주 다시 시작되는 부작용이 있으므로 시작 후 구성을 잘못 구성하면 다시 시작되지 않습니다.