私はサイトをホストするいくつかの本番FedoraおよびDebianウェブサーバーとユーザーシェルアカウントを持っています(git vcsの動作、いくつかのscreen + irssiセッションなどに使用されます)。
時々、新しいカーネルアップデートがyum
/apt-get
のパイプラインをダウンし、ほとんどの修正が再起動を保証するのに十分深刻であるか、または修正を適用することができるかどうか疑問に思っていました。
現在のメイン開発サーバーの稼働時間は213日ですが、そのような古いカーネルを実行するのが安全でないかどうかはわかりませんでした。
長い稼働時間を持つことは、特別なことは何もありません。安全なシステムを使用することをお勧めします。すべてのシステムで、ある時点で更新が必要になります。おそらくすでに更新を適用していますが、それらの更新を適用するときに停止をスケジュールしますか?何かがうまくいかない場合に備えて、おそらくあなたはすべきです。再起動はそれほど多くの時間ではありません。
システムが停止に非常に敏感な場合は、何らかのクラスタリング設定を検討して、すべてを停止せずにクラスタの単一のメンバーを更新する必要があります。
特定の更新について不明な点がある場合は、再起動をスケジュールして適用する方が安全です(別の同様のシステムでテストした後が望ましい)。
更新が重要かどうかを知りたい場合は、セキュリティ通知を読み、リンクをたどって [〜#〜] cve [〜#〜] または投稿/リストに戻ってください。 /ブログで問題を説明しています。これは、更新が直接適用されるかどうかを判断するのに役立ちます。
それが当てはまらないと思っていても、最終的にはシステムの更新を検討する必要があります。セキュリティは階層化されたアプローチです。他のレイヤーが失敗する可能性がある時点で想定する必要があります。また、後で構成を変更するときに更新をスキップしたため、脆弱なシステムがあることを忘れている可能性があります。
とにかく、Debianベースのシステムでの更新を無視するかしばらく待つ場合は、パッケージを保留することができます。念のため、私はすべてのカーネルパッケージを保持したいと思っています。
Debianベースのシステムでパッケージにホールドを設定するCLIメソッド。
dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | Sudo dpkg --set-selections
ほとんどの更新では再起動は必要ありませんが、カーネルの更新では必要です(再起動しないと、実行中のカーネルを実際に置き換えることはできません)。
私が発見したことの1つは、サーバーが再起動せずに長時間実行されている場合、再起動時にディスクチェック(fsck)を実行する可能性が高く、これにより、復旧にかかる時間が大幅に増える可能性があることです。再び稼働しています。これを予測して計画するのが最善です。
また、構成の変更が見落とされることがあり、再起動するまで気付かないことも発見しました(新しいIPアドレス/ iptablesルールの追加など)。これにより、再起動が少ない場合の「ダウンタイムのリスク」も増加します。
再起動を行うときのダウンタイムを計画することをお勧めします。または、これが望ましいオプションでない場合は、サーバーをクラスターにセットアップして、必要に応じて再起動できるようにします。
完全に新しいカーネルではなく、セキュリティ更新のみが必要な場合は、 Ksplice に興味があるかもしれません。これにより、特定のカーネル更新を実行中のカーネルにパッチできます。
これに対する簡単な答えはありません。カーネルのアップグレードの中には、実際にはセキュリティに関連していないものもあれば、影響を及ぼさないセキュリティ問題を修正するものもあれば、影響を与えるものもあります。
最善のアプローチは、関連するセキュリティメーリングリストに buntu's security-announce のように登録して、セキュリティパッチがいつリリースされ、どのように影響するかを確認できるようにすることです。
他のパッケージアップデートの詳細と変更ログを取得するには、 apticron または同様のものも検討します。
しないでください再起動する場合は、新しいカーネルが起動時に起動するデフォルトのカーネルでないことを確認する必要があります。
最後に必要なのは、計画外の再起動後にテストされていないカーネルを本番環境で使用することです。
これはアップデートの機能です-それが特権を修正する場合。 rootアクセスが発生するエスカレーションの場合、それを適用することができます。
Mibusが述べたように、カーネルをインストールしてしないでください再起動する場合は、それがデフォルトでないことを確認してください。サーバーが戻ってくるかどうか、またどのような状態にあるかわからないため、テスト済みであることを確認してください。
そうは言っても、可能な場合はかなり定期的にマシンを再起動するという習慣に慣れるのが良いと思います。多くのハードウェアおよびソフトウェアの障害は、再起動時にのみ現れるため、計画外の停止中ではなく、再起動を計画しているときにそれらを確認することをお勧めします。
一部のdebianカーネルアップデートでは、適用後にできるだけ早く再起動する必要があります(まあ、強くお勧めします)。
これは、違いがモジュールディレクトリの変更を保証するのに十分ではない場合に当てはまりますが、モジュールは異なる場合があります。
このようなカーネルパッケージをインストールすると、Debianから警告が表示されます。